工信部区块链论坛 | 密码工程沈昌祥院士:区块链安全与主动免疫可信计算3.0-阿里云开发者社区

开发者社区> 雷锋网> 正文
登录阅读全文

工信部区块链论坛 | 密码工程沈昌祥院士:区块链安全与主动免疫可信计算3.0

简介:

工信部区块链论坛 | 密码工程沈昌祥院士:区块链安全与主动免疫可信计算3.0

在今天举行的中国区块链技术和产业发展论坛成立大会暨首届开发者大会上,国家信息化专家咨询委员会委员,长期致力于我国信息技术密码工程、网络安全等领域的研究工作的沈昌祥院士表示,新的可信技术来解决区块链安全是根本的出路。

“区块链一种共享的分布式数据库,说到底是计算机的系统数据库,记录各方都认定的交易数据,增强透明度和安全性,并且能提高处理效率,中间人工的参与和干预不要了,去中介化了。它本身有安全性,就是用密码来保证交易过程导致的篡改,但是系统如果共建以后,一样的不安全,而且更不安全,完全在数据库系统里面的,所以我们说的安全是系统安全,不光是应用安全。”

沈昌祥说道:“由于数据库和计算机系统,区块链都是为了完善任务去设计的,因此人们的逻辑认识是有限的,是有局限的,不可能把所有的问题都解决了,只能局限于完成计算任务去设计IT系统,因此必定存在逻辑不全的缺陷,从而难以应对人为利用缺陷进行攻击,一般系统是难以顶得住的,尽管区块链有安全密码来验证这个是真是假,但是一旦密码出了问题以后,照样是验证不了。

因此,我们必须从逻辑正确验证、计算体系结构和计算模式等科学技术创新去解决逻辑缺陷不被攻击者所利用的问题。“以前防火墙、入侵检测和病毒防范“老三样”解决不了这个问题,封堵查杀难以应动利用逻辑缺陷的攻击。消极被动防不胜防,超级权限用户的违背安全原则,超级权限用户要什么拿什么,危害着我们安全方面的原则。”

用密码实施身份识别、状态度量、保密存储、及时识别实体和非实体的身份,强调破坏和进入的有害物质,这是根本的错误。我们只能重建主动免疫可信体系,才能有效抵御攻击。可信计算是一种云运算和防护并存的主动免疫的新计算模式,是指计算运算的同时进行安全防护,使计算结果总是于预期一样,计算全程可测可控,不被干扰。


因此安全是相对的,保证原来正确的目标以达到就可以了。

以下是其演讲要点:

今天的会议是区块链重要的启动会,区块链能健康的发展,能立足于各行业,根本的保证是安全。所以我要讲一讲用新的可信技术,来解决区块链安全是根本的出路。

先讲一讲主动免疫可信网络安全有什么优势。可信可用方能安全交互,主动免疫方能有效防护,自主创新方能安全可控,这个完全符合区块链的产业发展。

那么它的安全问题是什么?它是一个计算科学问题,是一个体系结构问题,是一个计算模式问题。区块链一种共享的分布式数据库,说到底是计算机的系统数据库,记录各方都认定的交易数据,增强透明度和安全性,并且能提高处理效率,中间人工的参与和干预不要了,去中介化了,但是依赖于密码加密验证的技术,这个技术使得交易数据块连起来,来表达交易的过程,形成一个链,就是区块链。这也是公开、透明、公共的交易账本,去中心化的传统人工处理,显然是信息化的计算机处理系统,因此保证系统的安全可信是根本。

它本身有安全性,就是用密码来保证交易过程导致的篡改,但是系统如果共建以后,一样的不安全,而且更不安全,完全在数据库系统里面的,所以我们说的安全是系统安全,不光是应用安全。

这个问题怎么引起的呢?我们怎么解决呢?由于数据库和计算机系统,区块链都是为了完善任务去设计的,因此人们的逻辑认识是有限的,是有局限的,不可能把所有的问题都解决了,只能局限于完成计算任务去设计IT系统,因此必定存在逻辑不全的缺陷,从而难以应对人为利用缺陷进行攻击,一般系统是难以顶得住的,尽管区块链有安全密码来验证这个是真是假,但是一旦密码出了问题以后,照样是验证不了。所以我建议白皮书要重点说明系统安全,才能保证区块链健康的发展。

