通過強大的數字身份建立信任

對計算機和網絡的攻擊繼續激增，盡管有大量的軟件方法旨在防止這些攻擊。通過基于硬件的安全性為用戶和計算機系統建立強大的數字身份是超越純軟件策略的重要一步。為了向用戶提供提高安全性的工具，計算機行業花費了大量精力來實現基于標準的硬件安全模塊，稱為受信任的平臺模塊（TPM）。TPM 可以使網絡管理員采用更高級別的安全性，尤其是在計算機中無處不在時。

信任的根源

認識到產品和服務需要提高信任水平，幾家公司成立了TCG，以制定行業標準，以保護信息資產（如數據密碼，密鑰等）免受外部軟件攻擊和物理盜竊。今天，TCG由140多家成員公司組成，涉及硬件，組件，軟件，服務，網絡和移動電話。建立信任的基礎是 TPM 的規范，該規范于 2000 年獲得批準，隨后的 TPM 裝運將安裝在計算機中。因此，如今超過 1 億臺 ??s 企業級 PC 都安裝了 TPM。

TPM 可用性不一定導致其實現以提高安全性。Aberdeen Group 在 2008 年 2 月發布的一份報告發現，盡管目前可用的可信計算就緒設備和基礎設施比例很高，但企業對可信計算和 TPM 的認識仍然相對較低。研究受訪者估計，超過一半的現有臺式機和筆記本電腦已經支持可信計算，超過四分之三的現有網絡端點和策略實施點可以支持可信計算。

該報告建議，“為了實現一流的性能，公司應提高對可信計算模型和安全解決方案的認識，這些解決方案利用TPM，并確定利用企業中已經存在的可信計算就緒設備和基礎架構的應用程序。

考慮到這一建議，以下討論變得更加相關。TCG 定義的可信計算的基礎是一個或多個安全設備的集合，這些設備可以嵌入到受信任的計算平臺中。信任的基礎或根是 TPM，通常是提供安全服務并在主板上安裝的微控制器單元 （MCU）。但是，TPM 也可以將功能嵌入到另一個 IC 中。TPM 為密鑰和證書提供受保護的存儲、明確的標識、不受外部干擾的操作的屏蔽位置，以及報告其狀態的方法。一個好的TPM實現很難進行虛擬或物理攻擊，它使用防篡改的硬件來防止物理攻擊。

與其他專有硬件安全系統相比，TPM是一種靈活的、基于標準的交鑰匙解決方案，基于內部固件，不需要編程。該模塊具有來自第三方認證的強大安全性，可以量化測量（例如，通用標準EAL，3 +，4 +，5 +）。

基本 TPM 功能包括使用硬件隨機數生成器生成非對稱密鑰對、公鑰簽名和解密以安全地存儲數據和數字機密。哈希存儲、認可密鑰和初始化以及管理功能提供了進一步的安全性和用戶功能。最新版本的 TPM 稱為 TCG 1.2 或 TPM 版本 1.2，它將傳輸會話、實時時鐘、位置、保存和還原上下文、直接匿名證明、易失性存儲和委派添加到 TPM‘??s 功能。

TPM 不控制事件;它只是觀察和跟蹤系統活動，并與非系統總線上的系統CPU進行通信。TPM’??s 密鑰和證書功能對于強識別至關重要。

向其他行業學習

對強標識的需求已在其他應用程序中成功解決。例如，電纜調制解調器行業通過強制要求必須為其制造商分配符合 DOCSIS 1.2 規范的電纜調制解調器和 X.509 證書，解決了非法電纜調制解調器的問題。然后，電纜調制解調器證書在與電纜調制解調器終端系統或上游前端設備的身份驗證握手中用作設備標識。

作為管理電纜運營商組織，總部位于科羅拉多州路易斯維爾的CableLabs已經建立了一個植根于CableLabs本身的證書層次結構。每個電纜調制解調器制造商都從 CableLabs 獲取制造商證書頒發機構，該證書頒發機構用于頒發（簽名）唯一的調制解調器證書。調制解調器密鑰對和證書被“刻錄”到調制解調器‘??s硬件中。

以設備證書的形式使用強大的設備身份使該行業能夠向零售市場銷售電纜調制解調器，允許個人消費者購買和擁有電纜調制解調器。這消除了有線電視運營商作為電纜調制解調器產品的分銷渠道的需要。作為這種方法成功的證明，IEEE 802.16社區正在考慮采用有線調制解調器身份驗證協議來實現WiMAX無線寬帶。

