中国可信计算机走向世界核心技术领
2008-5-28 17:54:55 文章来源:中国计算机安全
日前,中国可信计算机联盟(CTCU)在国家信息中心正式成立。CTCU的成立,不仅对构建我国自主知识产权的可信计算机平台起到巨大的推动作用,也标志着我国的信息技术企业正在走向世界信息技术的核心领域。
目前在国内的信息安全市场上,可信计算技术的研究越来越活跃。2006年之前主要是跟踪仿效国际可信计算联盟的标准规范推出了相应的芯片和样机。比如,瑞达信息安全产业股份有限公司,于2004年6月推出了国内首款自主研发的具有可信计算机芯片(TPM)功能的可信安全计算机,其SQY14嵌入密码型计算机具有自主知识产权,除了在安全计算机的系统结构和主要技术路线上与可信计算组织(TCG)的可信PC规范一致外,还在技术上有所创新,为可信计算平台的研制和推广进行了试验。2005年,TCG会员联想推出了“恒智”芯片及其样机,其技术标准采用了TCG规范。同年,兆日科技推出符合可信计算联盟(TCG)技术标准的TPM安全芯片,并已经开展了与长城、同方等多家主流品牌电脑厂商的合作。兆日科技的安全芯片也在国家密码管理局立项,同时在国际上得到承认,与Atmel、Broadcom、Infineon等品牌并称为国际六大TPM芯片。这一阶段,可以说是我国安全计算机的试验阶段,虽然各个厂商推出基于TPM的安全计算机,但市场反应冷淡,主要是因为密码政策、安全应用等问题。
2006年后,深圳中兴和瑞达完成了可信密码模块样片,利用这些样片,长城作为国产计算机的代表之一推出了安全计算机,瑞达也推出了可信计算机,有一定的范围内进行了试点应用,联想等也开发了可信安全计算机的样机,正在准备推广应用。
在可信计算产业链上,值得一提的是可信计算除了芯片之外,更重要的是对操作系统和系统软件的支持。北京中软华泰信息技术公司,集多年操作系统研发功力,致力于操作系统安全和计算机终端安全体系结构研究,并取得了很大成效,其安全操作系统,以可信计算为基础,达到了《计算机信息系统安全保护等级划分准则》(GB17959-1999)三级以上的保护等级。
从国外情况看,国外工业界从芯片、主板,到整机均由不同的厂商参与,在产业链的迅速构建上,有其独到的优势。他们采用的是一种分工合作的方式,整体产业力量强,一旦形成标准规范,整个产业发展会比我们快得多。因此,若想增加我国可信计算产业的核心竞争力,保护国家安全,尽早出台可信计算机标准,形成本国“从上到下,从硬到软”的可信产业链,才能真正的掌控可信计算的核心。
中国计算机安全
可信计算密码规范与标准制定情况
2005年12月,由北京工业大学牵头、组织,包括国内知名芯片厂商和国内可信计算产品研发的公司和科研单位,组成“可信计算密码支撑平台联合工作组”,国家信息化专家咨询委员会委员、中国工程院院士沈昌祥为组长。 2006 年,在北京工业大学进行长达九个月阶段性封闭式集中攻关,编写了可信计算平台密码方案,解决了可信计算平台中的密码这个核心,分别两次在密码管理局召开专家讨论会,而后又进行“可信计算密码规范”和“可信计算平台密码规范测评规范”的编写。8月在国家密码管理局召开课题验收会,课题验收意见指出:“《可信计算平台密码规范》和《可信计算平台密码测评规范》研究报告结构清晰、内容完整、表述准确,在算法使用、密钥管理、授权协议、证书管理等方面有创新,体现了以我为主、自主创新的研究目的,为形成我国可信计算平台密码相关标准和专利奠定了良好基础,为推动我国可信计算产业发展提供了有力的密码技术支撑。”
