可信計(jì)算與嵌入式系統(tǒng)
嵌入式系統(tǒng)是把計(jì)算機(jī)系統(tǒng)嵌到某一個(gè)工程或系統(tǒng)里。那么科學(xué)計(jì)算是什么?為什么要科學(xué)計(jì)算?跟嵌入式有沒有關(guān)系?人們最擔(dān)心的是,嵌入式系統(tǒng)提高控制能力和智能程度之后,有什么隱患?前年美國開發(fā)者大會(huì)有兩個(gè)案例引起了人們的關(guān)注:第一汽車,汽車電子系統(tǒng)都是嵌入式系統(tǒng)。如果安全出現(xiàn)問題,汽車電子系統(tǒng)被控制,可能會(huì)出現(xiàn)制動(dòng)熄火、方向盤不靈、撞車等事故,未來無人駕駛盛行之后這個(gè)問題更為突出。另一個(gè)是心臟起搏器,如果由計(jì)算機(jī)控制的起搏器被人操控,生死盡由他手。再說長(zhǎng)江三峽工程,如果其175米的大壩控制系統(tǒng)被攻擊、接管,把23個(gè)防水洞同時(shí)拉起,全部排水,很可能就會(huì)沖垮大壩,淹沒下游城市。以前人們主要依靠防火墻、殺病毒、IDS找漏洞來解決網(wǎng)絡(luò)安全問題,但是這些方法并不適用于嵌入式系統(tǒng)。嵌入式安全需要有新的、有秩序的、過硬的技術(shù),要技術(shù)先進(jìn),攻防兼?zhèn)?。這就產(chǎn)生了可信免疫的計(jì)算機(jī)體系結(jié)構(gòu)。近年來,美國也認(rèn)識(shí)到了這個(gè)問題,2006年4月份新出臺(tái)了聯(lián)邦網(wǎng)絡(luò)空間安全信息保障研究與發(fā)展計(jì)劃,重新確定了研究方向,廢除了前面說的“防火墻,殺病毒,IDS找漏洞”老三樣。
本文引用地址:http://www.ex-cimer.com/article/281878.htm可信計(jì)算是對(duì)運(yùn)算的方式進(jìn)行安全保護(hù),使計(jì)算結(jié)果總是與預(yù)期一致,計(jì)算全過程可測(cè)可控、不被干擾,是一個(gè)運(yùn)算和防護(hù)并存的,主動(dòng)免疫的新的計(jì)算模式。其中,可信計(jì)算要識(shí)別自他;其次要判斷政策有沒有變化,有沒有貶義;第三要進(jìn)行編碼保護(hù)。
計(jì)算機(jī)系統(tǒng)的發(fā)展是一個(gè)辯證的發(fā)展過程,安全問題和黑客、病毒問題是一個(gè)辯證統(tǒng)一的兩個(gè)方面。計(jì)算機(jī)由大到小到微,最后到嵌入式的發(fā)展過程中,人們把重點(diǎn)放在控制能力、智能程度、計(jì)算能力上,而忽略了安全問題,以及能不能正常工作等。
通常的PC結(jié)構(gòu)沒有免疫系統(tǒng),安全性較低。如圖1,右邊是PC結(jié)構(gòu),包括計(jì)算機(jī)主板、操作系統(tǒng)、應(yīng)用程序接口。圖1左邊,加上主動(dòng)免疫可信計(jì)算的部件以后,整個(gè)體系結(jié)構(gòu)不會(huì)被破壞,操作行為不會(huì)被冒充,配置不會(huì)被篡改,程序數(shù)據(jù)不會(huì)丟失,管理控制策略不會(huì)被破壞,這樣能構(gòu)成三層防御體系,可信計(jì)算的環(huán)境。嵌入式系統(tǒng)也存在類似的體系框架,區(qū)別在于有些在線,有些離線。這樣做的效果能讓攻擊者進(jìn)不去,非所有權(quán)的重要性拿不到,竊取保密信息看不懂,系統(tǒng)和信息篡改不了,系統(tǒng)工作癱不成,攻擊行為賴不掉。
