在今天舉行的中國區塊鍊技術和産業發展論壇成立大會暨首屆開發者大會上,國家資訊化專家咨詢委員會委員,長期緻力于我國資訊技術密碼工程、網絡安全等領域的研究工作的沈昌祥院士表示,新的可信技術來解決區塊鍊安全是根本的出路。
“區塊鍊一種共享的分布式資料庫,說到底是計算機的系統資料庫,記錄各方都認定的交易資料,增強透明度和安全性,并且能提高處理效率,中間人工的參與和幹預不要了,去中介化了。它本身有安全性,就是用密碼來保證交易過程導緻的篡改,但是系統如果共建以後,一樣的不安全,而且更不安全,完全在資料庫系統裡面的,是以我們說的安全是系統安全,不光是應用安全。”
沈昌祥說道:“由于資料庫和計算機系統,區塊鍊都是為了完善任務去設計的,是以人們的邏輯認識是有限的,是有局限的,不可能把所有的問題都解決了,隻能局限于完成計算任務去設計it系統,是以必定存在邏輯不全的缺陷,進而難以應對人為利用缺陷進行攻擊,一般系統是難以頂得住的,盡管區塊鍊有安全密碼來驗證這個是真是假,但是一旦密碼出了問題以後,照樣是驗證不了。”
是以,我們必須從邏輯正确驗證、計算體系結構和計算模式等科學技術創新去解決邏輯缺陷不被攻擊者所利用的問題。“以前防火牆、入侵檢測和病毒防範“老三樣”解決不了這個問題,封堵清除難以應動利用邏輯缺陷的攻擊。消極被動防不勝防,超級權限使用者的違背安全原則,超級權限使用者要什麼拿什麼,危害着我們安全方面的原則。”
用密碼實施身份識别、狀态度量、保密存儲、及時識别實體和非實體的身份,強調破壞和進入的有害物質,這是根本的錯誤。我們隻能重建主動免疫可信體系,才能有效抵禦攻擊。可信計算是一種雲運算和防護并存的主動免疫的新計算模式,是指計算運算的同時進行安全防護,使計算結果總是于預期一樣,計算全程可測可控,不被幹擾。 是以安全是相對的,保證原來正确的目标以達到就可以了。
以下是其演講要點:
今天的會議是區塊鍊重要的啟動會,區塊鍊能健康的發展,能立足于各行業,根本的保證是安全。是以我要講一講用新的可信技術,來解決區塊鍊安全是根本的出路。
先講一講主動免疫可信網絡安全有什麼優勢。可信可用方能安全互動,主動免疫方能有效防護,自主創新方能安全可控,這個完全符合區塊鍊的産業發展。
那麼它的安全問題是什麼?它是一個計算科學問題,是一個體系結構問題,是一個計算模式問題。區塊鍊一種共享的分布式資料庫,說到底是計算機的系統資料庫,記錄各方都認定的交易資料,增強透明度和安全性,并且能提高處理效率,中間人工的參與和幹預不要了,去中介化了,但是依賴于密碼加密驗證的技術,這個技術使得交易資料塊連起來,來表達交易的過程,形成一個鍊,就是區塊鍊。這也是公開、透明、公共的交易賬本,去中心化的傳統人工處理,顯然是資訊化的計算機處理系統,是以保證系統的安全可信是根本。
它本身有安全性,就是用密碼來保證交易過程導緻的篡改,但是系統如果共建以後,一樣的不安全,而且更不安全,完全在資料庫系統裡面的,是以我們說的安全是系統安全,不光是應用安全。
這個問題怎麼引起的呢?我們怎麼解決呢?由于資料庫和計算機系統,區塊鍊都是為了完善任務去設計的,是以人們的邏輯認識是有限的,是有局限的,不可能把所有的問題都解決了,隻能局限于完成計算任務去設計it系統,是以必定存在邏輯不全的缺陷,進而難以應對人為利用缺陷進行攻擊,一般系統是難以頂得住的,盡管區塊鍊有安全密碼來驗證這個是真是假,但是一旦密碼出了問題以後,照樣是驗證不了。是以我建議白皮書要重點說明系統安全,才能保證區塊鍊健康的發展。
是以,必須從邏輯正确驗證、計算體系結構和計算模式等科學技術創新去解決邏輯缺陷不被攻擊者所利用的問題。是以,我們說以前防火牆、入侵檢測和病毒防範“老三樣”是解決不了這個問題的,封堵清除難以應動利用邏輯缺陷的攻擊,消極被動防不勝防,超級權限使用者的違背安全原則,超級權限使用者要什麼拿什麼,危害着我們安全方面的原則。
