一、引言    

    信息技術(shù)的高速發(fā)展,，帶來了信息產(chǎn)業(yè)的空前繁榮,；但危害信息安全的事件也不斷發(fā)生，信息安全形勢日益嚴(yán)峻,。    
目前信息安全問題的技術(shù)原因主要包括: 
■ 微機(jī)的安全結(jié)構(gòu)過于簡單,。最初，微機(jī)被認(rèn)為是個人使用的計算機(jī),，許多安全措施不再需要,，為了降低成本，許多有效的安全措施被去掉,。
■ 信息技術(shù)的發(fā)展使計算機(jī)變成網(wǎng)絡(luò)中的一部份,，突破了計算機(jī)機(jī)房的地理隔離，信息的I/O遍及整個網(wǎng)絡(luò)世界,，網(wǎng)絡(luò)協(xié)議缺少安全設(shè)計,，存在安全缺陷。網(wǎng)絡(luò)協(xié)議的復(fù)雜性使得對其進(jìn)行安全證明和驗證十分困難,。
■ 操作系統(tǒng)過于龐大,，軟件故障與安全缺陷不可避免。 硬件結(jié)構(gòu)的安全和操作系統(tǒng)的安全是信息系統(tǒng)安全的基礎(chǔ),，密碼,、網(wǎng)絡(luò)安全等技術(shù)是關(guān)鍵技術(shù)。只有從信息系統(tǒng)的硬件和軟件的底層采取安全措施,，從整體上采取措施,，才能有效地確保信息系統(tǒng)的安全。     
    對于最常用的微機(jī),，只有從芯片,、主板等硬件和BIOS、操作系統(tǒng)等底層軟件綜合采取措施,，才能有效地提高其安全性,。正是基于這一思想催生了可信計算的迅速發(fā)展。 可信計算的基本思想是在計算機(jī)系統(tǒng)中首先建立一個信任根,，再建立一條信任鏈,，一級測量認(rèn)證一級,，一級信任一級，把信任關(guān)系擴(kuò)大到整個計算機(jī)系統(tǒng),，從而確保計算機(jī)系統(tǒng)的可信,。     
    在技術(shù)領(lǐng)域, 1983年美國國防部就制定了《可信計算機(jī)系統(tǒng)評價準(zhǔn)則》。1999年TCPA組織成立,，2003年改組為可信計算組織TCG,。TCPA和TCG制定了關(guān)于可信計算平臺、可信存儲和可信網(wǎng)絡(luò)連接等一系列技術(shù)規(guī)范,。目前已有200多個企業(yè)加入了TCG,，可信計算機(jī)已進(jìn)入實際應(yīng)用。    
在理論領(lǐng)域,， IEEE組織于2004年編輯出版了IEEE Transaction on Dependable and Secure Computing雜志,，專門討論可信計算。         

二,、可信計算的基本概念    

1.可信的定義與屬性    
（1）可信的定義    
目前,，關(guān)于可信尚未形成統(tǒng)一的定義，主要有以下幾種說法,。     
    可信計算組織TCG用實體行為的預(yù)期性來定義可信：一個實體是可信的,，如果它的行為總是以預(yù)期的方式，達(dá)到預(yù)期的目標(biāo),。     
    ISO/IEC 15408 標(biāo)準(zhǔn)將可信定義為：參與計算的組件,，操作或過程在任意的條件下是可預(yù)測的，并能夠抵御病毒和物理干擾,。     
    所謂可信是指計算機(jī)系統(tǒng)所提供的服務(wù)是可以論證其是可信賴的,。這就是指從用戶角度看，計算機(jī)系統(tǒng)所提供的服務(wù)是可信賴的,，而且這種可信賴是可論證的,。    
我們給出自己的觀點(diǎn)：可信≈安全+可靠?？尚庞嬎阆到y(tǒng)是能夠提供系統(tǒng)的可靠性,、可用性、信息和行為安全性的計算機(jī)系統(tǒng),。    
（2）信任的屬性    

