基于自主可控的航天靶场安全可控信息环境构建探讨

刘波+++史春光+++赵文想

【 摘 要 】 论文介绍了可信计算及自主可控的相关概念，并基于可信链传递的原理，针对靶场实际，探讨在自主可控条件下，利用可信计算技术和网络安全技术构建航天靶场安全可控信息环境的思路和方法，通过可信计算和自主可控的有效结合，切实推进国家自主可控战略在航天靶场的落地，提升靶场信息系统的安全防御能力。

【 关键词 】 可信计算；自主可控；可信链；信息环境

【 中图分类号 】 TP309.1

Discussion on the Construction of Safe and Controllable Information Environment in Launch Vehicle Range based on the Autonomous and Controllable Technology and the Trusted Computing Technology

Liu Bo Shi Chun-guang Zhao Wen-xiang

（Taiyuan Satellite Launch Center ShanxiTaiyuan 030027）

【 Abstract 】 This paper introduces the concept of trusted computing and autonomous and controllable. According to the principle of trusted computing， it discusses the ideas and methods of construction safety credible information environment in the Launch Vehicle Range， which use trusted computing technology and network security technology in the autonomous control condition. It can push forward the application of National autonomous control strategy in the Launch Vehicle Range and promote the defensive ability of the information system.

【 Keywords 】 trusted computing；autonomous and controllable；trusted chain；information environment

1 引言

随着靶场信息化建设的推进和各类信息系统的广泛应用，靶场的信息环境面临着越来越严峻的网络安全形势，受国产软硬件信息产品的技术发展水平所限，靶场大量使用国外软硬件产品，尤其是核心芯片、操作系统和数据库等，而这些产品中可能存在内置的后门和漏洞，给靶场的信息环境带来了严重的安全隐患。

可信计算的概念来源于1999年的TCG（Trusted Computing Group），主要思路是在PC机硬件平台上引入安全芯片架构，通过芯片提供的安全特性来提高终端系统的安全性[1]。

基于可信计算技术，采用国产自主可控的信息产品来构建安全可控的信息环境可以从根本上解决信息系统现有的后门、漏洞等问题，克服传统的采用国外软硬件产品易受控制、易被攻击的缺陷，有效地提升靶场信息系统的防御能力，整体提升靶场网络的安全性。

2 可信计算定义及相关技术理论

可信计算技术被认为是最有可能从根本上解决计算机系统安全问题的一种方案，它从终端设备入手，采取主动防御的方式解决安全问题，其核心思想是[2]：以信任根为核心，从信任根模块（Core Root Of Trust Module， CRTM）出发，采用基于可信模块的可信链传递技术，并依靠其提供的完整性度量和验证服务，遵照计算机系统的启动运行过程，通过逐级验证和逐级级信任的方式实现可信链的传递，从而保证整个系统处于安全状态，从根本上实现整个信息系统的安全性。

2.1 可信计算定义

TCG （Trusted Computing Group，可信计算组织）对“可信”（Trust）的定义是：“为了达到某一具体的目标，以特定的方式所采取的预期行为”（Trust expectation that a device will behave in a particular manner for a specific purpose）：ISO/IEC 15408对“可信”定义是：“参与计算的组件、操作或过程在任意条件下是可预测的，并能够抵御恶意代码和物理的干扰”。沈昌祥院士定义可信为：一个实体在实现给定目标时其行为总是如同预期一样的结果，强调行为结果的可预测和可控制[3]。

通用的可信计算体系结构如图1所示，可信计算首先需构造信任根，依据信任根通过信息系统的体系结构、各类软硬件产品及网络进行可信链的传递，同时通过可信认证和可信评测等验证手段来保证可信链的完整和准确，直到将信任关系扩展到整个信息系统，最终实现整个信息环境的可信。可信计算实现了不同于防火墙、入侵检测和杀毒软件等信息安全手段，是一种主动防御的安全解决方案。

