可信计算理论与技术.ppt

可信计算理论与技术;一、可信计算的提出

二、可信计算开展

三、可信计算理论与技术

四、可信计算产品

六、我国可信计算标准

五、可信计算开展中面临的问题;可信计算〔TrustedComputing〕

可信计算是在计算和通信系统中广泛使用基于硬件平安模块支持下的可信计算平台。

2.平安需求

信息时代的空前繁荣

信息平安事件频繁发生

3.平安的内容

信息设备平安、数据平安、内容平安、行为平安。;4.信息平安问题产生的主要原因

根源：PC机体系结构简化,系统不分执行“态”,内存无越界保护等等,操作系统难以建立真正的TCB。

(TCB:平安机制总和,如:数据加密、数据完整性、访问控制、审计、身份认证、平安管理等平安机制。)

导致：资源配置可以被篡改；恶意程序被植入执行；利用缓冲区〔栈〕溢出攻击；非法接管系统管理员权限等。;数据加密

访问控制

审计

身份认证

防火墙

监控

入侵检测

漏洞扫描;5.终端平安是信息系统平安的根源

终端是网络中最薄弱环节，容易遭受黑客攻击。

6.构建牢固终端体系结构，解决平安之根本

途径：可信计算搭建信息系统平安根底〔系统源头可信〕

要求：体系结构的可信、行为可信、资源配置可信、用

户数据存储可信。;7.可信计算系统包括5个必须关键技术

Endorsementkey签注密钥

签注密钥是一个2048位的RSA公共和私有密钥对，它在芯片出厂时随机生成并且不能改变。私有密钥永远在芯片里，公共密钥用来认证及加密发送到该芯片的敏感数据

Secureinputandoutput平安输入输出

平安输入输出指电脑用户和与之交互的软件间受保护的路径。电脑系统上恶意软件有许多方式来拦截用户和软件进程间传送的数据。例如键盘监听和截屏。;Memorycurtaining储存器屏蔽

储存器屏蔽拓展了一般的储存保护技术，提供了完全独立的储存区域，如密钥存储区域。操作系统对被屏蔽储存区域没有完全访问权限，即使入侵者控制了操作系统，信息也是平安的。

Sealedstorage密封储存

密封存储通过把私有信息和使用的软硬件平台配置信息捆绑在一起来保护私有信息。;Remoteattestation远程认证

远程认??能够感知用户电脑上的改变。

8.可信计算主要应用〔举例〕

数字版权管理

用远程认证可以拒绝非授权方文件下载；密封储存防止用户在另一台电脑上翻开文件,禁止了无限制复制。如音乐在屏蔽储存里播放，阻止用户在播放该音乐文件时进行该文件的无限制复制。平安I/O阻止用户捕获发送到音响系统里的〔流〕。;身份盗用保护

用户接入到效劳器时需要远程认证，如果效劳器能产生正确的认证证书，效劳器将只对该页面进行效劳。用户通过该页面发送其加密账号和PIN和一些用户和效劳器的私有的〔看不见〕保证信息。

防止在线游戏作弊

远程认证，平安I/O以及储存器屏蔽用来核对所有接入游戏效劳器的玩家，以确保其正运行一个未修改的软件副本。;保护系统不受病毒和间谍软件危害

软件的数字签名使用户能够识别出经过第三方修改的、可能参加间谍软件的应用程序

保护生物识别身份验证数据

用于身份认证的生物鉴别设备可以使用可信计算技术〔存储器屏蔽，平安I/O)来确保没有间谍软件安装在电脑上窃取敏感的生物识别信息。

核查远程网格计算的计算结果

可信计算可以确保网格计算系统的参与者返回的结果不是伪造的。;计算任务;10.可信计算研究的目的

信任是人类社会和网络空间平安交互的根底

可信计算搭建信息系统平安根底〔系统源头可信〕

11.可信计算研究具有战略性意义

确保我国信息平安自主可控

带动我国IT产业自主创新、产业升级和开展，改变我国信息产业被动的局面。;二、可信计算开展;

;可信计算平台联盟TCPAT和可信计算组织成立。

１９９9年由IBM、HP、Interl和微软等著名IT企业发起，目前已开展到200多家〔包括中国〕著名IT行业公司参加，旨在研究制定可信计算的工业标准，现称TCG。

TＣG首先提出可信计算平台的概念,而且具体化到可信PＣ、可信效劳器、可信PDA和可信,并制定了相应的技术标准。国内外的可信计算PC平台都己经产业化,并走向实际应用，但在标准符合性方面还存在一些问题,在不断提高。

;

欧洲可信计算开展

２００６年启动了“开放式可信计算”方案，几十个可信组织和工业组织参加。方案基于可信计算平台的统一平安体系结构,在异构平台上己经实现了平安个人电子交易