可信计算技术是解决信息安全的重要技术之一
可信计算解决方案
1. 引言可信计算是一种保护计算资源和数据免受未经授权访问和篡改的技术。
随着云计算和边缘计算的兴起,数据的安全性和隐私保护问题越来越受到关注。
可信计算解决方案通过使用硬件和软件来保护机密计算和数据,使其完全绝对可信。
本文将介绍可信计算解决方案的基本原理、主要技术和应用场景,并探讨其对于信息安全的重要性。
2. 可信计算的基本原理可信计算的基本原理是软硬件配合,确保计算过程和计算结果的可信。
其核心包括以下几个方面:2.1 安全计算环境可信计算使用特殊的硬件或软件环境,称为安全计算环境。
安全计算环境提供了隔离和保护的功能,确保计算过程和数据不受未经授权的访问和篡改。
2.2 可信建树可信建树是可信计算的一个关键概念。
可信建树是一种数据结构,用于存储系统的可信状态。
在可信建树中,每个节点都包含一个数字摘要,用于验证其子节点的真实性和完整性。
2.3 安全启动安全启动是可信计算的另一个重要环节。
通过安全启动过程,可信计算系统能够确保计算机的软件和硬件环境没有被篡改,并进入一个受保护的状态。
2.4 远程验证远程验证是可信计算的一项重要功能。
通过远程验证,可信计算系统可以验证计算过程和计算结果的真实性和完整性,并防止结果被篡改。
3. 可信计算的主要技术可信计算解决方案主要依靠以下几项技术来实现:3.1 安全硬件安全硬件是可信计算的基石。
通过引入安全芯片和安全模块等硬件设备,可信计算系统能够提供可信的执行环境和存储环境,防止计算过程和数据被未经授权的访问和篡改。
3.2 安全协议安全协议是可信计算的关键技术之一。
安全协议用于确保通信过程的安全性,防止信息被窃听和篡改。
常用的安全协议包括SSL/TLS、IPsec等。
3.3 加密算法加密算法是可信计算的核心技术之一。
通过使用加密算法,可信计算系统能够对计算过程和数据进行加密保护,实现机密性和完整性的保障。
常用的加密算法包括AES、RSA等。
3.4 可信建树技术可信建树技术用于建立和验证系统的可信状态。
可信计算技术在网络安全中的应用和研究
可信计算技术在网络安全中的应用和研究在数字化时代,网络攻击越来越频繁,大量重要数据因为缺乏技术保障而遭到泄露或者被恶意攻击者盗取。
在这种情况下,可信计算技术成为了网络安全的一个有力武器。
可信计算技术是指通过硬件和软件的结合,保护和验证计算过程和结果的完整性和保密性。
它具有五个核心要素:可信启动、可信计算、可信存储、可信传输和可信终止,可以保证人们在使用网络的过程中,传输数据的正确性以及自身数据的隐私安全。
在网络安全领域中,可信计算技术可以被应用于多个方面。
首先是访问控制方面。
通过可信计算技术,用户在登录系统时需要进行验证,只有验证通过的用户才可以访问受保护的信息。
这样可以有效控制非法用户的访问,保证敏感数据的安全。
其次是数据安全方面。
可信计算技术可以在传输过程中保证数据的完整性和安全性。
通过加密技术,可以将数据加密后传输,即使被窃取,也不会被恶意攻击者破解。
同时,可信计算技术可以在存储过程中对数据进行保护,保证数据在处理和传输过程中不被篡改或者泄露。
再者是软件安全方面。
由于存在各种漏洞和后门,软件安全一直是网络安全中的重要环节。
通过使用可信计算技术,可以确认软件的完整性和正确性。
这就意味着,可信计算技术可以确保连续计算的一致性,即软件在不同的计算环境下的计算结果保持一致。
这可以使得软件不容易受到攻击,并且可以更好地保护数据。
最后是网络服务的过程与管理方面。
通过可信计算技术,可以确保网络服务的可靠性和高效性。
可信计算技术可以通过主动检查,防止恶意软件和病毒的攻击,并且可以通过实时监测和记录网络流量,可以更好地应对网络攻击和威胁。
