当前位置：文档之家› 可信计算发展综述

可信计算发展综述

Ｓｕｒｖｅｙｏｎｄｅｐｅｎｄａｂｌｅｃｏｍｐｕｔｉｎｇ
ＸＩＯＮＧＧｕａｎｇ．ｚｅ，ＣＨＡＮＧＺｈｅｎｇ－ｗｅｉ。ＳＡＮＧＮａｎ（ＳｃｈｏｏｌｏｆＣｏｍｐｕｔｅｒＳｃｉｅｎｃｅａｎｄＥｎｇｉｎｅｅｒｉｎｇ，ＵｎｉｖｅｒｓｉｔｙｏｆＥｌｅｃｔｒｏｎｉｃＳｃｉｅｎｃｅａｎｄＴｅｃｈｎｏｌｏｇｙｏｆＣｈｉｎａ，ＣｈｅｎｇｄｕＳｉｅｈｕａｎ６１００５４，Ｃｈｉｎａ）
摘要：可信计算是当前计算机科学的一个研究热点，对可信计算的发展进行了综述。阐述了可信性的起源与内涵，总结了可信计算领域的国内外研究进展。针对安全关键系统，着重介绍了各种高可信保障技术。最后，探讨了可信计算的发展趋势。
关键词：可信性；可信计算；安全关键系统；多级高可信保障中图分类号：ＴＰ３０９文献标志码：Ａ
第２９卷第４期２００９年４月
计算机应用
ＪｏｕｒｎａｌｏｆＣｏｍｐｕｔｅｒＡｐｐｌｉｃａｔｉｏｎｓ
Ｖ０１．２９Ｎｏ．４Ａｐｒ．２００９
文章编号：１００１—９０８１（２００９）０４—０９１５—０５
可信计算发展综述
熊光泽，常政威，桑楠
（电子科技大学计算机科学与工程学院，成都６１００５４）（ｇｚｘｉｏｎｇ＠ｕｅｓｔｃ．ｅｄｕ．ｅｎ）
遛错图２缺陷、错误及失效之间的关系
１．２．３可信性保障技术高可信保障技术可分为避错、容错、排错和预错四种。１）避错。其目的是尽量避免将缺陷引入系统，主要应用
于系统的设计和维护阶段。在系统的设计阶段，从需求分析、系统定义、系统设计到代码编制，每个步骤都必须最大限度地保证其合理性和正确性，以避免缺陷的引入。
Ａｂｓｔｒａｃｔ：Ｔｈｉｓｐａｐｅｒｓｕｒｖｅｙｅｄｔｈｅｄｅｖｅｌｏｐｍｅｎｔｏｆｄｅｐｅｎｄａｂｌｅｃｏｍｐｕｔｉｎｇ．Ｔｈｅｂａｓｉｃｃｏｎｃｅｐｔｓｏｆｄｅｐｅｎｄａｂｉｌｉｔｙｗｅｒｅｅｘｐｌａｉｎｅｄ，ａｎｄｃｕｒｒｅｎｔｒｅｓｅａｒｃｈｗｏｒｋｓｏｆｄｅｐｅｎｄａｂｌｅｃｏｍｐｕｔｉｎｇｗｅｒｅｉｎｔｒｏｄｕｃｅｄ．Ｈｉｇｈｄｅｐｅｎｄａｂｉｌｉｔｙｓａｆｅｇｕａｒｄｔｅｃｈｎｉｑｕｅｓｆｏｒｓａｆｅｔｙ·ｃｒｉｔｉｃａｌｓｙｓｔｅｍｓｗｅｒｅｐｒｏｐｏｓｅｄ．Ｓｏｍｅｆｕｔｕｒｅｒｅｓｅａｒｃｈｄｉｒｅｃｔｉｏｎｓｏｆｄｅｐｅｎｄａｂｌｅｃｏｍｐｕｔｉｎｇｗｅｒｅｐｒｅｓｅｎｔｅｄ．
１９９６年，欧洲航天局首次发射阿丽亚娜５号火箭失败，其直接原因是火箭控制系统的软件故障，导致直接经济损失５亿美元，使耗资８０亿美元的开发计划延迟了三年。
２００３年，在美国电力检测与控制管理系统中，由于分布式计算机系统试图同时访问同一资源引起软件失效，造成美国东北部大面积停电，损失超过６０亿美元。
缺陷（Ｆａｕｌｔ）是指因人为的差错或其他客观原因，使所设计的系统中隐含有不正确的系统需求定义、设计及实现。这些缺陷将有可能导致系统在运行中出现不希望的行为或结果。缺陷是造成错误出现的原因，其来源十分广泛。
缺陷是产生错误的根源，但并非所有缺陷都能产生错误。通常，缺陷处于静止状态，当缺陷由于系统或子系统在特定环境下运行而被激活时，将导致系统或子系统进入错误的状态，当一个或多个错误进一步在系统或子系统中传播并到达服务界面时，将导致系统或子系统失效。一部分系统失效是非常危险的，如果这类失效在系统范围内得不到很好的控制，将最终导致灾难性事故发生。图２为缺陷、错误及失效之间的关系。