國內(nèi)可信計(jì)算體系的創(chuàng)新
1992年,國家針對(duì)可信計(jì)算正式立項(xiàng),而TCG世界可行性計(jì)算組織到2000年才成立。因此國內(nèi)領(lǐng)先一步,形成了自己的創(chuàng)新體系,國內(nèi)體系跟免疫系統(tǒng)一樣,有基因、抗體、循環(huán)控制和主動(dòng)識(shí)別。國內(nèi)采用密碼技術(shù)進(jìn)行識(shí)別、判別,能主動(dòng)循環(huán),有主動(dòng)控制芯片,構(gòu)成了雙體系主板,用軟件實(shí)現(xiàn)判別、處理和對(duì)外連接。
目前國內(nèi)已經(jīng)形成了標(biāo)準(zhǔn)。有自主研發(fā)的密碼技術(shù),構(gòu)成了一個(gè)全方位的循規(guī)體系,不僅包括芯片控制、主板融合、系統(tǒng)軟件、連接等國家標(biāo)準(zhǔn),還有服務(wù)器、存儲(chǔ)器、任務(wù)等配套標(biāo)準(zhǔn),國內(nèi)成立了產(chǎn)業(yè)聯(lián)盟推動(dòng)產(chǎn)業(yè)化、市場(chǎng)化。相較于TCG,國內(nèi)產(chǎn)業(yè)聯(lián)盟更加完整。TCG組織成員像IBM、HP、Intel等,都有各自現(xiàn)成的產(chǎn)品體系結(jié)構(gòu),不容易真正融合。TCG有兩個(gè)局限性:第一,在密碼體制上,它采用公開的RSA,安全性低,且比較復(fù)雜;第二,它不是主動(dòng)免疫,免疫系統(tǒng)主動(dòng)控制、主動(dòng)檢測(cè),不由大腦指揮,TCG是作為外部設(shè)備掛接,由主程序、子程序?qū)崿F(xiàn)可信,典型是由大腦指揮。
圖2是TPM(可信賴平臺(tái)模塊)可信的模塊,這個(gè)主板由BIOS進(jìn)行控制,上面構(gòu)建了TSS的軟件棧和子程序庫,由主程序來調(diào)用,解決所有的度量、識(shí)別、響應(yīng)。
國內(nèi)是真正的免疫系統(tǒng)主動(dòng)免疫,第一,在密碼方面,國內(nèi)采用雙密碼體系,更科學(xué)、更合理;第二,國內(nèi)構(gòu)成了循環(huán)控制,即TPCM-可信平臺(tái)的控制模塊,與主板相結(jié)合;第三,主板上進(jìn)行深度融合,構(gòu)成雙結(jié)點(diǎn),一邊是支持資源計(jì)算的結(jié)點(diǎn),一邊是免疫的可信序列;第四,改變了被動(dòng)調(diào)用的局面,構(gòu)建了PSB,可行性軟件機(jī),與插入系統(tǒng)、基礎(chǔ)軟件并行,構(gòu)成雙體系;第五,在可信網(wǎng)絡(luò)連接方面,國內(nèi)建立了三元三層對(duì)等的連接。
有計(jì)算、有數(shù)據(jù)的地方,都要提供可信計(jì)算保障。在大家印象中,添加安全功能以后,計(jì)算機(jī)性能會(huì)降低、系統(tǒng)會(huì)變復(fù)雜。但可信計(jì)算既解決了安全性問題,又解決了與系統(tǒng)高度融合的問題。國內(nèi)采用雙密碼體系,簡(jiǎn)化了密鑰管理和證書配置,簡(jiǎn)單、緊湊。這套密碼體系于06年發(fā)布實(shí)施,09年TCG申報(bào)國際標(biāo)準(zhǔn)時(shí)使用了對(duì)稱非對(duì)稱相結(jié)合的密碼體制。
