新聞中心

EEPW首頁 > 嵌入式系統(tǒng) > 設計應用 > 一文讀懂可信計算技術(shù)與產(chǎn)品生態(tài)

一文讀懂可信計算技術(shù)與產(chǎn)品生態(tài)

作者:國民技術(shù) 時間:2022-11-30 來源:電子產(chǎn)品世界 收藏
一 什么是可信計算


本文引用地址:http://m.butianyuan.cn/article/202211/441066.htm
01 可信計算帶來哪些好處?

可信計算的基礎是“可信平臺模塊”(Trusted Platform Module,TPM),其核心是一顆密碼安全芯片,TPM可為主機提供三可信計算基本功能:一是身份認證功能,用于賦予信息終端唯一可信身份, 確保其內(nèi)部運行程序合法性, 確立互聯(lián)網(wǎng)終端節(jié)點可信;二是安全度量功能,從技術(shù)上保障信息終端內(nèi)部軟硬件環(huán)境不被非法篡改或利用, 有效預防底層固件的蠕蟲攻擊;三是密碼服務功能,提供數(shù)據(jù)加密服務, 使云端存儲、云端數(shù)據(jù)交換等服務成為可信任的安全應用。

TPM的高安全防護等級可以有效阻止硬件設備運行BIOS級別和外設固件級別的惡意程序,有效保護具有計算能力的設備,防止非法用戶/設備訪問,并提供物理安全級別的敏感數(shù)據(jù)及密鑰加密保護,安全配置策略等。任何軟件方式的數(shù)據(jù)盜取,通信鏈路上的中間人和重放攻擊,以及本地物理現(xiàn)場的探針、刨片等物理攻擊方式對TPM芯片來說都不起作用。符合ISO/IEC 11889標準的TPM還支持中國商用密碼算法體系(SM2/SM3/SM4),使得在數(shù)據(jù)保護上更加安全。

02 TPM的應用場景是什么?

擁有自己的TPM應用,就不用操心防御中間人攻擊,重放攻擊,字典攻擊這些問題,即使在TPM指令的通信傳輸協(xié)議不加密的情況下,采用TPM協(xié)議也可以抵御上述網(wǎng)絡攻擊。有計算能力的設備都可以使用TPM,例如小型機、服務器、臺式機、筆記本、平板電腦、智能手機、打印機、手寫板、工業(yè)控制系統(tǒng)、電動汽車控制系統(tǒng)、AIoT設備等,用途非常廣泛。

03 可信計算產(chǎn)品開發(fā)生態(tài)如何?

目前,多個開源項目對TPM 2.0的支持顯示出ISO/IEC 11889標準強大的生命力,為新一代標準的廣泛應用奠定了基礎,也為可信應用開發(fā)提供了高端體驗。

  • 硬件環(huán)境:

市面上許多計算平臺均已支持TPM 2.0,以微軟Surface book為例,Surface Pro 5/6/7/8/9系列已經(jīng)內(nèi)嵌了國民技術(shù)Z32H330TC可信計算芯片。

  • 安全BIOS:

基于Z32H330TC的完整性安全度量機制已經(jīng)集成在設備BIOS中,可以抵御badBIOS這樣的惡意攻擊。TPM2.0的BIOS驅(qū)動和TREE操作代碼可從下面的鏈接獲得:

https://svn.code.sf.net/p/edk2/code/branches/UDK2015/SecurityPkg/Tcg/

  • OS驅(qū)動:

Linux Kernel 4.0開始支持TPM 2.0,如Ubuntu 20.04, Fedora 等,完美支持國民技術(shù)Z32H330TC芯片。

  • TPM中間件:

開源項目TPM2.0-TSS實現(xiàn)了TPM2.0的各種API,為上層可信計算應用開發(fā)提供支撐??蓮南旅娴逆溄荧@取TPM2.0中間件資源:

https://github.com/tpm2-software/tpm2-tss

  • 軟件工具:

開源項目TPM 2.0 Tool在TSS 2.0基礎上包裝了TPM 2.0常用的安全操作、密碼服務操作等功能,可以直接使用。TPM 2.0 Tool資源可從下面鏈接獲?。?/span>

https://github.com/tpm2-software/tpm2-tools

04 可信計算標準有哪些?

