可信华泰再次荣获中国电子集团科技进步一等奖

目前，依托IoT设备的僵尸网络的规模不断增长。众多基于Linux的跨平台DDoS僵尸网络家族这种僵尸网络复杂的变种已经出现。典型的IoT DDoS僵尸网络家族包括2013年出现的CCTV系列、肉鸡MM系列(ChiekenMM)、数字系列(10771、10991、25000、36000)、BillGates、Mayday、PNScan、gafgyt等。其中一种名为Hajime的新型互联网蠕虫，其传播方式与Mirai相似，但更加复杂，可以通过蛮力攻击(brute force attack)自行传播，并专门攻击中国物联网设备。专家预测，到2025年，将有750亿个联网的IoT设备。这些设备上运行的许多嵌入式固件都是不安全且高度脆弱的，从而使全世界不确定数量的关键系统和数据面临风险。

攻击一千次，有一次成功便是胜利；防御一万次，有一次失败便是失败。可信计算3.0正是基于IoT系统的现有安全需求出发，通过“量体裁衣”的方式，针对应用和流程制定策略来适应实际安全需要，不需修改应用程序，构建积极主动的防御体系，通过“主动免疫双体系架构”能够抵御未知的威胁和攻击。

为了满足IoT设备体积小、硬件成本低、内部接口少、长期不维护等特点，可信华泰推出了板载可信根的方式，为IoT设备植入可信基因。可信根依据TPCM、TCM标准进行设计，并集成TCM可信密码模块。其中TCM密码模块符合国家密码局要求，采用国产密码算法SM2、SM3、SM4，依据TCM国家标准提供密码服务和密钥的管理体系。支撑可信计算身份认证、状态度量、保密存储过程中的密码服务。

可信根是可信机制的信任源点，具备隔离保障的资源环境，能够并行获取计算节点中的度量对象信息，为TSB可信软件基的可信验证提供了数据获取、控制的重要支撑。可信根是并行于CPU的防护部件，作为建立和保障信任源点的硬件核心模块，先于CPU运行，完成启动信任链的建立。通过可信链的建立及传递，完成对系统安全BOOT、可信内核、应用执行控制等可信功能，实现了系统的主动防御，保护IoT设备终端固件、应用、进程不被篡改、入侵及异常行为发生，保障数据不被窃取与泄露。

为了满足IoT设备存储空间小问题，通过定制化TSB可信软件基，为传感器、计算节点等IoT设备提供运行时对系统、应用、安全机制的重要度量，并提供安全防护功能，通过TSB可信软件基与可信根的交互保证了终端的安全和自身安全机制的完整，同时将信任传递到应用程序中。另外可信软件基无特征库升级需求，对IoT设备存储空间无特殊要求。

为了满足不同的物联网之间的大规模,异构化,动态化的分布式物联网环境。设计研发了分布式可信管理中心，各个节点管理中心是对本网络域内的IoT计算节点的TSB可信软件基、可信根进行策略、基准、日志统一管理的平台，同时也是基于可信数据的服务平台，能够提供可信状态评估支撑可信连接，基于可信日志数据进行数据分析挖掘，呈现可信态势提供可信服务以增强可信计算节点的免疫能力。

基于双体系架构保障计算全程可测可控

基于计算与安全防护并行的主动免疫双体系防御架构，防护部件可主动访问计算部件的所有资源（如存储、I/O等），而计算部件无法访问防护部件的资源，双方只能通过专用的安全通道进行交互，构建了整个主动免疫防护体系的基石，由于不向应用提供服务，极大的减少了安全的暴露面，让防御能力进一步提升，极大的增强了安全防护的能力。

基于可信计算3.0的恶意代码主动免疫防御

采用可信计算3.0主动免疫防御机制能够主动度量系统中的执行程序、执行代码、计算环境等，依据策略基于白名单保护业务程序，阻止非授权及非预期的执行程序运行，免补丁升级，免病毒、木马查杀，同时实现对已知或未知恶意代码的主动防御。

基于可信计算平台构建协同联动的整体安全防御体系

可信计算3.0的双体系架构将安全机制的度量和控制带到了前所未有的广度和深度，能够获取最真实、最底层、最广泛的信息数据，能够为综合数据分析的安全服务提供有效支撑。