硕士论文-基于USBKey的移动TPM密钥管理研究.pdf

北京交通大学 硕士学位论文 基于USB Key的移动TPM密钥管理研究 姓名：刘觅 申请学位级别：硕士 专业：信息安全 指导教师：韩臻 20090601 中文摘要 摘要：互联网的高速发展，对安全保障提出了更高的要求。可信计算作为信息安 全的一项重要技术，它在软硬件上都采用新的体系结构来增强计算机的安全性。 当前各国关于可信计算的研究，从技术的发腱到产晶的研制都取得了一系列可喜 的成果，如何发展更加经济，更加方便的I J 信汁算机已成为学者研究的新的焦点。 作为可信计算的发展分支，便携式T P M 的研究将会逐渐呈现在研究者的眼l i i ，将 T P M 移植到智能卡或者U S BK e y 这种人们常见的载体上，是可信计算发展的新的 方向。作为T P M 中的重要组成部分，密钥管理一直是可信计算的研究重点，研究 移动T P M 中的密钥管理自然具有很大的意义。 与传统的T P M 桐比，基于U S BK e y 的移动T P M 密钥管理在实现基础、可f ，一 存储、密钥迁移、及授权协议上都仃肴i 1 人彳i 同。本文主要讨论了以U S BK e y 作 为载体的T P M 平台密钥管理方案及实现过程。通过对传统T P M 平台体系结构及 U S B K e y 的分析，总结了基于U S BK e y 的T P M 体系结构，综合分析了传统T P M 平台的密钥管理机制、密钥管理功能概况，提出了基于身份绑定的移动T P M 模块 这一概念，并以此为基础设计了移动T P M 的密钥管理总体方案，包括移动T P M 密钥和证书结构设计、可信存储设计、密钥功能设计、密钥迁移设计以及T P M1 1 1 最重要密钥A I K 的管理和T P M 授权管理等等。然后结合U S BK e y 的J a v a 智能卡 特征设计了方案中的数据结构、A P D U 命令集合、各部分功能的实现和A I K 管理 的实现。最后，构建了移动T P M 密钥功能管理的模块，采用J a v a 智能卡开发技术 对这些功能模块进行了实现，并使用A P D U 字节流命令测试了这些功能，评定了 功能实现的正确性。 关键词：可信计算；T P M ；U S BK e y ；可信存储；密钥管理；A P D U 命令 分类号：T P 3 9 3 2 j 曼塞交道厶堂亟堂位i 佥塞旦墨! ! A BS T R A C T A B S T R A C T ：T h er a p i dd e v e l o p m e n to ft h eI n t e r n e tn e e d sf o rh i g h e rs e c u r i t y r e q u i r e m e n t s A sa ni m p o r t a n tt e c h n o l o g yo fi n f o r m a t i o ns e c u r i t y , T r u s t e dC o m p u t i n g u s e st h en e wa r c h i t e c t u r eb o t hi nh a r d w a r ea n ds o f t w a r et oe n h a n c et h es e c u r i t yo fo u r c o m p u t e r s T h e c u r r e n tr e s e a r c ho fT r u s t e d C o m p u t i n gh a sm a d e as e r i e so f e n c o u r a g i n gr e s u l t sf r o mt e c h n o l o g yd e v e l o p m e n tt op r o d u c t s H o wt od e v e l o pm o r c e c o n o m i c a la n dc o n v e n i e n tT r u s t e dC o m p u t i n gp r o d u c t sb e c o m e san e wf o c u st ot h e r e s e a r c h e r s M o v et h eT P Mt os m a r tc a r do rU SBK e yi san e wd i r e c t i o no fT r u s t c d C o m p u t i n gd e v e l o p m e n t K e ym a n a g e m e n ti sav e r yi m p o r t a n tp a r ti nT P Mt e c h n o l o g y T h e r e f o r e ，t h es t u d yo fk e ym a n a g e m e n tm e c h a n i s mo np o r t a b l eT P Mi s o fg r e a t s i g n i f i c a n c e C o m p a r e dw i t ht r a d i t i o n