闵应骅：前进中的可信计算

http://hi.baidu.com/danganxi521/blog/item/46e19dd78de633dea044dfc6.html

闵应骅：前进中的可信计算

2007-11-13 10:51

     新闻离不开传递手段，科技在媒体的发展进程中发挥着积极推动作用，技术与内容被比喻为“一对互为依存的孪生姐妹”。科技对媒体发展有重要作用，尤其是在多媒体技术飞速发展的今天，科技将提升媒体的核心竞争力和整体效益、为媒体业的发展发挥越来越大的作用。传媒界的朋友们都知道，媒体的可信性是媒体的生命。在商品经济社会里，一个不可信的媒体，很难立足。而做到媒体可信的一个不可缺少的条件是可信的多媒体信息传播和处理技术。虽然这个条件不是充分的，但是必要的。可信计算技术就是可信的多媒体信息传播和处理的技术。我们知道，今天，“计算”一词的含义已经远远超出了数学运算的范畴。计算科学（Computing Science or Computational Science），或者叫信息学(Informatics)是研究信息的传递、描述和变换的科学，包括信息处理世界的基本规律和局限性。

     可信计算技术在传媒界受到的挑战

     我们先来举出几个事例说明可信计算技术在传媒界受到的挑战。这些例子当然也是对整个可信计算技术的，但与传媒界特别有关系。

     1．1994年，英特尔公司刚刚推出奔腾处理器。一位加拿大的教授发现，奔腾芯片浮点运算有出错的情况。不过，出错概率很小，约在90亿次除法运算中可能出现1次错误。英特尔为此损失了5亿美元。微处理器现在是到处都用，在传媒界就更不用说了。

     2．2002年９月，覆盖中国全国的鑫诺卫星多次遭到非法电视信号攻击，一再以非法信号持续攻击正常的卫星通信。这也提出了如何从技术上保证传媒可信性的问题。

     3．2005年7月，北京部分地区出现上网中断问题，很多ADSL以及宽带用户断网超过30分钟。通信线路中断故障不时出现。美国1990年一次电话网故障引起整个东部地区电话不通。

     4．现在网络受到攻击的事件层出不穷，不胜枚举。电视信号偶然中断或不清晰，用户也常有感知。据美国卡内基梅隆大学统计，在互联网上，2001年出现52,655次入侵事件，而2002年前三季度已达73,359次，可见增长速度之快。

     5．磁存储设备寿命只有几十年，而且，信息增长的速度远远超过设备增长的速度。美国两院院士、IEEE Fellow、ACM Fellow、麻省理工学院教授Fernando J. Corbató 说，“几十、几百年后，不可读的数据库和程序语言，丢弃的机器将大量出现。”我们怎么向子孙后代交待？他还惊呼：“用黑盒子系统做选举，可信吗？”现在媒体上的许多统计数据，是经过软件处理以后得到的。经过软件处理以后的统计数据是可信的吗？这里当然也包括选票的统计。

     6. 2001年4月，在美国，一个操作错误引起一个网络自治系统（AS）通告从它到9177个地址前缀都不可达。这个错误的通告又被通知到其他自治系统。要走这些路由的包就全部被踢掉。

