可信計算

[編者按]隨著信息技術的發展和網絡應用拓展，可信計算已經成為當前學術界和工業界的研究熱點。本講座將分3期對可信計算的內涵、關鍵技術和未來進行討論：第1講從可信計算的演進過程簡單敘述可信計算技術發展歷程、可信計算的定義和范疇、相關研究領域；第2講從技術的角度探討可信計算研究的系統架構、主要關鍵技術及其當前研究的熱點問題；第3講介紹可信計算的應用模式和未來。

中圖分類號：TN91文獻標志碼：A 文章編號：1009-6868 (2012) 04-0059-04

隨著信息技術的發展和網絡應用的拓展，信息化系統已經成為現代社會的重要組成部分，并且越來越表現出人類社會所獨有的特征。尤其是隨著網絡技術的發展，信息化系統架構已經從由點式孤立計算結點松散耦合的基礎架構，演進成為具有分布式大規模協同特性的海量計算、動態可重構的移動計算以及無處不在的普適計算等多種組織形態。然而，從另一方面看，計算的多樣化特征和復雜性的增強必然導致信息化系統的脆弱性增加、安全性與可靠性降低，這些在信息化早期階段容易被忽略的非功能性問題已經成為當今阻礙信息化進一步飛躍式發展的重大障礙。

為此，學者們已經不滿足于傳統的“利用計算機系統模擬人類思維、解決科學問題”的計算模式，正試圖利用人類社會進步的成功經驗、將人類社會所獨有的特征形式融入到信息化系統架構之中，并以此來進一步促進信息化應用的拓展和人類社會的進步。可信計算正是這樣一種將人類社會的信任機制引入到信息化系統建設之中的技術，也是人類對計算模式探索的一種全新嘗試。

1 可信計算的發展歷史

在可信計算概念的形成和關鍵技術的演進過程中，容錯計算、操作系統安全、信息安全、信息系統安全管理等領域知識的不斷融入使得可信計算的含義不斷擴展，由傳統的側重于硬件的可靠性、可用性、安全性等系統實現，演進到提出硬件平臺可信、軟件系統可信及其系統綜合可信，再進一步拓展至適應網絡安全需求的行為可信乃至基于信息化系統的透明可信服務的發展歷程。

可信計算最初來自于容錯計算領域，對其研究可以追溯到第一臺計算機的研制。歷史上第一臺計算機由于工藝上的限制，導致組成計算機的組件可靠性不足以支撐計算機完成一個任務的計算時間，也即計算機系統的可靠運行時間低于一個任務的執行時間，“用不可靠性的部件來組成一個高可靠性的系統”就成為研制人員需要首先解決的問題。為此，人們利用“冗余設計”技術實現了這一設計目標，容錯計算也由此成為計算機領域具有最悠久歷史的學術研究方向之一。之后，隨著硬件工藝的進步和技術的發展，容錯計算的研究內容不斷拓展，逐步涵蓋了計算機系統可靠性、可用性、正確性、可測試性、魯棒性等諸多非功能性屬性。同時，隨著軟件規模和復雜性的增強以及軟件危機的出現，容錯計算的研究重心逐步擴展并提出以軟件可靠性設計（主要涵蓋軟件避錯設計、軟件容錯設計和軟件改錯設計）來改進軟件開發過程、以可靠的人機接口技術以改進操作故障、引入人為惡意故障分析以解決安全問題等領域。1982年容錯界首先提出“可信計算與容錯”，以及可信計算的概念，在1992年隨著《可信：基本概念和術語》一書的出版，可信計算被正式引入，并且可信涵蓋的計算機系統屬性也被分類，計算機系統的所有屬性（包括可靠性、可用性、安全性、可維護性、可測試性、魯棒性等）試圖被統一在可信這一概念之下。然而，學術界隨后的爭論表明以可信性來統一全部的計算機屬性集這一思路并未能成為計算機領域所有專家和學者的共識。

但是，以容錯計算研究學者為核心的學術研究并沒有停止繼續探索，而是逐步將容錯計算的核心研究擴展至以可信計算為核心的研究道路上：1999年IEEE太平洋沿岸容錯系統會議更名為IEEE可信計算會議；2000年IEEE國際容錯計算會議(FTCS)與國際信息處理聯合會(IFIP)10.4工作組主持的關鍵應用可信計算工作會議合并，并更名為IEEE可信系統與網絡國際會議（ICDSN）；2000年美國卡內基梅隆大學與美國國家航空航天局(NASA)的Ames研究中心牽頭成立了高可信計算聯盟；2004年IEEE的可信與安全期刊創刊，并在創刊號中首次明確給出了可信和安全屬性劃分（如圖1所示），指出可信包含的計算機屬性主要有可用性、可靠性、平安性、完整性和可維護性，安全性包括的計算機屬性主要有可用性、機密性和完整性。此后，雖然可信計算和安全計算兩者之間存在領域和邊界劃分之爭，但是這已不再是爭論的重點，學術界更關注的是將容錯技術、安全技術、管理技術等相關技術融合，探索以可信與安全為核心的信息系統安全保障新思路和新方法。