a lT P M ，t h ep o r t a b l eT P M Sk e ym a n a g e m e n ti sm u c h d i f f e r e n to nt h er e a l i z a t i o nb a s i s ，t h et r u s t e ds t o r a g e ，t h ek e ym i g r a t i o na n d a u t h o r i z a t i o n T h i st h e s i sm a i n l yd i s c u s s e st h ed e s i g no fT P M k e ym a n a g e m e n tb a s e d o nU S BK e ya n di t si m p l e m e n t a t i o n A f t e ra n a l y z i n gt h et r a d i t i o n a la r c h i t e c t u r eo ft h e T P Ma n dt h es t r u c t u r eo fU S BK e y , w ec o m p r e h e n dt h eT P Ma r c h i t e c t u r eb a s e do n U S BK e y T h r o u g hac o m p r e h e n s i v ea n a l y s i so ft h et r a d i t i o n a lT P Mk e ym a n a g e m e n t m e c h a n i s ma n dt h ep r o f i l e so fk e ym a n a g e m e n t ，w eg i v et h ec o n c e p to fp o r t a b l eT P M b a s e do nt h ei d e n t i t yb i n d i n g T h e nw ep r o v i d et h eo v e r a l ld e s i g no ft h ep o r t a b l eT P M S k e ym a n a g e m e n t ，i n c l u d i n gt h eT P Mk e ya n dc e r t i f i c a t i o n ，t h ec r e d i b i l i t ys t o r a g eo ft h e k e y , t h ek e yf u n c t i o n s ，k e ym i g r a t i o n ，a n dt h em a n a g e m e n to f A I K C o m b i n e dw i t hJ a v as m a r tc a r do fU S BK e y Sf e a t u r e s ，w ed e s i g nt h ed a t a s t r u c t u r e ，A P D Uc o m m a n ds e t ，t h er e a l i z a t i o no fs o m ef u n c t i o n sa n d A I K m a n a g e m e n t A f t e rt h a t ，w ee s t a b l i s ht h ef u n c t i o no fp o r t a b l eT P Mm a n a g e m e n tm o d u l e ，u s et h e f e a t u r eo fJ a v aC a r dt e c h n o l o g yt oi m p l e m e n tt h ef u n c t i o nm o d u l e s ，a n dt h e nu s et h e A P D Uc o m m a n d st o t e s tt h e s ef u n c t i o n s F i n a l l yw ea s s e s st h ec o r r e c t n e s so ft h e f u n c t i o n s r e a l i z a t i o n K E Y W O R D S ：T r u s t e dC o m p u t i n g ；T P M ；U S BK e y ；T r u s t e dS t o r a g e ；K e y M a n a g e m e n t ；A P D UC o m m a n d s C L A S S N O ：T P 3 9 3 2 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 一龇川钆一期： 6 7 年月佃同 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内窬编入有关数据库进行检索， 提供阅览服务，并采用影印、缩印或扫描等复制手段保存、i L = 编以供查阅和借阅。 