《[信息与通信]一种新的可信平台模块》由会员分享,可在线阅读,更多相关《[信息与通信]一种新的可信平台模块(32页珍藏版)》请在金锄头文库上搜索。
1、一种新的可信平台模块一种新的可信平台模块张焕国武汉大学计算机学院空天信息安全与可信计算 教育部重点实验室目目 录录一、中国的可信计算与TCG 二、中国的可信平台模块 三、一种新的可信平台模块 四、总结 五、参考文献一一、中国的可信计算与、中国的可信计算与TCG1、在2004年前,中国的可信计算技术与产业 是独立发展的2000年武汉瑞达公司与武汉大学合作开始开发 “安全电脑”。2003年武汉瑞达公司和武汉大学开发出中国第 一款“可信平台模块”和“可信计算平台”, 并通过国家密码管理局的安全审查:J2810芯片和嵌入式安全模块ESMSQY14嵌入密码型计算机在这一阶段我们不知道有TCPA和TCG。
2、一一、中国的可信计算与、中国的可信计算与TCGJ2810芯片SQY14 嵌入密码型计算机一一、中国的可信计算与、中国的可信计算与TCG2、在这一阶段,中国的可信计算产品(ESM 和SQY14)的系统结构与主要技术路线与 TCG的技术规范是基本一致的,但也有差 异。在这些差异中既有我们的创新,也有 我们的差距。 SQY14嵌入密码型计算机嵌入密码型计算机 系统结构主板嵌入安全模块ESM; ESM控制I/O; 智能卡子系统; 安全增强的BIOS; 安全增强的LINUX。CPU北桥北桥南桥南桥RAMESM外设外设读卡器读卡器智能卡智能卡发卡系统发卡系统GPIO一、中国的可信计算与一、中国的可信计算与
3、TCG SQY14嵌入密码型计算机嵌入密码型计算机 系统功能系统功能基于智能卡和口令的用户身份认证安全增强的两级日志;可控制所有I/O口的开放与关断;数据的安全存储;防止病毒对BIOS的攻击;数据加解密;数字签名。一、中国的可信计算与一、中国的可信计算与TCG一、中国的可信计算与一、中国的可信计算与TCG TCG的可信的可信计算机结构计算机结构MCH ICH TPM BIOS CPU RAM AGP TPM is connected to the motherboard LPC 四、下一步的工作可信模块 TBB主板系统TPMCRTMCPUMEMORY固件总线OSHDFD电源CARD平台驱动应用
4、外设一一、中国的可信计算与、中国的可信计算与TCG与TCG的TCP的比较SQY14与TCG的TCP的主要结构是一致的ESMTPM密码功能基本一致ESM用GPIO与ICH连接,TCG用LPC总线,不一致SQY14的不足SQY14保护BIOS的完整性,缺少完整的信任链SQY14的创新可控制所有I/O端口的开放与关断智能卡子系统一一、中国的可信计算与、中国的可信计算与TCG ESM结构随机数随机数 产生器产生器16位位RISC CPU看门狗看门狗电源检测电源检测RAMFLASH 文件系统文件系统FLASH嵌入式操嵌入式操 作系统作系统USB GPIO I2C 7816中国中国 商用商用 密码密码 芯
5、片芯片RSA协处协处理器理器ESM结构结构J2810一一、中国的可信计算与、中国的可信计算与TCG TCG的TPMTCG TPM的结构的结构执行引擎执行引擎I/O易失存储器易失存储器非易失存储器非易失存储器电源检测电源检测随机数产生器随机数产生器Opt-LnSHA-1引擎引擎HMAC引擎引擎密码协处理器密码协处理器密钥产生器密钥产生器一一、中国的可信计算与、中国的可信计算与TCG ESM与TPM的比较主要结构是一致的CPU,RAM,PLASH,RSA引擎,RNG,I/O, 嵌入式OSESM的创新ESM有对称密码引擎,TPM没有对存储器(程序区,数据区,堆栈区)进行隔 离保护一一、中国的可信计算
6、与、中国的可信计算与TCG ESM与TPM的比较存储器隔离保护结构CPU (Central Processing Unit)F:Operation FlagWorking MemoryRAMEmbeded Operating SystemsMask ROM/ EPROM/ EEPROM/ Flash EEPROMApplication Customized CommandsEPROM/ EEPROM/ Flash EEPROMData MemoryEPROM/ EEPROM/F lash EEPROMSerial I/O InterfaceProgram Memory ComparatorWo
7、rking Memory ComparatorData Memory ComparatorControl LogicInternal Data, Address and Control Bus一一、中国的可信计算与、中国的可信计算与TCG3、2004年以后,中国向TCG学到许多有益的 东西。TCG也向中国学到一些有益的东西。中国向TCG 学习信任链技术,TSS技术,TNC技术,等TCG向中国学习在TPM中采用对称密码的技术,等中国自己的创新TCM技术TPCM技术TCA技术可信计算平台测评技术一一、中国的可信计算与、中国的可信计算与TCG4、现在,联想、华为等中国企业是TCG的成 员,武汉大学、
8、清华大学和北京工业大学都 是TCG的会员。 5、2011年,中国的TCG成员在武汉大学开会, 参与讨论TPM.next的设计方案。 6、总之,在可信计算发展过程中,世界各国 互相学习,是对大家都有益的。二二、中国的可信平台模块、中国的可信平台模块1、TCG的TPM在密码方面存在一些不足:只配置了公钥密码,没有明确配置对称密码。两 种密码互相配合,会更方便。公钥密码只采用了RSA,实现规模大,消耗资源 多,速度慢。采用ECC会更好。Hash函数采用SHA-1,安全周期短。密钥种类太多(7种密钥),管理复杂。证书种类太多(5种证书),管理复杂。二二、中国的可信平台模块、中国的可信平台模块2、针对T
