一文讀懂可信計算技術與產品生態(tài)

作者：國民技術時間：2022-11-30 來源：電子產品世界

加入技術交流群
- 掃碼加入
  和技術大咖面對面交流
  海量資料庫查詢

一什么是可信計算

本文引用地址：http://www.biyoush.com/article/202211/441066.htm

01 可信計算帶來哪些好處？

可信計算的基礎是“可信平臺模塊”（Trusted Platform Module，TPM），其核心是一顆密碼安全芯片，TPM可為主機提供三大可信計算基本功能：一是身份認證功能，用于賦予信息終端唯一可信身份, 確保其內部運行程序合法性, 確立互聯網終端節(jié)點可信；二是安全度量功能，從技術上保障信息終端內部軟硬件環(huán)境不被非法篡改或利用, 有效預防底層固件的蠕蟲攻擊；三是密碼服務功能，提供數據加密服務, 使云端存儲、云端數據交換等服務成為可信任的安全應用。

TPM的高安全防護等級可以有效阻止硬件設備運行BIOS級別和外設固件級別的惡意程序，有效保護具有計算能力的設備，防止非法用戶/設備訪問，并提供物理安全級別的敏感數據及密鑰加密保護，安全配置策略等。任何軟件方式的數據盜取，通信鏈路上的中間人和重放攻擊，以及本地物理現場的探針、刨片等物理攻擊方式對TPM芯片來說都不起作用。符合ISO/IEC 11889標準的TPM還支持中國商用密碼算法體系（SM2/SM3/SM4），使得在數據保護上更加安全。

02 TPM的應用場景是什么？

擁有自己的TPM應用，就不用操心防御中間人攻擊，重放攻擊，字典攻擊這些問題，即使在TPM指令的通信傳輸協議不加密的情況下，采用TPM協議也可以抵御上述網絡攻擊。有計算能力的設備都可以使用TPM，例如小型機、服務器、臺式機、筆記本、平板電腦、智能手機、打印機、手寫板、工業(yè)控制系統、電動汽車控制系統、AIoT設備等，用途非常廣泛。

03 可信計算產品開發(fā)生態(tài)如何？

目前，多個開源項目對TPM 2.0的支持顯示出ISO/IEC 11889標準強大的生命力，為新一代標準的廣泛應用奠定了基礎，也為可信應用開發(fā)提供了高端體驗。

硬件環(huán)境:

市面上許多計算平臺均已支持TPM 2.0，以微軟Surface book為例，Surface Pro 5/6/7/8/9系列已經內嵌了國民技術Z32H330TC可信計算芯片。

安全BIOS：

基于Z32H330TC的完整性安全度量機制已經集成在設備BIOS中，可以抵御badBIOS這樣的惡意攻擊。TPM2.0的BIOS驅動和TREE操作代碼可從下面的鏈接獲得：

https://svn.code.sf.net/p/edk2/code/branches/UDK2015/SecurityPkg/Tcg/

OS驅動：

Linux Kernel 4.0開始支持TPM 2.0，如Ubuntu 20.04， Fedora 等，完美支持國民技術Z32H330TC芯片。

TPM中間件：

開源項目TPM2.0-TSS實現了TPM2.0的各種API，為上層可信計算應用開發(fā)提供支撐。可從下面的鏈接獲取TPM2.0中間件資源：

https://github.com/tpm2-software/tpm2-tss

軟件工具：

開源項目TPM 2.0 Tool在TSS 2.0基礎上包裝了TPM 2.0常用的安全操作、密碼服務操作等功能，可以直接使用。TPM 2.0 Tool資源可從下面鏈接獲取：

https://github.com/tpm2-software/tpm2-tools

04 可信計算標準有哪些？

我國可信計算起步較早，國家密碼管理局于2007年12月在國密局公告第13號中發(fā)布了《可信計算密碼支撐平臺功能與接口規(guī)范》，這是我國第一個可信計算行業(yè)標準。經過10多年的發(fā)展演進，目前可信計算標準已由TCM 1.0全面向TCM 2.0演進，密標委組織制定了支撐可信計算密碼應用的機制、協議、接口的相關標準體系，包括：

GM/T 0011 可信計算可信密碼支撐平臺功能與接口規(guī)范
GM/T 0012 可信計算可信密碼模塊接口規(guī)范
GM/T 0013 可信計算可信密碼模塊接口符合性測試規(guī)范
GM/T 0058 可信計算 TCM服務模塊接口規(guī)范
GM/T 0079 可信計算平臺直接匿名證明規(guī)范
GM/T 0082 可信密碼模塊保護輪廓
GB/T 29829 信息安全技術可信計算密碼支撐平臺功能與接口規(guī)范

國際上，2015年國際可信計算組織（Trusted Computing Group，TCG）制定的TPM 2.0 Library Specification正式成為ISO/IEC 11889國際標準，并且首次在ISO國際標準中成體系支持中國密碼算法SM2/SM3/SM4。

中國可信計算產品如何認證？

可信計算相關產品屬于商用密碼產品范疇，根據市場監(jiān)管總局、國家密碼管理局聯合發(fā)布的《商用密碼產品認證目錄》，與可信計算相關的產品認證種類有三種：

可信計算密碼支撐平臺認證

在《商用密碼產品認證目錄（第一批）》中，“可信計算密碼支撐平臺”類產品依據GM/T 0011/0012/0058/0028進行認證，其中GM/T 0028《密碼模塊安全技術要求》分為安全等級1-4級進行認證。

