中国工程院院士沈昌祥—顶天立地、海阔天空：可信计算构筑人 工智能安全底座

数十年来，沈昌祥院士一直致力于计算机信息系统、信息安全体系结构、系统软件安全、网络安全、密码技术等方面的研究工作，他是中央网信办专家咨询委员会顾问、国家集成电路产业发展咨询委员会委员、国家三网融合专家组成员，可信计算技术开拓者和奠基人。

在技术发展与应用的新时期，尤其人工智能技术发展突飞猛进的形势下，他高屋建瓴地用“顶天立地，海阔天空”八个字形容当前安全技术创新与应用发展政策、产业的环境与趋势、目标与志向，前景及未来，令人无限振奋。

为此，《智能物联技术》期刊编辑部希望通过与沈昌祥院士在人工智能热点议题及其一直致力推动的可信计算体系的交流，全面呈现一个技术大师的体系构建与实践，以供业界交流与碰撞，学习与发展，以期为推动技术进步、产业发展做出绵薄贡献。

沈昌祥院士：人工智能在赋能人类社会加快发展新质生产力，创建虚实融合新型网络空间的同时，正逐渐衍生出可危及国家安全和人类安全的重大风险。去年，马斯克在内的一众全球范围内AI领域重要人士联合公告“应将缓解人工智能导致的灭绝风险，与其它社会规模风险（如大流行病和核战争）等同重视，作为全球优先事项”。

今年4月26日，美国国土安全部宣布成立一个人工智能安全与保障委员会，由国土安全部部长亚历杭德罗·马约卡斯担任主席。

ChatGPT开创了智能化应用新局面，但基于大模型自身无安全可信和伦理道德，对人类社会带来了不利影响，例如，一名比利时男子在与ChatGPT交流后自杀身亡。曾经马斯克为首的众位科学家向美国政府发出请愿信，要求停止ChatGPT训练，与此同时，意大利宣布禁用ChatGPT，因为 OpenAl 违反了意大利相关的隐私规则和数据保护法。

记者：前面您提到了大模型应用越来越广泛的同时，也给人类带来了安全风险，请具体谈谈大模型存在怎样的安全挑战？

沈昌祥院士：大模型的全称为预训练大语言模型，本质上属于深度学习，但在参数的数量上要比深度学习高几个数量级。同时，大模型在全面拓展深度学习算法模型能力的同时，也放大了已有的AI安全问题。

大模型机制风险问题：大模型继承了深度学习模型的“黑盒子”特性叠加，加上高达百亿或千亿的复杂参数与神经网络结构，导致决策和推理过程难以被解释，由此也埋下了极大的风险隐患。

而大数据是指无法用现有的软件工具进行处理的海量复杂的数据集合，具有多源异构、非结构化、低价值度、快速处理等特点。

“大数据是钻石矿”，相当于数据废品和垃圾收集处理，从中发掘知识和本质规律。随着海量数据的进一步集中和信息技术的进一步发展，其中的安全问题也将成为人工智能技术快速发展的瓶颈。

目前，常见的大模型可能引发的安全风险问题包括隐私信息泄露、侵权问题、可信与伦理问题、被用于恶意目的或攻击等，其中，“幻觉”、偏见和违反当地法律法规及违背风俗习惯、价值观等问题最难以察觉。

我们可以看到，当前，人工智能的应用所引发的安全风险，已经引起全球对生成式AI伦理和安全问题的高度关注。比如与中国《生成式人工智能服务管理办法（征求意见稿）》征求意见几乎同一时期，美国商务部也就相关问责措施正式公开征求意见，包括新人工智能模型在发布前是否应经过认证程序、建立人工智能模型可信度、建立合法性和道德准则相关审查制度等。

记者：人工智能安全风险日益凸显已成为全球共识，对此，我国在政策层面有哪些体现？

沈昌祥院士：国家层面对人工智能安全尤其是网络安全高度重视。习近平强调要发展新质生产力，推进高质量发展，并及时将科技创新成果应用到具体产业和产业链上。党的二十大报告提出加快建设网络强国战略任务，强调“没有网络安全就没有国家安全”。

