可信计算概念、标准与技术

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,2018/10/31,#, 2009 IBM Corporation,单击编辑标题文本格式,#, 2009 IBM Corporation,2018/10/31,单击编辑标题文本格式,单击编辑大纲文本格式,二级大纲,三级大纲,四级大纲,五级大纲,六级大纲,七级大纲,八级大纲,九级大纲,可信计算概念、标准与技术,沈晴霓 教授,北京大学,软件与微电子学院,可信计算概述,TCG,组织介绍,TCG,现有标准规范介绍,TPM,的核心功能介绍,一,.,可信计算概述,可信计算概念与需求,可信计算涵义与属性,可信计算平台架构,可信计算的机遇,一,.,可信计算概述,可信计算概念与需求,TCSEC,：可信计算机系统评估标准,分为,A/B/C/D,四类七个等级,-,D,C1,C2,B1,B2,B3,A1,CC,：公共准则,(ISO/IEC,15408),分为,EAL1, EAL2, EAL3,EAL4,EAL5,EAL6,EAL7,安全,是指采取技术和管理的安全保护手段，保护软硬件与数据不因偶然的或恶意的原因而遭受到破坏、更改、暴露。,攻击者进不去,进不去,拿不到,看不懂,改不了,窃取保密信息,看不懂,系统和信息,改不了,非授权者重要信息拿不到,瘫不成,系统工作瘫不成,赖不掉,攻击行为,赖不掉,安全保障技术与效果,标识与鉴别,访问控制,数据加密,完整性保护,可用性,资源管理,+,安全管理,安全审计,什么是可信,如果,针对某个特定的目的,，,实体的行为与预期的行为相符,，则称针对这个目的，该实体是可信的。,对建立可信计算环境的需求,商业运行、社会基础设施运行、个人越来越,依赖于,IT,计算环境,。,IT,计算环境,面临,越来越多的,安全威胁,。,安全可信问题,已经,成为,普适计算、云计算等,新型计算模式,真正,实现的瓶颈,。,现技术,因成本、可管理性、向后兼容性、性能、可移植性等问题,无法被广泛采纳,。,计算机安全攻击所造成的损失是惊人的,身份欺诈,所造成的损失在,2004,年达到了,526,亿美元,美国一年花费了,672,亿美元,对付病毒、间谍软件等,与,计算机,相关的犯罪,超过,130,次的电脑入侵将至少,5500,万美国人的,个人数据偷走,，如社会保险号和信用卡号,正在变化中的计算机安全威胁,容易受攻击的程序,（代码,bug/,缓冲区溢出,/,解析错误）,恶意程序,（间谍软件、木马程序）,错误配置的程序,（没有启用安全特性）,社会工程,（网络钓鱼）,物理上的偷窃,电子窃听,（截获邮件）,软件能够做到完全安全吗？,每千行源代码就有一个安全相关的,bug,，一个典型的千万行代码的操作系统将有上万个安全,bug,即使能够建立一个安全的软件系统，对已有操作系统,数千万行代码进行安全处理的难度很大,软件安全检测方法都可以被恶意代码绕过,，如果没有硬件支持，无法检测出系统中恶意代码,“可信计算”可以从几个方面来理解,用户的身份认证,：这是对使用者的信任,。,平台软硬件配置的正确性,：这体现了使用者对平台运行环境的信任,。,应用程序的完整性和合法性,：这体现了应用程序运行的可信,。,平台之间的可验证性,：指网络环境下平台之间的相互信任。,TCG,制定的规范中定义了可信计算的三个属性,可,鉴别,：计算机系统的用户可以确定与他们进行通信的对象身份,。,完整性,：用户确保信息能被正确传输,。,私密性,：用户相信系统能保证信息的私密性。,一,.,可信计算概述,可信计算涵义与属性,一,.,可信计算概述,可信计算平台架构,-,以,windows vista,为例,The TPM driver is provided by the TPM,manufacturer,Unlike,most drivers, it is required before the OS loads because the OS loader needs to access the TPM if it is using a secure startup mechanism. Therefore, a TPM driver is also integrated into the BIOS code.,TBS,is a component of Windows Vista,and,TBS