40、移动可信代理：保障计算机平台信任的新方案

移动可信代理：保障计算机平台信任的新方案

1. 背景介绍

可信计算利用安全芯片（如 TPM/TCM）作为整个计算机平台的信任根。当计算机通电时，系统借助基于硬件的信任根，通过测量初始 BIOS 代码来启动信任链。BIOS 接着测量并执行引导加载程序，引导加载程序再测量并执行操作系统，最后操作系统可能会测量并记录其执行的每个应用程序。需要注意的是，系统必须在执行程序之前对其进行测量。所有测量结果会记录在测量日志（或测量列表）中，并通过 TPM 扩展操作扩展到安全芯片的 PCR 中。PCR 由硬件芯片保护，可确保日志的可信度，从而使 PCR 和日志能够代表整个平台的真实状态。这样，信任就从硬件传递到软件，并在本地平台上建立起来。

远程证明可以进一步将本地信任传递给远程验证者。在证明过程中，验证者会向证明者提供一个随机数以确保新鲜度。证明者随后要求安全芯片生成一个 Quote（通过 TPM Quote 操作），这是一个涵盖随机数和 PCR 的数字签名。然后，证明者将 Quote 和测量日志发送给验证者。验证者使用证明身份密钥（AIK）的公钥检查 Quote，然后计算日志的哈希聚合，并将结果与 PCR 进行比较。如果两者都成功，验证者可以确保日志确实来自受安全芯片保护的目标平台。在检查日志中的每个测量结果后，验证者将知道目标平台是否可信。最后，验证者将验证结果返回给证明者，用户将了解其正在使用的平台的状态。

信任建立和传递的具体过程如下：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    cla