《用可信计算构筑区块链安全.pdf》由会员分享,可在线阅读,更多相关《用可信计算构筑区块链安全.pdf(36页珍藏版)》请在三个皮匠报告上搜索。
1、国家集成电路产业发展咨询委员会委员国家信息化专家咨询委员会委员国家三网融合专家组成员用可信计算构筑区块链安全目录科学的网络安全观中国可信计算革命性创新主动免疫的区块链安全序网络安全法第十六条推广安全可信的网络产品和服务国家网络空间安全战略加快安全可信的产品科学的网络安全观是网络空间安全计算科学问题体系结构问题计算模式问题1、网络安全是永远主题逻辑正确验证、计算体系结构计算模式主动免疫防御2、可信免疫的计算模式与结构TPCM可信密码模块(TCM)可信计算3、安全可信系统架构安全防护效果:窃取保密信息系统和信息改不了非授权者重要信息拿不到系统工作瘫不成攻击者进不去攻击行为赖不掉中国可信计算革命性创
2、新发展国内权威媒体进行高度评价1、创新可信计算标准体系2、创新可信密码体系3、创新主动免疫体系结构可信软件基(TSB)请求连接管控可信应用软件宿主OS可信BIOS计算部件TPCM可信密码模块(TCM)可信策略安全管控4、开创可信计算3.0时代容错组织容错组织TCSEC TCGTCSEC TCG主机可靠性计算机部件冗余备份故障诊查容错算法节点安全性PC单机为主功能模块被动度量TPM+TSS系统免疫性节点虚拟动态链宿主+可信双节点主动免疫可信免疫架构可信1.0(主机)可信2.0(PC)可信3.0(网络)特性对象结构机理形态世界容错组织为代表TCG为代表中国为代表计算科学、体系结构的发展计算科学、体
3、系结构的发展5、构筑主动防御、安全可信的保障体系可信安全管理平台可信计算构建主动免疫体系监控主客体运行时状态审计主客体访问行为制定可信主、客制定可信主、客体间访问规则体间访问规则系统管理安全管理审计管理确定可信主、客体识别控制报警可信计算构建主动免疫体系资源可信度量主、客体的可信认证,及时发现异常,环境的非法改变重要信息保护系统层透明加解密防止非法、越权操作行为的访问控制确定可信状态以后,即使有BUG也不会变成漏洞,使攻击无效数据可信存储行为可信鉴别可信计算控制平台安全运行高安全等级可信防护体系GB/T25070-20106、重要核心系统规模化建设应用1)国家电网电力调度系统安全防护建设硬件层
4、硬件层可信计算平台可信计算平台业务层业务层可信可信安全安全管理管理平台平台国产服务器国产服务器可信卡可信卡国产操作系统国产操作系统应用应用1 1应用应用2 2应用应用3 3.国 国电 电证 证书 书系 系统 统可信芯片可信芯片操作系统操作系统/可信软可信软件基件基应用应用可信可信引导引导可信可信度量度量基于标签的强基于标签的强制访问控制制访问控制可信连接可信连接强制访问控制强制访问控制预期值管理预期值管理静态度量静态度量动态度量动态度量可信引导可信引导可信软件基可信软件基D D50005000应用平台应用平台消息消息总线总线服务服务总线总线通过逐级认证实现系统的主动免疫,达到等级保护四级技术要
5、求应用CPU使用率内存使用率计算时间加载前加载后影响度加载前加载后影响度加载前加载后影响度应用12.92%2.95%1.03%11%11%0%69s69.9s1.3%应用22.3%2.33%1.3%6.9%7%1.45%24.6s25.1s2.03%应用32.8%2.85%1.79%7.8%7.9%1.28%18.9s19.4s2.65%采用PCI可信卡的方式进行部署实施 实现了对已知、未知恶意代码的免疫 实现了可信保障机制,使得系统运行效率有限降低 基于D5000平台的安全标签,不许改动源代码2)中央电视台可信制播环境建设中央电视台电视节目生产、存储、编排和播出流程可信环境建设示意图主动免疫的区块链安全安全可信区块链组成可信区块链计算环境存储计算基础软硬件可信根设备区块链交易软件可信保障软件交易网络交易 网络可信基准值可信报告为可信的硬件、软件和安全策略提供度量基准值区块链计算环境向区块链审计平台提供可信报告,可根据可信报告确定区块链的异常情况,及时处理可信边界可信策略安全服务商为区块链计算环境提供可信保障策略结束语谢谢