可信华泰再次荣获中国电子集团科技进步一等奖

发布时间:2022-07-06 发布人:Z

近日,中国电子集团公司颁布了“2021年度中国电子信息产业集团有限公司科技进步奖(民品)获奖项目”证书。江南信安(北京)科技有限公司、北京可信华泰信息技术有限公司等多家联合研发的“基于TPCM3.0的物联网可信密码芯片模组JN_SE2021”项目成果,联合获得科技进步一等奖。此次获奖是可信华泰多年来聚焦可信计算安全领域技术积累的重要成果体现,再次验证了可信华泰在可信安全科技自主创新方面的领先性。


 

近年来,随着物联网正快速的融入和改变我们的生活过程,不论是车联网、智能家居网络、5G等,都在渗透进社会的方方面面。但是随着物联网技术的发展,一个日益严峻的问题摆在了所有人的面前——物联网安全。2016年10月份,美国最主要的DNS服务商Dyn遭遇3波DDoS攻击,这次网络攻击导致美国、东海岸、欧洲部分地区的网民一度无法使用网上支付系统,以及无法访问Twitter、Spotify、Netflix、AirBnb、CNN、华尔街日报等数百家网站。攻击者实际上是利用了数十万台受到僵尸网络感染的IoT设备,向目标进行DDoS攻击,使服务器拥塞而无法对外提供正常服务。而这次的攻击也被当时的媒体称之为“史上最严重的DDoS攻击”,可见其影响之大。2021年3月7日-9日,黑客持续对美国安防摄像头公司Verkada客户使用的15万个摄像头收集的视频,这是同类入侵事件中影响最大的一起。这次攻击导致Verkada客户,包括公司、医院、学校和拘留所的监控视频泄露。IoT设备在用户日常使用中,通常是默认联网,并且其代码一般都为开源,所以很容易被黑客所利用。同时,由于没有足够的存储空间,因此大部分IoT设备无法安装安全软件。这对于黑客而言,要入侵这些设备比捅破一张纸还容易。可以认为,物联网生态系统很少顾及的安全缺陷,正完整地暴露在黑客和不法分子的面前。
 

目前,依托IoT设备的僵尸网络的规模不断增长。众多基于Linux的跨平台DDoS僵尸网络家族这种僵尸网络复杂的变种已经出现。典型的IoT DDoS僵尸网络家族包括2013年出现的CCTV系列、肉鸡MM系列(ChiekenMM)、数字系列(10771、10991、25000、36000)、BillGates、Mayday、PNScan、gafgyt等。其中一种名为Hajime的新型互联网蠕虫,其传播方式与Mirai相似,但更加复杂,可以通过蛮力攻击(brute force attack)自行传播,并专门攻击中国物联网设备。专家预测,到2025年,将有750亿个联网的IoT设备。这些设备上运行的许多嵌入式固件都是不安全且高度脆弱的,从而使全世界不确定数量的关键系统和数据面临风险。

 

可信计算3.0为IoT注入主动免疫基因
 

攻击一千次,有一次成功便是胜利;防御一万次,有一次失败便是失败。可信计算3.0正是基于IoT系统的现有安全需求出发,通过“量体裁衣”的方式,针对应用和流程制定策略来适应实际安全需要,不需修改应用程序,构建积极主动的防御体系,通过“主动免疫双体系架构”能够抵御未知的威胁和攻击。

 

 

为了满足IoT设备体积小、硬件成本低、内部接口少、长期不维护等特点,可信华泰推出了板载可信根的方式,为IoT设备植入可信基因。可信根依据TPCM、TCM标准进行设计,并集成TCM可信密码模块。其中TCM密码模块符合国家密码局要求,采用国产密码算法SM2、SM3、SM4,依据TCM国家标准提供密码服务和密钥的管理体系。支撑可信计算身份认证、状态度量、保密存储过程中的密码服务。

 

可信根是主动免疫可信计算3.0体系的根基,在可信计算体系中所起的作用类似计算体系中的CPU,是安全防护策略的执行者。可信根是可信计算3.0体系的最核心部件,是构建计算任务和免疫防护并行双体系结构的基础,也是区别于国际可信计算的关键创新点。

 

可信根是可信机制的信任源点,具备隔离保障的资源环境,能够并行获取计算节点中的度量对象信息,为TSB可信软件基的可信验证提供了数据获取、控制的重要支撑。可信根是并行于CPU的防护部件,作为建立和保障信任源点的硬件核心模块,先于CPU运行,完成启动信任链的建立。通过可信链的建立及传递,完成对系统安全BOOT、可信内核、应用执行控制等可信功能,实现了系统的主动防御,保护IoT设备终端固件、应用、进程不被篡改、入侵及异常行为发生,保障数据不被窃取与泄露。

 

为了满足IoT设备存储空间小问题,通过定制化TSB可信软件基,为传感器、计算节点等IoT设备提供运行时对系统、应用、安全机制的重要度量,并提供安全防护功能,通过TSB可信软件基与可信根的交互保证了终端的安全和自身安全机制的完整,同时将信任传递到应用程序中。另外可信软件基无特征库升级需求,对IoT设备存储空间无特殊要求。

 


 

为了满足不同的物联网之间的大规模,异构化,动态化的分布式物联网环境。设计研发了分布式可信管理中心,各个节点管理中心是对本网络域内的IoT计算节点的TSB可信软件基、可信根进行策略、基准、日志统一管理的平台,同时也是基于可信数据的服务平台,能够提供可信状态评估支撑可信连接,基于可信日志数据进行数据分析挖掘,呈现可信态势提供可信服务以增强可信计算节点的免疫能力。

 

IoT可信安全的特色及优势
 

基于双体系架构保障计算全程可测可控

基于计算与安全防护并行的主动免疫双体系防御架构,防护部件可主动访问计算部件的所有资源(如存储、I/O等),而计算部件无法访问防护部件的资源,双方只能通过专用的安全通道进行交互,构建了整个主动免疫防护体系的基石,由于不向应用提供服务,极大的减少了安全的暴露面,让防御能力进一步提升,极大的增强了安全防护的能力。

 

基于可信计算3.0的恶意代码主动免疫防御

采用可信计算3.0主动免疫防御机制能够主动度量系统中的执行程序、执行代码、计算环境等,依据策略基于白名单保护业务程序,阻止非授权及非预期的执行程序运行,免补丁升级,免病毒、木马查杀,同时实现对已知或未知恶意代码的主动防御。

 

基于可信计算平台构建协同联动的整体安全防御体系

可信计算3.0的双体系架构将安全机制的度量和控制带到了前所未有的广度和深度,能够获取最真实、最底层、最广泛的信息数据,能够为综合数据分析的安全服务提供有效支撑。