没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
第
4
章 可信平台模块
1
可信计算三大技术: 和信任链技术。
普通 平台 只能实现平台对用户的身份认证,无法实现用户对平台身份的验证;可信
平台通过智能卡子系统还能实现用户对平台身份的认证。
RTS()可信存储根,是平台可信性度量值的存储基点,
是 芯片中的平台配置寄存器和存储根密钥,提供密码机制对 的状态及信息进
行数字签名。
RTS():可信存储根,提供密码机制保护保存在
之外的信息数据和密钥,是平台可信性度量值的存储基点,是 芯片中的平台配置
寄存器和存储根密钥。
RTM()可信度量根,是对平台进行可信度量的基
点,是平台启动时首先被执行的一段软件。
可信计算平台以可信度量根核 为起点,以信任链的方式来度量整个平台资源的
完整性,对度量的可信值进行存储,当访问客体询问时提供报告。这一机制简称为度量
存储报告机制,这是可信计算机系统确保自身可信,并向外提供可信服务的一项重要机
制。是可信计算机与普通计算机在安全机制上最大区别。
对平台的启动序列的可信性进行度量,并对度量的可信值进行安全存储,当用户询问时
提供报告。
5.远程证明 RA:可信计算平台将自身的平台配置信息通过可信报告功能发给外部实体进
行验证,来确保与其交互的平台是否可信。()不仅对用户和平台的身份进行了认
证,还进一步对平台的安全状态、软硬件配置等信息进行验证,保证平台的状态符合预
期的安全策略,从源头上消除大量潜在的安全攻击。
.以完整性为基础的 基于二进制的远程证明 ;完整性度量架构 ,以平台配
置或应用程序所拥有的属性是否存在为基础的 基于属性的远程证明 远端验证:
可以不依赖可信计算平台,而是通过其他方式实现证明机制。( )
.远程证明核心机制:证据可信性保证与度量可信性保证。证据的可信传递路径包括证
据的可信生成、可信存储和可信提交:可信报告协议。(!)
第
4
章 可信平台模块
2
.安全启动:" 在可信平台中通过信任链技术,以完整性为目标保证了可信计算平
台的内部组件是没有经过篡改的。(!)
.平台可信性的目标分为安全保障性目标、策略复合性目标、风险评估性目标和行为监
控性目标。(!)
5.TTM(#$):一种层次化的信任度量模型,能够对证据树
中的各种证据采用相应的度量方式进行信任度量。
%.可信计算平台:目前已实现的可信计算平台主要是可信 。其主要特征是在主板上
嵌有可信构建模块 。这个 就是可信 平台的信任根。它包括用于可信度量根
核 ,可信平台模块 ,以及它们同主板之间的连接。
& TPM(#$#$):可信平台模块,本身是一种 ' 芯片,是可
信计算平台的信任根,具有密钥管理、加解密、数字签名、数据安全存储等功能,加上
嵌入式操作系统后构成一个以安全保密功能为特色的嵌入式计算机系统。
TCM(#())*(#$):可信密码模块,是可信计算平台的硬件
模块,由国家密码管理局提出,为可信计算平台提供密码运算功能,具有受保护的存储
空间。
TSS("+,-)可信软件栈,是一种为上层的可信计算应用提供访问
接口的软件系统,是可信计算平台体系中必不可少的组成部分。主要作用是为应用
程序能够方便地使用 的可信计算功能提供相关的软件支持,并对 进行管理。
.*对称密码 非对称密码 (/&)
TDD 模块:它是直接驱动 的软件模块,由 的嵌人式操作系统所确定。
设备驱动库 TDDL 是一个提供与 设备驱动程序 00 进行交互的 库,以方便与
的交互。
核心服务模块 TCS 主要功能是管理 的资源,例如,上下文管理,密钥和证书管理,
事件管理,审计管理和 参数块产生等等。
服务提供模块 TSP 给应用提供的最高层的 函数,以共享对象或动态链接库的方式被
应用程序调用,使应用程序可以方便地使用 。
&TNC(#1+-,):可信网络连接,其主要技术思想是:通过验
第
4
章 可信平台模块
3
证访问网络的终端的完整性,来决定是否让访问终端接入网络,以确保网络的可信。
三个实体分别是访问请求者 AR,策略执行点 PEP 和策略执行点 PDP
三个层次分别是网络访问层、完整性评估层与完整性度量层。( 360)修复:完整性验
证通过修补层的两个实体:配置修补应用程序(PRA)和配置和修补资源(PRR)平台
可信服务接口(IF-PTS)用户认证发生在 NAA 和 AR 之间,平台认证和完整性检查发
生在 AR 和 TNCS 之间(360)
PCR($,233):平台配置寄存器,用于存储可信任度量
值,作用是验证平台完整性以及保护数据。
9. NGSCB(145"3,)3):下一代安全运算平台,
它将利用软件和硬件提高 的安全性以及通过加密数据的数据登陆设备阻止攻击。
!RAM(#,,()随机存储器(内存),是一种存储单元的内容
可按需随意取出或存入,且存取的速度与存储单元的位置无关的存储器,这种存储器在
断电时将丢失其存储内容,故主要用于存储短时间使用的程序。是与 6 直接交换数据
的内部存储器,可以随时读写,速度快。
ROM(#7$(()只读存储器,另一种只能读出事先所存数据的固态半导
体存储器。一旦存储资料就无法改变或删除。
TPCM(#$$#$)可信平台控制模块,让可信平台模
块具有对平台资源进行控制的功能。(!)