同时,可信计算技术也可以为系统管理员提供一个更加安全可靠的网络服务平台,使得整个网络服务系统的管理和运维更加高效。
总之,可信计算技术在网络安全中的应用和研究可以为网络安全提供更加稳定和可靠的保障。
未来可信计算技术将不断完善和发展,将会有更加多功能和更加高效的解决方案,为人们的网络安全和信息安全提供安全可靠的保障。
可信计算技术原理与应用
可信计算技术原理与应用一、引言随着信息化进程的加速,计算机及网络技术的发展越来越重要。
在现代社会中,人们越来越多地依赖计算机和网络,包括金融、政府、军事、医疗等各个领域。
然而,随着互联网的普及和信息传输的广泛开放,网络安全问题也越来越受到关注。
可信计算技术,作为一种重要的安全技术,能够保护计算机和网络中的数据和信息不受未经授权的访问或篡改,保证计算机系统的可靠性和安全性。
本文将介绍可信计算技术的原理和应用,对可信计算技术的发展历程和重要概念进行解析,分析可信计算技术的核心原理和关键技术,并探讨可信计算技术在实际应用中的展望和挑战。
二、可信计算技术的发展历程可信计算技术的发展可以追溯到上世纪70年代。
当时,计算机系统的安全性逐渐受到重视,人们开始探索如何在计算机系统中确保数据和程序的安全性。
随着计算机网络的兴起,网络安全问题也逐渐显现出来,如何保证网络通信的可信性成为了当时亟需解决的问题。
在上世纪90年代,随着密码学技术的发展,安全领域的技术不断得到完善和提升。
越来越多的安全机制和协议被提出,如SSL、IPsec等,为网络安全提供了更为全面的保障。
同时,硬件安全技术也开始得到关注,通过硬件保护措施来提高计算机系统的安全性和可信度。
进入21世纪,随着云计算、大数据、物联网等新兴技术的兴起,计算机和网络的规模和复杂度也在不断增加,网络安全问题变得更加复杂和严峻。
可信计算技术作为一种新兴的安全技术,开始引起人们的关注和重视,被广泛应用于云计算、大数据、物联网等领域,为网络安全提供了新的保障和解决方案。
三、可信计算技术的基本概念1. 可信计算可信计算是指在计算机系统和网络中通过特定的技术手段,确保数据和信息在传输和处理过程中不受未经授权的访问或篡改,保证系统的可靠性和安全性。
可信计算技术通过建立信任链、提供安全验证、实现数据保护等手段,保护计算机系统和网络不受恶意攻击和未经授权的访问,确保系统的正常运行和数据的安全性。
可信计算托起中国信息安全的脊梁
可信计算托起中国信息安全的脊梁Chulong【期刊名称】《信息安全与通信保密》【年(卷),期】2015(000)012【总页数】4页(P46-49)【作者】Chulong【作者单位】【正文语种】中文2015中国可信计算技术创新与产业化论坛2015年11月5日下午,中关村可信计算产业联盟的四个专业委员会(可信计算基础支撑平台专委会、可信终端和整机专委会、可信软件专委会和可信云计算专委会)分别承办了三个分论坛,业界 16 家公司在分论坛上介绍了各自在可信计算方面近期的工作进展,内容涵盖可信计算产业链的各个环节,参会人员就工程技术和产业发展等问题进行了务实和富有成效的交流。
中标软件有限公司产品经理董军平演讲主题:可信计算在国产安全操作系统的应用情况中标软件推出国内首款安全可信操作系统-中标麒麟可信操作系统,安全可信相关产品及方案客户涵盖国防领域和民用市场。
可信操作系统是以中标麒麟安全操作系统产品为核心基础,引入可信计算等相关安全技术,研发出的结合安全与可信的可信操作系统,并实现了对云计算环境的可信支持。
中标麒麟移动终端安全操作系统,是在遵循安全易用原则下,将操作系统安全技术迁移到移动端,并引入可信计算技术,实现的从底层内核到上层应用的一体化安全系统。
国网智能电网研究院计算及应用研究所应用智能研究室主任助理赵保华演讲主题:基于可信计算的电力系统安全免疫当前电力可信计算技术应用特点有:具备工程应用条件的最完整的可信计算技术,具备恶意代码免疫的防护能力,安全防护强度最高;在D5000系统中的部署是可信计算技术首次在等级保护四级系统中应用,目标系统安全等级最高;是可信计算技术的行业示范应用,应用规模最大。
