商用电脑的新引擎——英特尔新一代vPro平台技术解析
行业观察
在第一代vPro(博锐)平台正式推出一年多后,英特尔近日又推出了第二代vPro平台技术。相对于上一代,新一代vPro平台在硬件规格上全面进行了升级,特色功能也更加完善(编注:关于第一代vPro平台技术,请参看《电脑报》2006年第18期)。
新一代vPro平台所采用的组件包括:Core 2 Duo E6550、6750或6850处理器、Intel Q35 Express芯片组(ICH9-DO南桥)、Intel 82566DM GE网卡。平台性能增强的同时,平台的功能也进一步丰富和加强,如将目前平台上具有的AMT和VT技术将分别升级到AMT 3.0和VTd(增强型VT);同时,新一代vPro平台还支持两种新型的遥控管理标准,分别称为网络服务管理和桌面移动工作组。不过,新的vPro平台最大的变化还是在安全性的提高上,其中一项为 Trusted Execution Technology(可信执行技术,以下简称TxT)尤为让人关注。
新一代vPro平台的技术亮点
1.安全性更高
提高网络和系统的安全性,如何保护企业计算机免受恶意的攻击,已经成为目前企业IT管理最重要的任务。当前纯软件解决方案并不理想,而英特尔新一代vPro平台提供的基于硬件的多层防护则相对完善。
首先借助于主动管理技术(AMT),vPro平台可以实现远程系统安全补丁的分发及安装,而且英特尔在新版AMT中加入一些基本的侦测功能,可侦测出可疑的网络流量、进而把可能造成PC感染的病源自企业网络中隔离开来。不过,新一代vPro对商业用户来说最大的亮点是支持研发代号为LaGrande的TxT技术。
TxT技术其实是使用硬件密钥和子系统来控制电脑内部的资源访问,以便决定谁或什么程序将被允许或拒绝访问这些资源。英特尔的TxT技术加入了TPM(Trusted Platform Module,可信平台模块)芯片,可以对主板芯片和处理器都提供硬件扩展,相比单一的软件方案,安全功能更加完善,性能也将更好。在这个平台中,所有的系统组件都将处于保护之下,它们包括处理器的代码执行内存区域、处理器事件处理、系统内存、芯片组路径、存储子系统、输入设备、显示输出等。
(1)程序执行保护
这项特性允许某个应用程序在一个相对独立的环境中运行,与平台上的其他程序不互相干扰,没有任何其他程序能够监视或读取在保护环境中运行的程序数据。每个以保护模式运行在保护环境中的程序将从处理器和芯片组那里获得独立的系统资源。
程序执行保护功能通过系统中名为Domain Manager的新层进行控制。Domain Manager层要想启动起来,需要CPU支持并开启TxT技术,同时芯片组也要支持TxT,最后还要一个TPM芯片。在一个支持TxT的PC系统中,你能够同时运行受保护和不受保护的程序。
(2)加密存储
这项功能主要由平台的TPM芯片来实现。TPM是一种安全密钥生成器和一种支持工业标准的加密应用编程接口的密钥缓存管理器件。TPM以硬件来生成、存储和管理密钥,并利用系统平台的余下资源来“加固”以前那些只依靠软件加密算法并将密钥存储在不安全的存储器中的许多应用。TPM可以将密钥存储在受TPM控制器及TPM防窜改电路保护的非易失性存储器中,包括存储根密钥(公密钥)、签名密钥(私密钥)及其它敏感数据等。 只有当公钥与私钥相匹配,且解密/加密的硬件环境完全相同时才能对数据进行解密。这种机制在很大程度上保护了我们的机密文件不被他人所盗用。
针对解密数据方面,集成了TPM芯片的vPro系统同样将具备解密密钥的能力。值得注意的是,TPM有一个重要功能——远程安全验证机制。该验证机制可以让本地计算机对远程计算机进行检测,通过反馈信息让用户来决定对方的计算机是否能够信任(当然远程计算机也必须支持TPM)。如果可信,就可以将机密文件发送给远方的朋友共享。
(3)输入保护
使用电脑时,用户的密码输入操作大多必须借助键盘,只要利用专门的窥探软件就可以将用户敲击键盘的活动一五一十记录下来,从中获取密码自然不是什么难事。而TxT技术可防止未授权的程序监听设备的输入操作,这些操作包括鼠标点击和键盘输入。
TxT技术在键盘/鼠标与应用程序之间建立了专用数据传输通道,有效地避免了木马程序在用户输入数据的过程中进行偷窥或窜改。除此之外,TxT技术还对输入的数据和应用程序端加密,当数据通过专用传输通道到达应用程序端的时候,只有同密码锁相匹配时才能进行解密。这种双重保护机制大大增强了数据输入端的安全性。不过该技术必须用USB接口的键盘/鼠标才能被支持。
