计算机科学与技术前沿技术讲座论文.doc

中国海洋大学 OCEAN UNIVERSITY OF CHINA 课程论文 论文题目：可信计算的初步分析 学生姓名：甘言海 学生学号：020332010027 专业班级：计算机信息必威体育官网网址2010级 学院名称：信息科学与工程学院 2012年9月15日 可信计算的初步分析 摘要 现如今网络应用的极速普及促成了网络攻击的日益猖獗，这其中包括各种木马病毒，黑客入侵，网站钓鱼等等网络安全隐患。不仅各企业、国家机关的网站频频遭受网络攻击，信息窃密事件频发不断，就连个人计算机也时常遭遇木马病毒的侵扰。这些网络攻击带来的危害并不仅仅在于庞大的经济损失，更可能造成国家利益的损害，个人隐私的泄漏，可谓后患无穷。为了防止计算机遭到攻击，杜绝私密信息的泄漏，国家和企业都为此做出了巨大的努力，其财力、人力投入可谓相当庞大，可是网络攻击事件仍然难以得到彻底解决。可信计算（Trusted Computing）是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高系统整体的安全性。文章通过分析可信计算的发展过程和相关基本概念以及可信计算在我国的发展现状，指出了我国可信计算发展中存在的一些问题，最后提出了通过制定我国标准、提高企业、用户意识和结合网络技术发展的建议来发展我国的可信计算。 关键词：可信计算、TCG、签注密钥、存储器屏蔽、密封存储、远程认证、TPM、安全协处理器 可信计算基本概念 可信计算包括5个关键技术概念，他们是完整可信系统所必须的，这个系统将遵从TCG（Trusted Computing Group）规范。 1.Endorsement key 签注密钥 签注密钥是一个2048位的RSA公共和私有密钥对，它在芯片出厂时随机生成并且不能改变。这个私有密钥永远在芯片里，而公共密钥用来认证及加密发送到该芯片的敏感数据 2.Secure input and output 安全输入输出 安全输入输出是指电脑用户和他们认为与之交互的软件间受保护的路径。当前，电脑系统上恶意软件有许多方式来拦截用户和软件进程间传送的数据。例如键盘监听和截屏。 3.Memory curtaining 储存器屏蔽 储存器屏蔽拓展了一般的储存保护技术，提供了完全独立的储存区域。例如，包含密钥的位置。即使操作系统自身也没有被屏蔽储存的完全访问权限，所以入侵者即便控制了操作系统信息也是安全的。 4.Sealed storage 密封储存 密封存储通过把私有信息和使用的软硬件平台配置信息捆绑在一起来保护私有信息。意味着该数据只能在相同的软硬件组合环境下读取。例如，某个用户在他们的电脑上保存一首歌曲，而他们的电脑没有播放这首歌的许可证，他们就不能播放这首歌。 5.Remote attestation 远程认证 远程认证准许用户电脑上的改变被授权方感知。例如，软件公司可以避免用户干扰他们的软件以规避技术保护措施。它通过让硬件生成当前软件的证明书。随后电脑将这个证明书传送给远程被授权方来显示该软件公司的软件尚未被干扰（尝试破解）。 发展历程 在IT产业迅速发展、互联网广泛应用和渗透的今天，各种各样的威胁模式也不断涌现。信息领域犯罪的隐蔽性、跨域性、快速变化性和爆发性给信息安全带来了严峻的挑战。面对信息化领域中计算核心的脆弱性，如体系结构的不健全、行为可信度差、认证力度弱??信息安全的防护正在由边界防控向源头与信任键的防控转移，这正是可信计算出台的背景。如何提供可信的信息安全服务，如何确保用户得到可预期的安全，这些都成为业界关注的问题。 “信息安全要从源头、从体系、从行为抓起，争取实体安全结果的可控和可预期，这就是可信计算的理念。”国家信息化专家咨询委员会委员、研究员曲成义如是说。 基于信任构建安全 可信计算技术实际上是信息安全领域一个支撑性的安全技术，它不仅涉及到计算机，还涉及到网络可信环节的构建。从技术角度看，可信计算定义为“系统提供可信赖的计算服务的能力，而这种可信赖性是可以验证的”。任何一个信任体系都有一个公认的、不需要证明的起始点，这个起始点就是根信任关系。于是，信任关系可以从根开始一级一级向下传递，从而确保了可信的安全引导过程。同时，可信计算平台在网络上不再依赖 IP地址，而是通过唯一的身份证书来标识自己，内部各元素之间进行严密的互相认证、对用户身份进行鉴别，这保证了完整的身份认证。可信计算就是基于硬件信任根的建立、基于密码的身份认证、基于标签的强制访问和执行代码的一致性验证，从而能够做到系统的最小优化配置与资源的严格控制。 从可信计算的应用角度看，它是保障国家信息安全核心的技术基础。事实上，国际上IEEE在1999年便首次提出了可信计算联盟(TCPA)，2002年则由国际IT巨头厂商Intel、 IBM、HP 、Sony 、Microsoft等正式