完善电力可信计算技术及基于可信计算的新一代安全防护体系理论,开展可信云等技术研究。
北京北信源软件股份有限公司董事长助理、核心技术发展中心总经理钟力演讲主题:构建安全互联的平台化即时通信系统2015年北信源启动并实施全新战略规划,布局信息安全、互联网平台、大数据为公司三大业务方向。
可信计算技术的发展与应用
可信计算技术的发展与应用随着科技的不断发展,人们对计算机技术的要求越来越高。
安全和可信是计算机技术的核心问题之一。
在这个背景下,可信计算技术应运而生。
那么,什么是可信计算技术呢?它的发展现状和应用前景又是什么?一、可信计算技术是什么?可信计算技术是指在开发、应用和维护计算机系统时,通过软硬件、系统和人员等多种因素的相互协调,确保该计算机系统完整、可靠、安全、保密、稳定并符合法律法规等要求的一种技术。
即使在面对黑客攻击或无意中的系统故障时,也能保持系统的正常运行。
二、可信计算技术的发展现状近年来,随着技术的发展和安全问题的凸显,可信计算技术得到了快速发展。
可信计算技术的关键在于保证可信环境的安全性和保密性,并确保对所涉及的各种系统、软件、硬件等的安全性进行全方位的评估。
目前,可信计算技术已经形成了一整套系统的理论和技术体系,其中包括了自主创新的软、硬件安全技术和相关的评测和认证技术。
例如,华为公司提出了“全文深度学习”的技术,采用深度学习、人工智能等策略,可以对恶意软件进行精准预测和拦截。
还有像Trusted Execution Environment(TEE)等技术,通过硬件安全区域来保证硬件的安全和可信。
同时,各大国家和地区也在积极推进可信计算技术的发展。
例如,中国政府在电子政务、大数据、物联网等领域推广可信计算技术,并且出台了相关的政策和法规,提高可信计算技术的应用水平。
三、可信计算技术的应用前景随着可信计算技术的不断成熟,其应用前景也越来越广阔。
其中,可信计算技术在云计算、物联网、大数据等领域的应用越来越被人们所重视。
1. 云计算与传统本地计算不同,云计算更加便捷,节省了大量的人力物力成本。
但是云计算安全问题一直困扰着人们。
可信计算技术的应用,通过对数据和应用程序的安全性检测和认证,能够保障云计算的安全性,为用户提供更加可靠的云计算服务,鼓励企业和政府采用云计算解决方案。
2. 物联网物联网技术在物联网智能家居、智能交通、智能医疗等领域得到了广泛的应用。
学校校园网络安全管理的密码与身份认证
学校校园网络安全管理的密码与身份认证随着信息技术的不断发展和普及,学校校园网络已经成为了师生学习和生活的重要平台,同时也面临着各种网络安全威胁。
为了保护网络安全,学校校园需要进行密码与身份认证的管理。
本文将探讨学校校园网络安全管理的密码与身份认证的重要性、密码与身份认证的具体措施以及相关技术的应用。
一、学校校园网络安全管理的密码与身份认证的重要性在学校校园网络中,存在着大量的师生个人信息,包括个人账号、密码、学习成绩等。
这些信息一旦泄露,将会给师生造成巨大的个人隐私和财产损失。
因此,密码与身份认证的重要性不言而喻。
通过密码与身份认证,可以有效保护学校校园网络中的个人信息安全,防止未经授权的人员访问学生信息,起到了保护师生权益的作用。
二、密码与身份认证的具体措施1. 完善的账号管理系统学校校园网络应设立完善的账号管理系统,包括账号注册、申请、修改密码和注销等功能。
每个师生都应获得一个唯一的账号,并设置强密码要求,以增加密码的安全性。
2. 双因素认证为了进一步提高密码与身份认证的安全性,学校校园网络可以采用双因素认证措施。