在以容錯計算學術圈為主導、圍繞著以可用性為核心進行可信計算研究的同時，從20世紀60年代起，由安全計算學術圈為主導的研究學者則沿著以安全性為核心的思路開始對另一種可信計算進行研究。其初衷是來自于“容錯技術無法完全解決操作系統對于共享資源的安全訪問問題”，其標志性研究成果包括：1969年第一次運用主體、客體和訪問矩陣對訪問控制問題進行了抽象；1972年提出了監控機、驗證機制、安全核和安全建模等思想；1983年美國國防部國家計算機安全中心制訂的《可信計算機系統評價準則TCSEC》，第一次提出了可信計算機和可信計算基的概念，并于1987年進一步對網絡、系統和數據庫提出了3個解釋性文件，即可信網絡解釋(TNI)、計算機安全系統解釋(CSSI)和可信數據庫解釋(TDI)，形成了安全信息系統體系結構的最早原則。隨著計算機系統自身的可靠性和可用性等非功能性屬性日益受到重視，以安全為核心的學者開始將原來容錯計算研究技術有意識地融入，安全和容錯也逐步開始融合，這帶來的直接成果是產業界開始重視并推動以安全和可靠為中心的可信計算機系統研發：1999年由Intel、Compaq、HP、IBM、Microsoft發起成立了可信計算平臺聯盟(TCPA)，力圖利用可信計算技術構建一個通用的終端硬件平臺。為此，TCPA于2001年發布標準規范v1.1，試圖統一和規范可信計算平臺發展。2003年TCPA改組為可信計算組織(TCG)，成員擴大為近200家，使得可信計算在產業界迅速普及[1-2]。

在中國，可信計算研究起步較早，主要是以中國計算機學會容錯計算專業委員會為主、產業界積極參與而逐步發展起來的，并且無論在學術研究和產業發展方面都取得了較好的成果。關于可信計算研究的重要事件包括：早在20世紀90年代，中國的公司就開發了個人計算機安全防范系統，實現了可信防范，其功能和結構與TCG提出的可信計算平臺近似；2000年，中國可信安全計算機研發工作已經啟動；2002年，中國信息產業商會信息安全產業分會成立，該分會提出了可信網絡體系結構框架(TCAF)，該計劃針對中國信息化體系結構設計核心可信平臺，并給出了體系結構與標準方法的概念、模型、方法、定義、引用和分級；2004年，第一屆中國可信計算與信息安全學術會議在湖北武漢召開，會議上具有自主知識產權的可信計算機產品開始面市；2005年，中國成立了國家安全標準委員會WG1可信計算工組小組，專門規劃可信計算相關標準；2006年，國家密碼管理局主持制訂了《可信計算平臺密碼技術方案》和《可信計算密碼支撐平臺功能與接口規范》兩個規范，標志中國開始規范可信技術；2007年，在中國信息安全標準委員會的主持下，相關專家制訂了一系列的可信計算標準，包括芯片、主板、軟件、網絡連接、測評等標準；2007年，國家自然科學基金委啟動了“可信軟件重大研究計劃”，標志著國家對可信軟件研究的高度重視；2008年，中國可信計算聯盟(CTCU)成立，成員包括國家級科研院所、計算機廠商、信息安全廠商和應用商，這標志著中國在可信計算研究方面正逐步由理論研究轉化為產業、進入到實質性的實現階段，并逐步開始應用到政府和軍事等領域。

2 可信計算的定義和屬性

由可信計算發展歷史可知，容錯計算領域和安全領域不同研究團體分別沿著不同的思路，最終形成了可信這樣用以描述計算機系統可用性和安全性的一個整體性、包容性的系統概念。中文中廣義的可信計算，在不同領域對應的英文有很多描述，典型的包括“Dependable Computing”（翻譯為可信賴計算）、“Trusted Computing”（翻譯為信任計算）、“Trustworthy Computing”（翻譯為值得信賴的計算）等。在國際上，對于可信的定義也有很多種。

?可信計算組織用實體行為的預期性來定義可信：如果一個實體的行為是以預期的方式符合預期的目標，則該實體是可信的。

?ISO/IEC 15408標準定義可信為：一個可信實體（包括組件、操作或過程）的行為在任意操作條件下是可預測的，并能很好地抵御應用程序、病毒以及物理干擾造成的破壞。