2.2 可信计算环境架构

安全可控的信息环境主要包括基于可信计算平台的硬件结构和软件结构，如个人计算机、服务器、移动终端的软件硬结构、网络设备的软硬件结构以及安全可信的网络体系等。

可信计算主要思想是在计算终端（包括PC、服务器等）嵌入可信平台模块（Trusted Platform Module， TPM），将其作为信任根（Roots of Trust）[3]。如图2所示，可信计算环境的构成主要有两部分：一部分为基于信任根构建的可信硬件平台及基于可信操作系统形成的可信应用系统；另一部分为基于可信硬件产品（如交换机、路由器、网络安全设备等）构建的可信网络，这两部分相辅相成，通过可信认证等手段形成可信的信息环境。

可信硬件平台的核心是基于TPM的安全芯片，主要包括TPM的硬件结构、芯片测试技术、嵌入式软件等，还包括我国的可信计算平台规范TCM （Trusted Cryptography Module）芯片等[3]。

可信应用系统主要是在可信操作系统、可信数据库等可信软件生态环境下，可实现可信编译的自研应用软件及系统。

可信网络主要包括可信网络体系结构、可信网络设备和网络环境下可信认证等要素，可信网络建立在基于主机的可信计算基础之上，对TPM内部对象的访问接口和访问方式进行严格限制，在接入网络前需对终端的身份进行认证，对其完整性状态进行验证并与系统的安全策略进行比较，如果一致，则允许终端访问网络；如果不一致，则拒绝访问或对该终端进行隔离，达到访问控制的目的。

2.3 可信传递技术

可信链研究的对象是基于可信计算的信任传递、可信计算平台的完整性度量、安全存储、可信计算平台状态报告等[3]。

我国可信计算机以TCM模块为可信根，TCM模块与BIOS相互认证后，进一步对操作系统启动内核、操作系统内核应用等进行完整性度量[3]，以TCM为核心通过逐级验证的方式构建一条完整的可信链，为各类应用提供安全的运行环境，当某一级程序的完整性状态遭到破坏时，可由上一级程序对其进行可信恢复。基于TCM的可信应用系统构成若干个可信实体，基于可信网络技术将这些可信实体连接成一个可信网络，这样在网络中传递的信息和应用系统就处于一个相对安全可控的环境中，可信链技术发挥其重要作用。

2.4 可信度量

可信度量是可信链的传递过程中必要的技术之一，它主要负责验证系统的完整性，可信度量大致可分为对主机的可信度量和对网络的可信度量。

对主机的可信度量就是对其启动的可执行程序进行可信度量[3]。对主机可信度量的时机可选择在操作系统及应用程序启动前或加载、更新系统库文件（例如升级、打补丁）时，从而避免计算机病毒、木马或蠕虫程序的入侵，并可有效度量常驻内存的操作系统的系统调用、服务器进程等程序，以达到度量、检测和保护程序指令完整性的目的，保证程序指令按照预期、可控的方式在计算平台上运行。

网络的可信度量则关注数据流和程序指令是否遭到攻击[3]。只要用户数据能够按照预期的方式被使用，同时在数据所有者许可的权限范围内可以访问相应数据，则可认为数据的使用者及其运行环境是安全可控的。计算机软件的程序指令通常是相对固定的，除了软件升级、打补丁等更新操作以外，程序指令处于相对固定的状态，因此可以通过安全散列函数来度量程序指令的完整性 [3]。

3 自主可控技术

“自主可控”是由我国专家学者和决策机构提出的概念，指依靠我国自有技术和产业，实现信息产品从硬件到软件的自主研发，使核心技术、关键零部件和各类软件全部国产化，并依托自主建立的网络体系支撑系统的运行和信息的交互，从而实现信息系统从硬件到软件乃至整个系统的研发、生产、使用、维护、升级的全程安全可控。在国家“核高基”重大专项的推动和支持下，我国已自主研发了一系列软硬件信息产品，如国民技术、兆日等TCM芯片，龙芯、飞腾、申威等CPU，银河麒麟、中标麒麟等操作系统，武汉达梦、人大金仓等数据库，金媒、东方通等中间件，WPS、360杀毒等应用软件，并在各方共同配合下进行了一系列的软硬件适配，形成了各种支持不同指令集的单机、服务器、工控机等国产信息系统软硬件生态环境。

