您好,歡迎來到易龍商務網(wǎng)!
全國咨詢熱線:13366380840
【廣告】
發(fā)布時間:2021-07-25 11:58
可信計算
1、所有模塊或組件,除了CRTM(信任鏈構(gòu)建起點,段運行的用于可信度量的代碼),在沒有經(jīng)過度量以前,均認為是不可信的。同時,只有通過可信度量且與預期數(shù)據(jù)相符的模塊或組件,才可歸入可信邊界內(nèi)。
2、可信邊界內(nèi)部的模塊或組件,可以作為驗證代理,對尚未完成驗證的模塊或組件進行完整性驗證。
3、只有可信邊界內(nèi)的模塊或組件,才可以獲得相關(guān)的TPM 控制權(quán),可信邊界以外的模塊或組件無法控制或使用可信平臺模塊。
可信計算建立連接
度量:該信任鏈以BIOS引導區(qū)與TPM為信任根,其中,BIOS引導區(qū)為可信度量根(RTM),TPM為可信存儲根(RTS)、可信報告根(RTR)。從BIOS引導區(qū)出發(fā),到OS Loader、再到 OS、應用,構(gòu)成一條信任鏈。沿著這條信任鏈,一級度量一級,一級信任一級,確保平臺資源的完整性。
存儲:由于可信平臺模塊存儲空間有限,所以,采用度量擴展的方法(即現(xiàn)有度量值和新度量值相連再次散列)來記錄和存儲度量值到可信平臺模塊的PCR中,同時將度量對象的詳細信息和度量結(jié)果作為日志存儲在磁盤中。存儲在磁盤中的度量日志和存儲在PCR中的度量值是相互印證的,防止磁盤中的日志被篡改。
可信計算遠程證明
遠是征明使得用主或其他人可以選測到波用中的比第機的變化。這樣可以都鮑向不安全或安全受拔的計算凱隊發(fā)送隊有言息或重要的命今遠程狂明時制通過/生來個證書,聲明哪望納件正在運行,月中可以將這個任書發(fā)給遠租的-方以表賽幫社的第鋼沒有受到篡改。遠程證明通常與公鑰加密結(jié)合來保證發(fā)出的信息只能被發(fā)出證明要求的程序讀取,而非其它者。
再用士面日記的例子,用守的日記全可以將日記發(fā)送創(chuàng)其性的機臊,但是只能發(fā)給船絲能夠證明所吃運行臺的是一份安全的運軟性。與其他技術(shù)將合起來,遠登征時河可以為日遇供一個競或安全的路徑:通近推益劍人從以及在再韓顯剝動貿(mào)安劊f0的縣護,內(nèi)存屏蔽在日記軟件運行時保護日記,而封裝存儲在它存儲到硬盤的時候保護它,并且遠程證明保護它在其它計算機使用時不受非授權(quán)軟件的破壞。
操作系統(tǒng)安全升級,如防范UEFI中插入rootkit、防范OS中插入rootkit、以及防范病毒和攻擊驅(qū)動注入等。應用完整性保障,如防范在應用中插入木馬。安全策略強制實現(xiàn),如防范安全策略被繞過/篡改、強制應用只能在某個計算機上用、強制數(shù)據(jù)只能有某幾種操作等。可見,可信計算則相當于重構(gòu)一套系統(tǒng),原理是這樣的:我的地盤我做主,不管什么應用程序,只要想在開啟了可信計算的操作系統(tǒng)上運行,就必須經(jīng)過我的允許。這個允許的過程就是將這個可執(zhí)行文件的哈希度量值存儲到可信計算基當中。理論上,開啟了可信計算的操作系統(tǒng),任何病毒、木馬都無法在其上運行的。國家去年底推出的《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》(等保2.0)也強化了對可信計算的要求。