同意学校向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名： - 一 叫移 t 一期：1 年同 导! J f j 签积： 勿耀蜕谁 群嗍：下刖朗 致谢 本论文的工作是在我的导师韩臻教授以及移动可信计算项目组负责人张大伟 老师的悉心指导下完成的，韩臻教授和张大伟老师严谨的治学态度和科学的工作 方法给了我极大的帮助和影响。在此衷心感酣两年来韩臻老师和张大伟老师对我 的关心和指导。 韩臻教授悉心指导我们完成了实验窒的$ - t - J f i J l ：一J ：作，在学习上和生活上都给予 了我很大的关心和帮助，在此向韩臻老师表示衷心的谢意。 张大伟老师对于我的科研工作和论文都提出了许多的宝贵意见，在此表示衷 心的感谢。 另外，还要特别感谢何永忠老师，他为人! J I f j 表的责f t 感和作学的风范，使我 受益匪浅，衷心感谢何老j J I f j 在学习和研究r I 给弘我的1 l I j 助和指导。视您工作顺利! 在实验室工作及撰写论文期间，韩磊、吴晓武、王星等同学对我论文中的技 术研究工作给予了热情帮助，在此向他们表达我的感激之情。 另外也感谢家人，他们的理解和支持使我能够在学校专心完成我的学业。 在我的课程和硕士论文完成之际，谨向在我攻读硕士学位的过程中曾经指导 过我的老师，关心过我的朋友，关怀过我的领导和所有帮助过我的人们表示深深 的感谢! 1 1选题背景 1 引言 互联网的高速发展，对安全保障提出了更高的要求。我们需要系统能够保证 其真实性、完整性、隐私保护、匿名访问和可用性等。密码技术以及其他的些 安全方法，如防火墙、I D S 等虽然给出了一系列的解决方案，但他们的正确运行 都是建立在下层系统，尤其是操作系统是安全的前提下。目前计算甲台的一些安 全问题很多都是山于其自身体系结构的薄弱和复杂性造成的。凶此，工业组钐：提 出了町信汁算的概念，这足一种新的计算平台，在软硬件J 二部川新的体系结构水 增加计算的安全性。 传统的可信计算的主要做法是在P C 机硬件平台上引入安全芯片架构。T P M 是 可信计算技术的核心，它实际上是一个含有密码运算部件和存储部件的系统芯片。 以T P M 为基础的“可信计算”可从以下几方面来理解：用户的身份认征，表示对使 用者的信任；平台软硬件配置的正确性，表示使用者对平台运行环境的信任；应 用程序的完整性和合法性，表示对应用运行环境的信任；平台之间的町验证性， 表示网络环境下用户终端的相互信任。 可信计算平台是新一代能提供可信计算服务的计算机软硬件平台，它基于 T P M ，以密码技术为支持、安全操作系统为核心，是信息安全领域中起关键作用 的体系结构的变革，也是对计算机安全结构的一种回归。与现有的普通计算机相 比，它从芯片、主板等硬件结构和B I o S 、操作系统等底层软件做起，相当于增加 了一台独立的监控计算机，用信任链的方法提供系统的完整性、可用性和数据的 安全性【l 】。 当f j ，可信计算从技术的发展到产品的研制都取得了一系列可喜的成果，如何 发展更加经济，更加方便的可信计算机已成为学者研究的新的焦点。作为可信计 算的发展分支，便携式T P M 的研究将会逐渐呈现在研究者的眼前，将T P M 移植到 智能卡或者U S BK e y 这种人们常见的载体上，是可信计算发展的新的方向。 密钥管理作为可信计算平台模块的重要组成部分，是实现计算机安全平台的 基础，研究可信计算平台模块的密钥管理机制，成为了可信计算研究中的一大热 点。 1 2国内外可信计算发展现状 1 2 1 可信计算发展现状 1 9 9 9 年，I B M 、H P 、I n t e l 、M i c r o s o f t 等著名I T 企业发起成立了可信计算平台联 盟T C P A ，2 0 0 3 年T C P A 改组为可信计算组织T C G ，T C G 是一个非盈利性的，旨在 增强各种异构汁铭、f ，台安令r E 的工业标准化组织。 T C P A 定义了j 仃安全存储和加密功能的可信平台模块( T P M ) ，并于2 0 0 1 年1 月发布了丛于硬件系统的“可信计算平台规范”( v 1 0 ) 。2 0 0 3 年3 月T C P A 改名为 T C G ( T r u s t e dC o m p u t i n gG r o u p ) ，同年l O 月发布了T P M 主规范( v 1 2 ) t 2 】【3 】【4 1 。其门的 是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提 高整体的安全性。 目前，I B M 、H P 、D E L L 、S O N Y 、N E C 、T O S H I B A 、G A T E W A Y 等公司都 研制出了自己的可f 膏P C 机。I N F I N E O N 、B R O A D C O M 、A T M E L 、N A T I O N A L S E M I C O N D u C T O R 等公司都研制出了自己的可信计算平台模块( T P M ) 芯片。可信 计算的研究领域不断扩大，已从P C 迅速扩展到P D A 、服务器、手机等各类终端信 息平台。