serves,as a mediator between higher-level applications and the TPM,driver.,TSS,is the implementation,of the,TCG specification of the,TSS,TSS,provides a standard API for,interacting with,the TPM,得到产业界支持的、基于标准化,提供一个,更安全的计算环境,保护,终端用户,数据,提供,可信,的电子商务,交易,基于,硬件的信任,更多的信任,增加用户及管理员,使用因特网的,信心,降低,商业，特别是,关键行业,（金融、保险、政府、医疗）,的风险,在硬件的保护下,增加交易量和交易额,将信任扩展到任何平台,一,.,可信计算概述,可信计算的机遇,可信计算概述,TCG,组织介绍,TCG,现有标准规范介绍,TPM,的核心功能,介绍,二,. TCG,组织介绍,TCG,组织的成立,TCG,的远景目标,TCG,的解决方案,TCG,组织结构图,TCG,工作组介绍,二,. TCG,组织介绍,组织的成立,1999,年,10,月,，,由,HP,、,IBM,、,Intel,和,Microsoft,等公司牵头,组织,TCPA,（,Trusted Computing Platform Alliance,）,，发展成员约,200,家，遍布全球各大洲主力厂商,，,TCPA,专注于从计算平台体系结构上增强其安全性,。,2001,年,1,月,，,TCPA,组织,发布了,TPM,主规范（,v1.1,）,2003,年,3,月,，,改组为,TCG (Trusted Computing Group),，,同年,10,月,，,发布了,TPM,主规范（,v1.2,）,2009,年，,TCG,与,ISO/IEC,的合作,形成国际标准,ISO/IEC,11889-X: 2009,2013,年,3,月，,TCG,组织发布了,TPM,主规范（,v2.0,）,成立目的,：在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。,TCG,的使命,：发展并推动开放的、厂商中立的、多种平台间的可信计算构造单元及软件接口的业界标准规范,二,. TCG,组织介绍,远景目标,TCG,的解决方案,将平台,转变为可信计算环境,使平台能够,证明,给定的网络环境,是一个受保护的环境,在正确的平台环境下,，,秘密,才会被,释放,出来,将,TPM,作为,产品中的,可信构造块,当前应用,带有,TPM,的,PC,、,Server,、,IoT,设备,第三方软件,使用,TPM,提供数据保护、网络访问、标识管理、认证,网络产品,：,Radius,认证,服务器、病毒保护、策略管理,二,. TCG,组织介绍,解决方案,二,. TCG,组织介绍,组织结构图,TPM,工作组：,制订,TPM,规范,TSS,工作组：,为应用程序开发商提供,API,，对硬件接口进行封装，定义与,TPM,的交互接口（,如：,系统软件接口）。,在,TPM,的设计中由于考虑到成本问题，将非可信关键功能放到上层软件执行,软件栈需要完成,如下工作：,1,）,提供应用程序到,TPM,功能的入口点、,2,）,提供对,TPM,功能的同步访问、,3,）,向应用程序隐藏命令流的实现细节、,4,）,对,TPM,资源进行管理,PC,工作组、,Server,工作组、移动电话工作组等：,具体平台工作组,，,符合,TPM,规范、配合,TPM,建立信任根,各自特殊职能：,PC,是,TPM,规范的试验台，,Server,是可信基础设施的载体，移动电话（设备）是可信计算未来发展趋势,Compliance,工作组：,致力于定义适当的规范和文档，便于定义保护轮廓,PP,及其他需要的评估准则。,基础设施工作组,：,因特网及企业基础设施中符合,TCG,特定平台规范的可信平台的集成，在混合的环境下实现各种商业模式。,信任决策信息的规范化的表示与交换。,研究平台信任根、信任链、密钥生存期服务，表示它们与所有者策略之间的关系,建立一个体系结构框架、接口、元数据弥补基础设施之间的差距,TNC,子工作组,：,基础设施工作组的一个子工作组,发布一个开放的体系结构（在网络连接时或之后实施策略，各种终端节点、网络技术、策略之间可以相互交互）,发布一系列终端完整性标准。