一文读懂可信计算技术与产品生态

一、什么是可信计算

1.可信计算带来哪些好处？

可信计算的基础是“可信平台模块”（Trusted Platform Module，TPM），其核心是一颗密码安全芯片，TPM可为主机提供三大可信计算基本功能：一是身份认证功能，用于赋予信息终端唯一可信身份, 确保其内部运行程序合法性, 确立互联网终端节点可信；二是安全度量功能，从技术上保障信息终端内部软硬件环境不被非法篡改或利用, 有效预防底层固件的蠕虫攻击；三是密码服务功能，提供数据加密服务, 使云端存储、云端数据交换等服务成为可信任的安全应用。

TPM的高安全防护等级可以有效阻止硬件设备运行BIOS级别和外设固件级别的恶意程序，有效保护具有计算能力的设备，防止非法用户/设备访问，并提供物理安全级别的敏感数据及密钥加密保护，安全配置策略等。任何软件方式的数据盗取，通信链路上的中间人和重放攻击，以及本地物理现场的探针、刨片等物理攻击方式对TPM芯片来说都不起作用。符合ISO/IEC 11889标准的TPM还支持中国商用密码算法体系（SM2/SM3/SM4），使得在数据保护上更加安全。

2.TPM的应用场景是什么？

拥有自己的TPM应用，就不用操心防御中间人攻击，重放攻击，字典攻击这些问题，即使在TPM指令的通信传输协议不加密的情况下，采用TPM协议也可以抵御上述网络攻击。有计算能力的设备都可以使用TPM，例如小型机、服务器、台式机、笔记本、平板电脑、智能手机、打印机、手写板、工业控制系统、电动汽车控制系统、AIoT设备等，用途非常广泛。

3.可信计算产品开发生态如何？

目前，多个开源项目对TPM 2.0的支持显示出ISO/IEC 11889标准强大的生命力，为新一代标准的广泛应用奠定了基础，也为可信应用开发提供了高端体验。

硬件环境：
市面上许多计算平台均已支持TPM 2.0，以微软Surface book为例，Surface Pro 5/6/7/8/9系列已经内嵌了国民技术Z32H330TC可信计算芯片。

安全BIOS：

基于Z32H330TC的完整性安全度量机制已经集成在设备BIOS中，可以抵御badBIOS这样的恶意攻击。TPM2.0的BIOS驱动和TREE操作代码可从下面的链接获得：
https://svn.code.sf.net/p/edk2/code/branches/UDK2015/SecurityPkg/Tcg/

OS驱动：
Linux Kernel 4.0开始支持TPM 2.0，如Ubuntu 20.04， Fedora 等，完美支持国民技术Z32H330TC芯片。

TPM中间件：

开源项目TPM2.0-TSS实现了TPM2.0的各种API，为上层可信计算应用开发提供支撑。可从下面的链接获取TPM2.0中间件资源：
https://github.com/tpm2-software/tpm2-tss

软件工具：
开源项目TPM 2.0 Tool在TSS 2.0基础上包装了TPM 2.0常用的安全操作、密码服务操作等功能，可以直接使用。TPM 2.0 Tool资源可从下面链接获取：
https://github.com/tpm2-software/tpm2-tools

4.可信计算标准有哪些？

我国可信计算起步较早，国家密码管理局于2007年12月在国密局公告第13号中发布了《可信计算密码支撑平台功能与接口规范》，这是我国第一个可信计算行业标准。经过10多年的发展演进，目前可信计算标准已由TCM 1.0全面向TCM 2.0演进，密标委组织制定了支撑可信计算密码应用的机制、协议、接口的相关标准体系，包括：
GM/T 0011 可信计算 可信密码支撑平台功能与接口规范
GM/T 0012 可信计算 可信密码模块接口规范
GM/T 0013 可信计算 可信密码模块接口符合性测试规范
GM/T 0058 可信计算 TCM服务模块接口规范
GM/T 0079 可信计算平台直接匿名证明规范
GM/T 0082 可信密码模块保护轮廓
GB/T 29829 信息安全技术 可信计算密码支撑平台功能与接口规范

国际上，2015年国际可信计算组织（Trusted Computing Group，TCG）制定的TPM 2.0 Library Specification正式成为ISO/IEC 11889国际标准，并且首次在ISO国际标准中成体系支持中国密码算法SM2/SM3/SM4。

5.中国可信计算产品如何认证？

可信计算相关产品属于商用密码产品范畴，根据市场监管总局、国家密码管理局联合发布的《商用密码产品认证目录》，与可信计算相关的产品认证种类有三种：

可信计算密码支撑平台认证
在《商用密码产品认证目录（第一批）》中，“可信计算密码支撑平台”类产品依据GM/T 0011/0012/0058/0028进行认证，其中GM/T 0028《密码模块安全技术要求》分为安全等级1-4级进行认证。

可信密码模块认证

为了适应TCM标准规范由1.0向2.0升级，2022年7月市场监管总局、国家密码管理局发布的《商用密码产品认证目录（第二批）》中新增了“可信密码模块”产品认证种类，其依据GM/T 0028 和GM/T 0012进行认证，即所谓TCM 2.0认证。作为TPM 2.0协议的一个子集，TCM 2.0协议依据GM/T 0012测试认证。GM/T 0028则分为安全等级1-4级进行认证。

