可信計算概念、標(biāo)準(zhǔn)與技術(shù)沈晴霓教授北京大學(xué)軟件與微電子學(xué)院1可信計算概述TCG組織介紹TCG現(xiàn)有標(biāo)準(zhǔn)規(guī)范介紹TPM的核心功能介紹2一.可信計算概述可信計算概念與需求可信計算涵義與屬性可信計算平臺架構(gòu)可信計算的機(jī)遇3一.可信計算概述

可信計算概念與需求TCSEC：可信計算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)分為A/B/C/D四類七個等級-D,C1,C2,B1,B2,B3,A1CC：公共準(zhǔn)則(ISO/IEC15408)分為EAL1,EAL2,EAL3,EAL4,EAL5,EAL6,EAL7安全是指采取技術(shù)和管理的安全保護(hù)手段，保護(hù)軟硬件與數(shù)據(jù)不因偶然的或惡意的原因而遭受到破壞、更改、暴露。4攻擊者進(jìn)不去進(jìn)不去拿不到看不懂改不了竊取保密信息看不懂系統(tǒng)和信息改不了非授權(quán)者重要信息拿不到癱不成系統(tǒng)工作癱不成賴不掉攻擊行為賴不掉安全保障技術(shù)與效果標(biāo)識與鑒別訪問控制數(shù)據(jù)加密完整性保護(hù)可用性資源管理+安全管理安全審計什么是可信如果針對某個特定的目的，實(shí)體的行為與預(yù)期的行為相符，則稱針對這個目的，該實(shí)體是可信的。對建立可信計算環(huán)境的需求商業(yè)運(yùn)行、社會基礎(chǔ)設(shè)施運(yùn)行、個人越來越依賴于IT計算環(huán)境。IT計算環(huán)境面臨越來越多的安全威脅。安全可信問題已經(jīng)成為普適計算、云計算等新型計算模式真正實(shí)現(xiàn)的瓶頸?，F(xiàn)技術(shù)因成本、可管理性、向后兼容性、性能、可移植性等問題無法被廣泛采納。6計算機(jī)安全攻擊所造成的損失是驚人的身份欺詐所造成的損失在2004年達(dá)到了526億美元美國一年花費(fèi)了672億美元對付病毒、間諜軟件等與計算機(jī)相關(guān)的犯罪超過130次的電腦入侵將至少5500萬美國人的個人數(shù)據(jù)偷走，如社會保險號和信用卡號正在變化中的計算機(jī)安全威脅容易受攻擊的程序（代碼bug/緩沖區(qū)溢出/解析錯誤）惡意程序（間諜軟件、木馬程序）錯誤配置的程序（沒有啟用安全特性）社會工程（網(wǎng)絡(luò)釣魚）物理上的偷竊電子竊聽（截獲郵件）軟件能夠做到完全安全嗎？每千行源代碼就有一個安全相關(guān)的bug，一個典型的千萬行代碼的操作系統(tǒng)將有上萬個安全bug即使能夠建立一個安全的軟件系統(tǒng)，對已有操作系統(tǒng)數(shù)千萬行代碼進(jìn)行安全處理的難度很大軟件安全檢測方法都可以被惡意代碼繞過，如果沒有硬件支持，無法檢測出系統(tǒng)中惡意代碼7“可信計算”可以從幾個方面來理解用戶的身份認(rèn)證：這是對使用者的信任。平臺軟硬件配置的正確性：這體現(xiàn)了使用者對平臺運(yùn)行環(huán)境的信任。應(yīng)用程序的完整性和合法性：這體現(xiàn)了應(yīng)用程序運(yùn)行的可信。平臺之間的可驗(yàn)證性：指網(wǎng)絡(luò)環(huán)境下平臺之間的相互信任。TCG制定的規(guī)范中定義了可信計算的三個屬性可鑒別：計算機(jī)系統(tǒng)的用戶可以確定與他們進(jìn)行通信的對象身份。完整性：用戶確保信息能被正確傳輸。私密性：用戶相信系統(tǒng)能保證信息的私密性。一.可信計算概述

