可信计算技术产生的背景(由外而内,由网络到PC)

      现在的网络遍布到生活的每个角落，互联网、局域网都已经成为我们生活中重要的部分，网络的安全问题已经暴露出来。为了保证网络的安全，已经花费很多的精力建立网络安全体系，主要有VPN、防火墙、病毒检测等等安全体系，虽然没有这些安全体系网络将不堪一击，但是其主要是关注网络层的安全。

如今，建立这些安全体系起到了很大的作用，但是这些安全体系是否就彻底的解决了网络信息安全问题呢？不是。系统的安全问题原来并没有被关注，遗留很多隐患。例如：尽管用户安装了防病毒，然而PC还是会感染病毒，还是会中木马，受到黑客的攻击。

所以，我们把重点和目光要放在解决PC、主机系统的安全问题上。

第一，由于我们的数据很容易被盗窃。目前终端系统上数据的保护方式尽管通过了一些文件加密，但是保护方式比较弱，还不能够来抵御目前黑客强大的攻击能力。攻击技术总是走在防御技术的前面，所以防御技术必须要跟上去，他强了我们也要强，走一种循环递推的模式。数据保护现在在终端上，软件保护有漏洞，必须要建筑强大的硬件保护的模式。

第二，网络上的身份。要使网络上的系统成为有序的系统，必须要给每个网络设备有一个有效的、可管理的可信身份。

第三，现在的PC没有任何抵抗攻击的能力，在它的DNA上没有这种基因，所以我们要赋予它这样的基因。

    只有从以上几方面更好的解决PC安全问题，才能真正的建立信息系统全方位保障体系。前面人们十几年花了很多精力解决安全问题，现在需要更多要把注意力关注在主机系统的安全上，解决的方法就是针对上述攻击的三个方面，从而提出了可信技术的理念。

可信计算名词定义  

 可信密码模块  trusted cryptography  module（TCM） 是可信计算平台的硬件模块，为可信计算平台提供密码运算功能，具有受保护的存储空间。

可信密码服务模块 TCM Service Module (TSM)

可信密码模块(TCM)技术规范文档定义了一个具有存储保护和执行保护的子系统，该子系统将为计算平台建立信任根基，并且其独立计算资源将建立严格的安全保护机制受限，为防止TCM成为计算平台的性能瓶颈，须将子系统中需执行保护的函数与无需执行保护的函数划分开，将无需执行保护的功能函数由计算平台主处理器执行，而这些支持函数构成了TCM服务模块。

可信计算密码支撑平台  cryptography support platform for trusted computing 可信计算密码支撑平台是一种由可信密码模块(TCM)和可信密码服务模块(TSM)组成的软硬件系统，是可信计算平台的重要组成部分，为实现可信计算平台自身的完整性、身份可信性和数据安全性提供密码支持，其功能内容包括密码算法、密钥管理、证书管理、密码协议、密码服务等。

可信计算机 trusted computer 凡是基于TCM构建了可信计算密码支撑平台的计算机，称之为可信计算机。

 可信芯片的基本功能  

可信芯片提供了安全的密钥生成和存储机制。 

用户可以将数据和存储密钥的授权信息发送给可信芯片，可信芯片利用保存在芯片内部的存储密钥以及当前的平台完整性度量值对数据进行加密，形成密封的数据块，然后将密封后数据块送到可信芯片之外。

当用户需要对密封的数据块进行解密时，需要将密封的数据块和存储密钥的授权信息发送给可信芯片，可信芯片启用存储密钥对密封的数据进行解密，同时比对平台完整性度量值是否一致，如果一致解密成功，否则解密失败。

这样就保证了用户数据只能在本机查看，而非法窃取的数据根本无法打开。

TPM、TCM分别是什么？   

    IT业界从1999年开始，就有一个由Intel、IBM、HP、Microsoft、Compaq发起的TCPA（Trusted Computing Platform Alliance）组织在推动构建一个可信赖的计算环境，这个组织的成果是定义了一个平台设备认证的架构，以及嵌入在主板上的安全芯片（TPM：Trusted Platform Module）和上层软件中间件TSS（Trusted Software Stack）的第一个规范.2003年TCPA重新组成了一个更加具有商业性质的组织TCG（Trusted Computing Group），加大了产业推广力度，至今为止，已经有Intel、AMD、Microsoft、IBM、HP、Sony、Sun 7个发起成员.Intel和微软这两大行业巨头在TCG组织中发挥了越来越重要的作用，并且投入了很大的资源推动了整个产业链（包括安全芯片、主板、BIOS、芯片组、CPU、OS、软件中间件、单机上层应用系统、电子商务应用系统、CA系统、安全认证）的形成，因此TCG组织对IT产业的影响将非常巨大。

TCG要求的关键部件TPM1.2安全芯片是嵌入密码型计算机的核心部件，通过LPC总线接口放置在主板上,芯片内部是一个完整的安全计算环境，内部结构包括：1、低功耗的32位RISC CPU；2、CPU访问片内外围模块的通道；3、中断控制器(Interrupt Controller)； 4、时钟发生器（Clock Generator）；5、对外IO端口；6、RAM；7、ROM；8、Flash；9、SHA/HMAC模块；10、RSA协处理器模块；11、真随机数产生模块。

TPM1.2安全芯片提供了平台完整性度量、提供平台唯一身份标识、提供硬件级的密钥保护等基本安全功能，为可信计算提供基础硬件支撑。

国际TPM1.2产品的日益成熟，为什么我们国内还要自己做TCM呢？两者又有什么差别呢？

计算机系统安全是信息和网络安全的基础，而信息和网络安全已成为国家安全的一个重要组成部分。1997年我国出台的《商用密码管理条例》明确规定：国家任何商用密码的研制、生产和销售都必须接受专控管理。任何国外生产的商用密码产品未经许可都不允许中国市场上销售。《商用密码管理条例》的出台也表明信息安全类产品不能依赖别人，也不可能依赖别人，必须立足于国内自主开发。国际TCG组织也同样认识到这一点，在TPM标准中对其核心算法的替换已经提上议事日程。

同时，考虑到中国安全芯片标准发展时间比较短，参考国际规范可以避免我们走很多弯路；同时对于以后将中国标准让国际规范兼容和采纳，有很大的帮助。因此TCM与TPM1.2有很多的相同点,TCM是借鉴了TPM1.2的架构，替换了其核心算法后的产品。同时TCM中也按照我国的相关证书、密码等政策提供了符合我国管理政策的安全接口。

可信计算的理念是从根本上完善了PC结构，从硬件到软件，提供完善的体系来防范日益猖獗的病毒、木马，希望这一天尽快来到。让所有人都不用为了安全问题而担忧，可以尽情地享受互联网和高科技带来的便利和乐趣。

什么是可信计算技术？