可信計算發(fā)展概括

早在20世紀(jì)60年代，為了提高硬件設(shè)備的安全性，人們設(shè)計了具有高可靠性的可信電路，可信的概念開始萌芽。到20世紀(jì)70年代初期，Anderson提出來了可信系統(tǒng)的概念，為美國后續(xù)的TCSEC（彩虹系列），可信計算機、可信計算基（TCB）、可信網(wǎng)絡(luò)、可信數(shù)據(jù)庫等的提出奠定了基礎(chǔ)。彩虹系列是早的一套可信計算技術(shù)文件，標(biāo)志著可信計算的出現(xiàn)，也使系統(tǒng)的可信不斷豐富可信的內(nèi)涵，可信計算的理念和標(biāo)準(zhǔn)初具雛形。

可信計算

早在2000年伊始，我國就開始關(guān)注可信計算，并進行了立項、研究，和國外不同，我國在可信計算上走的是先引進技術(shù)后自主研發(fā)、先產(chǎn)品化后標(biāo)準(zhǔn)化的跨越式發(fā)展。2004 年，武漢瑞達生產(chǎn)了款TPM，之后聯(lián)想、長城等基于TPM生產(chǎn)了可信PC。2005年1月，全國信息安全標(biāo)準(zhǔn)化技術(shù)成立了可信計算工作小組（WGI），先后研制制定了可信密碼模塊（TCM）、可信主板、可信網(wǎng)絡(luò)聯(lián)接等多項標(biāo)準(zhǔn)規(guī)范。2005年，國家出臺“十一五”規(guī)劃和“863”計劃，把“可信計算”列入重點支持項目，我國出現(xiàn)了一系列的可信計算產(chǎn)品。

上述度量檢測過程分為靜態(tài)度量和動態(tài)度量兩種。靜態(tài)度量通常指在運行環(huán)境初裝或重啟時對其鏡像的度量。度量是逐級的，通常先啟動的軟件對后一級啟動的軟件進行度量，度量值驗證成功則標(biāo)志著可信鏈從前一級軟件向后一級的成功傳遞。以操作系統(tǒng)啟動為例，可信操作系統(tǒng)啟動時基于硬件的可信啟動鏈，對啟動鏈上的UEFI、loader、OS的image進行靜態(tài)度量，靜態(tài)度量的結(jié)果通過云上可信管理服務(wù)來驗證，以判斷系統(tǒng)是否被改動。動態(tài)度量和驗證指在系統(tǒng)運行時動態(tài)獲取其運行特征，根據(jù)規(guī)則或模型分析判斷系統(tǒng)是否運行正常。