"机遇总是留给有准备的人"，浪潮可信计算体系发展历程再次印证了这个道理。棱镜门持续发酵，"没有网络安全就没有国家安全"已经上升为国家战略。近日，浪潮发布了可信云主机安全整体解决方案，这一由下而上整套"可信计算"体系的背后，是浪潮7年坚持的结晶，"七年一剑"是浪潮在"可信计算"领域千锤百炼的真实写照。

　　七年一剑浪潮可信计算体系厚积薄发

　　对于"可信计算"，浪潮集团信息安全事业部安全可信云主机产品经理刘刚认为，目前普遍认可的思路是，先在计算机系统建立一个可信的"根"，而这个可信的"根"就是通常所说的可信芯片（TPM安全芯片），可信芯片把"信任"通过BIOS、OS Loader等传递到操作系统，操作系统再把"信任"传递给应用层，最终把整个计算机系统的"信任链"建立起来。

　　"信任链"的基础是TPM安全芯片，TPM安全芯片应遵循TPM协议规范，TPM1.2规范于2006年由国际可信计算组织TCG发布推广。浪潮集团信息安全事业部副总经理蔡一兵博士介绍说，浪潮在2007开始专注可信计算，并对相关技术进行了深入和长期的研究。在2008年的时候，浪潮加入了可信计算标准活动组，2009年编制完成可信服务器规范草案。

　　今年4月份TCG正式发布TPM2.0的规范，TPM2.0对于虚拟化的支持也提出了重要的支撑点。紧随其后，浪潮采用的国民技术TPM2.0芯片也量产出来。与此同时，浪潮加入中关村可信计算联盟，任整机委员会的副理事长，主要牵头推进整机服务、可信服务器的标准和产业化的应用。

　　8月份浪潮又完成了TPM2.0可信服务器样机研发，并在9月份正式发布了该系列的两路和四路可信服务器。10月在浪潮大会上，浪潮又发布了可信云主机安全整体解决方案。2014年对可信计算的布局，可以说是顺应时势、水到渠成，期间浪潮不但完成了从产品到体系的建设，也奠定了自己在可信计算领域的地位。

　　可靠高性能 浪潮可信服务器建基于自主可信芯片

　　浪潮集团信息安全事业部总经理张东透露说，TPM2.0规范达两百多页，其实它是一个很细的系统。相应的，开发支持TPM2.O规范的服务器主板BIOS，也不是一件容易的事情。但这些难题都被浪潮解决了，经过长时间的努力以及深厚的积累，浪潮可信服务器整机最终通过了各项复杂调试。

　　浪潮可信服务器建基于TPM2.0可信芯片，该芯片获得了国家保密局的认证、算法方面符合国家的规定、由国民技术提供。采用了最新的英特尔双路和四路处理器服务器平台，在性能和扩展性等方面进行一个全面提升。为用户打造一个高安全性、高性能和高可靠性的一个服务器基础平台。

　　在国家自主可控方面浪潮可信服务器有一个很好的根基，可以对服务器底层BIOS、OS Loarder，以及硬件里面的硬盘、PCI卡还有其他的一些硬件固件做完整性的校验，已经建立起了一个完善的信任链。配合浪潮产品寿命系统、等级保护系统等，浪潮可信服务器非常适合像能源、交通这些影响面比较大的基础系统。

　　浪潮可信服务器打造可信云主机

　　以可信服务器为根基，结合SSR等应用，浪潮建立起了一整套由下而上的可信计算体系，这就是"浪潮可信云主机安全解决方案"。该方案除了硬件层面的可信"根"，还有操作系统安全、操作系统加固，虚拟化的安全可信技术等，可以防止云主机虚拟化平台被植入恶意代码。

　　云主机引入了虚拟化的安全风险，TPM2.0对虚拟化的支持将"信任链"从底层可信服务器传递到虚拟化平台，再传递到虚拟化平台上的虚拟主机以及虚拟主机中的上层应用。在这个"信任"传递的过程中，可信服务器是整个云主机安全的根基。

　　浪潮针对虚拟化平台环境开发了可信支持套件，能够实现对虚拟主机内核、虚拟主机镜像文件以及虚拟机里面运行的程序等进行完整性的度量。

　　可信计算最终保护的还是上层的应用程序，浪潮集团信息安全事业部副总经理蔡一兵博士如是说，浪潮自主研发的SSR把底层平台可信价值和安全价值扩展到了应用层面，并最终校验和保护上层的应用程序。SSR在整个可信云主机安全体系里面是很重要的，起到一个纽带的作用。

　　SSR运行在操作系统内核里面，通过可信计算平台能够保证SSR不会被篡改。并且SSR要先于其他程序启动，这样一来所有受SSR保护的程序，都有一个可靠的根基。另外，SSR还会拦截应用程序对OS的调用，应用程序无论是进程操作还是注册表操作SSR都可以进行控制。浪潮基于SSR实现了一个应用程序的安全运行环境。

　　从可信服务器到可信虚拟化、安全虚拟化还有应用安全，整个可信云主机安全体系中，一方面浪潮建立了一个以可信芯片为起点的可信平台，对传统的操作系统还有虚拟化环境都有很好的支撑，这是一个应用程序或者说业务程序运行的一个基本平台。另一方面浪潮以SSR为起点建立了应用程序的"信任链"，SSR是整个云主机安全体系的纽带，SSR把底层平台的安全特性传递到最上层的应用程序。

　　浪潮可信云主机安全平台是完整的，这种平台的完整性是可以检测的。在整个可信云主机平台里，浪潮以可信服务器为根基，建立起了从底层硬件到操作系统，再到虚拟化平台，再到虚拟化应用的完善"信任链"。如果没有可信服务器做根基，就没有虚拟化的安全，云主机安全也无从谈起。