此外包括《中华人民共和国安全法》《国家网络空间安全战略》《网络安全等级保护制度2.0标准》及《关键信息基础设施安全保护条例》等多个政策法规中均强调推广安全可信的网络产品和服务。

党的二十届三中全会明确提出，完善市场准入制度，优化新业态新领域市场准入环境。中共中央办公厅、国务院办公厅印发的《关于完善市场准入制度的意见》文件中提出：聚焦深海、航天、航空、生命健康、新型能源、人工智能、自主可信计算、信息安全、智慧轨道交通、现代种业等新业态新领域。

其中特别强调聚焦人工智能、自主可信计算、信息安全、智慧轨道交通等新业态新领域，用好先进技术应用推进中心和各类科技成果转化等创新平台，实施新成果应用转化市场准入环境建设行动。

记者：这些年来，您一直致力推进可信计算体系的发展，在应对人工智能技术发展带来的安全风险方面，会有什么贡献呢？

沈昌祥院士：以主动免疫理论为代表的新型可信计算体系作为近年来我国可信计算领域的最新研究成果，实现了对系统内合法与非法成分的有效区分。

以该体系为支撑的安全可信创新体系，目前已在体系架构、密码技术、控制模块、主板、软件基、网络连接等的研究中得到了全面发展，加之国家各层面政策的指引，产业应用前景非常广泛，可谓顶天立地、海阔天空。安全可信保障体系是发展人工智能的前提，自主可信计算也将成为筑牢人工智能安全的底座。

记者：可信计算（Trusted Computing）已是世界网络安全的主流技术，TCG（Trusted Computing Group）于2003年正式成立，已有190多成员，以WINDOWS 10为代表可信计算已成焦点，请您给我们介绍一下中国可信计算的发展历程以及有哪些创新？

沈昌祥院士：我国可信计算源于1992年正式立项研究“主动免疫的综合防护系统”，经过长期攻关、军民融合，形成了自主创新的可信体系，不少已被国际可信计算组织（TCG）采纳。

国内权威媒体对我国可信计算的创新发展进行了高度评价。《求是》发表了笔者的署名文章《用可信计算构筑网络安全》；新华社组织召开中国可信开放与网络安全高峰论坛，参考消息进行了整2版报道；新华社中国名牌杂志将可信计算定义为网络安全的主动防御时代；《中国信息安全》、《信息安全与通信保密》分别发行了可信计算专刊。

可信计算的发展路径可以分为三个阶段：

相对于国外可信计算被动调用的外挂式体系结构，中国可信计算革命性地开创了自主密码为基础、控制芯片为支柱、双融主板为平台、可信软件为核心、可信连接为纽带、策略管控成体系、安全可信保应用的全新的可信计算体系结构框架，在该体系结构框架指引下，我国2010年前完成了核心的9部国家标准和5部国军标的研究起草工作。

到目前为止，已发布国家标准3项和国军标3项，即将发布国家标准2项，已发布团体标准（中关村可信计算产业联盟标准）4项，授权国家专利上百项。构建了全新的可信计算标准体系，是创新的成果，其创新性主要体现在四个方面：

另外，我国的可信计算也突破了国际可信计算组织（TCG）可信计算局限性，第一是突破密码体制的局限性，TCG原版本只采用了公钥密码算法RSA，杂凑算法只支持SHA1系列，回避了对称密码。由此导致密钥管理、密钥迁移和授权协议的设计复杂化（五类证书、七类密钥），也直接威胁着密码的安全。TPM2.0采用了我国对称与公钥结合的密码体制，并申报成为了国际标准。

其二是改善了体系结构的不合理，TCG采用外挂式结构，未从计算机体系结构上做变更，把可信平台模块（TPM）作为外部设备挂接在外总线上。软件上，可信软件栈（TSS）是TPS的子程序库，被动调用，无法动态主动度量。中国可信计算创新的采用双系统体系架构，变被动模式为主动模式，使主动免疫防御成为可能。

