TCG体系结构概述.docx

《TCG体系结构概述.docx》由会员分享，可在线阅读，更多相关《TCG体系结构概述.docx（62页珍藏版）》请在优知文库上搜索。

1、TCG体系结构描述目录1. 本文描述范围和读者12. 什么是TCG12.1. 历史12.2. 任务12.3. 目标13. TCG的适用环境13.1. 风险管理13.2. 资源管理23.3. 电子商务23.4. 安全监控和紧急响应34. TCG体系结构34.1. 可信平台的基本特性4411.保护功能41 .1.2.证明（签名）4413 .完整性的测量、存储和报告54.2. 可信平台64.2.1. 可信平台的构建模块64.2.2. 可信边界74.2.3. 可信传递74.2.4. 完整性测量84.2.5. 完整性报告94.2.6. 通讯的端点一TPM164.2.7. 保护存储174.3. 可信平台模

2、块（TPM）部件214.3.1. 分离部件224.3.2. 通讯接口234.3.3. 防篡改（攻击）封装244.4. 安全性的考虑244.4.1. TCG保护什么？244.4.2. TCG如何保护（平台的身份信息）？254.5. TCG执行模型254.5.1. TPM的运行状态（operationalstates）25452.平台操作294.5.3. 与TPM的接口和软件服务304.6. TCG编程接口424.6.1. 命名约定424.6.2. 命令序号及排序434.6.3. TCG命令及接口的总述455. TCG安全评估模型525.6. 评估的语境5252评估的目标545.3. 评估过程55

3、5.3.1. .评估的输入555.3.2. 585.4. 认证595.4.1. 已鉴定的产品的名单595.4.2. 认证权威起源于哪里？595.5. 鉴定595.5.1. 保护profile作为安全策略605.5.2. Site-Specific（指定位置）的安全性政策605.5.3. 鉴定和证明605.6. TCG规格说明的一致性606. TPM的制造及支持的implication616.1. 抵制窜改的封装616.2. 域升级616.3. 国际密码系统的进口和出口616.4. 密钥管理基础设施617. 术语表621 .本文描述范围和读者略2 .什么是TCG2.1 .历史略22任务通过计算机

4、平台、软件和技术服务提供商的协作，共同为消费者开发出一个基于增强了可信计算能力的硬件和操作系统的计算机平台标准。2.3 .目标TCG将发表在多种计算机平台上如何建立可信计算体制的执行规范及定义，包括：体系结构、功能、界面等。对于特定的计算平台，如：PC,PDA,蜂窝电话及其他计算设备，TCG将发表更详细的执行规范。基于TCG标准的计算平台，将符合更高可信标准的功能和可靠性标准。TCG将发表评估标准和准确的平台结构作为使用了TCG技术的设备的评估尺度。（可信计算系统）在投入使用后同样需要持续的操作完整性维护以达到可信度的持续改良。TCG将推荐系统投入使用后的（改良）程序和方法。3 .TCG的适用

5、环境3.1 .风险管理风险管理的目的是尽量减少信息资源由于恶意攻击或偶然疏忽而造成的丢失或暴露。风险管理可以帮助评估和降低风险。风险管理的一个功能就是弱点评估。信息资源的拥有者希望清楚地知道他们所采用的保护资源的技术并且可以评估与此保护机制相关的弱点。TPM可信计算平台的“保护存储”技术可以用于降低信息资源丢失的风险。保护存储技术用于安全保护公、私钥和对称密钥，因为它们特别容易丢失，原因是窃取到它们就可以访问大部分的信息资源。由于TPM的“保护存储”机制是在一个孤立的子系统中实现的，密钥就可以减少受攻击的可能。TPM中保护信息资源的方法主要有：A.利用散列函数来探测完整性的丢失；B.用公钥和秘

