看见“信任”，可信计算平台的由来解读（TPM、TCM、TPCM、等保2.0解读）。

一、关键名词

TPM（Trusted Platform Module）可信平台模块，是一种植于计算机内部为计算机提供可信根的芯片。该芯片的规格由可信计算组（Trusted Computing Group）来制定。
TCM（trusted cryptography module）可信密码模块， 是可信计算平台的硬件模块，为可信计算平台提供密码运算功能，具有受保护的存储空间，是我国国内研究，与TPM对应。
TPCM（Trusted Platform Control Module）可信平台控制模块，让可信平台模块具有对平台资源进行控制的功能。
TSS（TCG Software Stack）可信软件栈，是可信计算平台上TPM的支撑软件。TSS的主要作用是为操作系统和应用软件提供使用TPM的接口。
TNC（Trusted Network Connect）可信网络连接技术，用来实现平台到网络的可信扩展，以确保网络的可信。

二、什么是可信计算

可信计算（Trusted Computing，简称TC）是一项由TCG(可信计算组)推动和开发的技术。可信的核心目标之一是保证系统和应用的完整性，从而确定系统或软件运行在设计目标期望的可信状态。可信并不等同于安全，但它是安全的基础，因为安全方案、策略只有运行在未被篡改的环境下才能进一步确保安全目的。通过保证系统和应用的完整性，可以确保使用正确的软件栈，并在软件栈受到攻击发生改变后能及时发现。总的来说，在系统和应用中加入可信验证能够减少由于使用未知或遭到篡改的系统/软件遭到攻击的可能性。

以PC机可信举例，通俗来讲，可信就是在每台PC机启动时检测BIOS和操作系统的完整性和正确性，保障你在使用PC时硬件配置和操作系统没有被篡改过，所有系统的安全措施和设置都不会被绕过；在启动后，对所有的应用，如社交软件、音乐软件、视频软件等应用可进行实时监控，若发现应用被篡改立即采取止损措施。

具体来说，可信计算技术对安全有如下提升：

• 操作系统安全升级，如防范UEFI中插入rootkit、防范OS中插入rootkit、以及防范病毒和攻击驱动注入等。
• 应用完整性保障，如防范在应用中插入木马。
• 安全策略强制实现，如防范安全策略被绕过/篡改、 强制应用只能在某个计算机上用、强制数据只能有某几种操作等。

可信主要通过度量和验证的技术手段实现。 度量就是采集所检测的软件或系统的状态，验证是将度量结果和参考值比对看是否一致，如果一致表示验证通过，如果不一致则表示验证失败。

度量分为静态度量和动态度量两种。静态度量通常指在运行环境初装或重启时对其镜像的度量。度量是逐级的，通常先启动的软件对后一级启动的软件进行度量，度量值验证成功则标志着可信链从前一级软件向后一级的成功传递。以操作系统启动为例，可信操作系统启动时基于硬件的可信启动链，对启动链上的UEFI、loader、OS的image进行静态度量，静态度量的结果通过云上可信管理服务来验证，以判断系统是否被改动。

动态度量和验证指在系统运行时动态获取其运行特征，根据规则或模型分析判断系统是否运行正常。

TPM、TCM、TPCM由来

IT业界从1999年开始，就有一个由Intel、IBM、HP、Microsoft、Compaq发起的TCPA（Trusted Computing Platform Alliance）组织在推动构建一个可信赖的计算环境，这个组织的成果是定义了一个平台设备认证的架构，以及嵌入在主板上的安全芯片（TPM：Trusted Platform Module）和上层软件中间件TSS（Trusted Software Stack）的第一个规范，到2003年初，IBM已经推出了将近1000万台带有安全芯片的电脑；2003年TCPA重新组成了一个更加具有商业性质的组织TCG（Trusted Computing Group），加大了产业推广力度，至今为止，已经有Intel、AMD、Microsoft、IBM、HP、Sony、Sun 7个发起成员.Intel和微软这两大行业巨头在TCG组织中发挥了越来越重要的作用，并且投入了很大的资源推动了整个产业链（包括安全芯片、主板、BIOS、芯片组、CPU、OS、软件中间件、单机上层应用系统、电子商务应用系统、CA系统、安全认证）的形成，因此TCG组织对IT产业的影响将非常巨大。

TCG要求的关键部件TPM1.2安全芯片是嵌入密码型计算机的核心部件，通过LPC总线接口放置在主板上,芯片内部是一个完整的安全计算环境，内部结构包括：
1、低功耗的32位RISC CPU；
2、CPU访问片内外围模块的通道；
3、中断控制器(Interrupt Controller)；
4、时钟发生器（Clock Generator）；
5、对外IO端口；
6、RAM；
7、ROM；
8、Flash；
9、SHA/HMAC模块；
10、RSA协处理器模块；
11、真随机数产生模块。