微软在其新一代操作系统V i s t a 中，也全面支持可信计算技术，并将可信 计算模块作为其安全特性的必备基础。 我国在可信计算技术研究方面进展也非常快，我国信息安伞领域的专家、学 者们在这方面投入了大量的精力，在可信计算机的研究、产业化及其应用方面做 了许多工作，在安全芯片、可信安全主机、安全操作系统、可信计算平台应用等 方面都先后开展了大量的研究工作，并取得了可喜的成果。 兆日公司：兆日公司是我国较早开展T P M 芯片研究工作的企业。2 0 0 5 年4 月， 兆同科技推出符合可信计算联盟( T C G ) 技术标准的T P M 安全芯片，并已经开展 了与长城、同方等多家主流品牌电脑厂商的合作。其安全芯片已通过国密局主持 的鉴定。 中兴集成电路：2 0 0 8 年1 月1 1 日，中兴集成电路申报的“中兴集成可信计算密 码支撑平台”顺利通过国家密码管理局的审查、测试，产品型号、名称被命名为 “S Q Y 4 6 可信计算密码支持平台”。 联想研究院：联想研究院是较早在可信计算领域罩投入技术研发并达到国际 一流水平的研究机构，其安全芯片和可信P C 平台已通过国密局主持的鉴定。联想 公司安全芯片的研发工作2 0 0 3 年在国密办立项，2 0 0 5 年4 月联想自主研发成功“恒 智T P M 芯片”，并于0 6 年3 月，J 下式成为T C G 标准组织的核心成员( T C GP r o m o t e r ) ， 和跨国公司一起制订未来可信计算技术的国际标准，进一步提升了中国企业在国 际标准制订中的话语权。 0 8 年4 月，中国可信计算联盟( C T C U ) 在国家信息中心正式成立。C T C U 的成立， 2 不仅对构建我国自主知识产权的可信计算平台起到巨大的推动作用，也标志着我 国的信息技术企业正在走向世界信息技术的核心领域。作为安全基础设施的可信 计算芯片将渗J 静l J l T 每个领域：P C 平台( 台式和笔记本) 、手机平台、可信网络接入 及应用中间件、服务器平台、存储系统、应用软件等所有环节。 1 2 2 可信计算密钥管理发展现状 T C G 规范作为研究可信计算技术的标准依据，已经建立了一个复杂的密码应 用和管理体系。该规范基于密码技术实现了多种应用安全机制、满足多种应用场 景的需求，同时在规范制定过程中也存在着T C G 升【织内多个厂商解决方案间的妥 协，这就使得可信计算中密钥戍用和管理存在这样些问题， i 要包括以下内容【5 】： ( 1 ) 行为控制。信任的基础足平台，而提供存储根密1 | j J 的源头足企业，一盟 存储根密钥被泄露，那么整个可信平台将很容易被解密。 ( 2 ) 可能的隐私外泄。使用T P M 后，整个系统的可信性完全取决于可信P C 的存储根密钥，每一台可信P C 都将有一个唯一的身份标谚 符。当用户在网络上进 行资源访问时，都存在将用户的个人信息外泄的风险。 ( 3 ) 可能的后门。出于核心技术都掌握在外的跨国公司手中，其可能存在认 为设定的后门，被信任的应用程序很有可能滥用收集到的用户信息。 ( 4 ) 用户选择的局限性。用户自己选择丌通或不丌通可信服务的余地越来越 小，只能依赖于所选的可信平台，用户在制定自己的使用策略时，也要受到平台 信任关系限制并且支持T C G 的可信平台将阻止用户运行非法的程序。 由上可知，由于可信计算涉及的密码算法、密码管理和安全协议必须符合国 家密码管理政策，因此，我国自己制定的可信密码模块【6 】规范体现了产业化和政策 的要求。 1 3论文的意义和主要工作 论文是依附于国家“8 6 3 ”计划项目可信计算平台信任链关键技术研究中的 移动T P M 项目组课题，基于U S BK e y 的移动T P M ( 本文简称移动T P M ) 密钥管理 旨在研究U S BK e y q b T P M 模块的可行性，改善传统T P M 中关于密钥管理的复杂体 系，利用U S BK e y 的结构特点，实现T P M 密钥在U S BK e y 的可信存储，建立U S BK e y 中的密钥和证书体制，完成基于U S BK e y 的身份密钥研究以及T P M 平台的身份认 证，并最终达到以下目标： 研究出基于身份绑定的可信计算模块密钥管理，通过移动T P M 的密钥及证 3 书结构的设计，可信存储设计、密钥迁移研究来完成身份绑定的T P M 模块 密钥管理方案。 实现移动T P M 内部密钥功能的设计，并在U S BK e y 模拟环境下进行完成各 功能模块的实现和测试。 通过移动T P M 身份认证的研究，来阐述身份证l 刿密钏( A I K ) 在移动T P M 中的重要性。 通过简化传统T P M 的授权管理体制，采用单一的对象几火授权协议( O I A P ) 来实现移动T P M 中与密钥管理相关的授权管理。 本文在研究上实现了上述目标，并在此基础上采用J A 、，A 卡J I ：发技术编码实现 密钥管理各模块功能，并用A P D U 命令进行了相应的测试，取褂了预期的效果。 1 4 论文的组织 在论文的组织上，本文将以如下章节丌展讨论： 第一章介绍了论文的选题背景、当今国内外可信计算标准和技术研究现状以 及论文的意义和主要工作，并针对第一章的介绍做了相应的小结。 