因此,必须从逻辑正确验证、计算体系结构和计算模式等科学技术创新去解决逻辑缺陷不被攻击者所利用的问题。因此,我们说以前防火墙、入侵检测和病毒防范“老三样”是解决不了这个问题的,封堵查杀难以应动利用逻辑缺陷的攻击,消极被动防不胜防,超级权限用户的违背安全原则,超级权限用户要什么拿什么,危害着我们安全方面的原则。

因此我们只能重建主动免疫可信体系,才能有效抵御攻击。美国2005年4月14日美国政府公布了美国总统IT咨询委员会2月14日向总统布什提交的《网络空间安全:迫在眉睫的危机》,否定了美国用大量经费搞的研发,重新调整了研究领域,怎么办呢?我们提出了可信免疫的计算模式和结构,可信计算是指计算运算的同时进行安全防护,使计算结果总是于预期一样,计算全程可测可控,不被干扰,因此安全是相对的,保证原来正确的目标以达到就可以了。

可信计算是一种云运算和防护并存的主动免疫的新计算模式,用密码实施身份识别、状态度量、保密存储、及时识别实体和非实体的身份,强调破坏和进入的有害物质,这是根本的错误。

计算机PC结构是计算机编译和简化产生的,但是把安全可靠防护的措施也简化了,因为当时是假设如果是个人计算机,自己处理自己的,别人没有关系的,所以相互影响或者是相互干扰的措施全部干掉,相当于剩下的没有免疫系统,或者是免疫系统不全的问题。因此我们又提出可信支持的双体系结构,我们一个体系加上去,黄圈里面是可信体系。

只有这样,区块链在新型信息技术的应用,才能安全的运行,构建安全可信的保障体系。云机损、大数据、移动互联网,我们要保障体系结构不被破坏,操作行为不会干扰,资源配置不会错配,数据存储不被剽窃,策略管理不会被篡改,这样保证我们系统的可信安全。

构建可信安全管理中心支持下的积极主动三重防护框架,重点是在数据库的处理,就是计算处理节点上的安全,我们叫可信计算安全,这里面因为篡改,因为破坏,整个就瘫痪了。第二我们要有可信的节点,现在防火墙不解决安全技术的问题,也是超级用户不太合理,原来把进来的男男女女衣服脱光了,这个能解决问题吗?更严重的问题是旁边人都看到了,裸奔了。“棱镜门”利用世界致命防护墙窃取情报,我们有可信的软件,要保证我们交易过程当中保密,是不会篡改,不会假冒,而且有一定的保密性。

还有管理中心很重要,系统资源管理相当于保密室的安全管理,相当于监控室的审计管理。这样我们要求供给者进不去,进去了以后也拿不到,即便拿到了以后也看不懂,想改也改不了。更重要的是攻击行为赖不掉,这很重要,美国情报系统对于我们重要的网站,重要系统进出自由,中国人一概不顾,原因是他们篡改了记录,我们改不了。因此有这样的技术,以前震网、火焰、心脏滴血等不查杀而自灭。

这些技术是怎么来的呢?我们说中国在这一方面的技术有颠覆性的创新,所以我的名字叫中国重启可信计算革命。中国也遇到了安全的严重挑战,尤其是核心机密安全问题,1992年正式立项研究主动免疫的综合防护系统,经过长期攻关,军民融合,形成了自主创新的可信体系,可惜的是我们自己用得不是很广泛,被国际可信组织TCG拿走了。

我们全新可信计算体系框架,自主密码为基础,控制芯片为支柱,双融主板为平台,可信软件为核心,可信连接为纽带,策略管控成体系,安全可信保应用。

更重要的我们有标准,我在国信办的时候,在2000年以前,安全委给了我们9个可信计算的基础,我们完成了标准的起草,可惜没有继续做下去,只发布了三个,但是标准体系应该是创新的,第一打基础,自主密码体系。第二个是构主体,四个主题性质标准,芯片、主板,软件,网络。第三是搞配套,四个配套标准,规范结构,服务器,存储和测评。第四个是成体系,管控应用相关标准,网站、办公、等保等。

