可信计算密码支撑平台完整性度量和密码机制的研究_徐日

2009年第04期，第42卷 通 信 技 术 Vol.42，No.04,2009 总第208期Communications Technology No.208,Totally
可信计算密码支撑平台完整性度量和密码机制的研究
徐 日①②， 毛 明①， 高献伟①
(①北京电子科技学院，北京 100070；②西安电子科技大学 通信工程学院，陕西 西安 710071)
【摘 要】国家密码管理局发布可信计算密码支撑平台功能与接口规范，用于指导我国可信计算平台的研究与应用。

研究可信计算密码支撑平台和TCM（可信密码模块）的组成结构，分析密码算法的支撑作用和可信计算密码支撑平台的完整性度量机制。

从而发现可信计算密码支撑平台和TCG（可信计算组织）的可信计算平台在完整性度量和密码机制方面的差异，得出可信计算密码支撑平台的优越性。

【关键词】可信计算密码支撑平台；可信密码模块；完整性度量
【中图分类号】TP309【文献标识码】B【文章编号】1002-0802(2009)04-0111-03
Integrity Measurement and Cryptographic Mechanism of Cryptographic Support Platform for Trusted Computing
XU Ri①②, MAO Ming①, GAO Xian-wei①
(①Beijing Electronic Science and Technology Institute, Beijing 100070, China;
②Department of Telecommunications Engineering, Xi Dian University, Xi an Shaanxi 710071, China)
【Abstract】In order to instruct the research and application of TCP (Trusted computing Platform), Functionality and Interface Specification of Cryptographic Support Platform for Trusted Computing is published by State Cryptography Administration Bureau. The paper describes researches on the architecture of cryptographic support platform for trusted computing and TCM (trusted cryptography module), analyzes the support effect of cryptographic algorithm, and explores the integrity measurement mechanism of cryptographic support platform for trusted computing. Consequently, the difference between cryptographic support platform for trusted computing and TCP of TCG (Trusted Computing Group) in the integrity measurement and the cryptographic mechanism is presented, and the advantage of cryptographic support platform for trusted computing is concluded.
【Key words】cryptographic support platform for trusted computing; TCM; integrity measurement.
0 引言
1999年，IBM、HP、Intel和Microsoft等公司发起并成立了TCPA(Trusted Computing Platform Alliance)，2003年TCPA改组为TCG(Trusted Computing Group)[1]。

TCPA和TCG制定了关于可信计算平台、可信存储和可信网络连接等一系列技术规范，TCG首次提出可信计算机平台的概念，并把这一概念具体化到微机、服务器、PDA 和手机，且提出了具体的可信计算平台的体系结构和技术路线，不仅考虑信息的秘密性，更强调了信息的真实性和完整性。

可信计算在我国发展较快。

2004年10月由武汉瑞达公司研制的我国第一款自主研制的可信计算平台通过国家密码管理局的技术鉴定，2005年联想集团的“恒智”芯片和可信计算机相继研制成功，同年北京兆日公司的TPM(Trusted Platform Module)芯片也研制成功。

此外，同方、方正、浪潮等公司也都加入了可信计算的行列[1]。

1 功能和结构
国家密码管理局基于《可信计算平台密码技术方案》基
收稿日期：2008-09-11。

作者简介：徐 日（1978-），男，西安电子科技大学通信工程学院硕士生,北京电子科技学院计算机科学与技术系工程师，主要研究方向为可信计算，信息安全；毛 明（1963-），男，教授，硕士生导师，主要研究方向为密码学，信息安全；高献伟（1970-），男，副教授，
主要研究方向为SOC与FPGA技术在通信中的应用等。

111
础上，于2007年12月29日发布《可信计算密码支撑平台功能与接口规范》（以下简称规范），详细定义了可信计算密码支撑平台的密码算法、密钥管理、证书管理、密码协议、密码服务等应用接口规范，适用于可信计算密码支撑平台相关产品的研制、生产、测评和应用开发[2]。

