一文读懂可信计算技术与产品生态

最新更新时间:2022-11-28来源: EEWORLD关键字:可信计算  国民技术 手机看文章 扫描二维码
随时随地手机看文章

一、什么是可信计算


1.可信计算带来哪些好处?

可信计算的基础是“可信平台模块”(Trusted Platform Module,TPM),其核心是一颗密码安全芯片,TPM可为主机提供三大可信计算基本功能:一是身份认证功能,用于赋予信息终端唯一可信身份, 确保其内部运行程序合法性, 确立互联网终端节点可信;二是安全度量功能,从技术上保障信息终端内部软硬件环境不被非法篡改或利用, 有效预防底层固件的蠕虫攻击;三是密码服务功能,提供数据加密服务, 使云端存储、云端数据交换等服务成为可信任的安全应用。


TPM的高安全防护等级可以有效阻止硬件设备运行BIOS级别和外设固件级别的恶意程序,有效保护具有计算能力的设备,防止非法用户/设备访问,并提供物理安全级别的敏感数据及密钥加密保护,安全配置策略等。任何软件方式的数据盗取,通信链路上的中间人和重放攻击,以及本地物理现场的探针、刨片等物理攻击方式对TPM芯片来说都不起作用。符合ISO/IEC 11889标准的TPM还支持中国商用密码算法体系(SM2/SM3/SM4),使得在数据保护上更加安全。


2.TPM的应用场景是什么?

拥有自己的TPM应用,就不用操心防御中间人攻击,重放攻击,字典攻击这些问题,即使在TPM指令的通信传输协议不加密的情况下,采用TPM协议也可以抵御上述网络攻击。有计算能力的设备都可以使用TPM,例如小型机、服务器、台式机、笔记本、平板电脑、智能手机、打印机、手写板、工业控制系统、电动汽车控制系统、AIoT设备等,用途非常广泛。


3.可信计算产品开发生态如何?

目前,多个开源项目对TPM 2.0的支持显示出ISO/IEC 11889标准强大的生命力,为新一代标准的广泛应用奠定了基础,也为可信应用开发提供了高端体验。


硬件环境:

市面上许多计算平台均已支持TPM 2.0,以微软Surface book为例,Surface Pro 5/6/7/8/9系列已经内嵌了国民技术Z32H330TC可信计算芯片。


安全BIOS:

基于Z32H330TC的完整性安全度量机制已经集成在设备BIOS中,可以抵御badBIOS这样的恶意攻击。TPM2.0的BIOS驱动和TREE操作代码可从下面的链接获得:

https://svn.code.sf.net/p/edk2/code/branches/UDK2015/SecurityPkg/Tcg/


OS驱动:

Linux Kernel 4.0开始支持TPM 2.0,如Ubuntu 20.04, Fedora 等,完美支持国民技术Z32H330TC芯片。


TPM中间件:

开源项目TPM2.0-TSS实现了TPM2.0的各种API,为上层可信计算应用开发提供支撑。可从下面的链接获取TPM2.0中间件资源:

https://github.com/tpm2-software/tpm2-tss


软件工具:

开源项目TPM 2.0 Tool在TSS 2.0基础上包装了TPM 2.0常用的安全操作、密码服务操作等功能,可以直接使用。TPM 2.0 Tool资源可从下面链接获取:

https://github.com/tpm2-software/tpm2-tools


4.可信计算标准有哪些?


我国可信计算起步较早,国家密码管理局于2007年12月在国密局公告第13号中发布了《可信计算密码支撑平台功能与接口规范》,这是我国第一个可信计算行业标准。经过10多年的发展演进,目前可信计算标准已由TCM 1.0全面向TCM 2.0演进,密标委组织制定了支撑可信计算密码应用的机制、协议、接口的相关标准体系,包括:

GM/T 0011 可信计算 可信密码支撑平台功能与接口规范

GM/T 0012 可信计算 可信密码模块接口规范

GM/T 0013 可信计算 可信密码模块接口符合性测试规范

GM/T 0058 可信计算 TCM服务模块接口规范

GM/T 0079 可信计算平台直接匿名证明规范

GM/T 0082 可信密码模块保护轮廓

GB/T 29829 信息安全技术 可信计算密码支撑平台功能与接口规范


国际上,2015年国际可信计算组织(Trusted Computing Group,TCG)制定的TPM 2.0 Library Specification正式成为ISO/IEC 11889国际标准,并且首次在ISO国际标准中成体系支持中国密码算法SM2/SM3/SM4。


5.中国可信计算产品如何认证?


可信计算相关产品属于商用密码产品范畴,根据市场监管总局、国家密码管理局联合发布的《商用密码产品认证目录》,与可信计算相关的产品认证种类有三种:


可信计算密码支撑平台认证

在《商用密码产品认证目录(第一批)》中,“可信计算密码支撑平台”类产品依据GM/T 0011/0012/0058/0028进行认证,其中GM/T 0028《密码模块安全技术要求》分为安全等级1-4级进行认证。


可信密码模块认证

为了适应TCM标准规范由1.0向2.0升级,2022年7月市场监管总局、国家密码管理局发布的《商用密码产品认证目录(第二批)》中新增了“可信密码模块”产品认证种类,其依据GM/T 0028 和GM/T 0012进行认证,即所谓TCM 2.0认证。作为TPM 2.0协议的一个子集,TCM 2.0协议依据GM/T 0012测试认证。GM/T 0028则分为安全等级1-4级进行认证。


安全芯片认证

单颗芯片实现的TCM可信密码模块属于密码“安全芯片”产品认证类,在《商用密码产品认证目录(第一批)》中,安全芯片依据GM/T 0008-2012《安全芯片密码检测准则》来检测,分为安全等级1-4级进行认证。


二、可信计算在网络身份认证中的应用


FIDO身份认证框架


网络安全事件频发,已经披露的事件不过是众多安全事件中的冰山一角。要解决网络安全问题,首先必须解决网络身份可信问题,相关基础设施必不可少。技术层面上,人或物接入网络并与身份认证基础设施交互时,需要分布式的身份采集/认证子系统,为个人、通信服务和其它各种类型的服务提供平台,这些要素从技术体系上构成了网络身份认证的框架。

image.png

快速网络身份认证(Fast ID Online,FIDO)应用是一个用于身份认证的国际标准,FIDO通过易用的客观物理事实如指纹、人脸、虹膜代替口令,统一分布式的认证器系统,统一开放的基于密码算法的认证协议,基于风险策略的身份认证基础设施,来进行可信身份认证。对于用户来说,刷指纹、刷脸等方式访问网络服务,胜在用户体验。

image.png

那么FIDO足够安全吗?如何保证身份认证信息的安全性呢?这就需要可信平台模块(TPM)的参与了。FIDO规范定义了基于TPM形成安全环境,以保护FIDO用户的网络身份验证凭据。TPM芯片是高等级的安全芯片,其安全性有足够保障。

image.png

FIDO标准组织联合W3C(万维网联盟,World Wide Web Consortium)在W3C Member Submission提交的FIDO 2.0: Key Attestation Format规范中详细定义了基于TPM的认证器实现,这意味着所有浏览器都要支持基于TPM的FIDO认证协议。特别需要说明的是,基于ISO/IEC 11889可信平台模块应用的FIDO 2.0可以直接使用中国密码算法SM2进行签名验证机制,详情可参考下面的链接:

https://www.w3.org/Submission/fido-key-attestation/


Windows可信身份认证应用


Windows登录使用的Microsoft Passport基于FIDO标准框架建立,同时使用了可信平台模块提供的FIDO认证密钥保护机制,达到了领先的安全性水平。认证密钥在TPM中生成,私钥将永远不会在物理安全芯片之外使用。

image.png

Microsoft Edge浏览器直接支持FIDO 2.0,W3C Web Authentication,可以直接基于TPM保护的密钥进行FIDO协议的身份认证,为全球和中国用户提供了一致、开放和领先的身份认证安全方案。


AIoT设备接入身份应用


树莓派具有电脑的所有基本功能,可以很方便地搭建和开发出非常丰富的轻量级AIoT终端应用,是AIoT应用理想的开发平台。其典型的应用环境包括:已成为流行ARM CPU嵌入式方案的树莓派开发平台;Windows 10 IoT Core操作系统;TPM 2.0可信模块,提供全球一致的安全性;微软Azure IoT Hub云服务,为物联网设备提供可靠的服务端数据存储等服务。这些都是物联网行业主流的技术应用平台。

image.png

在系统搭建和配置完成后,物联网设备与云服务之间的接入身份验证基于HMAC密码算法完成。设备端的HMAC计算在TPM中进行,服务端对计算结果进行验证,确认接入设备的身份,以防止设备身份假冒和钓鱼等攻击。TPM芯片是AIoT身份的理想安全载体,基于Windows IoT Core接入Azure IoT Hub云服务的物联网设备身份应用,基本上是即插即用的,充分实现了物理硬件安全,以及端到云的物联网设备身份可信应用。


三、国民技术可信计算产品解决方案


作为中国大陆唯一一家可信计算芯片供应商,国民技术面向全球市场提供一致化的可信计算芯片及解决方案,先后推出了全球第一款可信密码模块(TCM)安全芯片Z8H172T,第一款国产可信平台模块2.0(TPM 2.0)安全芯片Z32H320TC等产品。


目前,国民技术第三代可信计算芯片Z32H330TC以及基于Z32H330TC的可信密码模块(TCM)产品以高性能、高安全性、兼容国际和中国标准为核心竞争力,在全球一体化的产业链中被广泛应用。产品与x86,AMD64,ARM,龙芯,申威、RISC-V等主流CPU平台兼容,并得到了主流BIOS代码库的支持,与全球主要的计算机操作系统,如Windows、Linux、中国统信、中国麒麟、中国方德等操作系统无缝集成。

image.png

基于Z32H330TC的PCIe可信密码模块(TCM)

image.png

PCIe属于高速串行点对点双通道高带宽传输,所连接的设备分配独享通道带宽,不共享总线带宽,主要支持主动电源管理、错误报告、端对端的可靠性传输、热插拔以及服务质量(QOS)等功能。PCI Express 2.0接口的TCM模块为主机提供内置化的高集成可信密码模块,在工程实施的便利性上具有独特的优势,该模块使用国民技术Z32H330TC可信计算芯片。


基于Z32H330TC的USB可信密码模块(TCM)

image.png

另外一种基于Z32H330TC芯片实现的带USB接口的TCM模块,可为主机提供外置式便捷、高集成的可信密码模块,在工程实施上具有灵活性优势,可适应更多应用类型。


国民技术是国际可信计算产业唯一来自中国的可信计算芯片供应商,产品及解决方案主要应用于终端计算机、服务器、网络通信设备、嵌入式系统等领域,目前全球市场出货数百家OEM/ODM客户,以过硬的产品质量和优质的服务得到全球客户的广泛认可。


关键字:可信计算  国民技术 编辑:冀凯 引用地址:一文读懂可信计算技术与产品生态

上一篇:RISC-V生态建设大家谈
下一篇:酷芯携通信SoC AR8030亮相滴水湖中国RISC-V产业论坛

推荐阅读

一文读懂可信计算技术与产品生态
一、什么是可信计算1.可信计算带来哪些好处?可信计算的基础是“可信平台模块”(Trusted Platform Module,TPM),其核心是一颗密码安全芯片,TPM可为主机提供三大可信计算基本功能:一是身份认证功能,用于赋予信息终端唯一可信身份, 确保其内部运行程序合法性, 确立互联网终端节点可信;二是安全度量功能,从技术上保障信息终端内部软硬件环境不被非法篡改或利用, 有效预防底层固件的蠕虫攻击;三是密码服务功能,提供数据加密服务, 使云端存储、云端数据交换等服务成为可信任的安全应用。TPM的高安全防护等级可以有效阻止硬件设备运行BIOS级别和外设固件级别的恶意程序,有效保护具有计算能力的设备,防止非法用户/设备访问,并提供物
发表于 2022-11-28
一文读懂<font color='red'>可信计算</font><font color='red'>技术</font>与产品生态
国民技术汇聚11大主题与2款新品添彩ELEXCON 2022
国民技术汇聚11大主题与2款新品添彩ELEXCON 20222022年11月6日至8日,年度行业盛会“ELEXCON 深圳国际电子展暨嵌入式系统展”在深圳会展中心(福田)盛大举行,国产32位MCU和安全芯片的创新引领者国民技术携带通用MCU、安全芯片、无线射频等最新产品技术和解决方案参加展会,以11个主题展区共100余件全明星展品阵容精彩亮相,新品车规级MCU N32A455以及新一代物联网安全芯片N32S003产品应用全面展示与推介,并在展会同期举办的两个线下技术论坛和一场新能源媒体直播活动中分享了国民技术“通用+安全”产品最新技术布局和成功应用案例。在11月6日的“十四届MCU技术创新与应用大会”论坛上,国民技术市场总监刘亚明做
发表于 2022-11-10
<font color='red'>国民</font><font color='red'>技术</font>汇聚11大主题与2款新品添彩ELEXCON 2022
新品发布|国民技术推出新一代物联网安全芯片N32S003!
11月7日,国民技术发布新一代物联网安全芯片N32S003,并在深圳举行的ELEXCON 2022“第四届中国嵌入式技术大会”上进行推介,该芯片兼具高安全、小尺寸、高集成、易开发等特色,是一款高性价比物联网安全芯片。针对物联网市场的发展,国民技术持续创新并推出新一代N32S003物联网安全芯片,该产品采用32位内核,最高工作主频48MHz,最大内嵌64KB Flash和6KB SRAM,集成UART、I2C、SCD通信接口,内置主流密码算法硬件安全加速引擎,产品具有高安全、小尺寸、高集成、易开发等优势,特别适用于无线安全认证、电源安全认证、支付安全认证、耗材配件认证、智能表计安全、智能家居、智慧交通/车联网、智能穿戴安全认证等AIo
发表于 2022-11-08
新品发布|<font color='red'>国民</font><font color='red'>技术</font>推出新一代物联网安全芯片N32S003!
国民技术N32系列通用MCU助力汽车EDR应用
产业政策催生汽车EDR大市场工业和信息化部装备工业发展中心发布的《关于实施GB7258-2017第2号修改单相关事项的通知》,对《机动车运行安全技术条件》进行了补充,明确要求从2022年1月1日起,国内所有新生产的乘用车都强制要求配备汽车事件数据记录系统(event data recorder system,EDR)或配备符合规定的DVR车载视频行驶记录系统。2020年我国乘用车销量达到2531万辆,每年大约有超2000万辆的新车销量,预估EDR的市场总体增量规模可达到60亿元/年。根据ReportLiner研究显示,2021年中国乘用车EDR安装率为9%。预计随着政策强制安装EDR,2022年中国EDR产业的渗透率将从7.12%攀
发表于 2022-09-08
<font color='red'>国民</font><font color='red'>技术</font>N32系列通用MCU助力汽车EDR应用
方寸微电子推动可信计算产业的深度发展
近日,方寸微电子正式加入中关村可信计算产业联盟,致力于通过产业协同和融合,进一步延展企业发展路径,为联盟注入新动能。随着Internet技术的飞速发展,人们逐渐把技术的焦点从网络的可用性、信息的获取性转移到网络的安全性与应用的简易性上来。对于工业安全升级改造控制终端数据的安全传输尤为重要,终端设备能融合现有比较成熟的VPN接入技术,然而对于在轻量级的Rtos下实现VPN终端接入VPN服务器的功能是亟待解决的问题。为此,方寸微电子于2021年11月12日申请了一项名为“一种基于国产操作系统的网络安全终端装置及工作方法”的发明专利(申请号: 202111341345.X),申请人为山东方寸微电子科技有限公司。图1 本发明与VPN服务器端
发表于 2022-05-20
方寸微电子推动<font color='red'>可信计算</font>产业的深度发展
32个集成电路产业项目签约落地无锡经开区,含国民技术
4月27日,2022无锡经开区集成电路产业项目签约仪式举行,累计投资约20亿元的32个集成电路产业项目参与集中签约,涵盖东大生态链、人工智能芯片等领域。据悉,北京捷通华声科技股份有限公司董事长武卫东、国民股份公司副总经理阚玉伦、前诺德半导体(上海)有限公司总经理薛飞、福建龙夏微电子科技有限公司总经理赖海波分别作为企业家代表作致辞。据了解,本次签约落户的企业包括国民技术、深圳联志光电科技、合肥宽芯电子、上海前诺德、莱特威芯、福建龙夏半导体、白泽半导体等。会上,太湖湾集成电路设计服务平台揭牌仪式举行。无锡经开发布官微显示,太湖湾集成电路设计服务平台将作为太湖湾信息技术产业园精准招引和培育IC设计企业、快速打造半导体存储产业集群的重要抓手
发表于 2022-04-30
小广播
何立民专栏 单片机及嵌入式宝典

北京航空航天大学教授,20余年来致力于单片机与嵌入式系统推广工作。

换一换 更多 相关热搜器件
电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2023 EEWORLD.com.cn, Inc. All rights reserved