可信計算與嵌入式系統

　　嵌入式系統是把計算機系統嵌到某一個(gè)工程或系統里。那么科學(xué)計算是什么?為什么要科學(xué)計算?跟嵌入式有沒(méi)有關(guān)系?人們最擔心的是，嵌入式系統提高控制能力和智能程度之后，有什么隱患?前年美國開(kāi)發(fā)者大會(huì )有兩個(gè)案例引起了人們的關(guān)注：第一汽車(chē)，汽車(chē)電子系統都是嵌入式系統。如果安全出現問(wèn)題，汽車(chē)電子系統被控制，可能會(huì )出現制動(dòng)熄火、方向盤(pán)不靈、撞車(chē)等事故，未來(lái)無(wú)人駕駛盛行之后這個(gè)問(wèn)題更為突出。另一個(gè)是心臟起搏器，如果由計算機控制的起搏器被人操控，生死盡由他手。再說(shuō)長(cháng)江三峽工程，如果其175米的大壩控制系統被攻擊、接管，把23個(gè)防水洞同時(shí)拉起，全部排水，很可能就會(huì )沖垮大壩，淹沒(méi)下游城市。以前人們主要依靠防火墻、殺病毒、IDS找漏洞來(lái)解決網(wǎng)絡(luò )安全問(wèn)題，但是這些方法并不適用于嵌入式系統。嵌入式安全需要有新的、有秩序的、過(guò)硬的技術(shù)，要技術(shù)先進(jìn)，攻防兼備。這就產(chǎn)生了可信免疫的計算機體系結構。近年來(lái)，美國也認識到了這個(gè)問(wèn)題，2006年4月份新出臺了聯(lián)邦網(wǎng)絡(luò )空間安全信息保障研究與發(fā)展計劃，重新確定了研究方向，廢除了前面說(shuō)的“防火墻，殺病毒，IDS找漏洞”老三樣。

　　可信計算是對運算的方式進(jìn)行安全保護，使計算結果總是與預期一致，計算全過(guò)程可測可控、不被干擾，是一個(gè)運算和防護并存的，主動(dòng)免疫的新的計算模式。其中，可信計算要識別自他;其次要判斷政策有沒(méi)有變化，有沒(méi)有貶義;第三要進(jìn)行編碼保護。

　　計算機系統的發(fā)展是一個(gè)辯證的發(fā)展過(guò)程，安全問(wèn)題和黑客、病毒問(wèn)題是一個(gè)辯證統一的兩個(gè)方面。計算機由大到小到微，最后到嵌入式的發(fā)展過(guò)程中，人們把重點(diǎn)放在控制能力、智能程度、計算能力上，而忽略了安全問(wèn)題，以及能不能正常工作等。

　　通常的PC結構沒(méi)有免疫系統，安全性較低。如圖1，右邊是PC結構，包括計算機主板、操作系統、應用程序接口。圖1左邊，加上主動(dòng)免疫可信計算的部件以后，整個(gè)體系結構不會(huì )被破壞，操作行為不會(huì )被冒充，配置不會(huì )被篡改，程序數據不會(huì )丟失，管理控制策略不會(huì )被破壞，這樣能構成三層防御體系，可信計算的環(huán)境。嵌入式系統也存在類(lèi)似的體系框架，區別在于有些在線(xiàn)，有些離線(xiàn)。這樣做的效果能讓攻擊者進(jìn)不去，非所有權的重要性拿不到，竊取保密信息看不懂，系統和信息篡改不了，系統工作癱不成，攻擊行為賴(lài)不掉。

國內可信計算體系的創(chuàng )新

　　1992年，國家針對可信計算正式立項，而TCG世界可行性計算組織到2000年才成立。因此國內領(lǐng)先一步，形成了自己的創(chuàng )新體系，國內體系跟免疫系統一樣，有基因、抗體、循環(huán)控制和主動(dòng)識別。國內采用密碼技術(shù)進(jìn)行識別、判別，能主動(dòng)循環(huán)，有主動(dòng)控制芯片，構成了雙體系主板，用軟件實(shí)現判別、處理和對外連接。

　　目前國內已經(jīng)形成了標準。有自主研發(fā)的密碼技術(shù)，構成了一個(gè)全方位的循規體系，不僅包括芯片控制、主板融合、系統軟件、連接等國家標準，還有服務(wù)器、存儲器、任務(wù)等配套標準，國內成立了產(chǎn)業(yè)聯(lián)盟推動(dòng)產(chǎn)業(yè)化、市場(chǎng)化。相較于TCG，國內產(chǎn)業(yè)聯(lián)盟更加完整。TCG組織成員像IBM、HP、Intel等，都有各自現成的產(chǎn)品體系結構，不容易真正融合。TCG有兩個(gè)局限性：第一，在密碼體制上，它采用公開(kāi)的RSA，安全性低，且比較復雜;第二，它不是主動(dòng)免疫，免疫系統主動(dòng)控制、主動(dòng)檢測，不由大腦指揮，TCG是作為外部設備掛接，由主程序、子程序實(shí)現可信，典型是由大腦指揮。

