可信计算概述

如今信息技术已经成为了人们生活中不可分割的一部分，人们每天都通过计算机和互联网获取信息、进行各种活动。但计算机与网络空间并不总是安全的，一方面们会通过在网络中散布恶意病毒来对正常用户进行攻击，例如2017年5月爆发的病毒；另一方面许多不良厂商会在自己的软件中“开后门”，趁用户不注意时获取用户的隐私或者弹出弹窗广告，这些都给维护网络空间的信息安全带来了巨大的挑战。为了使人们能够正常地通过计算机在互联网上进行各种活动，我们必须建立一套安全的可靠的防御体系来确保我们的计算机能够按照预期稳定地提供服务。

可信计算

①信任芯片是否支持国产密码算法，国家密码局主导提出了中国商用密码可信计算应用标准，并禁止加载国际算法的可信计算产品在国内销售；

②信任芯片是否支持板卡层面的优先加电控制，国内部分学者认为提出的CPU先加电、后依靠密码芯片建立信任链的模式强度不够，为此，提出基于TPCM芯片的双体系计算安全架构，TPCM芯片除了密码功能外，必须先于CPU加电，先于CPU对BIOS进行完整性度量；

③可信软件栈是否支持操作系统层面的透明可信控制，国内部分学者认为需要程序被动调用可信接口，不能在操作系统层面进行主动度量，为此，提出在操作系统内核层面对应用程序完整性和程序行为进行透明可信判定及控制思路。

可信计算平台

目前主要的可信平台模块主要有三种，分别是TCG的TPM、中国的TCM和TPCM，本小节只介绍TCG的TPM。

可信平台模块是可信计算平台的信任根（RTS、RTR），它本身是一个SOC芯片，由CPU、存储器、I/O、密码协处理器、随机数产生器和嵌入式操作系统等部件组成，主要用于可信度量的存储、可信度量的报告、密钥产生、加密和签名、数据安全存储等功能。

TCG先后发布过多个版本的TPM标准，其中，TPM 1.2使用较为广泛，但随着信息计算机技术的不断发展，TPM 1.2无法满足新技术下的需求，2014 TCG发布了TPM 2.0，相较于TPM1.2，TPM 2.0有如下改进：①吸收原有TPM（TPM1.2）和中国TCM的优点；②改进原TPM在密码算法灵活方面存在的问题；③使之成为一个，解决不同国家的本地需求，并保持较好的兼容性。

以PC机可信计算举例。操作系统首先将系统上所有的可执行程序做一个哈希度量，将这个度量值存储在可信计算基中。系统启动时检测BIOS和操作系统的完整性和正确性，保障你在使用PC时硬件配置和操作系统没有被篡改过，所有系统的安全措施和设置都不会被绕过。然后系统要运行应用程序，除了经过传统的操作系统的权限判断之外，还要与可信计算基中存储的度量值做一个对比，如果或是恶意程序修改了可执行文件的内容，就可以检测到应用程序已经发生了更改，则禁止程序运行。