1.1平台功能
可信计算密码支撑平台在计算系统中的作用如图1所示，平台主要提供完整性、身份可信性和数据安全性的密码支持，密码算法与平台功能的关系如图2所示。

平台完整性：利用密码机制，通过对系统平台组件的完整性度量、存储与报告，确保平台完整性。

平台身份可信：利用密码机制，标识系统平台身份，实现系统平台身份管理功能，并向外部实体提供系统平台身份证明。

平台数据安全保护：利用密码机制，保护系统平台敏感数据，其中数据安全保护包括平台自身敏感数据的保护和用户敏感数据的保护，另外也可为用户数据保护提供服务接口。

1.2平台结构
平台结构主要分为TCM和TSM（TCM service module）。

TCM是可信计算密码支撑平台必备的关键基础部件，提供独立的密码算法支撑。

TCM定义了一个具有存储保护和执行保护的子系统，该子系统将为计算平台建立信任根基，并且其独立的计算资源将建立严格受限的安全保护机制。

为防止TCM成为计算平台的性能瓶颈，将子系统中需执行保护的函数与无需执行保护的函数分开，将无需执行保护的功能函数由计算平台主处理器执行，这些功能函数构成TSM。

TCM结构如图3所示，各部件功能如下：
图3 TCM结构
I/O：TCM的输入输出硬件接口；
SMS4引擎：执行SMS4对称密码运算；
SM2引擎：产生SM2密钥对，执行SM2加/解密、签名运算；
SM3引擎：执行杂凑运算；
随机数产生器：生成随机数；
HMAC引擎：基于SM3引擎，计算消息认证码；
执行引擎：TCM的运算执行部件；
非易失性存储器：存储永久数据的存储部件；
易失性存储器：TCM运行时的临时数据存储部件。

2 密码机制
可信计算密码支撑平台涉及密码算法包括：SM2椭圆曲线密码算法、SMS4对称密码算法、SM3密码杂凑算法、HMAC消息认证码算法、RNG（随机数发生器）。

SM2椭圆曲线密码算法，密钥长256位，包括：系统参数、密钥对生成和三个子算法，三个子算法分别是：数字签名算法(SM2-1)、密钥交换协议(SM2-2)、加密算法(SM2-3)。

SMS4是对称密码算法，分组长度为128bit，密钥长度为128bit，加密算法和密钥扩展算法都采用32轮非线性迭代结构，加、解密算法的结构相同，只是轮密钥的使用顺序相反。

规范要求采用CBC 模式，Ⅳ由用户自定义，数据的最末分组(128bit/16byte)需填充，如果最末数据分组长度为16byte，则在其后填充16个内容为16的byte，否则按最末数据分组不足16byte所缺少的字节个数d，填充d个内容为d的byte。

SM3密码杂凑算法，对给定的长度为k(k<264)的消息，经填充、迭代压缩和选裁，生成杂凑值，迭代压缩时，输入为预处理的消息分组64byte，输出摘要为32byte。

HMAC消息认证码算法，利用密码杂凑算法SM3，对给定的消息和验证双方共享的密码信息产生长度为t(16≦t ≦32)个字节的消息验证码，计算公式：HMAC＝SM3((K0⊕opad) || SM3((K0⊕ipad) || text))[2]，TCG规范对TPM要求HMAC消息认证码算法使用支持20byte的SHA-1算法[3,4]。

RNG，规范不限定随机数生成的算法，算法由TCM制造商设计实现，要求所生成的随机数必须为真随机数，并满
平台身份可信平台数据安全保护
平台
完整性
112
足国家商用密码随机数检测要求。

3 完整性度量
TCG定义“可信”：如果一个实体的行为总是以期望的方式，达到预期的目标，我们就认为它是可信的[1]。

可信平台的可信根分别是：RTM（可信度量根），RTS（可信存储根），RTR（可信报告根）。

RTM是能进行完整性度量的计算引擎。

RTS是能保持完整性度量摘要值及其顺序的计算引擎。

RTR是能可靠报告RTS所持有信息的计算引擎。

可信计算密码支撑平台以TCM为可信根，通过以下三种机制及平台自身安全管理实现平台安全功能：
(1)以RTM为起点计算系统平台完整性的度量值，建立计算机系统平台信任链，确保系统平台可信。