熱塑性彈性體檢功能

從網絡標識的角度來看，通過將 TPM 硬件集成到網絡設備中的好處，可以通過了解 TPM’??s 在密鑰和證書中的作用來最好地展示。五個特定領域提供了 TPM‘??s 功能的更詳細說明：加密功能、平臺配置寄存器、TPM 駐留密鑰、TPM 密鑰生命周期服務以及初始化和管理功能。

TPM 具有多個對稱和非對稱密鑰加密功能，包括片上密鑰對生成（使用硬件隨機數生成器）、公鑰加密、數字簽名和哈希函數。TPM 版本 1.2 使用當前的標準算法，包括 RSA、數據加密標準 （DES）、三重數據刪除 （3DES） 和安全哈希算法 （SHA）。此外，目前正在努力將套件 B 密碼套件納入下一個 TPM 規范修訂版。

平臺配置寄存器 （PCR） 通常用于存儲哈希和擴展值，其中新的哈希值與現有哈希值（在 PCR 中）相結合，然后組合通過 TPM’??s 哈希函數。哈希和擴展操作的結果被放置在相同的PCR中。TPM 包括至少八個可用于存儲哈希值和其他數據的寄存器。

TPM 允許將某些加密密鑰定義為 TPM 駐留密鑰。例如，如果特定密鑰對的私鑰操作始終在 TPM 內執行，則 RSA 密鑰對被視為 TPM 駐留密鑰。

由于具有 TPM 的計算機平臺可能會遇到硬件故障和其他災難，因此相關密鑰和證書的副本必須安全且保密備份。作為 TPM 密鑰生命周期服務的一部分，TCG 開發了一個備份和恢復規范，可以在平臺出現故障或員工不可用時確保業務連續性服務。TCG 為定義為可遷移的密鑰指定密鑰遷移協議。遷移規范允許在適當的所有者授權下將某些類型的密鑰和證書從一個平臺轉移到另一個平臺，同時限制對原始 TPM 和目標 TPM 的可訪問性（無需人工訪問或遷移機構）。這些備份、恢復和遷移服務可以在有或沒有受信任的第三方托管服務的情況下運行。

初始化和管理功能允許所有者打開和關閉功能，重置芯片，并通過強大的控件獲得所有權以保護隱私。系統所有者是受信任的，必須選擇加入，而用戶（如果與所有者不同）可以根據需要選擇退出。

可用的熱塑性彈性體值

開發基于MCU的TPM的公司包括華邦電子、意法半導體、英飛凌科技和Atmel。微控制器通常采用行業標準的28引腳薄縮小外形封裝（TSSOP）封裝。Atmel 開發了第一個符合 TCG 規范的 TPM，在其 TPM 中使用了 AVR 8 位 RISC CPU。圖 2顯示了 TPM IC 中集成的常見組件的框圖。

意法半導體的STA ?? ST19WP18是另一款使用8位內核的TPM，它基于最初為智能卡和其他安全應用開發的系列中的MCU。相比之下，英飛凌Ao?s TPM v1.2基于該公司的??s系列16位安全控制器。

TPM 使用英特爾定義的低針腳計數 （LPC） 總線，該總線位于英特爾和基于 AMD 的 PC 中。如圖3所示，LPC總線將TPM連接到南橋（I/O控制器集線器）;超級I/O芯片控制串行和并行端口以及鍵盤和鼠標。

雖然滿足 TCG 標準需要在 TPM 中提供某些功能，但通常會包含其他功能，以區分一家公司的 ??s TPM。例如，圖 2 中的通用 I/O 引腳數可以是 5 個或 6 個。Atmel 提供采用 100 kHz SMBus 雙線協議的 AT97SC3203S，用于嵌入式系統，包括游戲。與 LPC 接口單元類似，SMBus 接口 TPM 采用 28 引腳 TSSOP 封裝或 40 引腳四引腳扁平無引線 （QFN） 封裝。除了TCG推薦的標準封裝（28引腳TSSOP）外，意法半導體還提供采用4.4毫米TSSOP28封裝和超小型QFN封裝的ST19WP18。

圖 2

圖 3

對TPM‘??s操作的其他支持包括NTRU密碼系統’??核心TCG軟件堆棧和Wave系統‘??加密服務提供商，具有大使館安全中心或大使館信托套件。圖4顯示了意法半導體架構中的這些元件。其他供應商的 ?? TPM 實施也包括這些組件。

圖 4

除了分立式 TPM 之外，目前還可從各種半導體供應商處獲得與其他功能集成的版本。最近，與TPM相關的應用程序開發越來越受到獨立軟件供應商的興趣?？尚庞嬎泐I域的一些領先供應商已經開始銷售使用TPM的企業安全系統。

