什么是可信计算?

  • 作者:
  • 时间:2022-06-16 09:16:25
简介 什么是可信计算?
什么是可信计算?

可信计算,即Trusted Computing,简称TC,是由TCG(可信计算组)推动和开发的技术。其本质是在计算和通信系统中使用基于硬件安全模块支持下的可信计算平台,由此提升整个系统的安全性。

可信计算平台主要分为四个组成部分,包括:信任根、硬件平台、操作系统和应用系统,自下而上形成一条完整的链路。硬件安全模块扮演信任根的角色,是整个可信计算平台的基石。

整个链条环环相扣,操作系统经过硬件平台的信任,应用经过操作系统的认证,每个部分都由上一部分可信验证,所以由可信计算组成的IT系统安全性大大提高。

进一步理解就是:用户的身份认——平台硬件配置正确——应用程序的完整性和合法性——在网络上交互的双方是否互相可信。

可信计算的发展历程

其实,可信计算并非一个新概念,早在1983年,美国国防部便颁布了《可信计算机系统评价标准》(TCSEC),这也是世界上首个可信计算标准。

2001年由HP、IBM、Intel、Microsoft牵头,成立可信计算组织 TCPA(Trusted Computing Platform Alliance)并发布了TPM规范。

我国在1992年成立了免疫可信计算综合安全防护系统,并于1995年通过测评鉴定。

在这三十年里,可信计算的发展历经了三个阶段。

可信计算1.0,主要防护对象是主机,主要提供主机的可靠性,包含冗余备份、故障排除等功能。

可信计算2.0,主要防护对象是PC,代表技术为TPM(Trusted Platform Module,可信平台模块),通过硬件被动挂接、软件被动调用等形式,为PC提供静态保护。

当下的热门的可信计算3.0,防护对象扩大到了整个网络。采用双系统体系架构实现可信,即在保证原有计算体系架构不变的基础上,单独建立一个逻辑独立的可信计算架构。该架构可为系统中的安全机制提供统一的基础,并为各安全机制的动态连接、构成纵深防御体系提供支持。

可信计算实现了网络安全防护的“救治于前”

信息安全包括四个层面:设备安全、数据安全、内容安全与行为安全。

可信计算属于行为安全层面。某信息安全专家在其《软件行为学》一书中描述,行为安全应该包括:行为的机密性、行为的完整性、行为的真实性等特征。

可信计算之所以能够满足物联网时代的网络安全需要,关键在于,它能够完成网络安全防护的提前出击。

传统网络安全的原理是防御,往往都是“救治于后”,例如当应用出现病毒,就要借助杀毒软件查杀。而此时企业或多或少已经产生了损失。

而可信计算的原理是出击。由于整个链路都经过可信认证,所以无论从应用、操作系统还是硬件,必须经过授权才能使用,这无疑降低了病毒、网络攻击的概率。可信计算目的是从根本上杜绝病毒的来源。

物联网、区块链领域的防护需要,使可信计算3.0有了更广阔的应用场景。尤其在互联网和金融行业,可信计算与区块链可谓相辅相成。

目前,可计算服务提供商主要为一些大型软硬件厂商,以硬件厂商为主,如英特尔、IBM、华为、百度。云服务商,包括Azure、阿里云、谷歌云、腾讯云等。网络安全厂商,包括奇安信、启明星辰、绿盟等。以及区块链公司,如ARPA、公信宝、趣链科技等。

尽管可信计算3.0是目前的热门,但可信计算3.0更多停留在理论、概念阶段,距离大规模应用仍有很长的路要走。

随着物联网、区块链等技术进一步得以应用,可信计算3.0将会迎来风口。