可信計算概述

 如今信息技術已經成為了人們生活中不可分割的一部分，人們每天都通過計算機和互聯網獲取信息、進行各種活動。但計算機與網絡空間并不總是安全的，一方面們會通過在網絡中散布惡意病毒來對正常用戶進行攻擊，例如2017年5月爆發的病毒；另一方面許多不良廠商會在自己的軟件中“開后門”，趁用戶不注意時獲取用戶的隱私或者彈出彈窗廣告，這些都給維護網絡空間的信息安全帶來了巨大的挑戰。為了使人們能夠正常地通過計算機在互聯網上進行各種活動，我們必須建立一套安全的可靠的防御體系來確保我們的計算機能夠按照預期穩定地提供服務。

可信計算

 1、所有模塊或組件，除了CRTM（信任鏈構建起點，段運行的用于可信度量的代碼），在沒有經過度量以前，均認為是不可信的。同時，只有通過可信度量且與預期數據相符的模塊或組件，才可歸入可信邊界內。

2、可信邊界內部的模塊或組件，可以作為驗證代理，對尚未完成驗證的模塊或組件進行完整性驗證。

 3、只有可信邊界內的模塊或組件，才可以獲得相關的TPM 控制權，可信邊界以外的模塊或組件無法控制或使用可信平臺模塊。

 操作系統安全升級，如防范UEFI中插入rootkit、防范OS中插入rootkit、以及防范病毒和攻擊驅動注入等。應用完整性保障，如防范在應用中插入木馬。安全策略強制實現，如防范安全策略被繞過/篡改、強制應用只能在某個計算機上用、強制數據只能有某幾種操作等。可見，可信計算則相當于重構一套系統，原理是這樣的：我的地盤我做主，不管什么應用程序，只要想在開啟了可信計算的操作系統上運行，就必須經過我的允許。這個允許的過程就是將這個可執行文件的哈希度量值存儲到可信計算基當中。理論上，開啟了可信計算的操作系統，任何病毒、木馬都無法在其上運行的。***去年底推出的《信息安全技術網絡安全等級保護基本要求》（等保2.0）也強化了對可信計算的要求。