吳波 ，胡璇 ，金先濤

（1.工業(yè)和信息化部電子第五研究所，廣東 廣州 511370；2.智能制造裝備通用質(zhì)量技術及應用工業(yè)和信息化部重點實驗室，廣東 廣州 511370）

0 引言

對于信息系統(tǒng)而言，大多數(shù)安全隱患來自于終端，所以單純依靠網(wǎng)絡安全防御手段已經(jīng)不足以應對各類信息安全問題，特別是對于自動控制系統(tǒng)，使用基于硬件的保護措施成為信息安全防護的趨勢，只有從芯片、主板等硬件和BIOS、操作系統(tǒng)等底層軟件這兩個方面綜合地采取措施，才能有效地提高其安全性。

可信計算技術作為一種較新的信息系統(tǒng)安全技術，將解決信息安全問題的思路轉(zhuǎn)移到解決終端安全問題上來，從終端計算平臺的體系結構入手，結合底層硬件和軟件，在整體上采取安全措施以保證信息系統(tǒng)的可信與安全，正是基于這一思想催生了可信計算的迅速發(fā)展及其在各個領域的廣泛應用[1]。

可信計算特別適用于提高計算機、服務器和嵌入式設備等信息系統(tǒng)的基礎設施和平臺的可信性。其核心思想是基于“信任根”構造“信任鏈”和對“信任鏈”上的轉(zhuǎn)換節(jié)點進行“信任度量”[2]。具體的內(nèi)容包括：首先，以硬件芯片的形式在計算機系統(tǒng)中建立信任根，稱為可信平臺模塊（TPM：Trusted Platform Module）（信任根的可信性由物理安全、技術安全和管理安全共同確保）；其次，建立信任鏈，從信任根開始到硬件平臺，到操作系統(tǒng)，到應用，再到網(wǎng)絡，一級測量認證一級，一級信任一級，把這種信任擴展到整個計算機系統(tǒng)，從而確保整個計算機系統(tǒng)的可信。

可信計算通過創(chuàng)建硬件安全錨點，即TPM，進而構建一個全新的安全架構，從根本上解決計算機系統(tǒng)存在的基礎性安全問題，能夠顯著地提升信息系統(tǒng)和網(wǎng)絡的安全性。目前，已經(jīng)實現(xiàn)可信PC、可信服務器和可信PLC 等可信計算平臺，并廣泛地應用于電信、金融、交通、政務和工業(yè)控制等領域，其在安全認證、數(shù)據(jù)安全存儲、完整性度量與驗證、軟件可信屬性驗證、遠程證明和可信網(wǎng)絡連接等方面提供了切實的安全保障[3-4]。

當前，基于可信計算的安全防護技術大多針對終端設備進行安全防護，對于由各類終端形成的網(wǎng)絡系統(tǒng)，雖然使用遠程證明、可信網(wǎng)絡連接可以實現(xiàn)完整性度量和驗證，但基于可信計算的網(wǎng)絡系統(tǒng)安全防護能力有待進一步加強[5]；另外，可信計算主要實現(xiàn)終端設備啟動過程中軟件可信狀態(tài)的靜態(tài)度量，保證了終端設備的軟硬件運行環(huán)境的安全性，但是對系統(tǒng)運行過程中的終端設備、用戶等行為的動態(tài)安全性無法保證，所以必需對用戶實體行為的動態(tài)可信性進行度量[6]。本文從實際對象和實際業(yè)務應用出發(fā)，分析自動控制系統(tǒng)的威脅，探討可信計算與自動控制系統(tǒng)結合的可行性，最后給出一個整體的防護方案。

1 自動控制系統(tǒng)安全防護需求

當前，我國自動控制系統(tǒng)關鍵組件對外依存度高，系統(tǒng)安全性不可控，而國產(chǎn)自動控制系統(tǒng)安全性、可靠性低，在高端領域應用受限。特別地，在工業(yè)互聯(lián)網(wǎng)發(fā)展趨勢下，自動控制系統(tǒng)網(wǎng)絡外聯(lián)現(xiàn)象突出，遠程監(jiān)控、遠程運維等應用日益普遍，系統(tǒng)內(nèi)在漏洞和后門等脆弱性大量暴露在互聯(lián)網(wǎng)下，導致受攻擊面擴大，攻擊難度降低，自動控制系統(tǒng)安全風險陡增。

