可信計算基本思想

在計算平臺中，首先創(chuàng)建一個安全信任根，再建立從硬件平臺、操作系統(tǒng)到應(yīng)用系統(tǒng)的信任鏈，在這條信任鏈上從根開始一級測量認證一級，一級信任一級，以此實現(xiàn)信任的逐級擴展，從而構(gòu)建一個安全可信的計算環(huán)境。一個可信計算系統(tǒng)由信任根、可信硬件平臺、可信操作系統(tǒng)和可信應(yīng)用組成，其目標是提高計算平臺的安全性。

可信計算發(fā)展概括

早在20世紀60年代，為了提高硬件設(shè)備的安全性，人們設(shè)計了具有高可靠性的可信電路，可信的概念開始萌芽。到20世紀70年代初期，Anderson提出來了可信系統(tǒng)的概念，為美國后續(xù)的TCSEC（彩虹系列），可信計算機、可信計算基（TCB）、可信網(wǎng)絡(luò)、可信數(shù)據(jù)庫等的提出奠定了基礎(chǔ)。彩虹系列是早的一套可信計算技術(shù)文件，標志著可信計算的出現(xiàn)，也使系統(tǒng)的可信不斷豐富可信的內(nèi)涵，可信計算的理念和標準初具雛形。

可信計算

①信任芯片是否支持國產(chǎn)密碼算法，國家密碼局主導提出了中國商用密碼可信計算應(yīng)用標準，并禁止加載國際算法的可信計算產(chǎn)品在國內(nèi)銷售；

②信任芯片是否支持板卡層面的優(yōu)先加電控制，國內(nèi)部分學者認為提出的CPU先加電、后依靠密碼芯片建立信任鏈的模式強度不夠，為此，提出基于TPCM芯片的雙體系計算安全架構(gòu)，TPCM芯片除了密碼功能外，必須先于CPU加電，先于CPU對BIOS進行完整性度量；

③可信軟件棧是否支持操作系統(tǒng)層面的透明可信控制，國內(nèi)部分學者認為需要程序被動調(diào)用可信接口，不能在操作系統(tǒng)層面進行主動度量，為此，提出在操作系統(tǒng)內(nèi)核層面對應(yīng)用程序完整性和程序行為進行透明可信判定及控制思路。