您好,歡迎來到易龍商務網!
發布時間:2021-08-14 02:55
【廣告】
可信計算
目前大部分網絡安全系統主要由防火墻、檢測、病毒防范等組成。這種常規的安全手段只能在網絡層、邊界層設防,在外圍對用戶和越權訪問進行封堵,以達到防止外部攻擊的目的。由于這些安全手段缺少對訪問者源端—客戶機的控制,加之操作系統的不安全導致應用系統的各種漏洞層出不窮,其防護效果正越來越不理想。
如果有問題歡迎 來咨詢!!!!!!!!!
①信任芯片是否支持國產密碼算法,國家密碼局主導提出了中國商用密碼可信計算應用標準,并禁止加載國際算法的可信計算產品在國內銷售;
②信任芯片是否支持板卡層面的優先加電控制,國內部分學者認為提出的CPU先加電、后依靠密碼芯片建立信任鏈的模式強度不夠,為此,提出基于TPCM芯片的雙體系計算安全架構,TPCM芯片除了密碼功能外,必須先于CPU加電,先于CPU對BIOS進行完整性度量;
③可信軟件棧是否支持操作系統層面的透明可信控制,國內部分學者認為需要程序被動調用可信接口,不能在操作系統層面進行主動度量,為此,提出在操作系統內核層面對應用程序完整性和程序行為進行透明可信判定及控制思路。
可信計算建立連接
度量:該信任鏈以BIOS引導區與TPM為信任根,其中,BIOS引導區為可信度量根(RTM),TPM為可信存儲根(RTS)、可信報告根(RTR)。從BIOS引導區出發,到OS Loader、再到 OS、應用,構成一條信任鏈。沿著這條信任鏈,一級度量一級,一級信任一級,確保平臺資源的完整性。
存儲:由于可信平臺模塊存儲空間有限,所以,采用度量擴展的方法(即現有度量值和新度量值相連再次散列)來記錄和存儲度量值到可信平臺模塊的PCR中,同時將度量對象的詳細信息和度量結果作為日志存儲在磁盤中。存儲在磁盤中的度量日志和存儲在PCR中的度量值是相互印證的,防止磁盤中的日志被篡改。
