可信计算组织和标准

参考内容：《龙芯自主可信计算及应用》

5、可信计算组织和标准

可信计算是信息系统实现互联、互用、互操作过程中提出的安全需求，因此迫切需要技术标准来规范系统的设计和实现。

通过可信计算的标准化组织提出权威和统一的可信计算技术标准和规范，有助于形成规模化信息安全产业，生产出满足信息社会广泛需求的可信计算产品。

1、可信计算工作组TCG及标准

2003年，包括IBM、Microsoft、Intel、AMD、HP、Sony和Sun在内的14家发起成员公司宣布成立可信计算工作组（Trusted Computing Group，TCG）。该工作组的目标是建立可信计算的技术标准，并将可信计算从计算机扩展到网络环境。此后，TCG开始成立移动电话（Mobile）、存储（Storage）、个人计算机客户端（PC Client）、服务器（Server）、嵌入式系统（Embedded Systems）、物联网（Internet of Things，IoT）、可信网络连接（Trusted Network Communications，TNC）、可信平台模块（Trusted Platform Module，TPM）和软件栈（Software Stack）等各个子工作组，各子工作组开始为开放的规范准备定义需求和案例，讨论并提出了移动设备、存储、服务器、外设和基础架构上的可信安全需求。其中，TCG的移动电话子工作组发布了一系列案例，定义可信计算如何在移动电话上使用。该子工作组的成员扩展到了手持设备、芯片和应用厂商。

存储子工作组开始为静态的存储数据建立开放的可信计算规范标准，希望能补偿不断增长的数据丢失、失窃和未授权访问，这包括存储于硬盘驱动器、磁带和闪存等介质上的数据。该子工作组发布了一些案例供业界讨论，同时开始和已有的存储规范工作组一起讨论，确保对命令的支持能拓宽到广泛使用的SCSI和ATA体系。此外，TCG的存储子工作组发布了笔记本电脑和数据中心的自加密驱动器的最终规范和一系列帮助生产这些驱动器的厂商们互通的API接口。服务器子工作组开始建立在服务器上使用TPM的规范标准。生产厂商开始开发能保证可信的客户端能连接到指定的服务器的产品。

个人计算机客户端子工作组在2007年公布可以支持个人电脑上全盘加密的可信存储规范。该工作组将这一可信规范拓展到其他存储设备上。服务器子工作组在制定可信计算规范标准的同时还提供了一个使用模型，该模型确保服务器在进行敏感交易之前能满足一个最低的安全标准。可信网络连接子工作组致力于建立起一个支持网络访问控制和端点一致性的开放规范标准和应用，如Microsoft开始在其网络访问保护技术体系中支持和TNC的互联。日本互联网协议设备认证组织支持TNC来提供网络安全，包括涉足数据恢复等领域的十余家其他业界公司加入了TCG支持TNC体系。TPM子工作组致力于可信安全芯片的研究和标准化，对于用户所使用的TPM安全芯片，TCG采纳了已有的规范，经过一系列讨论和修订，将其公开为一个开放的业界规范标准。

2004年，TCG公布了TPM规范1.2版本，并在2009年成为ISO的国际标准ISO/IEC 11889-1:2009。相关厂商开始生产支持TPM主要特性的安全芯片。各种企业级台式电脑和笔记本电脑都开始附载TPM芯片和相关的软件，用来支持数据和文件的加密、安全电子邮件系统、单一登录，以及证书和密码的存储等应用。2013年，TCG公布了TPM规范2.0版本，并在2015年成为ISO的国际标准ISO/IEC 11889-1:2015。此外，TCG成立了一个由IT业界的隐私、金融和安全方面的专家所组成的顾问委员会，并启动了和业界的其他标准工作组交流的联络项目，以及与可信计算相关领域的研究人员和学术机构进行交流的指导项目。表3-3列出了可信计算国际标准和规范。



从表3-3可以看出，TCG已经建立起比较完整的可信计算技术规范标准体系。包括TPM功能与实现规范，TSS功能与实现规范，针对PC、服务器和移动手机平台的 TCG规范。在基础设施技术方面，制定出身份证书、网络认证协议、完整性收集和完整性服务等规范。在可信网络方面，制定出可信网络连接的协议和接口规范。从 TCG 的技术标准体系涵盖的范围可以看出，TCG 技术标准已经渗透到 IT 技术的每一个层面。

2 中国可信计算工作组TCMU及标准

随着我国信息化的进一步深入发展，信息安全问题越来越重要，密码的作用也就越来越突出。充分发挥好密码在信息安全中的核心保障作用，推动商用密码深入发展和更广泛应用，支持我国可信计算产业的健康发展，从国家层面构建可信计算密码应用技术体系至关重要。2006年11月，经国家密码管理局批准成立了可信计算密码专项组。

该工作组致力于开展可信计算密码应用体系，相关密码标准和规范的制定及推动可信计算产业化发展，并在2007年12月发布了《可信计算密码支撑平台功能与接口规范》。

该规范提出了自主可信的TCM安全芯片标准。此后，联想、同方、长城、方正等民族企业推出了基于TCM的可信计算机，产品包括台式计算机、笔记本电脑和服务器，主要用户包括政府、金融、公共事业、教育、邮电、制造、中小企业等。

随着可信计算产业的发展和更多的企业加入，在有关政府部门的认可和支持下，可信计算密码专项组在2008年12月正式更名为中国可信计算工作组（China TCM Union，TCMU）。中国可信计算工作组带领产业发展中国自主创新的可信计算，其主要任务是研究和制定可信计算密码应用技术体系及相关密码技术标准规范，推动可信计算技术与产品的标准化、工程化和产业化，指导可信计算应用示范工程建设。

目前，中国可信计算工作组包括联想集团、国民技术股份有限公司、同方股份有限公司、中国科学院软件研究所、北京兆日技术有限责任公司、瑞达信息安全产业股份有限公司、卫士通信息产业股份有限公司、无锡江南信息安全工程技术中心、长春吉大正元信息技术股份有限公司、方正科技集团股份有限公司、中国人民解放军国防科技大学计算机学院、中国长城计算机深圳股份有限公司、北京同方微电子有限公司、北京多思科技工业园股份有限公司、浪潮集团有限公司、北京中天一维科技有限公司、广东南方信息安全产业基地有限公司、北信源自动化技术有限公司、清大安科技术有限公司、南京百敖软件有限公司、北京电子科技学院在内的二十多家成员单位。成员覆盖国内芯片、计算机、网络接入、系统/应用软件、CA证书等领域的信息安全骨干企业，已形成一个初具规模的产业链。此外，TCM将成为中国信息安全的核心引擎，担当我国网络空间的身份证、保险箱和病毒免疫系统等角色，为我国的数据和系统构筑一个全方位、立体化的安全防御体系。表3-4列出了我国的可信计算相关标准和规范。