可信计算
此外,封堵的办法是攻击和病毒的特征信息,而这些特征是已发生过的滞后信息,属于“事后防御”。随着恶意用户的攻击手段变化多端,防护者只能把防火墙越砌越高、检测越做越复杂、恶意代码库越做越大,误报率也随之增多,使得安全的投入不断增加,维护与管理变得更加复杂和难以实施,信息系统的使用效率大大降低,而对新的攻击毫无防御能力。近年来,“震网”“火焰”“Mirai”“黑
可信计算公司
可信计算
此外,封堵的办法是攻击和病毒的特征信息,而这些特征是已发生过的滞后信息,属于“事后防御”。随着恶意用户的攻击手段变化多端,防护者只能把防火墙越砌越高、检测越做越复杂、恶意代码库越做越大,误报率也随之增多,使得安全的投入不断增加,维护与管理变得更加复杂和难以实施,信息系统的使用效率大大降低,而对新的攻击毫无防御能力。近年来,“震网”“火焰”“Mirai”“黑暗力量”“WannaCry病毒”等重大安全事件频频发生,显然,传统防火墙、检测、病毒防范等“老三样”封堵查杀的被动防御已经过时,网络空间安全正遭遇严峻挑战 。
可信计算概述
可信计算概念早可以追溯到美国部颁布的TCSEC准则。1983年,美国部制定了世界上个《可信计算机系统评价标准》,次提出了可信计算机和可信计算基的概念,并把TCB作为系统系统安全的基础。
化组织与国际电子技术ISO/IEC在其发布的目录服务系列标准中基于行为预期性定义了可信性:如果第2个实体完全按照个实体的预期行动时,则个实体认为第2个实体 是可信的。
可信计算建立连接
度量:该信任链以BIOS引导区与TPM为信任根,其中,BIOS引导区为可信度量根(RTM),TPM为可信存储根(RTS)、可信报告根(RTR)。从BIOS引导区出发,到OS Loader、再到 OS、应用,构成一条信任链。沿着这条信任链,一级度量一级,一级信任一级,确保平台资源的完整性。
存储:由于可信平台模块存储空间有限,所以,采用度量扩展的方法(即现有度量值和新度量值相连再次散列)来记录和存储度量值到可信平台模块的PCR中,同时将度量对象的详细信息和度量结果作为日志存储在磁盘中。存储在磁盘中的度量日志和存储在PCR中的度量值是相互印证的,防止磁盘中的日志被篡改。
以PC机可信计算举例。操作系统首先将系统上所有的可执行程序做一个哈希度量,将这个度量值存储在可信计算基中。系统启动时检测BIOS和操作系统的完整性和正确性,保障你在使用PC时硬件配置和操作系统没有被篡改过,所有系统的安全措施和设置都不会被绕过。然后系统要运行应用程序,除了经过传统的操作系统的权限判断之外,还要与可信计算基中存储的度量值做一个对比,如果或是恶意程序修改了可执行文件的内容,就可以检测到应用程序已经发生了更改,则禁止程序运行。
(作者: 来源:)