TPM1.2安全芯片提供了平台完整性度量、提供平台唯一身份标识、提供硬件级的密钥保护等基本安全功能，为可信计算提供基础硬件支撑。

国际TPM1.2产品的日益成熟，为什么我们国内还要自己做TCM呢？两者又有什么差别呢？

计算机系统安全是信息和网络安全的基础，而信息和网络安全已成为国家安全的一个重要组成部分。1997年我国出台的《商用密码管理条例》明确规定：国家任何商用密码的研制、生产和销售都必须接受专控管理。任何国外生产的商用密码产品未经许可都不允许中国市场上销售。《商用密码管理条例》的出台也表明信息安全类产品不能依赖别人，也不可能依赖别人，必须立足于国内自主开发。国际TCG组织也同样认识到这一点，在TPM标准中对其核心算法的替换已经提上议事日程。

同时，考虑到中国安全芯片标准发展时间比较短，参考国际规范可以避免我们走很多弯路；同时对于以后将中国标准让国际规范兼容和采纳，有很大的帮助。因此TCM与TPM1.2有很多的相同点，TCM是借鉴了TPM1.2的架构，替换了其核心算法后的产品。同时TCM中也按照我国的相关证书、密码等政策提供了符合我国管理政策的安全接口。
可信计算的理念是从根本上完善了PC结构，从硬件到软件，提供完善的体系来防范日益猖獗的病毒、木马，希望这一天尽快来到。让所有人都不用为了安全问题而担忧，可以尽情地享受互联网和高科技带来的便利和乐趣。

可信计算另一个核心部分是可信根，通常是可信硬件芯片。 可信计算通过芯片厂家植入在可信硬件中的算法和密钥，以及集成的专用微控制器对软件栈进行度量和验证来确保可信。根据安全芯片和其上运行的可信软件基（Trusted Software Stack）分类，业界目前主流的可信计算标准主要有三种：Trusted Platform Module （TPM）、Trusted Cryptography Module （TCM）和Trusted Platform Control Module (TPCM)。

TPM/TCM的优势在于技术成熟、商业化条件好，产品商业化已经超过十年。微软和谷歌都有基于TPM的商业化的可信云方案。TPCM是基于国产化思路提出的可信标准。相对TPM和TCM，TPCM对硬件和可信软件栈（TSS：Trusted Software Stack）架构做了较大的改动。TPCM最大的优点是可以做主动度量，但在计算主机上尚未商业化和产品化成熟。

三、等保2.0关于可信要求的解读

等保2.0将可信提升到一个新的强度。在等保一到四级都有可信的要求，主要在三个领域：计算环境可信、网络可信、接入可信。以计算环境可信举例，等保2.0中可信四级要求如下：

可基于可信根对系统引导程序、系统程序、重要配置参数和通信应用程序等 进行可信验证，并在应用程序的所有执行环节进行动态的可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心，并进行动态关联感知。

可信基本要求之一“基于可信根对系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证”在业界已有方案，如基于TCM安全芯片的系统启动度量和验证。等保2.0中对这项要求没有明确提出动态的可信验证，原因之一是系统（如操作系统）过于复杂，很难形成完整的甚至局部的验证基准值，在工程实现上无法保障规则的完整性，误报、漏报无法控制，严重影响安全和用户体验。基于这个判断，传统的基于静态度量和验证的系统可信启动应该满足这项要求。

与系统可信不同，等保2.0四级对应用可信有明确的动态验证要求。 再复杂的应用相对操作系统来说也简单得多，所以做应用动态验证在工程上是可行的，挑战是如何在不严重影响应用的功能、性能，即保证用户使用体验的前提下做到应用动态可信。解决这个问题的实质在于如何选择应用的度量对象，确定度量值，以及如何收集和管理验证基准值，或所谓的应用行为白名单。

应用可信的实现可通过只允许指定的应用，即所谓白名单应用在某个环境下（一般是物理主机、虚拟机上或容器）运行，非白名单应用无法在目标环境中运行；同时白名单应用受到监控，其运行行为一旦被发现异常，系统会根据异常行为的安全危害等级报警并采取相应措施，如阻断应用、删除应用、重启系统等。对环境中运行的应用进行限制可减少不安全的应用对云平台进行攻击的可能性，而对应用的监控可以及时发现攻击并做响应。

等保2.0并没有明确规范应该如何实现应用可信，原因之一是在现有的安全实践中没有很好的方式可以参考。可信最终是为安全服务的，如果应用的动态验证能够帮助及时发现攻击甚至阻止攻击，将攻击造成的危害降至最低，这样的应用可信就应该是有效的。

