可信計算在國產(chǎn)商用密碼產(chǎn)品中的應(yīng)用

◆王泉景

（北京得安信息技術(shù)有限公司 北京 100032）

可信計算在國產(chǎn)商用密碼產(chǎn)品中的應(yīng)用

◆王泉景

（北京得安信息技術(shù)有限公司 北京 100032）

可信密碼安全產(chǎn)品融合現(xiàn)有的安全機(jī)制，依托可信計算關(guān)鍵技術(shù)，為現(xiàn)有系統(tǒng)提供可信支撐，打造可信計算應(yīng)用環(huán)境。計算機(jī)信息系統(tǒng)通過可信計算支撐平臺形成自免疫能力，以抵御未知惡意代碼攻擊。

可信計算; 密碼技術(shù); 商用密碼產(chǎn)品

0 前言

2016年04月19日，習(xí)近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會上指出 “保障互聯(lián)網(wǎng)安全、國家安全，就必須突破核心技術(shù)這個難題”。在電子政務(wù)等領(lǐng)域，需要對國產(chǎn)商用密碼產(chǎn)品，如服務(wù)器密碼機(jī)、簽名驗(yàn)簽服務(wù)器、VPN網(wǎng)關(guān)機(jī)的自主可控、安全性具有更高的要求，對國產(chǎn)CPU、國產(chǎn)操作系統(tǒng)、可信計算等都有要求。

十三五期間，黨中央、國務(wù)院加大了對網(wǎng)絡(luò)安全的重視，并在《國民經(jīng)濟(jì)和社會發(fā)展第十三個五年規(guī)劃綱要》中明確提出要進(jìn)一步“完善重要信息系統(tǒng)等級保護(hù)制度”。我們將健全完善以保護(hù)國家關(guān)鍵信息基礎(chǔ)設(shè)施安全為重點(diǎn)的信息安全等級保護(hù)制度。

沈昌祥院士提出的可信計算體系已經(jīng)成為保衛(wèi)國家網(wǎng)絡(luò)空間主權(quán)的戰(zhàn)略核心技術(shù)，也是世界網(wǎng)絡(luò)空間斗爭的焦點(diǎn)。

可信計算支撐平臺以可信計算技術(shù)為基礎(chǔ)，以GB/T 25070-2010《信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》為依據(jù)，讓操作系統(tǒng)具備了自免疫能力，讓計算機(jī)有了自己的免疫“白細(xì)胞”。可信計算支撐平臺實(shí)現(xiàn)了主動防御，有效解決了系統(tǒng)被未知漏洞、未知病毒、未知木馬攻擊而造成的風(fēng)險，能夠解Windows XP停止服務(wù)所帶來的安全問題，達(dá)到等級保護(hù)三級以上安全需求，為等級保護(hù)四級結(jié)構(gòu)化系統(tǒng)建設(shè)提供安全支撐和保障。

1 傳統(tǒng)商用密碼產(chǎn)品安全需求

傳統(tǒng)商用密碼產(chǎn)品使用的計算機(jī)體系結(jié)構(gòu)在設(shè)計時“重功能，輕保障”，沒有考慮安全因素，如系統(tǒng)任務(wù)難以隔離、內(nèi)存無越界保護(hù)、自身安全機(jī)制容易被篡改和旁路等。

傳統(tǒng)商用密碼產(chǎn)品存在非法接管系統(tǒng)管理員權(quán)限等風(fēng)險。

傳統(tǒng)商用密碼產(chǎn)品主要基于掃漏洞、打補(bǔ)丁和利用特征庫識別惡意行為等被動防御機(jī)制，不能滿足高等級的安全需要，特別是針對滲透攻擊缺乏有效的防御手段，這直接導(dǎo)致了存在大量安全問題，如源配置可被篡改、惡意程序被植入執(zhí)行、利用緩沖區(qū)（棧）溢出攻擊等。

傳統(tǒng)商用密碼產(chǎn)品安全建設(shè)采用分散管理的方式，一方面各產(chǎn)品難以聯(lián)動，不能構(gòu)成整體防御，另一方面運(yùn)維效率較低且缺乏預(yù)測能力。

2 商用密碼產(chǎn)品應(yīng)用可信技術(shù)

2.1 可信商用密碼產(chǎn)品的防御

可信白名單技術(shù):采用可信白名單的技術(shù)使商用密碼產(chǎn)品的內(nèi)部程序只有在白名單中才能運(yùn)行，不在白名單的程序?qū)⒕芙^執(zhí)行。在終端軟件安裝時可自動采集本地執(zhí)行程序形成白名單，以后需通過管理中心下發(fā)白名單策略。