是以我們隻能重建主動免疫可信體系,才能有效抵禦攻擊。美國2005年4月14日美國政府公布了美國總統it咨詢委員會2月14日向總統布什送出的《網絡空間安全:迫在眉睫的危機》,否定了美國用大量經費搞的研發,重新調整了研究領域,怎麼辦呢?我們提出了可信免疫的計算模式和結構,可信計算是指計算運算的同時進行安全防護,使計算結果總是于預期一樣,計算全程可測可控,不被幹擾,是以安全是相對的,保證原來正确的目标以達到就可以了。
可信計算是一種雲運算和防護并存的主動免疫的新計算模式,用密碼實施身份識别、狀态度量、保密存儲、及時識别實體和非實體的身份,強調破壞和進入的有害物質,這是根本的錯誤。
計算機pc結構是計算機編譯和簡化産生的,但是把安全可靠防護的措施也簡化了,因為當時是假設如果是個人計算機,自己處理自己的,别人沒有關系的,是以互相影響或者是互相幹擾的措施全部幹掉,相當于剩下的沒有免疫系統,或者是免疫系統不全的問題。是以我們又提出可信支援的雙體系結構,我們一個體系加上去,黃圈裡面是可信體系。
隻有這樣,區塊鍊在新型資訊技術的應用,才能安全的運作,建構安全可信的保障體系。雲機損、大資料、移動網際網路,我們要保障體系結構不被破壞,操作行為不會幹擾,資源配置不會錯配,資料存儲不被剽竊,政策管理不會被篡改,這樣保證我們系統的可信安全。
建構可信安全管理中心支援下的積極主動三重防護架構,重點是在資料庫的處理,就是計算處理節點上的安全,我們叫可信計算安全,這裡面因為篡改,因為破壞,整個就癱瘓了。第二我們要有可信的節點,現在防火牆不解決安全技術的問題,也是超級使用者不太合理,原來把進來的男男女女衣服脫光了,這個能解決問題嗎?更嚴重的問題是旁邊人都看到了,裸奔了。“棱鏡門”利用世界緻命防護牆竊取情報,我們有可信的軟體,要保證我們交易過程當中保密,是不會篡改,不會假冒,而且有一定的保密性。
還有管理中心很重要,系統資源管理相當于保密室的安全管理,相當于監控室的審計管理。這樣我們要求供給者進不去,進去了以後也拿不到,即便拿到了以後也看不懂,想改也改不了。更重要的是攻擊行為賴不掉,這很重要,美國情報系統對于我們重要的網站,重要系統進出自由,中國人一概不顧,原因是他們篡改了記錄,我們改不了。是以有這樣的技術,以前震網、火焰、心髒滴血等不清除而自滅。
這些技術是怎麼來的呢?我們說中國在這一方面的技術有颠覆性的創新,是以我的名字叫中國重新開機可信計算革命。中國也遇到了安全的嚴重挑戰,尤其是核心機密安全問題,1992年正式立項研究主動免疫的綜合防護系統,經過長期攻關,軍民融合,形成了自主創新的可信體系,可惜的是我們自己用得不是很廣泛,被國際可信組織tcg拿走了。
我們全新可信計算體系架構,自主密碼為基礎,控制晶片為支柱,雙融主機闆為平台,可信軟體為核心,可信連接配接為紐帶,政策管控成體系,安全可信保應用。
更重要的我們有标準,我在國信辦的時候,在2000年以前,安全委給了我們9個可信計算的基礎,我們完成了标準的起草,可惜沒有繼續做下去,隻釋出了三個,但是标準體系應該是創新的,第一打基礎,自主密碼體系。第二個是構主體,四個主題性質标準,晶片、主機闆,軟體,網絡。第三是搞配套,四個配套标準,規範結構,伺服器,存儲和測評。第四個是成體系,管控應用相關标準,網站、辦公、等保等。
我們搞了國際tcg,我們是颠覆性的,我們是革命性的,因為tcg搞的有局限性,是兩個方面,一個是密碼體制的局限性,是用了現在的rsa,區塊鍊的白皮書也是有局限性,光一個rsa,存在密碼理論上不可安全加密性的問題,沿用了上萬,這個東西我們比國外的東西比較多,回避了對稱密碼。
