1、北京交通大学硕士学位论文基于USB Key的移动TPM密钥管理研究姓名:刘觅申请学位级别:硕士专业:信息安全指导教师:韩臻20090601中文摘要摘要:互联网的高速发展,对安全保障提出了更高的要求。可信计算作为信息安全的一项重要技术,它在软硬件上都采用新的体系结构来增强计算机的安全性。当前各国关于可信计算的研究,从技术的发腱到产晶的研制都取得了一系列可喜的成果,如何发展更加经济,更加方便的IJ信汁算机已成为学者研究的新的焦点。作为可信计算的发展分支,便携式TPM的研究将会逐渐呈现在研究者的眼lii,将TPM移植到智能卡或者USB Key这种人们常见的载体上,是可信计算发展的新的方向。作为TPM
2、中的重要组成部分,密钥管理一直是可信计算的研究重点,研究移动TPM中的密钥管理自然具有很大的意义。与传统的TPM桐比,基于USB Key的移动TPM密钥管理在实现基础、可f,一存储、密钥迁移、及授权协议上都仃肴i1人彳i同。本文主要讨论了以USB Key作为载体的TPM平台密钥管理方案及实现过程。通过对传统TPM平台体系结构及USB Key的分析,总结了基于USB Key的TPM体系结构,综合分析了传统TPM平台的密钥管理机制、密钥管理功能概况,提出了基于身份绑定的移动TPM模块这一概念,并以此为基础设计了移动TPM的密钥管理总体方案,包括移动TPM密钥和证书结构设计、可信存储设计、密钥功能设
3、计、密钥迁移设计以及TPM 111最重要密钥AIK的管理和TPM授权管理等等。然后结合USB Key的Java智能卡特征设计了方案中的数据结构、APDU命令集合、各部分功能的实现和AIK管理的实现。最后,构建了移动TPM密钥功能管理的模块,采用Java智能卡开发技术对这些功能模块进行了实现,并使用APDU字节流命令测试了这些功能,评定了功能实现的正确性。关键词:可信计算;TPM;USB Key;可信存储;密钥管理;APDU命令分类号:TP3932j曼塞交道厶堂亟堂位i佥塞 旦墨!AB STRACTABSTRACT:The rapid development of the Internet ne
4、eds for higher securityrequirementsAs an important technology of information security,Trusted Computinguses the new architecture both in hardware and software to enhance the security of ourcomputersThe current research of Trusted Computing has made a series ofencouraging results from technology deve
5、lopment to productsHow to develop morceconomical and convenient Trusted Computing products becomes a new focus to theresearchersMove the TPM to smart card or US B Key is a new direction of TrustcdComputing developmentKey management is a very important part in TPM technologyTherefore,the study of key
6、 management mechanism on portable TPM is of greatsignificanceCompared with traditional TPM,the portable TPMS key management is muchdifferent on the realization basis,the trusted storage,the key migration andauthorizationThis thesis mainly discusses the design of TPM key management basedon USB Key an
