可信计算

一．可信定义

（1）国际可信组织(TCG)的定义:

一个实体是可信的，它的行为总是以一个预期的方式达到预期的目标。（2）国际标准化组织与国际电子技术委员会定义（1990年）：

如果第2 个实体完全按照第1 个实体的预期行动时, 则第1 个实体认为第2 个实体是可信的。

（3）国际标准化组织与国际电子技术委员会定义（1999年）：

参与计算的组件、操作或过程在任意的条件下是可预测的, 并能够抵御病毒和一定程度的物理干扰。

（4）IEEE Computer Society Technical Committee on

Dependable Computing定义：

所谓可信是指计算机系统所提供的服务是可以论证其是可信赖的，并且还是可论证的，可信赖主要是指系统的可靠性和可用性。

（5）我国学者认为：

可信计算系统是能够提供系统的可靠性、可用性、信息和行为安全性的计算机系统。可信包括：正确性、可靠性、安全性、可用性、效率等。系统的安全性和可靠性是现阶段可信最主要的两个方面，简称为“可信≈可靠+ 安全”。

二．为什么研究可信计算

可信计算：可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台。

1. 可信计算研究具有战略性意义：

（1）确保我国信息安全自主可控

（2）带动我国IT产业自主创新、产业升级和发展，改变我国信息产业被动的局面。

2. 可信计算是信息科学发展结果

3.可行计算的主要应用：

（1）数字版权管理

用远程认证可以拒绝非授权方文件下载；密封储存防止用户在另一台电脑上打开文件,禁止了无限制复制。如音乐在屏蔽储存里播放，阻止用户在播放该音乐文件时进行该文件的无限制复制。安全I/O阻止用户捕获发送到音响系统里的（流）。

（2）身份盗用保护

用户接入到服务器时需要远程认证，如果服务器能产生正确的认证证书，服务器将只对该页面进行服务。用户通过该页面发送其加密账号和PIN和一些用户和服务器的私有的（看不见）保证信息。

（3）防止在线游戏作弊

远程认证，安全I/O以及储存器屏蔽用来核对所有接入游戏服务器的玩家，以确保其正运行一个未修改的软件副本。

（4）保护系统不受病毒和间谍软件危害

软件的数字签名使用户能够识别出经过第三方修改的、可能加入间谍软件的应用程序

（5）保护生物识别身份验证数据

用于身份认证的生物鉴别设备可以使用可信计算技术（存储器屏蔽，安全I/O)来确保没有间谍软件安装在电脑上窃取敏感的生物识别信息。

（6）核查远程网格计算的计算结果

可信计算可以确保网格计算系统的参与者返回的结果不是伪造的。

三．可信计算目标：

（1）信任是人类社会和网络空间安全交互的基础

（2）可信计算搭建信息系统安全基础（系统源头可信）

四．可信计算基本思想

1.以密码技术为基础；以芯片为信任根；主板为平台；可信基础支撑软件为核心；网络为纽带；应用成体系

2.首先在计算机系统中建立一个信任根，信任根的可行性由物理安全和技术安全与管理安全共同确保。

其次再建立一条信任链。从信任根开始到硬件平台，到操作系统，再到应用，一级测量认证一级，一级信任一级，把这个信任扩展到整个计算机系统，从而确保整个计算机系统可信。

当终端受到攻击时，可实现自我保护、自我管理和自我恢复。

五．可信度量静态度量方法、动态度量本质

1.静态度量：

系统开机时系统资源的静态完整性度量。

TCG度量模型（静态）：链式的信任度量模型，简称为信任链。

信任链中采用的是度量数据完整性, 确保信任链范围内的部件(BIOS、

OSLoader、OS 等) 的数据完整性，很大程度上提高了计算机的安全性

可信度量根（Blos Bot Blcok ）：

采用了一种迭代计算Hash 值的方式, 即将现值与新值相连, 再计算H as h 值并被作为新的完整性度量值存储到平台配置寄存器PCR中。度量值:

New PCRi=HASH(Old PCRi//New Value) , //表示连接。

优点：

链式信任度量模型的最大优点是实现了可信计算基本思想，与现有计算机兼容好，易实现。

缺点:

信任链较长。信任传递的路径越长, 信任的损失就可能越大。

信任度量值的计算采用了迭代计算Hash 值的方式, 使得在信任链中加

入或删除一个部件, 信任链中的软件部件更新(如BIOS升级,OS打补丁等), PCR的值得重新计算。

可信测量根RT M (BIOS Bot Blcok)是一个软件模块, 将它存储在T P M

之外, 容易受到恶意攻击。

2.动态度量：

系统工作后系统资源的完整性度量和对应用软件度量。

一种基于软件行为的动态完整性度量模型（动态度量）

分析可执行文件或源代码的API函数调用关系得到软件的预期行为, 建立

软件预期行为描述集并发布;

对软件进程的实际A PI函数调用行为进行监控;

如果在软件执行过程中, 软件行为符合软件预期行为描述集中的相关规

则(软件行为认证码), 则认为软件是可信的. 否则说明软件不可信。

增加了一定成本开销。

系统数据完整性的多次度量（动态度量）

静态度量对信任链只是在平台启动时才进行一次完整性校验，对于计算平台（服务器）仅开机时几分钟的数据完整性校验，很难来确保服务器几年的数据完整性。需要能够反复进行系统完整性校验的信任链机制。

六．讨论如何构建可信信息系统