可信平台的基本特性

在某些特定的用途里，需要一个设备的执行方式是可以信任的。
一个可信平台至少需要提供三个基本特性：保护功能，证明，完整性测量和完整性报告。
1、保护功能

1）保护和屏蔽区
保护功能是指只有拥有高级权限的命令集才可以访问屏蔽区域。
屏蔽区域是指可以对敏感数据进行安全操作的区域（如内存或寄存器），这些区域只能通过保护功能来访问。
2）TPM相关
TPM通过执行保护功能和使用屏蔽区域来保护和报告完整性测量的结果（这样的屏蔽区域称为：平台配置寄存器Platform Configuration Registers: PCR）。
TPM同时存储了用于证明完整性报告的密钥。
TPM保护功能也包括其他的安全功能如密钥管理，随机数发生器，结合系统状态对数据进行密封及其他被TCG成员认为是必要的功能。

2、证明(签名)

1）证明
证明是一个担保数据准确性的过程。通过证明，外部实体可以鉴别屏蔽区域、保护功能及根信任（Root of Trust）。
平台也可以鉴别影响平台完整性(可信度)的平台特征描述。所有形态的证明都需要提供证明的实体（attesting entity）的可信任证据。
2）证明层级
证明可以有多个层次的涵义：被TPM证明，对平台进行证明，平台提供的证明和平台的验证。
①被TPM证明
TPM对其已知的数据提供证据的过程。这个过程通过使用身份认证密钥（AIK）对TPM内部的明确数据进行数字签名来实现。验证方决定是否接受并认可数据完整性测量的结果和AIK本身的有效性。通过中立的CA或可信的证明协议可以得到AIK。
②对平台进行证明
指提供证据证明平台是可以被信任的，既其进行的完整性测量是可信的、此过程使用平台相关的证书集或证书子集，通常是提供一个AIK证书。
③平台提供的证明
提供一组平台完整性测量数据的证据的过程。这个过程通过使用TPM中的AIK对一组PCR进行数字签名实现。
④平台的验证
提供了一个声明了的平台身份的证据。声明了的身份可能与用户或其执行的任何操作有关或无关。平台的验证通过使用任何不可移植的签名密钥来实现。被鉴定了的密钥（也就是使用AIK进行签名的密钥）在可证明性上有着更多的语义。因为TPM拥有的不可移植的签名密钥的数量不受限制，因此可以被验证的身份的数量也是不受限制的。

3、完整性的测量、存储和报告

1）完整性的测量
①获得那些影响平台完整性（可信度）的平台特征的测量值；
②存储这些测量值；
③将这些测量值的信息摘要存储在PCR中。
测量的开始点称为可信测量的根。一个静态的可信测量的根开始于机器的起始状态（如上电自检）进行的测量。一个动态的可信测量的根是以一个不被信任的状态变为可信状态的测量作为起始点。
2）完整性存储
完整性测量和完整性报告的中间步骤。完整性存储包括了存储完整性测量值的日志和在PCR中存储这些测量值的信息摘要。
3）完整性报告
用于证实完整性存储的内容。
4）基本原理
一个平台可能会被允许进入任何状态，包括不必要的或是不安全的状态，但是平台不能对其是否进入或退出了这种状态进行隐瞒和修改。一个独立的进程可以对完整性的状态进行评估并据此作出正确的响应。