7、d its implementationAfter analyzing the traditional architecture of theTPM and the structure of USB Key,we comprehend the TPM architecture based onUSB KeyThrough a comprehensive analysis of the traditional TPM key managementmechanism and the profiles of key management,we give the concept of portable
8、 TPMbased on the identity bindingThen we provide the overall design of the portable TPMSkey management,including the TPM key and certification,the credibility storage of thekey,the key functions,key migration,and the management ofAIKCombined with Java smart card of USB KeyS features,we design the da
9、tastructure,APDU command set,the realization of some functions and AIK managementAfter that,we establish the function of portable TPM management module,use thefeature of Java Card technology to implement the function modules,and then use theAPDU commands to test these functionsFinally we assess the
10、correctness of thefunctionsrealizationKEYWORDS:Trusted Computing;TPM;USB Key;Trusted Storage;KeyManagement;APDU CommandsCLASSNO:TP3932独创性声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研究成果,除了文中特别加以标注和致谢之处外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得北京交通大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。一龇川钆一期:67年
11、月佃同学位论文版权使用授权书本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特授权北京交通大学可以将学位论文的全部或部分内窬编入有关数据库进行检索,提供阅览服务,并采用影印、缩印或扫描等复制手段保存、iL=编以供查阅和借阅。同意学校向国家有关部门或机构送交论文的复印件和磁盘。(保密的学位论文在解密后适用本授权说明)学位论文作者签名:-一叫移 t一期:1年同导!Jfj签积: 勿耀蜕谁群嗍:下刖朗致谢本论文的工作是在我的导师韩臻教授以及移动可信计算项目组负责人张大伟老师的悉心指导下完成的,韩臻教授和张大伟老师严谨的治学态度和科学的工作方法给了我极大的帮助和影响。在此衷心感酣两年来韩
12、臻老师和张大伟老师对我的关心和指导。韩臻教授悉心指导我们完成了实验窒的$-t-JfiJl:一J:作,在学习上和生活上都给予了我很大的关心和帮助,在此向韩臻老师表示衷心的谢意。张大伟老师对于我的科研工作和论文都提出了许多的宝贵意见,在此表示衷心的感谢。另外,还要特别感谢何永忠老师,他为人!JIfj表的责ft感和作学的风范,使我受益匪浅,衷心感谢何老jJIfj在学习和研究rI给弘我的1lIj助和指导。视您工作顺利!在实验室工作及撰写论文期间,韩磊、吴晓武、王星等同学对我论文中的技术研究工作给予了热情帮助,在此向他们表达我的感激之情。另外也感谢家人,他们的理解和支持使我能够在学校专心完成我的学业。在
