文章总结： 本文系统梳理可信计算技术如何重构基础设施安全建设，详细对比国际TPM与国内TCM两大标准体系。核心内容涵盖三大硬件可信根（RTM、RTS、RTR）原理、PCR寄存器链式度量机制、以及TPM2.0与TCM2.0的算法差异与合规要求。文档强调硬件可信根从芯片层面建立信任链，实现启动全流程完整性校验，为云原生业务提供底层安全基石。 综合评分： 85 文章分类： 技术标准,安全建设,解决方案,云安全,政策法规

依托可信计算重构基础设施安全建设

Daniel Daniel

dotNet安全矩阵

2026年6月8日 07:20 安徽

在小说阅读器读本章

去阅读

可信计算技术是计算机底层安全的核心基石，通过硬件锚定信任根基，解决传统通用计算机无条件信任带来的固件篡改、密钥泄露、启动劫持、内核入侵等底层安全风险。

只有从芯片、主板等硬件和 BIOS、操作系统等底层软件综合采取措施,才能有 效地提高其安全性.正是基于这一思想催生了可信计算的迅速发展。可信计算的思想源于社会，其基本思想是在计算机系统中首先建立一个信任根，再建立一条信任链，一级测量认证一级，一级信任一级,把信任关系扩大到整个计算机系统，从而确保计算机系统的可信。

当前全球形成两大可信硬件标准体系：以TCG/ISO为核心的国际TPM标准体系，以及我国自主可控的国产TCM/TPCM可信密码模块标准体系。本文系统性梳理国际TPM、国内TCM的定义、标准体系、发展沿革、核心技术架构，深度拆解三大硬件可信根核心原理，并明确中外标准的技术差异、合规要求与落地场景。

国际TPM定义规范与发展

TPM全称Trusted Platform Module，中文翻译为：可信平台模块，是由全球可信计算组织TCG联合ISO标准化定义的硬件安全组件，具备独立密码运算引擎与隔离存储资源，依托硬件可信根构建整机底层信任体系，从根源解决通用计算机底层安全缺陷。

TPM核心能力包含三大维度：一是实现平台固件、引导程序、系统软件的全链路完整性度量；二是实现密钥的硬件隔离安全存储，杜绝密钥明文泄露；三是支持平台可信状态的可验签上报，实现设备可信状态可追溯、可核验。

国际标准与组织

TPM1.2：规范由TCG在2003-2005年定稿，2009年正式纳入ISO/IEC 11889-2009国际标准，采用固化RSA+SHA1算法架构，算法体系固定不可配置，是早期PC终端主流安全方案。

TPM2.0：2014年由TCG完成规范定稿，2015年正式落地为ISO/IEC 11889:2015国际标准。该版本破除了1.2版本算法固化的短板，支持RSA、ECC、中国SM2/SM3/SM4国密算法灵活配置，兼容性、安全性、灵活性大幅提升，为当前全球通用主流标准。

TCG组织定位：全称Trusted Computing Group，是一个全球可信计算组织，是由英特尔、微软、AMD、IBM等行业巨头牵头组建的非营利产业联盟，负责制定TPM硬件指令集、接口规范、安全协议、TSS可信软件栈全套技术规则。全球所有合规TPM芯片，包含独立硬件dTPM、Intel PTT/AMD fTPM固件型TPM，均需严格遵循TCG标准实现。

TCG 规范与规则

所有合规TPM设备必须遵循TCG标准化强制规则，构成国际TPM体系的安全底线，核心规则如下：

一、三个可信根架构：设备必须内置度量根RTM、存储根RTS、报告根RTR，信任起源固化于硬件底层，无法通过软件删除、篡改、替换，从源头保障信任根基不可破坏。

二、PCR寄存器不可覆写规则：PCR寄存器仅支持哈希扩展更新，不支持直接写入、手动清零操作，系统组件一旦被篡改，PCR数值必然发生变化，实现完整性状态可溯源。TPM2.0标配24组独立PCR分区，按层级绑定BIOS、Bootloader、系统内核、上层应用，实现分层精准度量。

