可信计算：应用进行时

　　作者：广伟 来源：中国经营报

　　信息安全技术日新月异，防火墙越砌越高，入侵检测越做越复杂，病毒库也越来越庞大……然而，信息安全的防线并未因此而固若金汤。恶意攻击层出不穷，病毒种类花样翻新，一些驻存于电脑硬盘中的恶意程序向网络上肆意传播更让人防不胜防。

　　针对这种现象，信息安全专家认为：信息安全暗礁浮生的关键问题是传统技术以防外为重点，这与目前信息安全主要“威胁”源自内部的实际状况不相符合。而要解决内部安全威胁，就需要建立一个信息的信任传递模式。和抵抗SARS要控制病源一样，必须做到终端的可信，才能从源头解决人与程序之间、人与机器之间的信息安全传递。信任时代来临可信计算当红

　　换一个角度，从互联网发展和应用的大背景看，目前进入了电子商务盛行的时代。“信任”是网上交易中的关键词。但是病毒、黑客和计算机犯罪使得人们对网络的安全产生了信任恐慌，正是这样的恐慌严重制约了信息化的发展，制约了电子商务、电子政务的发展。

　　“为什么我们要提可信？是因为有了信任恐慌。”一位安全专家如是说。

　　“可信计算”的概念开始在世界范围内被提出是在1999年，主要是通过增强现有的ＰＣ终端体系结构的安全性来保证整个系统的安全。

　　“可信计算”技术的核心是称为ＴＰＭ（可信平台模块）的安全芯片。ＴＰＭ实际上是一个含有密码运算部件和存储部件的系统级芯片，以ＴＰＭ为基础的“可信计算”可以从几个方面来理解：用户的身份认证，这是对使用者的信任；平台软硬件配置的正确性，这体现了使用者对平台运行环境的信任；应用程序的完整性和合法性，体现了应用程序运行的可信；以及平台之间的可验证性，指网络环境下平台之间的相互信任。国际标准尘埃落定TCG举起安全之盾

　　体现终端安全思想的“可信计算”已经成为当前信息安全发展的趋势。“可信计算”最早的提出者是一个名为ＴＣＧ（ＴｒｕｓｔｅｄＣｏｍｐｕｔｉｎｇＧｒｏｕｐ）的非赢利性组织。

　　1999年，由包括微软、ＩＢＭ、ＨＰ、Ｉｎｔｅｌ等ＩＴ业界大公司牵头，可信计算平台联盟（ＴＣＰＡ）宣布成立。2003年，ＴＣＰＡ联盟改组为ＴＣＧ组织，旗下成员也扩大为200多个，遍布全球各大洲。

　　ＴＣＧ定义了具有安全存储和加密功能的ＴＰＭ（可信平台模块），并于2001年1月30日发布了基于硬件系统的“可信计算平台规范”1．0版标准。该标准通过在计算机系统中嵌入一个可抵制篡改的独立计算引擎，使非法用户无法对其内部的数据进行更改，从而确保了身份认证和数据加密的安全性，2003年10月发布了1．2版标准。

　　在我国，今年出台的国家“十一·五”规划和“863计划”中，将把“可信计算”列入重点支持项目，并有较大规模的投入与扶植。2005年1月全国信息安全标准化技术委员会在北京成立了ＴＣ260可信计算小组（ＷＧ1），该工作组负责人卿斯汉研究员介绍：“国内可信计算这个名词出现得晚，但技术研究并不低于国外，核心技术应该以国内为主，但要按照国际规范来做。”

　　目前，中国的可信计算标准尚未出台，但是放眼国内，兆日、联想等厂商都成为了ＴＣＧ的重要成员，这标志着我国企业在可信计算领域里具备了核心技术能力，无疑将对整个中国ＩＴ产业链，乃至国家经济和社会信息化的发展进程产生积极的推动作用。从可信终端到可信网络

　　“可信计算”的概念由ＴＣＧ提出，但并没有一个明确的定义，而且联盟内部的各大厂商对“可信计算”的理解也不尽相同。其主要思路是在ＰＣ机硬件平台上引入安全芯片架构，通过提供的安全特性来提高终端系统的安全性。

　　从组成信息系统的服务器、网络、终端三个层面上来看，现有的保护手段是逐层递减的，这说明人们往往把过多的注意力放在对服务器和网络的保护上，而忽略了对终端的保护，这显然是不合理的。

　　首先，终端往往是创建和存放重要数据的源头；其次，绝大多数的攻击事件都是从终端发起的。这恰恰是人们对待信息安全问题上的一个误区。究其根源，都是终端体系结构和操作系统的不安全所引起的。如果从终端操作平台实施高等级的安全防范，这些不安全因素将从终端源头被控制。

　　有专家分析，可信终端首先将在关键的重点行业，比如电子政务、军队等采用。随后，当大众接受了可信计算的概念，随着市场上出现越来越多的可信计算产品，可信计算平台大众化普及的时代也必将会到来。

　　而可信终端只是可信计算的一个分支，并且是入门级技术，目前，多家厂商正在研究可信网络设备、可信服务器，其目的是在所有的网络节点中建立可信任机制，最终形成一个全球性的可信网络。

　　截止到目前，可信计算实现商用已经进入倒计时阶段。国内著名的ＩＴ厂商如联想、同方等均已推出或正在推出符合ＴＣＧ国际标准的安全ＰＣ，所应用可信计算安全芯片除了ＰＣ厂商自主研发的安全芯片（如联想）之外，与产业链上游芯片厂商的合作，采用其研发的、符合ＴＣＧＴＰＭ1．2标准的可信计算安全芯片成为了另一种产业链合作的形式，据悉，ＴＣＧ的中国成员之一，北京兆日科技有限责任公司的ＳＳＸ35安全芯片已经与若干国内ＰＣ厂商实现了安全ＰＣ的应用合作。

　　据业内权威人士透露：2006年，全球将有一半以上的的ＰＣ机都将植入安全芯片。未来3－5年内，全球85％的计算机都将是采用可信计算技术的“安全ＰＣ”。这不仅意味着巨大的商业机会，同时，也昭示着这样一个事实：内嵌ＴＰＭ安全芯片的ＰＣ将成为新一代安全终端的主流。

　　作者：广伟

　　（来源：中国经营报）