13、我的课程和硕士论文完成之际,谨向在我攻读硕士学位的过程中曾经指导过我的老师,关心过我的朋友,关怀过我的领导和所有帮助过我的人们表示深深的感谢!11 选题背景1引言互联网的高速发展,对安全保障提出了更高的要求。我们需要系统能够保证其真实性、完整性、隐私保护、匿名访问和可用性等。密码技术以及其他的些安全方法,如防火墙、IDS等虽然给出了一系列的解决方案,但他们的正确运行都是建立在下层系统,尤其是操作系统是安全的前提下。目前计算甲台的一些安全问题很多都是山于其自身体系结构的薄弱和复杂性造成的。凶此,工业组钐:提出了町信汁算的概念,这足一种新的计算平台,在软硬件J二部川新的体系结构水增加计算的安全性。
14、传统的可信计算的主要做法是在PC机硬件平台上引入安全芯片架构。TPM是可信计算技术的核心,它实际上是一个含有密码运算部件和存储部件的系统芯片。以TPM为基础的“可信计算”可从以下几方面来理解:用户的身份认征,表示对使用者的信任;平台软硬件配置的正确性,表示使用者对平台运行环境的信任;应用程序的完整性和合法性,表示对应用运行环境的信任;平台之间的町验证性,表示网络环境下用户终端的相互信任。可信计算平台是新一代能提供可信计算服务的计算机软硬件平台,它基于TPM,以密码技术为支持、安全操作系统为核心,是信息安全领域中起关键作用的体系结构的变革,也是对计算机安全结构的一种回归。与现有的普通计算机相比,
15、它从芯片、主板等硬件结构和BIoS、操作系统等底层软件做起,相当于增加了一台独立的监控计算机,用信任链的方法提供系统的完整性、可用性和数据的安全性【l】。当fj,可信计算从技术的发展到产品的研制都取得了一系列可喜的成果,如何发展更加经济,更加方便的可信计算机已成为学者研究的新的焦点。作为可信计算的发展分支,便携式TPM的研究将会逐渐呈现在研究者的眼前,将TPM移植到智能卡或者USB Key这种人们常见的载体上,是可信计算发展的新的方向。密钥管理作为可信计算平台模块的重要组成部分,是实现计算机安全平台的基础,研究可信计算平台模块的密钥管理机制,成为了可信计算研究中的一大热点。12 国内外可信计算
16、发展现状121可信计算发展现状1999年,IBM、HP、Intel、Microsoft等著名IT企业发起成立了可信计算平台联盟TCPA,2003年TCPA改组为可信计算组织TCG,TCG是一个非盈利性的,旨在增强各种异构汁铭、f,台安令rE的工业标准化组织。TCPA定义了j仃安全存储和加密功能的可信平台模块(TPM),并于2001年1月发布了丛于硬件系统的“可信计算平台规范”(v10)。2003年3月TCPA改名为TCG(Trusted Computing Group),同年lO月发布了TPM主规范(v12)t2】【3】【41。其门的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算
17、平台,以提高整体的安全性。目前,IBM、HP、DELL、SONY、NEC、TOSHIBA、GATEWAY等公司都研制出了自己的可f膏PC机。INFINEON、BROADCOM、ATMEL、NATIONALSEMICONDuCTOR等公司都研制出了自己的可信计算平台模块(TPM)芯片。可信计算的研究领域不断扩大,已从PC迅速扩展到PDA、服务器、手机等各类终端信息平台。微软在其新一代操作系统Vista中,也全面支持可信计算技术,并将可信计算模块作为其安全特性的必备基础。我国在可信计算技术研究方面进展也非常快,我国信息安伞领域的专家、学者们在这方面投入了大量的精力,在可信计算机的研究、产业化及其应
18、用方面做了许多工作,在安全芯片、可信安全主机、安全操作系统、可信计算平台应用等方面都先后开展了大量的研究工作,并取得了可喜的成果。兆日公司:兆日公司是我国较早开展TPM芯片研究工作的企业。2005年4月,兆同科技推出符合可信计算联盟(TCG)技术标准的TPM安全芯片,并已经开展了与长城、同方等多家主流品牌电脑厂商的合作。其安全芯片已通过国密局主持的鉴定。中兴集成电路:2008年1月11日,中兴集成电路申报的“中兴集成可信计算密码支撑平台”顺利通过国家密码管理局的审查、测试,产品型号、名称被命名为“SQY46可信计算密码支持平台”。联想研究院:联想研究院是较早在可信计算领域罩投入技术研发并达到国
