我国可信计算研究现状与发展战略思考

我国可信计算我国可信计算研究现状与发展战略思考研究现状与发展战略思考冯登国冯登国 徐徐 震震信息安全国家重点实验室信息安全国家重点实验室报告内容报告内容一、国外可信计算技术研究现状回顾一、国外可信计算技术研究现状回顾二、我国可信计算技术研究现状分析二、我国可信计算技术研究现状分析三、我国可信计算发展战略思考三、我国可信计算发展战略思考一、国外可信计算技术研究现状回顾一、国外可信计算技术研究现状回顾国外可信计算技术研究现状国外可信计算技术研究现状n国外可信计算技术发展较早，技术体系较国外可信计算技术发展较早，技术体系较完整，支持厂商均是完整，支持厂商均是ITIT产业国际巨头产业国际巨头n可信计算概念最早可以追溯到可信计算概念最早可以追溯到19831983年美国国防部的年美国国防部的TCSECTCSEC准则及之后出现的彩虹系列信息系统安全文件准则及之后出现的彩虹系列信息系统安全文件n19991999年年TCPATCPA 2003 2003年年TCGTCG，IBMIBM、IntelIntel、MicrosoftMicrosoft、HPHP、InfineonInfineon等公司制定可信计算工业等公司制定可信计算工业标准标准n国际国际ITIT厂商，开发出厂商，开发出TCGTCG标准的标准的TPMTPM硬件芯片、硬件芯片、TSSTSS支支撑中间件、可信计算机、可信网络接入产品等，其撑中间件、可信计算机、可信网络接入产品等，其中中TPMTPM芯片累计装机芯片累计装机2 2亿片亿片国外可信计算技术研究现状国外可信计算技术研究现状n密码算法体系密码算法体系nRSARSA（20482048）、）、AESAES、SHA-1SHA-1国际算法、基于国际算法、基于RSARSA的的DAADAA直接匿名认证直接匿名认证n基本技术体系基本技术体系n平台完整性度量平台完整性度量n平台数据保护平台数据保护n平台完整性报告平台完整性报告国外可信计算技术研究现状国外可信计算技术研究现状n可信安全体系结构可信安全体系结构n硬件安全体系结构（主要是可信硬件安全体系结构（主要是可信CPUCPU研究）研究）n基于虚拟技术的安全体系结构基于虚拟技术的安全体系结构n可信计算应用领域可信计算应用领域n由由PCPC终端应用，转向移动设备应用（如手机，平板终端应用，转向移动设备应用（如手机，平板电脑）电脑）n可信存储大规模发展可信存储大规模发展国外可信计算技术研究现状国外可信计算技术研究现状n通用可信平台模块通用可信平台模块TPM.NextTPM.Nextn制定统一的平台模块标准制定统一的平台模块标准n兼容全球各国家算法，包括中国、俄罗斯等国家兼容全球各国家算法，包括中国、俄罗斯等国家n制定统一的不同算法之间的互操作标准制定统一的不同算法之间的互操作标准n实现统一市场实现统一市场二、我国可信计算技术研究现状分析二、我国可信计算技术研究现状分析我国可信计算技术发展思路我国可信计算技术发展思路n以可信密码模块芯片以可信密码模块芯片TCMTCM为核心为核心n以可信计算平台、可信计算基础设施、可以可信计算平台、可信计算基础设施、可信计算检测平台为支撑信计算检测平台为支撑n以可信计算密码应用、下一代安全互联网以可信计算密码应用、下一代安全互联网应用为发展目标的可信计算应用体系应用为发展目标的可信计算应用体系可信应用可信应用基础应用可信计算平台可信计算平台可信计算基础设施可信计算基础设施可信密码模块可信密码模块TCMTCM-PCPC平台服务器平台手机平台TBB与可信BIOS信任链TBB与可信BIOS信任链TBB与可信BIOS信任链TCM-SeverTCM-MobileTSM-PCTSM-SeverTSM-Mobile可信证书服务信任(完整性)服务可信网络接入可信平台管理服务检测平台检测平台模块检测平台检测支撑服务检测应用检测密钥管理服务可信OS可信OS可信OS可信存储平台安全管理可信外设新一代安全互联网新一代安全互联网可信云服务可信云服务可信嵌入式系统可信平台身份管理密钥管理行业应用电子政务应用电子支付应用文档分发与管理(DRM)企业业务应用可信物联网可信物联网我国可信计算技术研究现状我国可信计算技术研究现状n密码算法体系密码算法体系n可信计算已列入国家各种计划，可信计算已列入国家各种计划，20062006年年3 3月至月至20072007年年5 5月国家密码管理局组织国内相关厂商，制定了月国家密码管理局组织国内相关厂商，制定了可可信计算密码技术规范信计算密码技术规范，并组织相应的产品开发，并组织相应的产品开发nSM2/SM3/SMS4SM2/SM3/SMS4n基本技术体系基本技术体系n20072007年年1212月月2929日，国家密码管理局发布了日，国家密码管理局发布了可信计可信计算密码支撑平台功能与接口规范算密码支撑平台功能与接口规范n可信密码模块可信密码模块n国民技术、武汉瑞达、同方微电子国民技术、武汉瑞达、同方微电子n可信计算支撑平台可信计算支撑平台n联想、国民技术、武汉瑞达联想、国民技术、武汉瑞达n可信计算应用领域可信计算应用领域n政策、标准、芯片、硬件、政策、标准、芯片、硬件、BIOSBIOS、软件中间件、应、软件中间件、应用软件，可信计算用软件，可信计算PCPC机等有了实质性发展与进步，机等有了实质性发展与进步，产业与产业链已经完善。自主的可信计算芯片已经产业与产业链已经完善。自主的可信计算芯片已经适应适应PCPC产业环境的需要，被产业环境的需要，被PCPC产业所接受产业所接受我国可信计算技术研究现状我国可信计算技术研究现状n可信计算产品可信计算产品n提供提供TCMTCM可信计算产品的可信计算产品的PC OEM PC OEM 厂商有，联想，同厂商有，联想，同方，方正，长城，浪潮，海尔，方，方正，长城，浪潮，海尔，DELLDELLn制造制造TCMTCM可信计算机的可信计算机的PC ODMPC ODM产商有仁宝、广达（全产商有仁宝、广达（全球笔记本第一大代工厂商）、纬创、神达、富士康球笔记本第一大代工厂商）、纬创、神达、富士康（全球第一大台式机代工厂商）、创智承、比亚迪（全球第一大台式机代工厂商）、创智承、比亚迪、华硕、合硕、顶星、华硕、合硕、顶星n可信计算芯片的可信计算芯片的BIOSBIOS产商有产商有PhoenixPhoenix，AMIAMI，百敖百敖n应用开发应用开发 厂商卫士通、北信源、中天一维、吉大正厂商卫士通、北信源、中天一维、吉大正元等元等我国可信计算技术研究现状我国可信计算技术研究现状n自主可信计算技术完全采用我国自己的密码算法，自主可信计算技术完全采用我国自己的密码算法，在基于互联网、金融应用等应用推广中，发现算在基于互联网、金融应用等应用推广中，发现算法体系与实际规模应用之间存在匹配问题法体系与实际规模应用之间存在匹配问题nTCGTCG在中国设立工作组，以在中国设立工作组，以IntelIntel和微软为代表逐和微软为代表逐步在中国渗透步在中国渗透TPMTPM产业机会，产业机会，TCGTCG下一代标准寻求下一代标准寻求融合中国算法的机会融合中国算法的机会n在基于在基于TCMTCM的可信计算产品市场推广中，遭受到国的可信计算产品市场推广中，遭受到国际际TCGTCG标准及其产品的冲击标准及其产品的冲击 