可信計算應用領域前景廣闊

清華同方電腦總工程師   劉鋒

隨著信息技術快速發展，可信計算的應用領域愈加廣泛。目前進入應用階段的包括數字版權管理、身份盜用保護、防止在線游戲作弊、保護系統不受間諜軟件和病毒侵害、保護生物識別身份驗證數據、核查遠程網格計算的計算結果。

在上述應用領域中，與政府采購聯系最為密切的是核查遠程網格計算的計算結果。具體表現是，可信計算可確保網格計算系統的參與者返回的結果不是偽造的。這樣，大型模擬運算（例如天氣系統模擬）就無需用繁重冗余的運算確保結果不被偽造，從而得到正確結論。

對此我國政府相關部門對可信計算給予了極大關注，近來對可信計算提供了大量的經費支持。國家密碼管理委員會組織制定可信密碼模塊標準，在其官方網站提供部分標準。科技部863計劃開展可信計算技術的項目專題研究。自然基金委開展可信軟件的重大專項研究計劃支持。

在可信計算技術研發過程中，可信計算芯片是核心，可同時解決三方面問題：一是可信計算芯片是計算機的身份證，含有一個不可更改的標識，可使計算機身份得到確認。二是可信計算芯片可為系統提供信任鏈機制，檢查硬件配置的有效性、預裝載的第一個程序代碼的有效性，由此一層層檢查，直到確保最后檢查系統所執行的所有應用程序有效。三是可信計算芯片內置加解密運算法引擎和密碼生成工具以及安全的存儲空間，確保密鑰的生成、比對和存儲都在同一芯片里。為了讓可信計算能更廣泛地應用到我國的經濟建設、國防安全等涉密領域，我國相關部門組織科研機構制定了一套可信計算標準，與國外相比，原理接近、功能類似，但具體的實現方式有所差異，最大的優點是自主可控。

不可忽略的是，我國自主制定的可信計算標準有其自身缺陷。首先，芯片自身功能相對較弱，只負責發號施令，而具體操作交給CPU完成。其次，可信計算芯片是旁路設備，而不是關鍵路徑設備，所以，可信計算芯片在工作過程中仍要依賴CPU和軟件。

實際上，這反映了我國信息安全產業體系現狀。在該產業鏈里，我國話語權很有限。在遇到安全隱患時該如何應對呢？目前，只能靠一些非技術手段解決，諸如建設電磁屏蔽室、隔離物理專網以及制定相應的管理保密條例等。(梁爽)