是以,他們搞了很複雜的一些補救措施,一個rsa就搞了七類密匙,證書搞了五類,還是沒有解決安全問題。tpm2.0采用了我國的可信密碼體制,并成為國際标準,現在已經準許了,tpm2.0标準架構是我們的,他們說感謝中國的創新這句話也去掉了。
第二,體系結構的不合理,還是主要停留在簡單工程層面,尚缺乏比較完善的理論模型,tpm外挂,要達到可信,應用程式、作業系統,必須要調用程式庫才能達到所謂的可信,現在還是功能性的被動化解,不能解決主動違約的問題。
密碼算法創新,我們提出了密碼建構和密碼子產品tcm,具體的密碼算法是不對的,密碼是一個實體,密碼是一個部件,必須有名有姓有管理人。我們提出了對稱密碼和非對稱密碼相結合,提高了安全性和效率。現在密碼安全的認證問題,對稱密碼進來,他們很快接受了,現在國際标準是我們的體制。
再就是雙證書結構,簡化證書管理,提高了可用性和可管性,一個是裝置證書,一個是應用證書。
體系結構的創新,自主創新密碼體系講過了,主動度量控制晶片,再就是計算可信融合主機闆,我們是計算跟可信兩個節點高度融合的主機闆,在主機闆我們已經做成了在cpu上融合。雙體系的核心軟體tcg是一個支撐庫,我們不是大腦指揮,是大腦也去支撐,是以構成了雙體系。三元三層的可信連接配接。
是以現在是新的時代,那麼1.0是什麼樣的,可信計算出現得比較早,在八十年代就出現了,一個是美國國防部有白皮書,軟體功能上差一些。更重要的是運輸機構利用可信這種度量辦法,使得主機可靠性,主機去保護對象,計算機部件,采用備援備份,故障診查,還有容錯算法。
那麼2.0是pc時代,節點安全性,真正成規模是tcg出現了以後,對pcg實作可信的保護,以pc單機為主,功能子產品,是被動度量的,平台是tpm+tss軟體庫。
3.0是網絡系統,系統免疫性,節點虛拟動态鍊,宿主+可信雙節點構成的結構,主動免疫的密碼技術,形态是可信免疫架構。
3.0有很好的可信,比如說基于密碼為基礎的,計算複雜性,可信驗證。應用适應面,取決于系統的安全需求,我們通過政策的制定來适應安全需要。安全強度,強可抵禦未知病毒,未知漏洞的攻擊、智能感覺。保護目标,統一管理平台政策支撐下的資料資訊處理可信和系統服務資源可信,技術手段,密碼為基因,主動識别,主動度量,主動保密存儲。防範位置是行為的源頭,成本很低,可在多核處理器内部實作可信節點,現在主機闆上加一個晶片也是可以的。實施難度怎麼樣?比一般的可信計算的調用要容易得多,既可使用與新系統建設也可進行舊系統改造。對業務的影響,不需要修改原應用,通過制定政策進行主動實時防護,還有業務性能影響3%以下。
那麼能不能解決問題,解決了沒有?回答是肯定的,我們堅持自主可控、安全可信的技術路線,《國家中長期科學技術發展2006-2020年明确提出了以發展高可信網絡為重點,開發網絡安全技術及相關産品,建立網絡安全技術保障體系。十二五規劃有關工程項目都把可信計算列為發展重點。最近公布的《網絡安全法》第15條增加了推廣安全可信的網絡裝置和服務。
中關村可信計算産業聯盟于2014年4月16日正式成立,經過兩年多運作,已有十多各專業委員會,發展迅速,成績顯著。中國可信計算已經成為保衛國家網絡空間主權的戰略核心技術,也是世界網絡空間鬥争的焦點。最近美國國防部進階研究計劃局公布了第三次抵消戰略(應對下一代敵人的下一代技術),把高可信網絡軍事系統列為重點項目。
國内權威媒體進行高度評價,新華社《中國名牌》發表了“可信計算:網絡安全的主動防禦時代”。
中國程式員搶占網絡空間安全核心技術戰略制高點,微軟公司将正式停止對win