首先，與傳統(tǒng)信息系統(tǒng)不同，自動控制系統(tǒng)中的傳感器、執(zhí)行器等儀器儀表，以及控制器、操作面板、工程師站和操作員站等終端設備是系統(tǒng)的核心資產(chǎn)，承載系統(tǒng)核心業(yè)務的運行；其次，自動控制系統(tǒng)具有設備分布廣泛、通信協(xié)議封閉和業(yè)務應用固定等特點；另外，自動控制系統(tǒng)具有高可靠、低時延和易使用的要求。因此，以數(shù)據(jù)中心，即服務器和網(wǎng)絡設施為防護重點，采用防火墻、入侵檢測和惡意代碼檢測等“封、堵、查、殺”手段的傳統(tǒng)信息安全防護體系無法保障自動控制系統(tǒng)信息安全?，F(xiàn)實中，自動控制系統(tǒng)具有的特有信息安全問題依然沒有得到解決，包括：1）用戶與終端設備身份鑒別；2）狀態(tài)監(jiān)測數(shù)據(jù)、控制數(shù)控、系統(tǒng)配置數(shù)據(jù)等敏感數(shù)據(jù)的安全保密與完整性保護；3）控制網(wǎng)絡行為的檢測與識別；4）協(xié)議安全等。

特別地，近年來IT 技術不斷發(fā)展，工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)等新技術和新應用不斷涌現(xiàn)，在萬物互聯(lián)和萬物感知的環(huán)境下，終端成為不可知、不可控的關鍵因素，終端安全成為自動化控制系統(tǒng)信息安全防護體系中的重點。

一方面，自動控制系統(tǒng)業(yè)務應用具有高可靠、低時延和易使用的要求，核心業(yè)務應用基本下沉至PLC 控制器、操作面板和操作員站等終端。

另一方面，自動控制系統(tǒng)傳感器、執(zhí)行器和控制器等終端數(shù)量多，分布廣泛，網(wǎng)絡邊界模糊，網(wǎng)絡結構形式多樣。

除此之外，在面向加密數(shù)據(jù)和大規(guī)模網(wǎng)絡流量時，網(wǎng)絡流量檢測和響應時間增加，傳統(tǒng)網(wǎng)絡安全設備的瓶頸頻現(xiàn)。

可以說，信息安全戰(zhàn)場已經(jīng)逐步由對核心與主干的防護，轉(zhuǎn)向網(wǎng)絡邊緣終端的管理和保護，終端安全儼然已成為了自動控制系統(tǒng)信息安全保障工作的重要環(huán)節(jié)[7-8]。

2 可信安全防護架構設計

本文針對自動控制系統(tǒng)的信息安全防護需求，結合可信計算技術在身份認證、數(shù)據(jù)安全存儲、完整性度量與驗證等方面的信息安全防護優(yōu)勢，圍繞自動控制系統(tǒng)中的PLC、計算機和服務器等關鍵終端設備進行可信安全加固方案設計，同時基于可信網(wǎng)絡連接技術，對各類可信計算平臺進行集成，形成系統(tǒng)化的可信安全防護方案，如圖1 所示。

圖1 自動控制系統(tǒng)可信安全防護架構

2.1 可信PLC

控制網(wǎng)絡中的PLC 是一個由中央處理器、存儲器和輸入輸出模塊等組成的嵌入式系統(tǒng)。PLC 自身幾乎沒有安全防護措施，其安全防護主要依賴物理安全實現(xiàn)。通過將可信安全芯片TPM 作為信任根嵌入到PLC中，形成可信PLC。在可信安全芯片和只讀存儲芯片的支持下，可信PLC 對加載運行的系統(tǒng)軟件、用戶程序進行完整性度量及信任鏈傳遞，實現(xiàn)可信PLC 的可信啟動；另外，基于可信根中的密鑰生成和密鑰管理功能，實現(xiàn)對可信PLC 終端設備的可信安全認證，同時對可信PLC中關鍵數(shù)據(jù)的加密存儲。在本方案中，通過替換的方式，將普通PLC 替換為國產(chǎn)可信PLC，在控制網(wǎng)絡構建安全可信的基礎控制環(huán)境。