6、密密钥加密信息以防止未经授权的信息泄漏；C.使用数字签名来验证传输的数据的正确性。由于TPM的“保护存储”机制是源于硬件的，因此可以很好的保护密钥、秘密信息和散列值。3.2 资源管理资源管理试图避免偷窃及非授权的使用计算资源。“资源跟踪”是达到资源管理的有效手段。TPM允许资源管理者设置一个可信计算平台的所有权，从而控制用户执行作业的权限。通过对所有权的控制，TPM可以用于产生并保护系统资源的一致性，资源的致性是不能物理删除或替换的。同时，我们可以建立资源数据库，从而保证平台的资源信息具有更高的可靠性。在可信平台上，即便信息资源丢失，偷窃者也不能获得对信息资源的访问权，也就不能通过使用或传递这

7、些信息资源而获益。3.3 电子商务在电子商务中，消费者的诚实度和供应商的可信度是非常重要的因素。如果一个交易顺利完成，则供应商的信任度和消费者的诚实度可以得到确认。这样，如果消费者和供应商都能够重新获得他们正确交易时的文本资料，相互的新的交易就更可能发生。TPM可信计算平台提供了确认一个e-commerce的交易文本的能力。消费者可以确认进行交易时需要选择的参数，而供应商可以通过动态验证其与消费者进行联系时的交易文本，就可以确认消费者的本次消费是重复消费并且信任由消费者管理的属性。TPM可以通过报告平台配置的信息来完成此功能，该信息可以用于确定消费者的联系上下文。该报告是通过加密算法来验证的，

8、因此双方都可以确认电子商务交易是基于先前建立的联系。3.4 安全监控和紧急响应it管理者花费大量的时间应付病毒和窃取，紧急响应的队伍必须快速反应来隔离和修复易感染的系统。他们经常需要检查连接在系统中的所有设置和构造以确定哪个系统被修改了。TPM可以保证每个计算机以可信的方式报告其配置参数。平台的引导进程可以进而通过TPM测试系统中的每个器件（软、硬件）并且在TPM内部的PCR中安全保存测量结果。紧急响应的人员可以使用这些测量数据判断哪些计算机更易被病毒攻击；IT管理者可以安装使用TPM中PCR的系统进程，用于在系统引导阶段判断不安全的配置，从而避免由于疏忽进入不安全的模式。4 .TCG体系结构

9、作为例子,本文定义了一个一般的TCG体系结构，也称为“参考体系结构”o例如：图47显示了一个PC上使用的参考体系结构。参考体系结构用于讨论和阐述各种TCG概念。图4-1所示的PC、PDA、蜂窝电话及其他计算平台的参考体系结构只是用于举例说明，不能用于特定系统的TCG结构分析或执行分析。图4-1具有可信平台模块（TPM）的PC平台参考图4.1 可信平台的基本特性在某些特定的用途里，需要一个设备的执行方式是可以信任的。一个可信平台至少需要提供三个基本特性：保护功能，证明，完整性测量和完整性报告。4.1.1. 保护功能保护功能是指只有拥有高级权限的命令集才可以访问屏蔽区域。屏蔽区域是指可以对敏感数据

10、进行安全操作的区域（如内存或寄存器），这些区域只能通过保护功能来访问。TPM通过执行保护功能和使用屏蔽区域来保护和报告完整性测量的结果（这样的屏蔽区域称为：平台配置寄存器PlatformConfigurationRegisters:PCR）0TPM同时存储了用于证明完整性报告的密钥。TPM保护功能也包括其他的安全功能如密钥管理，随机数发生器，结合系统状态对数据进行密封及其他被TCG成员认为是必要的功能。4.1 2.证明（签名）证明是一个担保数据准确性的过程。通过证明，外部实体可以鉴别屏蔽区域、保护功能及根信任（RootofTrust）o平台也J以鉴别影响平台完整性（可信度）的平台特征描述。所有

