可信計算

 此外，封堵的辦法是攻擊和病毒的特***息，而這些特征是已發生過的滯后信息，屬于“事后防御”。隨著惡意用戶的攻擊手段變化多端，防護者只能把防火墻越砌越高、檢測越做越復雜、惡意代碼庫越做越大，誤報率也隨之增多，使得安全的投入不斷增加，維護與管理變得更加復雜和難以實施，信息系統的使用效率大大降低，而對新的攻擊毫無防御能力。近年來，“震網”“火焰”“Mirai”“黑暗力量”“WannaCry病毒”等重大安全事件頻頻發生，顯然，傳統防火墻、檢測、病毒防范等“老三樣”封堵查殺的被動防御已經過時，網絡空間安全正遭遇嚴峻挑戰 。

 1、所有模塊或組件，除了CRTM（信任鏈構建起點，段運行的用于可信度量的代碼），在沒有經過度量以前，均認為是不可信的。同時，只有通過可信度量且與預期數據相符的模塊或組件，才可歸入可信邊界內。

2、可信邊界內部的模塊或組件，可以作為驗證代理，對尚未完成驗證的模塊或組件進行完整性驗證。

 3、只有可信邊界內的模塊或組件，才可以獲得相關的TPM 控制權，可信邊界以外的模塊或組件無法控制或使用可信平臺模塊。

 以PC機可信計算舉例。操作系統首先將系統上所有的可執行程序做一個哈希度量，將這個度量值存儲在可信計算基中。系統啟動時檢測BIOS和操作系統的完整性和正確性，保障你在使用PC時硬件配置和操作系統沒有被篡改過，所有系統的安全措施和設置都不會被繞過。然后系統要運行應用程序，除了經過傳統的操作系統的權限判斷之外，還要與可信計算基中存儲的度量值做一個對比，如果或是惡意程序修改了可執行文件的內容，就可以檢測到應用程序已經發生了更改，則禁止程序運行。