等保2.0要求的动态关联，可理解成在可信验证失败时对被监测的对象及时采取措施，阻断攻击并对可能遭受攻击的资产进行保护。实现的方式可通过安全管理中心有效地传递验证结果数据，使其他安全手段能够及时响应。

四、阿里云可信计算实践

云平台安全依赖操作系统、数据库、虚拟化等技术，而这些系统/技术会存在原生的安全问题，使攻击者可利用系统/技术漏洞实现其攻击目的。同时，平台上的第三方系统软件、应用软件等可能会在安装或升级过程中被修改或植入攻击性模块，存在通过类似中间人攻击或内部攻击替换正版软件的风险。

阿里云提供了较完整的平台安全措施和强边界防御能力，同时通过可信来有效减小攻击面和攻击源，提升攻击门槛，使云平台安全升级。所谓可信，即云平台、云上应用以及云用户运行环境、应用，通过使用用户指定的软件而达到行为的可预判，以此来确保云平台上运行环境以及其上运行的应用的可信，来减少由于未知因素引发成功攻击的可能性。

阿里云可信是依赖云平台硬件安全中的可信计算能力，通过自研开发的可信服务，实现云上的软件栈可信，即：云平台安全可信、云平台上运行的应用可信，达到云平台整体安全可信升级的目标。

云平台可信即确保云平台上运行的系统软件，如固件、操作系统（OS）都是安全的，保障平台上的系统不被篡改，即保持运行环境是所要求的运行环境。为实现这个目标，主要采用的手段是对系统软件的度量和验证，而度量和验证自身的可信通过云平台可信硬件来支持。可信硬件作为云服务器或接入用户服务器的可信根，通过在硬件内部实现最基础的安全功能如秘钥存储、安全算法实现从下到上逐级的可信链传递。

阿里云可信根采用在商业和产品化上成熟的TCM，通过使用装有TCM可信芯片的可信服务器作为系统的可信根逐级实现云平台以及其上业务的可信。在未来国有化和更强大的TPCM商业化成熟后，会过渡到用TPCM支持的可信服务器。

TCM能保障物理机的可信，而云平台的物理宿主机上一般需运行多个虚拟机，但一个宿主机通常有一个TCM芯片，为保证对虚拟机的度量，需要有效地对TCM资源进行分配；同时虚拟机会因业务的需要而迁移，为保证虚拟机度量的延续性，其可信相关的安全管理数据如最后的PCR值等应同步迁移到目标主机上，为实现上述需求，阿里云开发TCM虚拟化（vTCM）以安全管理TCM的资源和数据。

云平台可信实现框架图如下：

阿里云对白名单应用的保护是通过静态度量和验证、动态度量和验证来实现的，同时采用动态关联感知技术进一步确保应用可信。

静态度量和验证在应用启动之前对其镜像进行校验，仅校验合格后才允许应用启动运行。校验的基准值为应用开发者发布的应用签名，或是可信服务提供的校验基准值。

动态度量和验证采用的是通过应用行为白名单来实现的。被度量和验证的应用行为是系统调用行为，包括进程启动、进程调用、网络访问、文件访问等。系统调用是应用的核心执行动作，一个被攻击过、不再可信的应用在执行实现攻击者目标时必须通过系统调用实现，也就是说，通过对系统调用的监测能够有效地发现应用异常，即不再可信。实现应用可信的具体方式是首先通过对白名单应用的分析，收集用户正常行为，并以此建立行为规则库，然后根据实时采集的应用行为数据，对比应用行为规则库进行判断。如果应用行为无法匹配任何一条规则，这个行为会被判断为异常，可信云决定是否告警或终止应用运行。

此外，动态关联感知技术通过对应用行为特征的判断，可发现应用在不调用白名单以外的情况下的应用异常。动态关联感知通过机器学习产生应用行为基线，在应用运行时采集了一段时间应用的行为，通过大数据分析和机器学习的方式形成应用行为特征，并以此对应用行为特征异常作出判断。

阿里云可信应用可信的实现方式如下：

五、结语

可信和安全是相辅相成的，可信是安全的基础，但可信自身的实现也需要有安全机制，有安全手段配合才能更有效，例如操作系统的只读安全措施可以大大减少系统动态度量的范围，使系统动态度量成为可能。

目前，国际领先云服务商如谷歌的GCP和微软的AZURE都已有完整的基于静态度量/验证的云平台可信方案，AWS可信方案也在开发中。在国内，阿里云是首家具备可信能力的云厂商，其专有云平台研发了基于可信技术的云平台入侵检测系统，满足了等保2.0对于可信部分的高标准要求，这也是其成为通过等保2.0四级（可交付的最高等级）评测的原因之一。

在目前中国云计算可信发展初期阶段，安全硬件、服务器、系统、应用等厂商需要联合起来，形成协同共赢的生态，共同推动可信的深入发展，为构建更稳固的安全体系固本强基。