19、际一流水平的研究机构,其安全芯片和可信PC平台已通过国密局主持的鉴定。联想公司安全芯片的研发工作2003年在国密办立项,2005年4月联想自主研发成功“恒智TPM芯片”,并于06年3月,J下式成为TCG标准组织的核心成员(TCG Promoter),和跨国公司一起制订未来可信计算技术的国际标准,进一步提升了中国企业在国际标准制订中的话语权。08年4月,中国可信计算联盟(CTCU)在国家信息中心正式成立。CTCU的成立,2不仅对构建我国自主知识产权的可信计算平台起到巨大的推动作用,也标志着我国的信息技术企业正在走向世界信息技术的核心领域。作为安全基础设施的可信计算芯片将渗J静lJlT每个领域:P
20、C平台(台式和笔记本)、手机平台、可信网络接入及应用中间件、服务器平台、存储系统、应用软件等所有环节。122可信计算密钥管理发展现状TCG规范作为研究可信计算技术的标准依据,已经建立了一个复杂的密码应用和管理体系。该规范基于密码技术实现了多种应用安全机制、满足多种应用场景的需求,同时在规范制定过程中也存在着TCG升【织内多个厂商解决方案间的妥协,这就使得可信计算中密钥戍用和管理存在这样些问题,i要包括以下内容【5】:(1)行为控制。信任的基础足平台,而提供存储根密1|jJ的源头足企业,一盟存储根密钥被泄露,那么整个可信平台将很容易被解密。(2)可能的隐私外泄。使用TPM后,整个系统的可信性完全
21、取决于可信PC的存储根密钥,每一台可信PC都将有一个唯一的身份标谚符。当用户在网络上进行资源访问时,都存在将用户的个人信息外泄的风险。(3)可能的后门。出于核心技术都掌握在外的跨国公司手中,其可能存在认为设定的后门,被信任的应用程序很有可能滥用收集到的用户信息。(4)用户选择的局限性。用户自己选择丌通或不丌通可信服务的余地越来越小,只能依赖于所选的可信平台,用户在制定自己的使用策略时,也要受到平台信任关系限制并且支持TCG的可信平台将阻止用户运行非法的程序。由上可知,由于可信计算涉及的密码算法、密码管理和安全协议必须符合国家密码管理政策,因此,我国自己制定的可信密码模块【6】规范体现了产业化和
22、政策的要求。13 论文的意义和主要工作论文是依附于国家“863”计划项目可信计算平台信任链关键技术研究中的移动TPM项目组课题,基于USB Key的移动TPM(本文简称移动TPM)密钥管理旨在研究USB KeyqbTPM模块的可行性,改善传统TPM中关于密钥管理的复杂体系,利用USB Key的结构特点,实现TPM密钥在USB Key的可信存储,建立USB Key中的密钥和证书体制,完成基于USB Key的身份密钥研究以及TPM平台的身份认证,并最终达到以下目标:研究出基于身份绑定的可信计算模块密钥管理,通过移动TPM的密钥及证3书结构的设计,可信存储设计、密钥迁移研究来完成身份绑定的TPM模块
23、密钥管理方案。 实现移动TPM内部密钥功能的设计,并在USB Key模拟环境下进行完成各功能模块的实现和测试。通过移动TPM身份认证的研究,来阐述身份证l刿密钏(AIK)在移动TPM中的重要性。通过简化传统TPM的授权管理体制,采用单一的对象几火授权协议(OIAP)来实现移动TPM中与密钥管理相关的授权管理。本文在研究上实现了上述目标,并在此基础上采用JA、,A卡JI:发技术编码实现密钥管理各模块功能,并用APDU命令进行了相应的测试,取褂了预期的效果。14论文的组织在论文的组织上,本文将以如下章节丌展讨论:第一章介绍了论文的选题背景、当今国内外可信计算标准和技术研究现状以及论文的意义和主要工
24、作,并针对第一章的介绍做了相应的小结。第二章结合描述了传统的TPM体系结构,结合USB Key的结构特点设计了基丁:USB Key的可信计算体系结构。第三章重点研究了基于USB Key的移动TPM密钥管理方案,提出了基于用户身份绑定的移动TPM这一概念,并从TPM密钥和证书结构等方面设计了基于身份绑定的移动TPM密钥和证书体制,然后研究了基于身份绑定的移动TPM身份平台认证机制,简要的概述了其授权管理方法。第四章针对第三章的研究,采用USB Key的通信协议和丌发特点,设计了密钥管理的各种方法,具体的实现了移动TPM的密钥管理功能,初步实现了移动TPM平台的身份认证过程第五章结合上述关于移动T
25、PM的研究和实现,采用USB Key的Java卡开发技术对密钥管理的各功能模块进行了开发实现,并结合TCG规范对这些功能进行了相应的测试。第六章对全文进行了总结,比较了移动TPM和传统TPM在密钥管理的不同之处,并针对移动TPM下一步的难点工作进行了相应描述。15 小结本章主要介绍了论文的选题背景、国内外可信计算的发展现状以及论文在研4究可信计算方面的主要内容。随着可信计算技术的飞速发展,可信计算研究领域也越来越宽,越来越深,将可信计算的核心模块TPM移植-至UUSB Key这种便携式载体上来,是可信计算研究的一个新的热点。为实王贝,USB Keyd尸的TPM,文章提出了基于TPM的密钥管理体
