可信計(jì)算安全防護(hù)

安全防護(hù)手段在終端架構(gòu)上缺乏控制，這是一個(gè)非常嚴(yán)重的安全問題，難以應(yīng)對(duì)利用邏輯缺陷的攻擊。目前利用邏輯缺陷的漏洞頻繁爆出，如“”“熔斷”，都是因?yàn)镃PU性能優(yōu)化機(jī)制存在設(shè)計(jì)缺陷，只考慮了提高計(jì)算性能而沒有考慮安全性。由這種底層設(shè)計(jì)缺陷導(dǎo)致的漏洞難以修補(bǔ)，即使有了補(bǔ)丁其部署難度也是越來越大。、熔斷的補(bǔ)丁部署后會(huì)使性能下降3 0 %。補(bǔ)丁難打、漏洞難防已經(jīng)是當(dāng)前信息安全防御主要問題之一。

可信計(jì)算基本思想

在計(jì)算平臺(tái)中，首先創(chuàng)建一個(gè)安全信任根，再建立從硬件平臺(tái)、操作系統(tǒng)到應(yīng)用系統(tǒng)的信任鏈，在這條信任鏈上從根開始一級(jí)測(cè)量認(rèn)證一級(jí)，一級(jí)信任一級(jí)，以此實(shí)現(xiàn)信任的逐級(jí)擴(kuò)展，從而構(gòu)建一個(gè)安全可信的計(jì)算環(huán)境。一個(gè)可信計(jì)算系統(tǒng)由信任根、可信硬件平臺(tái)、可信操作系統(tǒng)和可信應(yīng)用組成，其目標(biāo)是提高計(jì)算平臺(tái)的安全性。

可信計(jì)算

1、所有模塊或組件，除了CRTM（信任鏈構(gòu)建起點(diǎn)，段運(yùn)行的用于可信度量的代碼），在沒有經(jīng)過度量以前，均認(rèn)為是不可信的。同時(shí)，只有通過可信度量且與預(yù)期數(shù)據(jù)相符的模塊或組件，才可歸入可信邊界內(nèi)。

2、可信邊界內(nèi)部的模塊或組件，可以作為驗(yàn)證代理，對(duì)尚未完成驗(yàn)證的模塊或組件進(jìn)行完整性驗(yàn)證。

3、只有可信邊界內(nèi)的模塊或組件，才可以獲得相關(guān)的TPM 控制權(quán)，可信邊界以外的模塊或組件無法控制或使用可信平臺(tái)模塊。