通过强大的数字身份建立信任

对计算机和网络的攻击继续激增，尽管有大量的软件方法旨在防止这些攻击。通过基于硬件的安全性为用户和计算机系统建立强大的数字身份是超越纯软件策略的重要一步。为了向用户提供提高安全性的工具，计算机行业花费了大量精力来实现基于标准的硬件安全模块，称为受信任的平台模块（TPM）。TPM 可以使网络管理员采用更高级别的安全性，尤其是在计算机中无处不在时。

信任的根源

认识到产品和服务需要提高信任水平，几家公司成立了TCG，以制定行业标准，以保护信息资产（如数据密码，密钥等）免受外部软件攻击和物理盗窃。今天，TCG由140多家成员公司组成，涉及硬件，组件，软件，服务，网络和移动电话。建立信任的基础是 TPM 的规范，该规范于 2000 年获得批准，随后的 TPM 装运将安装在计算机中。因此，如今超过 1 亿台 Äôs 企业级 PC 都安装了 TPM。

TPM 可用性不一定导致其实现以提高安全性。Aberdeen Group 在 2008 年 2 月发布的一份报告发现，尽管目前可用的可信计算就绪设备和基础设施比例很高，但企业对可信计算和 TPM 的认识仍然相对较低。研究受访者估计，超过一半的现有台式机和笔记本电脑已经支持可信计算，超过四分之三的现有网络端点和策略实施点可以支持可信计算。

该报告建议，“为了实现一流的性能，公司应提高对可信计算模型和安全解决方案的认识，这些解决方案利用TPM，并确定利用企业中已经存在的可信计算就绪设备和基础架构的应用程序。

考虑到这一建议，以下讨论变得更加相关。TCG 定义的可信计算的基础是一个或多个安全设备的集合，这些设备可以嵌入到受信任的计算平台中。信任的基础或根是 TPM，通常是提供安全服务并在主板上安装的微控制器单元 （MCU）。但是，TPM 也可以将功能嵌入到另一个 IC 中。TPM 为密钥和证书提供受保护的存储、明确的标识、不受外部干扰的操作的屏蔽位置，以及报告其状态的方法。一个好的TPM实现很难进行虚拟或物理攻击，它使用防篡改的硬件来防止物理攻击。

与其他专有硬件安全系统相比，TPM是一种灵活的、基于标准的交钥匙解决方案，基于内部固件，不需要编程。该模块具有来自第三方认证的强大安全性，可以量化测量（例如，通用标准EAL，3 +，4 +，5 +）。

基本 TPM 功能包括使用硬件随机数生成器生成非对称密钥对、公钥签名和解密以安全地存储数据和数字机密。哈希存储、认可密钥和初始化以及管理功能提供了进一步的安全性和用户功能。最新版本的 TPM 称为 TCG 1.2 或 TPM 版本 1.2，它将传输会话、实时时钟、位置、保存和还原上下文、直接匿名证明、易失性存储和委派添加到 TPM‘Äôs 功能。

TPM 不控制事件;它只是观察和跟踪系统活动，并与非系统总线上的系统CPU进行通信。TPM’Äôs 密钥和证书功能对于强识别至关重要。

向其他行业学习

对强标识的需求已在其他应用程序中成功解决。例如，电缆调制解调器行业通过强制要求必须为其制造商分配符合 DOCSIS 1.2 规范的电缆调制解调器和 X.509 证书，解决了非法电缆调制解调器的问题。然后，电缆调制解调器证书在与电缆调制解调器终端系统或上游前端设备的身份验证握手中用作设备标识。

作为管理电缆运营商组织，总部位于科罗拉多州路易斯维尔的CableLabs已经建立了一个植根于CableLabs本身的证书层次结构。每个电缆调制解调器制造商都从 CableLabs 获取制造商证书颁发机构，该证书颁发机构用于颁发（签名）唯一的调制解调器证书。调制解调器密钥对和证书被“刻录”到调制解调器‘Äôs硬件中。

以设备证书的形式使用强大的设备身份使该行业能够向零售市场销售电缆调制解调器，允许个人消费者购买和拥有电缆调制解调器。这消除了有线电视运营商作为电缆调制解调器产品的分销渠道的需要。作为这种方法成功的证明，IEEE 802.16社区正在考虑采用有线调制解调器身份验证协议来实现WiMAX无线宽带。