我國可信計算起步較早,國家密碼管理局于2007年12月在國密局公告第13號中發(fā)布了《可信計算密碼支撐平臺功能與接口規(guī)范》,這是我國第一個可信計算行業(yè)標準。經(jīng)過10多年的發(fā)展演進,目前可信計算標準已由TCM 1.0全面向TCM 2.0演進,密標委組織制定了支撐可信計算密碼應用的機制、協(xié)議、接口的相關標準體系,包括:

  • GM/T 0011 可信計算 可信密碼支撐平臺功能與接口規(guī)范

  • GM/T 0012 可信計算 可信密碼模塊接口規(guī)范

  • GM/T 0013 可信計算 可信密碼模塊接口符合性測試規(guī)范

  • GM/T 0058 可信計算 TCM服務模塊接口規(guī)范

  • GM/T 0079 可信計算平臺直接匿名證明規(guī)范

  • GM/T 0082 可信密碼模塊保護輪廓

  • GB/T 29829 信息安全技術(shù) 可信計算密碼支撐平臺功能與接口規(guī)范

國際上,2015年國際可信計算組織(Trusted Computing Group,TCG)制定的TPM 2.0 Library Specification正式成為ISO/IEC 11889國際標準,并且首次在ISO國際標準中成體系支持中國密碼算法SM2/SM3/SM4。

05

  • 中國可信計算產(chǎn)品如何認證?

可信計算相關產(chǎn)品屬于商用密碼產(chǎn)品范疇,根據(jù)市場監(jiān)管總局、國家密碼管理局聯(lián)合發(fā)布的《商用密碼產(chǎn)品認證目錄》,與可信計算相關的產(chǎn)品認證種類有三種:

  • 可信計算密碼支撐平臺認證

在《商用密碼產(chǎn)品認證目錄(第一批)》中,“可信計算密碼支撐平臺”類產(chǎn)品依據(jù)GM/T 0011/0012/0058/0028進行認證,其中GM/T 0028《密碼模塊安全技術(shù)要求》分為安全等級1-4級進行認證。

  • 可信密碼模塊認證

為了適應TCM標準規(guī)范由1.0向2.0升級,2022年7月市場監(jiān)管總局、國家密碼管理局發(fā)布的《商用密碼產(chǎn)品認證目錄(第二批)》中新增了可信密碼模塊”產(chǎn)品認證種類,其依據(jù)GM/T 0028 和GM/T 0012進行認證,即所謂TCM 2.0認證。作為TPM 2.0協(xié)議的一個子集,TCM 2.0協(xié)議依據(jù)GM/T 0012測試認證。GM/T 0028則分為安全等級1-4級進行認證。

  • 安全芯片認證

單顆芯片實現(xiàn)的TCM可信密碼模塊屬于密碼“安全芯片”產(chǎn)品認證類,在《商用密碼產(chǎn)品認證目錄(第一批)》中,安全芯片依據(jù)GM/T 0008-2012《安全芯片密碼檢測準則》來檢測,分為安全等級1-4級進行認證。

二 可信計算在網(wǎng)絡身份認證中的應用
01 FIDO身份認證框架
網(wǎng)絡安全事件頻發(fā),已經(jīng)披露的事件不過是眾多安全事件中的冰山一角。要解決網(wǎng)絡安全問題,首先必須解決網(wǎng)絡身份可信問題,相關基礎設施必不可少。技術(shù)層面上,人或物接入網(wǎng)絡并與身份認證基礎設施交互時,需要分布式的身份采集/認證子系統(tǒng),為個人、通信服務和其它各種類型的服務提供平臺,這些要素從技術(shù)體系上構(gòu)成了網(wǎng)絡身份認證的框架。

圖片

快速網(wǎng)絡身份認證(Fast ID Online,F(xiàn)IDO)應用是一個用于身份認證的國際標準,F(xiàn)IDO通過易用的客觀物理事實如指紋、人臉、虹膜代替口令,統(tǒng)一分布式的認證器系統(tǒng),統(tǒng)一開放的基于密碼算法的認證協(xié)議,基于風險策略的身份認證基礎設施,來進行可信身份認證。對于用戶來說,刷指紋、刷臉等方式訪問網(wǎng)絡服務,勝在用戶體驗。


圖片

那么FIDO足夠安全嗎?如何保證身份認證信息的安全性呢?這就需要可信平臺模塊(TPM)的參與了。FIDO規(guī)范定義了基于TPM形成安全環(huán)境,以保護FIDO用戶的網(wǎng)絡身份驗證憑據(jù)。TPM芯片是高等級的安全芯片,其安全性有足夠保障。圖片