TCPA/TCG ( # )3 $ $$3,8# )3
")):可信计算平台联盟8可信计算工作组目的是在计算和通信系统中广泛使用基于
硬件安全模块支持下的可信计算平台,以提高整体的安全性。
BIOS(3,)')()基本输入输出系统,它是一组固化到计算
机内主板上一个 ' 芯片上的程序,它保存着计算机最重要的基本输入输出程序、开机
后自检程序和系统自启动程序,它可从 ' 中读写系统设置的具体信息。主要功能是
为计算机提供最底层的、最直接的硬件设置和控制。
PMBR(5)是一个二进制程序,其存储在可信密码模块的受保护存储区内,
第
4
章 可信平台模块
4
可以用来度量内核和基本服务模块的完整性。
/ECC9$$3)3,:3)*:椭圆曲线密码体制,是基于椭圆曲线数学的一种公
钥密码的方法。
%TLS();(,3()安全传输层协议,用于在两个通信应用程序之
间提供保密性和数据完整性。
&AIK(3#3(<():身份证明密钥,! 位的 密钥对,是背
书密钥 9< 的代替物,仅用于对 内部表示平台可信状态的数据和信息进行签名和验
证签名,不能用于加密,可以有多个 < 来向询问者提供平台可信状态的报告。
EK(9#<():背书密钥,9< 是 的身份标志,是 ! 位的 密
钥对。每个 都配置唯一的一个背书密钥,它可以创建 拥有者和创建身份证明密
钥 < 及其授权数据,是可信计算平台的可信报告根的主要组成部分,并存储在 内
部的非易失存储器。
SRK(<():存储根密钥,是 ! 位的 密钥对,是处于密钥树
根部的最高级存储密钥,主要用于对由 使用但是存储在 之外硬盘上的密钥进
行保护,是可信计算平台的可信存储根的主要组成部分。 以上三种密钥均为不可迁移
密钥
TRM(#,3):可信引用监视器,监控主体和客体之间授
权访问关系的部件。
TCA(#,3,*3,)可信连接架构,通过利用身份鉴别、平
台鉴别、完整性度量、访问控制等技术实现了安全连接,!!& 年由中国可信计算标准网
络组提出。()
! TCSEC(#)(9:$333 ) / 年美国国防
部制定的世界上第一个《可信计算机系统评价准则》,第一次提出可信计算机和可信计
算基的概念。
CRTM()可信度量根核,是平台启动时首
先被执行的一段软件,用于对后续启动部件进行完整性度量,是整个信任链度量的起点 ,
第
4
章 可信平台模块
5
它与 一起构成可信构建模块 。 (!)
DRTM(0(3,):动态可信度量根技术,其信
任度量不仅可以在平台启动的时候进行一次,还可以在平台启动以后的任何时刻再次进
行。
SRTM(3,):静态可信度量根技术,原来的只是在
平台启动时才进行一次完整性校验。919 指令,0<1 指令。
这个 安装在可信 平台的主板上,构成了可信 平台的信任根,这一点是可信
机与普通 机在主板结构上最大的不同。
武汉瑞达公司和武汉大学合作,!!年研制出我国第一款可信计算平台模块 9
和可信计算安全芯片 =! 芯片和可信计算平台“>?5 嵌入密码计算机”。=! 是
9 的核心芯片。
瑞达公司合作,开发出中国第一款 芯片 =! 和新一代中国可信密码模块 芯
片 =!。
.* 函数是一类重要的密码学函数。它的主要作用是产生数据块的摘要,辅助于认
证和数字签名等应用。为了确保安全,.*函数应满足下列安全性质@ 单向性对任
何给定的 .* 函数值 *,找到满足 .4A* 的 4 在计算上是不可行的。②抗弱碰撞性
对任何给定的数据 4,找到满足 (B4 且 .4A.(的 ( 在计算上是不可行的。抗弱碰撞
性又称为抗第二原象攻击。③抗强碰撞性找到任何满足 .4A.(的数偶4,(在计算
上是不可行的。
/; 南桥 "' 智能卡 C 控制外设
%可信计算 信任链交互模型的三个抽象进程实体分别为:可信平台模块 ,可信
度量根 ,硬件、固件和软件所构成的系统 (。(&) ( )
&作为55种信息安全产品,可信计算平台的测评工作,应该既包括对被测对象的安全性
分析工作,也包括安全标准与规范的符合性测试、安全渗透性测试、漏洞扫描测试等。
简答 ( /)
可信计算平台测试需求的对象:硬件 测试,软件 测试,安全策略信任链测
剩余32页未读,继续阅读
芝芝又荔枝
- 粉丝: 52
- 资源: 1
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
- 1
- 2
前往页