可信计算与嵌入式系统

　　嵌入式系统是把计算机系统嵌到某一个工程或系统里。那么科学计算是什么?为什么要科学计算?跟嵌入式有没有关系?人们最担心的是，嵌入式系统提高控制能力和智能程度之后，有什么隐患?前年美国开发者大会有两个案例引起了人们的关注：第一汽车，汽车电子系统都是嵌入式系统。如果安全出现问题，汽车电子系统被控制，可能会出现制动熄火、方向盘不灵、撞车等事故，未来无人驾驶盛行之后这个问题更为突出。另一个是心脏起搏器，如果由计算机控制的起搏器被人操控，生死尽由他手。再说长江三峡工程，如果其175米的大坝控制系统被攻击、接管，把23个防水洞同时拉起，全部排水，很可能就会冲垮大坝，淹没下游城市。以前人们主要依靠防火墙、杀病毒、IDS找漏洞来解决网络安全问题，但是这些方法并不适用于嵌入式系统。嵌入式安全需要有新的、有秩序的、过硬的技术，要技术先进，攻防兼备。这就产生了可信免疫的计算机体系结构。近年来，美国也认识到了这个问题，2006年4月份新出台了联邦网络空间安全信息保障研究与发展计划，重新确定了研究方向，废除了前面说的“防火墙，杀病毒，IDS找漏洞”老三样。

　　可信计算是对运算的方式进行安全保护，使计算结果总是与预期一致，计算全过程可测可控、不被干扰，是一个运算和防护并存的，主动免疫的新的计算模式。其中，可信计算要识别自他;其次要判断政策有没有变化，有没有贬义;第三要进行编码保护。

　　计算机系统的发展是一个辩证的发展过程，安全问题和黑客、病毒问题是一个辩证统一的两个方面。计算机由大到小到微，最后到嵌入式的发展过程中，人们把重点放在控制能力、智能程度、计算能力上，而忽略了安全问题，以及能不能正常工作等。

　　通常的PC结构没有免疫系统，安全性较低。如图1，右边是PC结构，包括计算机主板、操作系统、应用程序接口。图1左边，加上主动免疫可信计算的部件以后，整个体系结构不会被破坏，操作行为不会被冒充，配置不会被篡改，程序数据不会丢失，管理控制策略不会被破坏，这样能构成三层防御体系，可信计算的环境。嵌入式系统也存在类似的体系框架，区别在于有些在线，有些离线。这样做的效果能让攻击者进不去，非所有权的重要性拿不到，窃取保密信息看不懂，系统和信息篡改不了，系统工作瘫不成，攻击行为赖不掉。

国内可信计算体系的创新

　　1992年，国家针对可信计算正式立项，而TCG世界可行性计算组织到2000年才成立。因此国内领先一步，形成了自己的创新体系，国内体系跟免疫系统一样，有基因、抗体、循环控制和主动识别。国内采用密码技术进行识别、判别，能主动循环，有主动控制芯片，构成了双体系主板，用软件实现判别、处理和对外连接。

　　目前国内已经形成了标准。有自主研发的密码技术，构成了一个全方位的循规体系，不仅包括芯片控制、主板融合、系统软件、连接等国家标准，还有服务器、存储器、任务等配套标准，国内成立了产业联盟推动产业化、市场化。相较于TCG，国内产业联盟更加完整。TCG组织成员像IBM、HP、Intel等，都有各自现成的产品体系结构，不容易真正融合。TCG有两个局限性：第一，在密码体制上，它采用公开的RSA，安全性低，且比较复杂;第二，它不是主动免疫，免疫系统主动控制、主动检测，不由大脑指挥，TCG是作为外部设备挂接，由主程序、子程序实现可信，典型是由大脑指挥。

　　图2是TPM(可信赖平台模块)可信的模块，这个主板由BIOS进行控制，上面构建了TSS的软件栈和子程序库，由主程序来调用，解决所有的度量、识别、响应。

　　国内是真正的免疫系统主动免疫，第一，在密码方面，国内采用双密码体系，更科学、更合理;第二，国内构成了循环控制，即TPCM-可信平台的控制模块，与主板相结合;第三，主板上进行深度融合，构成双结点，一边是支持资源计算的结点，一边是免疫的可信序列;第四，改变了被动调用的局面，构建了PSB，可行性软件机，与插入系统、基础软件并行，构成双体系;第五，在可信网络连接方面，国内建立了三元三层对等的连接。

　　有计算、有数据的地方，都要提供可信计算保障。在大家印象中，添加安全功能以后，计算机性能会降低、系统会变复杂。但可信计算既解决了安全性问题，又解决了与系统高度融合的问题。国内采用双密码体系，简化了密钥管理和证书配置，简单、紧凑。这套密码体系于06年发布实施，09年TCG申报国际标准时使用了对称非对称相结合的密码体制。

　　可信计算需要构建控制模块，在启动计算机时，首先启动免疫计算，检查环境没问题以后，再启动CPU、主机。TCG把可信原点放在BIOS内，国内是放在计算机里面，在控制模块上加一层外部设备的控制，这种方式更安全，通过操作系统或BIOS攻击都无效。控制模块和主板融合以后，可以做到动态度量、虚拟度量。

　　如图3所示红色的控制模块，是一个自成体系、主动免疫的软件，加入到操作系统中，主动接管软件操作系统的控制命令，度量、识别、判别都靠这个防御策略、规则进行处理。

　　三元连接，解决的是核心技术和资源的问题。XP停止服务以后，没人能管补丁了，国家在这方面做了很多工作。

怎样用科学计算技术实现真正的技术国产?

　　第一，引进。现在IBM等很多公司非常友好、热忱，把它的内核、代码、CPU都开放给我们。

　　第二，消化、吸收。

　　第三，创新。以前改造个界面，建个功能模块就当创新，现在要在结构上进行重构。重构很重要，更重要的是可信，可信类似于人体自我免疫的安全性。但是自主不等于安全，因为刚开始自主创新的时候，肯定是东凑西拼，问题很多，留着很多Bug给人家攻击，我们必须用可信来保障这些Bug不被利用，这样自主创新的技术路线才能走下去。

　　第四，可用。嵌入式要引进、消化、吸收、创新，需要解决可用问题，国内发布了好多操作系统，都跟人家对接不起来。之前可信没有走出国门，现在TCG对国内可用计算非常关注。从计算机角度来讲，重新设计的主板、整机都是可信主机。老的机器用卡、PCI卡等，配上可信软件、管理软件，就改造成了可信计算机。

为什么我们可以主动免疫呢?

　　前面讲到，有平台支撑的防御体系，能做到主动识别资源有没有被改变，攻击必定要修改参数，从系统管理的角度制订安全规则，保证立即发现参数改变，马上处理。

　　第二，如果攻击行为违背了安全管理策略，检测到新的异常行为，建议进行控制。

　　第三，通过升级平台解决异常情况的区别、预警和应急处理：首先，对资源进行可信度量，攻击必定要改变资源;第二，保护重要信息;第三，控制鉴别攻击行为，对异常的人、行为马上处置，使攻击不成。如果产生了攻击行为，能有效防御它，这样可以解决很重要的问题，特别是高安全等级防护问题。(本文根据第13届全国嵌入式系统学术会议录音整理，未经演讲者确认)