可信密碼模塊認證

為了適應TCM標準規(guī)范由1.0向2.0升級，2022年7月市場監(jiān)管總局、國家密碼管理局發(fā)布的《商用密碼產品認證目錄（第二批）》中新增了“可信密碼模塊”產品認證種類，其依據GM/T 0028 和GM/T 0012進行認證，即所謂TCM 2.0認證。作為TPM 2.0協議的一個子集，TCM 2.0協議依據GM/T 0012測試認證。GM/T 0028則分為安全等級1-4級進行認證。

安全芯片認證

單顆芯片實現的TCM可信密碼模塊屬于密碼“安全芯片”產品認證類，在《商用密碼產品認證目錄（第一批）》中，安全芯片依據GM/T 0008-2012《安全芯片密碼檢測準則》來檢測，分為安全等級1-4級進行認證。

二可信計算在網絡身份認證中的應用

01 FIDO身份認證框架

網絡安全事件頻發(fā)，已經披露的事件不過是眾多安全事件中的冰山一角。要解決網絡安全問題，首先必須解決網絡身份可信問題，相關基礎設施必不可少。技術層面上，人或物接入網絡并與身份認證基礎設施交互時，需要分布式的身份采集／認證子系統，為個人、通信服務和其它各種類型的服務提供平臺，這些要素從技術體系上構成了網絡身份認證的框架。

快速網絡身份認證（Fast ID Online，FIDO）應用是一個用于身份認證的國際標準，FIDO通過易用的客觀物理事實如指紋、人臉、虹膜代替口令，統一分布式的認證器系統，統一開放的基于密碼算法的認證協議，基于風險策略的身份認證基礎設施，來進行可信身份認證。對于用戶來說，刷指紋、刷臉等方式訪問網絡服務，勝在用戶體驗。

那么FIDO足夠安全嗎？如何保證身份認證信息的安全性呢？這就需要可信平臺模塊（TPM）的參與了。FIDO規(guī)范定義了基于TPM形成安全環(huán)境，以保護FIDO用戶的網絡身份驗證憑據。TPM芯片是高等級的安全芯片，其安全性有足夠保障。

FIDO標準組織聯合W3C（萬維網聯盟，World Wide Web Consortium）在W3C Member Submission提交的FIDO 2.0: Key Attestation Format規(guī)范中詳細定義了基于TPM的認證器實現，這意味著所有瀏覽器都要支持基于TPM的FIDO認證協議。特別需要說明的是，基于ISO/IEC 11889可信平臺模塊應用的FIDO 2.0可以直接使用中國密碼算法SM2進行簽名驗證機制，詳情可參考下面的鏈接：

https://www.w3.org/Submission/fido-key-attestation/

02 Windows可信身份認證應用

Windows登錄使用的Microsoft Passport基于FIDO標準框架建立，同時使用了可信平臺模塊提供的FIDO認證密鑰保護機制，達到了領先的安全性水平。認證密鑰在TPM中生成，私鑰將永遠不會在物理安全芯片之外使用。

Microsoft Edge瀏覽器直接支持FIDO 2.0，W3C Web Authentication，可以直接基于TPM保護的密鑰進行FIDO協議的身份認證，為全球和中國用戶提供了一致、開放和領先的身份認證安全方案。

03 AIoT設備接入身份應用

樹莓派具有電腦的所有基本功能，可以很方便地搭建和開發(fā)出非常豐富的輕量級AIoT終端應用，是AIoT應用理想的開發(fā)平臺。其典型的應用環(huán)境包括：已成為流行ARM CPU嵌入式方案的樹莓派開發(fā)平臺；Windows 10 IoT Core操作系統；TPM 2.0可信模塊，提供全球一致的安全性；微軟Azure IoT Hub云服務，為物聯網設備提供可靠的服務端數據存儲等服務。這些都是物聯網行業(yè)主流的技術應用平臺。

在系統搭建和配置完成后，物聯網設備與云服務之間的接入身份驗證基于HMAC密碼算法完成。設備端的HMAC計算在TPM中進行，服務端對計算結果進行驗證，確認接入設備的身份，以防止設備身份假冒和釣魚等攻擊。TPM芯片是AIoT身份的理想安全載體，基于Windows IoT Core接入Azure IoT Hub云服務的物聯網設備身份應用，基本上是即插即用的，充分實現了物理硬件安全，以及端到云的物聯網設備身份可信應用。

三 國民技術可信計算產品解決方案

作為中國大陸唯一一家可信計算芯片供應商，國民技術面向全球市場提供一致化的可信計算芯片及解決方案，先后推出了全球第一款可信密碼模塊（TCM）安全芯片Z8H172T，第一款國產可信平臺模塊2.0（TPM 2.0）安全芯片Z32H320TC等產品。

目前，國民技術第三代可信計算芯片Z32H330TC以及基于Z32H330TC的可信密碼模塊（TCM）產品以高性能、高安全性、兼容國際和中國標準為核心競爭力，在全球一體化的產業(yè)鏈中被廣泛應用。產品與x86，AMD64，ARM，龍芯，申威、RISC-V等主流CPU平臺兼容，并得到了主流BIOS代碼庫的支持，與全球主要的計算機操作系統，如Windows、Linux、中國統信、中國麒麟、中國方德等操作系統無縫集成。

01 基于Z32H330TC的PCIe可信密碼模塊（TCM）

PCIe屬于高速串行點對點雙通道高帶寬傳輸，所連接的設備分配獨享通道帶寬，不共享總線帶寬，主要支持主動電源管理、錯誤報告、端對端的可靠性傳輸、熱插拔以及服務質量(QOS)等功能。PCI Express 2.0接口的TCM模塊為主機提供內置化的高集成可信密碼模塊，在工程實施的便利性上具有獨特的優(yōu)勢，該模塊使用國民技術Z32H330TC可信計算芯片。

02 基于Z32H330TC的USB可信密碼模塊（TCM）