9、PM的这些不足,中国制定了可信 计算平台密码技术方案:采用了中国的密码。这是密码本地化的工作。密码本地化是国际公认的惯例工作,任何国家都 可以进行。现在,中国政府公布了自己的商用密码。这一方案不是与TCG对立的,是对TPM密码机制 的一种优化和密码本地化。二二、中国的可信平台模块、中国的可信平台模块3、在可信计算平台密码技术方案中,称 TPM为TCM(Trusted Cryptography Module) 。TCM是可信计算平台模块,强调了密码的作用。可信计算平台密码技术方案是中国的可信计 算平台应当采用的密码方案。显然,TCM与可信计算平台密码技术方案是 不同的。应当指出,TCM不是与TP
10、M对立的。三三、一种新的可信平台模块、一种新的可信平台模块1、一种新的TCM芯片J32102008年,瑞达公司和武汉大学开发出新的TCM芯 片和可信计算机2009年通过国家密码管理局的认证,命名为 SSX36。TCM 3210芯片芯片三三、一种新的可信平台模块、一种新的可信平台模块J3210芯片的设计原则符合中国可信计算平台密码技术方案支持TCG的TPM规范丰富的计算资源丰富的密码资源丰富的I/O接口支持多种应用2、J3210芯片的资源32位SPARC CPU;24KB的内部指令RAM,9KB的内部数据RAM;128KB的FLASH存储器;I/O接口:LPC,I2C,SPI,UART,GPIO
11、,JTAG真随机数产生器;1024、2048位的RSA密码引擎;SHA-1引擎;192、224、256、384位的ECC密码引擎,支持SM2;中国商用对称密码SMS4引擎;中国商用HASH函数SCH引擎三、一种新的可信平台模块三、一种新的可信平台模块J3210结构结构1024 2048 RSA 引擎引擎真随真随 机机 数产数产 生器生器32位位 CPU模式模式 控制控制时钟时钟 逻辑逻辑RAMUART GPIO I2C SPISM3 和和 SHA-1 引擎引擎SMS4 密码密码 引擎引擎FLASHJetOS192 224 256 384 ECC 引擎引擎总线总线 控制控制内总线 外总线LPC三
12、、一种新的可信平台模块三、一种新的可信平台模块3、J3210芯片既符合TCM又支持TPM符合TCM真随机数产生器;192、224、256、384位的ECC密码引擎,支持 SM2;中国商用对称密码SMS4引擎;中国商用HASH函数SM3引擎三、一种新的可信平台模块三、一种新的可信平台模块3、J3210芯片既符合TCM又支持TPM支持TPM 真随机数产生器;1024、2048位的RSA密码引擎;SHA-1引擎;三、一种新的可信平台模块三、一种新的可信平台模块3、J3210芯片既符合TCM又支持TPM丰富的计算资源和I/O,支持多种应用32位SPARC CPU;24KB的内部指令RAM,9KB的内部
13、数据RAM;128KB的FLASH存储器;I/O接口:LPC,I2C,SPI,UART,GPIO,JTAG三、一种新的可信平台模块三、一种新的可信平台模块4、进一步开发J3210,增强云计算安全不仅支持TCM,而且支持TPM 2.0与TXT技术对接支持云计算三、一种新的可信平台模块三、一种新的可信平台模块J3210TCMTPM 2.0TXT云计算云计算4、进一步开发J3210,增强云计算安全优势技术成熟已经广泛应用政策允许已经获得国家密码管理局的认证因此,开发周期短利用TPM.next不用J3210进行开发也是可以的, 但是目前,TPM.next商未发表,没有芯片,开发周期长需要重新通过国家密
14、码管理局的认证三、一种新的可信平台模块三、一种新的可信平台模块四、总结四、总结1.可信计算是一种行之有效的信息安全新技术,已经 取得了重要的成功!2.2004年前,中国的可信计算技术与产业是独立发 展的。中国的可信计算产品的系统结构与主要技术 路线与TCG的规范是基本一致的,但也有差异。在 这些差异中既有我们的创新,也有我们的差距。3.2004年以后,中国向TCG学到许多有益的东西, TCG也向中国学到一些有益的东西。4.我们认为,在可信计算发展过程中,世界各国互相 学习,是对大家都有益的。四、总结四、总结5.针对TPM的一些不足,中国制定了可 信计算平台密码技术方案。这是密码 本地化的工作,
15、是国际惯例,任何国家 都可以进行。6.应当指出,TCM不是与TPM对立的。7.进一步开发J3210芯片,既符合TCM又 符合TPM 2.0,支持云计算,是非常有 意义的。8.可信计算的明天更美好!五、参考文献五、参考文献1.SHEN Changxiang, Zhang Huanguo, Feng Dengguo, et,al. Survey of Information Security, Science in Chian Series F,Vol.50,No.3,Jun.2007, pp:273-298. 2.SHEN Changxiang, ZHANG Huanguo, WANG Huai
16、min,wang et,al.,Researches on trusted computing and its developments, SCIENCE CHINA :Information Sciences,Vol.53,No.3, March 2010,pp:405-433.3.张焕国、毋国庆、覃中平等,一种新型安全计算机,第一 届中国可信计算与信息安全学术会议论文集:武汉大学学 报(理学版),Vol.50 ,No.s1,2004.4.张焕国、刘玉珍、余发江等,一种新型嵌入式安全模块, 第一届中国可信计算与信息安全学术会议论文集:武汉大 学学报(理学版),Vol.50 ,No.s1,2004. 5.张焕国,覃中平,刘毅,一种新型可信计算平台模块芯片 ,武汉大学学报(信息学版),2008. 6.