n自主可信计算体现国家意志，产业厂商观望国家自主可信计算体现国家意志，产业厂商观望国家宏观态度宏观态度我国可信计算技术研究现状我国可信计算技术研究现状我国可信计算标准体系发展思路我国可信计算标准体系发展思路n充分借鉴国际可信计算标准体系，建立我充分借鉴国际可信计算标准体系，建立我国自主可信计算标准体系国自主可信计算标准体系n根据实际应用需求，重点制定可信计算标根据实际应用需求，重点制定可信计算标准体系中的核心标准，从核心标准向应用准体系中的核心标准，从核心标准向应用标准推进标准推进n依据标准建立验证环境和平台，验证标准依据标准建立验证环境和平台，验证标准的正确性和可行性的正确性和可行性测评测评标准标准基础模块基础模块TCMTSMTSM-mTCM-hTCM-mTSM-h移动平台移动平台（手持设备）服务器平台服务器平台PC平台平台密码支撑平台可信存储系统可信存储系统可信中间件TCM接口可信固件移动平台应用Profile服务器平台应用ProfilePC平台应用Profile电子支付应用Profile电子政务应用Profile基础支基础支撑设施撑设施证书格式规范密钥管理规范证书架构TCM检测密码支撑平台测评应用符合性检测可信网络连接可信平台安全管理完整性管理框架可信应用可信应用Profile可信PC检测通用密码应用接口可可信信计计算算平平台台我国可信计算密码支撑平台规范簇我国可信计算密码支撑平台规范簇定义了可信计算密码支撑平台定义了可信计算密码支撑平台的功能架构与实现原理的功能架构与实现原理定义了定义了TCM功能命令与实现模功能命令与实现模式式定义了定义了TCM服务模块的功能函服务模块的功能函数及接口数及接口TCM数据结构数据结构、TSM数据数据结构结构、数字证书规范数字证书规范3个支个支撑性规范撑性规范三、我国可信计算发展战略思考三、我国可信计算发展战略思考我国可信计算发展的核心思想我国可信计算发展的核心思想密码算法密码算法SM2SM3SMS-4RNGTCM自主密码算法自主密码算法通过通过TCMTCM渗透到渗透到所有计算平台所有计算平台及应用领域及应用领域TCMTCM依靠国家密依靠国家密码算法管理政策码算法管理政策成为国内所有计成为国内所有计算平台的可信根算平台的可信根我国可信计算发展目标我国可信计算发展目标中国可信中国可信计算发展计算发展目标目标技术目标产业目标战略目标形成自主关键技术标准体系，将可信计形成自主关键技术标准体系，将可信计算技术打造成信息安全基础支撑性技术，算技术打造成信息安全基础支撑性技术，融入桌面、移动终端、嵌入式设备、服融入桌面、移动终端、嵌入式设备、服务器等各类计算平台，实现普适的平台务器等各类计算平台，实现普适的平台信任服务支撑信任服务支撑建立涵盖建立涵盖PCPC、服务器等传、服务器等传统计算设备厂商以及泛网统计算设备厂商以及泛网络时代移动终端等新式计络时代移动终端等新式计算设备或智能设备，同时算设备或智能设备，同时涵盖云服务、物联网服务涵盖云服务、物联网服务等各类新型服务的运营产等各类新型服务的运营产业链，为泛网络时代的业链，为泛网络时代的ITIT安全提供全面的产业支撑安全提供全面的产业支撑产业链具备强大竞争实力，产业链具备强大竞争实力，在芯片、平台等高附加值在芯片、平台等高附加值产业环节占据优势地位产业环节占据优势地位通过关键技术攻关通过关键技术攻关和技术标准体系建和技术标准体系建立，系统掌控可信立，系统掌控可信计算关键技术和核计算关键技术和核心关键标准心关键标准通过产业链实现全通过产业链实现全线自主可信计算装线自主可信计算装备支撑备支撑通过自主可信计算通过自主可信计算装备在泛网络环境装备在泛网络环境的普遍使用，全面的普遍使用，全面提升我国网络空间提升我国网络空间安全水平安全水平我国可信计算发展线路图我国可信计算发展线路