2006年10月,由国家信息化专家咨询委员会委员、信息安全国家重点实验室主任冯登国和联想集团等企业进行工程验证,工程实践证明了《可信计算平台密码规范》具有创新性、科学性和可行性。
2007年2月,全国信息安全标准化技术委员会下达“可信计算关键技术标准”,由北京工业大学联合信息产业部电子第四研究所(中国电子技术标准化研究所,简称CESI)、深圳华为技术有限公司、中国长城计算机集团、上海中标软件公司等十三家单位,研究制定“可信平台控制模块规范”等四个面向主机的标准,解决了芯片、软件栈、主机平台和网络连接基本结构等主要问题。目前,已经完成了“可信计算平台密码规范”,“可信平台控制模块规范”,“可信计算基础支撑软件”,“可信平台主机规范”,“可信网络连接规范”草案,形成了可信计算标准系列的主体框架。有了标准引导,芯片厂商和整机厂商就可以按照相应的密码规范、芯片规范和软件接口,搞好产品规划,研究设计方案,开发出相应的产品。
可信计算密码规范与标准的制定,必将为我国可信计算的发展方向和广泛应用起到基础性的引导和促进作用。
可信计算的发展重点和战略意义
“可信计算主要是解决个人计算机(PC)结构缺陷引起的信息系统出现的很难对付的信息安全问题。”――沈昌祥
中国工程院院士、国家信息化专家咨询委员会委员沈昌祥认为,大型计算机出现以后,由于结构复杂、价格昂贵,不利于推广。后来,随着科技进步,以及计算机的逐步推广,最后产生了主要供个人使用的PC机。PC机因为简化了计算机结构,成本也得到降低,它对普及计算机起到了非常大的促进作用。但随之而来的是安全问题,PC机软、硬件结构的简化,导致资源可任意使用,尤其是执行代码可修改,恶意程序可以被植入。在网络时代,这个问题更加突出。黑客可以利用计算机结构上的缺陷,植入木马,随便读取空间里面的数据。要解决其安全问题,就必须从芯片、硬件结构和操作系统等方面综合采取措施,开发可信计算平台,这个平台要具备的基本功能包括:数据隔离与保护、身份认证、可信度量、存储与报告等。研发自己的可信计算技术,既是国家安全的需要,也是经济发展的需要。
我国目前采用的信息产品存在严重的安全隐患。由于关键信息产品都是来自国外,安全后门普遍存在,我国IT基础产业的薄弱也制约了信息安全技术的发展,信息安全尖端技术多掌握在外国公司手中。在经济发展方面,中国用户使用国外软硬件产品须支付巨额版权费,而且遏制了国内软硬件技术和产品的发展。因此,要摆脱这种局面,就必须大力扶持信息安全技术的国产化,鼓励相关国家标准的制定。
目前,国外可信计算平台的研发已经取得了一定进展,如Windows Vista就具备了可信计算功能,实现了密码存储保密、身份认证和完整性验证,以及版本不能被篡改、防病毒和黑客攻击等功能。
相对于国外,我国的可信计算技术几乎与国外同时起步,从2000年国家开始立项,到瑞达、联想、兆日、天融信、卫士通等公司相应的实际研究工作,已经推出了一些可信产品和相关标准,可谓“开展不晚,起步不低”。
目前我国可信计算技术发展的重点包括:一是基于可信计算技术的可信终端,这是发展产业的基础;二是高性能的可信计算芯片,这是提高竞争力的核心,是体现国家主权与控制的聚焦点,也是竞争能力的源动力;三是可信计算理论和体系结构,这是持续发展的源泉;四是可信计算应用关键技术,这是产业化的突破口;五是可信计算相关标准规范,国家标准关系到国家信息安全和经济利益。
我国的信息安全建设,正处在一个关键时期。我们必须走符合我国国情的发展道路,加强联合、自主创新,发展自主可控的信息安全产业,从而满足我国信息化建设的迫切需要,促进我国信息安全事业的发展。大力发展和推进我国的可信计算技术与产业,具有极其重要的战略意义!