研究网络信息安全状况与可信计算

一系列完整的规范,包括个人电脑、服务器、移动电话、通信网络、软件等等。这些规范所定义的可信平台模块(Trusted Platform Module,TPM)通常以硬件的形式被嵌入到各种计算终端,在整个计算设施中建立起一个验证体系,通过确保每个终端的安全性,提升整个计算体系的安全性。从广义的角度上,可信计算平台为网络用户提供了一个更为宽广的安全环境,它从安全体系的角度来描述安全问题,确保用户的安全执行环境,突破被动防御漏洞打补丁方式。可信平台模块实现目的包括两个层面的内容:一方面,保护指定的数据存储区,防止敌手实施特定类型的物理访问。另一方面,赋予所有在计算平台上执行的代码, 
　　以证明它在一个未被篡改环境中运行的能力。 
　　3.2可信计算的关键技术 
　　与社会关系所不同的是,建立信任的具体途径,社会之中的信任是通过亲情、友情、爱情等纽带建立起来的,但是在计算机世界里,一切信息都以比特串的形式存在,建立可信计算信任机制,就必须使用以密码技术为核心的关键技术。可信计算包括以下5个关键技术概念: 
　　3.2.1Endorsement key 签注密钥 
　　签注密钥是一个2048位的RSA公共和私有密钥对,它在芯片出厂时随机生成并且不能改变。这个私有密钥永远在芯片里,而公共密钥用来认证及加密发送到该芯片的敏感数据。 
　　3.2.2Secure input and output 安全输入输出 
　　安全输入输出是指电脑用户和他们认为与之交互的软件间受保护的路径。当前,电脑系统上恶意软件有许多方式来拦截用户和软件进程间传送的数据。例如键盘监听和截屏。 
　　3.2.3Memory curtaining 储存器屏蔽 
　　储存器屏蔽拓展了一般的储存保护技术,提供了完全独立的储存区域。例如,包含密钥的位置。即使操作系统自身也没有被屏蔽储存的完全访问权限,所以入侵者即便控制了操作系统信息也是安全的。 
　　3.2.4Sealed storage 密封储存 
　　密封存储通过把私有信息和使用的软硬件平台配置信息捆绑在一起来保护私有信息。意味着该数据只能在相同的软硬件组合环境下读取。例如,某个用户在他们的电脑上保存一首歌曲,而他们的电脑没有播放这首歌的许可证,他们就不能播放这首歌。 
　　3.2.5Remote attestation 远程认证 
　　远程认证准许用户电脑上的改变被授权方感知。例如,软件公司可以避免用户干扰他们