发展可信计算 打造芯片内置式主动防御
网络安全从“外挂”转向“内生”
行业观察
当前,先进计算与内生安全技术迈入新一轮的变革发展周期,新理念、新思路、新方法、新技术、新应用不断涌现。在国际上,无论是美国《国家网络战略》还是欧盟重大项目计划,都在强调新型计算架构和在计算机体系结构内部融合安全性设计的重要性;在我国,学术界和产业界也掀起了先进计算和内生安全技术的研究热潮。
我国内生安全技术已经取得了哪些突破性进展?如何引领未来10年安全技术的发展方向?10月29日,在第三届“先进计算与内生安全”学术会议上,与会专家分享了关于可信计算、芯片安全等前沿技术的思考。
可信计算成为安全技术拼图中一环
国家数字交换系统工程技术研究中心季新生教授表示,新基建助推数字经济高速发展的同时,将面对更为严峻的网络空间内生安全挑战,“大数据算法如果出现误解,盲目取信可能会带来灾难性后果”。
“高性能计算机过多强调高性能而忽略了安全性,天河超级计算机的系统资源被恶意侵占就是一个例子。”国防科技大学卢凯教授认为,要把先进计算和内生安全结合起来,既不影响计算机性能,又能保证安全。
“先进计算和防御技术,作为网络领域的战略性技术,对促进经济社会发展,提升国家安全具有重要的意义。”网络通信与安全紫金山实验室副主任冯记春介绍说,网络空间安全正由外挂式向内生式转变,紫金山实验室面向全球开通了首个网络安全内生试验场,顶住了全球顶级白帽黑客战队连续3年发起的不间断的高强度攻击,这表明内生式网络空间安全经得住考验。
北京信息科学技术研究院院长、中国工程院院士冯登国认为,网络内生安全技术应包括适应性、自身健壮性等特征。“能够适应应用和需求的变化,可扩展、可延伸,自身还必须很强健。”冯登国说,可信计算就恰好包含了这些特征,其引领的整体安全架构、主动免疫安全体系,已经成为网络空间安全技术拼图中不可或缺的一环。
目前,全球多家巨头企业已经成立了机密计算联盟,将可信计算作为机密计算的重要支撑技术,以保障人工智能、区块链、物联网等的隐私和安全。对于可信计算未来趋势,冯登国提出4个方面的设想:一是立足于核心关键技术不受制于人,我国可信计算必然朝着国产化、自主可控的规模化应用方向发展;二是以通用可信执行环境为代表的新型可信计算不断拓展应用领域,将成为移动互联网、物联网、云计算等领域的主流解决方案;三是可信技术计算和标准体系更加健全,可信计算测评体系将更加完善;四是可信计算将在信息技术新变革中发挥重要作用,为人工智能、区块链、物联网、边缘计算等建立重要的安全基础。
芯片安全与性能、成本同样重要
“芯片安全是网络空间安全的基石之一。”中国科学院信息工程研究所(以下简称中科院信工所)研究员侯锐从芯片安全的角度探析芯片的未来趋势。他表示,芯片目前面临的软硬件漏洞不可避免,芯片的底层软件规模和复杂性越来越大,难以实施完备性验证,出现安全漏洞的可能性也越来越大,硬件的架构设计本身也存在缺陷。
为何芯片会在设计、制造等核心环节出现安全问题呢?侯锐认为,最根本的原因是,长期以来安全一直处于从属地位,经常让位于性能、让位于成本。
因此侯锐认为,与其被漏洞牵着鼻子走,疲于挖漏洞、找特征、打补丁,还无法有效应对未知特征攻击,不如从体系结构的角度入手来做安全。
“我们的核心思路就是内置式的主动防御,从分析攻击的机理和关键漏洞入手,找出信息技术的脆弱点,重新设计、改造现有的信息技术。”侯锐说,核心思路就是内置式主动防御,即在芯片设计的时候设置一个主动安全处理器,实现单向物理隔离,变“信息技术加安全”为“安全的信息技术”, 实现芯片安全。
目前,中科院信工所已在学术界提出了安全优先架构,自主研制了主动安全处理器系列芯片,和国内其他主流厂商合作,建设了完善的上下游生态并实现规模化应用。
侯锐表示,芯片设计在国外已非常成熟,但是芯片安全还处在初级发展阶段,“大家都在往前跑,远没到成熟的时候,所以我们确实有机会突破一些关键技术,解决一些基础理论问题,这样有利于抢占国际制高点”。
记者 张 晔
亿万职工的网上家园