2.2 可信計算機

可信計算機以可信安全芯片TPM 為核心，從芯片、主板、BIOS 和操作系統(tǒng)等底層軟硬件出發(fā)，保障操作系統(tǒng)、應用軟件和網(wǎng)絡服務等計算環(huán)境安全，旨在提供可靠、安全的計算機系統(tǒng)。

TPM 是硬件和固件的集合，可以采用獨立封閉的形式，也可以采用IP 核的方式與其他類型芯片集成在一起。TPM 通常與計算機主板上的南橋芯片ICH（I/O Controller Hub）連接來構建可信計算機的信任根，并在主板BIOS中寫入TPM 控制程序，為平臺提供基于硬件的密碼機制（密碼算法、密鑰管理和證書配置），使計算機從上電啟動開始對軟硬件環(huán)境的完整性進行可信度量驗證。

可信計算機以TPM為起點，以信任鏈的方式度量整個計算機平臺資源的完整性，將完整性的度量結果存儲在TPM中的平臺配置寄存器PCR中，并通過TPM 向詢問平臺可信狀態(tài)的實體提供報告，供訪問者判定該平臺是否可信。同時，可信計算機利用TPM 內(nèi)置的密碼運算部件生成系統(tǒng)中的各種密鑰，為應用軟件提供加解密服務和安全通信接口，以保證上層應用軟件的安全。另外，雖然服務器在處理速度、并發(fā)控制和虛擬化機制等方面與PC 不同，但其同樣可以采用類似的技術進行可信安全防護，但其TPM 機制會更加復雜，如采用多TPM 機制（物理TPM 和虛擬TPM）。

在本方案中，對于已運行系統(tǒng)，將可信計算根TPM 以板卡的形式嵌入普通計算機，形成可信計算的信任根，對于新建系統(tǒng)，直接使用具有TPM芯片可信計算機，在監(jiān)控網(wǎng)絡中構建安全可信的計算環(huán)境。

2.3 可信智能卡

傳統(tǒng)的可信計算主要是通過在終端設備中嵌入可信計算模塊TPM，通過TPM 與終端設備的綁定，為終端設備提供安全防護能力。但是，對于系統(tǒng)管理員、系統(tǒng)運維人員和系統(tǒng)操作員等用戶，沒有采用可信計算技術保證其操作和行為的可信性。用戶安全和平臺安全是“可信”的兩個必要方面，任一方面的缺失都會使系統(tǒng)的整體可信度缺失。

智能卡是將具有存儲、加密及數(shù)據(jù)處理能力的集成電路芯片封裝于塑料基體中制作而成的。一般智能卡能提供隨機數(shù)生成、密鑰生成、使用哈希算法計算和驗證認證數(shù)據(jù)和用戶證書、密鑰和其他數(shù)據(jù)安全存儲等功能，被廣泛地應用于信息系統(tǒng)中，如雙因子認證、數(shù)字簽名等。

將可信計算與智能卡結合形成可信智能卡，在硬件層級上實現(xiàn)密鑰、數(shù)字證書等的安全管理，并將引入到自動控制系統(tǒng)可信計算安全防護體系架構中?？尚胖悄芸ㄍㄟ^將可信計算的可信度量驗證和安全存儲等功能移植到安全智能卡中，并通過USB 接口與計算機連接，形成一種便攜式TPM[7]。

通常便攜式TPM 通過一個封閉的、具有獨立計算能力的片上系統(tǒng)（SOC）實現(xiàn)，包含CPU、內(nèi)存、密碼支撐部件和存儲部件，實現(xiàn)TCG 設計規(guī)范中的TPM 基本運算和存儲功能。為用戶提供數(shù)據(jù)安全存儲、身份認證和完整性驗證等功能，同時存儲和管理用戶身份標識、密鑰和證書。將便攜式TPM 與用戶身份綁定，建立一種基于便攜式TPM的單用戶多平臺應用模式，實現(xiàn)對系統(tǒng)用戶的身份認證和可信性度量驗證。同時，可以在系統(tǒng)用戶和可信計算平臺之間實現(xiàn)雙向身份認證和平臺完整性驗證。

2.4 可信服務平臺

在可信安全防護架構中，引入可信服務平臺，作為可信第三方，對訪問請求者和訪問控制器進行集中管理，實現(xiàn)可信PLC、可信計算機和可信智能卡等可信計算平臺和可信網(wǎng)絡之間的雙向身份認證和雙向平臺可信性驗證，可信服務平臺在用戶身份認證和平臺認證過程中充當可信第三方[8]。