　　圖2是TPM(可信賴(lài)平臺模塊)可信的模塊，這個(gè)主板由BIOS進(jìn)行控制，上面構建了TSS的軟件棧和子程序庫，由主程序來(lái)調用，解決所有的度量、識別、響應。

　　國內是真正的免疫系統主動(dòng)免疫，第一，在密碼方面，國內采用雙密碼體系，更科學(xué)、更合理;第二，國內構成了循環(huán)控制，即TPCM-可信平臺的控制模塊，與主板相結合;第三，主板上進(jìn)行深度融合，構成雙結點(diǎn)，一邊是支持資源計算的結點(diǎn)，一邊是免疫的可信序列;第四，改變了被動(dòng)調用的局面，構建了PSB，可行性軟件機，與插入系統、基礎軟件并行，構成雙體系;第五，在可信網(wǎng)絡(luò )連接方面，國內建立了三元三層對等的連接。

　　有計算、有數據的地方，都要提供可信計算保障。在大家印象中，添加安全功能以后，計算機性能會(huì )降低、系統會(huì )變復雜。但可信計算既解決了安全性問(wèn)題，又解決了與系統高度融合的問(wèn)題。國內采用雙密碼體系，簡(jiǎn)化了密鑰管理和證書(shū)配置，簡(jiǎn)單、緊湊。這套密碼體系于06年發(fā)布實(shí)施，09年TCG申報國際標準時(shí)使用了對稱(chēng)非對稱(chēng)相結合的密碼體制。

　　可信計算需要構建控制模塊，在啟動(dòng)計算機時(shí)，首先啟動(dòng)免疫計算，檢查環(huán)境沒(méi)問(wèn)題以后，再啟動(dòng)CPU、主機。TCG把可信原點(diǎn)放在BIOS內，國內是放在計算機里面，在控制模塊上加一層外部設備的控制，這種方式更安全，通過(guò)操作系統或BIOS攻擊都無(wú)效?？刂颇K和主板融合以后，可以做到動(dòng)態(tài)度量、虛擬度量。

　　如圖3所示紅色的控制模塊，是一個(gè)自成體系、主動(dòng)免疫的軟件，加入到操作系統中，主動(dòng)接管軟件操作系統的控制命令，度量、識別、判別都靠這個(gè)防御策略、規則進(jìn)行處理。

　　三元連接，解決的是核心技術(shù)和資源的問(wèn)題。XP停止服務(wù)以后，沒(méi)人能管補丁了，國家在這方面做了很多工作。

怎樣用科學(xué)計算技術(shù)實(shí)現真正的技術(shù)國產(chǎn)?

　　第一，引進(jìn)?，F在IBM等很多公司非常友好、熱忱，把它的內核、代碼、CPU都開(kāi)放給我們。

　　第二，消化、吸收。

　　第三，創(chuàng )新。以前改造個(gè)界面，建個(gè)功能模塊就當創(chuàng )新，現在要在結構上進(jìn)行重構。重構很重要，更重要的是可信，可信類(lèi)似于人體自我免疫的安全性。但是自主不等于安全，因為剛開(kāi)始自主創(chuàng )新的時(shí)候，肯定是東湊西拼，問(wèn)題很多，留著(zhù)很多Bug給人家攻擊，我們必須用可信來(lái)保障這些Bug不被利用，這樣自主創(chuàng )新的技術(shù)路線(xiàn)才能走下去。

　　第四，可用。嵌入式要引進(jìn)、消化、吸收、創(chuàng )新，需要解決可用問(wèn)題，國內發(fā)布了好多操作系統，都跟人家對接不起來(lái)。之前可信沒(méi)有走出國門(mén)，現在TCG對國內可用計算非常關(guān)注。從計算機角度來(lái)講，重新設計的主板、整機都是可信主機。老的機器用卡、PCI卡等，配上可信軟件、管理軟件，就改造成了可信計算機。

為什么我們可以主動(dòng)免疫呢?

　　前面講到，有平臺支撐的防御體系，能做到主動(dòng)識別資源有沒(méi)有被改變，攻擊必定要修改參數，從系統管理的角度制訂安全規則，保證立即發(fā)現參數改變，馬上處理。

　　第二，如果攻擊行為違背了安全管理策略，檢測到新的異常行為，建議進(jìn)行控制。

　　第三，通過(guò)升級平臺解決異常情況的區別、預警和應急處理：首先，對資源進(jìn)行可信度量，攻擊必定要改變資源;第二，保護重要信息;第三，控制鑒別攻擊行為，對異常的人、行為馬上處置，使攻擊不成。如果產(chǎn)生了攻擊行為，能有效防御它，這樣可以解決很重要的問(wèn)題，特別是高安全等級防護問(wèn)題。(本文根據第13屆全國嵌入式系統學(xué)術(shù)會(huì )議錄音整理，未經(jīng)演講者確認)