三、根密钥不可导出规则：EK背书密钥作为设备唯一硬件身份密钥，其私钥永久封存于TPM芯片内部，仅可在芯片内部参与签名、加密运算，禁止任何形式的明文读取、芯片导出操作。

国内TCM自主可信标准

基于国产商用密码自主研发 TCM 国标体系，全称为 Trusted Cryptography Module，中文称为可信密码模块，是国内关键基础设施的法定可信硬件标准。其中，等保三级及以上关键行业设备强制采用TCM规范，民用消费级PC可兼容国际TPM2.0标准。

依据GM/T0011、GB/T29829核心国标定义：TCM是基于国产SM2非对称加密、SM3哈希摘要、SM4分组加密算法自主设计的可信密码硬件模块，沿用国际通用的「三可信根+PCR链式度量」底层可信逻辑，但密钥架构、证书体系、硬件指令集均为完全自主设计，采用国密双证书分离机制，完全适配国内商密监管要求，是国产化设备硬件信任根的核心载体。

在TCM基础上，我国延伸迭代出TPCM，中文称为可信平台控制模块，属于可信计算3.0核心技术，在TCM密码运算能力基础上新增总线硬件主动管控能力，可直接管控CPU与固件加载流程，构建主动免疫式可信安全体系。

TCM 发展历程

1992年：由国家院士团队立项国产主动免疫可信技术研发，启动国内可信计算技术预研，奠定TPCM核心技术源头。

2006年：国家密码管理局成立可信计算密码专项组，对标国际可信架构、立足国产商密算法，正式启动TCM标准编制工作。

2007年：TCM1.0行业标准正式发布，明确SM2/SM3/SM4为TCM法定密码算法，国产第一代可信国标体系成型。

2015年：我国推动SM2/SM3/SM4国密算法成功写入TPM2.0国际ISO标准，实现国产商密技术纳入全球可信计算体系。

2022年：新版国标GB/T29829-2022正式发布，TCM2.0体系落地，兼容TCM1.0历史规范、可对接TPM2.0协议，优化密钥管理机制与动态DRTM度量能力，成为当前国产化设备主流标准。

TCM 国标合规规则

一、算法强制国产化：TCM硬件必须原生内置SM2/SM3/SM4国密算法，禁止将RSA/SHA1/AES通用算法作为基础核心算法；而国际TPM标准仅可选国密算法，无强制落地要求。

二、强制双证书密钥制度：TCM采用签名密钥、加密密钥双密钥独立证书体系，分工明确、隔离防护；TPM采用单密钥分层派生架构，无强制双证书要求。

三、硬件形态分级管控：重要基础设施或关键行业，强制采用独立硬件型TCM芯片，限制纯固件虚拟化TCM落地；民用消费领域可灵活兼容固件形态TCM。

可信计算的基础概念

关于可信的定义，参考主流文献和国内专家们的经验，大约整理有以下几种常见说法：

一、可信计算组织TCG 用实体行为的预期性来定义可信：如果它的行为总是以预期的方式,朝着预期的目标,则一个实体是可信的。

二、ISO /IEC 15408 标准定义可信为：参与计算的组件、操作或过程在任意的条件下是可预测的,并能够抵御病毒和物理干扰。

三、部分文献认为所谓可信：是指计算机系统所提供的服务是可以论证其是可信赖的，这就是指从用户角度看，计算机系统所提供的服务是可信赖的，而且这种可信赖是可论证的。

四、部分学者们给出的定义：是指计算机系统所提供的服务是可靠可用的、信息和行为上是安全的，相对应的可信计算平台是能够提供可信计算服务的计算机软硬件实体,它能够提供系统的可靠性、可用性、信息和行为的安全性。