第三是在算法、机制和证书结构三个方面创新了可信密码体系。在密码算法上，全部采用国有自主设计的算法，定义了可信计算密码模块（TCM）；在密码机制上，采用对称与公钥密码相结合体制，提高了安全性和效率；在证书结构上，采用双证书结构，简化了证书管理，提高了可用性和可管性。公钥密码算法采用的椭圆曲线密码算法SM2，对称密码算法采用SM4算法，SM3用于完整性校验。利用密码机制可以保护系统平台的敏感数据和用户敏感数据。

我国自主创建的主动免疫体系结构，在双系统体系框架下，采用自主创新的对称非对称相结合的密码体制，作为免疫基因；通过主动度量控制芯片（TPCM）植入可信源根，在TCM基础上加以信任根控制功能，实现密码与控制相结合，将可信平台控制模块设计为可信计算控制节点，实现了TPCM对整个平台的主动控制；在可信平台主板中增加了可信度量控制节点，实现了计算和可信双节点融合。

软件基础层实现宿主操作系统和可信软件基的双重系统核心，通过在操作系统核心层并接一个可信的控制软件接管系统调用，在不改变应用软件的前提下实施对应执行点的可信验证，达到主动防御效果。

网络层采用三层三元对等的可信连接架构，在访问请求者、访问连接者和管控者（即策略仲裁者）之间进行三重控制和鉴别，管控者对访问请求者和访问连接者实现统一的策略验证，解决了合谋攻击的难题，提高系统整体的可信性。

特别关键的是对应用程序未作干预处理，这是确保能正确完成计算任务逻辑完整性所要求的，正确的应用程序不应打补丁，否则将形成新的漏洞。

同时，通过安全管理中心支持的计算节点可信架构，可以为计算节点的监控提供可信支撑，及时保障计算资源不被干扰和破坏，提高计算节点自我免疫能力。计算节点可信架构中的可信链以物理可信根和密码固件为平台，实施可信基础软件为核心的可信验证过程，以此支撑可信应用。

架构中的可信基础软件由基本信任基、可信基准库、支撑机制和主动监控机制组成，主动监控机制又包括了控制机制、度量机制和判定机制。

控制机制是通过监视接口接管操作系统的调用命令解释过程，验证主体、客体、操作和执行环境的可信，根据此执行点的策略要求（策略库表达的度量机制），调用支撑机制进行度量验证，与可信基准库比对，由判定机制决定处置办法。

可信基础软件通过主动监控机制监控应用进程行为可信和宿主节点的安全机制和资源可信，实现计算节点的主动安全免疫防护。

可信协作机制可以实现本地可信基础软件与其它节点可信基础软件之间的可信互联，从而实现了信任机制的进一步扩展。安全管理中心管理各计算节点的可信基准库，并对各个计算节点的安全机制进行总体调度。

记者：这些年来，您一直在大力倡导可信3.0的推广应用，并表示这将极大地促进我国网络安全产业的国产化和自主创新，在全球网络安全领域占据有利的竞争地位。能否给我们进一步概要介绍下可信3.0有哪些革命性的优势呢？

沈昌祥院士：传统网络安全系统主要是由防火墙、入侵监测和病毒查杀打补丁等组成，这种“封堵查杀”的模式难以应对人为攻击，且容易被攻击者利用。

与前两代可信计算相比，可信3.0的主要特征是系统免疫性，其保护对象为以系统节点为中心的网络动态链，构成“宿主 + 可信”双节点可信免疫架构，宿主机运算同时可信机进行安全监控，实现对网络信息系统的主动免疫防护。

记者：如何在构建人工智能主动免疫保障体系的同时，用可信计算3.0构筑网络安全？

“十二五”规划有关重大工程项目都把可信计算列为发展重点，军方演示验证成果用于党政部门。国家重要信息系统，如增值税防伪、彩票防伪、二代居民身份证安全系统都采用可信计算3.0作为基础支撑。

