中电网移动|移动中电网|高清图滚动区

一文读懂可信计算技术与产品生态

一、什么是可信计算

1.可信计算带来哪些好处?

可信计算的基础是“可信平台模块”(Trusted Platform Module,TPM),其核心是一颗密码安全芯片,TPM可为主机提供三大可信计算基本功能:一是身份认证功能,用于赋予信息终端唯一可信身份, 确保其内部运行程序合法性, 确立互联网终端节点可信;二是安全度量功能,从技术上保障信息终端内部软硬件环境不被非法篡改或利用, 有效预防底层固件的蠕虫攻击;三是密码服务功能,提供数据加密服务, 使云端存储、云端数据交换等服务成为可信任的安全应用。

TPM的高安全防护等级可以有效阻止硬件设备运行BIOS级别和外设固件级别的恶意程序,有效保护具有计算能力的设备,防止非法用户/设备访问,并提供物理安全级别的敏感数据及密钥加密保护,安全配置策略等。任何软件方式的数据盗取,通信链路上的中间人和重放攻击,以及本地物理现场的探针、刨片等物理攻击方式对TPM芯片来说都不起作用。符合ISO/IEC 11889标准的TPM还支持中国商用密码算法体系(SM2/SM3/SM4),使得在数据保护上更加安全。

2.TPM的应用场景是什么?

拥有自己的TPM应用,就不用操心防御中间人攻击,重放攻击,字典攻击这些问题,即使在TPM指令的通信传输协议不加密的情况下,采用TPM协议也可以抵御上述网络攻击。有计算能力的设备都可以使用TPM,例如小型机、服务器、台式机、笔记本、平板电脑、智能手机、打印机、手写板、工业控制系统、电动汽车控制系统、AIoT设备等,用途非常广泛。

3.可信计算产品开发生态如何?

目前,多个开源项目对TPM 2.0的支持显示出ISO/IEC 11889标准强大的生命力,为新一代标准的广泛应用奠定了基础,也为可信应用开发提供了高端体验。

硬件环境:
市面上许多计算平台均已支持TPM 2.0,以微软Surface book为例,Surface Pro 5/6/7/8/9系列已经内嵌了国民技术Z32H330TC可信计算芯片。

安全BIOS:

基于Z32H330TC的完整性安全度量机制已经集成在设备BIOS中,可以抵御badBIOS这样的恶意攻击。TPM2.0的BIOS驱动和TREE操作代码可从下面的链接获得:
https://svn.code.sf.net/p/edk2/code/branches/UDK2015/SecurityPkg/Tcg/

OS驱动:
Linux Kernel 4.0开始支持TPM 2.0,如Ubuntu 20.04, Fedora 等,完美支持国民技术Z32H330TC芯片。

TPM中间件:

开源项目TPM2.0-TSS实现了TPM2.0的各种API,为上层可信计算应用开发提供支撑。可从下面的链接获取TPM2.0中间件资源:
https://github.com/tpm2-software/tpm2-tss

软件工具:
开源项目TPM 2.0 Tool在TSS 2.0基础上包装了TPM 2.0常用的安全操作、密码服务操作等功能,可以直接使用。TPM 2.0 Tool资源可从下面链接获取:
https://github.com/tpm2-software/tpm2-tools

4.可信计算标准有哪些?

我国可信计算起步较早,国家密码管理局于2007年12月在国密局公告第13号中发布了《可信计算密码支撑平台功能与接口规范》,这是我国第一个可信计算行业标准。经过10多年的发展演进,目前可信计算标准已由TCM 1.0全面向TCM 2.0演进,密标委组织制定了支撑可信计算密码应用的机制、协议、接口的相关标准体系,包括:
GM/T 0011 可信计算 可信密码支撑平台功能与接口规范
GM/T 0012 可信计算 可信密码模块接口规范
GM/T 0013 可信计算 可信密码模块接口符合性测试规范
GM/T 0058 可信计算 TCM服务模块接口规范
GM/T 0079 可信计算平台直接匿名证明规范
GM/T 0082 可信密码模块保护轮廓
GB/T 29829 信息安全技术 可信计算密码支撑平台功能与接口规范

国际上,2015年国际可信计算组织(Trusted Computing Group,TCG)制定的TPM 2.0 Library Specification正式成为ISO/IEC 11889国际标准,并且首次在ISO国际标准中成体系支持中国密码算法SM2/SM3/SM4。

5.中国可信计算产品如何认证?

可信计算相关产品属于商用密码产品范畴,根据市场监管总局、国家密码管理局联合发布的《商用密码产品认证目录》,与可信计算相关的产品认证种类有三种:

可信计算密码支撑平台认证
在《商用密码产品认证目录(第一批)》中,“可信计算密码支撑平台”类产品依据GM/T 0011/0012/0058/0028进行认证,其中GM/T 0028《密码模块安全技术要求》分为安全等级1-4级进行认证。

可信密码模块认证

为了适应TCM标准规范由1.0向2.0升级,2022年7月市场监管总局、国家密码管理局发布的《商用密码产品认证目录(第二批)》中新增了“可信密码模块”产品认证种类,其依据GM/T 0028 和GM/T 0012进行认证,即所谓TCM 2.0认证。作为TPM 2.0协议的一个子集,TCM 2.0协议依据GM/T 0012测试认证。GM/T 0028则分为安全等级1-4级进行认证。