信任模型和信任根

目前,关于信任的度量理论主要有基于概率统计的可信模型、基于模糊数学的可信模型、基于主观逻辑证据理论的可信模型、基于软件行为学的可信模型等。部分学者用软件行为学来描述软件的可信性，他们认为：主体的可信性是主体行为的一种统计特性，而且是指行为的历史记录反映主体行为是否违规、越权以及超过范围等方面的统计特性。

信任根和信任链是可信计算平台的关键技术，一个可信计算机系统由可信根、可信硬件平台、可信操作系统和可信应用组成。如图所示

信任链是通过构建一个信任根，从信任根开始到硬件平台、到操作系统、再到应用，一级认证一级，一级信任一级，从而把这种信任扩展到整个计算机系统。如图所示

可信平台模块TPM便是这样一款独立于CPU、操作系统的硬件安全芯片，是整个可信计算体系的信任根。具备了独立的运算、存储能力，内置不可篡改的加密引擎、密钥存储区与平台配置寄存器，全程不依赖宿主系统运行，即便系统被完全攻陷，TPM 内部的核心数据与校验结果依然无法被篡改。如图所示

结构上由寄存器、I/O 、密码协处理器、随机数产生器和嵌入式操作系统等部件组成。可信度量存储、可信度量的报告、密钥产生、加密、签名、数据安全存储等功能。

在企业级服务器场景中，TPM 并非可选配件，而是云原生业务的标配硬件：无论是浪潮、华为等国产服务器，还是主流国际品牌服务器，出厂时均已集成 TPM2.0 芯片或国产 TCM 可信密码模块，成为服务器硬件的原生组成部分。

三个硬件可信根

依据TCG官方标准，TPM所有可信能力均非软件生成，全部起源于三大硬件固化信任根：RTM可信度量根、RTS可信存储根、RTR可信报告根。三者固化于硬件底层，构成「度量-存证-出证」的完整信任闭环，是TPM所有安全能力的底层基石。国产TCM/TPCM沿用该架构思想，在算法、密钥、管控能力上完成本土化改造。

RTM 可信度量根

RTM 全称 Root of Trust for Measurement，又被称为可信度量根核CRTM，是平台上电后首个被CPU无条件信任、优先执行的可信代码，拥有初始唯一度量权限，负责对整机固件、引导程序、系统组件进行全链路哈希完整性度量，度量结果写入PCR寄存器，是设备完整性信任的核心起源。

TCG将RTM分为SRTM静态度量根、DRTM动态度量根两类，TPM1.2仅支持SRTM，TPM2.0强制兼容双度量根。

一、SRTM静态度量根：固化于主板UEFI/BIOS ROM中，硬件烧录固化，常规软件无法篡改、覆盖。整机通电复位→CPU初始化→优先执行SRTM代码，是系统首个运行的程序。核心工作流程是 SRTM读取下一级UEFI固件镜像，完成哈希完整性运算，将结果扩展写入PCR0寄存器；仅当度量结果无异常时，才会将系统执行权移交UEFI固件，未经过度量的代码不具备运行资格，严格遵循未经度量、不可信、不可执行的开机信任规则。

二、DRTM动态度量根：TPM2.0新增核心能力，弥补SRTM仅开机一次性度量的短板，实现系统运行态实时可信监测。可在操作系统运行过程中拉起独立可信域，对内存中运行的内核程序、驱动、应用进行实时度量，同步更新对应PCR数值，精准发现开机后注入的Rootkit、恶意驱动等动态攻击行为。

RTM仅负责完整性哈希校验与度量数据生成，不承担数据存储、可信报告出具功能，所有度量结果统一交付RTS存储管控。

RTS 可信存储根

RTS 全称 Root of Trust for Storage，是TPM芯片内部独立隔离的安全存储域，管控PCR易失存储区、芯片非易失存储区，负责保管度量凭证、平台根密钥、用户派生密钥，提供密钥加密、数据密封绑定能力，是设备信任数据的硬件安全锚点。

