3.1　技术原理

可信计算密码支撑平台在计算机系统中通过构建一个可信硬件模块，使计算机系统运行时支撑3个维度的安全功能，如图3-1所示。

图3-1　平台技术原理

1）建立信任链：每次计算系统一开机上电，就按照计算机系统的整个运行时序路径，对每一个即将启动运行的程序模块都要在可信硬件模块支持下进行完整性度量和校验，只有遇到完整性没有受到破坏的程序代码才能运行。通过信任链可使运行中的计算机系统从固件、操作系统、驱动程序到应用程序都是可信的，从而生成一个可信赖的计算环节，并基于此建立起计算机系统自身抵御病毒攻击的免疫机制。

2）标识平台身份：通过可信密码模块内一对特定设置的密钥，表征平台唯一性及可信性身份。

3）保护密钥：将保护数据的密钥密封在可信密码模块内，使数据保护不脱离该可信密码模块所支撑的可信计算环境。