可信計算涵義與屬性8一.可信計算概述

可信計算平臺架構(gòu)-以windowsvista為例TheTPMdriverisprovidedbytheTPMmanufacturerUnlikemostdrivers,itisrequiredbeforetheOSloadsbecausetheOSloaderneedstoaccesstheTPMifitisusingasecurestartupmechanism.Therefore,aTPMdriverisalsointegratedintotheBIOScode.TBSisacomponentofWindowsVista,andTBSservesasamediatorbetweenhigher-levelapplicationsandtheTPMdriver.TSSistheimplementationoftheTCGspecificationoftheTSSTSSprovidesastandardAPIforinteractingwiththeTPM9得到產(chǎn)業(yè)界支持的、基于標(biāo)準(zhǔn)化提供一個更安全的計算環(huán)境保護(hù)終端用戶數(shù)據(jù)提供可信的電子商務(wù)交易基于硬件的信任更多的信任增加用戶及管理員使用因特網(wǎng)的信心降低商業(yè)，特別是關(guān)鍵行業(yè)（金融、保險、政府、醫(yī)療）的風(fēng)險在硬件的保護(hù)下增加交易量和交易額將信任擴(kuò)展到任何平臺一.可信計算概述

可信計算的機(jī)遇10可信計算概述TCG組織介紹TCG現(xiàn)有標(biāo)準(zhǔn)規(guī)范介紹TPM的核心功能介紹11二.TCG組織介紹TCG組織的成立TCG的遠(yuǎn)景目標(biāo)TCG的解決方案TCG組織結(jié)構(gòu)圖TCG工作組介紹12二.TCG組織介紹

組織的成立1999年10月，由HP、IBM、Intel和Microsoft等公司牽頭組織TCPA（TrustedComputingPlatformAlliance），發(fā)展成員約200家，遍布全球各大洲主力廠商，TCPA專注于從計算平臺體系結(jié)構(gòu)上增強(qiáng)其安全性。2001年1月，TCPA組織發(fā)布了TPM主規(guī)范（v1.1）2003年3月，改組為TCG(TrustedComputingGroup)，同年10月，發(fā)布了TPM主規(guī)范（v1.2）2009年，TCG與ISO/IEC的合作形成國際標(biāo)準(zhǔn)ISO/IEC

11889-X:2009

2013年3月，TCG組織發(fā)布了TPM主規(guī)范（v2.0）成立目的：在計算和通信系統(tǒng)中廣泛使用基于硬件安全模塊支持下的可信計算平臺，以提高整體的安全性。TCG的使命：發(fā)展并推動開放的、廠商中立的、多種平臺間的可信計算構(gòu)造單元及軟件接口的業(yè)界標(biāo)準(zhǔn)規(guī)范13二.TCG組織介紹

遠(yuǎn)景目標(biāo)14TCG的解決方案將平臺轉(zhuǎn)變?yōu)榭尚庞嬎悱h(huán)境使平臺能夠證明給定的網(wǎng)絡(luò)環(huán)境是一個受保護(hù)的環(huán)境在正確的平臺環(huán)境下，秘密才會被釋放出來將TPM作為產(chǎn)品中的可信構(gòu)造塊當(dāng)前應(yīng)用帶有TPM的PC、Server、IoT設(shè)備第三方軟件使用TPM提供數(shù)據(jù)保護(hù)、網(wǎng)絡(luò)訪問、標(biāo)識管理、認(rèn)證網(wǎng)絡(luò)產(chǎn)品：Radius認(rèn)證服務(wù)器、病毒保護(hù)、策略管理二.TCG組織介紹

解決方案15二.TCG組織介紹

組織結(jié)構(gòu)圖1617TPM工作組：制訂TPM規(guī)范TSS工作組：為應(yīng)用程序開發(fā)商提供API，對硬件接口進(jìn)行封裝，定義與TPM的交互接口（如：系統(tǒng)軟件接口）。

