可信計算

1、所有模塊或組件，除了CRTM（信任鏈構(gòu)建起點，段運(yùn)行的用于可信度量的代碼），在沒有經(jīng)過度量以前，均認(rèn)為是不可信的。同時，只有通過可信度量且與預(yù)期數(shù)據(jù)相符的模塊或組件，才可歸入可信邊界內(nèi)。

2、可信邊界內(nèi)部的模塊或組件，可以作為驗證代理，對尚未完成驗證的模塊或組件進(jìn)行完整性驗證。

3、只有可信邊界內(nèi)的模塊或組件，才可以獲得相關(guān)的TPM 控制權(quán)，可信邊界以外的模塊或組件無法控制或使用可信平臺模塊。

可信計算建立連接

度量：該信任鏈以BIOS引導(dǎo)區(qū)與TPM為信任根，其中，BIOS引導(dǎo)區(qū)為可信度量根（RTM），TPM為可信存儲根（RTS）、可信報告根（RTR）。從BIOS引導(dǎo)區(qū)出發(fā)，到OS Loader、再到 OS、應(yīng)用，構(gòu)成一條信任鏈。沿著這條信任鏈，一級度量一級，一級信任一級，確保平臺資源的完整性。

存儲：由于可信平臺模塊存儲空間有限，所以，采用度量擴(kuò)展的方法（即現(xiàn)有度量值和新度量值相連再次散列）來記錄和存儲度量值到可信平臺模塊的PCR中，同時將度量對象的詳細(xì)信息和度量結(jié)果作為日志存儲在磁盤中。存儲在磁盤中的度量日志和存儲在PCR中的度量值是相互印證的，防止磁盤中的日志被篡改。

可信計算遠(yuǎn)程證明

遠(yuǎn)是征明使得用主或其他人可以選測到波用中的比第機(jī)的變化。這樣可以都鮑向不安全或安全受拔的計算凱隊發(fā)送隊有言息或重要的命今遠(yuǎn)程狂明時制通過/生來個證書，聲明哪望納件正在運(yùn)行，月中可以將這個任書發(fā)給遠(yuǎn)租的-方以表賽幫社的第鋼沒有受到篡改。遠(yuǎn)程證明通常與公鑰加密結(jié)合來保證發(fā)出的信息只能被發(fā)出證明要求的程序讀取，而非其它者。

再用士面日記的例子，用守的日記全可以將日記發(fā)送創(chuàng)其性的機(jī)臊，但是只能發(fā)給船絲能夠證明所吃運(yùn)行臺的是一份安全的運(yùn)軟性。與其他技術(shù)將合起來，遠(yuǎn)登征時河可以為日遇供一個競或安全的路徑:通近推益劍人從以及在再韓顯剝動貿(mào)安劊f0的縣護(hù)，內(nèi)存屏蔽在日記軟件運(yùn)行時保護(hù)日記，而封裝存儲在它存儲到硬盤的時候保護(hù)它，并且遠(yuǎn)程證明保護(hù)它在其它計算機(jī)使用時不受非授權(quán)軟件的破壞。

操作系統(tǒng)安全升級，如防范UEFI中插入rootkit、防范OS中插入rootkit、以及防范病毒和攻擊驅(qū)動注入等。應(yīng)用完整性保障，如防范在應(yīng)用中插入木馬。安全策略強(qiáng)制實現(xiàn)，如防范安全策略被繞過/篡改、強(qiáng)制應(yīng)用只能在某個計算機(jī)上用、強(qiáng)制數(shù)據(jù)只能有某幾種操作等?？梢?，可信計算則相當(dāng)于重構(gòu)一套系統(tǒng)，原理是這樣的：我的地盤我做主，不管什么應(yīng)用程序，只要想在開啟了可信計算的操作系統(tǒng)上運(yùn)行，就必須經(jīng)過我的允許。這個允許的過程就是將這個可執(zhí)行文件的哈希度量值存儲到可信計算基當(dāng)中。理論上，開啟了可信計算的操作系統(tǒng)，任何病毒、木馬都無法在其上運(yùn)行的。國家去年底推出的《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（等保2.0）也強(qiáng)化了對可信計算的要求。