?國際上容錯學術界最初定義可信為：一種能夠被證明是可信賴服務的能力，然而該定義依賴于對信賴的判定。因此，隨后將系統可信定義為：該系統能夠避免發生超出可接受服務失效的能力。

?中國沈昌祥院士定義可信為：一個實體在實現給定目標時其行為總是如同預期一樣的結果，強調行為結果的可預測和可控制。

?還有一些學者的定義包括：可信≈安全+可靠，可信計算系統是能夠提供系統可靠性、可用性、信息和行為安全性的計算機系統；可信性是考查行為預期性的滿足，這種預期性滿足是在多主體多行為范疇內，對行為性質、行為輸入輸出、行為過程、行為屬性等方面符合必須遵守的要求、約定、規定、規則、法律的滿足性認識與評價。

與上述定義相對應，與計算機系統可信相關的屬性主要包括可靠性、可用性、平安性、完整性、可維護性、機密性等，并可以延伸至可生存性等相關屬性，其含義分別如下：

?可靠性，正確服務的連續性

?可用性，正確服務的易獲得性

?平安性，對用戶和環境不會發生災難性后果

?完整性，不會產生不正確的系統選擇

?可維護性，可以修改和修復

?機密性，不會產生非授權的信息泄露

?可生存性，系統在規定的時間內完成任務的能力

可信計算的思想借鑒于人類社會的信任體系，為此可以歸納出信任的屬性：

?信任是一種二元關系，邏輯上可以是一對一、一對多（個體對群體）、多對一（群體對個體）或多對多（群體對群體）

?信任具有二重性，既具有主觀性又具有客觀性

?信任不具有對稱性，即A信任B，未必B信任A

?信任可度量，即信任可以劃分等級

?信任可傳遞，但是在傳播過程中可能有損失，傳遞路徑越長，損失可能性越大

?信任具有動態性，即信任與環境（上下文）和時間等因素相關

可信計算正是基于信任的思想，以可信基為核心（該可信基不受不可信主體的干擾和篡改），通過信任的層層認證和擴展以實現信息系統的可信任性。

3 可信計算的研究領域

從廣義上看，可信計算當前主要研究內容包括可信賴計算、安全計算和信任計算，它們分別針對不同的應用要求：

?可信賴計算主要針對元器件、系統和網絡，對包括設計、制造、運行和維修在內的全過程中出現的各種故障進行故障檢測、故障診斷、故障隔離與屏蔽、故障容忍、系統備份、系統應急維修、故障修復和動態重構等一系列工作，領域涵蓋容錯計算、可生存計算、系統災備等，其核心在于提高系統的可靠性、可用性、生存能力和提供連續服務的能力。

?安全計算主要針對系統和網絡運行過程中的人為惡意攻擊，通過信息加密、身份認證、信息隱藏等技術手段防止信息的非授權泄露、保證系統的安全可控，領域涵蓋信息安全、信息安全管理、系統檢查與審計等，其核心在于保證信息機密性，提高系統安全性。

?信任計算則是近年提出的一種系統安全實現方法，源自早期的安全硬件設計，其基本思想為假定真實性可以用以度量并且不考慮度量中的損失，給出了一個可信在實體間傳遞的方法——在計算機系統中首先建立一個信任根，再建立一條信任鏈，一級度量認證一級，一級信任一級，并把信任關系擴大到整個計算機系統，從而確保計算機系統可信。由于該方法得到產業界的極力宣傳和推廣，因此，也有人將信任計算當作是可信計算。

事實上，可信賴計算、安全計算和信任計算在研究內容上有一定程度的交叉和混合，可信計算實際上是對三者研究的綜合。

從狹義上看，中國也有不少文獻將可信賴計算和信任計算籠統地稱為可信計算。

3.1 可信賴計算

可信賴計算來自容錯計算的拓展，因此其研究領域除了包括容錯計算傳統的系統故障模型、容錯設計模型、系統架構模型和系統評價模型外，也逐步將系統可測試性模型、系統魯棒性模型、拜占庭故障模型（人為惡意模型）、系統災備模型等納入到研究范圍內，并進一步發展形成了可生存計算、可恢復計算等研究方向，從而使該研究變得豐富多彩?？尚刨囉嬎愕闹饕芯績热轂椋?/p>

?系統故障模型研究主要研究計算機系統（進一步拓展至各種形式的網絡系統）的故障類型、故障—錯誤—失效機理、故障傳播與演進模式等，研究重點逐步從傳統的硬件故障、軟件差錯等拓展至研究設計故障、災難故障、操作故障、網絡故障散播模型等內容。

