可信計算基是什么

可信計算基(Trusted Computing Base)是指構成安全操作系統的一系列軟件、硬件和信息安全管理人員的集合，只有這幾方面的結合才能真正保證系統的安全。

安全操作系統是通過可信計算基（TCB）實現安全功能的。國標GB17859要求最高等級安全操作系統的TCB必須滿足訪問監控器需求，應能仲裁主體對客體的全部訪問，應防篡改，足夠小，能夠分析和測試。TPM 可作為安全操作系統TCB的一個重要組成部分，其物理可信和一致性驗證功能為安全操作系統提供了可信的安全基礎。

TPM是一個可信硬件模塊，由執行引擎、存儲器、I/O、密碼引擎、隨機數生成器等部件組成，主要完成加密、簽名、認證、密鑰產生等安全功能，一般是一個 片上系統（System on Chip），是物理可信的。TPM提供可信的度量、度量的存儲和度量的報告。

可信的度量：任何想要獲得平臺控制權的實體，在獲得控制權之前都要被度量，判斷其是否可信；度量的存儲：對實體可信的度量以及該過程的審計信息將被TPM 保存，一次向訪問實體報告平臺或其上運行實體的可信度的依據；度量的報告：任何需要知道平臺可信狀態的實體，在獲得平臺的許可后，可以得到當前TPM中所 保存的度量值的報告。詢問實體以此來衡量當前平臺的可信度，并以此為依據決定是否與該平臺建立會話或提供服務。

根據TPM提供的加密和度量的功能，可實現基于密封存儲（Sealed Storage）和證明(Attestation)的安全支持。密封存儲可以加密保護用戶數據，使其只有在度量得到證實的情況下才可以被解密和訪問。證實可以保證平臺、平臺所引入組件、平臺包含的實體的可信，提供完整性證明。擁有這些功能，TPM作為安全操作系統TCB的一個重要組成部分，提供對機密性和完整性等訪問控制策略的支持，實現訪問控制、密碼支持等安全功能。

可信計算基(Trusted Computing Base)是指構成安全操作系統的一系列軟件、硬件和信息安全管理人員的集合，只有這幾方面的結合才能真正保證系統的安全。安全操作系統是通過可信計算基（TCB）實現安全功能的。國標GB17859要求最高等級安全操作系統的TCB必須滿足訪問監控器需求，應能仲裁主體對客體的全部訪問，應防篡改，足夠小，能夠分析和測試。

可信計算計算有以下應用場景：

• 數字版權管理：可信計算可使公司構建安全的數字版權管理系統，難以破解。如下載音樂文件，用遠程認證可使音樂文件拒絕被播放，除非在指定唱片公司規定的特定音樂播放器上。密封存儲可防止用戶使用其他的播放器或在其他計算機上打開該文件。音樂在屏蔽存儲里播放，可阻止用戶在播放該音樂文件時進行該文件的無限復制。安全I/O阻止用戶捕獲發送到音響系統中。

• 身份盜用保護：可信計算可用于防止身份盜用。如網上銀行，當用戶接入銀行網站并進行遠程認證時，服務器可產生正確的認證證書并只對該頁面服務，用戶便可通過該頁面發送用戶名、密碼和賬號等信息。

• 保護系統不受病毒和間諜軟件危害：軟件的數字簽名可使用戶識別出經過第三方修改加入的間諜軟件的應用程序。如一個網站提供一個修改過的且包含間諜軟件的流行的即時通信程序版本。操作系統可發現這些版本缺失有效簽名并通知用戶該程序已被修改，這也帶來一個“誰來決定簽名是否有效”的問題。

• 保護生物識別身份驗證數據：用于身份認證的生物鑒別設備可使用可信計算技術（存儲器屏蔽，安全I/O），確保無間諜軟件竊取敏感的生物識別信息。

• 核查遠程網格計算的計算結果：可以確保網格計算系統的參與者的返回結果不是偽造的。這樣，大型模擬運算（如天氣系統模擬）就無需使用繁重的冗余運算來保證結果不被偽造，從而得到想要的正確結論。

• 防止在線模擬訓練或作弊：可信計算可控制在線模擬訓練或游戲作弊。一些玩家修改其軟件副本以獲得優勢；遠程認證、安全I/O及存儲器屏蔽可核對所有接入服務器的用戶，確保其正在運行一個未修改的軟件副本。還可設計增強用戶能力屬性或自動執行某種任務的軟件修改器。例如，用戶可能想要在射擊訓練中安裝一個自動瞄準BOT，在戰略訓練中安裝收獲機器人。由于服務器無法確定這些命令是由人還是程序發出的，推薦的解決方案是驗證用戶計算機上正在運行的代碼。