可信計(jì)算

1、所有模塊或組件，除了CRTM（信任鏈構(gòu)建起點(diǎn)，段運(yùn)行的用于可信度量的代碼），在沒有經(jīng)過度量以前，均認(rèn)為是不可信的。同時(shí)，只有通過可信度量且與預(yù)期數(shù)據(jù)相符的模塊或組件，才可歸入可信邊界內(nèi)。

2、可信邊界內(nèi)部的模塊或組件，可以作為驗(yàn)證代理，對尚未完成驗(yàn)證的模塊或組件進(jìn)行完整性驗(yàn)證。

3、只有可信邊界內(nèi)的模塊或組件，才可以獲得相關(guān)的TPM 控制權(quán)，可信邊界以外的模塊或組件無法控制或使用可信平臺(tái)模塊。

可信計(jì)算建立連接

度量：該信任鏈以BIOS引導(dǎo)區(qū)與TPM為信任根，其中，BIOS引導(dǎo)區(qū)為可信度量根（RTM），TPM為可信存儲(chǔ)根（RTS）、可信報(bào)告根（RTR）。從BIOS引導(dǎo)區(qū)出發(fā)，到OS Loader、再到 OS、應(yīng)用，構(gòu)成一條信任鏈。沿著這條信任鏈，一級(jí)度量一級(jí)，一級(jí)信任一級(jí)，確保平臺(tái)資源的完整性。

存儲(chǔ)：由于可信平臺(tái)模塊存儲(chǔ)空間有限，所以，采用度量擴(kuò)展的方法（即現(xiàn)有度量值和新度量值相連再次散列）來記錄和存儲(chǔ)度量值到可信平臺(tái)模塊的PCR中，同時(shí)將度量對象的詳細(xì)信息和度量結(jié)果作為日志存儲(chǔ)在磁盤中。存儲(chǔ)在磁盤中的度量日志和存儲(chǔ)在PCR中的度量值是相互印證的，防止磁盤中的日志被篡改。

可信計(jì)算常受到的一個(gè)扮用的是，封裝存?？赡茏柚筯界戶將封諾的文件移動(dòng)助新漸的分算凱。這個(gè)保期同能來宜于糟鮮的許設(shè)計(jì)動(dòng)納容漫供綹的意實(shí)戰(zhàn)的因規(guī)。TFM規(guī)甜的遷移動(dòng)分要求-些特往美主的文并只聯(lián)家t訊闕蜒用明安全掛型到的期凱上,如眼-個(gè)l舊型號(hào)的芯片不再生產(chǎn)，就根本不可能將數(shù)據(jù)轉(zhuǎn)移到新計(jì)算機(jī);那些數(shù)據(jù)將于舊計(jì)算機(jī)—同長眠。

此外，批評(píng)者還推捷到盯TPMA可以強(qiáng)制剃用戶按變明糶軟件，低如確到撞樂文中只能扭圖里在闔的妁會(huì)姆加唱片公司的州跺上播故。，同祥一個(gè)新國躲卻可能要來甲戶正沒波用轉(zhuǎn)定的資理楚后，才分許下數(shù)創(chuàng)們門的文墳章。俄被軟年可能勝雜部規(guī)站士的被變化后禁止閱讀的新聞。這種新版本限制的實(shí)施將允許雜志通過修改或刪除文章來“重寫歷史”。即使用戶將的文章存儲(chǔ)在自己的計(jì)算機(jī)中，閱讀軟件發(fā)現(xiàn)網(wǎng)站變化后，也可能拒絕閱讀請求。

操作系統(tǒng)安全升級(jí)，如防范UEFI中插入rootkit、防范OS中插入rootkit、以及防范病毒和攻擊驅(qū)動(dòng)注入等。應(yīng)用完整性保障，如防范在應(yīng)用中插入木馬。安全策略強(qiáng)制實(shí)現(xiàn)，如防范安全策略被繞過/篡改、強(qiáng)制應(yīng)用只能在某個(gè)計(jì)算機(jī)上用、強(qiáng)制數(shù)據(jù)只能有某幾種操作等?？梢?，可信計(jì)算則相當(dāng)于重構(gòu)一套系統(tǒng)，原理是這樣的：我的地盤我做主，不管什么應(yīng)用程序，只要想在開啟了可信計(jì)算的操作系統(tǒng)上運(yùn)行，就必須經(jīng)過我的允許。這個(gè)允許的過程就是將這個(gè)可執(zhí)行文件的哈希度量值存儲(chǔ)到可信計(jì)算基當(dāng)中。理論上，開啟了可信計(jì)算的操作系統(tǒng)，任何病毒、木馬都無法在其上運(yùn)行的。***去年底推出的《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（等保2.0）也強(qiáng)化了對可信計(jì)算的要求。