在今天舉行的中國區(qū)塊鏈技術和產業(yè)發(fā)展論壇成立大會暨首屆開發(fā)者大會上，國家信息化專家咨詢委員會委員，長期致力于我國信息技術密碼工程、網絡安全等領域的研究工作的沈昌祥院士表示，新的可信技術來解決區(qū)塊鏈安全是根本的出路。

“區(qū)塊鏈一種共享的分布式數(shù)據(jù)庫，說到底是計算機的系統(tǒng)數(shù)據(jù)庫，記錄各方都認定的交易數(shù)據(jù)，增強透明度和安全性，并且能提高處理效率，中間人工的參與和干預不要了，去中介化了。它本身有安全性，就是用密碼來保證交易過程導致的篡改，但是系統(tǒng)如果共建以后，一樣的不安全，而且更不安全，完全在數(shù)據(jù)庫系統(tǒng)里面的，所以我們說的安全是系統(tǒng)安全，不光是應用安全?！?/span>

沈昌祥說道：“由于數(shù)據(jù)庫和計算機系統(tǒng)，區(qū)塊鏈都是為了完善任務去設計的，因此人們的邏輯認識是有限的，是有局限的，不可能把所有的問題都解決了，只能局限于完成計算任務去設計IT系統(tǒng)，因此必定存在邏輯不全的缺陷，從而難以應對人為利用缺陷進行攻擊，一般系統(tǒng)是難以頂?shù)米〉模?strong>盡管區(qū)塊鏈有安全密碼來驗證這個是真是假，但是一旦密碼出了問題以后，照樣是驗證不了。”

因此，我們必須從邏輯正確驗證、計算體系結構和計算模式等科學技術創(chuàng)新去解決邏輯缺陷不被攻擊者所利用的問題。“以前防火墻、入侵檢測和病毒防范“老三樣”解決不了這個問題，封堵查殺難以應動利用邏輯缺陷的攻擊。消極被動防不勝防，超級權限用戶的違背安全原則，超級權限用戶要什么拿什么，危害著我們安全方面的原則?！?/span>

用密碼實施身份識別、狀態(tài)度量、保密存儲、及時識別實體和非實體的身份，強調破壞和進入的有害物質，這是根本的錯誤。我們只能重建主動免疫可信體系，才能有效抵御攻擊。可信計算是一種云運算和防護并存的主動免疫的新計算模式，是指計算運算的同時進行安全防護，使計算結果總是于預期一樣，計算全程可測可控，不被干擾。

因此安全是相對的，保證原來正確的目標以達到就可以了。

以下是其演講要點：

今天的會議是區(qū)塊鏈重要的啟動會，區(qū)塊鏈能健康的發(fā)展，能立足于各行業(yè)，根本的保證是安全。所以我要講一講用新的可信技術，來解決區(qū)塊鏈安全是根本的出路。

先講一講主動免疫可信網絡安全有什么優(yōu)勢?？尚趴捎梅侥馨踩换?，主動免疫方能有效防護，自主創(chuàng)新方能安全可控，這個完全符合區(qū)塊鏈的產業(yè)發(fā)展。

那么它的安全問題是什么？它是一個計算科學問題，是一個體系結構問題，是一個計算模式問題。區(qū)塊鏈一種共享的分布式數(shù)據(jù)庫，說到底是計算機的系統(tǒng)數(shù)據(jù)庫，記錄各方都認定的交易數(shù)據(jù)，增強透明度和安全性，并且能提高處理效率，中間人工的參與和干預不要了，去中介化了，但是依賴于密碼加密驗證的技術，這個技術使得交易數(shù)據(jù)塊連起來，來表達交易的過程，形成一個鏈，就是區(qū)塊鏈。這也是公開、透明、公共的交易賬本，去中心化的傳統(tǒng)人工處理，顯然是信息化的計算機處理系統(tǒng)，因此保證系統(tǒng)的安全可信是根本。