     信任是一種二元關(guān)系,。它可以是一對一、一對多（個體對群體）,、多對一（群體對個體）或多對多（群體對群體）的,。信任具有二重性。既具有主觀性又具有客觀性,。信任不一定具有對稱性,。即A信任B不一定就有B信任A。信任可度量,。也就是說信任的程度可劃分等級,。信任可傳遞，但不絕對,，而且在傳播過程中有損失,。信任具有動態(tài)性。即信任與環(huán)境和時間因素相關(guān),。    
（3）信任的獲得方法     
    信任的獲得方法主要有直接和間接兩種方法,。設(shè)A和B以前有過交往，則A對B的可信度可以通?？疾霣以往的表現(xiàn)來確定,。我們稱這種通過直接交往得到的信任值為直接信任值。設(shè)A和B以前沒有任何交往,，這種情況下,，A可以去詢問一個與B比較熟悉的實體C來獲得B的信任值，并且要求實體C與B有過直接的交往經(jīng)驗,。我們稱之為間接信任值,，或者說是C向A的推薦信任值。有時還可能出現(xiàn)多級推薦的情況,，這時便產(chǎn)生了信任鏈,。    
2.信任的度量與模型     
    目前，關(guān)于信任的度量理論主要有基于概率統(tǒng)計的可信模型,、基于模糊數(shù)學(xué)的可信模型,、基于主觀邏輯、證據(jù)理論的可信模型和基于軟件行為學(xué)的可信模型等,。我國學(xué)者用軟件行為學(xué)來描述軟件的可信性,。其認(rèn)為：主體的可信性是主體行為的一種統(tǒng)計特性，而且是指行為的歷史記錄反映主體行為是否違規(guī),、越權(quán)以及超過范圍等方面的統(tǒng)計特性,。主體的可信性可以定義為其行為的預(yù)期性，軟件的行為可信性可以劃分級別,，可以傳遞,，而且在傳遞過程中會有損失。 
圖1  可信計算機(jī)系統(tǒng)     
3.信任根和信任鏈     
    信任根和信任鏈?zhǔn)强尚庞嬎闫脚_的關(guān)鍵技術(shù),。一個可信計算機(jī)系統(tǒng)由可信根,、可信硬件平臺、可信操作系統(tǒng)和可信應(yīng)用組成(如圖1所示),。信任鏈?zhǔn)峭ㄟ^構(gòu)建一個信任根,，從信任根開始到硬件平臺,、到操作系統(tǒng)、再到應(yīng)用,，一級認(rèn)證一級,，一級信任一級。從而把這種信任擴(kuò)展到整個計算機(jī)系統(tǒng)(如圖2所示),。其中信任根的可信性由物理安全和管理安全確保,。 
圖2　可信PC的信任鏈     
4.可信測量、存儲,、報告機(jī)制     
    可信測量,、存儲、報告機(jī)制是可信計算的另一個關(guān)鍵技術(shù),。如圖3所示,，可信計算平臺對請求訪問的實體進(jìn)行可信測量，并存儲測量結(jié)果,，實體詢問時平臺提供報告,。    
圖3  可信測量、存儲,、報告機(jī)制
圖4  TCG的TPM框圖    
5.可信計算平臺     
    目前已實現(xiàn)的可信計算平臺主要是可信PC,。其主要特征是在主板上嵌有可信構(gòu)建模塊TBB。這個TBB就是可信PC平臺的信任根,。它包括用于可信測量的根核CRTM (Core Root of Trust for Measurement),，可信平臺模塊TPM (Trusted Platform Module)，以及它們同主板之間的聯(lián)接,。目前尚未見到可信服務(wù)器和可信PDA產(chǎn)品的報道,。    
6.可信平臺模塊TPM     
    可信平臺模塊TPM是一種SOC芯片，它是可信計算平臺的信任根,，其結(jié)構(gòu)如圖4所示,。它由CPU、存儲器,、I/O,、密碼協(xié)處理器、隨機(jī)數(shù)產(chǎn)生器和嵌入式操作系統(tǒng)等部件組成,。完成可信度量的存儲,，可信度量的報告，密鑰產(chǎn)生,，加密,、簽名，數(shù)據(jù)安全存儲等功能,。TPM是信任根,，其可信性由物理安全和管理安全確保,。    
7.可信支撐軟件     
    TSS（TCG Software Stack）是可信計算平臺上TPM的支撐軟件，其結(jié)構(gòu)如圖5所示,。TSS的作用主要是為應(yīng)用軟件提供兼容異構(gòu)可信平臺模塊的開發(fā)壞境,。 
圖5  TSS結(jié)構(gòu)
8.可信網(wǎng)絡(luò)連接TNC 
    TNC(Trusted Network Connect)的目的是確保網(wǎng)絡(luò)訪問者的完整性,，其結(jié)構(gòu)如圖6所示,。
TNC通過網(wǎng)絡(luò)訪問請求，搜集和驗證請求者的完整性信息,，依據(jù)一定的安全策略對這些信息進(jìn)行評估,，決定是否允許請求者與網(wǎng)絡(luò)連接，從而確保網(wǎng)絡(luò)連接的可信性,。 
圖6  TNC的結(jié)構(gòu)                        

