可信密码模块TCM 中国可信计算的DNA

第55卷第1期　2009年2月武汉大学学报(理学版)J.Wuhan Univ.(Nat.Sci.Ed.)Vol.55No.1　Feb.2009,031～034 收稿日期:2008204228 通讯联系人　E 2mail :feng @基金项目:国家高技术研究发展计划(863)项目(2007AA01Z412)作者简介:李　昊(19832),男,博士生,现从事网络与系统安全的研究.　E 2mail :lihao @文章编号:167128836(2009)0120031204可信密码模块符合性测试方法与实施李　昊,冯登国 ,陈小峰(信息安全国家重点实验室/中国科学院软件研究所,北京100190) 摘　要:提出了一种有效的可信密码模块符合性测试方法,给出了衡量指标,并按照该指标对测试进行了测试分层,利用可信密码模块(TCM )内部命令的依赖关系建模获取测试用例.由于该方法分别在功能层采用扩展有限状态机模型、在命令层采用等价类划分法获取测试用例,所以能对现有TCM 产品实施更加完备的符合性测试.测试结果表明:与其他TCM 测试方法相比,本测试方法具有较高的测试效率,能够发现更多产品不符合标准带来的问题.关　键　词:可信密码模块;符合性测试;扩展有限状态机模型;等价类测试中图分类号:TP 309 文献标识码:A0　引　言 可信密码模块(t rusted cryptograp hy module ,TCM )符合性测试是指采用独立的测试方法参照国家相关标准对TCM 产品的标准符合程度进行测试.目前,国际可信计算组织TCG (trusted comp u 2ting group )推出了可信平台模块(t rusted platform module ,TPM )芯片以及相关的一系列标准和规范[1].同时,针对TCM 芯片的相关的测试评估工作也陆续展开[2～5].在国内,国家密码管理局于2007年出台了可信计算平台的国家标准《可信计算密码支撑平台功能与接口规范》[6].但是针对可信计算产品的符合性测试工作,国内才刚刚开始展开,到目前为止,仍然缺乏一种有效的可信计算产品符合性测试方法.文献[4]采用针对可信平台模块内每个命令开发测试用例的方式对可信平台模块的符合性测试进行了实施,发现了一些产品不符合标准带来的问题,指出了符合性测试的重要性.但是该文献并没有提出高效的测试框架和测试方法,测试结果无法给出产品符合标准的程度.本文在可信计算平台的国家标准《可信计算密码支撑平台功能与接口规范》基础上对TCM 芯片的符合性测试工作进行了研究和实施.提出了一种新的TCM 芯片的符合性测试框架和测试方法及测试覆盖度分析,按照这种框架和测试方法,对市场上的主流TCM 产品进行了符合性测试,通过结果分析,表明本方法在效率及覆盖度的分析上具有明显的优势,是一种行之有效的可信计算产品符合性测试方法.1　设计与计算方法1.1　框架设计本文提出的测试的框架,包括符合度的衡量指标、测试分层及每层采用的测试方法.TCM 芯片的符合度衡量分为4个指标:功能性,可靠性,鲁棒性,安全性.●功能性指标衡量的是TCM 产品对标准中功能需求的完成程度.●可靠性与鲁棒性指标分别衡量的是TCM 产品在接收到合法与不合法输入时,输出与标准符合的程度.●安全性指标只关注那些在国家标准《可信计算密码支撑平台功能与接口规范》中明确提出的安全性要求,比如字典攻击等.从单条TCM 命令的执行来看,TCM 就是一个黑盒,根据输入计算输出.因此可以认为TCM 是一个有着清晰规范接口的软件模块,并采用类似软件武汉大学学报(理学版)第55卷模块的测试技术[7,8].从TCM功能层面考虑,TCM符合性测试不仅仅需要测试单条命令对于规范的符合性,还需要测试若干条命令的组合使用是否符合规范.因此本文提出一种新的测试框架,不同的测试层采用不同测试指标和不同测试方法,如图1所示.图1　TCM符合性测试框架由图1可以看出,命令层进行的是较低层的单条命令的符合性测试,针对的符合度指标为可靠性与鲁棒性.为了保持测试空间的可执行性,本文采用了等价类划分法来对测试空间进行约减.其中,有效等价类获得的测试用例,测试的是合法输入的情况下,TCM产品的输出对规范的符合程度,针对的是可靠性指标;无效等价类获得的测试用例,测试的是非法输入的情况下,TCM产品的输出对规范的符合程度,针对的是鲁棒性指标.功能层进行的是较高层的TCM各种功能的符合性测试,针对的符合度指标为功能性和安全性.1.2　指标符合度计算方法测试结果的指标符合度采用如下的公式进行计算:W F=C1・Q F(1)W S=C1・Q S(2)W R=C2・Q R(3)W O=C2・Q O(4)V F=C1・(1-Q F)(5)V S=C1・(1-Q S)(6)V R=C2・(1-Q R)(7)V O=C2・(1-Q O)(8)其中C1,C2分别是功能层与命令层的测试覆盖度,即测试用例对标准的覆盖范围.Q F,Q S,Q R,Q O分别为功能性、安全性、可靠性、鲁棒性测试符合度,即为各指标测试用例通过的个数与该指标测试用例总数的比值,而测试不符合度为各指标测试用例不通过的个数与该指标测试用例总数的比值.