隨著信息化大潮的到來,信息在商業領域及個人領域均受到了用戶前所未有的關注,隨之而來的就是信息安全所產生的一系列問題,為了從根本上解決安全問題, 1999年由Compaq、HP、IBM、Intel和Microsoft牽頭組織TCPA( Trusted Computing Platform Alliance),目前已發展成員190家,遍布全球各大洲主力廠商。TCPA專注于從計算平臺體系結構上增強其安全性,并于2001年1月發布了可信計算平臺標準規范。2003年3月TCPA改組為TCG(Trusted Computing Group),其目的是在計算和通信系統中廣泛使用基于硬件安全模塊支持下的可信計算平臺,以提高整體的安全性。
可信計算的核心是稱為TPM(可信平臺模塊)的安全芯片,作為可信計算技術的核心, TPM被業內喻為安全PC產業鏈的“信任原點”, 旨在將PC變成一個安全可信的計算平臺。在實際應用中,TPM安全芯片被嵌入到PC主板之上,TPM芯片如下圖所示。
安全芯片的功能:
TPM安全芯片的實質是一個可獨立進行密鑰生成、加解密的裝置,內部擁有獨立的處理器和存儲單元,可存儲密鑰和敏感數據,為各種計算平臺提供完整性度量,數據安全保護和身份認證服務。在技術層面,TPM安全芯片五大功能力保數據安全。
功能之一:完整性度量
通過完整性度量,保證PC從加電時刻起,一直到在其上運行的每一個硬件、操作系統以及應用軟件都是可信得,從此計算機再也不會受到病毒、木馬的威脅;
功能之二:“我的地盤我做主”,敏感數據的加密存儲
加密存儲:TPM將部分敏感數據如根密鑰等存儲在芯片內部的屏蔽區域,系統的其它敏感數據加密后存儲到外部存儲設備。通過硬件級的保護,傳統的攻擊方法將難以竊取敏感數據。因此用戶在使用這種PC的時候就盡可放心了;
數據封裝:TPM將數據與特定的密鑰及平臺狀態綁定在一起。只有被授權的用戶,使用該密鑰在相同的平臺狀態下才可以解密被加密的數據。比如用戶丟了筆記本電腦,即使別人通過安裝其它的操作系統查看到磁盤,但由于磁盤數據已經與平臺綁定,而平臺的信息已經發生了變化,因此其它用戶也無法獲取磁盤數據。另外如果用戶想使用網上銀行,通過完整性度量與驗證可以保證帳戶等敏感信息不會被木馬程序竊取,而通過數據封裝還可以設置這些敏感信息只能在特定的計算機上操作,即使別人知道帳號信息,也無法在別的計算機進行交易,這樣極大的增加了電子商務的安全。
功能之三:身份認證功能
通過身份認證,向外部實體提供系統平臺身份證明和應用身份證明服務。現有的計算機在網絡上是依靠不固定的也不唯一的IP 地址進行活動,導致網絡黑客泛濫和用戶信用不足。而具備由權威機構頒發的唯一的身份證書的可信計算平臺具備在網絡上的唯一的身份標識,從而為電子商務之類的系統應用奠定信用基礎,對互聯網的應用具有巨大的促進作用。
功能之四:內部資源授權訪問,獨特功能設置權限“防火墻”
訪問TPM所管理的資源(包括密鑰、加密存儲的敏感數據)時,是通過TPM的授權協議來完成的,只有通過合法授權才能訪問資源,最大限度的保護了敏感數據。
功能之五:數據的加密傳輸,打造全程安全保護通道
TPM在和外部的實體進行命令和數據的交互時,除了要驗證操作者的身份外,還可以對通訊線路上傳輸的數據進行加密,防止被竊取和攻擊。
好了,說了這么多了,相信讀者現在一定對TPM安全芯片有了一個大致的了解了,目前在國內市場上TPM安全芯片的生產商僅有兩三家,如兆日公司,國內的像廈新、方正、同方等多家知名PC廠商生產的安全電腦均是采用的兆日的TPM安全芯片。
在文章的最后,小編提醒各位讀者,號稱微軟有史以來最具革命性的操作系統的Windows Vista即將出現在我們的面前,這款新一代的操作系統被微軟自詡為具備更好的安全性,而這個安全性正是建立在TPM安全芯片的基礎之上的。對此,我們可以大膽的推斷出TPM將來肯定會像USB接口一樣成為每臺PC的標配的,在此,讓我們期待著TPM在未來會更大、更好的發展吧!
(新聞稿 2006-07-20)