三,、可信計算研究的發(fā)展    

1.可信計算初現(xiàn)     
    1983年美國國防部制定了世界上第一個《可信計算機(jī)系統(tǒng)評價準(zhǔn)則》TCSEC（Trusted Computer System Evaluation Criteria）。在TCSEC中第一次提出可信計算機(jī)和可信計算基TCB（Trusted Computing Base）的概念,，并把TCB作為系統(tǒng)安全的基礎(chǔ),。作為補(bǔ)充又相繼推出了可信數(shù)據(jù)庫解釋TDI（Trusted Database Interpretation）和可信網(wǎng)絡(luò)解釋TNI（Trusted Network Interpretation）。這些文件形成了彩虹系列信息系統(tǒng)安全指導(dǎo)文件,。
彩虹系列的出現(xiàn)形成了可信計算的一次高潮,。多年來彩虹系列一直成為評價計算機(jī)系統(tǒng)安全的主要準(zhǔn)則。然而由于歷史的原因,，彩虹系列具有一定的局限性:
■ 主要強(qiáng)調(diào)了信息的秘密性,，而對完整性、真實性考慮較少,；
■ 強(qiáng)調(diào)了系統(tǒng)安全性的評價,，卻沒有給出達(dá)到這種安全性的系統(tǒng)結(jié)構(gòu)和技術(shù)路線。    
2.可信計算高潮     
    1999年,，IBM,、HP、Intel,、微軟等著名IT企業(yè)發(fā)起成立了可信計算平臺聯(lián)盟TCPA（Trusted Computing Platform Alliance）,，2003年TCPA改組為可信計算組織TCG。TCPA和TCG的出現(xiàn)形成了可信計算的新高潮,。該組織不僅考慮信息的秘密性,，更強(qiáng)調(diào)信息的真實性和完整性，而且更加產(chǎn)業(yè)化和更具廣泛性,。
微軟提出了名為Palladium,，后改名為NGSCB的可信計算計劃。微軟將推出新一代操作系統(tǒng)VISTA,，VISTA支持可信計算機(jī)制,。Intel為支持微軟的Palladium計劃宣布LaGrande硬件技術(shù),，并計劃推出相應(yīng)的新一代處理器。    
歐洲于2006年1月啟動了名為“開放式可信計算（Open Trusted Computing）”的研究計劃,。
IEEE的容錯專家們自1999年將容錯計算會議改名為可信計算會議（PRDC）后,，便致力于可信計算的研究。他們的可信計算更強(qiáng)調(diào)計算系統(tǒng)的可靠性和可用性,，而且強(qiáng)調(diào)可信的可論證性,。    
3.可信計算在中國 
    2000年6月武漢瑞達(dá)公司和武漢大學(xué)合作，開始研制安全計算機(jī),，研究成果于2004年10月通過國家密碼管理委員會主持的技術(shù)鑒定,。它是國內(nèi)第一款自主研制的可信計算平臺，在系統(tǒng)結(jié)構(gòu)和主要技術(shù)路線方面與TCG的規(guī)范是類似的,，有些方面有所創(chuàng)新,，有些方面也有差異。這一產(chǎn)品被國家科技部等四部委聯(lián)合認(rèn)定為“國家級重點(diǎn)新產(chǎn)品”,，并獲得2006年國家密碼科技進(jìn)步二等獎,，已在我國電子政務(wù)、公安,、銀行,、軍隊得到實際應(yīng)用。 2004年6月在武漢召開中國首屆TCP論壇,。2004年10月在解放軍密碼管理委員會的支持下,，在武漢大學(xué)召開了第一屆中國可信計算與信息安全學(xué)術(shù)會議。    
2005年聯(lián)想集團(tuán)的“恒智”芯片和可信計算機(jī)相繼研制成功,。同年,，兆日公司的TPM芯片研制成功。這些產(chǎn)品都相繼通過國家密碼管理委員會的鑒定和認(rèn)可,。 此外,，同方、方正,、浪潮,、天融信等公司也都加入了可信計算的行列。武漢大學(xué),、中科院軟件所等高校和研究機(jī)構(gòu)也都開展了可信計算的研究,。
國家發(fā)改委、科技部,、信息產(chǎn)業(yè)部,、國家自然科學(xué)基金委等政府部門都積極支持可信計算的發(fā)展。
至此，中國的可信計算事業(yè)進(jìn)入了蓬勃發(fā)展的階段,。                         