它本身有安全性，就是用密碼來保證交易過程導致的篡改，但是系統(tǒng)如果共建以后，一樣的不安全，而且更不安全，完全在數(shù)據(jù)庫系統(tǒng)里面的，所以我們說的安全是系統(tǒng)安全，不光是應用安全。

這個問題怎么引起的呢？我們怎么解決呢？由于數(shù)據(jù)庫和計算機系統(tǒng)，區(qū)塊鏈都是為了完善任務去設計的，因此人們的邏輯認識是有限的，是有局限的，不可能把所有的問題都解決了，只能局限于完成計算任務去設計IT系統(tǒng)，因此必定存在邏輯不全的缺陷，從而難以應對人為利用缺陷進行攻擊，一般系統(tǒng)是難以頂?shù)米〉模M管區(qū)塊鏈有安全密碼來驗證這個是真是假，但是一旦密碼出了問題以后，照樣是驗證不了。所以我建議白皮書要重點說明系統(tǒng)安全，才能保證區(qū)塊鏈健康的發(fā)展。

因此，必須從邏輯正確驗證、計算體系結構和計算模式等科學技術創(chuàng)新去解決邏輯缺陷不被攻擊者所利用的問題。因此，我們說以前防火墻、入侵檢測和病毒防范“老三樣”是解決不了這個問題的，封堵查殺難以應動利用邏輯缺陷的攻擊，消極被動防不勝防，超級權限用戶的違背安全原則，超級權限用戶要什么拿什么，危害著我們安全方面的原則。

因此我們只能重建主動免疫可信體系，才能有效抵御攻擊。美國2005年4月14日美國政府公布了美國總統(tǒng)IT咨詢委員會2月14日向總統(tǒng)布什提交的《網絡空間安全：迫在眉睫的危機》，否定了美國用大量經費搞的研發(fā)，重新調整了研究領域，怎么辦呢？我們提出了可信免疫的計算模式和結構，可信計算是指計算運算的同時進行安全防護，使計算結果總是于預期一樣，計算全程可測可控，不被干擾，因此安全是相對的，保證原來正確的目標以達到就可以了。

可信計算是一種云運算和防護并存的主動免疫的新計算模式，用密碼實施身份識別、狀態(tài)度量、保密存儲、及時識別實體和非實體的身份，強調破壞和進入的有害物質，這是根本的錯誤。

計算機PC結構是計算機編譯和簡化產生的，但是把安全可靠防護的措施也簡化了，因為當時是假設如果是個人計算機，自己處理自己的，別人沒有關系的，所以相互影響或者是相互干擾的措施全部干掉，相當于剩下的沒有免疫系統(tǒng)，或者是免疫系統(tǒng)不全的問題。因此我們又提出可信支持的雙體系結構，我們一個體系加上去，黃圈里面是可信體系。

只有這樣，區(qū)塊鏈在新型信息技術的應用，才能安全的運行，構建安全可信的保障體系。云機損、大數(shù)據(jù)、移動互聯(lián)網，我們要保障體系結構不被破壞，操作行為不會干擾，資源配置不會錯配，數(shù)據(jù)存儲不被剽竊，策略管理不會被篡改，這樣保證我們系統(tǒng)的可信安全。

構建可信安全管理中心支持下的積極主動三重防護框架，重點是在數(shù)據(jù)庫的處理，就是計算處理節(jié)點上的安全，我們叫可信計算安全，這里面因為篡改，因為破壞，整個就癱瘓了。第二我們要有可信的節(jié)點，現(xiàn)在防火墻不解決安全技術的問題，也是超級用戶不太合理，原來把進來的男男女女衣服脫光了，這個能解決問題嗎？更嚴重的問題是旁邊人都看到了，裸奔了?！袄忡R門”利用世界致命防護墻竊取情報，我們有可信的軟件，要保證我們交易過程當中保密，是不會篡改，不會假冒，而且有一定的保密性。