在靶场实现“自主可控”，并不是简单地以国产产品替换国外产品，而是在自主规划设计的基础上，探讨采用国产软硬件平台、具有自主知识产权的CPU及基于自主CPU的整机和网络设备以及基于自主CPU的其他基础平台在靶场使用的可行性，将现有的非国产的各类信息系统产品进行替换的可操作性，在此基础上，掌握技术的主动权，从靶场实际需求出发，在自主平台上研制靶场适用的各类应用软件系统，实现“自主可控”在靶场的落地。

4 可信计算与自主可控技术的融合

可信计算和“自主可控”两项技术之间有着极为密切的联系，但同时又存在区别。

“自主可控”的目的是保证所使用的系统没有硬件（核心元器件）或软件（基础软件）漏洞和后门，可信计算则是保证整个系统运行过程中没有可供入侵的环节缺陷，同时杜绝不可信的代码。二者一定是相辅相成，共同作用方可达到保证信息系统安全的目的。

可信计算最为核心的贡献就是通过硬件的基础支撑，解决了原来软件手段无法解决的问题，是一个从芯片到主机、再到网络，随着可信链的传递实现整个信息系统实现可信可控的过程，但是它不能解决所有的安全问题，例如无法应对拒绝服务攻击（DOS， Deny of Service）和大多数的恶意攻击；因此可信计算必然应当以自主可控作为其基础，但同时也应看到，自主可控也并不能解决所有问题，自主生产的产品可能隐含着不为我们所知的漏洞和后门，如果被利用会形成极大的安全隐患。

构建一个安全可靠的信息环境，可信的“根”应该立足于我们国家自主可控的产品和技术，如果一台入网设备的操作系统留有漏洞和后门，那么再先进的防护手段也难以保证整个系统的安全，为此我们需要采用国内自己的可信计算标准，以及配套的自主可控的算法和安全体系，实现基础软件，如操作系统的自主可控，并通过自主研发CPU、芯片、数据库等基础软硬件产品，辅以可信计算技术，规范软件设计和开发，才能打造出本质安全的整机产品和相应的安全软件，提升关键部门、关键业务的计算机终端、网络乃至整个信息系统的安全性。在国产自主平台下，设计可信执行环境，不仅能解决传统信息安全技术安全防护滞后的问题，而且能增强国产自主平台下对应用程序的安全保护。

同时自主可控也必须依赖可信计算才能得到长足的发展，在可信标准下设计开发出的自主可控产品，才能最大限度地杜绝漏洞和后门，基于可信软硬件度量功能，可以有效地防止恶意代码对平台和应用系统的攻击和破坏，在自主可控的基础上构造出安全的系统运行环境，实现整个系统安全性能的改善和提升。

在国内，有多家著名的厂商已实现了可信计算产品的研发，由此可见，可信计算技术和自主可控的紧密结合必将深刻地改变我国信息安全的现状。

5 自主可控条件下靶场安全可控信息环境构建设想

可信计算和自主可控技术的结合应用可以产生信息安全倍增器的作用，借助于可信计算的相关理论，采用自主可控的软硬件设备，建立信任根并从底层硬件开始由底向上逐级传递信任，建立可信、可控、安全可靠的信息环境，为靶场各类应用提供安全可靠的运行环境是靶场信息系统安全建设需要重视的一个重要途径。

靶场的信息系统由计算机终端、服务器、网络设备（包括路由器、交换机、防火墙等），各类工控机及其运行的系统软件，应用软件等基本单元组成。这些基本单元通过光电缆等有线信道及卫星、微波等无线信道，按照一定的设计架构进行连接，采用相应的协议通过系统软件的支撑，构成一个完整的有机整体，形成靶场信息平台，通过这个平台可以接入各类软硬件产品，完成不同功能，实现各类信息的传递和存储，从而形成一个完整的信息环境。