,二,. TCG,组织介绍,工作组,存储工作组,：,开发专有存储设备上的安全服务标准,外设工作组,：,标记与信任相关的外设属性、外设的各种工作环境，研究外设在多组件可信平台上的角色及影响。,虚拟平台工作组,：,致力于推广可信计算技术在虚拟化领域的应用。,工作组需要保证不修改现有使用,TPM,应用程序或者软件，保证在虚拟化平台中该应用程序或者软件仍然可以使用可信计算服务。同时,，,也需要不修改现在的,TPM,接口命令和,TPM,内部指令,，,保证,TPM,可以为上层提供,TPM,的功能。,针对虚拟化技术和可信计算技术的相结合，该工作组的工作重点在于：保证可信计算中信任关系的传递在虚拟平台可以有足够的保证；保证可信属性满足的情况下虚拟机可以在不同的平台之间自由迁移。,可信多租户基础设施工作组,(,云工作组）,:,致力于开发一个标准框架，为实际部署可信云或可信共享设施定义端到端参考模型,实现共享的基础设施、多提供商的基础设施、参考模型和实现指导、鉴定和消除现有标准间的差异等。,可信计算概述,TCG,组织介绍,TCG,现有标准规范介绍,TPM,的核心功能,介绍,三,. TCG,现有标准规范介绍,TCG,规范的设计原则,TCG,的文档路线图,TCG,现有规范介绍,安全性原则,对指定的关键安全数据进行受控的访问,可靠的度量并报告系统的安全性质,报告机制要在所有者的完全控制之下,私密性原则,设计实现时考虑私密性需求,可互操作性原则,在保证安全性的前提下，不引入新互操作障碍,数据的可移植性原则,规范的部署应该支持在数据所有权方面已建立的原则及惯例,可控性原则,所有者对属于它们的,TCG,功能的使用及操作能够进行有效的选择和控制,易用性原则,非技术用户也可以理解和使用,TCG,功能,三,. TCG,现有标准规范介绍,TCG,规范的,设计原则,三,. TCG,现有标准规范介绍,TCG,的文档路线图,TCG,体系结构规范,从,TCG,技术的应用场景、以,TPM,为中心的,TCG,技术的体系结构、产品的评估模型、生产要求几方面,，,对,TCG,技术进行了概括性的介绍。,有效的弥补了,TPM,规范过分注重细节、可读性差的缺点,作者是,TPM,规范的主要作者，所以“体系结构” 还是以,TPM,为中心。,TPM,主规范,给出,TPM,的基本概念及与,TPM,功能相关的一般信息。,对于与特定平台相关的功能在特定平台规范中定义。,包括,4,个部分：“设计理念”、“,TPM,结构”、“,TPM,命令”、“,Compliance”,（,CC,保护轮廓）,规范通过具体技术细节的描述，为用户展现,TPM,的功能。,TSS,规范,定义了应用程序层次,TCG,软件栈的分层结构及关键数据结构，然后分,TPM,驱动程序接口、,TSS,核心服务接口、,TCG,服务提供者接口定义了不同层次软件之间的标准接口,。,该规范的出发点还是以,TPM,为中心的,。,实际上在操作系统层次也可以或者说需要使用一些,TPM,功能，这个层次的接口本规范没有涉及,。,三,. TCG,现有标准规范介绍,现有,规范介绍,PC,客户平台规范,PC,客户机,TPM,接口规范（,TIS,）：考虑,PC,机的特点，对安装在,PC,机上的,TPM,需要满足的要求进行了补充,TCG,针对传统,BIOS,型,PC,客户机的实现规范：操作系统前状态到操作系统状态转换中,PCR,寄存器的使用、,BIOS,或其他组件如何作为,CRTM,（度量的核心信任根）、,BIOS,执行,TCG,子系统功能时,BIOS,的编程接口。在上电、有电期间、掉电及初始化状态的行为等,服务器规范,是服务器的总体规范，内容包括：在,server,环境中用到的专用术语总结、,server,平台的,TPM,需求、针对,server,平台的主规范分析、,server,环境下,TBB,的定义及需求、引导过程中,PCR,的使用,具体平台还有平台特定的规范，但目前没有公开发布的具体规范,移动电话使用场景规范,定义了在移动电话环境下，针对平台完整性、设备认证、可靠,DRM,（数字产权保护）、设备个人化、安全软件下载、设备间的安全通道、移动票据、移动支付、软件使用、对用户证明平台及应用程序的完整性等需求场景,三,. TCG,现有标准规范介绍,现有规范介绍,（续）,基础设施规范,互操作参考体系结构：,为,TCG,定义的可信平台的支撑环境定义一个参考的体系结构,主要针对可信平台的生存期、可信平台的部署基础设施、实体断言签署结构、可信平台生存期内的信任状类型、私密性问题、基础设施工作组的文档路线图及构造块进行了定义。