一、PCR寄存区：是一个易失存储器，并非传统意义上的永久存储介质，而是临时存储启动链路哈希度量结果的硬件寄存器，用于持续接收RTM上传的各级度量哈希值，严格遵循哈希扩展规则，不可覆写、不可清零。

PCR数值是整机完整性状态的量化凭证，磁盘加密、密钥密封、设备可信校验均绑定PCR实时状态，断电后数据自动清空。具备 “掉电清零、重启重算、链式延展” 的等特性。

每一次服务器上电，PCR 寄存器会先完成复位清零，随后随着启动流程逐级计算、更新哈希值，全程记录启动链路每一个组件的完整性状态。只要任意一个组件被篡改，当前 PCR 值及后续所有 PCR 值都会发生根本性变化，篡改痕迹无法掩盖、无法擦除。通用启动全流程均遵循统一的度量标准，各环节与 PCR 寄存器一一对应。如图所示

PCR0 UEFI/BIOS 固件度量：服务器上电后，TPM 首先对主板 SPI 中的 BIOS 固件镜像、CPU 微码进行哈希计算，记录底层固件的完整性，这是整个信任链的起点。

PCR1 BIOS 配置与硬件初始化度量： 对 BIOS 启动顺序、硬件开关、安全策略等参数进行度量，即便仅修改 BIOS 设置，也会触发 PCR1 值变更。

PCR2 UEFI 驱动度量：对主板硬件驱动、存储或者网卡固件驱动进行完整性校验，杜绝恶意 UEFI 驱动加载。

PCR3 GRUB2 引导程序度量：UEFI 加载 Linux 系统引导程序 GRUB2 时，对 GRUB2 本体进行哈希计算，校验引导程序是否被篡改。

PCR4 Linux 内核与初始化文件系统度量：GRUB2 加载 Linux 内核和临时根文件系统时，对内核镜像、启动参数进行核心度量，这是系统层最关键的安全校验环节。

从 PCR5 至 PCR7，会继续对系统分区、启动配置等组件进行补充度量，从硬件固件到系统内核，无一例外被纳入 TPM 度量范围。任何环节的度量失败，都会导致信任链断裂，从硬件层面标记设备为不可信状态。

二、非易失寄存区：是一个持久存储器，断电数据永久保留，软件无法直接读取篡改。主要存储TPM出厂唯一EK背书密钥、EK派生的AK认证密钥、用户自定义业务密钥；支持Seal密封机制，可将敏感数据、密钥绑定指定PCR基准值，仅当设备启动链无篡改、PCR数值完全匹配时，TPM方可解密释放数据，实现环境可信则数据可用，环境篡改则数据封存。

RTS的硬件隔离存储能力，彻底解决了传统密钥、校验凭证存放于硬盘、内存易被篡改、窃取的问题，保障RTM产出的可信度量结果可落地、可留存、可复用。

RTR 可信报告根

RTR 全称 Root of Trust for Reporting，依托TPM内部签名引擎，读取RTS存储的PCR度量数值与度量日志，通过硬件可信密钥完成数字签名，生成可信报告，解决设备「自证可信」的逻辑漏洞，为本地校验、远程可信认证提供佐证。

国际TPM与国产TCM体系底层可信逻辑完全同源，均依托「硬件可信根+PCR迭代度量+逐级信任传递」的核心架构，信任从硬件底层自下而上逐级延伸，从根源解决软件层信任失效问题。

TPM 可信根作为硬件级安全基石，重构了底层安全防护体系，打破了软件防护 的传统局限。在云原生业务场景中，TPM 通过构建不可断裂的硬件信任链，实现了从服务器上电到业务运行的全流程完整性校验，成为抵御底层攻击、筑牢安全防线的核心技术。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：dotNet安全矩阵 Daniel Daniel《依托可信计算重构基础设施安全建设》