图201220152020TCM高性能可信高性能可信协处理器协处理器可信可信处理器处理器处理处理能力能力应用范围应用范围处理处理能力能力TCM高性能可信高性能可信协处理器协处理器可信可信处理器处理器PC服务器服务器移动计移动计算平台算平台新型智能新型智能计算设备计算设备我国可信计算发展重点我国可信计算发展重点依托自主密码技术建立完整的中国可信依托自主密码技术建立完整的中国可信计算技术体系计算技术体系根据产业发展需求，逐步完善自主计算根据产业发展需求，逐步完善自主计算技术标准体系技术标准体系构建完整产业链，依据标准研制产品，构建完整产业链，依据标准研制产品，逐步丰富产品体系，在国家政策指导下，逐步丰富产品体系，在国家政策指导下，推进产业发展推进产业发展依托自主依托自主密码技术密码技术建立完整建立完整的中国可的中国可信计算技信计算技术体系术体系可信密码模块可信密码模块TCMTCM-PCTCM-SeverTCM-MobileTSM-PCTSM-SeverTSM-Mobile检测平台检测平台模块模块检测检测平台平台检测检测支撑支撑服务服务检测检测应用应用检测检测可信计算基础设施可信计算基础设施可信证书服务可信证书服务信任信任(完整性完整性)服务服务可信网络接入可信网络接入可信平台管理服务可信平台管理服务密钥管理服务密钥管理服务可信计算平台可信计算平台PC平台平台服务器平台服务器平台手机平台手机平台TBB与可信与可信BIOS信任链信任链TBB与可信与可信BIOS信任链信任链TBB与可信与可信BIOS信任链信任链可信可信OS可信可信OS可信可信OS可信可信外设外设可信嵌入可信嵌入式系统式系统可信应用可信应用基础基础应用应用可信存储可信存储平台安全管理平台安全管理可信平台身份管理可信平台身份管理密钥管理密钥管理行业行业应用应用电子政务电子政务应用应用电子支付电子支付应用应用文档分发与文档分发与管理管理(DRM)企业业务企业业务应用应用新一代安全互联网新一代安全互联网可信云服务可信云服务可信物联网可信物联网重点之一重点之一基础模块基础模块TCMTSM根据产业根据产业发展需求，发展需求，逐步完善逐步完善自主计算自主计算技术标准技术标准体系体系TSM-mTCM-hTCM-mTSM-h移动平台移动平台（手持设备）服务器平台服务器平台PC平台平台通用密码接口可信操作系统可信存储系统TCM接口可信固件移动平台移动平台应用应用Profile服务器平服务器平台应用台应用ProfilePC平台平台应用应用Profile电子支电子支付应用付应用Profile电子政电子政务应用务应用Profile可信应用可信应用Profile检测检测平台平台TCM检测检测测评系统测评系统应用符合性检测应用符合性检测可信可信PC检测检测重点之二重点之二基础支基础支撑设施撑设施证书格式规范证书格式规范证书架构证书架构证书应用证书应用Profile可信软件服务可信软件服务可信中可信中间件间件可信网络连接可信平台安全管理构建完整产构建完整产业链，依据业链，依据标准研制产标准研制产品，逐步丰品，逐步丰富产品体系，富产品体系，在国家政策在国家政策指导下，推指导下，推进产业发展进产业发展重点之三重点之三我国可信计算发展途经我国可信计算发展途经加强国际合作加强国际合作IT产业是完全国际化产产业是完全国际化产业、同行或上下游合作业、同行或上下游合作是必然是必然产业联盟建设产业联盟建设快速形成产业规模，提升快速形成产业规模，提升企业市场竞争力企业市场竞争力政策引导政策引导政策引导产业发展重要政策引导产业发展重要催化剂催化剂应用创新应用创新金融、政务重点行金融、政务重点行业突破业突破创新创新 政策政策 联盟联盟 合作合作