信息环境的构建过程是一个累加的过程，而每次累加都可能引入不安全因素，带来新的安全问题。解决这些安全问题的一个有效方法就是在尽量采用国产自主可控产品的前提下，借鉴可信计算的思想，增加相应的可信模块，通过可信启动，介由可信网络连接构建靶场主动防御体系，从而实现靶场各种装备的应用可信、各种数据的存储可信、各类系统和应用的网络接入可信，为靶场作战试验任务的顺利进行构建安全的信息环境。

5.1 自主可控的可信软硬件系统

可信软硬件系统是指通过安全可信技术手段改造了的信息化装备，在靶场主要包括可信服务器、工控机、各类维护操作终端、可信应用软件以及包含上述元件的可信通信装备、可信测发测控装备等。就靶场目前的状况来看，这些系统、装备和产品大多实现了国产化，但并不是完全国产化，某些产品即使是标明是国产的，但其最底层的芯片和系统依然不是纯国产的，实际上是无法实现完全自主可控的，我们可以通过采用可信加固技术来增强其安全可控性，具体来讲，主要有两种方法：一种是增加硬件可信模块TCM，可采用三种模式建立信任根[2]：一是在专用主板上重构可信密码模块；二是在通用主板上配插PCI接口的可信密码模块；三是在通用主板上配接USB接口的可信密码模块。另外一种就是通过在自主可控的操作系统中引入软的TCM模拟器，将其作为可信根，来构建自主可控的可信系统。这两种方法构建信任根的起点不同，可信保障的程度也有所不同，实践中可根据需要灵活选择。

5.2 可信启动

从技术上讲，当我们的信息系统中某一设备启动时，可信计算技术首先要度量其BIOS是否可信，然后判断其操作系统是否可信，进而判断其启动的软件是否可信，例如其占用CPU是否正常、软件状态是否正常，从而判断出该软件是台感染了病毒，是否被植入了木马；然后判断其是否具备入网的资质，能否接入网络，能与网内的哪些设备传递数据，即在设备启动的过程中，建立起启动过程的可信链，并通过可信链传递机制构建安全可控的信息环境。

目前靶场的设备启动主要依靠三层密码的方式来控制，即BIOS密码、开机密码和登录密码来保证设备使用的安全性，其作用主要集中在从开机到操作系统加载、应用程序启动这段时间内，如果在这期间采用可信启动，即采用基于TCM的度量和验证功能，保证操作系统启动前的BIOS加载、内核加载等各过程的可信度，就能够在不改变计算机原体系结构的前提下，通过在主板上嵌入可信平台控制模块TCM，建立与运算系统并行的可信防护体系，以TCM为可信保障的核心，使其先于CPU加电，对CPU、BIOS、操作系统、应用程序等组件进行逐一验证，保证系统在启动过程中每一步都是可信安全的，即可为系统提供高级别的安全保障。

5.3 可信网络连接

可信网络连接（Trusted Network Connection，TNC）建立在基于各类信息系统设备的可信之上，其主要目的在于通过对请求接入网络的设备进行验证，解决网络可信接入的问题，并需实现对网络的可信性进行评估。

靶场目前的入网设备需要通过验证其身份来决定是否可以接入网络，可将不符合策略需求的设备隔离在网络之外，但对网络安全状态缺乏评定手段。在靶场引入可信网络连接，就可以通过确认网络安全系统，如杀毒软件版本、保密机策略、防火墙和IDS等的状态、升级状况及操作系统补丁等来收集和评估整个网络系统的安全状态，通过增加PKI等为设备终端授权，使之获得在第三方监督下的具有一定限制的网络访问权，从而不仅可将不符合策略需求的设备隔离在可信网络之外，还可保证符合可信策略需求的设备在其访问权限内访问网络，杜绝越级访问的发生，防止不可靠的终端接入网络。

5.4 可信存储

存储安全对靶场这种具有大量武器装备核心数据的单位而言尤为重要，目前靶场采用的原则是限制移动存储设备的使用和加密移动存储介质的方法，采用集中输入输出的方式来实现数据存储的安全。可信存储就是将可信计算的思想运用到存储领域，在靶场的应用可以考虑基于身份认证和加密技术，从信任根出发，配置相应的访问规则和存储策略，建立存储设备和处理器之间的信任通道，使得存储设备能够在指定的接口利用可信指令发送和接收数据，并通过可信度量来判断在系统内流动的数据流是否可信，对系统的访问和存储是否可信，从而最大限度地实现可信存储。

