可信计算技术综述

张秀娟

摘 要：本文主要介绍了可信计算的现状和发展趋势，基于对相关专利申请的分析对可信计算技术进行了梳理。首先，对可信计算技术的发展历程进行了回顾，分析了可信计算方面几个重要的发展领域，然后分析了国内外可信计算的发展状况。

关键词：可信计算;可信平台;可信认证;专利申请;发展历程

引言

在可信计算中，通过信息加密等方式对存储的文件和数据进行管理，从而保证了信息存储的安全性;通过对系统组件进行可信度量是保障信息的基础，根据度量值对系统组件进行管理和检测，可有效管理信息运行的环境变化，从而保障运行环境的安全性;通过消息签名的方式对目的端进行验证，从而保障信息传输的安全性。

一、可信计算技术概述

1、可信计算发展历程

在可信计算技术的形成过程中，容错计算、安全操作系统和网络安全等领域的研究使得可信计算的含义不断扩展，由侧重于硬件的可靠性、可用性，到针对硬件平台、软件系统服务的综合可信，适应了Internet应用系统不断扩展的发展需要。下面从与可信计算发展紧密相关的三个领域的发展。

在容错计算领域，可信性被定义为计算机系统的一种性质，它所提供的服务是用户可感知的一种行为，并可以论证其可信赖，则用户则是能与之互动的另一系统。因为“可靠”而“可信”，因此，容错计算又被称为可靠计算。

从50年代中期出现的第一个简单的批处理系统，到60年代中期出现的多道程序批处理系统，以及此后的基于多道程序的分时系统，甚至再后来的分时系统和分布式操作系统，仅仅靠“容错技术”并不能完全解决操作系统对共享资源的安全访问问题。因而，为了进一步提高安全性，研究者开始逐步探究如何提高操作系统的安全性。

在网络安全阶段，保护网络的安全包括两个方面的技术内容：（1）开发各种网络安全应用系统，包括身份认证、授权和访问控制、PKI/PMI/IPSec、电子邮件安全、安全扫描、网络病毒防范等，这些系统一般可独立运用于网络平台之上;（2）加强网络安全相关的组件或系统组成网络可信基，内嵌在网络平台中，受网络平台保护。前者得到了产业界的广泛支持，并成为主流的网络安全解决方案，而后者得到了学术界的广泛重视，学术界还对“可信系统”和“可信组件”进行了广泛的研究。1987年，美国国家计算机安全中心提出的可信网络结识成为该技术的标志性成果。

2、我国可信计算的发展

2006年6月武汉瑞达公司和武汉大学合作，开始研制可信安全计算机。2003年研制出我国第一款可信计算平台模块和第一款可信计算平台，2003年7月15日通过国家密码管理局的安全审查。2004年10月通过国家密码管理局主次的技术鉴定。2005年，联想公司、兆日公司的TPM芯片和联想公司的可信计算机也相继研制成功，并通过国家密码管理局的认证。从2006年开始我国进入指定可信计算规范和标准的阶段，制定了一系列的可信计算规范与标准。我国成为除TCG之外唯一拥有自主可信计算规范与标准的国家。2007年我国国家自然科学基金启动了可信软件重大研究专项。2008年中国可信计算连通成立。由此可见，从2007年开始，包括芯片、微机、服务器、软件、可信网络连接等标准，国家自然科学基金委和联想公司的“可信计算重大研究计划”。2008年中国可信计算联盟CTCU成立，推动我国的可信计算的进一步发展。

3、可信计算的重要模块以及重要系统

3.1可信平台模块TPM

在可信平台中，TCG定义了可信平台模块TPM，其为一种系统芯片，它是可信计算平台的信任根（可信存储根RTS核可信报告根RTR），它由执行引擎、存储器、I/O、密码协处理器、随机数产生器等部分组成。由于可信平台模块TPM拥有丰富的计算资源和密码资源，其具有密钥管理、加解密、数字签名、数据安全存储等功能，因此，其可以完成作为可信存储根和可信报告根的职能。

3.2可信计算平台

可信计算平台是广泛的概念，不管是服务器、PC机、PDA还是手机，只要具有可信计算的主要技术机制和可信服务功能，都可称之为可信平台。在可信平台中，主要的是要有信任根核信任链机制、度量存储报告机制、TSS支撑软件、确保系统数据完整性、数据安全存储和平台远程证明等方面的可信功能。

3.3. 可信计算平台间的通信

TCG提出了一种基于系统资源数据完整性的二进制代码远程证明方法，这种远程证明建立在可信计算的度量存储报告机制、密码和证书技术、可信网络连接技术的基础之上。对于可信计算平台，平台的系统资源和应用软件，都由可信度量根核信任链进行了可信性（完整性）的度量，并将度量值存储到可信存储根中，作为平台可信任的证据。当需要远程证明时，由可信报告根向用户提供平台可信性报告。在存储和网络传输过程总，通过加密、数字签名和认证技术保护，结合可信网络连接技术，确保平台可信性的远程证明。

二、可信计算技术专利状况分析

1、全球专利申请分析

通过对全球涉及基于可信计算技术的专利申请的文件进行统计与分析可知，在全球的专利申请中，申请量处于领先地位的是英特尔，这是因为可信计算最初的思想是研究如何从硬件底层开始加强通信系统的安全性，而英特尔作为全球芯片占有量遥遥领先的大公司，其在可信芯片等硬件方面的科研投入相当大，因而英特尔有关可信计算的专利申请量大是可以预期的。IBM、惠普和微软作为国际大公司，其分别在和操作系统上的地位是相当高的，由于可信计算逐步由研究芯片等硬件方面逐步扩展到研究如何提供可信计算机系统以及可信操作系统，作为该领域处于领先地位的大公司，IBM和微软在可信计算方面的专利申请量大也是可以理解的。诺基亚、华为等其他公司有关可信计算的专利申请量相差不大。从该图仍然可以看出美国在可信计算技术领域处于绝对领先的地位，我国的专利申请中企业申请不是很多，说明我国在该技术领域中的研究实力还有待提升。

2、国内专利申请分析

国内有关可信计算技术的专利申请起步较国外要晚一些，但与全球可信计算技术的专利申请类似，国内的专利申请也是在2000年以后逐步上升。在2008年之后的几年内，国内有关可信计算的专利申请增速较明显，这与2008年中国可信计算联盟CTCU密不可分，国家对该技术领域的经济支撑，增强了科研院校、国内公司等对该技术领域的研究兴趣，从而在短短3年之后，也就是2011年，我国可信计算的研究达到了巅峰。在2011年之后，我国有关可信计算的专利申请量也处于比较高的水平。由于2015年后专利申请的公开数据不完整，导致总申请量下降，并不能因此判定该领域申请呈现出大幅下降趋势。根據以上数据进行大致预期可知，以及云计算、虚拟化技术等的引入，可信计算技术仍然有可能成为信息安全领域的研究热点。

三、小结

本文围绕可信计算这一技术主题，对全球和国内相关的专利申请进行了分析。目前，可信计算技术中国专利申请的国外申请人借助其在计算机领域的领先优势，已经展开了在华专利布局，对我国的IT企业构成了一定威胁。虽然我国在可信计算技术已经取得了一定的成果，但我国在可信计算领域的专利部署还有待进一步加强，从而加强我国在可信计算领域的竞争力，以摆脱该技术领域的科技产品主要靠进口的弊端。

参考文献：

[1]可信计算中的动态远程证明研究综述[J]，李红娇，2013.1

[2]基于国产密码体系的可信计算体系框架[J]，沈昌祥等，2016.1