可信計(jì)算安全防護(hù)

安全防護(hù)手段在終端架構(gòu)上缺乏控制，這是一個(gè)非常嚴(yán)重的安全問題，難以應(yīng)對利用邏輯缺陷的攻擊。目前利用邏輯缺陷的漏洞頻繁爆出，如“”“熔斷”，都是因?yàn)镃PU性能優(yōu)化機(jī)制存在設(shè)計(jì)缺陷，只考慮了提高計(jì)算性能而沒有考慮安全性。由這種底層設(shè)計(jì)缺陷導(dǎo)致的漏洞難以修補(bǔ)，即使有了補(bǔ)丁其部署難度也是越來越大。、熔斷的補(bǔ)丁部署后會使性能下降3 0 %。補(bǔ)丁難打、漏洞難防已經(jīng)是當(dāng)前信息安全防御主要問題之一。

可信計(jì)算發(fā)展概括

早在20世紀(jì)60年代，為了提高硬件設(shè)備的安全性，人們設(shè)計(jì)了具有高可靠性的可信電路，可信的概念開始萌芽。到20世紀(jì)70年代初期，Anderson提出來了可信系統(tǒng)的概念，為美國后續(xù)的TCSEC（彩虹系列），可信計(jì)算機(jī)、可信計(jì)算基（TCB）、可信網(wǎng)絡(luò)、可信數(shù)據(jù)庫等的提出奠定了基礎(chǔ)。彩虹系列是早的一套可信計(jì)算技術(shù)文件，標(biāo)志著可信計(jì)算的出現(xiàn)，也使系統(tǒng)的可信不斷豐富可信的內(nèi)涵，可信計(jì)算的理念和標(biāo)準(zhǔn)初具雛形。

可信計(jì)算

以PC機(jī)可信計(jì)算舉例。操作系統(tǒng)首先將系統(tǒng)上所有的可執(zhí)行程序做一個(gè)哈希度量，將這個(gè)度量值存儲在可信計(jì)算基中。系統(tǒng)啟動時(shí)檢測BIOS和操作系統(tǒng)的完整性和正確性，保障你在使用PC時(shí)硬件配置和操作系統(tǒng)沒有被篡改過，所有系統(tǒng)的安全措施和設(shè)置都不會被繞過。然后系統(tǒng)要運(yùn)行應(yīng)用程序，除了經(jīng)過傳統(tǒng)的操作系統(tǒng)的權(quán)限判斷之外，還要與可信計(jì)算基中存儲的度量值做一個(gè)對比，如果或是惡意程序修改了可執(zhí)行文件的內(nèi)容，就可以檢測到應(yīng)用程序已經(jīng)發(fā)生了更改，則禁止程序運(yùn)行。