5.5 基于虚拟机的可信计算应用

鉴于靶场目前已经积累了大量软件资源的现状，采用虚拟机技术实现应用跨平台是在国产自主平台上实现软件移植较为有效的方法，可将源资源抽象成另外一种形式，实现封装、与硬件脱离等功能，达到保护资源的目的。

结合虚拟机技术与可信计算技术的优势，实现终端系统与网络的可信，提高整个信息系统的安全也是靶场网络安全可以考虑的方向之一。文章《基于虚拟机的可信计算》通过结合虚拟机和可信计算，研究设计了基于虚拟机环境下的可信计算方法[6]。

可利用可信计算技术及其支撑功能在靶场信息系统中实现信任根在虚拟计算节点上的建立和可信链的传递，在一台设备上创建虚拟机时，动态创建虚拟可信，并使之与虚拟机绑定；当虚拟机迁移时，通过信息环境中可信软件的交互，实现可信链的传递，同时基于虚拟信任根对虚拟机进行可信度量，能够确保虚拟信息环境安全可控，完成不同用户之间的安全隔离，达到增强虚拟计算节点安全性的目的。

6 结束语

经过近几年我国在CPU芯片、核心器件、支撑软件和配套系统等领域的快速发展，自主可控技术得到广泛认可和应用，靶场已经具备建立安全可控计算环境的条件和基础，在完成相关信息产品的国产化完全替代的同时，采用可信计算技术可有效降低基础软硬件设施设备以及各类应用软件（包括自研软件）的安全风险。

靶场在推行国产自主信息产品替代时，通信系统应与测发、测控等部门广泛开展合作，认真分析用户需求，提升用户对于自主可控计算机软硬件产品的认知，引导用户选择自主可控产品，以各类信息化装备为突破口，延伸至云计算、物联网等新兴应用，同时要提供优质平台，真正使自主软硬件技术成为靶场各领域信息化建设的主力军。在此前提下，建议建立可信体系结构，在自主可控的原则指导下依据国家可信计算系列规范制定靶场自己的规范，牢牢把握自主可信的根基，借鉴其优秀的技术思想，发展靶场基于自主可控的可信计算体系，从可信启动到构建安全稳定的可控信息环境，通过可信链的传递，为靶场各类信息系统的安全可靠运行提供保证，推动航天靶场国产软硬件的广泛使用和自研软件的长足发展，在靶场信息化建设领域迎来更广阔的发展空间。

参考文献

[1] 韩春林，叶里莎.基于可信计算平台的认证机制的设计[J].通信技术，2010年第07期，p92-94.

[2] 李勇，左晓栋.可信计算技术为自主可控保驾护航[J].中国信息安全，2015. 02.

[3] 刘昌平.可信计算环境安个技术研究[D].电子科技大学博士论文，2011. p3，p97.

I4] 刘孜文.基于可信计算的安个操作系统研究[D].中国科技大学博士论文，2010， p3-9.

[5] 赵辉，万俊伟.自主可控技术在试验任务领域的应用研究[J].飞行器测控学报，2015.02，p110-112.

[6] 韩春林，舒斌.基于虚拟机的可信计算[J].信息安全与通信保密，2010.07，p81-83.

作者简介：

刘波（1971-），女，汉族，山西阳泉人，毕业于国防科学技术大学，硕士研究生，太原卫星发射中心技术部，高级工程师；主要研究方向和关注领域：通信总体及信息安全。

史春光（1979-），男，汉族，山东莱阳人，毕业于国防科学技术大学，博士研究生，太原卫星发射中心技术部，工程师；主要研究方向和关注领域：通信总体及信息化。

赵文想（1974-），男，汉族，河北辛集人，毕业于国防科学技术大学，硕士研究生，太原卫星发射中心技术部，高级工程师；主要研究方向和关注领域：通信系统、信息安全。