在TPM的設(shè)計中由于考慮到成本問題，將非可信關(guān)鍵功能放到上層軟件執(zhí)行

軟件棧需要完成如下工作：1）提供應(yīng)用程序到TPM功能的入口點(diǎn)、2）提供對TPM功能的同步訪問、3）向應(yīng)用程序隱藏命令流的實(shí)現(xiàn)細(xì)節(jié)、4）對TPM資源進(jìn)行管理PC工作組、Server工作組、移動電話工作組等：具體平臺工作組，符合TPM規(guī)范、配合TPM建立信任根

各自特殊職能：PC是TPM規(guī)范的試驗(yàn)臺，Server是可信基礎(chǔ)設(shè)施的載體，移動電話（設(shè)備）是可信計算未來發(fā)展趨勢Compliance工作組：致力于定義適當(dāng)?shù)囊?guī)范和文檔，便于定義保護(hù)輪廓PP及其他需要的評估準(zhǔn)則?；A(chǔ)設(shè)施工作組：因特網(wǎng)及企業(yè)基礎(chǔ)設(shè)施中符合TCG特定平臺規(guī)范的可信平臺的集成，在混合的環(huán)境下實(shí)現(xiàn)各種商業(yè)模式。信任決策信息的規(guī)范化的表示與交換。研究平臺信任根、信任鏈、密鑰生存期服務(wù)，表示它們與所有者策略之間的關(guān)系建立一個體系結(jié)構(gòu)框架、接口、元數(shù)據(jù)彌補(bǔ)基礎(chǔ)設(shè)施之間的差距TNC子工作組：基礎(chǔ)設(shè)施工作組的一個子工作組發(fā)布一個開放的體系結(jié)構(gòu)（在網(wǎng)絡(luò)連接時或之后實(shí)施策略，各種終端節(jié)點(diǎn)、網(wǎng)絡(luò)技術(shù)、策略之間可以相互交互）發(fā)布一系列終端完整性標(biāo)準(zhǔn)。二.TCG組織介紹

工作組18存儲工作組：開發(fā)專有存儲設(shè)備上的安全服務(wù)標(biāo)準(zhǔn)外設(shè)工作組：標(biāo)記與信任相關(guān)的外設(shè)屬性、外設(shè)的各種工作環(huán)境，研究外設(shè)在多組件可信平臺上的角色及影響。虛擬平臺工作組：致力于推廣可信計算技術(shù)在虛擬化領(lǐng)域的應(yīng)用。

工作組需要保證不修改現(xiàn)有使用TPM應(yīng)用程序或者軟件，保證在虛擬化平臺中該應(yīng)用程序或者軟件仍然可以使用可信計算服務(wù)。同時，

也需要不修改現(xiàn)在的TPM接口命令和TPM內(nèi)部指令，保證TPM可以為上層提供TPM的功能。

針對虛擬化技術(shù)和可信計算技術(shù)的相結(jié)合，該工作組的工作重點(diǎn)在于：保證可信計算中信任關(guān)系的傳遞在虛擬平臺可以有足夠的保證；保證可信屬性滿足的情況下虛擬機(jī)可以在不同的平臺之間自由遷移?？尚哦嘧鈶艋A(chǔ)設(shè)施工作組(云工作組）:致力于開發(fā)一個標(biāo)準(zhǔn)框架，為實(shí)際部署可信云或可信共享設(shè)施定義端到端參考模型實(shí)現(xiàn)共享的基礎(chǔ)設(shè)施、多提供商的基礎(chǔ)設(shè)施、參考模型和實(shí)現(xiàn)指導(dǎo)、鑒定和消除現(xiàn)有標(biāo)準(zhǔn)間的差異等。19可信計算概述TCG組織介紹TCG現(xiàn)有標(biāo)準(zhǔn)規(guī)范介紹TPM的核心功能介紹20三.TCG現(xiàn)有標(biāo)準(zhǔn)規(guī)范介紹TCG規(guī)范的設(shè)計原則TCG的文檔路線圖TCG現(xiàn)有規(guī)范介紹21安全性原則對指定的關(guān)鍵安全數(shù)據(jù)進(jìn)行受控的訪問可靠的度量并報告系統(tǒng)的安全性質(zhì)報告機(jī)制要在所有者的完全控制之下私密性原則設(shè)計實(shí)現(xiàn)時考慮私密性需求可互操作性原則在保證安全性的前提下，不引入新互操作障礙數(shù)據(jù)的可移植性原則規(guī)范的部署應(yīng)該支持在數(shù)據(jù)所有權(quán)方面已建立的原則及慣例可控性原則所有者對屬于它們的TCG功能的使用及操作能夠進(jìn)行有效的選擇和控制易用性原則非技術(shù)用戶也可以理解和使用TCG功能三.TCG現(xiàn)有標(biāo)準(zhǔn)規(guī)范介紹