四,、我國的一種可信計算平臺    

下面介紹的是武漢瑞達(dá)公司和武漢大學(xué)合作研制的我國第一款可信計算機(jī)。    
1．系統(tǒng)結(jié)構(gòu)
■ 主板上嵌入ESM模塊（Embedded Security Module）,，并以ESM為信任根,；
■ 智能卡子系統(tǒng)；
■ 安全增強(qiáng)的BIOS,；
■ 安全增強(qiáng)的LINUX操作系統(tǒng),；
可信計算機(jī)的硬件系統(tǒng)結(jié)構(gòu)如圖7所示。    
2.安全功能
■ 基于智能卡和口令相結(jié)合的用戶身份認(rèn)證,；
■ 系統(tǒng)資源的完整性校驗,；
■ 安全增強(qiáng)的兩級日志；
■ 可控制所有I/O口的開放與關(guān)斷,；
■ 數(shù)據(jù)的安全存儲；
■ 數(shù)據(jù)加解密,；
■ 數(shù)字簽名與驗證,。    
3.嵌入式安全模塊    
嵌入式安全模塊ESM的結(jié)構(gòu)如圖8所示，其中J2810是我們自己研制的芯片,。
■ ESM的一個重要特點(diǎn)是對CPU進(jìn)行了安全設(shè)計：將CPU的工作狀態(tài)劃分為系統(tǒng)態(tài)和用戶態(tài),。系統(tǒng)態(tài)下可調(diào)用用戶態(tài)的指令，而用戶態(tài)下只能使用用戶態(tài)的指令,，如果調(diào)用系統(tǒng)態(tài)的指令則產(chǎn)生硬件中斷,。
■ 采用SOSCA（Secure Open Smart Card Architecture）結(jié)構(gòu)，從硬件上對存儲器進(jìn)行分區(qū)隔離保護(hù),。SOSCA技術(shù)本質(zhì)上是一種存儲器隔離保護(hù)技術(shù),，原來主要用于大型機(jī)。當(dāng)發(fā)現(xiàn)指令越界時將自動產(chǎn)生硬件中斷,，阻止這種越界的行為發(fā)生,，從而確保數(shù)據(jù)安全。
■ 嵌入式操作系統(tǒng)JetOS是ESM資源的管理者,，是ESM和整個系統(tǒng)安全的關(guān)鍵之一,。它由傳輸管理、文件管理,、安全與容錯管理,、命令處理四個功能模塊組成。         
圖8  ESM的結(jié)構(gòu)圖                     