,备份与迁移服务的互操作规范,SKAE,（主体密钥证实证据）扩充：针对,X.509,增加了与基于,TCG,的安全断言的绑定,可信网络连接规范,TNC,的体系结构规范：定义可互操作的网络访问控制及授权的可信网络连接体系结构,IF-IMC,：完整性度量值收集者与,TNC,客户端之间的标准接口。,IF-IMV,：完整性度量值收集者与,TNC,服务器之间的标准接口,三,. TCG,现有标准规范介绍,现有规范介绍,（续）,可信计算概述,TCG,组织介绍,TCG,现有标准规范介绍,TPM,的核心功能,介绍,四,. TPM,的核心功能介绍,TPM,简介,TPM,体系结构,安全度量和报告,远程证实,数据保护,密钥管理,四,. TPM,的核心功能介绍,TPM,简介,基于加密技术的应用包括：,加密算法可以用于一个文件（或者一组文件），,目的是创建一个哈希值或者消息摘要作为文件的指纹。这项功能被广泛应用于数据的完整性度量，对于取证领域至关重要。,数字签名使用公钥加密和消息摘要，,目的是允许接收方可以验证他们接受消息的完整性和真实性。,敏感的用户数据可以使用加密算法来处理，,目的是保护数据的机密性。,TCG,技术的核心内容就是为计算平台提供了一整套基于,TPM,及平台中,TBB,（平台可信构造,块,=,TPM+CRTM,）,的信任建立及可信性证实方法和机制,CRTM,在最初设计可信平台架构时，,TCG,考虑到平台改造的成本和风险，,并没有将,C,RTM,集成到,TPM,内部，而是通过改造主板上的,Boot ROM,来实现的,。,在启动的最初阶段，,最先执行的一部分指令就是,CRTM,，它,负责对紧随其后执行的其他指令进行完整性度量,，,CRTM,是可信度量根,。,根据信任根的定义，,CRTM,必须是平台上的一个受保护的部件,，它必须总是按照预期的方式运作，从而能够被无条件信任。,可信平台模块,TPM,是一个拥有受保护的独立执行能力,（密码运算部件,),和小容量存储能力的,硬件芯片,。,TPM,是可信平台的核心,，,配合,CRTM,就能够实现完整性的度量和报告,。,在可信体系的三个信任根中,，,TPM,实现,的是,可信报告根,RTR,和,可信存储根,RTS,的功能。,TPM,至少需要具备四个主要功能：,对称,/,非对称加密；,安全存储；,完整性度量；和,签名认证。,数据的,非对称加密和签名认证,，是通过,RSA,算法,来实现的,。,完整性度量,则是通过高效的,SHA-1,散列算法,来完成的,。,对称加密可以使用任意算法,，既可以使用专用协处理器，也可以使用软件来完成。,受,保护的功能：,是一组命令，只有它们才能访问被屏蔽的位置,被隔离的位置：,是内存，寄存器,等，满足：,在,这些位置上操作敏感数据是安全,的,访问,数据的位置只能是受保护的功能,四,. TPM,的核心功能介绍,TPM,体系结构,实现,TPM,内部功能的关闭、停用和完全激活,用来存储永久标识,(,如,EK),以及和,TPM,相关的状态,一,个,可信散列算法实现,用于完整性,度量和签名,用来记录系统运行状态,（如内核,镜像、进程信息列表和应用的二进制可执行,程序）,负责产生各种密钥生成和签名中所需要的随机数,计算平台上,TPM,管理界面展示实例,四,. TPM,的核心功能介绍,安全度量和报告,PCR,的作用,是一个,160,比特,（,20,个字节）,的屏蔽存储位置，用来,存储离散的完整性度量值,。,共,有,24,个,PCR,：,07,用于系统启动，,815,供操作系统使用，,1623,用于动态可信根的建立。,允许,修改,PCR,值,的,两种操作：,重置操作（,Reset),：机器断电或重启之后，,PCR,的值自动重新清零。,扩展操作（,Extend,）,：它将,PCR,的当前值连接上新的度量值，再将连接后的值的,SHA-1,散列值存为,PCR,的新值，,这样做的好处：,一方面，可以用少量且固定的存储空间来存储无限数量的度量项；另一方面，迭代的连接和散列操作也使得恶意的篡改变得极其困难,。,PCRi New Value= HASH( PCRiOld value | new measurement),与,PCR,构造相关的密码哈希的性质：,一个是,顺序性,，即对,PCR,的扩展操作是不可交换的,(A-B,B-A,结果不同）；,一个是,单向性,，即给定,PCR,值，攻击者要想确定,其,输入在计算上是不可能的,；若,不知道,PCR Old Value,或从上次复位后,PCR,的所有输入,，,不可能确定,PCR,扩展,值,。