TCG規(guī)范的設(shè)計原則22三.TCG現(xiàn)有標(biāo)準(zhǔn)規(guī)范介紹

TCG的文檔路線圖23TCG體系結(jié)構(gòu)規(guī)范從TCG技術(shù)的應(yīng)用場景、以TPM為中心的TCG技術(shù)的體系結(jié)構(gòu)、產(chǎn)品的評估模型、生產(chǎn)要求幾方面，對TCG技術(shù)進(jìn)行了概括性的介紹。有效的彌補(bǔ)了TPM規(guī)范過分注重細(xì)節(jié)、可讀性差的缺點(diǎn)作者是TPM規(guī)范的主要作者，所以“體系結(jié)構(gòu)”還是以TPM為中心。TPM主規(guī)范給出TPM的基本概念及與TPM功能相關(guān)的一般信息。對于與特定平臺相關(guān)的功能在特定平臺規(guī)范中定義。包括4個部分：“設(shè)計理念”、“TPM結(jié)構(gòu)”、“TPM命令”、“Compliance”（CC保護(hù)輪廓）規(guī)范通過具體技術(shù)細(xì)節(jié)的描述，為用戶展現(xiàn)TPM的功能。TSS規(guī)范定義了應(yīng)用程序?qū)哟蜹CG軟件棧的分層結(jié)構(gòu)及關(guān)鍵數(shù)據(jù)結(jié)構(gòu)，然后分TPM驅(qū)動程序接口、TSS核心服務(wù)接口、TCG服務(wù)提供者接口定義了不同層次軟件之間的標(biāo)準(zhǔn)接口。該規(guī)范的出發(fā)點(diǎn)還是以TPM為中心的。實(shí)際上在操作系統(tǒng)層次也可以或者說需要使用一些TPM功能，這個層次的接口本規(guī)范沒有涉及。三.TCG現(xiàn)有標(biāo)準(zhǔn)規(guī)范介紹

現(xiàn)有規(guī)范介紹24PC客戶平臺規(guī)范PC客戶機(jī)TPM接口規(guī)范（TIS）：考慮PC機(jī)的特點(diǎn)，對安裝在PC機(jī)上的TPM需要滿足的要求進(jìn)行了補(bǔ)充TCG針對傳統(tǒng)BIOS型PC客戶機(jī)的實(shí)現(xiàn)規(guī)范：操作系統(tǒng)前狀態(tài)到操作系統(tǒng)狀態(tài)轉(zhuǎn)換中PCR寄存器的使用、BIOS或其他組件如何作為CRTM（度量的核心信任根）、BIOS執(zhí)行TCG子系統(tǒng)功能時BIOS的編程接口。在上電、有電期間、掉電及初始化狀態(tài)的行為等服務(wù)器規(guī)范是服務(wù)器的總體規(guī)范，內(nèi)容包括：在server環(huán)境中用到的專用術(shù)語總結(jié)、server平臺的TPM需求、針對server平臺的主規(guī)范分析、server環(huán)境下TBB的定義及需求、引導(dǎo)過程中PCR的使用具體平臺還有平臺特定的規(guī)范，但目前沒有公開發(fā)布的具體規(guī)范移動電話使用場景規(guī)范定義了在移動電話環(huán)境下，針對平臺完整性、設(shè)備認(rèn)證、可靠DRM（數(shù)字產(chǎn)權(quán)保護(hù)）、設(shè)備個人化、安全軟件下載、設(shè)備間的安全通道、移動票據(jù)、移動支付、軟件使用、對用戶證明平臺及應(yīng)用程序的完整性等需求場景三.TCG現(xiàn)有標(biāo)準(zhǔn)規(guī)范介紹