我们搞了国际TCG,我们是颠覆性的,我们是革命性的,因为TCG搞的有局限性,是两个方面,一个是密码体制的局限性,是用了现在的RSA,区块链的白皮书也是有局限性,光一个RSA,存在密码理论上不可安全加密性的问题,沿用了上万,这个东西我们比国外的东西比较多,回避了对称密码。

因此,他们搞了很复杂的一些补救措施,一个RSA就搞了七类密匙,证书搞了五类,还是没有解决安全问题。TPM2.0采用了我国的可信密码体制,并成为国际标准,现在已经批准了,TPM2.0标准框架是我们的,他们说感谢中国的创新这句话也去掉了。

第二,体系结构的不合理,还是主要停留在简单工程层面,尚缺乏比较完善的理论模型,TPM外挂,要达到可信,应用程序、操作系统,必须要调用程序库才能达到所谓的可信,现在还是功能性的被动化解,不能解决主动违约的问题。

密码算法创新,我们提出了密码构建和密码模块TCM,具体的密码算法是不对的,密码是一个实体,密码是一个部件,必须有名有姓有管理人。我们提出了对称密码和非对称密码相结合,提高了安全性和效率。现在密码安全的认证问题,对称密码进来,他们很快接受了,现在国际标准是我们的体制。

再就是双证书结构,简化证书管理,提高了可用性和可管性,一个是设备证书,一个是应用证书。

体系结构的创新,自主创新密码体系讲过了,主动度量控制芯片,再就是计算可信融合主板,我们是计算跟可信两个节点高度融合的主板,在主板我们已经做成了在CPU上融合。双体系的核心软件TCG是一个支撑库,我们不是大脑指挥,是大脑也去支撑,因此构成了双体系。三元三层的可信连接。

所以现在是新的时代,那么1.0是什么样的,可信计算出现得比较早,在八十年代就出现了,一个是美国国防部有白皮书,软件功能上差一些。更重要的是运输机构利用可信这种度量办法,使得主机可靠性,主机去保护对象,计算机部件,采用冗余备份,故障诊查,还有容错算法。    

那么2.0是PC时代,节点安全性,真正成规模是TCG出现了以后,对PCG实现可信的保护,以PC单机为主,功能模块,是被动度量的,平台是TPM+TSS软件库。

3.0是网络系统,系统免疫性,节点虚拟动态链,宿主+可信双节点构成的结构,主动免疫的密码技术,形态是可信免疫架构。

3.0有很好的可信,比如说基于密码为基础的,计算复杂性,可信验证。应用适应面,取决于系统的安全需求,我们通过策略的制定来适应安全需要。安全强度,强可抵御未知病毒,未知漏洞的攻击、智能感知。保护目标,统一管理平台策略支撑下的数据信息处理可信和系统服务资源可信,技术手段,密码为基因,主动识别,主动度量,主动保密存储。防范位置是行为的源头,成本很低,可在多核处理器内部实现可信节点,现在主板上加一个芯片也是可以的。实施难度怎么样?比一般的可信计算的调用要容易得多,既可使用与新系统建设也可进行旧系统改造。对业务的影响,不需要修改原应用,通过制定策略进行主动实时防护,还有业务性能影响3%以下。

那么能不能解决问题,解决了没有?回答是肯定的,我们坚持自主可控、安全可信的技术路线,《国家中长期科学技术发展2006-2020年明确提出了以发展高可信网络为重点,开发网络安全技术及相关产品,建立网络安全技术保障体系。十二五规划有关工程项目都把可信计算列为发展重点。最近公布的《网络安全法》第15条增加了推广安全可信的网络设备和服务。

中关村可信计算产业联盟于2014年4月16日正式成立,经过两年多运行,已有十多各专业委员会,发展迅速,成绩显著。中国可信计算已经成为保卫国家网络空间主权的战略核心技术,也是世界网络空间斗争的焦点。最近美国国防部高级研究计划局公布了第三次抵消战略(应对下一代敌人的下一代技术),把高可信网络军事系统列为重点项目。