可信計(jì)算需要構(gòu)建控制模塊,在啟動(dòng)計(jì)算機(jī)時(shí),首先啟動(dòng)免疫計(jì)算,檢查環(huán)境沒問題以后,再啟動(dòng)CPU、主機(jī)。TCG把可信原點(diǎn)放在BIOS內(nèi),國內(nèi)是放在計(jì)算機(jī)里面,在控制模塊上加一層外部設(shè)備的控制,這種方式更安全,通過操作系統(tǒng)或BIOS攻擊都無效??刂颇K和主板融合以后,可以做到動(dòng)態(tài)度量、虛擬度量。
如圖3所示紅色的控制模塊,是一個(gè)自成體系、主動(dòng)免疫的軟件,加入到操作系統(tǒng)中,主動(dòng)接管軟件操作系統(tǒng)的控制命令,度量、識(shí)別、判別都靠這個(gè)防御策略、規(guī)則進(jìn)行處理。
三元連接,解決的是核心技術(shù)和資源的問題。XP停止服務(wù)以后,沒人能管補(bǔ)丁了,國家在這方面做了很多工作。
怎樣用科學(xué)計(jì)算技術(shù)實(shí)現(xiàn)真正的技術(shù)國產(chǎn)?
第一,引進(jìn)?,F(xiàn)在IBM等很多公司非常友好、熱忱,把它的內(nèi)核、代碼、CPU都開放給我們。
第二,消化、吸收。
第三,創(chuàng)新。以前改造個(gè)界面,建個(gè)功能模塊就當(dāng)創(chuàng)新,現(xiàn)在要在結(jié)構(gòu)上進(jìn)行重構(gòu)。重構(gòu)很重要,更重要的是可信,可信類似于人體自我免疫的安全性。但是自主不等于安全,因?yàn)閯傞_始自主創(chuàng)新的時(shí)候,肯定是東湊西拼,問題很多,留著很多Bug給人家攻擊,我們必須用可信來保障這些Bug不被利用,這樣自主創(chuàng)新的技術(shù)路線才能走下去。
第四,可用。嵌入式要引進(jìn)、消化、吸收、創(chuàng)新,需要解決可用問題,國內(nèi)發(fā)布了好多操作系統(tǒng),都跟人家對(duì)接不起來。之前可信沒有走出國門,現(xiàn)在TCG對(duì)國內(nèi)可用計(jì)算非常關(guān)注。從計(jì)算機(jī)角度來講,重新設(shè)計(jì)的主板、整機(jī)都是可信主機(jī)。老的機(jī)器用卡、PCI卡等,配上可信軟件、管理軟件,就改造成了可信計(jì)算機(jī)。
為什么我們可以主動(dòng)免疫呢?
前面講到,有平臺(tái)支撐的防御體系,能做到主動(dòng)識(shí)別資源有沒有被改變,攻擊必定要修改參數(shù),從系統(tǒng)管理的角度制訂安全規(guī)則,保證立即發(fā)現(xiàn)參數(shù)改變,馬上處理。
第二,如果攻擊行為違背了安全管理策略,檢測(cè)到新的異常行為,建議進(jìn)行控制。
第三,通過升級(jí)平臺(tái)解決異常情況的區(qū)別、預(yù)警和應(yīng)急處理:首先,對(duì)資源進(jìn)行可信度量,攻擊必定要改變資源;第二,保護(hù)重要信息;第三,控制鑒別攻擊行為,對(duì)異常的人、行為馬上處置,使攻擊不成。如果產(chǎn)生了攻擊行為,能有效防御它,這樣可以解決很重要的問題,特別是高安全等級(jí)防護(hù)問題。(本文根據(jù)第13屆全國嵌入式系統(tǒng)學(xué)術(shù)會(huì)議錄音整理,未經(jīng)演講者確認(rèn))
評(píng)論