2.1 TCM技术体系概述
建立一套科学、先进的TCM技术体系是构建TCM标准体系的先决条件和核心基础。为理解我国自主可信计算TCM技术设计理念,本节先阐述TCM技术体系的设计目标、原则和思路,然后概要描述TCM技术体系架构。
2.1.1 技术体系设计
1. TCM技术体系设计目标
(1)构建一个完备的可信计算密码应用技术体系
为构建完整的可信计算TCM技术体系,需在以下几个层次上开展工作。
1)基础支撑层:采用自主密码算法,包括公钥算法SM2、杂凑算法SM3、对称算法SM4、随机数发生器算法,作为可信计算密码应用技术体系的安全功能的核心支撑引擎。
2)基础层:构建针对不同平台的统一的可信根,自主研发掌控的可信根是整个可信计算密码应用技术体系的基础,由其支撑整个技术体系安全机制设计。
3)平台层:系统平台层将定义包括PC平台、服务器平台、移动平台与嵌入式平台的TBB构建方式、安全BIOS设计要求、安全OS功能要求及实现方法。
4)基础设施层:基础设施层定义可信计算所需的支撑功能需求和实现要求,包括密钥管理、证书管理、信任(完整性)服务及平台管理等。
5)应用层:划分基础应用和行业应用两个层次,基础应用主要定义数据安全存储、平台身份管理、平台安全管理功能体系及技术路线,行业应用包括基于可信计算构建电子政务应用体系、电子支付应用体系、企业业务应用体系等功能与方法。
6)针对目前正兴起的新一代互联网,研究基于可信计算构建可信云服务和可信物联网的应用模式和构建方法。
(2)建立一个完整的产业链
基于可信计算TCM技术体系,建立一个完整的产业链,将可信计算的密码算法设计、芯片开发、操作系统、网络连接等一系列的产品开发商联合起来,形成一个完整的产业链条,以深度推动TCM相关产业的长足发展。
2. TCM技术体系设计原则
我国自主可信计算TCM技术体系设计原则体现如下。
1)依据我国信息安全保障需求,体现我国信息安全管理要求。
我国信息化发展空前迅速,信息安全保障需求成为信息化发展的重要组成部分。我们需要了解信息化发展的需求,开展自主研究开发工作,自主掌握可信计算的核心内容,从技术源头保障国家信息安全。
2)采用我国自主密码算法标准。
密码算法是保障信息安全的基础和有效手段,必须采用我国自主密码算法来构建可信计算技术体系,最大限度地保障国家信息安全。
3)以技术标准为基础,以应用为突破口,以推进产业发展为核心。
先构建核心技术体系和标准,再在此基础上进行应用系统的研发,以满足用户需求的应用作为突破口和动力,最终做到技术标准与应用的良性互动,促进整个产业链的发展。
4)注重自主创新,在新一轮IT产业发展潮流中,发挥引领作用。
自主创新,可以提高我国在可信计算中的可持续发展的能力,缓解对国外产品的依赖。在可信计算的发展过程中,不断完善整个产业链,培养技术人才,创新技术与管理模式。在新的IT产业发展潮流中作为领跑者,对国家信息安全和国家整体形象都有重要的意义。
3. TCM技术体系设计思路
可信计算TCM技术体系设计思路主要如下。
1)分析和研究国外可信计算密码应用技术体系现状和发展趋势,了解其技术发展水平以及产业推进中的问题,为构建TCM技术体系提供借鉴作用。
2)针对我国信息化建设对可信计算密码应用技术体系进行需求分析,确立我国可信计算密码应用技术体系设计目标,并制定相关的标准。
3)结合国内产业界、学术界、科研院所现有相关技术成果,从密码算法集、硬件基础模块层、平台层、基础设施层、应用层和技术检测层建立一个完整的可信计算密码应用技术体系,以此指导我国可信计算产业乃至IT产业发展。
4)建立自主可信计算产业联盟,联合相关的产业,包括计算机制造、基础和应用软件、集成电路和安全芯片产业等,形成一个具备强大竞争实力的稳定的产业链。
5)确保可信计算标准的后向兼容性,使可信计算整个产业平滑前进,对可信计算在各个行业的标准规范进行规范化和统一,扩大中国可信计算产业的影响,广泛开展国际合作。
2.1.2 技术体系架构
根据我国可信计算产业发展需求和可信计算技术体系设计目标,TCM技术体系总体结构设计如下。
整个技术体系分为可信密码模块、可信计算密码支撑平台、可信计算基础设施、可信应用、技术检测平台5个层面,如图2-1所示。
图2-1 TCM技术体系架构
可信密码模块是整个技术体系的基础层,将根据计算平台的体系结构和功能特点,将构建针对该平台的可信密码硬件模块和软件模块,详细定义其功能体系和设计实现要求。
可信计算平台是整个TCM技术体系的关键层,针对当前主要产品形态,构建计算平台的安全主板与可信BIOS、信任链系统。
可信计算基础设施是应用技术体系的支撑层,主要构建可信证书服务、可信网络接入、信任性服务,将以中间件方式实现相关技术产品。
可信应用是整个应用技术体系的重心层,从平台的基础应用到网络分布式的行业应用,对现有应用技术体系安全性进行全面提升,以充分满足整个网络信息系统的安全需求。
技术检测层是针对我国信息安全技术管理需求,建立算法检测、模块检测、平台检测、支撑服务检测和应用检测技术标准及工具,以实现可信计算产业发展自主掌控。