可信计算概述

如今信息技术已经成为了人们生活中不可分割的一部分，人们每天都通过计算机和互联网获取信息、进行各种活动。但计算机与网络空间并不总是安全的，一方面们会通过在网络中散布恶意病毒来对正常用户进行攻击，例如2017年5月爆发的病毒；另一方面许多不良厂商会在自己的软件中“开后门”，趁用户不注意时获取用户的隐私或者弹出弹窗广告，这些都给维护网络空间的信息安全带来了巨大的挑战。为了使人们能够正常地通过计算机在互联网上进行各种活动，我们必须建立一套安全的可靠的防御体系来确保我们的计算机能够按照预期稳定地提供服务。

可信计算

1、所有模块或组件，除了CRTM（信任链构建起点，段运行的用于可信度量的代码），在没有经过度量以前，均认为是不可信的。同时，只有通过可信度量且与预期数据相符的模块或组件，才可归入可信边界内。

2、可信边界内部的模块或组件，可以作为验证代理，对尚未完成验证的模块或组件进行完整性验证。

3、只有可信边界内的模块或组件，才可以获得相关的TPM 控制权，可信边界以外的模块或组件无法控制或使用可信平台模块。

操作系统安全升级，如防范UEFI中插入rootkit、防范OS中插入rootkit、以及防范病毒和攻击驱动注入等。应用完整性保障，如防范在应用中插入木马。安全策略强制实现，如防范安全策略被绕过/篡改、强制应用只能在某个计算机上用、强制数据只能有某几种操作等。可见，可信计算则相当于重构一套系统，原理是这样的：我的地盘我做主，不管什么应用程序，只要想在开启了可信计算的操作系统上运行，就必须经过我的允许。这个允许的过程就是将这个可执行文件的哈希度量值存储到可信计算基当中。理论上，开启了可信计算的操作系统，任何病毒、木马都无法在其上运行的。***去年底推出的《信息安全技术网络安全等级保护基本要求》（等保2.0）也强化了对可信计算的要求。