两者之和等于1.W F,W S,W R,W O分别为功能性、安全性、可靠性、鲁棒性指标符合度,是表达TCM产品对标准符合程度的百分数,是测试结果的最终体现.V F,V S, V R,V O分别为功能性、安全性、可靠性、鲁棒性指标不符合度,是表达TCM产品对标准不符合的程度的百分数.由于受到测试覆盖度的影响,每个指标符合度与指标不符合度之和都小于等于1.2　测试的实施方法2.1　功能层功能层测试用例产生的具体步骤如下:Step1　根据规范将TCM划分为23个模块[6].每个模块由若干条TCM命令组成,完成TCM的特定功能.Step2　为每一个模块生成其内部命令的依赖关系图.Step3　根据每个模块的命令依赖关系图,建立EFSM模型[9].每个状态是由模块内部命令针对的TCM资源等变量组成.Step4　根据EFSM模型,获得测试用例[9,10].Step5　根据测试用例,进行功能层的符合性测试.其中,第4步从EFSM获取测试用例,本文以Owner管理模块为例说明这一过程.Owner管理模块共有5条命令,但是依赖关系只有两个,如图2所示.图2　Owner管理模块命令依赖关系图依赖关系是指某命令的执行需要一些其他命令的成功执行.由图2可以看出:TCM_OwnerClear 以及TCM_DisableOwnerClear依赖于TCM_ TakeOwnership命令的成功执行,所以它们之间具有依赖关系.而TCM_DisableOwnerClear命令的执行,只是影响到TCM_OwnerClear的执行成功与否,但是它们之间并不存在依赖的关系.同理,TCM _DisableForceClear也与其他命令不具有依赖关系.根据得到的依赖关系图,Owner管理模块的扩展有限状态机模型如图3所示.图3模型中共有两个状态:S1表示无Owner 状态,S2表示有Owner状态.迁移共有7个,迁移的格式为:事件[转移条件]/转移完成后的执行动作序列,比如迁移TCM_ForceClear[ForceClear Ena223第1期李　昊等:可信密码模块符合性测试方法与实施图3　Owner 管理模块扩展有限状态机模型bled ]/Clear Owner 表示当模型处于无Owner 状态时,如果ForceClear 是Enable 的,那么就可以执行迁移事件TCM_ForceClear ,目的状态仍然为S 1,并且要完成Clear Owner 的动作.然后通过等价类划分法从EFSM 模型获得完备的测试用例集[9].2.2　命令层一个TCM 命令的执行往往隐式地需要很多其他命令的成功执行,为了把关注点集中在被测命令上,本文将被测命令隐式需要的其他命令的执行结果也作为被测试命令的参数.用测试向量的方式来组织命令层测试用例.一个测试向量包括被测命令本身需要参数P 1,P 2,P 3,…,P n ,还包括隐式需要的其他命令执行结果R 1,R 2,R 3,…,R n ,那么某个测试向量V =P 1∧P 2∧P 3∧…∧P n ∧R 1∧R 2∧R 3∧…∧R n .其中,P m 的取值范围是{等价类1,等价类2,…},1≤m ≤n.R m 的取值范围是{等价类1′,等价类2′,…},1≤m ≤n .按照常用的等价类测试原则,即可得到测试向量.3　结果与分析本文对市场上两款主流TCM 芯片做了符合性测试,并按照公式1～4计算出产品对标准的符合程度,结果如表1所示. 其中,由于无法对安全性测试用例覆盖度进行分析,所以其指标符合度不确定. 从表1可以清楚的看出产品对标准的符合程度.而目前其他对可信芯片的符合性测试工作[4],都无法清晰的给出产品符合度.同时,由于本文的测试方法采用扩展有限状态机及等价类划分法获取测试用例,使得在测试的覆盖度分析,可扩展性,高效性等方面都具有更大优势.本文和鲁尔大学方案的对比如表2所示.表1　测试结果指标符合度例数产品1产品2功能性5320.920.89安全性18≤0.88≤0.88可靠性1050.950.90鲁棒性2110.890.84表2　鲁尔大学方案和本文的方案的比较比较项目文献[4]方案本文方案结果可追溯性无差别无差别测试公正性无差别无差别结果可比较性无差别无差别测试高效性较低较高可扩展性弱强覆盖度分析无有符合度分析粗略详细对测试人员要求高低 同时,由于本文采用的测试方法能够明晰的给出指标符合度的结果,所以使得测试更加的完备,能够发现更多TCM 产品不符合标准带来的问题.而这些问题是其他测试方法不能全部发现的.具体问题如下:①资源句柄:资源句柄的生成必须是无序随机的.而经过测试发现被测产品中有些TCM 芯片对密钥句柄的产生是有序的.这样新产生的密钥句柄就缺少了新鲜性的保证.如果攻击者有能力从TCM 中释放一个密钥,那么就会造成中间人攻击.②命令码:命令码是用于标识所调用TCM 命令的参数.而在被测产品中,有些命令码的基数设置与标准不符.