双因素认证需要在输入正确的账号和密码之后,再进行一次身份验证的步骤,如验证码、指纹识别、人脸识别等。
这种方式可以有效防止他人冒用他人账号登录。
3. 定期修改密码学校校园网络密码与身份认证管理还应定期要求师生修改密码,避免使用过于简单或容易猜到的密码,同时增加密码长度和复杂度要求。
定期修改密码可以有效避免密码被猜测或破解的风险。
4. 密码加密技术学校校园网络应采取密码加密技术来保护师生密码的安全。
通过对密码的加密处理,即使被黑客获取,也无法还原出明文密码。
常见的密码加密技术有单向散列函数、对称加密和非对称加密等。
三、相关技术的应用1. 单点登录技术单点登录(Single Sign-On,SSO)技术是一种应用在学校校园网络中的身份认证技术。
它可以让师生只需登录一次,即可在多个系统中进行访问,无需重复输入密码。
可信计算应用场景
可信计算是一种信息安全技术,它通过使用密码学算法和安全机制来保护数据和系统的完整性。
可信计算在许多应用场景中都有应用,以下是其中的一些:
1. 金融行业:金融机构使用可信计算技术来保护客户资金、交易信息和银行系统的安全性。
通过使用安全芯片和加密算法,可信计算可以防止数据被篡改或窃取。
2. 医疗保健:医疗保健系统需要保护患者的个人信息和医疗记录,避免数据泄露和篡改。
可信计算可以用于创建安全的医疗信息系统,确保数据的完整性和隐私性。
3. 政府机构:政府机构需要保护敏感信息和机密数据,防止它们被泄露或篡改。
可信计算可以用于创建安全的政府信息系统,确保数据的保密性和完整性。
4. 物联网设备:随着物联网设备的普及,如何确保这些设备的安全性成为了一个重要问题。
可信计算可以用于物联网设备中,通过安全芯片和加密算法来保护数据和系统的完整性,防止攻击者入侵和窃取数据。
5. 云服务:云服务提供商需要确保用户数据的安全性,防止数据泄露和篡改。
可信计算可以用于云服务中,通过安全机制和加密算法来保护数据,确保用户数据的安全性和隐私性。
6. 智能制造:在智能制造中,生产设备需要与互联网连接,但同时也需要保护生产数据和系统的安全性。
可信计算可以用于智能制造中,通过安全机制和加密算法来保护生产数据和系统的完整性,防止攻击者入侵和破坏生产过程。
总之,可信计算在许多应用场景中都有应用,它可以帮助保护数据和系统的安全性,确保数据的完整性和隐私性。
随着技术的发展和应用范围的扩大,可信计算将会在更多的应用场景中发挥作用。
网络安全中的可信计算技术
网络安全中的可信计算技术随着信息化时代的来临,计算机技术的飞速发展,互联网已经成为人们生活和工作中必不可少的组成部分。
虽然网络带来了诸多便利,但是也给我们的生活带来了越来越多的安全隐患。
在这种情况下,可信计算技术应运而生,成为网络安全保障的一项重要技术。
一、可信计算技术的定义可信计算技术(Trusted Computing),是计算机系统安全中的一种理论和技术体系。
它主要是通过硬件、软件的安全机制,保障系统工作的可信性,识别和阻止恶意攻击。
可信计算技术的出现,为信息安全事业提供了许多有效的手段。
二、可信计算技术的发展历程可信计算技术的发展经过了三个阶段:1. 第一阶段:单系统可信计算早期的可信计算技术主要是围绕着单台计算机的可信性进行研究,这种技术主要通过访问控制、认证、加密等手段来保证计算机的可信性,但是这种技术受限于单机环境、物理安全等因素,难以应用到复杂的网络环境当中。
2. 第二阶段:分布式可信计算随着网络技术的飞速发展,研究者开始探索利用分布式计算的力量来提高系统可信性。
这种分布式计算可信机制,主要是通过区块链等技术,对数据进行加密、签名和验证,保证数据的可靠性和完整性。
3. 第三阶段:云环境下可信计算如今,云计算技术已经成为企业的主要选项之一,因此保障云环境下系统安全便成为了云计算的关键。
