可信計算

早在2000年伊始，我國就開始關(guān)注可信計算，并進行了立項、研究，和國外不同，我國在可信計算上走的是先引進技術(shù)后自主研發(fā)、先產(chǎn)品化后標準化的跨越式發(fā)展。2004 年，武漢瑞達生產(chǎn)了款TPM，之后聯(lián)想、長城等基于TPM生產(chǎn)了可信PC。2005年1月，全國信息安全標準化技術(shù)成立了可信計算工作小組（WGI），先后研制制定了可信密碼模塊（TCM）、可信主板、可信網(wǎng)絡(luò)聯(lián)接等多項標準規(guī)范。2005年，國家出臺“十一五”規(guī)劃和“863”計劃，把“可信計算”列入重點支持項目，我國出現(xiàn)了一系列的可信計算產(chǎn)品。

①信任芯片是否支持國產(chǎn)密碼算法，國家密碼局主導提出了中國商用密碼可信計算應(yīng)用標準，并禁止加載國際算法的可信計算產(chǎn)品在國內(nèi)銷售；

②信任芯片是否支持板卡層面的優(yōu)先加電控制，國內(nèi)部分學者認為提出的CPU先加電、后依靠密碼芯片建立信任鏈的模式強度不夠，為此，提出基于TPCM芯片的雙體系計算安全架構(gòu)，TPCM芯片除了密碼功能外，必須先于CPU加電，先于CPU對BIOS進行完整性度量；

③可信軟件棧是否支持操作系統(tǒng)層面的透明可信控制，國內(nèi)部分學者認為需要程序被動調(diào)用可信接口，不能在操作系統(tǒng)層面進行主動度量，為此，提出在操作系統(tǒng)內(nèi)核層面對應(yīng)用程序完整性和程序行為進行透明可信判定及控制思路。

可信計算建立連接

度量：該信任鏈以BIOS引導區(qū)與TPM為信任根，其中，BIOS引導區(qū)為可信度量根（RTM），TPM為可信存儲根（RTS）、可信報告根（RTR）。從BIOS引導區(qū)出發(fā)，到OS Loader、再到 OS、應(yīng)用，構(gòu)成一條信任鏈。沿著這條信任鏈，一級度量一級，一級信任一級，確保平臺資源的完整性。

存儲：由于可信平臺模塊存儲空間有限，所以，采用度量擴展的方法（即現(xiàn)有度量值和新度量值相連再次散列）來記錄和存儲度量值到可信平臺模塊的PCR中，同時將度量對象的詳細信息和度量結(jié)果作為日志存儲在磁盤中。存儲在磁盤中的度量日志和存儲在PCR中的度量值是相互印證的，防止磁盤中的日志被篡改。