還有管理中心很重要，系統(tǒng)資源管理相當于保密室的安全管理，相當于監(jiān)控室的審計管理。這樣我們要求供給者進不去，進去了以后也拿不到，即便拿到了以后也看不懂，想改也改不了。更重要的是攻擊行為賴不掉，這很重要，美國情報系統(tǒng)對于我們重要的網站，重要系統(tǒng)進出自由，中國人一概不顧，原因是他們篡改了記錄，我們改不了。因此有這樣的技術，以前震網、火焰、心臟滴血等不查殺而自滅。

這些技術是怎么來的呢？我們說中國在這一方面的技術有顛覆性的創(chuàng)新，所以我的名字叫中國重啟可信計算革命。中國也遇到了安全的嚴重挑戰(zhàn)，尤其是核心機密安全問題，1992年正式立項研究主動免疫的綜合防護系統(tǒng)，經過長期攻關，軍民融合，形成了自主創(chuàng)新的可信體系，可惜的是我們自己用得不是很廣泛，被國際可信組織TCG拿走了。

我們全新可信計算體系框架，自主密碼為基礎，控制芯片為支柱，雙融主板為平臺，可信軟件為核心，可信連接為紐帶，策略管控成體系，安全可信保應用。

更重要的我們有標準，我在國信辦的時候，在2000年以前，安全委給了我們9個可信計算的基礎，我們完成了標準的起草，可惜沒有繼續(xù)做下去，只發(fā)布了三個，但是標準體系應該是創(chuàng)新的，第一打基礎，自主密碼體系。第二個是構主體，四個主題性質標準，芯片、主板，軟件，網絡。第三是搞配套，四個配套標準，規(guī)范結構，服務器，存儲和測評。第四個是成體系，管控應用相關標準，網站、辦公、等保等。

我們搞了國際TCG，我們是顛覆性的，我們是革命性的，因為TCG搞的有局限性，是兩個方面，一個是密碼體制的局限性，是用了現(xiàn)在的RSA，區(qū)塊鏈的白皮書也是有局限性，光一個RSA，存在密碼理論上不可安全加密性的問題，沿用了上萬，這個東西我們比國外的東西比較多，回避了對稱密碼。

因此，他們搞了很復雜的一些補救措施，一個RSA就搞了七類密匙，證書搞了五類，還是沒有解決安全問題。TPM2.0采用了我國的可信密碼體制，并成為國際標準，現(xiàn)在已經批準了，TPM2.0標準框架是我們的，他們說感謝中國的創(chuàng)新這句話也去掉了。

第二，體系結構的不合理，還是主要停留在簡單工程層面，尚缺乏比較完善的理論模型，TPM外掛，要達到可信，應用程序、操作系統(tǒng)，必須要調用程序庫才能達到所謂的可信，現(xiàn)在還是功能性的被動化解，不能解決主動違約的問題。

密碼算法創(chuàng)新，我們提出了密碼構建和密碼模塊TCM，具體的密碼算法是不對的，密碼是一個實體，密碼是一個部件，必須有名有姓有管理人。我們提出了對稱密碼和非對稱密碼相結合，提高了安全性和效率?，F(xiàn)在密碼安全的認證問題，對稱密碼進來，他們很快接受了，現(xiàn)在國際標準是我們的體制。

再就是雙證書結構，簡化證書管理，提高了可用性和可管性，一個是設備證書，一個是應用證書。

體系結構的創(chuàng)新，自主創(chuàng)新密碼體系講過了，主動度量控制芯片，再就是計算可信融合主板，我們是計算跟可信兩個節(jié)點高度融合的主板，在主板我們已經做成了在CPU上融合。雙體系的核心軟件TCG是一個支撐庫，我們不是大腦指揮，是大腦也去支撐，因此構成了雙體系。三元三層的可信連接。

所以現(xiàn)在是新的時代，那么1.0是什么樣的，可信計算出現(xiàn)得比較早，在八十年代就出現(xiàn)了，一個是美國國防部有白皮書，軟件功能上差一些。更重要的是運輸機構利用可信這種度量辦法，使得主機可靠性，主機去保護對象，計算機部件，采用冗余備份，故障診查，還有容錯算法。    