現(xiàn)有規(guī)范介紹（續(xù)）25基礎(chǔ)設(shè)施規(guī)范互操作參考體系結(jié)構(gòu)：為TCG定義的可信平臺的支撐環(huán)境定義一個參考的體系結(jié)構(gòu)主要針對可信平臺的生存期、可信平臺的部署基礎(chǔ)設(shè)施、實(shí)體斷言簽署結(jié)構(gòu)、可信平臺生存期內(nèi)的信任狀類型、私密性問題、基礎(chǔ)設(shè)施工作組的文檔路線圖及構(gòu)造塊進(jìn)行了定義。備份與遷移服務(wù)的互操作規(guī)范SKAE（主體密鑰證實(shí)證據(jù)）擴(kuò)充：針對X.509增加了與基于TCG的安全斷言的綁定可信網(wǎng)絡(luò)連接規(guī)范TNC的體系結(jié)構(gòu)規(guī)范：定義可互操作的網(wǎng)絡(luò)訪問控制及授權(quán)的可信網(wǎng)絡(luò)連接體系結(jié)構(gòu)IF-IMC：完整性度量值收集者與TNC客戶端之間的標(biāo)準(zhǔn)接口。IF-IMV：完整性度量值收集者與TNC服務(wù)器之間的標(biāo)準(zhǔn)接口三.TCG現(xiàn)有標(biāo)準(zhǔn)規(guī)范介紹

現(xiàn)有規(guī)范介紹（續(xù)）26可信計算概述TCG組織介紹TCG現(xiàn)有標(biāo)準(zhǔn)規(guī)范介紹TPM的核心功能介紹27四.TPM的核心功能介紹TPM簡介TPM體系結(jié)構(gòu)安全度量和報告遠(yuǎn)程證實(shí)數(shù)據(jù)保護(hù)密鑰管理28四.TPM的核心功能介紹TPM簡介基于加密技術(shù)的應(yīng)用包括：加密算法可以用于一個文件（或者一組文件），目的是創(chuàng)建一個哈希值或者消息摘要作為文件的指紋。這項(xiàng)功能被廣泛應(yīng)用于數(shù)據(jù)的完整性度量，對于取證領(lǐng)域至關(guān)重要。數(shù)字簽名使用公鑰加密和消息摘要，目的是允許接收方可以驗(yàn)證他們接受消息的完整性和真實(shí)性。敏感的用戶數(shù)據(jù)可以使用加密算法來處理，目的是保護(hù)數(shù)據(jù)的機(jī)密性。29

TCG技術(shù)的核心內(nèi)容就是為計算平臺提供了一整套基于TPM及平臺中TBB（平臺可信構(gòu)造塊=TPM+CRTM）的信任建立及可信性證實(shí)方法和機(jī)制30CRTM在最初設(shè)計可信平臺架構(gòu)時，TCG考慮到平臺改造的成本和風(fēng)險，并沒有將CRTM集成到TPM內(nèi)部，而是通過改造主板上的BootROM來實(shí)現(xiàn)的。在啟動的最初階段，最先執(zhí)行的一部分指令就是CRTM，它負(fù)責(zé)對緊隨其后執(zhí)行的其他指令進(jìn)行完整性度量，CRTM是可信度量根。根據(jù)信任根的定義，CRTM必須是平臺上的一個受保護(hù)的部件，它必須總是按照預(yù)期的方式運(yùn)作，從而能夠被無條件信任。可信平臺模塊TPM是一個擁有受保護(hù)的獨(dú)立執(zhí)行能力（密碼運(yùn)算部件)和小容量存儲能力的硬件芯片。TPM是可信平臺的核心，配合CRTM就能夠?qū)崿F(xiàn)完整性的度量和報告。在可信體系的三個信任根中，TPM實(shí)現(xiàn)的是可信報告根RTR和可信存儲根RTS的功能。31TPM至少需要具備四個主要功能：①