26、制及相关内容。随后介绍了论文的_l二要研究内容。52基于USB Key fl,3 n-q信计算原理21 可信计算平台一个可信的平台是指平台可以被本地和近程实体信任,实体包括用户、软件或者网站等等,它强调行为和系统的完整性。平台的可信可以从以下几个方面理解:(1)用户的身份认证,体现了平台对使用者的信任。(2)平台软硬件配置的正确蚀,体现了使用者对平台运行子环境的信任。(3)应用程序的完整性和合法性,体现了J世l】程序运it的可信。(4),台之间的可验证性,体现了网络J不境卜、F台之I11j的相互信任。可信计算平台的基本思路是:首先构建一个信任根,信任根的可信性由物理安全和管理安全确保;再建立一
27、条信任链,从信任根丌始到硬件平台、到操作系统、再到应用,一级认证一缀,一级信任一级,从而把这种信任扩展到整个可信计算领域,这称为信任的传递机Nt7】。对于一个可信计算平台,至少要包括三个特性:保护功能,证明,完整性的测量、存储和报告【8】。(1)保护功能保护功能是指一个拥有高级权限的接口函数集合,只有这些接口函数才可以访问保护区域。保护区域是指可以对敏感数据进行安全操作的区域,在保护区域中的数据只能通过保护功能来访问。在可信计算平台中,保护功能和保护存储可以用于保存和报告完整性测量的结果。另外,保护功能还包括了密钥的管理、随机数的生成,以及把随机数绑定到一个特定的状态等功能。(2)证明证明是一
28、个对信息的正确性进行验证的过程。外部实体的证明过程以TPM提供的保护存储、保护功能和信任根为基础。在证明时,需要提供被证明实体的特征信息,对于平台来说,特征即为影响平台完整性的部分。在所有形态的证明过程中,都必须保证使用的被证明实体信息是可靠的。(3)完整性的测量、存储和报告完整性的测量是指对平台完整性相关的特征进行测量,并把测量结果的摘要保存在平台配置寄存器PCR中的过程。测量的开始点称为可信测量的根,静态测量的根从一个公开的状态开始。完整性的存储是完整性测量和完整性报告的一个中6间步骤。完整性的存储包括完整性测量的R志和保存在PCR中的完整性测量摘要。完整性报告是证明完整性存储内容的过程。
29、通过报告机制来完成对平台可信性的查询,如果平台的可信环境被破坏,询问者可以拒绝与该平台交互或向该平台提供服务。22 基于USB Key的移动可信平台模块可信平台模块TPM是可信计算的核心,传统的TPM是一种硬件设备,其叶,含有密钥运算部件和存储部件,其与平台主板相连,用于验证身份和处理计算机或设备在可信计算环境中使用的变量。基于USB Key的移动可信平台模块(以下简称移动TPM)是在传统TPM技术的恭础上,将TPM直的USB Key这个便携芑载体卜,使用移动TPM来保证整个计算机系统的“可信”。 3 应用程序善窭TSS Service Provider Interface(TSPI)型 墨雌
30、TSS Service Provider(TSP)乏Ts兰。reService Interface cTCS-一TSS Core Service(TCS)密钏和征 TPM参数上下文管理 事件管理 审计管理l;管理 快产生器b鏊螺 I礞。 TPM Device Dirver Library Interface(TDDLI)TCG设备驱动库(TDDL) 图21:移动TPM在可信计算平台中的位置在本文中的USB Ke滞指具有Java智能卡虚拟机、Java智能卡内库、Java智能卡应用管理组件和JaVa智能卡运行环境的Java Key,移动TPM模块由于以USB Key作为载体,它的许多硬件特性继承了
31、USB Key的硬件特性,而软件环境同样也采用TUSB Key的Java KeyJ垂行环境。其主要系统组成如下【9】:7氽_矧川引儿丌翻直v韭噩Z亟厶堂亟士堂逵监窑 墨王丛S基KY鳇卫篮让簋厘理翻2-2:USBKey系统Hl收移动TPM提供的主要特性包括f”】:r11加密功能。(21、r台完整性报告。(3慢保护的密钥和数据存储。(4)仞始化和密钥管理功能。另外,移动TPM还提供了一些其他的功能特性,例如随机数产生器、非易失性存储、传输会话、单调计数器等等。总体柬讲,移动TPM的体系结构中包括的部件如图所示:图2-3:移动TPM体系结构IO部件为通信总线,它的任务包括执行北部总线和外部总线之间进