,PCR,平台配置,寄存器,完整性度量、存储、报告机制,目的,允许平台进入任何状态，但这些状态都被忠实的记录下来，供其它过程参考,完整性度量,是获得与平台完整性相关的平台特性的度量值的方法,度量值的存储,由,TPM,内的,PCR,及,TPM,外的,SML,（,Stored Measurement Log,）共同完成,完整性度量值保存在,SML,中，完整性度量值的摘要扩充到,PCR,中,完整性报告,对完整性存储的内容进行证实的过程。,信任链产生,可信报告根,（,Root of Trust for Reporting,，,RTR,）,提供密码机制对,TPM,的状态及信息进行数字签名,可信存储根,（,Root of Trust for Storage,，,RTS,）,提供密码机制保护保存在,TPM,之外的信息,(,数据和密钥,),可信度量根,（,Root of Trust for Measurement,，,RTM,）,由平台提供的对平台的状态进行度量的机制,在可信体系中，,信任链以可信根（,TPM,）为起点而建立,，在此基础上再将信任关系逐级传递到系统的各个模块，从而建立整个系统的信任关系。所以信任根必须是一个能够被信任的组件，通常,在一个可信平台中有三个可信,根,：,信任链产生,(,续）,信任链扩展流程所加载的组件顺序,可信启动过程：,以,windows vista,为例,1.,The,CRTM,takes integrity measurements of the,remaining BIOS code,. The measurements may be written to the Stored Measurement Log (SML) or recomputed,whenever needed, and a digest of this measurement is,created using,the SHA-1 hashing algorithm,. The,SHA-1 digest is,written,to PCR0,.,2.,If the CRTM determines that the measurement it has just taken is,evidence of,trustworthiness, it,passes control,of the platform,to the remaining,BIOS code,.,3.,The BIOS takes integrity measurements of the platform configuration settings, firmware,code, and the code that loads the operating system (OS,).,The,measurements may be written to the SML or recomputed,whenever needed, and digests of these measurements are created using the,SHA-1 hashing,algorithm,. The,digests are,written to the appropriate PCRs,.,4.,If the BIOS determines that the measurements it has just taken,represent evidence,of trustworthiness, it,passes control,of the platform,to,the remaining,OS loader code,.,5. Once the OS loader code executes, the next step is to pass control to the remainder of the OS. Before this can be done,the OS loader code must establish trust in the OS code,. Trust,measurements