對稱/非對稱加密；②

安全存儲；③

完整性度量；和④

簽名認(rèn)證。數(shù)據(jù)的非對稱加密和簽名認(rèn)證，是通過RSA算法來實(shí)現(xiàn)的。完整性度量則是通過高效的SHA-1散列算法來完成的。對稱加密可以使用任意算法，既可以使用專用協(xié)處理器，也可以使用軟件來完成。32受保護(hù)的功能：是一組命令，只有它們才能訪問被屏蔽的位置被隔離的位置：是內(nèi)存，寄存器等，滿足：在這些位置上操作敏感數(shù)據(jù)是安全的訪問數(shù)據(jù)的位置只能是受保護(hù)的功能四.TPM的核心功能介紹TPM體系結(jié)構(gòu)實(shí)現(xiàn)TPM內(nèi)部功能的關(guān)閉、停用和完全激活用來存儲永久標(biāo)識(如EK)以及和TPM相關(guān)的狀態(tài)一個可信散列算法實(shí)現(xiàn),用于完整性度量和簽名用來記錄系統(tǒng)運(yùn)行狀態(tài)（如內(nèi)核鏡像、進(jìn)程信息列表和應(yīng)用的二進(jìn)制可執(zhí)行程序）負(fù)責(zé)產(chǎn)生各種密鑰生成和簽名中所需要的隨機(jī)數(shù)33計算平臺上TPM管理界面展示實(shí)例34四.TPM的核心功能介紹安全度量和報告PCR的作用是一個160比特（20個字節(jié)）的屏蔽存儲位置，用來存儲離散的完整性度量值。共有24個PCR：0~7用于系統(tǒng)啟動，8~15供操作系統(tǒng)使用，16~23用于動態(tài)可信根的建立。允許修改PCR值的兩種操作：

重置操作（Reset)：機(jī)器斷電或重啟之后，PCR的值自動重新清零。

擴(kuò)展操作（Extend）：它將PCR的當(dāng)前值連接上新的度量值，再將連接后的值的SHA-1散列值存為PCR的新值，這樣做的好處：一方面，可以用少量且固定的存儲空間來存儲無限數(shù)量的度量項(xiàng)；另一方面，迭代的連接和散列操作也使得惡意的篡改變得極其困難。

PCR[i]NewValue=HASH(PCR[i]Oldvalue||newmeasurement)與PCR構(gòu)造相關(guān)的密碼哈希的性質(zhì)：一個是順序性，即對PCR的擴(kuò)展操作是不可交換的(A-B,B-A結(jié)果不同）；一個是單向性，即給定PCR值，攻擊者要想確定其輸入在計算上是不可能的；若不知道PCROldValue或從上次復(fù)位后PCR的所有輸入，不可能確定PCR擴(kuò)展值。PCR平臺配置寄存器3536完整性度量、存儲、報告機(jī)制目的允許平臺進(jìn)入任何狀態(tài)，但這些狀態(tài)都被忠實(shí)的記錄下來，供其它過程參考完整性度量是獲得與平臺完整性相關(guān)的平臺特性的度量值的方法度量值的存儲由TPM內(nèi)的PCR及TPM外的SML（StoredMeasurementLog）共同完成完整性度量值保存在SML中，完整性度量值的摘要擴(kuò)充到PCR中完整性報告對完整性存儲的內(nèi)容進(jìn)行證實(shí)的過程。37信任鏈產(chǎn)生可信報告根（RootofTrustforReporting，RTR）提供密碼機(jī)制對TPM的狀態(tài)及信息進(jìn)行數(shù)字簽名可信存儲根（RootofTrustforStorage，RTS）提供密碼機(jī)制保護(hù)保存在TPM之外的信息(數(shù)據(jù)和密鑰)可信度量根（RootofTrustforMeasurement，RTM）由平臺提供的對平臺的狀態(tài)進(jìn)行度量的機(jī)制在可信體系中，信任鏈以可信根（TPM）為起點(diǎn)而建立，在此基礎(chǔ)上再將信任關(guān)系逐級傳遞到系統(tǒng)的各個模塊，從而建立整個系統(tǒng)的信任關(guān)系。所以信任根必須是一個能夠被信任的組件，通常在一個可信平臺中有三個可信根：38信任鏈產(chǎn)生(續(xù)）信任鏈擴(kuò)展流程所加載的組件順序39可信啟動過程：以windowsvista為例1.TheCRTM

