风险提示:理性看待区块链,提高风险意识!

可信计算是什么?

2个回答

轻轻1236星评价

2020-04-28 15:01:32

可信计算是什么?

出现:

早在1983年,美国国防部制定了世界上第一个《可信计算机系统评价标准》(Trusted Computer System Evaluation Criteria ,TCSEC)。作为对TCSEC的补充,美国国防部分别在1987年和1991年,又相继推出了可信网络解释(Trusted Network Interpretation,TNI)和可信数据库解释(Trusted Database Interpretation,TDI)。这些文件共同组成了彩虹系列信息系统安全指导文件”,彩虹系列是最早的一套可信计算技术文件,它标志着可信计算的出现。

概念:

由于可信计算的不断发展,对于可信计算的概念,目前还没有一个非常准确的定义。可信计算的首要问题就是要回答什么是可信”。1990年,国际标准化组织与国际电子技术委员会在其发布的目录服务系列标准中认为,如果第二个实体完全按照第一个实体的预期行动时,则第一个实体认为第二个实体是可信的。1999年,该组织在15408标准中定义为可信为”参与计算的组件、操作或过程在任意的条件下是可预测的,并能够抵御病毒和一定程度的物理干扰”。2002年,非盈利组织TCG用实体行为的预期性定义可信,他们认为,如果实体的行为总是以预期的方式,达到预期的目标,则该实体是可信的。IEEE Computer Society Committee on Dependable Computing 定义:可信是指计算机系统所提供的服务是可以论证其是可信赖的。

虽然大家对可信的定义不完全统一,但是可信最后都可以归结为:

1)强调实体行为的预期性;

2)强调系统的安全与可靠。

基本思想:

在计算机系统中,首先构建一个信任根,再建立一条信任链,从信任根开始到硬件平台、到操作系统、再到应用,一级度量认证一级,一级信任一级,把这种信任扩展到整个计算机系统,从而确保整个计算机系统的可信。

信任根、信任链:

信任根是可信计算机系统可信的基点。TCG认为,一个可信计算平台必须包含三个信任根:

可信度量根(Root of Trust for Measurement,RTM) 是平台启动时首先被执行的一段软件。

可信存储根(Root of Trust for Storage,RTS)是可信平台模块(TPM)芯片中的一组被称为平台配置寄存器(PCR)的存储器和存储根密钥(SRK)。

可信报告根(Root of Trust for Report,RTR)是可信平台模块(TPM)芯片中的平台配置寄存器(PCR)和签注密钥(EK)、

信任链是信任度量模型的实施技术方案,通过信任链把信任关系从信任根扩展到整个计算机系统。

关键技术:

1.签注密钥:是一个2048位的RSA公共和私有密钥对,该密钥对再芯片出厂时随机生成并且不能改变。

2.安全输出输入:是指电脑用户和他们认为与之交互的软件间受保护的路径。

3.存储器屏蔽:拓展了一般的储存保护技术,提供了完全独立的储存区域,即使操作系统自身也没有被屏蔽储存区域的完全访问权限。

4.密封存储:通过把私有信息和使用的软硬件平台配置信息捆绑在一起来保护私有信息。这就意味着该数据只能在相同的软硬件组合环境下读取。比如,某个用户在他的电脑上保存了一首歌曲,而他的电脑没有播放这首歌的许可证,他就不能播放这首歌。

5.远程认证:准许用户电脑上的改变被授权方感知。我们可以这样理解:软件公司可以防止他们的软件被用户破解,通过让硬件生成当前软件的证书,随后将这个证书传输给远程被授权方,来显示该公司的软件尚未被干扰、被破译。这样就可以防止软件被破译了。

应用:

目前,可信计算主要有以下几个应用场景:

1)数字版权管理,可信计算将使公司很难规避的数字版权管理系统;

2)身份盗用保护,可以通过认证证书的方式实现防止身份盗用;

3) 游戏防作弊,可以利用安全I/O等关键技术来打击在线游戏作弊;

4) 保护系统,通过软件的数字签名,操作系统可以发现带有间谍软件的应用程序,从而实现系统的保护;

5)保护数据,用于身份认证的生物鉴别设备可以使用可信计算技术保护数据安全;

6)计算结果,确保网络计算系统的参与者返回的结果不是伪造的;

除了这些以上这些领域,可信计算还可与区块链技术结合,构建可信赖的软件体系。新一代公链Trias中的Leviatom 网络,核心是一套异构共识图算法(HCGraph)。HCGraph基于异构TEE(Trusted Exectuion Environment)的可信计算技术与基于小世界网络的图技术的充分结合,进一步实现了对任意原生代码的可信执行。


地沟油5星评价

2020-04-28 15:02:18

一、什么是可信计算

可信计算简单来说是保障信息系统可预期性的技术,使计算全程可测可控。可信与防火墙、防病毒、入侵检测不同的是,可信计算首先搜集系统和应用信息,根据用户的信任需求,确定系统的可信特征并建立起可信策略库,确定已知特征,针对不符合策略库行为标记为未知,最终通过可信控制,保护已知,破坏和排斥未知。

二、可信计算3.0的基本概念

1.可信根与可信链

可信根是可信计算的原始节点,是可信的源头。可信根应安全的物理环境、存储环境、运算环境下运行,保障信息的可信交互。除此之外,可信根应具有:1.对系统启动前、启动中、启动后的度量能力;2.对过程中的控制能力;3.优先启动特性。

中国提出的可信3.0中,以可信平台控制模块TPCM作为可信根,TPCM包含可信密码模块及平台控制模块,提供密码服务外还提供平台控制能力。首先通过平台控制功能获取系统的控制权,然后通过密码服务模块对主板、固件、引导、内核镜像、应用程序等主体进行可信度量(原始无染环境的度量值可以让厂商或者测评机构提供),只有与度量通过才能将控制权开放给系统。

可信链是由可信根开始,逐步扩展的方式形成,可信扩展包括静态与动态,见下图:

用可信根验证硬件与固件的可信性,用固件的验证机制验证操作系统引导的可信性,用操作系统引导程序验证系统的可信性,用自定的验证机制验证应用程序的可信性,最终实现,从底层硬件、中层操作系统、上层应用的安全可信。

2.可信密码

可信密码依托可信根,向系统和用户提供密码服务,包括可信存储、可信度量、可信报告、可信认证等。

可信存储主要是对秘钥进行保密及完整性保护,将秘钥存放在可信根内部,永远不向外界暴露。

可信度量是利用可信根的物理功能和其中的摘要算法,实现对文件等主体进行度量,2.0时由厂商提供预期度量值,3.0用户可以进行自定义。

可信报告及可信认证主要用于远程证明用户身份和平台可信性。最终可以实现由单个可信环境扩展至局域网的可信体系。

三、可信体系架构

目前可信体系包括可信主板、可信操作系统、可信应用及可信网络,通过多层面多角度建立可信机制,才能全面实现可信环境。