11、形态的证明都需要提供证明的实体（attestingentity）的可信任证据。证明可以有多个层次的涵义：被TPM证明，对平台进行证明，平台提供的证明和平台的验证。被MiE明是TPM对其已知的数据提供证据的过程。这个过程通过使用身份认证密钥（AlK）对TPM内部的明确数据进行数字签名来实现。验证方决定是否接受并认可数据完整性测量的结果和AIK本身的有效性。通过中立的CA或可信的证明协议可以得到AIh对垩自进任证明是指提供证据证明平台是可以被信任的，既其进行的完整性测量是可信的、此过程使用平台相关的证书集或证书子集，通常是提供一个AlK证书。垩台提供的证明是提供一组平台完整性测量数据的证据的过程。

12、这个过程通过使用TPM中的AIK对一组PCR进行数字签名实现。平台的舱证提供了一个声明了的平台身份的证据。声明了的身份可能与用户或其执行的任何操作有关或无关。平台的验证通过使用任何不可移植的签名密钥来实现。被鉴定了的密钥（也就是使用AlK进行签名的密钥）在可证明性上有着更多的语义。因为TPM拥有的不可移植的签名密钥的数量不受限制，因此可以被验证的身份的数量也是不受限制的。4.1.3. 完整性的测量、存储和报告完整性的测量由以下步骤实现：1 .获得那些影响平台完整性（可信度）的平台特征的测量值：2 .存储这些测量值；3 .将这些测量值的信息摘要存储在PCR中。测量的开始点称为可信测量的根。一个静

13、态的可信测量的根开始于机器的起始状态（如上电自检）进行的测量。一个动态的可信测量的根是以一个不被信任的状态变为可信状态的测量作为起始点。完整性存储是完整性测量和完整性报告的中间步骤。完整性存储包括了存储完整性测量值的日志和在PCR中存储这些测量值的信息摘要。完整性报告用于证实完整性存储的内容。完整性测量、存储和报告的基本原理是：一个平台可能会被允许进入任何状态，包括不必要的或是不安全的状态，但是平台不能对其是否进入或退出了这种状态进行隐瞒和修改。一个独立的进程可以对完整性的状态进行评估并据此作出正确的响应。4.2 可信平台在TCG系统中，根信任是那些必须给予信任的部分，因为这些部分的不良性能是

14、无法被检测到的。一个完整的根信任集合至少要包含用于描述影响平台可信度的平台特征的功能。一个可信平台上，应该包含三个根信任：用于测量的根信任（RTM）；用于存储的根信任（RTS）；用于报告的根信任（RTR）；RTM是一个有能力进行初始的、可靠的完整性测量的计算引擎。典型的如：受控于核心根信任测量（CRTM）的常规计算引擎。当CRTM作为RTM运行时，是平台上执行的一串指令。RTM同时也作为信任传递链的根（参见4.2.3节）。RTS是能够保存完整性信息摘要的正确记录和信息摘要序列的计算部件。RTR是能正确报告RTS所保存信息的可靠性的计算部件。在没有外部监督的情况下，每一个根都应是可信的。对于根信

15、任的可信度可以通过不同的途径进行评估来保证，但首先应包括有能力的专家的评估。42.1.可信平台的构建模块可信构建模块（TrustedBuiIdingBlocks,TBB）是根信任中不包含屏蔽区域或保护功能的部分。一般来讲，TBB只包含了用于RTM的指令和TPM初始化的功能（复位等）。这些是不同平台所特有的。一个TBB的构成示例如图4-2,包括了CRTM,CRTM存储器在主板上的连接，TPM在主板上的连接以及判断物理存在的机制。CPU图4-2加粗的框表示了一个可信平台中的TBBTBB是可信的，意味着它的运行不会对可信平台造成危害。422.可信边界TBB和根信任的组合形成了一个可信边界，在其中可以对PC机的最小配置进行完整性的测量、存储和报告。更复杂的系统需要除了CRTM以外的RoM代码来进行测量。为此，必须建立对这些RoM代码的信任。因此，在把控制权交给这段ROM代码之前，必须先对其进行可信度测量。在可信链尚未建立之前，TBB必须建立，以保证其他的测量代码不会不经意的超出TBB的可信边界。423.可信传递可