takesintegritymeasurementsoftheremainingBIOScode.ThemeasurementsmaybewrittentotheStoredMeasurementLog(SML)orrecomputedwheneverneeded,andadigestofthismeasurementiscreatedusingtheSHA-1hashingalgorithm.TheSHA-1digestiswrittentoPCR[0].2.IftheCRTMdeterminesthatthemeasurementithasjusttakenisevidenceoftrustworthiness,itpassescontroloftheplatformtotheremainingBIOScode.3.TheBIOStakesintegritymeasurementsoftheplatformconfigurationsettings,firmwarecode,andthecodethatloadstheoperatingsystem(OS).ThemeasurementsmaybewrittentotheSMLorrecomputedwheneverneeded,anddigestsofthesemeasurementsarecreatedusingtheSHA-1hashingalgorithm.ThedigestsarewrittentotheappropriatePCRs.4.IftheBIOSdeterminesthatthemeasurementsithasjusttakenrepresentevidenceoftrustworthiness,itpassescontroloftheplatformtotheremainingOSloadercode.5.OncetheOSloadercodeexecutes,thenextstepistopasscontroltotheremainderoftheOS.Beforethiscanbedone,theOSloadercodemustestablishtrustintheOScode.Trustmeasurementsaretakenagainstthiscode,andagain,adigestiswrittentotheappropriatePCRintheTPM.6.IftheOSloadertruststheremainderoftheOSbased,again,ontrustmeasurements,itpassescontroltotheremainderoftheOScode.7.OncetheOSisloadedandrunning,itwillcontroltheTPM.However,attimes,otherapplicationswillneedtoutilizetheTPM.BeforetheOScantransfercontroltoanapplication,itmustestablishthattheapplicationcodeistrustworthy.Itcandothisjustasitdidpreviously:IttakesintegritymeasurementsontheapplicationcodeandwritesadigesttotheTPM.8.Oncetrustintheapplicationhasbeenestablished,theOSmaytransfercontrolovertoit.40完整性報告遠(yuǎn)程報告可信平臺使用AIK對當(dāng)前平臺的PCR值進(jìn)行簽名，報告給遠(yuǎn)程挑戰(zhàn)者，以證明其平臺狀態(tài)的可信性。這一過程使用挑戰(zhàn)-應(yīng)答協(xié)議完成。本地報告借助TPM本身提供的Seal操作（將數(shù)據(jù)或密鑰與一個或一組指定的PCR值綁定，只有當(dāng)這個或這組PCR值符合特定的指定值時，這些數(shù)據(jù)和密鑰才能夠被釋放出來）來完成本地的安全報告。當(dāng)挑戰(zhàn)者要判斷本地機(jī)器是否被攻陷，意味著本機(jī)有可能是不可信的。那么本機(jī)的驗(yàn)證會被攻擊者篡改,挑戰(zhàn)者會受到欺騙。41四.TPM的核心功能介紹遠(yuǎn)程證實(shí)遠(yuǎn)程證實(shí)時，一個平臺（挑戰(zhàn)方）向另個平臺（證實(shí)方）發(fā)送一個挑戰(zhàn)證實(shí)的消息和一個隨機(jī)數(shù)，要求獲得一個或多個PCR值，以便對證實(shí)者的平臺狀態(tài)進(jìn)行驗(yàn)證遠(yuǎn)程證實(shí)協(xié)議42背書密鑰

EK（EndorsementKey）每個TPM擁有唯一的EKTPM出廠時,由TPM廠商簽發(fā)EK證書,來唯一標(biāo)識可信平臺的身份。身份認(rèn)證密鑰

AIKs（AttestationIdentityKeys）TCG規(guī)定，EK不直接用于身份認(rèn)證，而使用AIK作為EK的別名（多個）。TPM使用EK生成AIK，并通過CA簽發(fā)的AIK證書來完成身份認(rèn)證。要解決認(rèn)證過程的匿名性（隱私性）問題：

