可信計算概述

如今信息技術(shù)已經(jīng)成為了人們生活中不可分割的一部分，人們每天都通過計算機和互聯(lián)網(wǎng)獲取信息、進行各種活動。但計算機與網(wǎng)絡(luò)空間并不總是安全的，一方面?zhèn)儠ㄟ^在網(wǎng)絡(luò)中散布惡意病毒來對正常用戶進行攻擊，例如2017年5月爆發(fā)的病毒；另一方面許多不良廠商會在自己的軟件中“開后門”，趁用戶不注意時獲取用戶的隱私或者彈出彈窗廣告，這些都給維護網(wǎng)絡(luò)空間的信息安全帶來了巨大的挑戰(zhàn)。為了使人們能夠正常地通過計算機在互聯(lián)網(wǎng)上進行各種活動，我們必須建立一套安全的可靠的防御體系來確保我們的計算機能夠按照預(yù)期穩(wěn)定地提供服務(wù)。

可信計算基本思想

在計算平臺中，首先創(chuàng)建一個安全信任根，再建立從硬件平臺、操作系統(tǒng)到應(yīng)用系統(tǒng)的信任鏈，在這條信任鏈上從根開始一級測量認證一級，一級信任一級，以此實現(xiàn)信任的逐級擴展，從而構(gòu)建一個安全可信的計算環(huán)境。一個可信計算系統(tǒng)由信任根、可信硬件平臺、可信操作系統(tǒng)和可信應(yīng)用組成，其目標是提高計算平臺的安全性。

可信計算

1、所有模塊或組件，除了CRTM（信任鏈構(gòu)建起點，段運行的用于可信度量的代碼），在沒有經(jīng)過度量以前，均認為是不可信的。同時，只有通過可信度量且與預(yù)期數(shù)據(jù)相符的模塊或組件，才可歸入可信邊界內(nèi)。

2、可信邊界內(nèi)部的模塊或組件，可以作為驗證代理，對尚未完成驗證的模塊或組件進行完整性驗證。

3、只有可信邊界內(nèi)的模塊或組件，才可以獲得相關(guān)的TPM 控制權(quán)，可信邊界以外的模塊或組件無法控制或使用可信平臺模塊。