可信服務平臺與訪問請求者和訪問控制器進行通信，收集身份認證信息和完整性度量驗證信息，形成一個全局的訪問決策集，依據(jù)訪問決策集，對訪問請求者和訪問控制器進行集中控制和管理。可信服務平臺作為可信網(wǎng)絡連接中的策略管理者和決策者，按照用戶身份認證、平臺身份認證和平臺完整性驗證的順序?qū)尤刖W(wǎng)絡的設備進行驗證，如果有一個環(huán)節(jié)認證失敗，將禁止設備接入網(wǎng)絡。

可信服務平臺可為網(wǎng)絡提供網(wǎng)絡接入控制服務、用戶身份管理服務、平臺身份管理服務和平臺完整性管理服務等能力。網(wǎng)絡接入控制服務根據(jù)網(wǎng)絡安全防護策略實施基于用戶身份、終端平臺身份和完整性狀態(tài)的細粒度接入控制，支持針對用戶和終端的差異化網(wǎng)絡接入管理。同時，網(wǎng)絡接入控制服務還能提供用戶和終端接入審計，為接入用戶和終端的動態(tài)監(jiān)控和追蹤溯源提供服務支撐。用戶身份管理服務和平臺身份管理服務負責用戶和終端完整性基值管理、完整性度量和驗證，以及用戶和終端身份憑證的頒發(fā)、驗證和撤銷。

可信服務平臺基于可信網(wǎng)絡連接整體架構以及平臺身份認證和狀態(tài)完整性驗證，對訪問網(wǎng)絡的終端平臺進行身份鑒別和安全狀態(tài)檢查，對網(wǎng)絡環(huán)境中終端平臺的可信性信息和狀態(tài)完整性信息進行存儲與管理，并與防火墻、入侵檢測等網(wǎng)絡安全防護機制相結合，通過相應的可信驗證和網(wǎng)絡控制策略，對網(wǎng)絡連接進行策略化的主動監(jiān)控，有效地防止不符合網(wǎng)絡安全策略的終端接入網(wǎng)絡，將基于TPM 的可信計算思想從終端平臺擴展至網(wǎng)絡。

3 可信安全防護功能設計

在上述自動控制系統(tǒng)可信安全防護架構設計的基礎上，通過可信計算提供的靜態(tài)度量、實體安全認證、安全傳輸和安全存儲，以及完整性驗證和系統(tǒng)行為驗證等安全防護能力，對自動控制系統(tǒng)的啟動、訪問、組態(tài)和運行等全生命周期過程進行安全加固，如圖2 所示。

圖2 可信安全防護功能設計

3.1 可信啟動

自動控制系統(tǒng)的計算環(huán)境包括可信PLC、可信PC 和可信服務器等嵌入式系統(tǒng)和計算機系統(tǒng)。可信啟動保證自動控制系統(tǒng)中的計算環(huán)境在初始啟動時加載的系統(tǒng)文件是未被篡改的、正確的，是保證自動控制系統(tǒng)安全運行的前提。

可信PLC、可信計算機等可信終端以可信平臺模塊TPM 為根基，所有終端系統(tǒng)從上電啟動開始，依次對BIOS、內(nèi)存、引導扇區(qū)、操作系統(tǒng)內(nèi)核、系統(tǒng)配置文件和應用程序等軟件、硬件環(huán)境的完整性進行可信度量驗證，系統(tǒng)啟動的每一個環(huán)節(jié)都以上一步啟動完成為基礎，當某一環(huán)節(jié)未通過驗證，系統(tǒng)將無法啟動。即自動控制系統(tǒng)的計算環(huán)境以TPM 為根基，將信任進行傳遞，建立系統(tǒng)的信任鏈，確保運行的軟件和程序未經(jīng)篡改并通過授權。

在受可信啟動保護的終端系統(tǒng)上，只能安裝和運行通過完整性驗證和授權的軟件和程序。通過對軟件和程序的識別和保護，未經(jīng)驗證和授權的軟件和程序一律被攔截和阻斷，防止對系統(tǒng)程序未經(jīng)授權的修改，實現(xiàn)對病毒、木馬等惡意代碼的自我免疫，確保作為自動控制系統(tǒng)基礎計算平臺的終端系統(tǒng)在安全可信的環(huán)境下啟動運行。