TCM模塊:采用支持國產(chǎn)密碼算法的 PCI-E密碼卡，提供高速的數(shù)據(jù)加解密、數(shù)字簽名以及驗(yàn)證簽名等安全服務(wù)，是電子商務(wù)、電子政務(wù)等網(wǎng)絡(luò)安全建設(shè)中重要安全設(shè)備。使用了雙體系結(jié)構(gòu)，實(shí)現(xiàn)了可信功能和普通密碼卡功能。該密碼卡自身也是可信設(shè)備，在上電時會對密碼卡中的國產(chǎn)SM1、SM2、SM3、SM4等系列算法及隨機(jī)數(shù)芯片進(jìn)行自檢，以保證芯片和算法的正確性，同時提供了核心數(shù)據(jù)可信存儲。

可信度量:使用可信靜態(tài)度量手段，通過白名單方式對執(zhí)行程序進(jìn)行嚴(yán)格控制，只有在度量結(jié)果和預(yù)期值一致的前提下，該程序才允許運(yùn)行。通過可信動態(tài)度量對系統(tǒng)運(yùn)行時的關(guān)鍵數(shù)據(jù)、進(jìn)程運(yùn)行情況進(jìn)行實(shí)時度量，判斷系統(tǒng)是否受到攻擊，并告警。

可信審計:可信審計能夠記錄、跟蹤可信安全管理中心中系統(tǒng)管理員、安全管理員和安全審計員的行為，記錄、跟蹤免疫節(jié)點(diǎn)平臺中用戶、進(jìn)程的行為。

免補(bǔ)丁升級，免病毒、木馬查殺:采用可信計算主動防御機(jī)制，提供執(zhí)行程序可信度量，阻止非授權(quán)及不符合預(yù)期的執(zhí)行程序運(yùn)行，實(shí)現(xiàn)對已知/未知惡意代碼的主動防御，可以做到免補(bǔ)丁升級，免病毒、木馬查殺。

2.2 可信商用密碼產(chǎn)品的集群組網(wǎng)

可信連接:通過可信連接技術(shù)可以規(guī)定節(jié)點(diǎn)與節(jié)點(diǎn)之間是否可以建立通信連接，可以有效的控制非授權(quán)節(jié)點(diǎn)訪問授權(quán)節(jié)點(diǎn)，實(shí)現(xiàn)對接入的有效控制。可信連接技術(shù)將單個計算機(jī)系統(tǒng)可信狀態(tài)擴(kuò)展到計算機(jī)互聯(lián)系統(tǒng)。

統(tǒng)一管理:采用統(tǒng)一管理對系統(tǒng)中的所有免疫節(jié)點(diǎn)進(jìn)行統(tǒng)一管理、統(tǒng)一配置，審計信息統(tǒng)一存儲、統(tǒng)一分析。

分級管理:分級分域管理技術(shù)支持分級分域的組網(wǎng)架構(gòu)，支持不同等級的安全管理平臺，每級安全管理平臺負(fù)責(zé)管理本級本區(qū)域的可信終端，上級可根據(jù)需要調(diào)用任何下級審計信息和配置下級之間的域訪問。

2.3 可信商用密碼產(chǎn)品提供的服務(wù)

機(jī)密性服務(wù):通過加密和解密數(shù)據(jù)，防止數(shù)據(jù)的未授權(quán)泄漏;

完整性服務(wù):通過檢測、通知、記錄和恢復(fù)數(shù)據(jù)修改，防止數(shù)據(jù)的未授權(quán)修改。

真實(shí)性服務(wù):通過標(biāo)識和鑒別活動主體的身份，防止身份的冒用和偽造。

抗抵賴服務(wù):通過提供行為證據(jù)，防止活動主體否認(rèn)其行為。

3 總結(jié)

商用密碼產(chǎn)品采用可信計算主動防御機(jī)制、操作系統(tǒng)免疫平臺、提供執(zhí)行程序可信度量、阻止非授權(quán)及不符合預(yù)期的執(zhí)行程序運(yùn)行、實(shí)現(xiàn)對已知/未知惡意代碼的主動防御技術(shù)、同時支持SM1、SM4分組密碼算法、SM2橢圓曲線密碼算法和SM3雜湊算法。可信商用密碼產(chǎn)品能利用加密和數(shù)字簽名技術(shù)保證用戶在網(wǎng)上傳遞信息的機(jī)密性、完整性和有效性，從而創(chuàng)造一個安全的網(wǎng)絡(luò)環(huán)境。

[1]GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求[S].中國標(biāo)準(zhǔn)出版社，2008.

[2]《信息安全等級保護(hù)管理辦法》（公通字[2007]43號）[R].公安部，2007.

[3]郭啟全.信息安全等級保護(hù)政策培訓(xùn)教程（2016版）[M].北京:電子工業(yè)出版社，2016.

[4]沈昌祥.用可信計算構(gòu)筑網(wǎng)絡(luò)安全[J].求是，2015.

[5]GM/T 0002-2012 《SM4分組密碼算法》[S].中國標(biāo)準(zhǔn)出版社，2012.

[6]GM/T 0003-2012 《SM2橢圓曲線公鑰密碼算法》[S].中國標(biāo)準(zhǔn)出版社，2012.

[7]GM/T 0004-2012 《SM3密碼雜湊算法》[S].中國標(biāo)準(zhǔn)出版社，2012.