可信計算

此外，封堵的辦法是攻擊和病毒的特征信息，而這些特征是已發(fā)生過的滯后信息，屬于“事后防御”。隨著惡意用戶的攻擊手段變化多端，防護者只能把防火墻越砌越高、檢測越做越復雜、惡意代碼庫越做越大，誤報率也隨之增多，使得安全的投入不斷增加，維護與管理變得更加復雜和難以實施，信息系統(tǒng)的使用效率大大降低，而對新的攻擊毫無防御能力。近年來，“震網(wǎng)”“火焰”“Mirai”“黑暗力量”“WannaCry病毒”等重大安全事件頻頻發(fā)生，顯然，傳統(tǒng)防火墻、檢測、病毒防范等“老三樣”封堵查殺的被動防御已經(jīng)過時，網(wǎng)絡空間安全正遭遇嚴峻挑戰(zhàn) 。

①信任芯片是否支持國產(chǎn)密碼算法，國家密碼局主導提出了中國商用密碼可信計算應用標準，并禁止加載國際算法的可信計算產(chǎn)品在國內(nèi)銷售；

②信任芯片是否支持板卡層面的優(yōu)先加電控制，國內(nèi)部分學者認為提出的CPU先加電、后依靠密碼芯片建立信任鏈的模式強度不夠，為此，提出基于TPCM芯片的雙體系計算安全架構，TPCM芯片除了密碼功能外，必須先于CPU加電，先于CPU對BIOS進行完整性度量；

③可信軟件棧是否支持操作系統(tǒng)層面的透明可信控制，國內(nèi)部分學者認為需要程序被動調(diào)用可信接口，不能在操作系統(tǒng)層面進行主動度量，為此，提出在操作系統(tǒng)內(nèi)核層面對應用程序完整性和程序行為進行透明可信判定及控制思路。

以PC機可信計算舉例。操作系統(tǒng)首先將系統(tǒng)上所有的可執(zhí)行程序做一個哈希度量，將這個度量值存儲在可信計算基中。系統(tǒng)啟動時檢測BIOS和操作系統(tǒng)的完整性和正確性，保障你在使用PC時硬件配置和操作系統(tǒng)沒有被篡改過，所有系統(tǒng)的安全措施和設置都不會被繞過。然后系統(tǒng)要運行應用程序，除了經(jīng)過傳統(tǒng)的操作系統(tǒng)的權限判斷之外，還要與可信計算基中存儲的度量值做一個對比，如果或是惡意程序修改了可執(zhí)行文件的內(nèi)容，就可以檢測到應用程序已經(jīng)發(fā)生了更改，則禁止程序運行。