中国可信计算已经成为保卫国家网络空间主权的战略核心技术，已在国家核心系统和关键信息基础设施得到规模化成功应用，并列为国家战略和法律要求。

同时也是世界网络空间斗争的焦点，美国第三次“抵消战略”（对抗“下一代敌人”的“下一代技术”）把“高可信网络军事系统”等列为重点，围绕安全可信展开新的较量。

其次要抢占网络空间安全核心技术战略制高 点。2014年4月8日，微软公司正式停止对WINDOWS XP的服务支持，强推可信的WINDOWS8，严重挑战我国的网络安全。如果国内运行的2亿台终端升级为WINDOWS 8，不仅耗费巨资还失去了安全控制权和二次开发权。采用我国的可信计算安全增强，可避免微软停止服务所引起的安全风险，有力支撑了按习总书记批示精神政府不采购WINDOWS 8的决定落实。

2014年10 月，微软又推出了WINDOWS 10，宣布停止非可信的WINDOWS 7等所有版本。WINDOWS 10不仅是终端可信，而且是移动终端、服务器、存储系统等全面执行可信版本，强制与硬件TPM芯片配置，并在网上信息加密一体化支持管理，可谓“可信全面控制，一网打尽”。推广WINDOWS 10将直接威胁网络空间国家主权。

我国按照网络安全审查制度成立安全审查组，按照WTO“尊重销售国有关法律法规和有关标准”的规则，开展对WINDOWS 10的安全审查。坚持要遵守我国《电子签名法》和《商用密码管理条例》，必须进行本土化改造，其中数字证书、可信计算、密码设备必须是国产自主的，这是底线。而且我国有完整的技术、产品和服务，完全具备国产化替代条件。为此，以改革开放、合作开发、互利共赢的原则成立的合资公司，开始了一场新的博弈，“引进必须安全可控”。

要做到“五可一有”：可知，即对合作方开放全部源代码，要心里有数，不能盲从；可编，要基于对开源代码的理解，能自主编写代码；可重构，面向具体的应用场景和安全需求，对核心技术要素进行重构，形成定制化的新的体系架构；可信，通过自主的可信计算技术增强本土化系统免疫性，防范漏洞影响系统安全性，使国产化替代真正落地；可用，做好应用程序与操作系统的适配工作，确保自主系统能够替代国外产品；有自主知识产权，要对最终的系统拥有自主知识产权，保护好自主创新的知识产权及其安全，坚持核心技术创新专利化、专利标准化、标准推进市场化。要走出国门，成为世界品牌。

科学管理再加上可信计算控制平台提供资源可信度量、数据可信存储、行为可信鉴别、主客体的可信认证，能及时发现异常行为和环境的非法改变，以及主要信息破坏，并立即采取措施，使攻击无效。即使有BUG，也不会变成漏洞，无法实施攻击，保证系统安全运行。

通俗来讲，安全可信保障体系可以达到“六不”效果：第一是攻击者进不去；第二是即使混入了，也无法获取信息；第三是拿到了信息也看不懂，因为信息是加密的，无法理解其内容；第四是无法进行篡改，勒索无效；第五是即使出现了故障问题，也能及时发现并处理，防止系统崩溃；第六是行为都审计记录在案，即具有不可抵赖性。

记者：您如何看待可信3.0技术未来的发展趋势和挑战？

记者：《智能物联技术》专注于智能物联、人工智能领域，近年来，在主办单位海康集团的高度重视下，旨在打造集产业研究、行业洞察、技术探索于一体的全媒体平台，致力于成为领域内产业研究的情报港、技术发展的助推器、创新企业的动力源，请您给我们一些宝贵的建议。

沈昌祥院士：《智能物联技术》目前的定位与调整非常好，你们一定要有全球视野，立足于国家重大问题，进行研究、报道，做好学术与产业发展的桥梁，祝期刊越办越好。