32、行转换的通信协议,将消息发送到合适的部件,执行对TPM进行操作的安全策略】。TPMrp与密码运算相关的操作有非对称密码运算RSA密钥生成、加密解密、HASH运算和随机数生成等,一般情况F,TPM中非对称密码运算功能仅供内部加密和签名认证使用,不对外提供服务函数接口。密码协处理器负责RSA运算的实现,它内含一个执行运算的RSA引擎,提供对内对外的数字签名功能,内部存储和传输数据的加密解密功能,以及密钥的产生、安全存储和使用等管理功能。密钥生成器负责生成对称密码的密钥和lF对称密码运算的密钥对,TPM可以无限制地生成密钥。对于RSA算法而占,它要完成人素数的测试,密钥生成过程会使用到随机数发生器随
33、机产生的数据。随机数发生器负责产生各种运算所需要的随机数,它通过一个内部的状态机和单向散列函数将一个小可预测的输入变成32字节长度的随机数,其输入数据源可以是噪音、时钟等,该数据源对外不可见【21。TPM的加密功能模块主要有:非对称密钐j产生、非对称加密解密、HASH运算、随机数发生器等。非对称加密算法RSA是用来进行数字签名和JJu密用的。RSA算法的公钥指数e必须等于2岫+1。TPM可以支持对称加密,但是对称加密只能提供给TPM内部使用,不能为TPM的普通用户提供对称加密功能。TPM中对称加密算法主要用来加密鉴权信息,保证传输会话过程的保密性,对TPM外部存储的数据块提供内部加密。TPM有
34、一个平台设置寄存器,它是一个160位的存储单元,主要存储一些独立的完整性测量报告相似。协议规定TPM至少支持16“个PCR。PCR的更新按照下式进行:PCRi New=HASH(PCRi Old value I|value to add)在移动TPM体系结构中可以看到,大部分内容都是围绕密钥实施的,加密算法、密钥发生器、PCR存储等等,都离不丌密钥的支持。23 小结本章主要介绍了传统的可信计算平台,描述了基于USB Key的移动可信平台模块,并设计了移动可信平台模块的体系结构和软件环境,为后面的设计和实现作了基础准备。93移动TPM密钥管理方案本文是以USB Key作为TPM实现的载体,下面讨
35、论的是本文基于USB Key的TPM密钥管理的总体目标、基奉功能模块、密钥迁移和授权管理机制等等。31 移动TPM密钥管理总体目标可信计算中的密钥安全性直接关系到整个可信计算平台的安全程度,对密钥管理的好坏也直接关系剑整个平台本身的安全,在整个可信计算体系中占有举足轻重的地位。与传统的TPM密0J“!:i;SIl!-4l比较,移动TPM的密钥l三;理彳、=川之处:要体现祚:以下几个方面:1、实现基础传统的TPM模块是与讨算机平台进行绑定的,本文的移动TPM在研究上是与TPM身份,即用户身份进行绑定的。传统的TPM模块嵌入在计算机主板上,其设计的基础是基于计算机平台的,一个TPM模块只能对应一个
36、平台,计算机的多用户操作系统使得一个TPM可以对应多个用户身份,这样体现TPM与计算机是一对一、TPM与用户身份是一对多的关系,体现了TPM与计算机平台绑定的特征;而移动TPM由于其可移动的特点,使得一个移动TPM模块不再对应唯一一个计算机平台,相反由于移动TPM的所有者唯一性,一个移动TPM只能对应一个TPM用户身份,这样移动TPM与计算机是一对多、TPM与用户身份是一对一的关系,即体现了TPM与用户身份绑定的特征。图31:基于平台绑定的TPM模块10图32:基于身份绑定的TPM模块2、可信存储传统的TPM在密钥结构上采用多链式存储结构,其链弋结构tI-火-J:川户身份密钥AIK的存储也是多
37、链的,即存储结构中AIK可以有多个,本义的移动TPM密钥结构也采用层级链式结构,但是在整个结构中AIK只能作为SRK下的一个子密钥存在,用来进行平台身份的认证,一个移动TPM中不允许有一个以上的AIK存在。当移动TPM模块应用于一个计算机平台时,密钥管理机制会将该计算机平台的密钥加载进移动TPM的根密钥SRK,这样来实现可信存储保护。3、密钥迁移传统的TPM密钥迁移是将可迁移密钥从一个计算机平台迁移到另外一个可信的计算机平台,属于平台间的密钥迁移。在移动TPM中的密钥迁移是将可迁移密钥从一个可信的USB Key迁移到另外一个可信的USB Key,如果足迁移AIK,则表示用户身份的迁移。4、授权