?容錯設計模型研究主要研究系統設計過程容錯技術的綜合運用，隨著硬件工藝的發展，系統設計故障在系統總故障中占據了越來越重要的地位，容錯設計模型則是綜合運用避錯技術、容錯技術和改錯技術來改進系統的開發過程，從而提高系統可靠性和可用性。

?系統架構模型研究主要研究計算機及其網絡系統的動態運行機制，尤其是在錯誤發生后的系統動態重構技術，同時近年來隨著移動網絡、自組織網絡、乃至物聯網的興起，容錯技術被大量引入到這種動態變化率高的網絡架構設計之中。

?系統評價模型研究主要研究引入冗余技術后的系統可信性評價，尤其是對軟件可靠性模型、系統測試模型的研究較為深入。

?系統可測試性模型研究主要研究系統開發或設計過程的可測試性設計，即專門為測試而進行的系統級設計，由于系統復雜性程度越來越高，因此提高系統的可測試性、快速查找系統隱患就成為一項極具挑戰性的任務。

?系統魯棒性模型研究主要研究非正常系統輸入情況下的系統反應，研究重點是高效率魯棒性測試方法及其引申出的系統異常處理模型。

?拜占庭故障模型研究主要研究是將人為惡意故障引入到傳統的故障模型之中，重點研究網絡條件下具有惡意欺騙性質的拜占庭相關協議和實現策略。

?系統災備模型研究主要研究災難條件下的系統備份、應急和恢復的策略、方法等，尤其是在中國“數據大集中”信息化發展戰略模式中并且信息脆弱性增強的現實條件下，災備系統模型研究正日益受到關注。

3.2 安全計算

一般來說，人們認為安全計算是可信計算中的重要組成部分，認為其是可信計算中用于保護系統抵御惡意攻擊的基礎性內容。安全計算對于可信計算的主要貢獻在于實現了以密碼學為基礎的信息安全保障。事實上，安全計算中的諸多技術（包括密碼算法、身份識別技術、防病毒技術，甚至是數字水印技術、信息隱藏等專用領域相關技術）都可以用來提高信息系統的信任程度，能夠為網絡行為可信提供基礎性依據和保障措施。

然而，也有一些學者認為可信計算應劃歸為信息安全的研究范疇，認為在信息安全所具有的4個側面（設備安全、數據安全、內容安全與行為安全）中，可信計算可以歸屬于行為安全，是對計算機用戶行為安全的一種描述。具體來說，行為安全包括行為的機密性、行為的完整性、行為的真實性等特征，而可信則是這些屬性綜合的主觀反映。

無論上述何種觀點，普遍的共識是可信計算和安全計算兩者相互重疊和交叉，領域和范疇的界限在學術界和工業界都存在爭議，難以明確劃分歸屬。

3.3 信任計算

信任計算作為一種保障信息系統可用性和安全性的實現技術，其核心在于要對計算機及其網絡系統的信任性進行判斷，并以此作為判斷行為安全的依據。因此，信任計算中需要確認的信任關系主要包括：

?計算機及其網絡使用者的身份是可以信任的

?計算機及其網絡的平臺是可以信任的

?計算機及其網路運行環境是可以信任的

?平臺內運行應用程序是可以信任的

?網絡環境下平臺間的互信可以被驗證

基于上述信任關系的運用和驗證，信任計算主要研究的內容包括可信計算架構、可信計算平臺、可信計算支撐軟件、可信計算應用軟件、可信人員驗證等。目前，全球的相關研究都還處于起步階段，并且主要集中于以可信計算平臺為主進行的研究。

在信任計算工程化和實用化研究過程中，TCG起到了很大的作用：它為信任計算設計了一個規范文檔線路圖，包括從硬件安全芯片到可信軟件棧，從安全個人計算機客戶端和服務器到可信網絡連接及可信存儲，從總體的體系結構到具體的操作接口，形成了一個統一的整體，其架構如圖2所示。 (待續)

4 參考文獻

[1] Avizienis a, Laprie j c, Randell b,et al. Basic Concepts and Taxonomy of Dependable and Secure Computing[J]. IEEE Transactions on Dependable and Secure Computing, 2004, 1(1): 11-33.

[2] SHEN Changxiang, ZHANG Huanguo, WANG Huaimin, et al. Research on Trusted Computing and its Development[J]. Science China:Information Sciences, 2010, 53(3): 405-433.

收稿日期：2012-05-19

作者簡介

姚文斌，北京郵電大學計算機學院教授、博士生導師，主要研究方向為可信計算、信息安全、災備技術等；已發表論文60余篇、申請國家發明專利20項、制訂國家標準1項、通信行業標準3項。