可信計算安全防護(hù)

安全防護(hù)手段在終端架構(gòu)上缺乏控制，這是一個非常嚴(yán)重的安全問題，難以應(yīng)對利用邏輯缺陷的攻擊。目前利用邏輯缺陷的漏洞頻繁爆出，如“”“熔斷”，都是因為CPU性能優(yōu)化機制存在設(shè)計缺陷，只考慮了提高計算性能而沒有考慮安全性。由這種底層設(shè)計缺陷導(dǎo)致的漏洞難以修補，即使有了補丁其部署難度也是越來越大。、熔斷的補丁部署后會使性能下降3 0 %。補丁難打、漏洞難防已經(jīng)是當(dāng)前信息安全防御主要問題之一。

可信計算基本思想

在計算平臺中，首先創(chuàng)建一個安全信任根，再建立從硬件平臺、操作系統(tǒng)到應(yīng)用系統(tǒng)的信任鏈，在這條信任鏈上從根開始一級測量認(rèn)證一級，一級信任一級，以此實現(xiàn)信任的逐級擴展，從而構(gòu)建一個安全可信的計算環(huán)境。一個可信計算系統(tǒng)由信任根、可信硬件平臺、可信操作系統(tǒng)和可信應(yīng)用組成，其目標(biāo)是提高計算平臺的安全性。

可信計算

1、所有模塊或組件，除了CRTM（信任鏈構(gòu)建起點，段運行的用于可信度量的代碼），在沒有經(jīng)過度量以前，均認(rèn)為是不可信的。同時，只有通過可信度量且與預(yù)期數(shù)據(jù)相符的模塊或組件，才可歸入可信邊界內(nèi)。

2、可信邊界內(nèi)部的模塊或組件，可以作為驗證代理，對尚未完成驗證的模塊或組件進(jìn)行完整性驗證。

3、只有可信邊界內(nèi)的模塊或組件，才可以獲得相關(guān)的TPM 控制權(quán)，可信邊界以外的模塊或組件無法控制或使用可信平臺模塊。