第二章结合描述了传统的T P M 体系结构，结合U S BK e y 的结构特点设计了基丁： U S BK e y 的可信计算体系结构。 第三章重点研究了基于U S BK e y 的移动T P M 密钥管理方案，提出了基于用户身 份绑定的移动T P M 这一概念，并从T P M 密钥和证书结构等方面设计了基于身份绑 定的移动T P M 密钥和证书体制，然后研究了基于身份绑定的移动T P M 身份平台认 证机制，简要的概述了其授权管理方法。 第四章针对第三章的研究，采用U S BK e y 的通信协议和丌发特点，设计了密钥 管理的各种方法，具体的实现了移动T P M 的密钥管理功能，初步实现了移动T P M 平台的身份认证过程 第五章结合上述关于移动T P M 的研究和实现，采用U S BK e y 的J a v a 卡开发技术 对密钥管理的各功能模块进行了开发实现，并结合T C G 规范对这些功能进行了相 应的测试。 第六章对全文进行了总结，比较了移动T P M 和传统T P M 在密钥管理的不同之 处，并针对移动T P M 下一步的难点工作进行了相应描述。 1 5小结 本章主要介绍了论文的选题背景、国内外可信计算的发展现状以及论文在研 4 究可信计算方面的主要内容。随着可信计算技术的飞速发展，可信计算研究领域 也越来越宽，越来越深，将可信计算的核心模块T P M 移植- 至U U S BK e y 这种便携式载 体上来，是可信计算研究的一个新的热点。为实王贝, U S BK e y d 尸的T P M ，文章提出了 基于T P M 的密钥管理体制及相关内容。随后介绍了论文的_ _ l 二要研究内容。 5 2 基于U S B K e y f l , 3n - q 信计算原理 2 1可信计算平台 一个可信的平台是指平台可以被本地和近程实体信任，实体包括用户、软件 或者网站等等，它强调行为和系统的完整性。平台的可信可以从以下几个方面理 解： ( 1 ) 用户的身份认证，体现了平台对使用者的信任。 ( 2 ) 平台软硬件配置的正确蚀，体现了使用者对平台运行子环境的信任。 ( 3 ) 应用程序的完整性和合法性，体现了J 世l 】程序运i t 的可信。 ( 4 ) ， ，台之间的可验证性，体现了网络J 不境卜、F 台之I 1 1 j 的相互信任。 可信计算平台的基本思路是：首先构建一个信任根，信任根的可信性由物理 安全和管理安全确保；再建立一条信任链，从信任根丌始到硬件平台、到操作系 统、再到应用，一级认证一缀，一级信任一级，从而把这种信任扩展到整个可信 计算领域，这称为信任的传递机N t 7 】。 对于一个可信计算平台，至少要包括三个特性：保护功能，证明，完整性的 测量、存储和报告【8 】。 ( 1 ) 保护功能 保护功能是指一个拥有高级权限的接口函数集合，只有这些接口函数才可以 访问保护区域。保护区域是指可以对敏感数据进行安全操作的区域，在保护区域 中的数据只能通过保护功能来访问。在可信计算平台中，保护功能和保护存储可 以用于保存和报告完整性测量的结果。另外，保护功能还包括了密钥的管理、随 机数的生成，以及把随机数绑定到一个特定的状态等功能。 ( 2 ) 证明 证明是一个对信息的正确性进行验证的过程。外部实体的证明过程以T P M 提 供的保护存储、保护功能和信任根为基础。在证明时，需要提供被证明实体的特 征信息，对于平台来说，特征即为影响平台完整性的部分。在所有形态的证明过 程中，都必须保证使用的被证明实体信息是可靠的。 ( 3 ) 完整性的测量、存储和报告 完整性的测量是指对平台完整性相关的特征进行测量，并把测量结果的摘要 保存在平台配置寄存器P C R 中的过程。测量的开始点称为可信测量的根，静态测量 的根从一个公开的状态开始。完整性的存储是完整性测量和完整性报告的一个中 6 间步骤。完整性的存储包括完整性测量的R 志和保存在P C R 中的完整性测量摘要。 完整性报告是证明完整性存储内容的过程。通过报告机制来完成对平台可信性的 查询，如果平台的可信环境被破坏，询问者可以拒绝与该平台交互或向该平台提 供服务。 2 2基于U S BK e y 的移动可信平台模块 可信平台模块T P M 是可信计算的核心，传统的T P M 是一种硬件设备，其叶，含 有密钥运算部件和存储部件，其与平台主板相连，用于验证身份和处理计算机或设 备在可信计算环境中使用的变量。基于U S BK e y 的移动可信平台模块( 以下简称移 动T P M ) 是在传统T P M 技术的恭础上，将T P M 直的U S BK e y 这个便携芑载体卜， 使用移动T P M 来保证整个计算机系统的“可信”。 3应用程序 善 窭T S SS e r v i c eP r o v i d e rI n t e r f a c e ( T S P I ) 型 墨 雌 T S SS e r v i c eP r o v i d e r ( T S P ) 乏T s 兰。r e S e r v i c eI n t e r f a c e c T C S - 一 T S SC o r eS e r v i c e ( T C S ) 密钏和征T P M 参数 上下文管理事件管理审计管理 l ；管理 快产生器 b 鏊 螺I 礞。 