现代的可信计算技术,需要从硬件、系统、数据、通讯等多个角度考虑,利用虚拟化技术、防火墙、IDS等多种手段来保障网络安全。
三、可信计算技术的应用1. 物联网安全现今,物联网已经渗透到了我们生活的方方面面,而物联网的安全问题也越来越受到人们的关注。
可信计算技术可以保护物联网系统的安全运行,保证数据的完整性和机器之间的信任关系。
2. 云计算安全云计算是以虚拟化技术为基础的一种新型的分布式计算模型,随着云计算的发展,其安全性问题也逐渐引起关注。
可信计算技术可以为云环境下的数据隐私和安全交易等提供保障。
3. 网络安全随着网络化进程的加快,计算机病毒、黑客攻击等网络安全问题日益增多。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
可信计算技术可信计算技术是是解决解决信息安全信息安全信息安全的的重要重要技术技术技术之一之一之一随着信息技术和信息产业的迅猛发展,信息系统的基础性、全局性作用日益增强,但是信息安全的问题也越来越多,可信计算技术是解决信息安全的重要技术之一。
一、现状国家互联网应急中心(CNCERT )于2012年3月19日发布的《2011年我国互联网网络安全态势综述》显示:①从整体来看,网站安全情况有一定恶化趋势。
2011年境内被篡改网站数量为36,612个,较2010年增加5.10%。
网站安全问题引发的用户信息和数据的安全问题引起社会广泛关注。
2011年底,中国软件开发联盟(CSDN )、天涯等网站发生用户信息泄露事件,被公开的疑似泄露数据库26个,涉及帐号、密码信息2.78亿条,严重威胁了互联网用户的合法权益和互联网安全。
②广大网银用户成为黑客实施网络攻击的主要目标。
据C NCERT 监测,2011年针对网银用户名和密码、网银口令卡的恶意程序较往年更加活跃。
CN CERT 全年共接收网络钓鱼事件举报5,459件,较2010年增长近2.5倍。
③信息安全漏洞呈现迅猛增长趋势。
2011年,CNCERT 发起成立的“国家信息安全漏洞共享平台(CNVD )”共收集整理信息安全漏洞5,547个,较2010年大幅增加60.90%。
④木马和僵尸网络活动越发猖獗。
2011年,近890万余个境内主机IP 地址感染了木马或僵尸程序,较2010年大幅增加78.50%。
网络黑客通过篡改网站、仿冒大型电子商务网站、大型金融机构网站、第三方在线支付站点以及利用网站漏洞挂载恶意代码等手段,不仅可以窃取用户私密信息,造成用户直接经济损失,更为危险的是可以构建大规模的僵尸网络,进而用来发送巨量垃圾邮件或发动其他更危险的网络攻击。
如何建立可信的信息安全环境,提升信息安全的保障水平,无论政府、企业还是个人都给予了前所未有的关注,并直接带动了对各类信息安全产品和服务需求的增长。
二、渊源上个世纪70年代初期,Anderson J P 首次提出可信系统(Trusted System)的概念,由此开始了人们对可信系统的研究。
较早期学者对可信系统研究(包括系统评估)的内容主要集中在操作系统自身安全机制和支撑它的硬件环境,此时的可信计算被称为dependable computing ,与容错计算(fault-tolerant computing)领域的研究密切相关。
人们关注元件随机故障、生产过程缺陷、定时或数值的不一致、随机外界干扰、环境压力等物理故障、设计错误、交互错误、恶意的推理、暗藏的入侵等人为故障造成的不同系统失效状况,设计出许多集成了故障检测技术、冗余备份系统的高可用性容错计算机。
这一阶段研发出的许多容错技术已被用于目前普通计算机的设计与生产。
1983年美国国防部推出了“可信计算机系统评价标准(TCSEC ,Trusted computer System Evaluation Criteria)”(亦称橙皮书),其中对可信计算基(TCB ,Trusted Computing System)进行了定义。