使用 TPM 密鑰

根據 TPM 密鑰的類型，允許不同的訪問。從圖 5 中自下而上計算，每個 TPM 正好有一個唯一的“內部”RSA 密鑰對，稱為認可密鑰 （EK） 對。大多數 TPM 包括一個預編程的 EK 對，而一些實現可以在板載中自生成 EK 對。TPM 具有將 EK 對用于一組有限操作的獨占能力;TPM 外部的實體或進程不能直接使用它。

圖 5

對應于 EK 對的是 EK 證書。理想情況下，TPM 制造商在 TPM 中創建 EK 對，并向 TPM 頒發唯一的 EK 證書。但是，供應鏈中的其他實體（如 OEM 或 IT 買方）可以頒發 EK 證書。

為了向外界報告其內部狀態或其寄存器的狀態或內容，并有一定程度的保證，TPM 使用單獨的 RSA 密鑰對進行 RSA 簽名。當授權所有者發出正確的命令時，此密鑰對（稱為證明標識密鑰 （AIK） 對）也會在 TPM 內部生成。作為證明密鑰對，AIK 私鑰只能用于兩個目的：對 TPM 內部狀態報告進行簽名（或證明）和簽署（或認證）其他常規用途密鑰。

對于強數字標識，外部世界可以使用 AIK 對將一個 TPM 與另一個 TPM 區分開來。為了在具有 TPM 的平臺上保護用戶的隱私，給定的 TPM 可以隨時生成和操作多個 AIK 對。這允許用戶指示 TPM 對不同的事務使用不同的 AIK 對，從而使竊聽者難以跟蹤和關聯事務。

與 AIK 對對應的是 AIK 證書。AIK 證書僅由可信任的實體頒發，該實體可以查看 EK 證書，而不會泄露其詳細信息。此類實體在可信計算術語中稱為隱私證書頒發機構，因為它頒發 AIK 證書并維護 EK 證書信息的隱私。

TPM 允許生成和使用常規用途的 RSA 密鑰對，例如用于加密和簽名的密鑰對。當私鑰由 AIK 私鑰（TPM 駐留密鑰）進行數字簽名時，常規用途密鑰對被視為認證密鑰 （CK）。根據 TPM 資源，可以使用任意數量的 CK 對。

使用適當的協議，外部實體可以驗證給定的 CK 對是否駐留在 TPM 中。證明 TPM 駐留密鑰的能力代表了 TPM’??s 吸引人的功能之一，因為與受軟件保護的密鑰相比，受 TPM 保護的密鑰更難竊取或修改?？勺C明性功能允許具有 TPM 的平臺上的軟件應用程序與外部實體進行交易，并向該外部實體證明它正在使用的密鑰駐留在 TPM 中并由 TPM 操作，從而增加該外部實體的 ??s 信任。

為了證明 CK 對駐留在 TPM 中，TCG 為 X.509 v3 證書標準指定了特殊的證明擴展。攜帶 TCG 指定的 CK 公鑰證明擴展的 X.509 v3 證書稱為 CK 證書。為了支持廣泛的部署以及與現有證書頒發機構產品和服務的兼容性，證書頒發機構（符合 RFC3280 標準）無需查看 EK 證書即可頒發 CK 證書。

保護入口點

如今，全球范圍內為發現漏洞而進行的測試以及黑客和竊賊的攻擊不斷暴露軟件、硬件和整體保護策略中的弱點。在最近的一份報告中，普林斯頓大學的研究人員認為，當他們凍結計算機的“??s DRAM”時，他們發現了TPM的弱點。相反，測試過程本身使系統容易受到攻擊。

解密的密鑰從 TPM 傳遞到主系統內存 （DRAM） 后，密鑰可能仍完好無損。從 DRAM 內存中斷開電源，而不是將系統掛起到休眠模式，提供了一種易于實現的策略，以避免未經授權的訪問。這只需要使用休眠模式或關閉計算機。但是，此示例中的測試表明，不當使用會降低安全工具的有效性。

如果使用得當，TPM 可以通過其密鑰和證書功能添加多個更高級別的安全功能。認識到TPM‘??s提供更高安全性的潛力，許多公司正在將該模塊包含在其產品中。市場研究公司IDC預計，到2010年，TPM市場將增加到超過2.5億臺。如果實現，這相當于所有筆記本電腦和臺式機的90%以上的連接率。利用 TPM 在提供網絡入口點的位置（如手機和 PDA）建立強大的設備標識，將增加進一步的保護，并為黑客和竊賊關閉后門。

審核編輯：郭婷