那么2.0是PC時代，節(jié)點安全性，真正成規(guī)模是TCG出現(xiàn)了以后，對PCG實現(xiàn)可信的保護，以PC單機為主，功能模塊，是被動度量的，平臺是TPM+TSS軟件庫。

3.0是網絡系統(tǒng)，系統(tǒng)免疫性，節(jié)點虛擬動態(tài)鏈，宿主+可信雙節(jié)點構成的結構，主動免疫的密碼技術，形態(tài)是可信免疫架構。

3.0有很好的可信，比如說基于密碼為基礎的，計算復雜性，可信驗證。應用適應面，取決于系統(tǒng)的安全需求，我們通過策略的制定來適應安全需要。安全強度，強可抵御未知病毒，未知漏洞的攻擊、智能感知。保護目標，統(tǒng)一管理平臺策略支撐下的數(shù)據(jù)信息處理可信和系統(tǒng)服務資源可信，技術手段，密碼為基因，主動識別，主動度量，主動保密存儲。防范位置是行為的源頭，成本很低，可在多核處理器內部實現(xiàn)可信節(jié)點，現(xiàn)在主板上加一個芯片也是可以的。實施難度怎么樣？比一般的可信計算的調用要容易得多，既可使用與新系統(tǒng)建設也可進行舊系統(tǒng)改造。對業(yè)務的影響，不需要修改原應用，通過制定策略進行主動實時防護，還有業(yè)務性能影響3%以下。

那么能不能解決問題，解決了沒有？回答是肯定的，我們堅持自主可控、安全可信的技術路線，《國家中長期科學技術發(fā)展2006-2020年明確提出了以發(fā)展高可信網絡為重點，開發(fā)網絡安全技術及相關產品，建立網絡安全技術保障體系。十二五規(guī)劃有關工程項目都把可信計算列為發(fā)展重點。最近公布的《網絡安全法》第15條增加了推廣安全可信的網絡設備和服務。

中關村可信計算產業(yè)聯(lián)盟于2014年4月16日正式成立，經過兩年多運行，已有十多各專業(yè)委員會，發(fā)展迅速，成績顯著。中國可信計算已經成為保衛(wèi)國家網絡空間主權的戰(zhàn)略核心技術，也是世界網絡空間斗爭的焦點。最近美國國防部高級研究計劃局公布了第三次抵消戰(zhàn)略（應對下一代敵人的下一代技術），把高可信網絡軍事系統(tǒng)列為重點項目。

國內權威媒體進行高度評價，新華社《中國名牌》發(fā)表了“可信計算：網絡安全的主動防御時代”。

中國程序員搶占網絡空間安全核心技術戰(zhàn)略制高點，微軟公司將正式停止對win XP的服務支持，強推可信的W8，嚴重挑戰(zhàn)我國的網絡安全。日本國內運行2億臺終端升級為W8，不僅耗費巨資，還失去了安全控制權和二次開發(fā)權。因此我們給總書記建議，總書記批示，政府采購不采購W8。我們有可信，可是問題又來了，W10又出來了，宣布停止非可信的W7，而且把服務器等其他的版本都升級為可信，以前W8是終端的，而且移動終端、服務器、云計算、大數(shù)據(jù)等全面執(zhí)行可信版本，強制與硬件TPM芯片配置，并在網上一體化支持管理，可謂可信全面管理一網打盡。

按照國家網絡安全審查制度，成立安全審查組，我們按照WTO的規(guī)則，要尊重銷售國家的有關法律法規(guī)和有關標準，開展對W10的安全審查。我們要遵守我國電子簽名法和商用密碼管理條例，必須進行本土化改造，其中數(shù)字證書、可信計算、密碼設備必須是國產自主的。這三個東西國產化了以后，才是真正的國產化，如果不是這樣的，那是掛羊頭賣狗肉。為此以改革開放、合作開發(fā)、互利共盈的原則，成立了合資公司，開始了一場新的博弈，引進必須安全可控。必須要堅持這一點。