热塑性弹性体检功能

从网络标识的角度来看，通过将 TPM 硬件集成到网络设备中的好处，可以通过了解 TPM’Äôs 在密钥和证书中的作用来最好地展示。五个特定领域提供了 TPM‘Äôs 功能的更详细说明：加密功能、平台配置寄存器、TPM 驻留密钥、TPM 密钥生命周期服务以及初始化和管理功能。

TPM 具有多个对称和非对称密钥加密功能，包括片上密钥对生成（使用硬件随机数生成器）、公钥加密、数字签名和哈希函数。TPM 版本 1.2 使用当前的标准算法，包括 RSA、数据加密标准 （DES）、三重数据删除 （3DES） 和安全哈希算法 （SHA）。此外，目前正在努力将套件 B 密码套件纳入下一个 TPM 规范修订版。

平台配置寄存器 （PCR） 通常用于存储哈希和扩展值，其中新的哈希值与现有哈希值（在 PCR 中）相结合，然后组合通过 TPM’Äôs 哈希函数。哈希和扩展操作的结果被放置在相同的PCR中。TPM 包括至少八个可用于存储哈希值和其他数据的寄存器。

TPM 允许将某些加密密钥定义为 TPM 驻留密钥。例如，如果特定密钥对的私钥操作始终在 TPM 内执行，则 RSA 密钥对被视为 TPM 驻留密钥。

由于具有 TPM 的计算机平台可能会遇到硬件故障和其他灾难，因此相关密钥和证书的副本必须安全且保密备份。作为 TPM 密钥生命周期服务的一部分，TCG 开发了一个备份和恢复规范，可以在平台出现故障或员工不可用时确保业务连续性服务。TCG 为定义为可迁移的密钥指定密钥迁移协议。迁移规范允许在适当的所有者授权下将某些类型的密钥和证书从一个平台转移到另一个平台，同时限制对原始 TPM 和目标 TPM 的可访问性（无需人工访问或迁移机构）。这些备份、恢复和迁移服务可以在有或没有受信任的第三方托管服务的情况下运行。

初始化和管理功能允许所有者打开和关闭功能，重置芯片，并通过强大的控件获得所有权以保护隐私。系统所有者是受信任的，必须选择加入，而用户（如果与所有者不同）可以根据需要选择退出。

可用的热塑性弹性体值

开发基于MCU的TPM的公司包括华邦电子、意法半导体、英飞凌科技和Atmel。微控制器通常采用行业标准的28引脚薄缩小外形封装（TSSOP）封装。Atmel 开发了第一个符合 TCG 规范的 TPM，在其 TPM 中使用了 AVR 8 位 RISC CPU。图 2显示了 TPM IC 中集成的常见组件的框图。

意法半导体的STA Äô ST19WP18是另一款使用8位内核的TPM，它基于最初为智能卡和其他安全应用开发的系列中的MCU。相比之下，英飞凌Aoôs TPM v1.2基于该公司的Äôs系列16位安全控制器。

TPM 使用英特尔定义的低针脚计数 （LPC） 总线，该总线位于英特尔和基于 AMD 的 PC 中。如图3所示，LPC总线将TPM连接到南桥（I/O控制器集线器）;超级I/O芯片控制串行和并行端口以及键盘和鼠标。

虽然满足 TCG 标准需要在 TPM 中提供某些功能，但通常会包含其他功能，以区分一家公司的 Äôs TPM。例如，图 2 中的通用 I/O 引脚数可以是 5 个或 6 个。Atmel 提供采用 100 kHz SMBus 双线协议的 AT97SC3203S，用于嵌入式系统，包括游戏。与 LPC 接口单元类似，SMBus 接口 TPM 采用 28 引脚 TSSOP 封装或 40 引脚四引脚扁平无引线 （QFN） 封装。除了TCG推荐的标准封装（28引脚TSSOP）外，意法半导体还提供采用4.4毫米TSSOP28封装和超小型QFN封装的ST19WP18。

图 2

图 3

对TPM‘Äôs操作的其他支持包括NTRU密码系统’Äô核心TCG软件堆栈和Wave系统‘Äô加密服务提供商，具有大使馆安全中心或大使馆信托套件。图4显示了意法半导体架构中的这些元件。其他供应商的 Äô TPM 实施也包括这些组件。

图 4

除了分立式 TPM 之外，目前还可从各种半导体供应商处获得与其他功能集成的版本。最近，与TPM相关的应用程序开发越来越受到独立软件供应商的兴趣。可信计算领域的一些领先供应商已经开始销售使用TPM的企业安全系统。