安全芯片认证

单颗芯片实现的TCM可信密码模块属于密码“安全芯片”产品认证类,在《商用密码产品认证目录(第一批)》中,安全芯片依据GM/T 0008-2012《安全芯片密码检测准则》来检测,分为安全等级1-4级进行认证。

二、可信计算在网络身份认证中的应用

FIDO身份认证框架

网络安全事件频发,已经披露的事件不过是众多安全事件中的冰山一角。要解决网络安全问题,首先必须解决网络身份可信问题,相关基础设施必不可少。技术层面上,人或物接入网络并与身份认证基础设施交互时,需要分布式的身份采集/认证子系统,为个人、通信服务和其它各种类型的服务提供平台,这些要素从技术体系上构成了网络身份认证的框架。


快速网络身份认证(Fast ID Online,FIDO)应用是一个用于身份认证的国际标准,FIDO通过易用的客观物理事实如指纹、人脸、虹膜代替口令,统一分布式的认证器系统,统一开放的基于密码算法的认证协议,基于风险策略的身份认证基础设施,来进行可信身份认证。对于用户来说,刷指纹、刷脸等方式访问网络服务,胜在用户体验。

那么FIDO足够安全吗?如何保证身份认证信息的安全性呢?这就需要可信平台模块(TPM)的参与了。FIDO规范定义了基于TPM形成安全环境,以保护FIDO用户的网络身份验证凭据。TPM芯片是高等级的安全芯片,其安全性有足够保障。

FIDO标准组织联合W3C(万维网联盟,World Wide Web Consortium)在W3C Member Submission提交的FIDO 2.0: Key Attestation Format规范中详细定义了基于TPM的认证器实现,这意味着所有浏览器都要支持基于TPM的FIDO认证协议。特别需要说明的是,基于ISO/IEC 11889可信平台模块应用的FIDO 2.0可以直接使用中国密码算法SM2进行签名验证机制,详情可参考下面的链接:
https://www.w3.org/Submission/fido-key-attestation/

Windows可信身份认证应用

Windows登录使用的Microsoft Passport基于FIDO标准框架建立,同时使用了可信平台模块提供的FIDO认证密钥保护机制,达到了领先的安全性水平。认证密钥在TPM中生成,私钥将永远不会在物理安全芯片之外使用。

Microsoft Edge浏览器直接支持FIDO 2.0,W3C Web Authentication,可以直接基于TPM保护的密钥进行FIDO协议的身份认证,为全球和中国用户提供了一致、开放和领先的身份认证安全方案。

AIoT设备接入身份应用

树莓派具有电脑的所有基本功能,可以很方便地搭建和开发出非常丰富的轻量级AIoT终端应用,是AIoT应用理想的开发平台。其典型的应用环境包括:已成为流行ARM CPU嵌入式方案的树莓派开发平台;Windows 10 IoT Core操作系统;TPM 2.0可信模块,提供全球一致的安全性;微软Azure IoT Hub云服务,为物联网设备提供可靠的服务端数据存储等服务。这些都是物联网行业主流的技术应用平台。

在系统搭建和配置完成后,物联网设备与云服务之间的接入身份验证基于HMAC密码算法完成。设备端的HMAC计算在TPM中进行,服务端对计算结果进行验证,确认接入设备的身份,以防止设备身份假冒和钓鱼等攻击。TPM芯片是AIoT身份的理想安全载体,基于Windows IoT Core接入Azure IoT Hub云服务的物联网设备身份应用,基本上是即插即用的,充分实现了物理硬件安全,以及端到云的物联网设备身份可信应用。

三、国民技术可信计算产品解决方案

作为中国大陆唯一一家可信计算芯片供应商,国民技术面向全球市场提供一致化的可信计算芯片及解决方案,先后推出了全球第一款可信密码模块(TCM)安全芯片Z8H172T,第一款国产可信平台模块2.0(TPM 2.0)安全芯片Z32H320TC等产品。

目前,国民技术第三代可信计算芯片Z32H330TC以及基于Z32H330TC的可信密码模块(TCM)产品以高性能、高安全性、兼容国际和中国标准为核心竞争力,在全球一体化的产业链中被广泛应用。产品与x86,AMD64,ARM,龙芯,申威、RISC-V等主流CPU平台兼容,并得到了主流BIOS代码库的支持,与全球主要的计算机操作系统,如Windows、Linux、中国统信、中国麒麟、中国方德等操作系统无缝集成。


基于Z32H330TC的PCIe可信密码模块(TCM)

PCIe属于高速串行点对点双通道高带宽传输,所连接的设备分配独享通道带宽,不共享总线带宽,主要支持主动电源管理、错误报告、端对端的可靠性传输、热插拔以及服务质量(QOS)等功能。PCI Express 2.0接口的TCM模块为主机提供内置化的高集成可信密码模块,在工程实施的便利性上具有独特的优势,该模块使用国民技术Z32H330TC可信计算芯片。

基于Z32H330TC的USB可信密码模块(TCM)

另外一种基于Z32H330TC芯片实现的带USB接口的TCM模块,可为主机提供外置式便捷、高集成的可信密码模块,在工程实施上具有灵活性优势,可适应更多应用类型。

国民技术是国际可信计算产业唯一来自中国的可信计算芯片供应商,产品及解决方案主要应用于终端计算机、服务器、网络通信设备、嵌入式系统等领域,目前全球市场出货数百家OEM/ODM客户,以过硬的产品质量和优质的服务得到全球客户的广泛认可。

猜你喜欢
中电网移动|移动中电网|频道导航区