我国可信计算现状与发展思考讲解

1、我国可信计算现状与发展思考徐震中国科学院软件研究所可信计算的概念最早可以追溯到1983年美国国防部的TCSEC准则，而广为接 受的概 念则是在1999年 由可信计算平 台联盟（Trusted Computing Platform Allianee 1提出。其主要思想是在硬件平台上引入安全芯片架构，来提高终端系统的安全性， 从而将部分 或整个计算平台变为 可信”的计算平台。其主要目标是解决系统和终 端的完整性问题。可信计算在技术层面上主要有三个线条：第一个线条是平台的完 整性度量,从平台运行 的各个环节都涉及到了这个环节是否完整；第二是数据保护， 以安全芯片为根的数据保护体系;第三是平台完整性报

2、告，利用度量的结果向远端 的平台验证平体的完整性是否受到的破坏。本文将首先介绍国内外可信计算的进展情况，进而从自主可信计算角度给出其 发展思路和工作重点。一、国内外可信计算的进展情况1、国际可信计算研发现状在可信计算科研方面，可信计算技术的主要研究机构有 Stanford大学、MIT、 CMU、Cambridge大学、Dartmouth大学、IBM Waston研究中心和 HP实验室等, 当前的主 要研究方向涵盖了可信计算安全体系结构、安全启动、远程证明、安全增强、可信计算应用 与测评等。而在应用领域,可信计算最初定位在PC终端,IT厂商逐步退出了 TPM芯片、 安全PC、可信应用软件等产品。

3、随着技术进步和应用的发展，逐步转向了移动设 备的应用，存储方面 也在大规模发展，包括移动存储和大型的网络存储。目前，国际 TCG组织正在做下一代的 可信芯片（TPM.next标准，目标是做统一的平台模块标准,兼容包括中国、俄罗斯在内 的全球各国家算法，最终目标是把可信计算芯片和体系 做成统一的技术体系。2、中国可信计算研发现状中国可信技术相关研究大概在 2003到2004年起步，之后 政府在各个重要科技 和产业计划中都已将可信计算技术的研究与应用列入重点；学术界针对TPM/TCP、远程证明、可信计算测评、信任链构建技术、关键技术标准等方面 都在积极开展研究工作；产业界也在积极研究各种基于TCM

4、的安全解决方案；国家 密码管理局和全国信息安全标准化技术委员会也在积极推进可信计算相关标准的 研究与制定。在自主可信计算发展过程中，中国可信计算工作组(Chi na TCM Un it, TCMU发 挥了重要作用。该组织由国家密码管理局推动成立，运行过程中得到了科技部、发 改委、工信部等12003年改组为可信计算组织(Trusted Computing Group, TCG部委的大力支持。TCMU在可信计算技术发展方面有一个很清晰的思路:(1以 可信密码模块芯片TCM为核心;(2以可信计算平台、可信计算的基础设施、可信 计算检测平台作为支撑;(3以可信计算密码的应用、下一代安全互联网应用为发展

5、 目标，建立可信计 算的应用体系。在政府管理部门、科研界和产业界的不懈努力下，中国可信计算产业链的各个 环节都有了比较强的支撑。比如在可信密码模块、可信计算支撑平台、可信计算应用领域,自主的产 业链已经适应了应用领域的需要，形成了数十亿元的细分市场， 并且市场规模在急剧扩展。当然，可信计算在国内的发展也遇到了一些问题和挑战。首先，在互联网、金融等应用领域的推广过程中，发现互联网和金融应用里面 用的主要是国际的通用算法，与中国可信计 算的采用的自主算法体系存在匹配问 题。其次,TCG也在成立中国的工作组，In tel、微软 也希望通过TCM渗透中国的市场，基于TCM的可信计算产品市场推广中，也遭

6、受了国际TCG标准及产品的冲 击。最后，TCG的下一代标准也在寻求融合中国密码算法的机会。二、自主可信计算发展思路和重点从标准体系来讲，我们有一个整体思路：第一，可信计算要充分的借鉴国家的标 准体系,建立我国自主的可信计算标准体系；第二,根据实际应用需求，重点制定可 信计算标准体系中的核心标准，在这个基础之上，我们要做的就是从核心标准向应用 标准推进；第三,依据标准建立验证环境和平台，验证标准的正确性和可行性。自主可信技术的发展目标，总体可归纳为三个方面，包括技术、产业和战略目标： (1技术目标。形成自主的关键技术标准体系，将可信计算技术打造成为信息安全基 础支撑技术，融入到桌面、终端、嵌入式

7、设备、服务器等各种计算平台，实现普适性的平台信任服务支撑。(2产业目标。建立涵盖PC、服务器等传统的计算设备，以及泛网络时代移动 终端等新式计算设备和智能设备，同时涵盖云服务、物联网服务等各种新型的服务 进入整体的运营产业链，为下一个时代的IT安全提供全面的产业支撑。着力打造产业链的核心竞争力，在芯片、平台这些高附加值的产业环节里面占领优势的地 位。(3战略目标。首先,通过关键技术攻关和技术标准体系的建立，系统掌握可信计 算关键技术和核心关键标准；其次,通过产业链实现自主可信计算装备支撑；最后,通 过可信计算装备在网络环境中的普遍应用，全面提升我国网络空间的安全水平。在这个思路指导下，规划了一

8、个可信计算发展路线图：2012年，现有可信计算密码 模块成为国产计算机的标准配置；2015年，推出高性能的可信计算密码模块；而到 2020年，则希望把可信计算技术融入到自主的处理器之中。从应用范围来讲，可信计算将从一开始的PC现在服务器，逐步扩充到移动计算平台和其他新兴的智能计 算设备中。可信计算发展重点归纳为三块，一是依托自主密码技术建立完整的可信计算技 术体系;二是根据产业发展需求，完善自主可信计算技术标准体系；三是构建完整产 业链,依据标准研制产品,逐步推出丰富的产品体系，在国家政策指导下，推进产业发 展。从可信计算的发展途径来讲，可以归纳为四个方面：一是创新;二是政策;三是联 盟;四是合作。所谓创新，主要是应用创新，希望现有的技术体系面向行业应用，比如 金融、政务重点行业进行应用的突破。政策方面，则希望有一些产业政策引导产业发 展。实际上，我们知道这些产业政策也是产业发展的催化剂。联盟方面 ，则希望