FIDO標準組織聯(lián)合W3C(萬維網(wǎng)聯(lián)盟,World Wide Web Consortium)在W3C Member Submission提交的FIDO 2.0: Key Attestation Format規(guī)范中詳細定義了基于TPM的認證器實現(xiàn),這意味著所有瀏覽器都要支持基于TPM的FIDO認證協(xié)議。特別需要說明的是,基于ISO/IEC 11889可信平臺模塊應用的FIDO 2.0可以直接使用中國密碼算法SM2進行簽名驗證機制,詳情可參考下面的鏈接:

https://www.w3.org/Submission/fido-key-attestation/

02 Windows可信身份認證應用

Windows登錄使用的Microsoft Passport基于FIDO標準框架建立,同時使用了可信平臺模塊提供的FIDO認證密鑰保護機制,達到了領先的安全性水平。認證密鑰在TPM中生成,私鑰將永遠不會在物理安全芯片之外使用。

圖片

Microsoft Edge瀏覽器直接支持FIDO 2.0,W3C Web Authentication,可以直接基于TPM保護的密鑰進行FIDO協(xié)議的身份認證,為全球和中國用戶提供了一致、開放和領先的身份認證安全方案。

03 AIoT設備接入身份應用

樹莓派具有電腦的所有基本功能,可以很方便地搭建和開發(fā)出非常豐富的輕量級AIoT終端應用,是AIoT應用理想的開發(fā)平臺。其典型的應用環(huán)境包括:已成為流行ARM CPU嵌入式方案的樹莓派開發(fā)平臺;Windows 10 IoT Core操作系統(tǒng);TPM 2.0可信模塊,提供全球一致的安全性;微軟Azure IoT Hub云服務,為物聯(lián)網(wǎng)設備提供可靠的服務端數(shù)據(jù)存儲等服務。這些都是物聯(lián)網(wǎng)行業(yè)主流的技術(shù)應用平臺。

圖片

在系統(tǒng)搭建和配置完成后,物聯(lián)網(wǎng)設備與云服務之間的接入身份驗證基于HMAC密碼算法完成。設備端的HMAC計算在TPM中進行,服務端對計算結(jié)果進行驗證,確認接入設備的身份,以防止設備身份假冒和釣魚等攻擊。TPM芯片是AIoT身份的理想安全載體,基于Windows IoT Core接入Azure IoT Hub云服務的物聯(lián)網(wǎng)設備身份應用,基本上是即插即用的,充分實現(xiàn)了物理硬件安全,以及端到云的物聯(lián)網(wǎng)設備身份可信應用。

國民技術(shù)可信計算產(chǎn)品解決方案

作為中國大陸唯一一家可信計算芯片供應商,國民技術(shù)面向全球市場提供一致化的可信計算芯片及解決方案,先后推出了全球第一款可信密碼模塊(TCM)安全芯片Z8H172T,第一款國產(chǎn)可信平臺模塊2.0(TPM 2.0)安全芯片Z32H320TC等產(chǎn)品。

目前,國民技術(shù)第三代可信計算芯片Z32H330TC以及基于Z32H330TC的可信密碼模塊(TCM)產(chǎn)品以高性能、高安全性、兼容國際和中國標準為核心競爭力,在全球一體化的產(chǎn)業(yè)鏈中被廣泛應用。產(chǎn)品與x86,AMD64,ARM,龍芯,申威、RISC-V等主流CPU平臺兼容,并得到了主流BIOS代碼庫的支持,與全球主要的計算機操作系統(tǒng),如Windows、Linux、中國統(tǒng)信、中國麒麟、中國方德等操作系統(tǒng)無縫集成。

圖片

01 基于Z32H330TC的PCIe可信密碼模塊(TCM)

圖片

PCIe屬于高速串行點對點雙通道高帶寬傳輸,所連接的設備分配獨享通道帶寬,不共享總線帶寬,主要支持主動電源管理、錯誤報告、端對端的可靠性傳輸、熱插拔以及服務質(zhì)量(QOS)等功能。PCI Express 2.0接口的TCM模塊為主機提供內(nèi)置化的高集成可信密碼模塊,在工程實施的便利性上具有獨特的優(yōu)勢,該模塊使用國民技術(shù)Z32H330TC可信計算芯片。

02 基于Z32H330TC的USB可信密碼模塊(TCM)

圖片

另外一種基于Z32H330TC芯片實現(xiàn)的帶USB接口的TCM模塊,可為主機提供外置式便捷、高集成的可信密碼模塊,在工程實施上具有靈活性優(yōu)勢,可適應更多應用類型。

國民技術(shù)是國際可信計算產(chǎn)業(yè)唯一來自中國的可信計算芯片供應商,產(chǎn)品及解決方案主要應用于終端計算機、服務器、網(wǎng)絡通信設備、嵌入式系統(tǒng)等領域,目前全球市場出貨數(shù)百家OEM/ODM客戶,以過硬的產(chǎn)品質(zhì)量和優(yōu)質(zhì)的服務得到全球客戶的廣泛認可。

評論


相關推薦

技術(shù)專區(qū)

關閉