安全芯片认证

单颗芯片实现的TCM可信密码模块属于密码“安全芯片”产品认证类，在《商用密码产品认证目录（第一批）》中，安全芯片依据GM/T 0008-2012《安全芯片密码检测准则》来检测，分为安全等级1-4级进行认证。

二、可信计算在网络身份认证中的应用

FIDO身份认证框架

网络安全事件频发，已经披露的事件不过是众多安全事件中的冰山一角。要解决网络安全问题，首先必须解决网络身份可信问题，相关基础设施必不可少。技术层面上，人或物接入网络并与身份认证基础设施交互时，需要分布式的身份采集／认证子系统，为个人、通信服务和其它各种类型的服务提供平台，这些要素从技术体系上构成了网络身份认证的框架。

快速网络身份认证（Fast ID Online，FIDO）应用是一个用于身份认证的国际标准，FIDO通过易用的客观物理事实如指纹、人脸、虹膜代替口令，统一分布式的认证器系统，统一开放的基于密码算法的认证协议，基于风险策略的身份认证基础设施，来进行可信身份认证。对于用户来说，刷指纹、刷脸等方式访问网络服务，胜在用户体验。

那么FIDO足够安全吗？如何保证身份认证信息的安全性呢？这就需要可信平台模块（TPM）的参与了。FIDO规范定义了基于TPM形成安全环境，以保护FIDO用户的网络身份验证凭据。TPM芯片是高等级的安全芯片，其安全性有足够保障。

FIDO标准组织联合W3C（万维网联盟，World Wide Web Consortium）在W3C Member Submission提交的FIDO 2.0: Key Attestation Format规范中详细定义了基于TPM的认证器实现，这意味着所有浏览器都要支持基于TPM的FIDO认证协议。特别需要说明的是，基于ISO/IEC 11889可信平台模块应用的FIDO 2.0可以直接使用中国密码算法SM2进行签名验证机制，详情可参考下面的链接：
https://www.w3.org/Submission/fido-key-attestation/

Windows可信身份认证应用

Windows登录使用的Microsoft Passport基于FIDO标准框架建立，同时使用了可信平台模块提供的FIDO认证密钥保护机制，达到了领先的安全性水平。认证密钥在TPM中生成，私钥将永远不会在物理安全芯片之外使用。

Microsoft Edge浏览器直接支持FIDO 2.0，W3C Web Authentication，可以直接基于TPM保护的密钥进行FIDO协议的身份认证，为全球和中国用户提供了一致、开放和领先的身份认证安全方案。

AIoT设备接入身份应用

树莓派具有电脑的所有基本功能，可以很方便地搭建和开发出非常丰富的轻量级AIoT终端应用，是AIoT应用理想的开发平台。其典型的应用环境包括：已成为流行ARM CPU嵌入式方案的树莓派开发平台；Windows 10 IoT Core操作系统；TPM 2.0可信模块，提供全球一致的安全性；微软Azure IoT Hub云服务，为物联网设备提供可靠的服务端数据存储等服务。这些都是物联网行业主流的技术应用平台。

在系统搭建和配置完成后，物联网设备与云服务之间的接入身份验证基于HMAC密码算法完成。设备端的HMAC计算在TPM中进行，服务端对计算结果进行验证，确认接入设备的身份，以防止设备身份假冒和钓鱼等攻击。TPM芯片是AIoT身份的理想安全载体，基于Windows IoT Core接入Azure IoT Hub云服务的物联网设备身份应用，基本上是即插即用的，充分实现了物理硬件安全，以及端到云的物联网设备身份可信应用。

三、国民技术可信计算产品解决方案

作为中国大陆唯一一家可信计算芯片供应商，国民技术面向全球市场提供一致化的可信计算芯片及解决方案，先后推出了全球第一款可信密码模块（TCM）安全芯片Z8H172T，第一款国产可信平台模块2.0（TPM 2.0）安全芯片Z32H320TC等产品。

目前，国民技术第三代可信计算芯片Z32H330TC以及基于Z32H330TC的可信密码模块（TCM）产品以高性能、高安全性、兼容国际和中国标准为核心竞争力，在全球一体化的产业链中被广泛应用。产品与x86，AMD64，ARM，龙芯，申威、RISC-V等主流CPU平台兼容，并得到了主流BIOS代码库的支持，与全球主要的计算机操作系统，如Windows、Linux、中国统信、中国麒麟、中国方德等操作系统无缝集成。

基于Z32H330TC的PCIe可信密码模块（TCM）

PCIe属于高速串行点对点双通道高带宽传输，所连接的设备分配独享通道带宽，不共享总线带宽，主要支持主动电源管理、错误报告、端对端的可靠性传输、热插拔以及服务质量(QOS)等功能。PCI Express 2.0接口的TCM模块为主机提供内置化的高集成可信密码模块，在工程实施的便利性上具有独特的优势，该模块使用国民技术Z32H330TC可信计算芯片。

基于Z32H330TC的USB可信密码模块（TCM）

另外一种基于Z32H330TC芯片实现的带USB接口的TCM模块，可为主机提供外置式便捷、高集成的可信密码模块，在工程实施上具有灵活性优势，可适应更多应用类型。

国民技术是国际可信计算产业唯一来自中国的可信计算芯片供应商，产品及解决方案主要应用于终端计算机、服务器、网络通信设备、嵌入式系统等领域，目前全球市场出货数百家OEM/ODM客户，以过硬的产品质量和优质的服务得到全球客户的广泛认可。