随着计算机广泛应用于诸如航空航天、核反应堆、国防建设以及与国民经济相关的重要领域，人类的生活乃至生存空间对计算机技术及其相关产品的依赖程度越来越高，这些计算机系统中的任何隐患都会对人们带来严重的甚至是灾难性的后果。近年来，这样的事例层出不穷，例如：
１９９２年，法国伦敦由于救护派遣系统全部崩溃，导致多名病人因为抢救不及时而失去生命。
文献［６］从可信硬件、软件、系统和网络等方面介绍了可
信计算的概念与发展。文献［５］从差错源的变化、复杂性的
迅速增加和计算设备总量的增加这三个方面分析了可信计算
的产业趋势。文献［７］全面总结了可信计算的不同发展阶
段，对当前网络环境下可信计算的研究内容进行了分析和点
评。文献［９］从密码学、可信计算、网络安全和信息隐藏等方
１９９２年，ｈ—ｅ把恶意代码和入侵等有意缺陷与偶然缺陷并列，丰富了可信性的内涵，并在他的著作《Ｄｅｐｅｎｄａｂｉｌｉｔｙ：ＢａｓｉｃＣｏｎｃｅｐｔｓａｎｄＴｅｒｍｉｎｏｌｏｇｙ））中对可信性进行了系统地阐述。１．２可信性的内涵
可信计算从出现到现在，已经有三十多年的历史了，在它不同的发展阶段中，研究的内容和重点在不断地演变。直到目前为止，可信性这一概念，还没有达成一个被广泛接受、良好形式化的定义，可称为“Ｄｅｐｅｎｄａｂｉｌｉｔｙ”、“Ｔｒｕｓｔｗｏｒｔｈｉｎｅｓｓ”、 “ＨｉｓｈＣｏｎｆｉｄｅｎｃｅ”Ｌ４Ｊ。相应地，可信计算也有“Ｄｅｐｅｎｄａｂｌｅ
安全性是指系统防止敏感信息与数据被未授权用户非法读写的能力，包括防止授权用户抵赖其已进行过的访问。安全性可进一步细分为机密性与完整性，其中机密性是指系统保护敏感信息与防止数据非法泄露的能力，而完整性则是指
系统保持敏感数据一致性的能力。可维护性是指系统易于修理和可进化的能力。
１．２．２损害
服务是指系统根据用户的输入或其他外部条件而进行的一系列操作。正确的服务是指正确实现系统功能的服务。失效（Ｆａｉｌｕｒｅ）指系统实际所交付的服务不能完成规定的功能或不能达到规定的性能要求，即正确服务向不正确服务的转化。系统失效则是指系统的实现未能与系统需求规范保持一致，
生，主要研究方向ｊ可信计算、嵌入式实时系统、软件工程。
万方数据
９１６
计算机应用
第２９卷
’Ｃｏｍｐｕｔｉｎｇ”‘５－６３，“ＴｒｕｓｔｅｄＣｏｍｐｕｔｉｎｇ”‘７３和“Ｔｒｕｓｔｗｏｒｔｈｙ
Ｃｏｍｐｕｔｉｎｇ”［８ｊ等多种叫法，不同的学者从不同的角度和层次
’对可信性的相关概念和可信计算的发展进行了阐述。
较，认为它们是互相等价的。
本文中，可信性采用“Ｄｅｐｅｎｄａｂｉｌｉｔｙ”的表述。简言之，
“可信性”指系统在规定时间与环境内交付可信赖的服务的
能力。可信性是一个复杂的综合概念，其中包含了特征属性、
降低或损害因素以及提高方式，如图１所示。
广可用性（Ａｖａｉｌａｂｉｌｉ可）
卜一可靠性（ＲｅＩｉａｂｉＩｉ啪