(4)显示保护
我们都知道为了防止被他人窥探,密码一般都以“*”号显示,但在输出缓存部分,它们其实还是不加掩饰的密码数字,“偷窥者”对这部分内容进行跟踪同样可以轻易获取密码。同时,伪造登录界面是数据跟踪的另外一种表现形式,用户误以为是正常的界面而将密码信息输入,后台程序将密码截留并传递给入侵者。
针对这种情况,TxT技术的显示保护将在显卡和程序之间创建一个信任通道,在这种情况下,没有任何程序能够访问或修改送往显示器的数据。要想启动该特性,你需要使用支持该特性的显卡。
(5)受保护的图形
同键盘/鼠标的安全机制类似,TxT技术也为显卡建立了专用数据传输通道,在保护模式下运行的应用程序通过这项技术会加密它们自己的图形资源路径。所有送往显卡帧缓冲区的图形数据都会被加密,而且任何未经授权的代码均无法监视或读取这些数据。
英特尔还在TxT技术中提供一项称为“自我证明(Attestation)”的特性。该特性是一个自我监视系统,将时刻监视TxT系统是否处于正常的状态下。当然,上述的这些介绍仅仅局限在安全保护模式的硬件层面上,软件方面是由微软的Windows Vista的NGSCB技术提供支持。在NGSCB、TxT组件和应用软件三者的共同配合下,为计算机构建起安全的应用环境。
2.高性能低能耗
按照新vPro平台的要求,所有的vPro商用电脑必须采用Core2 Duo处理器,依托Core2 Duo双核CPU强大的性能提供多任务操作环境。而众所周知,低功耗是Core2 Duo处理器的优点之一,未来Intel将继续改进制造工艺,进一步降低其能耗。新处理器和芯片组的加入让vPro平台拥有更低的能耗。
这一点对企业来说是相当重要的。我们都知道,企业用户和家庭用户的要求并不是完全一样的,企业用户的计算机系统的第一要求就是安全,而家庭用户对于这一点的要求并不如企业用户那么苛刻,家庭用户通常对性能的要求会高一些。同样的,家庭用户对电脑的耗电量一般不太在意,毕竟只有一台电脑,而很多企业却很在乎能耗——因为企业中所有电脑加在一起的能耗就不能小看了,这毕竟关系到企业的运营成本。因此,新一代vPro平台加入对能耗更有效的控制,给企业带来的收益是巨大的。
新一代vPro平台路在何方?
虽然新一代vPro平台在性能、安全性上都较第一代有着很大的提高,但却有一个问题还没有解决——那就是成本!新一代vPro平台仍需要特殊的硬件来支持,而且如果不配合第三方的商用管理软件,vPro平台的特殊硬件设计同样不能发挥任何作用。
这些特殊硬件及管理软件都售价不菲,这也将使新vPro平台像上一代vPro平台一样无法克服成本过高的问题,全面采用该技术对于中国的中小企业来说似乎并不现实,往往vPro平台的软件成本就对企业的初期购买预算提出一个很高的要求,甚至超过一个人力的成本,这的确是个考验。虽然vPro平台使用的管理技术能使企业大大降低后期的管理成本,但对于设备规模不大的中小企业来说,前期资金的投入多少更让人敏感。事实上,在第一代vPro产品推出后,在商用机市场所占的比重和铺货情况似乎并不像英特尔想象的那么热烈,颇有点曲高和寡,高处不胜寒的味道。
英特尔也已经看到了这一点,因此未来在vPro平台推广上,英特尔将会一改在处理器市场上强势出击的作风,而更注重寻求与大型PC厂商的密切合作,主攻大型企业。目前像DELL、惠普、联想等一线厂商早已经加入了vPro平台化策略中,并已经取得成效。某大型PC厂商的商用电脑行销负责人说:“过去虽然有客户采购vPro电脑,但是并未真正采用其管理机制,而最近终于看到有大型企业用户指明要导入vPro电脑来作远端管理”。
而针对中小PC厂商,英特尔将偏向于根据实际情况来给这些厂商提供部分vPro技术的支持、将vPro平台的技术化整为零逐渐应用到其商用PC产品中——其实近一年来,不少二、三线PC厂商所推出的商用电脑已经或多或少融入了vPro平台的技术,当然并不是所有技术。
换个角度看,英特尔新一代vPro平台对于各大电脑厂商来说,争先推出相关新品最主要的目的绝不仅仅是抢占商用PC的市场份额,而更多的是显示自己同英特尔这个号称行业领导者的亲密关系。除此之外,想要真正放量新vPro平台产品仍需时日,未来大型企业仍将是厂商的主攻对象。