5.１可信计算概述
三、安全可信的系统架构
在可信计算支撑下， 将信息系统安全防护体系划分为安全计算环境、安全边界、安全通信网络三部分， 从技术和管理两个方面进行安全设计， 建立可信安 全管理中心支持下的主动免疫三重防护框架。实现了国家等级保护标准要求（见第６ 章）， 做到可信、可控、可管， 如图所示。
产生安全事故的技术原因在于， 现在的计算机体系结构在最初设计时只追求计算速度， 并没有考虑安全因素， 如系统任务难以隔离、内存无越界保护等。 这直接导致网络化环境下的计算服务存在大量安全问题， 如源配置可被篡改、恶意程序可被植入执行、缓冲区（栈） 溢出可被利用、系统管理员权限被非 法接管等。网络安全防护需要构建主动免疫防御系统， 就像是人体免疫一样， 能及时识别“自己” 和“非己” 成分，从而破坏与排斥进入机体的有害物质， 使 系统缺陷和漏洞不被攻击者利用， 进而为网络与信息系统提供积极主动的保护措施。可信计算技术就是这样一种具有积极防御特性的主动免疫技术。
四、可信软件基
１. 体系结构 ＴＳＢ 由基本信任基、主动监控机制和支撑机制等主要部件组成， 其组成架构如图所示。
5.4 可信计算平台技术规范
2. 工作原理 ＴＳＢ 以度量机制为核心， 为度量机制自身及控制机制、判定机制和可信基准库分别配置度量策略、控制策略、判定规则和基准策略等可信策略。 在系统启动开始， ＴＳＢ 对系统实施主动控制， 并对系统度量点处的受度量对象进行主动度量。ＴＳＢ 依据可信基准库中的基准信息对度量结果进 行综合判定， 以确认系统是否可信。 3. 主要功能及流程 （１） 系统启动过程中的工作流程 （２） 系统运行过程中的工作流程
5.3 中国可信计算革命性创新
二、跨越了国际可信计算组织（ＴＣＧ） 可信计算的局限性
密码体制的局限性； 体系结构的不合理。
三、创新可信密码体系 四、创建主动免疫体系结构
5.3 中国可信计算革命性创新
五、开创可信计算３.0新时代
可信计算１.0 以世界容错组织为代表， 主要特征是主机可靠性， 通过容错算法、故障诊查实现计算机部件的冗余备份。可信计算2.０ 以ＴＣＧ 为代表， 主要特征是节点安全性， 通过外部挂接的ＴＰＭ 芯片实现被动度量。中国的可信计算３.0 的主要特征是系统免疫性， 其保护对象为节点虚拟动态链， 通 过“宿主＋可信” 双节点可信免疫架构实现对信息系统的主动免疫防护， 如图所示。
5.4 可信计算平台技术规范
一、可信计算平台密码方案
１. 密码与可信计算平台功能的关系 密码技术是可信计算平台的基础， 为可信计算平台实现其安全功能提供密码支持。可信计算平台实现了如下三大功能。 （１） 平台完整性度量与报告 （２） 平台身份可信 （３） 平台数据安全保护 密码与平台功能关系如图所示。
5.2 可信计算的发展与现状
一、国际可信计算发展与现状 二、国内可信计算发展与现状
5.3 中国可信计算革命性创新
一、全新的可信计算体系构架
相对于国外可信计算被动调用的外挂式体系结构， 中国可信计算革命性地开创了以自主密码为基础、控制芯片为支柱、双融主板为平台、可信软件为核心、 可信连接为纽带、策略管控成体系、安全可信保应用的可信计算体系构架。
5.4 可信计算平台技术规范
三、可信计算平台主板
１. 体系结构 可信计算平台主板是由ＴＰＣＭ 和其他通用部件组成， 以ＴＰＣＭ 自主可信根（ＲＴ） 为核心部件实现完整性度量和存储机制， 并实现平台可信引 导功能。 2. 主要功能及流程 （１） 信任链建立 （２） 完整性度量
5.4 可信计算平台技术规范
5.4 可信计算平台技术规范
2. 密钥管理 （１） 种类和用途 根据密钥的使用范围， 平台中的密钥可以分为以下三类： 平台身份类密钥， 如密码模块密钥（Ｅｎｄｏｒｓｅｍｅｎｔ Ｋｅｙ， ＥＫ）、平台身份密钥（ＰｌａｔｆｏｒｍＩｄｅｎｔｉｔｙ Ｋｅｙ， ＰＩＫ）、平台加 密密钥（Ｐｌａｔｆｏｒｍ Ｅｎｃｒｙｐｔｉｏｎ Ｋｅｙ， ＰＥＫ）； 平台存储类密钥， 如存储主密钥（Ｓｔｏｒａｇｅ Ｍａｓｔｅｒ Ｋｅｙ， ＳＭＫ）； 用 户类密钥（Ｕｓｅｒ Ｋｅｙ， ＵＫ）。 （２） 密钥存储保护 （ ３） 密钥的生命周期 在平台的生命周期中， 各种密钥的生成、使用和销毁过程如表所示。
5.１可信计算概述
二、可信免疫的计算模式与结构
可信计算是指在计算运算的同时进行安全防护， 计算全程可测可控， 不被干扰， 只有这样方能使计算结果总是与预期一样， 从而改变只讲求计算效率， 而不讲安全防护的片面计算模式。
如图所示的双体系结构中， 采用了一种运算和防护并存的主动免疫的新计算模式， 以密码为基因实施身份识别、状态度量、保密存储等功能， 及时识别 “自己” 和“非己” 成分， 从而破坏与排斥进入机体的有害物质， 相当于为计算机信息系统培育了免疫能力。
第5章
可信计算技术
本章要点
● 国内外可信计算发展现状 ● 主动免疫的可信计算体系结构 ● 可信计算平台密码方案 ● 可信平台控制模块 ● 可信软件基 ● 可信网络连接
5.１可信计算
随着时间的发展， 以防火墙、入侵检测、病毒防范这“老三样”为主要手段的网络安全保护思路已经越来越显示出被动性， 迫切需要标本兼治的新型的网络 安全保护框架。
5.4 可信计算平台技术规范
3. 证书管理 （１）密码模块证书
5.4 可信计算平台技术规范
（２） 平台证书
5.4 可信计算平台技术规范
二、可信平台控制模块
１. 硬件体系结构 ＴＰＣＭ 硬件结构图如下。
5.4 可信计算平台技术规范
2. 主要功能及流程 ① 由待机电源为ＴＰＣＭ 提供电能。 ② ＴＰＣＭ 执行状态检查。 ③ 如果ＴＰＣＭ 处于使能状态， 则ＴＰＣＭ 为启动代码芯片上电， 对启动代码进行度量。 ④ 如果启动代码度量结果正确， 则ＴＰＣＭ 发出平台上电信号， 平台上电， 启动代码开始执行。 ⑤ 启动代码根据用户预设策略对平台信息进行度量确认。 ⑥ 如果平台信息可信， 则对操作系统加载代码进行度量。 ⑦ 如果操作系统加载代码度量成功， 则操作系统内核加载。 ⑧ 系统进入可信工作模式。 ⑨ 启动之后， 系统运行过程中， ＴＰＣＭ 实施动态主动可信功能。