3.2 可信訪問控制

可信訪問控制主要實現(xiàn)對自動控制系統(tǒng)實體身份的識別和權限控制，可信訪問控制包括終端設備網(wǎng)絡接入的訪問控制和系統(tǒng)用戶登錄的訪問控制?？尚旁L問控制不僅要求鑒別訪問實體的自身身份，而且還要求驗證訪問實體的計算環(huán)境和程序的完整性和可信性。

可信訪問控制基于TPM 物理介質(zhì)中的密碼算法引擎和密鑰管理等部件，使用TPM中的私鑰來表示不同實體的身份特征，包括可信PLC、可信PC 和可信服務器等可信計算平臺身份，以及使用可信智能卡代表的系統(tǒng)用戶身份；另外，使用TPM中的平臺配置寄存器PCR 存儲的完整性報告來表示不同實體的可信狀態(tài)。當終端接入自動控制系統(tǒng)網(wǎng)絡或用戶登錄自動控制系統(tǒng)時，部署于可信網(wǎng)絡連接服務器上的可信服務平臺對訪問實體的可信性進行詢問，訪問實體提供使用私鑰簽名的完整性報告，供可信服務平臺判定訪問實體的可信性，可信服務平臺通過對訪問實體簽名、可信性的驗證和相應的控制策略，對訪問實體進行訪問控制，以決定是否允許其接入網(wǎng)絡或登錄系統(tǒng)，并控制其能夠訪問的系統(tǒng)資源。

在可信訪問控制過程中，基于TPM 物理介質(zhì)中的密鑰和完整性校驗功能對訪問實體進行身份鑒別和可信性驗證，通過身份鑒別和可信性驗證的實體，才允許接入網(wǎng)絡或登錄系統(tǒng)，不合法的終端設備和系統(tǒng)用戶無法接入系統(tǒng)網(wǎng)絡和訪問系統(tǒng)資源，保證自動控制系統(tǒng)整個網(wǎng)絡環(huán)境的可信。

3.3 可信組態(tài)

對自動控制系統(tǒng)的下位機進行控制程序組態(tài)和上位機進行監(jiān)控畫面組態(tài)是自動控制系統(tǒng)運行的基礎?？尚艈雍涂尚旁L問控制雖然能確保自動控制系統(tǒng)的運行環(huán)境安全，但無法杜絕利用組態(tài)軟件偽造或者篡改數(shù)據(jù)帶來的安全隱患，需要基于可信計算的公私鑰、簽名驗簽和完整性校驗等功能，對生成的組態(tài)文件進行可信保護，包括對使用組態(tài)軟件的角色進行認證和鑒權，對運行組態(tài)軟件的計算機進行認證和可信性驗證，以及對組態(tài)軟件生成的組態(tài)文件進行簽名驗簽。

生成組態(tài)文件階段，只允許具有權限的工程師在具有權限的工程師站上才能生成和編輯組態(tài)文件。對于進行組態(tài)操作的工程師，增加可信智能卡來對工程師進行安全認證和訪問控制，以驗證是否具有相應的操作權限；針對運行組態(tài)軟件的組態(tài)計算機，首先，對計算機進行基于TPM 的安全認證，具備組態(tài)權限的工程師站才能夠運行組態(tài)軟件；其次，對計算機進行基于TPM 的完整性校驗，在確保組態(tài)計算機運行環(huán)境未受到破壞情況下，才允許運行組態(tài)軟件。

發(fā)布組態(tài)文件階段，發(fā)布階段需要對執(zhí)行發(fā)布操作的工程師權限和組態(tài)計算機權限進行認證和鑒權，驗證通過時，使用工程師可信智能卡和組態(tài)計算機的私鑰對組態(tài)文件進行簽名發(fā)布，下位機PLC在收到發(fā)布的組態(tài)文件后，對組態(tài)文件進行驗簽并驗證其完整性，通過驗證后，再存儲和執(zhí)行組態(tài)文件。

通過可信組態(tài)，可以防止操作人員對非自己管理的設備進行誤操作；可以防止無權限人員通過組態(tài)軟件篡改和替換組態(tài)文件，執(zhí)行惡意控制程序；防止惡意程序篡改組態(tài)文件或發(fā)送操作指令。