T P MD e v i c eD i r v e rL i b r a r yI n t e r f a c e ( T D D L I ) T C G 设备驱动库( T D D L ) 图2 1 ：移动T P M 在可信计算平台中的位置 在本文中的U S BK e 滞指具有J a v a 智能卡虚拟机、J a v a 智能卡内库、J a v a 智能 卡应用管理组件和J a V a 智能卡运行环境的J a v aK e y ，移动T P M 模块由于以U S BK e y 作为载体，它的许多硬件特性继承了U S BK e y 的硬件特性，而软件环境同样也采用 T U S BK e y 的J a v aK e y J 垂行环境。其主要系统组成如下【9 】： 7 氽_矧川引儿丌翻直v 韭噩Z 亟厶堂亟士堂逵监窑墨王丛S 基K Y 鳇卫篮让簋厘理 翻2 - 2 ：U S B K e y 系统H l 收 移动T P M 提供的主要特性包括f ”】： r 1 1 加密功能。 ( 2 1 、r 台完整性报告。 ( 3 慢保护的密钥和数据存储。 ( 4 ) 仞始化和密钥管理功能。 另外，移动T P M 还提供了一些其他的功能特性，例如随机数产生器、非易失 性存储、传输会话、单调计数器等等。 总体柬讲，移动T P M 的体系结构中包括的部件如图所示： 图2 - 3 ：移动T P M 体系结构 I O 部件为通信总线，它的任务包括执行北部总线和外部总线之间进行转换的 通信协议，将消息发送到合适的部件，执行对T P M 进行操作的安全策略】。 T P M r p 与密码运算相关的操作有非对称密码运算R S A 密钥生成、加密解密、 H A S H 运算和随机数生成等，一般情况F ，T P M 中非对称密码运算功能仅供内部加 密和签名认证使用，不对外提供服务函数接口。 密码协处理器负责R S A 运算的实现，它内含一个执行运算的R S A 引擎，提供对 内对外的数字签名功能，内部存储和传输数据的加密解密功能，以及密钥的产生、 安全存储和使用等管理功能。 密钥生成器负责生成对称密码的密钥和l F 对称密码运算的密钥对，T P M 可以 无限制地生成密钥。对于R S A 算法而占，它要完成人素数的测试，密钥生成过程 会使用到随机数发生器随机产生的数据。 随机数发生器负责产生各种运算所需要的随机数，它通过一个内部的状态机 和单向散列函数将一个小可预测的输入变成3 2 字节长度的随机数，其输入数据源 可以是噪音、时钟等，该数据源对外不可见【2 1 。 T P M 的加密功能模块主要有：非对称密钐j 产生、非对称加密解密、H A S H 运 算、随机数发生器等。 非对称加密算法R S A 是用来进行数字签名和J J u 密用的。R S A 算法的公钥指数e 必须等于2 岫+ 1 。 T P M 可以支持对称加密，但是对称加密只能提供给T P M 内部使用，不能为T P M 的普通用户提供对称加密功能。T P M 中对称加密算法主要用来加密鉴权信息，保 证传输会话过程的保密性，对T P M 外部存储的数据块提供内部加密。 T P M 有一个平台设置寄存器，它是一个1 6 0 位的存储单元，主要存储一些独立 的完整性测量报告相似。协议规定T P M 至少支持1 6 个P C R 。 P C R 的更新按照下式进行： P C R iN e w = H A S H ( P C R iO l dv a l u eI | v a l u et oa d d ) 在移动T P M 体系结构中可以看到，大部分内容都是围绕密钥实施的，加密算 法、密钥发生器、P C R 存储等等，都离不丌密钥的支持。 2 3小结 本章主要介绍了传统的可信计算平台，描述了基于U S BK e y 的移动可信平台 模块，并设计了移动可信平台模块的体系结构和软件环境，为后面的设计和实现 作了基础准备。 9 3 移动T P M 密钥管理方案 本文是以U S BK e y 作为T P M 实现的载体，下面讨论的是本文基于U S BK e y 的T P M 密钥管理的总体目标、基奉功能模块、密钥迁移和授权管理机制等等。 3 1 移动T P M 密钥管理总体目标 可信计算中的密钥安全性直接关系到整个可信计算平台的安全程度，对密钥 管理的好坏也直接关系剑整个平台本身的安全，在整个可信计算体系中占有举足 轻重的地位。 与传统的T P M 密 0 J ! ! ：i ；S I l ! - 4 l 比较，移动T P M 的密钥l 三；理彳、= 川之处 ：要体现祚： 以下几个方面： 1 、实现基础 传统的T P M 模块是与讨算机平台进行绑定的，本文的移动T P M 在研究上是 与T P M 身份，即用户身份进行绑定的。传统的T P M 模块嵌入在计算机主板上， 其设计的基础是基于计算机平台的，一个T P M 模块只能对应一个平台，计算机的 多用户操作系统使得一个T P M 可以对应多个用户身份，这样体现T P M 与计算机 是一对一、T P M 与用户身份是一对多的关系，体现了T P M 与计算机平台绑定的特 征；而移动T P M 由于其可移动的特点，使得一个移动T P M 模块不再对应唯一一 个计算机平台，相反由于移动T P M 的所有者唯一性，一个移动T P M 只能对应一 个T P M 用户身份，这样移动T P M 与计算机是一对多、T P M 与用户身份是一对一 的关系，即体现了T P M 与用户身份绑定的特征。 