可信計算

早在2000年伊始，我國就開始關注可信計算，并進行了立項、研究，和國外不同，我國在可信計算上走的是先引進技術后自主研發(fā)、先產(chǎn)品化后標準化的跨越式發(fā)展。2004 年，武漢瑞達生產(chǎn)了款TPM，之后聯(lián)想、長城等基于TPM生產(chǎn)了可信PC。2005年1月，全國信息安全標準化技術成立了可信計算工作小組（WGI），先后研制制定了可信密碼模塊（TCM）、可信主板、可信網(wǎng)絡聯(lián)接等多項標準規(guī)范。2005年，國家出臺“十一五”規(guī)劃和“863”計劃，把“可信計算”列入重點支持項目，我國出現(xiàn)了一系列的可信計算產(chǎn)品。

可信計算定義

TCG定義的信任根包括3個根?？尚哦攘扛≧TM）：負責完整性度量；可信報告根（RTR）：負責報告信任根；可信存儲根（RTS）：負責存儲信任根。其中，RTM是一個軟件模塊、RTR是由TPM的平臺配置寄存器（PCR）和背書密鑰（EK）組成、RTS是由TPM的PCR和存儲根密鑰（SRK）組成。

實踐中，RTM在構(gòu)建信任鏈的過程中，將完整性度量形成的信息傳遞給RTS，RTS使用TPM的平臺配置寄存器存放度量擴展值、使用TPM提供的密碼學服務保護度量日志。

RTR主要用于遠程證明過程，向?qū)嶓w提供平臺可信狀態(tài)信息，主要內(nèi)容包括平臺配置信息、審計日志、身份密鑰（一般由背書密鑰或者基于背書密鑰保護的身份密鑰承擔）。

操作系統(tǒng)安全升級，如防范UEFI中插入rootkit、防范OS中插入rootkit、以及防范病毒和攻擊驅(qū)動注入等。應用完整性保障，如防范在應用中插入木馬。安全策略強制實現(xiàn)，如防范安全策略被繞過/篡改、強制應用只能在某個計算機上用、強制數(shù)據(jù)只能有某幾種操作等。可見，可信計算則相當于重構(gòu)一套系統(tǒng)，原理是這樣的：我的地盤我做主，不管什么應用程序，只要想在開啟了可信計算的操作系統(tǒng)上運行，就必須經(jīng)過我的允許。這個允許的過程就是將這個可執(zhí)行文件的哈希度量值存儲到可信計算基當中。理論上，開啟了可信計算的操作系統(tǒng)，任何病毒、木馬都無法在其上運行的。國家去年底推出的《信息安全技術網(wǎng)絡安全等級保護基本要求》（等保2.0）也強化了對可信計算的要求。