计算域安全管理器是位于操作系统与硬件层之间运行的软件模块，它在LT模块的功能支撑下，为操作系统和应用程序提供运行环境安全隔离服务，以控制应用程序通过驱动程序直接获取另一应用程序的资源访问权限。
    计算域安全管理器可以在操作系统启动之后另行启动，在启动过程中需先清理域管理器驻留的内存区域，并校验自身的完整性，只有当完整性未被破坏时才能启动工作。计算域安全管理器的完整性度量数据存储于安全芯片的平台寄存器中。
    系统休眠时，计算域安全管理器对所有受保护的内存区域的数据进行加密后再退出，系统恢复时，对加密后的内存数据进行解密。
    处于受保护模式下的应用程序之间通过域管理程序来传递数据。
    计算域安全管理器模块的功能实现依赖硬件层的LT技术支撑，而LT模块是集合了CPU和芯片组的功能模块，利用安全芯片提供的安全服务来实现安全的硬件运算环境。LT将是未来CPU/芯片组的主流技术。
    四、可信系统安全芯片设计
    可信计算的根本目标是向用户提供完整的可信安全解决方案，其研究内容包括：系统安全芯片（TPM），安全主板，安全BIOS，安全操作系统，安全数据库，安全应用，安全可信网络接入，其中系统安全芯片（TPM）作为提供可信计算的核心部件。而基于TPM可以建立如图3所示的系统信任链传递方法。

 图3 信任传递原理

    首先，在计算系统平台的主板CRTM中设置一个信任的源头(Root of Trust)，然后按如下方法建立信任传递：
    第1步 RTM(信任度量根) 度量部件1；
    第2步 RTM 把度量值提供给JY_TPM芯片中PCR(平台配置寄存器)；
    第3步 控制传给C1；
    第4步 C1 度量部件2；
    第5步 C1 把度量值提供给PCR；
    第6步 控制传给 C2。
    按照上述步骤，就可以通过信任传递关系来建立可靠的信任链。

(责任编辑：adminadmin2008)