可信计算
可信计算基础
不同国际组织对可信(Trusted)做了不同的定义。
可信计算组织(TCG)的定义:
一个实体是可信的,它的行为总是以预期的方式达到预期的目标。
国际标准化组织与国际电子技术委员会定义(1999):
参与计算的组件、操作或过程在任意的条件下是可预测的,并能够抵御病毒和一定程度的物理干扰。
IEEE Computer Society Technical Committee on Dependable Computing 定义:
所谓可信,是指计算机系统所提供的服务是可被论证其是可信赖的,可信赖主要是指系统的可靠性和可用性。
简而言之,可信就是系统按照预定的设计和策略运行,不做其他事情。
一个可信计算系统由信任根、可信硬件平台、可信操作系统和可信应用组成,它的基本思想是首先创建一个安全信任根(TCB),然后建立从硬件平台、操作系统到应用的信任链,在这条信任链上从根开始,前一级认证后一级,实现信任的逐级扩展,从而实现一个安全可信的计算环境。
相比于传统安全机制的“头痛医头,脚痛医脚”,发现一个病毒消灭一个病毒,可信计算采用的是白名单机制,即只允许经过认证的内核、内核模块、应用程序等在系统上运行,如果发现程序已发生更改(或本来就是一个未知的程序),就拒绝其执行。
文档捉虫