这些研究成果主要是通过保持最小可信组件集合及对数据的访问权限进行控制来实现系统的安全从而达到系统可信的目的。
1999年10月,由Intel、Compaq、HP、IBM以及Microsoft发起成立了一个“可信计算平台联盟TCPA(Trusted Computing Platform Alliance)”。
该组织致力于促成新一代具有安全、信任能力的硬件运算平台。
截至2002年7月,已经有180多家硬件及软件制造商加入TCPA。
2003年4月8日,TCPA重组为“可信计算组”TCG(Trusted Computing Group)。
TCG在原TCPA强调安全硬件平台构建的宗旨之外,更进一步增加了对软件安全性的关注,旨在从跨平台和操作环境的硬件组件和软件接口两方面,促进与厂商独立的可信计算平台工作标准的制定。
2002年1月15日,比尔.盖茨在致微软全体员工的一封信中称,公司未来的工作重点将从致力于产品的功能和特性转移为侧重解决安全问题,并进而提出了微软公司的新“可信计算”(Trustworthy computing)战略。
及其关键技术概念及其关键技术三、概念有关可信计算的概念,在ISO/IEC 15408标准中给出了以下定义:一个可信的组件、操作或过程的行为在任意操作条件下是可预测的,并能很好地抵抗应用程序软件、病毒以及一定的物理干扰造成的破坏。
可信计算的基本思路是在硬件平台上引入安全芯片(可信平台模块)来提高终端系统的安全性,也就是说在每个终端平台上植入一个信任根,让计算机从BIOS到操作系统内核层,再到应用层都构建信任关系;以此为基础,扩大到网络上,建立相应的信任链,从而进入计算机免疫时代。
当终端受到攻击时,可实现自我保护、自我管理和自我恢复。
可信计算包括5个关键技术:认证密钥、安全输入输出、内存屏蔽/受保护执行、封装存储、远程证明。
他们是完整可信系统所必须的,这个系统将遵从TCG(Trusted Computing Group)规范:认证密钥:认证密钥是一个2048位的RSA公共和私有密钥对,它在芯片出厂时随机生成并且不能改变。
这个私有密钥永远在芯片里,而公共密钥用来认证及加密发送到该芯片的敏感数据安全输入输出(I/O)安全输入输出指的是计算机用户与他们认为与之进行交互的软件间的受保护的路径。
在当前的计算机系统中,恶意软件有很多途径截取用户与软件进程间传送的数据。
例如,键盘监听者(Keyboard Logger)和屏幕截取者(Screen Scraper)。
安全I/O表现为受硬件和软件保护和验证的信道,采用校验值来验证进行输入输出的软件没有受到篡改。
将自身注入到信道间的恶意软件会被识别出来。
尽管安全(I/O)提供针对软件攻击的防护,但它未必提供对基于硬件的攻击的防护,例如物理插入用户键盘和计算机间的设备。
内存屏蔽/受保护执行内存屏蔽扩展了当前的内存保护技术,提供了对内存敏感区域(如放置密钥的区域)的全面隔离。
甚至操作系统也无法访问屏蔽的内存,所以其中的信息在侵入者获取了OS的控制权的情况下仍然是安全的。
封装存储封装存储从当前使用的软件和硬件配置派生出的密钥,并用这个密钥加密私有数据,从而实现对它的保护。
这意味着该数据仅在系统拥有同样的软硬件组合的时候才能读取。
例如,用户在他的计算机上保存自己的日记,不希望其他的程序或计算机读取。
这样一来,病毒可以查找日记,读取它,并将它发给其他人。
Sircam病毒所作的与此类似。
即使日记使用了口令保护,病毒可能运行字典攻击。
病毒还可以修改用户的日记软件,用户使用软件打开日记时通过受篡改的软件可能泄漏其中的内容。
使用封装存储,日记被安全地加密,只有在该计算机上的未被修改的日记软件才可以打开它。
远程证明远程证明使得用户或其他人可以检测到该用户的计算机的变化。