国内权威媒体进行高度评价,新华社《中国名牌》发表了“可信计算:网络安全的主动防御时代”。

中国程序员抢占网络空间安全核心技术战略制高点,微软公司将正式停止对win XP的服务支持,强推可信的W8,严重挑战我国的网络安全。日本国内运行2亿台终端升级为W8,不仅耗费巨资,还失去了安全控制权和二次开发权。因此我们给总书记建议,总书记批示,政府采购不采购W8。我们有可信,可是问题又来了,W10又出来了,宣布停止非可信的W7,而且把服务器等其他的版本都升级为可信,以前W8是终端的,而且移动终端、服务器、云计算、大数据等全面执行可信版本,强制与硬件TPM芯片配置,并在网上一体化支持管理,可谓可信全面管理一网打尽。

按照国家网络安全审查制度,成立安全审查组,我们按照WTO的规则,要尊重销售国家的有关法律法规和有关标准,开展对W10的安全审查。我们要遵守我国电子签名法和商用密码管理条例,必须进行本土化改造,其中数字证书、可信计算、密码设备必须是国产自主的。这三个东西国产化了以后,才是真正的国产化,如果不是这样的,那是挂羊头卖狗肉。为此以改革开放、合作开发、互利共盈的原则,成立了合资公司,开始了一场新的博弈,引进必须安全可控。必须要坚持这一点。

要做到“五可”“一有”,第一是可知,所有的权威厂商对合作方开放全部源代码,要心里有数,不能盲从,更重要的是可编,我中国的源代码要能用,要能编。要创新,要重构,要构成中国的逻辑,中国的体系结构。第四是可信,通过可信计算技术增强自主系统免疫性,防范漏洞影响系统安全性,是国产化真正落地,保证国产化健康进行。第五是可用,做好应用程序和操作系统的适配工作,确保自主系统能够替代国外产品。

一有就是自主知识产权,要对最终的系统拥有自主知识产权,并处理好所使用的开源技术的知识产权问题。坚持核心技术创新专利化、专利标准化,标准推进市场化,要走出过门,成为世界名牌。

我们经历了长期的军民融合,经过了军方的验证,现在有三个形态的设备,可以构建可信网络,一个是系统重构可信主机,老机器怎么办?主板上可以插一个PCI可信控制卡,配接USB可信控制模块,可以把新老体系融合在一块,构成一个长期的可信,能达到手动连接,能主动识别。控制,安全管理,制定可信主、客体间访问规则。还有报警。

我们自己有漏洞,也会被人家所利用,功能上保证了,因为资源可信高量了,数据可信存储,行为可信鉴别,用大数据处理发现它的规律,发现了新的攻击源和新的病毒,这样要实施高安全等级可信防护体系,更重要的是网络化可信支撑环境,去年年底可信联盟发布了互联网平等的可信支撑的平台。

说了半天,解决了哪个系统的安全问题?重要核心系统规模化建设应用,说两个吃螃蟹的事,第一个是国家电网电力调度系统安全防护建设,去年年底乌克兰大面积停电,就是攻击了电力调度系统的服务器系统,需要加命令,电力系统在5、6年以前,以可信计算架构实现等级保护四级,这是发改委14号令。电力可信计算密码平台已在34个省级以上调度控制中心和59个地级调度控制中心上线运行,覆盖了上万台服务器,确保了运行安全。我们攻克了乌克兰的攻击,解决了关键的问题,第一你是不是主动的免疫,第二,实现了可信保障机制,使得系统运行效率有限降低,第三,他们提出来一个很成熟的D5000的软件,不需改动源代码,一个是你改不起,改一条指令,要重新实施,重新考核,重新评估,再就是改不了,D5000软件进行了近十年的努力建立起来的上。从安全原理上不能改,改是很忌讳的事。

中央电视台可信制播环境建设,5、6年以前他们提出了很伟大的方案,把所有的电视记录的电视播放全部计算机网络来实施,构建了网络制播的可信计算安全技术体系,建立了可信、可控、可管的网络制播环境,达到了四级安全要求,确保节目安全播出。我以前觉得很不放心,内部适用研究,但是四五年的安全运行,老台也用了,新台也用了,在重要的环节上,保证了从编排到播出的整个流程,保证安全的播出。我们可信做得还是比较粗,是老三样的改造,但是可以证明这个功能和技术,能解决目前一些难题,但是我们要加倍努力,进一步细化可信计算,把它做得更好。


本文作者:温晓桦

本文转自雷锋网禁止二次转载,原文链接

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

秉承“关注智能与未来”的宗旨,持续对全球前沿技术趋势与产品动态进行深入调研与解读。

官网链接