可信计算
操作系统安全升级,如防范UEFI中插入rootkit、防范OS中插入rootkit、以及防范病毒和攻击驱动注入等。应用完整性保障,如防范在应用中插入木马。安全策略强制实现,如防范安全策略被绕过/篡改、强制应用只能在某个计算机上用、强制数据只能有某几种操作等。可见,可信计算则相当于重构一套系统,原理是这样的:我的地盘我做主,不管什么应用程序,只要想在开启了可信计算的操作系统上运行,就必须经过我的允许。这个允许的过程就是将这个可执行文件的哈希度量值存储到可信计算基当中。理论上,开启了可信计算的操作系统,任何病毒、木马都无法在其上运行的。国家去年底推出的《信息安全技术网络安全等级保护基本要求》(等保2.0)也强化了对可信计算的要求。
可信计算建立连接
度量:该信任链以BIOS引导区与TPM为信任根,其中,可信计算模组哪家好,BIOS引导区为可信度量根(RTM),TPM为可信存储根(RTS)、可信报告根(RTR)。从BIOS引导区出发,到OS Loader、再到 OS、应用,构成一条信任链。沿着这条信任链,一级度量一级,一级信任一级,确保平台资源的完整性。
存储:由于可信平台模块存储空间有限,所以,采用度量扩展的方法(即现有度量值和新度量值相连再次散列)来记录和存储度量值到可信平台模块的PCR中,同时将度量对象的详细信息和度量结果作为日志存储在磁盘中。存储在磁盘中的度量日志和存储在PCR中的度量值是相互印证的,防止磁盘中的日志被篡改。
可信计算
以PC机可信计算举例。操作系统首先将系统上所有的可执行程序做一个哈希度量,将这个度量值存储在可信计算基中。系统启动时检测BIOS和操作系统的完整性和正确性,保障你在使用PC时硬件配置和操作系统没有被篡改过,所有系统的安全措施和设置都不会被绕过。然后系统要运行应用程序,除了经过传统的操作系统的权限判断之外,还要与可信计算基中存储的度量值做一个对比,如果或是恶意程序修改了可执行文件的内容,就可以检测到应用程序已经发生了更改,则禁止程序运行。
可信安全报价-
留言列表