3-TPM核心功能.ppt

TPM核心功能 羌卫中 背景 (1) 在包括关键任务的信息系统中，我们需要保护数据，并维护和提高使用Internet的信心 传统的安全计算难以使用、并且开销很大； 可信计算提供了为保护和处理隐私和秘密数据的优化计算平台 背景 (2) 可信计算机提供了隔离环境，可以限制对在该隔离环境中被存储和使用的数据的访问； 在该隔离环境中存储和使用的数据不需要是安全的，但是系统可以保证只有在相同的环境中的应用程序可以访问该数据； 目前的状态 (1) 目前的个人计算机（和相关的设备，如PDAs、智能手机，等）具有许多根本的安全和信任问题，包括： 用户无法知道他的计算机在做什么 用户无法知道其他人在做什么 计算机消耗了越来越多的资源来扫描病毒或者攻击 用户很容易被欺骗以访问恶意虚假网站 笔记本信息的丢失 服务器信息的丢失 目前的状态 (2) 这些问题的核心是基于这样一个事实：标准个人计算机结构不是专门为安全设计的； Just as a faster car needs better brakes and seat belts, a computer used for mission critical purposes needs better protection. 可信计算的根本目标 可信计算的根本目标就是解决上述问题 核心问题: 我们如何知道系统真正地在做我们认为它在做的事情？ 最终, 这个问题可以通过修改硬件，以提供良好的信任基来实现，因为软件总是可以被改变的。 可信计算解决的攻击 可信计算的目的是解决所有的软件攻击，但只解决部分硬件攻击 Nothing can be guaranteed to resist all hardware attacks unless it is physically isolated (in a locked room, surrounded by armed guards); A ‘smartcard’ level of protection is all we can do at a reasonable price. 当前的计算环境 平台 操作系统 应用程序 恶意软件 配置（Configuration） 启动记录报告 本地报告 当挑战者要判断本地机器是否被攻陷，意味着本机有可能是不可信的。如果本机已经被攻击者控制，那么可信判断所得到的结果就会被攻击者篡改，挑战者就会受到欺骗； 所以必须借助TPM本身提供的机制来完成本地的安全报告。 启动记录报告 本地报告 PCR值是标志机器状态是否可信的标志 SEAL操作是将数据或密钥与一个或一组指定的PCR值绑定，只有当这个或这组PCR的值符合特定指定值时，这些数据和密钥才能够被释放出来。 Seal操作实际上是将数据的可访问性与机器状态绑定。操作系统或者用户能够在特定的机器状态访问某些被Seal的数据，机器状态（PCR值）改变之后数据就将无法访问。 如何进行可信的本地报告： 可以将一个机密信息绑定到PCR值来标志一个可信的启动过程 当要判断机器的启动过程是否可信，用户可以要求TPM对这条秘密信息执行Unseal操作。如果这条被Seal的机密信息能够被释放，那么就表示相应PCR值都符合期望值，进而说明启动过程是安全的。 TPM---数据保护 TPM的保护能力是唯一一组许可访问保护区域（shielded locations）的命令; 保护区域是能够安全操作敏感数据的地方（比如内存，寄存器等）。通过建立平台的保护区域，实现对敏感数据的访问授权，从而控制外部实体对这些敏感数据的访问; TPM通过实现保护能力和保护区域，以此来保护和报告完整性度量。 保护区域是一块可信平台模块中存放敏感信息的存储区；保护能力是可信平台模块提供的可以对被保护区域进行访问的功能，以命令的形式提供。 TPM---数据保护 TPM或多或少有些像智能卡，但它们之间一个显著的区别是：TPM附属了大量的非易失性存储器。所以可以存储大量与TPM相关的数据到这些非易失性存储器中。安全存储的一个目标就是利用非易失性存储器，保存一些重要的密钥和敏感数据。 TPM---数据保护 数据密封---Sealing 数据绑定---Binding 数据加密 Sealing 如果想获取M，必须先获取K，这就需要由TPM用KPRI-S对KPUB-S{VPCR-x，K}进行解密，此时，TPM检查GPCR-x的值是否与VPCR-x相等，只有在相等的情况下，TPM才提供K，否则，不提供K。 PCR寄存器组GPCR-x的值VPCR-x也称为TPM的一个状态（或一个配置），因此密封把信息M与TPM的一个状态关联了起来，只有当TPM的状态与密封时的状态相同时，才有可能把密封过的信息K{M}恢复为原来的信息M。换言之，当且仅当密封时