(2)RTR标识平台身份的可信性且有唯一性，以RTR为基础实现平台身份证明和完整性报告。

(3)基于RTS实现密钥管理、平台数据安全保护功能，提供相应的密码服务[2]。

3.1 PCR(平台配置寄存器)
PCR位于TCM，用于保存完整性度量的摘要值，代表当前平台的配置状态，是保证平台完整性的基础，所有PCR 都是32byte的存储空间，规范没有限定PCR的数量，但TCG 规范要求TPM至少支持24个PCR[4,5,6]。

规范要求，在TCM 启动时PCR以一定的规则被赋予初值，平台完整性度量结果以SM3摘要的形式存储在PCR中，为在一个PCR中存储更多的摘要值，PCR在存储时执行扩展机制，计算公式[2]如下：PCR[i] = SM3 (PCR[i] || new value to add)
3.2预定义
在对部件的完整性度量中，参照比对的标准值由预定义机制产生，并保存在可信存储区，形成标准值仓库[2,7]，标准值的生成和修改必须得到TCM拥有者的身份授权，否则不能进行。

对某部件的完整性度量，如度量结果与标准值相同，则它可获得执行权。

3.3完整性度量
完整性度量是对某部件的特征代码计算摘要值，并将摘要值保存在特定PCR的过程。

完整性度量始于RTM，以根可信为前提，对即将获得执行权的部件的特征代码进行完整性度量，以SM3算法计算摘要值。

3.4存储
以扩展机制将完整性度量生成的部件特征摘要值保存在特定PCR中，并将度量过程的信息保存在平台度量日志中，包括：度量者信息、被度量者信息、原PCR值、度量值、新PCR值、完成时间等。

3.5完整性报告
完整性报告是指平台向验证者提供平台或部件的完整性度量值的过程。

平台应无需授权的向验证者提供指定的PCR值，可向验证者提供相关事件日志信息，TCM内部生成一个SM2密钥对作为PIK（平台身份密钥），以PIK的私钥对PCR值签名，验证者以PIK公钥解密签名，以日志为据按执行部件顺序重新计算PCR值，与接收的PCR值比较，从而确定平台或部件是否能通过验证。

4 结语
可信计算密码支撑平台以国内密码算法为基础，参考国际先进的可信计算平台技术框架和理念，强调密码算法和协议对可信计算平台的支持作用，完整性度量和密码机制的强度和可信性比TCG的可信计算平台有更强的支撑作用和更好的安全性。

参考文献
[1] 沈昌祥,张焕国,冯登国,等.信息安全综述[J].中国科学E辑信息科
学: 2007,37(2):134-140.
[2] 国家密码管理局.可信计算密码支撑平台功能与接口规范
[EB/OL]./,2007-12-29.
[3] Trusted Computing Group.TCG Specification Architecture
Overview Specification Revision 1.4 [EB/OL].http://www.
/specs/TPM/TCG_1_4_Architecture_O verview.pdf,2007-8-2:5-21.
[4] Trusted Computing Group.TPM Main Part 1 Design Principles
Specification Version 1.2 Level 2 Revision 103[EB/OL].http:// www. / specs/ TPM/ mainP1DPrev103.
pdf,2007-7-9:12-28,55-59.
[5] Trusted Computing Group.TCG Infrastructure Working Group
Architecture Part II Integrity Management Specification Version 1.0 Revision 1.0[EB/OL]. http://www.trusted computinggroup.
org/specs/IWG/IWG_ArchitecturePartII_v1.0.pdf,2006-11-17.
[6] 张强,朱丽娜,赵佳.可信计算中远程证明方法的研究[J].微计算机
信息:2008,24(4-3):54-56.
[7] 肖曦,韩军,汪伦伟.可信计算平台关键机制研究[J].信息工程大学
学报:2007,8(2):217-220,226.
欢迎订阅《信息安全与通信保密》杂志 邮发代号：62-208 欢迎订阅《通信技术》杂志 邮发代号：62-304
113。