題主,你好,關於可信計算我會從什麼是可信計算、可信3.0的基本概念、可信3.0體系架構為你解答。
可信計算簡單來說是保障資訊系統可預期性的技術,使計算全程可測可控。可信與防火牆、防病毒、入侵檢測不同的是,可信計算首先蒐集系統和應用資訊,根據使用者的信任需求,確定系統的可信特徵並建立起可信策略庫,確定已知特徵,針對不符合策略庫行為標記為未知,最終透過可信控制,保護已知,破壞和排斥未知。
可信根與可信鏈。 可信根是可信計算的原始節點,是可信的源頭。可信根應安全的物理環境、儲存環境、運算環境下執行,保障資訊的可信互動。除此之外,可信根應具有:
中國提出的可信3.0中,以可信平臺控制模組TPCM作為可信根,TPCM包含可信密碼模組及平臺控制模組,提供密碼服務外還提供平臺控制能力。首先透過平臺控制功能獲取系統的控制權,然後透過密碼服務模組對主機板、韌體、引導、核心映象、應用程式等主體進行可信度量(原始無染環境的度量值可以讓廠商或者測評機構提供),只有與度量透過才能將控制權開放給系統。 可信鏈是由可信根開始,逐步擴充套件的方式形成,可信擴充套件包括靜態與動態,詳情見下圖:
用可信根驗證硬體與韌體的可信性,用韌體的驗證機制驗證作業系統引導的可信性,用作業系統載入程式驗證系統的可信性,用自定的驗證機制驗證應用程式的可信性,最終實現,從底層硬體、中層作業系統、上層應用的安全可信。 2.可信密碼 可信密碼依託可信根,向系統和使用者提供密碼服務,包括可信儲存、可信度量、可信報告、可信認證等。 可信儲存主要是對秘鑰進行保密及完整性保護,將秘鑰存放在可信根內部,永遠不向外界暴露。 可信度量是利用可信根的物理功能和其中的摘要演算法,實現對檔案等主體進行度量,2.0時由廠商提供預期度量值,3.0使用者可以進行自定義。 可信報告及可信認證主要用於遠端證明使用者身份和平臺可信性。最終可以實現由單個可信環境擴充套件至區域網的可信體系。
目前可信體系包括可信主機板、可信作業系統、可信應用及可信網路,透過多層面多角度建立可信機制,才能全面實現可信環境。 各個環節如何使用可信,詳情見下圖:
題主,你好,關於可信計算我會從什麼是可信計算、可信3.0的基本概念、可信3.0體系架構為你解答。
什麼是可信計算可信計算簡單來說是保障資訊系統可預期性的技術,使計算全程可測可控。可信與防火牆、防病毒、入侵檢測不同的是,可信計算首先蒐集系統和應用資訊,根據使用者的信任需求,確定系統的可信特徵並建立起可信策略庫,確定已知特徵,針對不符合策略庫行為標記為未知,最終透過可信控制,保護已知,破壞和排斥未知。
可信計算3.0的基本概念可信根與可信鏈。 可信根是可信計算的原始節點,是可信的源頭。可信根應安全的物理環境、儲存環境、運算環境下執行,保障資訊的可信互動。除此之外,可信根應具有:
對系統啟動前、啟動中、啟動後的度量能力;對過程中的控制能力;優先啟動特性。中國提出的可信3.0中,以可信平臺控制模組TPCM作為可信根,TPCM包含可信密碼模組及平臺控制模組,提供密碼服務外還提供平臺控制能力。首先透過平臺控制功能獲取系統的控制權,然後透過密碼服務模組對主機板、韌體、引導、核心映象、應用程式等主體進行可信度量(原始無染環境的度量值可以讓廠商或者測評機構提供),只有與度量透過才能將控制權開放給系統。 可信鏈是由可信根開始,逐步擴充套件的方式形成,可信擴充套件包括靜態與動態,詳情見下圖:
用可信根驗證硬體與韌體的可信性,用韌體的驗證機制驗證作業系統引導的可信性,用作業系統載入程式驗證系統的可信性,用自定的驗證機制驗證應用程式的可信性,最終實現,從底層硬體、中層作業系統、上層應用的安全可信。 2.可信密碼 可信密碼依託可信根,向系統和使用者提供密碼服務,包括可信儲存、可信度量、可信報告、可信認證等。 可信儲存主要是對秘鑰進行保密及完整性保護,將秘鑰存放在可信根內部,永遠不向外界暴露。 可信度量是利用可信根的物理功能和其中的摘要演算法,實現對檔案等主體進行度量,2.0時由廠商提供預期度量值,3.0使用者可以進行自定義。 可信報告及可信認證主要用於遠端證明使用者身份和平臺可信性。最終可以實現由單個可信環境擴充套件至區域網的可信體系。
可信體系架構目前可信體系包括可信主機板、可信作業系統、可信應用及可信網路,透過多層面多角度建立可信機制,才能全面實現可信環境。 各個環節如何使用可信,詳情見下圖: