【文章內(nèi)容簡介】 ? 外部創(chuàng)建：需要保證同樣的安全性； ? EK一般由廠商生成，同時由生成 EK的實體負責創(chuàng)建 EK的 Credential； ? EK一旦生成，不允許再產(chǎn)生。 ? Access to PRIVEK內(nèi)部嚴格受限，它影響整個系統(tǒng)的安全性； ? Access to PUBEK外部嚴格受限，不為安全性而因私有性； ? EK 只參與兩個操作： ? Taking TPM ownership ? Creation of Attestation Identity Keys 50 證明身份密鑰 AIK(Attestation Identity Keys) ? 是 RSA(2048bits)公私鑰對，是 EK的別稱； ? AIK由 TCM的 Owner來創(chuàng)建和激活，數(shù)量不限制； ? 由 AIK(公鑰部分 )制作的 Credential可以包含特定應用信息； ? AIK替代 EK來完成簽名功能，主要用來對 TCM內(nèi)部產(chǎn)生的數(shù)據(jù)進行簽名，這些數(shù)據(jù)包括 PCR值、其它密鑰、 TCM狀態(tài)信息； ? AIK創(chuàng)建涉及三個命令： ? TCM_MakeIdentity: 創(chuàng)建 AIK密鑰對，并向 AIK Credential創(chuàng)建服務商透露AIK與 EK的綁定關系 ? TCM_ActivateIdentity: 對被加密的 AIK Credential進行解密 ? TCM_RecoverIdentity: 51 TPM Startup 52 TPM States 53 Enabled/Disabled 54 Active/Deactive 55 Physical Presence 56 Agenda ? 可信平臺的基本特性 ? 可信計算平臺的基本體系 ? 可信平臺模塊（ TPM）部件 ? 軟件接口和服務 ? TCG編程接口 ? Trusted Boot 57 可信計算平臺軟件層次結構 58 Layers ? TCG Service Provider (TSP) ? TSP Interface (TSPI) ? TSP Context Manager (TSPCM) ? TSP Cryptographic Functions (TSPCF) ? TCG Core Services (TCS) ? TCS Interface (Tcsi) ? TCS Context Manager (TCSCM) ? TCS Key Credential Manager (TCSKCM) ? TCS Event Manager (TCSEM) ? TCS TPM Parameter Block Generator (TcsipBG) ? TCG Device Driver Library (TDDL) ? TPM Device Driver (TDD) 59 TDDL接口 ? 處于用戶模式 ? TDDL提供了系統(tǒng)從用戶模式到核心模式的轉換 ? 優(yōu)點 : ? 確保以不同方式實現(xiàn)的 TSS能夠與任何 TPM通信。 ? 為 TPM應用程序提供一個與操作系統(tǒng)無關的軟件接口。 ? 允許 TPM廠商提供一個 TPM軟件模擬器作為其用戶模式的組件。 ? 單線程訪問 ? 由于 TPM不支持多線程并行操作，因此每個平臺將只能通過唯一的入口 ——TDDL來實現(xiàn)對 TPM的單線程訪問。 60 TCS接口 ? 核心服務 ?上下文管理 ——實現(xiàn)對 TPM的單線程訪問。 ?證書和密鑰管理 ——存儲與平臺有關的證書和密鑰。 ?測量事件管理 ——管理事件日志和對相關 PCR寄存器的訪問。 ?參數(shù)模塊生成 ——負責接收上層的同步請求，并排隊、處理 TPM命令。 ? 作為一個系統(tǒng)進程運行 61 TSP接口 ? 提供一個基于面向?qū)ο篌w系結構的 C語言編程接口 ? 駐留在與用戶應用程序相同的進程地址空間。 ? 用戶可以通過編程直接訪問 TSP 62 會話：用于驗證執(zhí)行 TPM命令的授權 63 A message in an authorized session ? Message Container ? identifies message type, size and formatting ? TPM Command ? mand name input/output parameters and return code ? Session State ? session ID, control flags and digest value of session messages 64 Agenda ? 可信平臺的基本特性 ? 可信計算平臺的基本體系 ? 可信平臺模塊（ TPM）部件 ? 軟件接口和服務 ? TCG編程接口 ? Trusted Boot 65 Naming Conventions ? Command ? discrete functionality of the TPM exposed externally and recognizable by TPMs mand processor. ? Function ? discrete functionality of nonTPM modules having programmatic interfaces. ? Operation ? Interface ? The set of mand or function entry points, including parameters and return codes, to a particular module. When used in singular context, Interface may refer to a single entry point. 66 消息格式 ? requestresponse model ? Request/Response Message 67 Command Ordinals ? Command Call: ? Command Reply: 68 包長與字節(jié)次序 ? TPM處理的包的最大長度： 4096字節(jié)。 ? 包中值的字節(jié)次序：與值在網(wǎng)絡中傳輸時的字節(jié)次序相同。 69 發(fā)送命令包和接收響應包 70 向 TPM發(fā) TPM_Reset()命令 71 向 TPM發(fā) TPM_GetCapability()命令 72 TPM open source software ? Available Open Source Software: ? TrustedGRUB ? TrouSerS TSS ? TPMTools ? OpenSSL TPMEngine ? TPMManager ? TPM Emulator 73 Open Source Software highlevel hierarchy 74 TPMManager 75 TPMManager 76 TPMManager 77 TPMManager 78 TPMManager 79 TPMManager 80 TPM mands ? The current TCG specification rev. 116 has 100 TPM mands ? TPM mands are classified into 5 categories ? Mandatory ? Optional ? Deprecated ? Deleted ? Vendorspecific ? The TCG spec. part 3 defines all input and output parameters for the available mands