完整性度量架构（IMA）引见与分析

（原文链接）完整性度量架构（IMA）引见与分析 - 软件架构设计

http://www.myexception.cn/software-architecture-design/1927411.html

完整性度量架构（IMA）介绍与分析

前言： 2004年，IBM在13th USENIXSecurity Symposium上发表文章《Design and Implementation of a TCG-based Integrity MeasurementArchitecture》，第一次提出了IMA架构。该架构通过在内核中进行patch，实现当应用程序运行、动态链接库加载、内核模块加载时，将用到的代码和关键数据（如配置文件和结构化数据）做一次度量，将度量结果扩展到PCR10，并创建与维护一个度量列表ML。当挑战者发起挑战时，将度量列表与TPM签名的PCR度量值发送给挑战者，以此来判断平台是否可信。

第1章           完整性度量介绍

可信计算的实现方案依赖于TPM。TPM拥有三个可信根：

1）可信度量根：负责对平台进行度量；

2）可信存储根：负责密钥等的存储；

3）可信报告根：将度量的结果与日志反馈给挑战者，挑战者在收到度量结果与度量日志后可进行重新计算并与预期做对比，进而验证平台是否可信。

可信计算方案的一个重要环节就是对系统平台进行完整性度量，从系统启动开始，对BIOS、grub、kernel以及操作系统启动后的应用程序等均需进行度量。TPM中使用PCR（Platform Configure Register）对度量结果进行记录。