五,、可信計算研究的發(fā)展趨勢  

1．可信計算面臨的挑戰(zhàn) 目前可信計算已經(jīng)成為信息安全領(lǐng)域的一個新潮流,，但可信計算的發(fā)展尚存在一些問題。    
（1）理論研究相對滯后     
    無論是美國還是中國，在可信計算領(lǐng)域都處于技術(shù)超前于理論,，理論滯后于技術(shù)的狀況,。至今尚沒有公認(rèn)的可信計算理論模型。     
    可信測量是可信計算的基礎(chǔ),。但是目前尚缺少軟件的動態(tài)可信性的度量方法與理論,。 信任鏈技術(shù)是可信計算平臺的一項關(guān)鍵技術(shù)。然而信任鏈的理論尚需要進(jìn)一步完善,。    
理論來源于實踐,，反過來又指導(dǎo)實踐。沒有理論指導(dǎo)的實踐最終是不能持久的,。目前可信計算的技術(shù)實踐已經(jīng)取得長足的發(fā)展,，因此應(yīng)當(dāng)在可信計算的實踐中豐富和發(fā)展可信計算的理論。    
（2）部分關(guān)鍵技術(shù)尚待攻克     
    目前的可信計算機(jī)產(chǎn)品都沒能完全實現(xiàn)可信計算中廣泛認(rèn)同的一些關(guān)鍵技術(shù),。如完整的信任鏈,、動態(tài)可信測量、安全I(xiàn)/O等,。目前的可信測量只是系統(tǒng)開機(jī)時的系統(tǒng)資源靜態(tài)完整性測量,，因此只能確保系統(tǒng)開機(jī)時的系統(tǒng)資源靜態(tài)完整性，尚不能確保系統(tǒng)工作后的動態(tài)可信性,。   
（3）缺乏配套的可信軟件系統(tǒng)     
    目前TCG給出了可信計算硬件平臺的相關(guān)技術(shù)規(guī)范和可信網(wǎng)絡(luò)連接的技術(shù)規(guī)范,，但還沒有關(guān)于可信操作系統(tǒng)、可信數(shù)據(jù)庫,、可信應(yīng)用軟件的技術(shù)規(guī)范,。網(wǎng)絡(luò)連接只是網(wǎng)絡(luò)活動的第一步，連網(wǎng)的主要目的是數(shù)據(jù)交換和資源共享,，這方面尚缺少可信技術(shù)規(guī)范,。只有硬件平臺的可信，沒有操作系統(tǒng),、網(wǎng)絡(luò),、數(shù)據(jù)庫和應(yīng)用的可信，整個系統(tǒng)還是不安全的,。  
（4）缺少安全機(jī)制與容錯機(jī)制的結(jié)合    
    安全可靠是用戶對可信計算的希望,，因此必須堅持安全與容錯相結(jié)合的技術(shù)路線。但是目前這方面的研究還十分缺乏,。  
（5）可信計算的應(yīng)用需要開拓    
    可信計算的應(yīng)用是可信計算發(fā)展的根本目的,。目前可信PC機(jī)、TPM芯片都已經(jīng)得到實際應(yīng)用,，但應(yīng)用的規(guī)模和覆蓋范圍都還不夠,，有待大力拓展,。    
2．可信計算待研究的領(lǐng)域     
    現(xiàn)階段的可信計算熱潮是從可信PC平臺開始的，但是它涉及的研究和應(yīng)用領(lǐng)域卻要廣泛得多,。其亟待研究的領(lǐng)域包括以下三方面,。   
（1）關(guān)鍵技術(shù)
■ 可信計算的系統(tǒng)結(jié)構(gòu)，包括可信計算平臺的硬件結(jié)構(gòu)及可信計算平臺的軟件結(jié)構(gòu),；
■ TPM的系統(tǒng)結(jié)構(gòu)：TPM的硬件結(jié)構(gòu),，TPM的物理安全，TPM的嵌入式軟件,；
■ 可信計算中的密碼技術(shù)：公鑰密碼,，傳統(tǒng)密碼，HASH函數(shù),，隨機(jī)數(shù)產(chǎn)生,；
■ 信任鏈技術(shù)：完整的信任鏈和信任的延伸；
■ 信任的度量：信任的動態(tài)測量,、存儲和報告機(jī)制,，軟件動態(tài)可信測量；
■ 可信軟件：可信操作系統(tǒng),、可信編譯,、可信數(shù)據(jù)庫、可信應(yīng)用軟件,；
■ 可信網(wǎng)絡(luò)：可信網(wǎng)絡(luò)結(jié)構(gòu)、可信網(wǎng)絡(luò)協(xié)議,、可信網(wǎng)絡(luò)設(shè)備,、可信網(wǎng)格。
（2）理論基礎(chǔ)
■ 可信計算模型：可信計算的數(shù)學(xué)模型,、可信計算的行為學(xué)模型,；
■ 可信性的度量理論：信任的屬性與度量、軟件的動態(tài)可信性度量理論與模型,；
■ 信任鏈理論：信任的傳遞理論,、信任傳遞的損失度量；
■ 可信軟件理論：軟件可信性度量理論,、可信軟件工程 ,、可信程序設(shè)計方法學(xué)、軟件行為學(xué),。
（3）可信計算的應(yīng)用
可信計算技術(shù)的應(yīng)用是可信計算發(fā)展的根本目的,。可信計算技術(shù)與產(chǎn)品主要用于電子商務(wù),、電子政務(wù),、安全風(fēng)險管理、數(shù)字版權(quán)管理、安全檢測與應(yīng)急響應(yīng)等領(lǐng)域,。                              

六,、結(jié)論    

目前可信計算已經(jīng)成為世界信息安全領(lǐng)域的一個新潮流?？尚庞嬎慵夹g(shù)是一種行之有效的信息安全技術(shù),。可信計算機(jī)與普通計算機(jī)相比,，安全性大大提高,，但可信計算機(jī)也不是百分之百安全。    
我國在可信計算領(lǐng)域起步不晚,，水平不低,，成果可喜。我們應(yīng)當(dāng)抓住機(jī)遇發(fā)展我國的可信計算事業(yè),，建立我國的信息安全體系,，確保我國的信息安全。