可信计算
①信任芯片是否支持国产密码算法,密码局主导提出了商用密码可信计算应用标准,并禁止加载国际算法的可信计算产品在国内销售;
②信任芯片是否支持板卡层面的优先加电控制,国内部分学者认为提出的CPU先加电、后依靠密码芯片建立信任链的模式强度不够,为此,提出基于TPCM芯片的双体系计算安全架构,TPCM芯片除了密码功能外,必须先于CPU加电,先于CPU
可信计算模组报价
可信计算
①信任芯片是否支持国产密码算法,密码局主导提出了商用密码可信计算应用标准,并禁止加载国际算法的可信计算产品在国内销售;
②信任芯片是否支持板卡层面的优先加电控制,国内部分学者认为提出的CPU先加电、后依靠密码芯片建立信任链的模式强度不够,为此,提出基于TPCM芯片的双体系计算安全架构,TPCM芯片除了密码功能外,必须先于CPU加电,先于CPU对BIOS进行完整性度量;
③可信软件栈是否支持操作系统层面的透明可信控制,国内部分学者认为需要程序被动调用可信接口,不能在操作系统层面进行主动度量,为此,提出在操作系统内核层面对应用程序完整性和程序行为进行透明可信判定及控制思路。
可信计算原理介绍
传统信息安全厂商的做法有点像医生给,感冒了给其治感冒,受伤了给其治伤。信息安全厂商的做法是,你的操作系统也漏洞,我给你打上补丁。你的操作系统上病毒了,我通毒软件给你清除病毒。病毒也是通特征码的方式来实现,即毒厂商先捕获了这个病毒,分析这个病毒的特征码,加上病毒库,这样毒软件才能查某个病毒。如果毒软件没有及时更新病毒库,则无法查杀这个新的病毒了。这也是为什么传统杀毒软件只要我们一开机就让我们更新的原因。以上的方法,更存在一定的滞后性。而可信计算使用一种新的思路实现信息安全,即从操作系统底层入手,应用程序想在操作系统上运行,必须经信计算基的认证,只有经认证的程序才可以在操作系统上运行,未经认证的程序不能运行
操作系统安全升级,如防范UEFI中插入rootkit、防范OS中插入rootkit、以及防范病毒和攻击驱动注入等。应用完整性保障,如防范在应用中插入木马。安全策略强制实现,如防范安全策略被绕过/篡改、强制应用只能在某个计算机上用、强制数据只能有某几种操作等。可见,可信计算则相当于重构一套系统,原理是这样的:我的地盘我做主,不管什么应用程序,只要想在开启了可信计算的操作系统上运行,就必须经过我的允许。这个允许的过程就是将这个可执行文件的哈希度量值存储到可信计算基当中。理论上,开启了可信计算的操作系统,任何病毒、木马都无法在其上运行的。去年底推出的《信息安全技术网络安全等级保护基本要求》(等保2.0)也强化了对可信计算的要求。
(作者: 来源:)