are taken against this code, and again, a digest is written to the appropriate PCR in the TPM.,6.,If the OS loader trusts the remainder of the OS based, again, on trust measurements, it,passes control to the remainder of the OS code,.,7.,Once the OS is loaded and running, it will control the TPM,. However,at times, other applications will need to utilize the TPM.,Before the OS,can transfer,control to an application, it must establish that the application code is trustworthy,. It can do this just as it did previously: It takes integrity measurements on the application code and writes a digest to the TPM.,8.,Once trust in the application has been established, the OS may,transfer control,over to it.,完整性报告,远程报告,可信平台使用,AIK,对当前平台的,PCR,值进行签名，报告给远程挑战者，以证明其平台状态的可信性,。,这一过程使用挑战,-,应,答,协议,完成,。,本地报告,借助,TPM,本身提供的,Seal,操作,（将数据或密钥与一个或一组指定的,PCR,值绑定，只有当这个或这组,PCR,值符合特定的指定值时，这些数据和密钥才能够被释放出来）来完成本地的安全报告。,当挑战者要判断本地机器是否被攻陷，意味着本机有可能是不可信的。那么本机的验证会被攻击者篡改,挑战者会受到欺骗。,四,. TPM,的核心功能介绍,远程证实,远程证实时，一个平台（挑战方）向另个平台（证实方）发送一个挑战证实的消息和一个随机数，要求获得一个或多个,PCR,值，以便对证实者的平台状态进行验证,远程证实协议,背书密钥,EK,（,Endorsement Key,）,每个,TPM,拥有唯一的,EK,TPM,出厂时,由,TPM,厂商签发,EK,证书,来,唯一标识可信平台的身份,。,身份认证密钥,AIKs,（,Attestation Identity Keys,）,TCG,规定，,EK,不直接用于身份认证，而,使用,AIK,作为,EK,的,别名,（多个）,。,TPM,使用,EK,生成,AIK,，并通过,CA,签发的,AIK,证书来完成身份认证。,要解决认证过程的匿名性（隐私性）问题,：,1,）,除,TPM,及所在平台外，任何实体不能确定,EK,与,AIK,的绑定关系,，不然获得,AIK,证书的实体就可能掌握,TPM,的,PII,（私密性标识信息）,2,）,AIK,证书只是让其他实体相信，,用,AIK,签名的信息确实来自一个可信平台，但不知道具体是哪一个,TPM,，在平台层次实现对私密性的保护。,AIK,证书的合法性, EK,和,AIK,完整性验证（本地,/,远程证实）展示实例,四,. TPM,的核心功能介绍,数据保护,用于数据安全保护的密钥分为对称密钥和非对称密钥,被保护的数据可以是任何数据,数据安全保护方式包括数据加解密、数据封装等方式。,可信平台要可信，,必须真实的报告系统的状态,，同时,不能暴露密钥,，也要尽量不能暴露,自己的身份,。数据安全保护是可信平台的核心功能之一：,通过密钥对数据采用特定的保护方式,：,存储根,密钥,(Storage,Root,Key, SRK),每个,可信计算平台只对应一个惟一的,SRK,且只保存在,TPM,中。,在,TPM,所有者获得,TPM,所有权时，在,TPM,中生成,SRK,。,以,SRK,为根，可以建立受保存的树状存储结构。,受保护的存储结构,TPM,能将大量私钥、对称密钥和数据永久地存储到一个透明、虚拟、无限制的存储空间。