1）除TPM及所在平臺外，任何實(shí)體不能確定EK與AIK的綁定關(guān)系，不然獲得AIK證書的實(shí)體就可能掌握TPM的PII（私密性標(biāo)識信息）

2）AIK證書只是讓其他實(shí)體相信，用AIK簽名的信息確實(shí)來自一個可信平臺，但不知道具體是哪一個TPM，在平臺層次實(shí)現(xiàn)對私密性的保護(hù)。AIK證書的合法性–EK和AIK43完整性驗(yàn)證（本地/遠(yuǎn)程證實(shí)）展示實(shí)例44四.TPM的核心功能介紹數(shù)據(jù)保護(hù)用于數(shù)據(jù)安全保護(hù)的密鑰分為對稱密鑰和非對稱密鑰被保護(hù)的數(shù)據(jù)可以是任何數(shù)據(jù)數(shù)據(jù)安全保護(hù)方式包括數(shù)據(jù)加解密、數(shù)據(jù)封裝等方式。可信平臺要可信，必須真實(shí)的報告系統(tǒng)的狀態(tài)，同時不能暴露密鑰，也要盡量不能暴露自己的身份。數(shù)據(jù)安全保護(hù)是可信平臺的核心功能之一：通過密鑰對數(shù)據(jù)采用特定的保護(hù)方式：45存儲根密鑰(StorageRootKey,SRK)每個可信計算平臺只對應(yīng)一個惟一的SRK,且只保存在TPM中。在TPM所有者獲得TPM所有權(quán)時，在TPM中生成SRK。以SRK為根，可以建立受保存的樹狀存儲結(jié)構(gòu)。受保護(hù)的存儲結(jié)構(gòu)TPM能將大量私鑰、對稱密鑰和數(shù)據(jù)永久地存儲到一個透明、虛擬、無限制的存儲空間。安全存儲層次結(jié)構(gòu)以SRK(根存儲密鑰)為根的樹狀層次結(jié)構(gòu)只有根結(jié)點(diǎn)SRK是存儲在TPM內(nèi)部，其他所有密鑰都經(jīng)過父密鑰加密后存儲在TPM外部46

綁定（BINDING）或者包裝（WRAPPING）用戶（或者說是代表用戶的應(yīng)用程序或服務(wù)）創(chuàng)建的密鑰可以被TPM加密并存儲在TPM的外部，這個過程被稱為密鑰綁定或包裝。所有對密鑰的請求必須交給TPM，由TPM來對密鑰解綁定/解包裝。但是用作綁定的私鑰是不能泄露到TPM以外的。TPM使用SRK來加密用戶的密鑰。封裝（SEAL）除了簡單的加密密鑰，TPM還可以把這些密鑰和平臺的狀態(tài)的某些度量值關(guān)聯(lián)起來，如，什么軟件被安裝了。只有當(dāng)平臺的狀態(tài)一致時，TPM才能夠解密密鑰。當(dāng)一個密鑰被這樣包裝或者綁定起來，稱為封裝。綁定（BINDING）VS封裝（SEAL）47數(shù)據(jù)加密展示實(shí)例48秘密的類型密鑰與數(shù)據(jù)：密鑰：指可信平臺中要用到的、需要受保護(hù)的存儲機(jī)制進(jìn)行保護(hù)的非對稱密鑰.數(shù)據(jù)：受保護(hù)的存儲結(jié)構(gòu)不對其內(nèi)容進(jìn)行解析的秘密，除真正的秘密數(shù)據(jù)外，還包括對稱密鑰（TPM將對稱加密的任務(wù)交給主機(jī)平臺完成，所以不對對稱密鑰進(jìn)行解析），它們只能是受保護(hù)的存儲結(jié)構(gòu)中的葉子節(jié)點(diǎn)。存儲密鑰與簽名密鑰：存儲密鑰：用來進(jìn)行加密的非對稱密鑰，可以作為受保護(hù)的存儲結(jié)構(gòu)中的非葉子節(jié)點(diǎn)，可以對其它密鑰進(jìn)行封裝保護(hù)。