图3 1 ：基于平台绑定的T P M 模块 1 0 图3 2 ：基于身份绑定的T P M 模块 2 、可信存储 传统的T P M 在密钥结构上采用多链式存储结构，其链弋结构t I - 火- J ：川户身份 密钥A I K 的存储也是多链的，即存储结构中A I K 可以有多个，本义的移动T P M 密钥结构也采用层级链式结构，但是在整个结构中A I K 只能作为S R K 下的一个子 密钥存在，用来进行平台身份的认证，一个移动T P M 中不允许有一个以上的A I K 存在。 当移动T P M 模块应用于一个计算机平台时，密钥管理机制会将该计算机平台 的密钥加载进移动T P M 的根密钥S R K ，这样来实现可信存储保护。 3 、密钥迁移 传统的T P M 密钥迁移是将可迁移密钥从一个计算机平台迁移到另外一个可信 的计算机平台，属于平台间的密钥迁移。在移动T P M 中的密钥迁移是将可迁移密 钥从一个可信的U S BK e y 迁移到另外一个可信的U S BK e y ，如果足迁移A I K ，则 表示用户身份的迁移。 4 、授权协议 传统的T P M 在授权协议上采用了五种授权协议，某些授权协议在实际的T P M 应用的使用的很少，在移动T P M 的研究中，简化了这些复杂的授权协议，采用对 象无关授权协议来管理整个移动T P M 授权过程。 针对上面的不同点，本文设计了基于U S BK e y 的密钥管理方案，研究了移动 T P M 自身了密钥和证书体制、可信存储、密钥功能等等。具体划分为移动T P M 密 钥和证书、可信存储、密钥管理功能、A I K 密钥管理和移动可信平台授权管理等 模块，每部分模块总体体现在下面个各个小节中。 3 2移动T P M 密钥与证书结构 密钥和证书是T P M 平台实现“可信”的必备条件，在移动T P M 密钥和证书模 块，本文研究了传统的T C G 规范关于T P M 的密钥和证书，总结和设计了基于U S B K e y 的密钥和证书结构。 移动T P M 的密钥和证书类型与传统T P M 人致十H 同，两者最大的不同点在于 传统的T P M 模块是与计算机平台进行绑定的，而本文的移动T P M 模块是与T P M 身份进行绑定的。在证书体制方面，传统T P M 的平台证书是针对单一的计算机甲 刽1 2 1 ，而基于U S BK e y 的移动T P M 平台证书足针对多个计算机平台，在平台证 书体制里面，必须有多个平台证书埘应棚应的计算机平台。 3 2 1 移动T P M 密钥结构 在基于U S BK e y 的整个T P M 密钥体系中，按照T C G 规范定义了7 种密钥类 型，来应用于移动可信计算平台上。密钥总体上可分为签名密钥和存储密钥，它 们被进一步分为平台、一致性、绑定、派生密钥，对称密钥被单独分类为鉴定密 钥【13 1 。 ( 1 ) 背书密钥( E n d o r s e m e n tK e y ) 背书密钥是一个长度为2 0 4 8 位的R S A 公私钥对，对应的公钥、私钥分别表 示为P U B E K 、P R I V E K 。其中私钥只存在于T P M 中，且一个T P M 对应唯一的E K 。 E K 被用来执行两种操作，在平台用户建立时来解密用户的授权数据和与产生确认 A I K ，从来不会被用于加密或签名。 ( 2 ) 存储密钥( S t o r a g eK e y ) 存储密钥是用来存储其他密钥( 如存储、绑定、签名密钥等) 和对数据进行 加密的密钥，但是它不存储对称密钥。存储密钥是2 0 4 8 位的R S A 私钥，可以是 可迁移密钥，也可以是不可迁移密钥。 ( 3 ) 身份密钥( I d e n t i t yK e y ) 身份密钥是不可迁移的签名密钥，是T P M 产生的一种特殊的密钥，和其证书 一起提供，用来处理用户的受保护信息。在本文中身份密钥为R S A 密钥对，其长 度为2 0 4 8 位，为可迁移密钥。 身份密钥的父密钥通常是S R K ，这保证了身份只存在于给定的T P M 中，一旦 用户从T P M 中清除，身份密钥也将会销毁。 ( 4 ) 签名密钥( S i g n i n gK e y ) 签名密钥是多种位长的标准R S A 签名密钥，在T P M 中最长位数为2 0 4 8 位。 1 2 用来签名应用程序数据和消息。签名密钥可以是迁移的，也可以是不可迁移的。 可迁移的密钥能够在T P M 之间进行导入和导出，后面会加以介绍。 ( 5 ) 绑定密钥( B i n d i n gK e y ) 绑定密钥被用来在一个平台加密小的数据( 如对称密钥) ，然后在另外一个平 台进行解密。即绑定密钥用来存储埘称密钏，它可以存储单个或多个对称密钥。 它只能用来对对称密钥进行基本的R S A 加密，不能j f j 米加密除对称密钥以外的其 他内容。 ( 6 ) 派生密钥( L e g a c yK e y ) 派生密钥被用来在一个平台加密小的数据( 如对称密钥) ，然后在另外一个平 台进行解密。