本文講的是云計算重頭戲：可信計算技術，【IT168 資訊】可信計算技術的一個重要應用就是保護軟件的完整性,或者說是"硬化"軟件,并將這一事實向用戶作出擔保.所以可信計算技術在云計算中也有重頭戲可唱。
　　您也許不知道,中國在可信計算技術這一領域并不象其它許多高科技領域那樣比國際上落后不少.可信計算聯盟(Trusted Computing Group, TCG www.trustedcomputinggroup.org)是行業中的一個標準組織.TCG于2003年11月公開發布可信計算模塊標準.而國內武漢大學早在2001年就開始獨立進行可信計算的研究工作了.2004年可信計算樣機都已經在武漢做出來了.所以說咱們中國在該領域的研究與開發工作起步一點都不比國外晚.
　　前幾天我在"可信計算(1)"一文中聲稱:可信計算技術的一個重要應用就是保護軟件的完整性,或者說是"硬化"軟件,并將這一事實向用戶作出擔保.現對這一斷言作一番技術說明.希望它Make Sense.
　　可信計算的重要部件,可信平臺模塊(Trusted Platform Module, TPM),在計算機體系架構中的安裝位置.TPM是個具有計算及存儲功能的芯片.輸入/輸出控制器(I/O Controller)是連接外部設備與內存的總線.將TPM安裝在I/O Controller中的目的是為了讓TPM截獲每一個從外存裝載入內存的軟件.所謂"截獲",您盡管可以把它讀作"偷聽"(或叫"垂簾聽政"也行).由 于是硬件連接,只要用戶選擇了"打開TCG功能",TPM的"偷聽"行為就不可避免.當然囿于TPM的內存量,TPM僅存儲被它"偷聽"到的軟件的一個哈 希值.TPM內部配備有哈希函數.
　　按照TCG的設計理念,TPM會按照整個系統及應用軟件棧的裝載順序來"偷聽"裝載到計算平臺上的所有軟件.請不要擔心TPM有沒有這個海量, 由于采用了一個很聰明的哈希擴展算法,TPM的確會有辦法來存儲所有能夠被平臺所裝載的全部軟件.舉例X86平臺的軟件裝載過程:從機器加電啟動開 始,TPM將順序"偷聽"并存儲BIOS(通常是存在一個固件中,與附加ROMs一起,叫做BasicBootBlocks), MBR(Master Boot Record, 是系統硬盤上的第一個扇區內容), OS Loader(MBR所指向的一個足夠大的磁盤區域,從其能夠導入一個足夠大的程序來執行OS的裝載), OS, 用戶應用程序1, 用戶應用程序2
　　如此順序裝載的程序叫做一個鏈(Chain).圖中"度量"一個軟件就是對該軟件哈希.TPM之所以要把跑在計算平臺上的整個軟件鏈的哈希值記 錄下來是為了能夠把該平臺上的軟件加載狀況向一個關心這一狀況的人報告.比如該平臺是一臺云服務器,而關心者是云服務的用戶.TPM可以對一分報告進行數 字簽名,確保報告的真實性.TPM內有公鑰密碼算法使得TPM可以給出數字簽名.
　　除了對TPM給出設計說明,TCG還給出了TPM設備驅動軟件的設計說明.到此為止我對TCG技術作了一個非常簡單的敘述.
　　假定在這樣一個鏈中的這些程序都是正確的,則這個從底部BIOS開始到頂部用戶應用程序的鏈就叫做信任鏈(a Chain of Trust),而BIOS又叫做信任鏈之根(the Root of a Chain of Trust).TCG當然無法控制任何這些軟件的可信性!實際上通過TCG技術,一個平臺軟件狀況的詢問者僅僅是得到了平臺軟件狀況而已,判斷這些軟件的 正確與否還是詢問者自己的任務.TCG技術只是對詢問者作出了真實的報告.
　　目前普遍認為TCG所設想的信任鏈如要包含商用操作系統是不切實際的.從BIOS一直到OS Loader,這些軟件都不是很復雜,做到可信不會太難.惟獨可信OS是個大難題.目前熱門的做法是用可信硬件虛擬化的技術來繞開商用操作系統不可信的問題.我會在以后的一講中嘗試介紹.

原文發布時間為：2009-06-25
本文作者： IT168.com
本文來自云棲社區合作伙伴IT168，了解相關信息可以關注IT168。
原文標題：云計算重頭戲：可信計算技術

總結

以上是生活随笔為你收集整理的云计算重头戏：可信计算技术的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。