可信計算概述

如今信息技術(shù)已經(jīng)成為了人們生活中不可分割的一部分，人們每天都通過計算機和互聯(lián)網(wǎng)獲取信息、進行各種活動。但計算機與網(wǎng)絡(luò)空間并不總是安全的，一方面?zhèn)儠ㄟ^在網(wǎng)絡(luò)中散布惡意病毒來對正常用戶進行攻擊，例如2017年5月爆發(fā)的病毒；另一方面許多不良廠商會在自己的軟件中“開后門”，趁用戶不注意時獲取用戶的隱私或者彈出彈窗廣告，這些都給維護網(wǎng)絡(luò)空間的信息安全帶來了巨大的挑戰(zhàn)。為了使人們能夠正常地通過計算機在互聯(lián)網(wǎng)上進行各種活動，我們必須建立一套安全的可靠的防御體系來確保我們的計算機能夠按照預(yù)期穩(wěn)定地提供服務(wù)。

可信計算

早在2000年伊始，我國就開始關(guān)注可信計算，并進行了立項、研究，和國外不同，我國在可信計算上走的是先引進技術(shù)后自主研發(fā)、先產(chǎn)品化后標準化的跨越式發(fā)展。2004 年，武漢瑞達生產(chǎn)了款TPM，之后聯(lián)想、長城等基于TPM生產(chǎn)了可信PC。2005年1月，全國信息安全標準化技術(shù)成立了可信計算工作小組（WGI），先后研制制定了可信密碼模塊（TCM）、可信主板、可信網(wǎng)絡(luò)聯(lián)接等多項標準規(guī)范。2005年，國家出臺“十一五”規(guī)劃和“863”計劃，把“可信計算”列入重點支持項目，我國出現(xiàn)了一系列的可信計算產(chǎn)品。

上述度量檢測過程分為靜態(tài)度量和動態(tài)度量兩種。靜態(tài)度量通常指在運行環(huán)境初裝或重啟時對其鏡像的度量。度量是逐級的，通常先啟動的軟件對后一級啟動的軟件進行度量，度量值驗證成功則標志著可信鏈從前一級軟件向后一級的成功傳遞。以操作系統(tǒng)啟動為例，可信操作系統(tǒng)啟動時基于硬件的可信啟動鏈，對啟動鏈上的UEFI、loader、OS的image進行靜態(tài)度量，靜態(tài)度量的結(jié)果通過云上可信管理服務(wù)來驗證，以判斷系統(tǒng)是否被改動。動態(tài)度量和驗證指在系統(tǒng)運行時動態(tài)獲取其運行特征，根據(jù)規(guī)則或模型分析判斷系統(tǒng)是否運行正常。