在T P M 里面很少用到派! I i 密剀。 ( 7 ) 认证密钥( A u t h e n t i c a t i o nK e y ) 认证密钥为t l ：- x , t 称密钥，用水保护T P M 之问的会话传输。认证密钥在T P M 涉及的也比较少。 这七种密钥和T P M 的保护存储功能相关，T P M 的可信存储根R T S 保护存放 在T P M 罩的密钥和数据。T P M 只在易欠性存储器中管理一小部分当前正在使川的 密钥，不常使用的密钥是保存在T P M 外面的，只有需要使用时才调用T P M 命令 函数将其加载到T P M 罩。 在上面设计的七种密钥中，有三种密钥是极其重要的，即背书密钥E K 、存储 根密钥S R K 和身份证明密钥A I K 1 4 】。 ( 1 ) E K ：E K 是平台信任的基础，E K 的证书用于证明该平台是可信的，通 常由生产厂商或者相关的可信第三方P r i v a t e C A ( P C A ) 办法E K 证书。 ( 2 ) S R K ( S t o r a g eR o o tK e y ) ：S R K 在建立T P M 所有者时产生，该密钥的私 钥保存在T P M 的保护区域中，并且是一个不可迁移密钥，作为存储密钥的一种， 存储根密钥( S R K ) 是整个T P M 密钥链的跟它总是存储于T P M 中。 在移动T P M 的整个密钥体系中，一个T P M 内只能有一个S R K ，S R K 作为T P M 根密钥来存储其他密钥信息。 ( 3 ) A I K ( A t t e n t i o nI d e n t i t yK e y ) ：A I K 是身份密钥的一种，是T P M 中比较 重要的一类密钥，用来对平台的相关数据进行签名，可以证明这些数据是来自一 个可信平台。由于E K 唯一标志了一个T P M ，E K 的公钥和私钥都需要受到保护， 需要尽量避免使用E K 。A I K 的目的就是代替E K 来提供平台的证明。它只提供签 名但不用来加密，传统的T P M 中，A I K 只对平台配置值P C R 值进行签名。 同样，在移动T P M 的整个密钥体系中，一个T P M 内只能有一个A I K ，用来 证明平台可信状态。 在将T P M 移植到U S BK e y 之后，密钥定位已经有了很大不同，传统的T P M 1 3 密钥是与计算机平台进行绑定的，即一个平台可以只能有一个存储根密钥( S I ) ， 在多用户操作系统里面一个计算机平台可以有多个用户身份，这样S R K 与身份密 钥A I K 的关系是一对多的关系，但是在基于U S BK e y 的T P M 密钥体系中不再是 这种火系。由于基于U S BK e y 的T P M 可以在多个可信平台问使用，因此一个计算 机、f ，台对应多个T P M 模块，计算机平台不再与唯一的S R K 绑定，这样体现了平 台jS R K 是一对多的关系。事实上，在每个T P M 模块内部，只能有一个S R K 和 一个A I K ，来保证该移动环境的可信性，这样就体现了移动T P M 模块是基于身份 密钥的绑定，而不是基于计算机平台的绑定，于是基于U S BK e y 的T P M 模块也就 是本文下一节提到的基于身份绑定的T P M 模块。 3 2 2 移动T P M 证书结构 为了实现密钥存储和使用，以及安全计算，可信计算使用了多种数字证书， 密钥的使用和生成都离不开数字证书，证明平台的身份更是需要证书的保护。本 文在T C G 证书【1 5 1 的基础上设计了基于U S BK e y 的T P M 平台证书，即背书证书( E K 证书) 、身份证书( A I K 证书) 、平台证书、确认证书和一致性证书，其中E K 证书 和A I K 证书主要用在可信计算平台的身份绑定管理中。在证书结构中，最重要的 部分是存储在T P M 内部的公私钥对的公钥。设计的三种证书如下： ( 1 ) 背书( E n d o r s e m e n t ) 证书 在上节密钥设计中提及了E K 的私钥部分是决不可泄露和不可被T P M 外部访 问的，也不用来加解密数据，为了达到这一要求，需要对产生和植入E K 的过程以 及E K 的载体T P M 来源严格把关，E K 证书就是用来为这些提供证明的。 E K 证书由生成E K 的厂商来发布。在建立的平台所有者之后，其存于只有被 授权的实体才可读取的存储器里，以防平台所有者的私有信息泄露。在本文中， E K 证书仅在向P C A 申请A I K 证书时提供身份证明，之后就由A I K 来替代E K 提 供平台身份证明。E K 证书包含T P M 制造者名、T P M 型号、T P M 版本号和E K 公 钥。该证书是X 5 0 9 属性证书，除了生成A I K ，其它时候都不应该使用它。由于 E K 证书包含E K 公钥，因此E K 证书必须在T P M 的E K 产生之后才能发布。 E K 证书是用来证明该T P M 模块是否符合相应的T C G 标准，它包含以下数据 段： 表3 - 1 ：E K 证伟数据段 数据段名称说明 证书类型标签使用共享密钥区分发