２）容错。容错是一种通用的可信性保障机制，其目的是使系统在运行中出现错误时能够继续提供标准或降级服务。容错技术能够处理多种类型的缺陷和错误，如硬件设计缺陷和软件设计缺陷。通常，容错被分为硬件容错、软件容错和系统容错。常用的容错方法都包含错误检测、错误处理、错误恢复三个过程，其中错误检测是设计容错系统的关键。当系统中出现错误状态时，不同的应用需采用不同的错误处理手段，如核电系统出现致命错误时应紧急停堆，而对于飞行中的飞机当检测到有致命错误发生时，显然不能简单关闭发动机，而应采取其他错误处理手段来保证飞机的安全。
—Ｅ害黜合桦ｒ（ｓＳ。ａ。ｆｅ，ｔ—ｙ￣、） … 广机密性ｄｅｎｔｉａｌｉｔｙ（Ｃｏｎｆｉｄｅｎｔ）Ｅ言筹箸篙慧：忘襻ｃｎｎｅ鲥∽’ Ｌ可维护性（Ｍａｉｎｔａｉｎａｂｉｌｉ萌一
可＿厂过程（瓣
信
性
Ｌ验证－［瓣
广一缺陷（Ｆａｕｌｔ）
—斗一错误（ＥｎＤｒｓ）
Ｌ一失效（Ｆａｉｌｕｒｅ） Nhomakorabea图１可信性的特征、实现方法及损害
与此同时，国际上也成立了一些可信性研究机构专门研究高可信保障技术，如ＩＥＥＥ·ＣＳＴＣ于１９７０年成立了“容错计算”研究小组，ＩＦＩＰＷＧｌ０．４于１９８０年成立了“可信计算与容错”研究小组，它们的成立加速了可信性相关概念走向一致。Ｌａｐｒｉｅ于１９８５年正式提出可信性（Ｄｅｐｅｎｄａｂｉｌｉｔｙ）以便与可靠性（Ｒｅｌｉａｂｉｌｉｔｙ）相区别。同时期，ＲＡＮＤ公司、纽卡斯尔大学、加利福尼亚大学洛杉矶分校等探索性地研究了如何综合错误容忍和信息安全防卫于系统设计中。
面综述了信息安全技术的研究进展，将可信计算看作解决安
全问题的一个新方案。文献［４，８，１０］分别介绍了高可信软
件工程，可信网络和可信中间件的发展。
文献［１１］对“Ｄｅｐｅｎｄａｂｉｌｉｔｙ”、“Ｔｒｕｓｔｗｏｒｔｈｉｎｅｓｓ”和“Ｈｉｇｈ
Ｃｏｎｆｉｄｅｎｃｅ”等几个概念从目标和面临威胁两方面进行了比
年代Ｂａｂｂａｇｅ的论文“计算机器”中¨ｊ。在２０世纪中期出现的第一代电子计算机是由非常不可靠的部件构建的，为确保系统的可靠性，大量切实可行的可靠性保障技术诸如错误控制码、复式比较、三逻辑表决、失效组件的诊断与定位等被用于工程实践中。Ｊ．ｙｏｎＮｅｕｍａｎｎ和ｃ．Ｅ．Ｓｈａｎｎｏｎ与他们的后继者则逐渐提出并发展了基于不可靠部件构建可靠系统逻辑结构的冗余理论旧Ｊ。１９６５年，Ｐｉｅｒｃｅ将屏蔽冗余理论统一为失效容忍（ＦａｉｌｕｒｅＴｏｌｅｒａｎｃｅ）。１９６７年，Ａｖｉｚｉｅｎｉｓ与Ｓｃｈｎｅｉｄｅｒ等人则把屏蔽冗余理论连同错误检测、故障诊断、错误恢复等技术融入到容错系统的概念框架中旧Ｊ。
收稿日期：２００８—１０—０６；倍回日期：２００８—１１－３０。
基金项目：国家８６３计戈Ⅱ项目（２００６ＡＡ０１２１７３）。
作者简介：熊光泽（１９３８一），男，四川丹棱人，教授，博士生导师，ＣＣＦ高级会员，主要研究方向：高可信计算、嵌入式实时计算、普适计算；
常政威（１９８１一），男，河南安阳人，博士研究生，主要研究方向：可信计算、嵌入式实时系统；桑楠（１９６４一），男，四川营山人，教授，博士研究
万方数据
或系统规范未能完全描述系统本身应具有的功能。失效的根源是由于系统（或子系统）内部出现了错误的状态，错误到达服务界面并改变服务时便产生失效。缺陷是导致错误发生的根源，它一般处于静止状态，当缺陷产生错误时，称缺陷被激活。

e商务文档

可信计算发展综述

相关文档推荐：