     所有这些问题技术上无非是由于硬设备故障、线路故障、软件故障或人为故障。可信计算技术就是要在有故障的情况下，仍然让系统能正常工作，或者有紧急预案，自动处理。

     可信计算技术的历史回顾

     1957年在远程通信领域，开始了一场革命──在电话交换中采用存储程序控制。AT&T的电话交换系统要求40年只有2小时停用(即每年3分钟)。他们花费了很多年才达到这一目标。1965年引入的No.1 ESS处理器。采用双机比较的容错技术。1976年,AT&T在芝加哥推出了计算机化的电子交换机4ESS系统。AT&T首先在他们的产品中使用计算机容错技术。1999使用最后一个4ESS系统在电话网上实现包交换。为了达到电话系统的高可用性,在这类系统上实现了几乎所有的容错技术。今天,一个最重要的共识是:没有计算机就没有网络。电话网、有线电视网都需要计算机，而且是高可靠、高性能的计算机。计算机网就更不用说了。到1995年，全世界有5亿台电话,多于十万个电话交换局。除了大量采用计算机别无他法。而且,一旦计算机故障,网络就要失效。这已经被许多事实所证明。痛苦的努力使无故障系统的幻想被彻底丢弃,而采用软件容错、软件重用和面向对象的程序设计。同时,新情况、新需求更刺激计算机系统可信性技术的发展。现在世界上，无论国际还是国内，都面临多家电话公司的竞争,已经不再是一家的天下。但国际通信服务必须畅通无阻,不能几分天下。从技术上来看,从过去老的电话服务到可以移动的个人通信空间、从电视广播到多媒体传播,从模拟交叉点到异步传输方式、从电子到全光子网络。所有这些都说明,远程通讯不仅服务和技术在变化,整个网络结构、市场结构和商务都在变化, 给可信计算提出了很多新问题,也提供了广阔的应用前景。

     可信计算技术的发展要从容错计算说起。容错计算的研究与发展应该以1971年召开第一届国际容错计算会议（FTCS-1）为起点。“容错”当然不是指“容易错”，而是指“容许错”，更确切些说应该是“容许故障”。从1975年开始，商业化的容错机推向市场。到九十年代，软件容错的问题被提了出来。进而发展到网络容错。1995年在FTCS-15上，IEEE Fellow， A.Avizienis 教授等人提出了可信计算（Dependable Computing）的概念。

       2000年12月美国卡内基梅隆大学(CMU)与美国国家宇航总署(NASA)的Ames研究中心牵头成立了高可信计算联盟，十几家大公司和著名大学参加了该联盟。2002年1月皮尔·盖茨提出可信计算(Trustworthy Computing)的概念，用通讯方式送给微软所有员工。现在，微软、英特尔、和有190家公司参加的可信计算平台联盟(TCPA)都在致力于数据安全的可信计算，包括研制密码芯片、特殊的CPU、或母板，或操作系统安全内核。

     传媒中的计算必须是可信的。今天，传媒在人们生活中的作用就像电气设备、自来水和电话一样。人类最早用电是在十九世纪八十年代。那时，家里用电是很昂贵的，富人家可以用电灯。对电气用具的安全性并不保证，对于非标准的电气用具能否使使用者致命也无保证。到1900～1920年情况有了很大变化，用电又便宜、又安全可靠。要想让现代传媒变得像用普通电器一样，关键就是要达到同样的可信性程度。目的有四个：

     ① 安全，即容侵，系统及其数据的保密性、完整性、可用性不受侵犯。

     ② 隐私，用户能控制自己的数据，用这些数据的人承认信息公平原则，即终端用户的数据，未经同意，不得被别人或组织收集或分享。当信息在信息公平原则下被收集、存储或分享时，尊重隐私。

     ③ 可靠性。用户完全依靠产品来完成工作。

     ④ 商业信誉。产品提供商对产品完全负责。

     可信计算的定义

     “可信计算”一词，现在用得相当普遍。因为从字面上看是很诱人的。但含义有差别。有人叫Trusted Computing, Trustworthy Computing, 也有人叫Dependable Computing。公司在他的某一批产品中，加入了某些提高系统可靠性、可用性和安全性的措施，他可以说“我这是一个可信的产品”。但是，学术界把可信计算（Dependable Computing）定义为“系统提供可信赖的计算服务的能力，而这种可信赖性是可以验证的”。这就是说，你必须用某种方法来验证你的系统是可信赖的。这就困难了。我们知道，法律对于人有所谓“无罪认定原则”，就是说，除非有证据证明某人有罪，否则他就是无罪的。而对于可信系统，我们执行的是“有错认定原则”。那就是说，用户可以对系统设计者和制造者说，除非你有足够的证据证明你的系统是可信的，否则我就认为你的系统是不可信的。例如，对于一个软件，如果开发者没有足够的理由说明它是正确的，用户就认为它是有错误的。这个要求对系统设计者和制造者来说，是个难题。需要可信计算技术来提供。而且，可信性必须成为可以衡量和验证的性能。