3.4 可信運行

自動控制系統(tǒng)在啟動、連接與授權動作之后缺乏對設備終端和用戶行為發(fā)生異常的檢測與防控，這意味著自動控制系統(tǒng)運行狀態(tài)的可信性無法保證，即缺少基于可信計算的動態(tài)度量與驗證。

可信運行強調(diào)自動控制系統(tǒng)行為結果的可預期，通過對自動控制系統(tǒng)進行動態(tài)度量與驗證，確保自動控制系統(tǒng)運行狀態(tài)可信?？尚胚\行可通過3種方式實現(xiàn)：對程序進程的動態(tài)度量、對內(nèi)存狀態(tài)的動態(tài)度量和對運行結果的動態(tài)度量。

程序進程的動態(tài)度量首先分析可執(zhí)行文件或源代碼的函數(shù)調(diào)用關系得到程序的預期行為，建立程序預期行為規(guī)則，然后對實際程序進程的名稱、PID、狀態(tài)、用戶名、內(nèi)存活動、作業(yè)對象ID 和調(diào)用關系等信息進行監(jiān)控，判斷程序行為是否與預期行為規(guī)則一致；內(nèi)存狀態(tài)的動態(tài)度量定時檢查內(nèi)存正文區(qū)、函數(shù)堆棧和中斷向量表等關鍵數(shù)據(jù)結構的完整性，保證計算環(huán)境在運行中不被改變；運行結果的動態(tài)度量使用形式化語言，對系統(tǒng)每個狀態(tài)執(zhí)行的具體動作、狀態(tài)之間的轉(zhuǎn)換進行描述，并通過系統(tǒng)審計功能，對系統(tǒng)關鍵行為與后果進行數(shù)據(jù)分析，然后綜合判斷系統(tǒng)狀態(tài)和行為路徑是否與預期匹配。

可信運行通過程序進程、內(nèi)存狀態(tài)和系統(tǒng)行為等角度，對系統(tǒng)運行狀態(tài)進行檢測和驗證，判定系統(tǒng)運行狀態(tài)、狀態(tài)之間的轉(zhuǎn)換是否符合預期，進而對系統(tǒng)運行狀態(tài)進行管理，實現(xiàn)系統(tǒng)可信性的動態(tài)度量與驗證，是系統(tǒng)靜態(tài)度量與驗證的重要補充。

4 結束語

本方案在現(xiàn)場控制層，通過引入可信PLC，使得現(xiàn)場控制設備在安全可信的運行環(huán)境下更加安全、可控，并且，由于可信計算模塊的硬件加解密能力，現(xiàn)場控制設備的計算、控制和通信功能也不會受到影響；在過程監(jiān)控層，通過引入基于可信計算的計算機作為工程師站、操作員站的監(jiān)控終端，使得系統(tǒng)啟動過程安全可信，并且支持對工程師站生成的組態(tài)文件、設置的配置參數(shù)，以及操作員站執(zhí)行的關鍵操作進行數(shù)字簽名；在系統(tǒng)網(wǎng)絡層，通過引入可信服務平臺，對網(wǎng)絡接入者、網(wǎng)絡資源訪問者進行基于可信計算的安全認證和訪問控制，實現(xiàn)對系統(tǒng)網(wǎng)絡可信連接的動態(tài)控制，將信任鏈從終端傳遞到整個系統(tǒng)，使得自動控制系統(tǒng)從整體上自在安全可控的可信環(huán)境下。

當前，可信計算主要采用度量數(shù)據(jù)完整性來度量和驗證系統(tǒng)可信性，在保障系統(tǒng)資源的完整性，抵抗計算機病毒等惡意軟件攻擊方面提供了出色的保護能力，在很大程度上增強了自動控制系統(tǒng)的安全性，對國產(chǎn)自動控制系統(tǒng)安全性的提升具有重要作用和意義。雖然可信計算是一項擁有廣闊應用前景的安全技術，但在現(xiàn)實中它并不能解決所有信息安全問題，需要與操作系統(tǒng)、網(wǎng)絡和應用等層面的安全機制不斷深入融合。后續(xù)，將在可信安全防護技術與防火墻、入侵檢測、安全審計等其它安全防護技術的集成和聯(lián)動方面開展研究，實現(xiàn)基于可信計算的可信性度量、驗證與管控。