要做到“五可”“一有”，第一是可知，所有的權威廠商對合作方開放全部源代碼，要心里有數(shù)，不能盲從，更重要的是可編，我中國的源代碼要能用，要能編。要創(chuàng)新，要重構，要構成中國的邏輯，中國的體系結構。第四是可信，通過可信計算技術增強自主系統(tǒng)免疫性，防范漏洞影響系統(tǒng)安全性，是國產化真正落地，保證國產化健康進行。第五是可用，做好應用程序和操作系統(tǒng)的適配工作，確保自主系統(tǒng)能夠替代國外產品。

一有就是自主知識產權，要對最終的系統(tǒng)擁有自主知識產權，并處理好所使用的開源技術的知識產權問題。堅持核心技術創(chuàng)新專利化、專利標準化，標準推進市場化，要走出過門，成為世界名牌。

我們經歷了長期的軍民融合，經過了軍方的驗證，現(xiàn)在有三個形態(tài)的設備，可以構建可信網絡，一個是系統(tǒng)重構可信主機，老機器怎么辦？主板上可以插一個PCI可信控制卡，配接USB可信控制模塊，可以把新老體系融合在一塊，構成一個長期的可信，能達到手動連接，能主動識別。控制，安全管理，制定可信主、客體間訪問規(guī)則。還有報警。

我們自己有漏洞，也會被人家所利用，功能上保證了，因為資源可信高量了，數(shù)據(jù)可信存儲，行為可信鑒別，用大數(shù)據(jù)處理發(fā)現(xiàn)它的規(guī)律，發(fā)現(xiàn)了新的攻擊源和新的病毒，這樣要實施高安全等級可信防護體系，更重要的是網絡化可信支撐環(huán)境，去年年底可信聯(lián)盟發(fā)布了互聯(lián)網平等的可信支撐的平臺。

說了半天，解決了哪個系統(tǒng)的安全問題？重要核心系統(tǒng)規(guī)?；ㄔO應用，說兩個吃螃蟹的事，第一個是國家電網電力調度系統(tǒng)安全防護建設，去年年底烏克蘭大面積停電，就是攻擊了電力調度系統(tǒng)的服務器系統(tǒng)，需要加命令，電力系統(tǒng)在5、6年以前，以可信計算架構實現(xiàn)等級保護四級，這是發(fā)改委14號令。電力可信計算密碼平臺已在34個省級以上調度控制中心和59個地級調度控制中心上線運行，覆蓋了上萬臺服務器，確保了運行安全。我們攻克了烏克蘭的攻擊，解決了關鍵的問題，第一你是不是主動的免疫，第二，實現(xiàn)了可信保障機制，使得系統(tǒng)運行效率有限降低，第三，他們提出來一個很成熟的D5000的軟件，不需改動源代碼，一個是你改不起，改一條指令，要重新實施，重新考核，重新評估，再就是改不了，D5000軟件進行了近十年的努力建立起來的上。從安全原理上不能改，改是很忌諱的事。

中央電視臺可信制播環(huán)境建設，5、6年以前他們提出了很偉大的方案，把所有的電視記錄的電視播放全部計算機網絡來實施，構建了網絡制播的可信計算安全技術體系，建立了可信、可控、可管的網絡制播環(huán)境，達到了四級安全要求，確保節(jié)目安全播出。我以前覺得很不放心，內部適用研究，但是四五年的安全運行，老臺也用了，新臺也用了，在重要的環(huán)節(jié)上，保證了從編排到播出的整個流程，保證安全的播出。我們可信做得還是比較粗，是老三樣的改造，但是可以證明這個功能和技術，能解決目前一些難題，但是我們要加倍努力，進一步細化可信計算，把它做得更好。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。