(一)可信计算发展史
- 20世纪70年代初期,James P.Anderson提出了可信系统(Trusted System)概念。早期可信研究主要集中于操作系统安全机制和容错计算(Fault-Tolerant Computing)。
- 1999年10月,由Intel、Compaq、HP、IBM和Microsoft发起成立了“可信计算平台联盟”(Trusted Computing Platform Alliance,TCPA),致力于促成新一代具有安全、信任能力的硬件运算平台。
- 2003年TCPA改组为“可信计算组织”(Trusted Computing Group,TCG)。
(二)TCG可信计算系列标准
(1)内容
- Trusted Platform Module(TPM)标准
- TCG Trusted Network Connect(TNC)标准
(2)目的
TCG试图构建一个可信计算体系结构,从硬件、BIOS、操作系统等各个层次上增强计算系统平台可信性;
TCG拟建立以安全芯片(TPM)为信任根的完整性度量机制,使计算系统平台运行对可鉴别组件完整性,防止篡改计算组件运行。
(三)技术原理
(1)过程
信任根→信任链,从信任根开始到硬件平台,到操作系统,再到应用,一级认证一级,一级信任一级,进而扩展到整个计算机系统,从而确保整个计算机系统可信。
(2)可信计算机系统构成
可信根、可信硬件平台、可信操作系统、可信应用系统
(四)可信计算平台信任根
TPM子根 | 组成 | |
1 | 可信度量根RTM | 软件模块 |
2 | 可信存储根RTS | TPM芯片+存储根密钥SRK |
3 | 可信报告根RTR | TPM芯片+根密钥EK |
(五)国产可信计算平台
可信计算密码支撑平台以密码技术为基础,实现平台自身完整性、身份可信性和数据安全性等安全功能。
平台构成:可信密码模块(TCM)+TCM服务模块(TSM)
(六)可信密码模块(TCM)
(1)作用
可信计算密码支撑平台必备关键基础部件,提供独立密码算法支撑。
(2)组成
TCM是硬件和固件集合,采用独立封装形式,或IP核方式和其他类型芯片集成方式。
(3)部分功能用途
模块 | 功能 | |
1 | I/O | TCM的输入输出硬件接口 |
2 | SMS4引擎 | 执行SMS4对称密码运算 |
3 | SM2引擎 | 产生SM2密钥对和执行SM2加/解密、签名运算 |
4 | SM3引擎 | 执行杂凑运算 |
5 | 随机数产生器 | 生成随机数 |
6 | HMAC引擎 | 基于SM3引擎来计算消息认证码 |
7 | 执行引擎 | TCM的运算执行单元 |
8 | 非易失性存储器 | 存储永久数据 |
9 | 易失性存储器 | 存储TCM运行时的临时数据 |