本文講的是云計(jì)算重頭戲：可信計(jì)算技術(shù)，【IT168 資訊】可信計(jì)算技術(shù)的一個(gè)重要應(yīng)用就是保護(hù)軟件的完整性,或者說是"硬化"軟件,并將這一事實(shí)向用戶作出擔(dān)保.所以可信計(jì)算技術(shù)在云計(jì)算中也有重頭戲可唱。
　　您也許不知道,中國在可信計(jì)算技術(shù)這一領(lǐng)域并不象其它許多高科技領(lǐng)域那樣比國際上落后不少.可信計(jì)算聯(lián)盟(Trusted Computing Group, TCG www.trustedcomputinggroup.org)是行業(yè)中的一個(gè)標(biāo)準(zhǔn)組織.TCG于2003年11月公開發(fā)布可信計(jì)算模塊標(biāo)準(zhǔn).而國內(nèi)武漢大學(xué)早在2001年就開始獨(dú)立進(jìn)行可信計(jì)算的研究工作了.2004年可信計(jì)算樣機(jī)都已經(jīng)在武漢做出來了.所以說咱們中國在該領(lǐng)域的研究與開發(fā)工作起步一點(diǎn)都不比國外晚.
　　前幾天我在"可信計(jì)算(1)"一文中聲稱:可信計(jì)算技術(shù)的一個(gè)重要應(yīng)用就是保護(hù)軟件的完整性,或者說是"硬化"軟件,并將這一事實(shí)向用戶作出擔(dān)保.現(xiàn)對(duì)這一斷言作一番技術(shù)說明.希望它Make Sense.
　　可信計(jì)算的重要部件,可信平臺(tái)模塊(Trusted Platform Module, TPM),在計(jì)算機(jī)體系架構(gòu)中的安裝位置.TPM是個(gè)具有計(jì)算及存儲(chǔ)功能的芯片.輸入/輸出控制器(I/O Controller)是連接外部設(shè)備與內(nèi)存的總線.將TPM安裝在I/O Controller中的目的是為了讓TPM截獲每一個(gè)從外存裝載入內(nèi)存的軟件.所謂"截獲",您盡管可以把它讀作"偷聽"(或叫"垂簾聽政"也行).由 于是硬件連接,只要用戶選擇了"打開TCG功能",TPM的"偷聽"行為就不可避免.當(dāng)然囿于TPM的內(nèi)存量,TPM僅存儲(chǔ)被它"偷聽"到的軟件的一個(gè)哈 希值.TPM內(nèi)部配備有哈希函數(shù).
　　按照TCG的設(shè)計(jì)理念,TPM會(huì)按照整個(gè)系統(tǒng)及應(yīng)用軟件棧的裝載順序來"偷聽"裝載到計(jì)算平臺(tái)上的所有軟件.請不要擔(dān)心TPM有沒有這個(gè)海量, 由于采用了一個(gè)很聰明的哈希擴(kuò)展算法,TPM的確會(huì)有辦法來存儲(chǔ)所有能夠被平臺(tái)所裝載的全部軟件.舉例X86平臺(tái)的軟件裝載過程:從機(jī)器加電啟動(dòng)開 始,TPM將順序"偷聽"并存儲(chǔ)BIOS(通常是存在一個(gè)固件中,與附加ROMs一起,叫做BasicBootBlocks), MBR(Master Boot Record, 是系統(tǒng)硬盤上的第一個(gè)扇區(qū)內(nèi)容), OS Loader(MBR所指向的一個(gè)足夠大的磁盤區(qū)域,從其能夠?qū)胍粋€(gè)足夠大的程序來執(zhí)行OS的裝載), OS, 用戶應(yīng)用程序1, 用戶應(yīng)用程序2
　　如此順序裝載的程序叫做一個(gè)鏈(Chain).圖中"度量"一個(gè)軟件就是對(duì)該軟件哈希.TPM之所以要把跑在計(jì)算平臺(tái)上的整個(gè)軟件鏈的哈希值記 錄下來是為了能夠把該平臺(tái)上的軟件加載狀況向一個(gè)關(guān)心這一狀況的人報(bào)告.比如該平臺(tái)是一臺(tái)云服務(wù)器,而關(guān)心者是云服務(wù)的用戶.TPM可以對(duì)一分報(bào)告進(jìn)行數(shù) 字簽名,確保報(bào)告的真實(shí)性.TPM內(nèi)有公鑰密碼算法使得TPM可以給出數(shù)字簽名.
　　除了對(duì)TPM給出設(shè)計(jì)說明,TCG還給出了TPM設(shè)備驅(qū)動(dòng)軟件的設(shè)計(jì)說明.到此為止我對(duì)TCG技術(shù)作了一個(gè)非常簡單的敘述.
　　假定在這樣一個(gè)鏈中的這些程序都是正確的,則這個(gè)從底部BIOS開始到頂部用戶應(yīng)用程序的鏈就叫做信任鏈(a Chain of Trust),而BIOS又叫做信任鏈之根(the Root of a Chain of Trust).TCG當(dāng)然無法控制任何這些軟件的可信性!實(shí)際上通過TCG技術(shù),一個(gè)平臺(tái)軟件狀況的詢問者僅僅是得到了平臺(tái)軟件狀況而已,判斷這些軟件的 正確與否還是詢問者自己的任務(wù).TCG技術(shù)只是對(duì)詢問者作出了真實(shí)的報(bào)告.
　　目前普遍認(rèn)為TCG所設(shè)想的信任鏈如要包含商用操作系統(tǒng)是不切實(shí)際的.從BIOS一直到OS Loader,這些軟件都不是很復(fù)雜,做到可信不會(huì)太難.惟獨(dú)可信OS是個(gè)大難題.目前熱門的做法是用可信硬件虛擬化的技術(shù)來繞開商用操作系統(tǒng)不可信的問題.我會(huì)在以后的一講中嘗試介紹.

原文發(fā)布時(shí)間為：2009-06-25
本文作者： IT168.com
本文來自云棲社區(qū)合作伙伴IT168，了解相關(guān)信息可以關(guān)注IT168。
原文標(biāo)題：云計(jì)算重頭戲：可信計(jì)算技術(shù)

總結(jié)

以上是生活随笔為你收集整理的云计算重头戏：可信计算技术的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。