可信計算概述

如今信息技術(shù)已經(jīng)成為了人們生活中不可分割的一部分，人們每天都通過計算機和互聯(lián)網(wǎng)獲取信息、進行各種活動。但計算機與網(wǎng)絡(luò)空間并不總是安全的，一方面?zhèn)儠ㄟ^在網(wǎng)絡(luò)中散布惡意病毒來對正常用戶進行攻擊，例如2017年5月爆發(fā)的病毒；另一方面許多不良廠商會在自己的軟件中“開后門”，趁用戶不注意時獲取用戶的隱私或者彈出彈窗廣告，這些都給維護網(wǎng)絡(luò)空間的信息安全帶來了巨大的挑戰(zhàn)。為了使人們能夠正常地通過計算機在互聯(lián)網(wǎng)上進行各種活動，我們必須建立一套安全的可靠的防御體系來確保我們的計算機能夠按照預(yù)期穩(wěn)定地提供服務(wù)。

可信計算概念早可以追溯到美國部頒布的TCSEC準(zhǔn)則。1983年，美國部制定了世界上個《可信計算機系統(tǒng)評價標(biāo)準(zhǔn)》，次提出了可信計算機和可信計算基的概念，并把TCB作為系統(tǒng)系統(tǒng)安全的基礎(chǔ)。

化組織與國際電子技術(shù)ISO/IEC在其發(fā)布的目錄服務(wù)系列標(biāo)準(zhǔn)中基于行為預(yù)期性定義了可信性：如果第2個實體完全按照個實體的預(yù)期行動時，則個實體認為第2個實體 是可信的。

可信計算平臺

目前主要的可信平臺模塊主要有三種，分別是TCG的TPM、中國的TCM和TPCM，本小節(jié)只介紹TCG的TPM。

可信平臺模塊是可信計算平臺的信任根（RTS、RTR），它本身是一個SOC芯片，由CPU、存儲器、I/O、密碼協(xié)處理器、隨機數(shù)產(chǎn)生器和嵌入式操作系統(tǒng)等部件組成，主要用于可信度量的存儲、可信度量的報告、密鑰產(chǎn)生、加密和簽名、數(shù)據(jù)安全存儲等功能。

TCG先后發(fā)布過多個版本的TPM標(biāo)準(zhǔn)，其中，TPM 1.2使用較為廣泛，但隨著信息計算機技術(shù)的不斷發(fā)展，TPM 1.2無法滿足新技術(shù)下的需求，2014 TCG發(fā)布了TPM 2.0，相較于TPM1.2，TPM 2.0有如下改進：①吸收原有TPM（TPM1.2）和中國TCM的優(yōu)點；②改進原TPM在密碼算法靈活方面存在的問題；③使之成為一個，解決不同國家的本地需求，并保持較好的兼容性。

可信計算

操作系統(tǒng)安全升級，如防范UEFI中插入rootkit、防范OS中插入rootkit、以及防范病毒和攻擊驅(qū)動注入等。應(yīng)用完整性保障，如防范在應(yīng)用中插入木馬。安全策略強制實現(xiàn)，如防范安全策略被繞過/篡改、強制應(yīng)用只能在某個計算機上用、強制數(shù)據(jù)只能有某幾種操作等?？梢?，可信計算則相當(dāng)于重構(gòu)一套系統(tǒng)，原理是這樣的：我的地盤我做主，不管什么應(yīng)用程序，只要想在開啟了可信計算的操作系統(tǒng)上運行，就必須經(jīng)過我的允許。這個允許的過程就是將這個可執(zhí)行文件的哈希度量值存儲到可信計算基當(dāng)中。理論上，開啟了可信計算的操作系統(tǒng)，任何病毒、木馬都無法在其上運行的。國家去年底推出的《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（等保2.0）也強化了對可信計算的要求。