这样可以避免向不安全或安全受损的计算机发送私有信息或重要的命令。
远程证明机制通过硬件生成一个证书,声明哪些软件正在运行。
用户可以将这个证书发给远程的一方以表明他的计算机没有受到篡改。
远程证明通常与公钥加密结合来保证发出的信息只能被发出证明要求的程序读取,而非其它窃听者。
四、平台谈及可信计算,不得不了解可信平台的概念。
广义上讲,平台能够保护数据存储区域,避免敌手直接物理访问到机密数据存储区,并保证系统的运行环境是安全的、未被篡改,所有的代码能够执行于一个未被篡改的运行环境。
例如,安全协处理器(Secure Coprocessor)、密码加速器(Cryptographic Accelerator)、个人令牌(Personal Token)、软件狗(Dongles)、可信平台模块(Trusted Platform Module,TPM)、增强型CPU(Harden CPUs)。
狭义上,可信平台就是指TCG可信计算框架,以TPM为核心。
如下图所示,为可信平台体系结构图。
可信平台体系结构图可信计算平台为网络用户提供了一个更为宽广的安全环境,它从安全体系的角度来描述安全问题,确保用户的安全执行环境,突破被动防御打补丁方式。
平台在更底层进行更高级别防护,通过可信来的硬件对软件层次的攻击进行保护,这样可以使用户获得更强的保护能力和选择空间。
传统的安全保护基本是以软件为基础附以密钥技术,事实证明这种保护并不是非常可靠而且存在着被篡改的可能性。
平台将加密、解密、认证等基本的安全功能写入硬件芯片,并确保芯片中的信息不能再外部通过软件随意获取。
在这种情况下除非将硬件芯片从系统中移除,否则理论上是无法突破这层防护的,这正是构建可信的基础。
五、现状及展望可信计算在技术层面上主要有三个线条:第一个线条是平台的完整性度量,从平台运行的各个环节都涉及到了这个环节是否完整;第二是数据保护,以安全芯片为根的数据保护体系;第三是平台完整性报告,利用度量的结果向远端的平台验证平体的完整性是否受到的破坏。
1.国外的发展在可信计算科研方面,可信计算技术的主要研究机构有Stanford大学、MIT、CMU、Cambridge大学、Dartmouth大学、IBM Waston研究中心和HP实验室等,当前的主要研究方向涵盖了可信计算安全体系结构、安全启动、远程证明、安全增强、可信计算应用与测评等。
而在应用领域,可信计算最初定位在PC终端,IT厂商逐步退出了TPM芯片、安全PC、可信应用软件等产品。
随着技术进步和应用的发展,逐步转向了移动设备的应用,存储方面也在大规模发展,包括移动存储和大型的网络存储。
目前,国际TCG组织正在做下一代的可信芯片(TPM.next)标准,目标是做统一的平台模块标准,兼容包括中国、俄罗斯在内的全球各国家算法,最终目标是把可信计算芯片和体系做成统一的技术体系。
2.国内的发展中国可信技术相关研究大概在2003到2004年起步,之后政府在各个重要科技和产业计划中都已将可信计算技术的研究与应用列入重点;学术界针对TPM/TCP、远程证明、可信计算测评、信任链构建技术、关键技术标准等方面都在积极开展研究工作;产业界也在积极研究各种基于TCM的安全解决方案;国家密码管理局和全国信息安全标准化技术委员会也在积极推进可信计算相关标准的研究与制定。
在自主可信计算发展过程中,中国可信计算工作组(China TCM Unit,TCMU)发挥了重要作用。
该组织由国家密码管理局推动成立,运行过程中得到了科技部、发改委、工信部等部委的大力支持。
TCMU在可信计算技术发展方面有一个很清晰的思路:(1)以可信密码模块芯片TCM为核心;(2)以可信计算平台、可信计算的基础设施、可信计算检测平台作为支撑;(3)以可信计算密码的应用、下一代安全互联网应用为发展目标,建立可信计算的应用体系。