,安全存储,层次结构,以,SRK(,根存储密钥,),为根的树状,层次结构,只有根结点,SRK,是存储在,TPM,内部，其他所有密钥都经过父密钥加密后存储在,TPM,外部,绑定（,BINDING,）或者包装（,WRAPPING,）,用户（或者说是代表用户的应用程序或服务）创建的密钥可以,被,TPM,加密并存储在,TPM,的外部,，这个过程被称为密钥绑定或包装。,所有对密钥的请求必须交给,TPM,，由,TPM,来对密钥,解绑定,/,解包装,。,但是,用作绑定的私钥是不能泄露到,TPM,以外的,。,TPM,使用,SRK,来加密用户的密钥。,封装（,SEAL,）,除了简单的加密密钥，,TPM,还可以,把这些密钥和平台的状态的某些度量值关联起来,，如，什么软件被安装了。,只有当平台的状态一致时，,TPM,才能够解密密钥,。,当一个密钥被这样包装或者绑定起来，称为封装。,绑定（,BINDING,）,VS,封装（,SEAL,）,数据加密展示实例,秘密的类型,密钥与数据：,密钥,：指可信平台中要用到的、需要受保护的存储机制进行保护的非对称密钥,.,数据,：受保护的存储结构不对其内容进行解析的秘密，除,真正的秘密数据,外，还包括,对称密钥,（,TPM,将对称加密的任务交给,主机平台完成,，所以不对对称密钥进行解析），它们只能是受保护的,存储结构中的叶子节点,。,存储密钥与签名密钥：,存储密钥,：用来进行加密的非对称密钥，可以作为受保护的存储结构中的,非叶子节点,，可以对其它密钥进行封装保护。,签名密钥,：用来进行签名的非对称密钥，只能作为受保护存储结构的,叶子节点,。,特殊的签名密钥,AIK,：作为,SRK,的直接叶子节点,。,四,. TPM,的核心功能介绍,密钥管理,不可迁移密钥,在,TPM,中生成的密钥,，,私钥不离开,TPM,，受,TPM,完全控制,是,TPM,可鉴定的密钥,TPM,的,父密钥必须也是“,不,可,迁移,”密钥,，不能是“可迁移”密钥。,TPM,能够,区分可迁移密钥和不可迁移密钥，因此它会,拒绝迁移一个不可迁移密钥,可迁移不可鉴定密钥,在,TPM,之外生成，受,TPM,保护的密钥,。,由于其私钥在,TPM,之外存在，也,没有权威方,对它在,TPM,之外使用的可信性进行,证明,，所以对,TPM,来说，它是不可鉴定的。,可迁移可鉴定密钥,在,TPM,内部或外部生成,，,并由任何存储密钥、可迁移密钥或不可迁移密钥进行加密,。,只有当密钥的所有者授权迁移，,TPM,才会迁移一个密钥,终端用户,可以使用一个不可迁移密钥作为父密钥,，则不用担心对其子孙密钥未授权的迁移行为,如果祖先密钥发生迁移，则所有子孙密钥都同时发生迁移。,密钥是否,可,迁移,密钥管理展示实例,可信计算概述,TCG,组织介绍,TCG,现有标准规范介绍,TPM,的核心功能,介绍,相关资源,开源项目,IBM,提供的,TPM,在,linux,系统下的,Device Driver Wash,提供的,NetBSD,下的,TPM Driver,：,http:/www.citi.umich.edu/u/rwash/projects/trusted/netbsd.html,IBM,提供的,Linux,下的,TSS(TrouSerS),：, enforcer-Linux Security Module,：, Federal Institute of Technology TPM emulator,：,http:/www.infsec.ethz.ch/people/psevinc/,参考书,Trusted Computing Platforms: TCPA Technology in Context-HP,公司的研究人员出版的，内容和,TCG,的标准很接近，侧重于可信计算具体的实施细节。,Practical Guide to Trusted Computing-,主要由,IBM,的研究人员组织编撰，,2007,出版。,Trusted Computing Platform: Designs and Applications-Sean Smith, Trusted Computing-Edited by Chris Mitchell,，伦敦大学，可信计算研究类书。,Trusted Platform Module Basics: Using TPM in Embedded Systems- By Steven L. Kinney,谢谢！,