38、协议传统的TPM在授权协议上采用了五种授权协议,某些授权协议在实际的TPM应用的使用的很少,在移动TPM的研究中,简化了这些复杂的授权协议,采用对象无关授权协议来管理整个移动TPM授权过程。针对上面的不同点,本文设计了基于USB Key的密钥管理方案,研究了移动TPM自身了密钥和证书体制、可信存储、密钥功能等等。具体划分为移动TPM密钥和证书、可信存储、密钥管理功能、AIK密钥管理和移动可信平台授权管理等模块,每部分模块总体体现在下面个各个小节中。32 移动TPM密钥与证书结构密钥和证书是TPM平台实现“可信”的必备条件,在移动TPM密钥和证书模块,本文研究了传统的TCG规范关于TPM的密钥和
39、证书,总结和设计了基于USBKey的密钥和证书结构。移动TPM的密钥和证书类型与传统TPM人致十H同,两者最大的不同点在于传统的TPM模块是与计算机平台进行绑定的,而本文的移动TPM模块是与TPM身份进行绑定的。在证书体制方面,传统TPM的平台证书是针对单一的计算机甲刽121,而基于USB Key的移动TPM平台证书足针对多个计算机平台,在平台证书体制里面,必须有多个平台证书埘应棚应的计算机平台。321移动TPM密钥结构在基于USB Key的整个TPM密钥体系中,按照TCG规范定义了7种密钥类型,来应用于移动可信计算平台上。密钥总体上可分为签名密钥和存储密钥,它们被进一步分为平台、一致性、绑定
40、、派生密钥,对称密钥被单独分类为鉴定密钥【1 31。(1)背书密钥(Endorsement Key)背书密钥是一个长度为2048位的RSA公私钥对,对应的公钥、私钥分别表示为PUBEK、PRIVEK。其中私钥只存在于TPM中,且一个TPM对应唯一的EK。EK被用来执行两种操作,在平台用户建立时来解密用户的授权数据和与产生确认AIK,从来不会被用于加密或签名。(2)存储密钥(Storage Key)存储密钥是用来存储其他密钥(如存储、绑定、签名密钥等)和对数据进行加密的密钥,但是它不存储对称密钥。存储密钥是2048位的RSA私钥,可以是可迁移密钥,也可以是不可迁移密钥。(3)身份密钥(Ident
41、ity Key)身份密钥是不可迁移的签名密钥,是TPM产生的一种特殊的密钥,和其证书一起提供,用来处理用户的受保护信息。在本文中身份密钥为RSA密钥对,其长度为2048位,为可迁移密钥。身份密钥的父密钥通常是SRK,这保证了身份只存在于给定的TPM中,一旦用户从TPM中清除,身份密钥也将会销毁。(4)签名密钥(Signing Key)签名密钥是多种位长的标准RSA签名密钥,在TPM中最长位数为2048位。12用来签名应用程序数据和消息。签名密钥可以是迁移的,也可以是不可迁移的。可迁移的密钥能够在TPM之间进行导入和导出,后面会加以介绍。(5)绑定密钥(Binding Key)绑定密钥被用来在一
42、个平台加密小的数据(如对称密钥),然后在另外一个平台进行解密。即绑定密钥用来存储埘称密钏,它可以存储单个或多个对称密钥。它只能用来对对称密钥进行基本的RSA加密,不能jfj米加密除对称密钥以外的其他内容。(6)派生密钥(Legacy Key)派生密钥被用来在一个平台加密小的数据(如对称密钥),然后在另外一个平台进行解密。在TPM里面很少用到派!Ii密剀。(7)认证密钥(Authentication Key)认证密钥为tl:-x,t称密钥,用水保护TPM之问的会话传输。认证密钥在TPM涉及的也比较少。这七种密钥和TPM的保护存储功能相关,TPM的可信存储根RTS保护存放在TPM罩的密钥和数据。T
43、PM只在易欠性存储器中管理一小部分当前正在使川的密钥,不常使用的密钥是保存在TPM外面的,只有需要使用时才调用TPM命令函数将其加载到TPM罩。在上面设计的七种密钥中,有三种密钥是极其重要的,即背书密钥EK、存储根密钥SRK和身份证明密钥AIK14】。(1)EK:EK是平台信任的基础,EK的证书用于证明该平台是可信的,通常由生产厂商或者相关的可信第三方PrivateCA(PCA)办法EK证书。(2)SRK(Storage Root Key):SRK在建立TPM所有者时产生,该密钥的私钥保存在TPM的保护区域中,并且是一个不可迁移密钥,作为存储密钥的一种,存储根密钥(SRK)是整个TPM密钥链的
