可信計(jì)算

早在2000年伊始，我國(guó)就開(kāi)始關(guān)注可信計(jì)算，并進(jìn)行了立項(xiàng)、研究，和國(guó)外不同，我國(guó)在可信計(jì)算上走的是先引進(jìn)技術(shù)后自主研發(fā)、先產(chǎn)品化后標(biāo)準(zhǔn)化的跨越式發(fā)展。2004 年，武漢瑞達(dá)生產(chǎn)了款TPM，之后聯(lián)想、長(zhǎng)城等基于TPM生產(chǎn)了可信PC。2005年1月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)成立了可信計(jì)算工作小組（WGI），先后研制制定了可信密碼模塊（TCM）、可信主板、可信網(wǎng)絡(luò)聯(lián)接等多項(xiàng)標(biāo)準(zhǔn)規(guī)范。2005年，國(guó)家出臺(tái)“十一五”規(guī)劃和“863”計(jì)劃，把“可信計(jì)算”列入重點(diǎn)支持項(xiàng)目，我國(guó)出現(xiàn)了一系列的可信計(jì)算產(chǎn)品。

可信計(jì)算定義

TCG定義的信任根包括3個(gè)根?？尚哦攘扛≧TM）：負(fù)責(zé)完整性度量；可信報(bào)告根（RTR）：負(fù)責(zé)報(bào)告信任根；可信存儲(chǔ)根（RTS）：負(fù)責(zé)存儲(chǔ)信任根。其中，RTM是一個(gè)軟件模塊、RTR是由TPM的平臺(tái)配置寄存器（PCR）和背書(shū)密鑰（EK）組成、RTS是由TPM的PCR和存儲(chǔ)根密鑰（SRK）組成。

實(shí)踐中，RTM在構(gòu)建信任鏈的過(guò)程中，將完整性度量形成的信息傳遞給RTS，RTS使用TPM的平臺(tái)配置寄存器存放度量擴(kuò)展值、使用TPM提供的密碼學(xué)服務(wù)保護(hù)度量日志。

RTR主要用于遠(yuǎn)程證明過(guò)程，向?qū)嶓w提供平臺(tái)可信狀態(tài)信息，主要內(nèi)容包括平臺(tái)配置信息、審計(jì)日志、身份密鑰（一般由背書(shū)密鑰或者基于背書(shū)密鑰保護(hù)的身份密鑰承擔(dān)）。

操作系統(tǒng)安全升級(jí)，如防范UEFI中插入rootkit、防范OS中插入rootkit、以及防范病毒和攻擊驅(qū)動(dòng)注入等。應(yīng)用完整性保障，如防范在應(yīng)用中插入木馬。安全策略強(qiáng)制實(shí)現(xiàn)，如防范安全策略被繞過(guò)/篡改、強(qiáng)制應(yīng)用只能在某個(gè)計(jì)算機(jī)上用、強(qiáng)制數(shù)據(jù)只能有某幾種操作等?？梢?jiàn)，可信計(jì)算則相當(dāng)于重構(gòu)一套系統(tǒng)，原理是這樣的：我的地盤(pán)我做主，不管什么應(yīng)用程序，只要想在開(kāi)啟了可信計(jì)算的操作系統(tǒng)上運(yùn)行，就必須經(jīng)過(guò)我的允許。這個(gè)允許的過(guò)程就是將這個(gè)可執(zhí)行文件的哈希度量值存儲(chǔ)到可信計(jì)算基當(dāng)中。理論上，開(kāi)啟了可信計(jì)算的操作系統(tǒng)，任何病毒、木馬都無(wú)法在其上運(yùn)行的。國(guó)家去年底推出的《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（等保2.0）也強(qiáng)化了對(duì)可信計(jì)算的要求。