xp的服務支援,強推可信的w8,嚴重挑戰我國的網絡安全。日本國内運作2億台終端更新為w8,不僅耗費巨資,還失去了安全控制權和二次開發權。是以我們給總書記建議,總書記批示,政府采購不采購w8。我們有可信,可是問題又來了,w10又出來了,宣布停止非可信的w7,而且把伺服器等其他的版本都更新為可信,以前w8是終端的,而且移動終端、伺服器、雲計算、大資料等全面執行可信版本,強制與硬體tpm晶片配置,并在網上一體化支援管理,可謂可信全面管理一網打盡。
按照國家網絡安全審查制度,成立安全審查組,我們按照wto的規則,要尊重銷售國家的有關法律法規和有關标準,開展對w10的安全審查。我們要遵守我國電子簽名法和商用密碼管理條例,必須進行本土化改造,其中數字證書、可信計算、密碼裝置必須是國産自主的。這三個東西國産化了以後,才是真正的國産化,如果不是這樣的,那是挂羊頭賣狗肉。為此以改革開放、合作開發、互利共盈的原則,成立了合資公司,開始了一場新的博弈,引進必須安全可控。必須要堅持這一點。
要做到“五可”“一有”,第一是可知,所有的權威廠商對合作方開放全部源代碼,要心裡有數,不能盲從,更重要的是可編,我中國的源代碼要能用,要能編。要創新,要重構,要構成中國的邏輯,中國的體系結構。第四是可信,通過可信計算技術增強自主系統免疫性,防範漏洞影響系統安全性,是國産化真正落地,保證國産化健康進行。第五是可用,做好應用程式和作業系統的适配工作,確定自主系統能夠替代國外産品。
一有就是自主知識産權,要對最終的系統擁有自主知識産權,并處理好所使用的開源技術的知識産權問題。堅持核心技術創新專利化、專利标準化,标準推進市場化,要走出過門,成為世界名牌。
我們經曆了長期的軍民融合,經過了軍方的驗證,現在有三個形态的裝置,可以建構可信網絡,一個是系統重構可信主機,老機器怎麼辦?主機闆上可以插一個pci可信控制卡,配接usb可信控制子產品,可以把新老體系融合在一塊,構成一個長期的可信,能達到手動連接配接,能主動識别。控制,安全管理,制定可信主、客體間通路規則。還有報警。
我們自己有漏洞,也會被人家所利用,功能上保證了,因為資源可信高量了,資料可信存儲,行為可信鑒别,用大資料處理發現它的規律,發現了新的攻擊源和新的病毒,這樣要實施高安全等級可信防護體系,更重要的是網絡化可信支撐環境,去年年底可信聯盟釋出了網際網路平等的可信支撐的平台。
說了半天,解決了哪個系統的安全問題?重要核心系統規模化建設應用,說兩個吃螃蟹的事,第一個是國家電網電力排程系統安全防護建設,去年年底烏克蘭大面積停電,就是攻擊了電力排程系統的伺服器系統,需要加指令,電力系統在5、6年以前,以可信計算架構實作等級保護四級,這是發改委14号令。電力可信計算密碼平台已在34個省級以上排程控制中心和59個地級排程控制中心上線運作,覆寫了上萬台伺服器,確定了運作安全。我們攻克了烏克蘭的攻擊,解決了關鍵的問題,第一你是不是主動的免疫,第二,實作了可信保障機制,使得系統運作效率有限降低,第三,他們提出來一個很成熟的d5000的軟體,不需改動源代碼,一個是你改不起,改一條指令,要重新實施,重新考核,重新評估,再就是改不了,d5000軟體進行了近十年的努力建立起來的上。從安全原理上不能改,改是很忌諱的事。
中央電視台可信制播環境建設,5、6年以前他們提出了很偉大的方案,把所有的電視記錄的電視播放全部計算機網絡來實施,建構了網絡制播的可信計算安全技術體系,建立了可信、可控、可管的網絡制播環境,達到了四級安全要求,確定節目安全播出。我以前覺得很不放心,内部适用研究,但是四五年的安全運作,老台也用了,新台也用了,在重要的環節上,保證了從編排到播出的整個流程,保證安全的播出。我們可信做得還是比較粗,是老三樣的改造,但是可以證明這個功能和技術,能解決目前一些難題,但是我們要加倍努力,進一步細化可信計算,把它做得更好。
本文作者:溫曉桦