使用 TPM 密钥

根据 TPM 密钥的类型，允许不同的访问。从图 5 中自下而上计算，每个 TPM 正好有一个唯一的“内部”RSA 密钥对，称为认可密钥 （EK） 对。大多数 TPM 包括一个预编程的 EK 对，而一些实现可以在板载中自生成 EK 对。TPM 具有将 EK 对用于一组有限操作的独占能力;TPM 外部的实体或进程不能直接使用它。

图 5

对应于 EK 对的是 EK 证书。理想情况下，TPM 制造商在 TPM 中创建 EK 对，并向 TPM 颁发唯一的 EK 证书。但是，供应链中的其他实体（如 OEM 或 IT 买方）可以颁发 EK 证书。

为了向外界报告其内部状态或其寄存器的状态或内容，并有一定程度的保证，TPM 使用单独的 RSA 密钥对进行 RSA 签名。当授权所有者发出正确的命令时，此密钥对（称为证明标识密钥 （AIK） 对）也会在 TPM 内部生成。作为证明密钥对，AIK 私钥只能用于两个目的：对 TPM 内部状态报告进行签名（或证明）和签署（或认证）其他常规用途密钥。

对于强数字标识，外部世界可以使用 AIK 对将一个 TPM 与另一个 TPM 区分开来。为了在具有 TPM 的平台上保护用户的隐私，给定的 TPM 可以随时生成和操作多个 AIK 对。这允许用户指示 TPM 对不同的事务使用不同的 AIK 对，从而使窃听者难以跟踪和关联事务。

与 AIK 对对应的是 AIK 证书。AIK 证书仅由可信任的实体颁发，该实体可以查看 EK 证书，而不会泄露其详细信息。此类实体在可信计算术语中称为隐私证书颁发机构，因为它颁发 AIK 证书并维护 EK 证书信息的隐私。

TPM 允许生成和使用常规用途的 RSA 密钥对，例如用于加密和签名的密钥对。当私钥由 AIK 私钥（TPM 驻留密钥）进行数字签名时，常规用途密钥对被视为认证密钥 （CK）。根据 TPM 资源，可以使用任意数量的 CK 对。

使用适当的协议，外部实体可以验证给定的 CK 对是否驻留在 TPM 中。证明 TPM 驻留密钥的能力代表了 TPM’Äôs 吸引人的功能之一，因为与受软件保护的密钥相比，受 TPM 保护的密钥更难窃取或修改。可证明性功能允许具有 TPM 的平台上的软件应用程序与外部实体进行交易，并向该外部实体证明它正在使用的密钥驻留在 TPM 中并由 TPM 操作，从而增加该外部实体的 Äôs 信任。

为了证明 CK 对驻留在 TPM 中，TCG 为 X.509 v3 证书标准指定了特殊的证明扩展。携带 TCG 指定的 CK 公钥证明扩展的 X.509 v3 证书称为 CK 证书。为了支持广泛的部署以及与现有证书颁发机构产品和服务的兼容性，证书颁发机构（符合 RFC3280 标准）无需查看 EK 证书即可颁发 CK 证书。

保护入口点

如今，全球范围内为发现漏洞而进行的测试以及黑客和窃贼的攻击不断暴露软件、硬件和整体保护策略中的弱点。在最近的一份报告中，普林斯顿大学的研究人员认为，当他们冻结计算机的“Äôs DRAM”时，他们发现了TPM的弱点。相反，测试过程本身使系统容易受到攻击。

解密的密钥从 TPM 传递到主系统内存 （DRAM） 后，密钥可能仍完好无损。从 DRAM 内存中断开电源，而不是将系统挂起到休眠模式，提供了一种易于实现的策略，以避免未经授权的访问。这只需要使用休眠模式或关闭计算机。但是，此示例中的测试表明，不当使用会降低安全工具的有效性。

如果使用得当，TPM 可以通过其密钥和证书功能添加多个更高级别的安全功能。认识到TPM‘Äôs提供更高安全性的潜力，许多公司正在将该模块包含在其产品中。市场研究公司IDC预计，到2010年，TPM市场将增加到超过2.5亿台。如果实现，这相当于所有笔记本电脑和台式机的90%以上的连接率。利用 TPM 在提供网络入口点的位置（如手机和 PDA）建立强大的设备标识，将增加进一步的保护，并为黑客和窃贼关闭后门。

审核编辑：郭婷