44、跟它总是存储于TPM中。在移动TPM的整个密钥体系中,一个TPM内只能有一个SRK,SRK作为TPM根密钥来存储其他密钥信息。(3)AIK(Attention Identity Key):AIK是身份密钥的一种,是TPM中比较重要的一类密钥,用来对平台的相关数据进行签名,可以证明这些数据是来自一个可信平台。由于EK唯一标志了一个TPM,EK的公钥和私钥都需要受到保护,需要尽量避免使用EK。AIK的目的就是代替EK来提供平台的证明。它只提供签名但不用来加密,传统的TPM中,AIK只对平台配置值PCR值进行签名。同样,在移动TPM的整个密钥体系中,一个TPM内只能有一个AIK,用来证明平台可信状态
45、。在将TPM移植到USB Key之后,密钥定位已经有了很大不同,传统的TPM13密钥是与计算机平台进行绑定的,即一个平台可以只能有一个存储根密钥(SI),在多用户操作系统里面一个计算机平台可以有多个用户身份,这样SRK与身份密钥AIK的关系是一对多的关系,但是在基于USB Key的TPM密钥体系中不再是这种火系。由于基于USB Key的TPM可以在多个可信平台问使用,因此一个计算机、f,台对应多个TPM模块,计算机平台不再与唯一的SRK绑定,这样体现了平台j SRK是一对多的关系。事实上,在每个TPM模块内部,只能有一个SRK和一个AIK,来保证该移动环境的可信性,这样就体现了移动TPM模块是
46、基于身份密钥的绑定,而不是基于计算机平台的绑定,于是基于USB Key的TPM模块也就是本文下一节提到的基于身份绑定的TPM模块。322移动TPM证书结构为了实现密钥存储和使用,以及安全计算,可信计算使用了多种数字证书,密钥的使用和生成都离不开数字证书,证明平台的身份更是需要证书的保护。本文在TCG证书【151的基础上设计了基于USB Key的TPM平台证书,即背书证书(EK证书)、身份证书(AIK证书)、平台证书、确认证书和一致性证书,其中EK证书和AIK证书主要用在可信计算平台的身份绑定管理中。在证书结构中,最重要的部分是存储在TPM内部的公私钥对的公钥。设计的三种证书如下:(1)背书(E
47、ndorsement)证书在上节密钥设计中提及了EK的私钥部分是决不可泄露和不可被TPM外部访问的,也不用来加解密数据,为了达到这一要求,需要对产生和植入EK的过程以及EK的载体TPM来源严格把关,EK证书就是用来为这些提供证明的。EK证书由生成EK的厂商来发布。在建立的平台所有者之后,其存于只有被授权的实体才可读取的存储器里,以防平台所有者的私有信息泄露。在本文中,EK证书仅在向PCA申请AIK证书时提供身份证明,之后就由AIK来替代EK提供平台身份证明。EK证书包含TPM制造者名、TPM型号、TPM版本号和EK公钥。该证书是X509属性证书,除了生成AIK,其它时候都不应该使用它。由于EK
48、证书包含EK公钥,因此EK证书必须在TPM的EK产生之后才能发布。EK证书是用来证明该TPM模块是否符合相应的TCG标准,它包含以下数据段:表3-1:EK证伟数据段数据段名称 说明证书类型标签 使用共享密钥区分发布的证书类型公钥 TPM的EK公钥部分14TPM模型 包含TPM制造者名、TPM型号、TPM版本号等发布者 确定证书的发布者TPM规范 确定TPM依据的规范签名值 发御者的签名值(2)AIK证书TPM身份证书又称AIK证书,由一个隐私CA(privacy CA)签发的X509属性证:阮AIK证书被用来鉴定对PCR值进行签名的AIK私钥,它包括AIK的公钥和其它发布者认为有用的信息。AI
49、K证书是由一个可信的,能够校验各种证书和保护客户端的隐私的服务来发布,比如privacy CA。通过发柿证书,签名者证明提供TPM信息的TPM的真实性。表3-2:AIK让I e数搀l段数据段名称 说明证书索引 使用共享密钥区分发布的证书类型AIK公钥 AIK的公钥部分TPM模型 包含TPM制造者名、TPM型号、TPM版本号等发布者 确定证书的发布者TPM规范 确定TPM遵循的规范签名值 发布者的签名值身份标签 与AIK有关的字符串(3)平台(Platform)证书平台证书主要是来确认平台的制造者和描述平台的属性。通常平台证书由平台制造者发布,由于该证书包含了EK证书的索引,它的使用也受到严格的限制,只限于在向PCA申请AIK证书时使用。平台证书包含平台制造者、平台型号、平台版本号。表3-3:平台证书数据段数据段名称 说明证书索引 使用共享密钥区分发布的证书类型EK证书 确认EK证书平台模型 包含平台制造者、平台型号、平台版本号等发布者 确定证书的发布者平台规范 建立平台所遵循的平台规范签名值 发布者的签名值15Pl