     在可信计算领域，频繁地使用故障、差错和失效这些词。失效是指系统违反规定行为的一种变态，除非更换部件、进行修理，无法使之正常工作。故障是硬件物理缺陷的抽象表示或软件设计中的错误，使系统不能正常工作。差错是由一个有故障的系统所产生的错误输出。所以，最低层的故障(fault),引起数据输出的差错(error),导致系统最后的失效(failure)。

     失效的分类

     系统失效有那些类型，关系到失效分析、预防和修理。

     1. 按失效的范围来分，有内容失效、定时失效、停机失效、和奇异失效。

     当系统服务所传递的内容与系统规定所要求实现的内容不同时，就是内容失效。例如传送的图像失真，手机呼叫的号码不对。当系统服务传递的时间太早或太晚，则为定时失效。电视直播时的响应不及时是常见的事，这就是定时失效。停机失效很明显，就是系统停止工作。奇异失效是系统并未停止工作，但执行意想不到的事情。这常常是外部攻击所致。

     2. 按可检测性可分为警示失效和无警示失效。

     许多系统功能的丢失和异常都是有系统警示的，例如告警信号。有了异常不报警是无警示失效，而没有异常倒报警却是警示失效。当然，警示并不一定是指告警，也许是系统给用户的某一种提示。

     3. 一致性失效

     当系统有多个用户时，系统对所有用户不正确地提供同样的服务，就是一致性失效。例如向其他用户公开隐私。而当向多个用户发送同一信息时却各不相同，这就会引起混乱，甚至严重后果。这就是不一致性失效。著名的拜占廷将军问题就属于这一类。

     4. 从失效的后果来分，可以分为各种不同严重程度的失效，从微小失效到灾难性失效。

     严重程度可以按不同的准则来定义。例如，以可用性为准则，则计中断服务的时间；以安全性为准则，则考虑危及伤亡人数；以机密性为准则，则决定于可能泄露机密的内容；以数据完整性为准则，则决定于数据被破坏的程度及从中恢复的可能性。

     所有这些系统失效，从技术角度讲，都是由系统中的故障引起的。可信计算技术就是要提供各种技术手段来减少系统失效，提高系统可信性。本专拦如果反响尚好的话，以下各篇将分别就测试技术、可信系统结构、软件可信性、网络安全、可信性评测技术、软硬件设备更新与维护等诸方面加以说明。不但关注技术本身，尤其是思考方法，希望得到传媒界科技和管理工作者的理解和互动支持。（作者：闵应骅/本文刊于《中国传媒科技》2005.9）

作者简介：

 

    闵应骅： 美国电机电子工程师协会院士(IEEE Fellow)，中国科学院计算技术研究所研究员、博士生导师、湖南大学教授、博士生导师、龙星计划委员会中方主任、中国计算机学会容错专委名誉主任、国家自然科学基金委员会SOC重大专项专家组成员，《计算机科学技术学报》（英）副主编、《计算机学报》编委。 1962年吉林大学数学系毕业，曾获国家科技进步二等奖，中国科学院自然科学三等奖、二等奖两项，IEEE计算机学会奖，美国电机电子工程师协会计算机学会金核心成员。他已在国际国内发表学术论文250篇，专著4本，共被SCI引用136次，其中他人引用112次。多次担任IEEE国际会议主席或程序主席。曾在十一个国家和地区的36所大学讲学五十多次。美国电机电子工程师协会在遴选他为院士的报告中确认了他在微电子测试和容错计算领域国际学术带头人的地位和贡献。主要研究领域包括微电子测试、可信网络与系统等。