可信計算——理論與實踐

本書主要介紹可信計算技術的研究背景、發展現狀、關鍵核心技術和套用技術，內容包括TPM、TCM和移動模組等可信平台模組，信任根、靜態信任鏈構建系統、動態信任鏈構建系統和虛擬平台信任鏈等信任鏈構建技術，TSS、TSM和可信套用開發等可信軟體棧技術，可信PC、可信伺服器、可信移動平台、虛擬可信平台和可信計算平台套用等可信計算平台技術，可信平台模組測評、可信計算安全機制分析、可信計算評估與認證和可信計算平台綜合測試分析系統等可信計算測評技術以及遠程證明技術和可信網路連線TNC。

本書可作為計算機、通信、信息安全、密碼學等專業的博士生、碩士生和本科生教材，也可供從事相關專業的教學、科研和工程技術人員參考。

馮登國，中國科學院軟體所研究員，博士生導師，教育部高等學校信息安全類專業教學指導委員會副主任委員，國家信息化專家諮詢委員會專家，國家863計畫信息安全技術主題專家組組長，信息安全國家重點實驗室主任，國家計算機網路入侵防範中心主任。

第1章緒論11.1國內外研究現狀2

1.1.1安全晶片研究現狀2

1.1.2終端平台信任技術研究現狀3

1.1.3平台間信任擴展技術研究現狀3

1.1.4可信網路研究現狀4

1.1.5可信計算測評研究現狀5

1.2我們的主要工作5

1.2.1可信終端信任構建6

1.2.2遠程證明7

1.2.3可信網路連線9

1.2.4可信計算套用10

1.2.5可信計算測評11

1.3問題和挑戰12

1.4本書的結構12

參考文獻13

第2章可信平台模組182.1設計目標18

2.2TPM安全晶片19

2.2.1概述19

2.2.2平台數據保護22

2.2.3身份標識25

2.2.4完整性存儲與報告27

2.2.5資源保護機制28

2.2.6輔助功能33

2.3TCM安全晶片36

2.3.1主要功能36

2.3.2主要命令接口41

2.4移動可信模組47

2.4.1MTM的主要特點47

2.4.2MTM功能與命令48

2.5相關新技術進展49

2.5.1動態可信度量根49

2.5.2虛擬技術50

2.6小結50

參考文獻51

目 錄〖4〗〖1〗第3章信任鏈構建技術533.1信任根53

3.1.1信任根概述53

3.1.2可信度量根54

3.1.3可信存儲根和可信報告根57

3.2信任鏈57

3.2.1信任鏈的提出57

3.2.2信任鏈分類58

3.2.3信任鏈比較62

3.3靜態信任鏈構建系統63

3.3.1可信引導信任鏈63

3.3.2作業系統層信任鏈構建系統64

3.3.3ISCAS信任鏈系統67

3.3.4作業系統信任鏈系統69

3.3.5網路信任72

3.4動態信任鏈構建系統72

3.4.1作業系統引導層信任鏈73

3.4.2作業系統層信任鏈系統73

3.5虛擬平台信任鏈75

3.6小結75

參考文獻76

第4章可信軟體棧784.1可信軟體棧架構及功能78

4.1.1總體架構78

4.1.2安全晶片驅動程式80

4.1.3安全晶片驅動程式庫80

4.1.4可信計算核心服務層81

4.1.5可信服務套用層82

4.2可信軟體棧接口82

4.2.1TSM對象類型83

4.2.2TSM驅動程式層接口83

4.2.3TSM核心服務層接口85

4.2.4TSM套用層接口87

4.3可信套用開發92

4.3.1接口調用方法92

4.3.2示例1: 檔案加密存儲93

4.3.3示例2: DRM簽名驗證95

4.4開源可信軟體棧實現96

4.4.1TrouSerS97

4.4.2jTSS98

4.4.3μTSS100

4.5小結101

參考文獻101

第5章可信計算平台1025.1概述102

5.1.1發展現狀102

5.1.2基本架構103

5.2個人計算機104

5.2.1規範104

5.2.2產品與套用105

5.3伺服器106

5.3.1規範106

5.3.2產品與套用106

5.4可信移動平台107

5.4.1規範107

5.4.2通用架構108

5.4.3可信移動平台實現110

5.4.4套用114

5.5虛擬可信平台114

5.5.1需求與規範115

5.5.2通用架構115

5.5.3虛擬可信平台實現116

5.5.4套用120

5.6可信計算平台套用120

5.7小結123

參考文獻124

第6章可信計算測評1266.1可信平台模組合規性測試126

6.1.1測試模型126

6.1.2測試方法132

6.1.3測試實施134

6.2可信計算安全機制分析135

6.2.1基於模型檢驗的分析135

6.2.2基於定理證明的分析138

6.3可信計算評估與認證139

6.3.1評估標準139

6.3.2TPM與TNC認證139

6.4可信計算平台綜合測試分析系統140

6.4.1體系結構與系統功能140

6.4.2TPM/TCM合規性測試142

6.4.3密碼算法與隨機數測試142

6.4.4安全晶片與協定模擬仿真143

6.4.5推廣套用144

6.5小結145

參考文獻146

第7章遠程證明技術1477.1遠程證明原理147

7.1.1技術基礎147

7.1.2協定模型149

7.1.3接口實現149

7.2遠程證明研究比較153

7.3平台身份證明156

7.3.1Privacy CA實名身份證明156

7.3.2平台直接匿名證明158

7.3.3研究展望165

7.4平台完整性證明166

7.4.1基於二進制的遠程證明166

7.4.2基於屬性的遠程證明167

7.4.3研究展望174

7.5遠程證明系統和套用175

7.6小結179

參考文獻179

第8章可信網路連線1838.1可信網路連線的產生背景183

8.1.1網路接入控制簡介183

8.1.2商用網路接入控制解決方案185

8.1.3現有方案的缺陷和TNC的產生動機186

8.2可信網路接入的體系結構與工作原理187

8.2.1標準體系187

8.2.2總體結構187

8.2.3工作流程190

8.2.4TNC的優勢與局限191

8.3可信網路連線擴展研究192

8.3.1研究概況192

8.3.2Trust@FHH192

8.3.3ISCAS可信網路接入系統194

8.4可信網路連線套用197

8.5小結198

參考文獻198

附錄A密碼學基礎200A.1分組密碼算法200

A.1.1AES200

A.1.2SMS4206

A.2公鑰加密算法208

A.2.1RSA208

A.2.2橢圓曲線公鑰加密算法208

A.2.3SM2公鑰加密算法209

A.3數字簽名算法210

A.3.1ECDSA數字簽名算法210

A.3.2SM2數字簽名211

A.4Hash函式211

A.4.1SHA256雜湊算法212

A.4.2SM3雜湊算法214

A.5密鑰交換協定215

A.5.1MQV密鑰交換協定216

A.5.2SM2密鑰交換協定216

參考文獻217