随锐旗下互动传媒：

卫士通副总工许勇：可信计算构建诚实虚拟空间

http://www.weaseek.com 2008-06-02 13:20:40 来源：搜讯网

许勇认为，无论是国外的TPM，还是中国标准的TCM，都才算刚刚起步，“不只是市场推广的艰难，从技术方面而言，由于带宽、性能等影响，TCM模块对上层提供密码级的服务也有不少的困难，‘软、硬’的难以结合同样阻碍着整个产品链的发展。”

搜讯网专稿 “可信计算技术用在PC上，实际上就是从硬件开始，到最后的用户体验界面、应用程序，都给计算机提供一个可信的环境，一个诚实、互相信任的虚拟空间。”

2008年5月下旬，卫士通信息产业股份有限公司副总工程师许勇接受了搜讯网的采访。看似高深莫测的可信计算技术，经由他的讲解，一下子变得亲切而生动。

在中国，可信计算已经是一个发展近十年的产业，而卫士通在基于可信计算的产品研发上也有不少自己的心得。不过套用许勇的话，无论是国外的TPM (Trusted Platform Module,可信赖平台模块)，还是中国标准的TCM，都才算“刚刚起步”。

卫士通信息产业股份有限公司副总工程师许勇

净化终端使用环境之本

有不少信息专家认为，计算平台存在安全隐患的根本原因即——软、硬件结构简化，缺乏对计算系统重要信息的基础硬件保护支持。在这种情况下，执行代码容易被修改、恶意程序易植入，对重要信息的保护也不完善，因此难以阻止攻击行为。而另一方面，传统计算平台的安全防护并不能从根本上解决信息安全问题。

而可信计算概念和技术的出现和发展，正是为了从根本上解决这种基础性安全缺陷。“普通电脑没有相对封闭的环境，而可信计算则是从硬件、引导过程，到最后的用户体验界面和应用程序，保证电脑没有变更，没有被篡改，从而保证计算机有‘可信’的环境。”而且，这种技术也有利于净化终端用户的使用环境，有利于构建诚实、互相信任的虚拟空间。

许勇举例说，光盘可以进入电脑，把硬盘数据取走，但搭载了TPM或TCM的电脑，可以限定其他用户无法使用光盘模式。“借助TPM或TCM，可以对电脑实现真正意义上的全盘加密。”

其实，要做到加密，厂商各有不同的“招数”。微软就采用了Bit-locker，在开机引导阶段，对Bit-locker的主密钥即VMK进行加密，加密硬盘数据，构成保护层次。这种保护网不仅针对操作系统的引导、临时文件，还包括页面文件。但不足的是，Bit-locker对电脑运行的效率有很高的要求。

微软的BitLocker采用AES 算法，它把主密钥保存在TPM里，以此保证信息安全。“可信计算模式下，用户需要用EK、AIK两份证书通过识别，表明平台身份和个人身份。”

可信计算的未来在哪里？

2000年左右可信计算概念和技术被引入到中国，随后其受到了追捧，尤其是在2003年，对可信计算平台技术的研究及可信计算平台产品的研制成为学界和产业界的热点。而在最近几年却又重新归于沉寂。

不可否认的是，可信计算市场显然仍处在培育阶段。目前它针对的客户绝大多数都是高端、对保密性要求甚高的政府部门和军工企业，远远未达到“普及”的程度，“很多用户不明白可信计算，不清楚这种技术到底可以做些什么。”谈及市场现状，许勇颇为感慨，他告诉搜讯网，现在市场上搭载TPM或者TCM的电脑还不算多，用户也没有看到可信计算的亮点在哪儿，更谈不上购买了。“而只有当可信计算PC、终端等各种产品走进普通消费者时，可信计算也才能够真正得到普及。”

“其实我们业内的厂商很多地方也没有想清楚，究竟怎样才能把可信计算更好的应用在我们的产品中。”许勇坦承。

不只是市场推广的艰难，从技术方面而言，由于带宽、性能等影响，TCM模块对上层提供密码级的服务也有不少的困难，“软、硬”的难以结合同样阻碍着整个产品链的发展。

TPM能够提供基于保护个人私有信息的密钥数据，以加密的形式把银行帐户、密码等存放在硬盘之外。但要保障整个信息链的安全，就不仅需要底层主板的支持、硬件的“可信”，更需要操作系统的支持。就目前而言，要争取操作系统提供商的支持，并不容易。

尽管如此，许勇仍十分看好可信计算的前景。他认为，虽然曲折，可信计算却仍然在发展过程中。已经有很多的厂商发现了这一市场所隐藏的巨大机遇，加入到可信计算产品行列，推出了相关TPM安全芯片的PC和笔记本，可信计算有望再次成为一个亮点。

基于可信计算良好的发展前景，作为信息安全龙头企业的卫士通公司也投入了不少力量。卫士通以在密码技术领域的优势不仅加入了TCM密码规范的制定，在TCM的应用技术体系也积极做着尝试。2004年开始研制“一KEY通”终端防护系统产品，解决信息源头安全问题，把握局域网的安全防护脉搏，在此基础上，推出适合局域网综合安全保护的“一KEY通”局域网综合安全保护系统。该系统以密码技术为核心，密管和安管两个中心为支持，解决信息源头安全、网络通道安全、应用边界安全构建三重防御体系，广泛应用在军工、政府、金融等领域。近年来，卫士通正积极基于TCM和可信计算基础理论，与国内著名PC厂商合作研发新品。

也许正如他所说，可信计算技术在中国的发展势在必行。因为随着网络行为在人类生活扮演的角色越来越重要，大至政府、军队、涉密企业，小至普通用户的网上交易，信息安全会越来越受到关注，从根本上解决基础性安全缺陷的呼声亦会越来越高。到时候，可信计算或许会发挥巨大的价值。

[作者：戴娜]