虽然不会带来安全问题,但是对基于TCM 芯片的软件的通用性造成了很大问题.③授权值:在授权值的测试中,出现了两个问题.一个是授权值的计算并没有严格按照标准进行,每个产品都或多或少的做了改变,对产品的兼容性造成影响.另一个问题是安全方面的问题.在无授权操作模式下,使用资源是不需要提供授权数据的.如果提供了授权数据,按照规范应该提示错误.而测试中发现,厂商的TCM 产品并没有严格遵守这一规定,在使用无授权资源时,如果用户提供了授权数据,TCM 将正常运行,没有任何错误提示.这会带来用户认知与实际中授权数据使用与否的差异,这种差异会带来安全问题.④命令返回码:TCM 产品有时会返回产品内部定义的返回码,而非规范中的定义的.这种问题会33武汉大学学报(理学版)第55卷给攻击者以机会.通过分析这些TCM内部值,攻击者将找到TCM产品的漏洞,从而实施攻击.4　结　论本文主要关注于TCM产品的符合性测试的研究和实施,提出了TCM符合性测试框架和方法,并对TCM产品实施了测试.本文的测试方法划分了符合性度量指标与测试方法,并将测试分为命令层与功能层,分别采用等价类划分和EFSM模型来获取测试用例.最后通过结果分析及与其他符合性测试工作的对比,表明本文测试方法能全面地发现产品不符合标准带来的问题,并且在测试的高效性等方面具有优势.参考文献:[1]　Trusted Computing Group.TPM Main Specification:Design Principles V1.2[EB/OL].[2007212217].ht2 t p://w w w.t rustedcom p uting g rou p.[2]　Atmel Corporation.A T97SC3201Security TargetVersion2.3[EB/OL].[2007212221].htt p://w w w.commoncriteria /f iles/ep f iles/S T_V I D2 30052S T.p d f.[3]　Atmel Corporation.A T97SC3201:The Atmel TrustedPlatform Module[EB/OL].[2007212229].htt p://w w /d y n/resources/p rod_documents/doc5010.p d f.[4]　Ahmad2Reza S,Marcel S,Christian S,et al.TCG Inside:A Note on TPM Specification Compliance[C]//Proceed2ings of the Fi rst A CM Workshop on Scalable TrustedCom puting.New Y ork:ACM Press,2006:47256.[5]　Danilo B,Lorenzo C,Andrea L,et al.Replay Attack inTCG Specification and Solution[C]//21th A nnualCom puter Securit y A p plication Conf erence(A CS A C’05).Tucson:IEEE Press,2005:1272137.[6]　国家密码管理局.可信计算密码支撑平台功能与接口规范[EB/OL].[2007211226].htt p://w w w.oscca./Doc/6/N ews_1132.htm.OSCCA.Functionality and Interface Specification ofCryptographic Support Platform for Trusted Compu2ting[EB/OL].[2007211226].htt p://w w w.oscca./Doc/6/N ews_1132.htm(Ch).[7]　Beizer B.B lack2B ox Testing:Techniques f or Func2tional Testing of S of tw are and S ystems[M].NewY ork:John Wiley&Sons Press,1995.[8]　Beizer B.S of tw are Testing Techniques[M].NewY ork:International Thomson Computer Press,1990. [9]　易国洪,卢炎生.基于EFSM模型的等价类测试[J].计算机科学,2007,34(1):2812284.Y i Guohong,Lu Y ansheng.Equivalence T esting Based onEFSM[J].Com puter Science,2007,34(1):2812284(Ch).[10]Cheng K T.Automatic G eneration of Functional VectorsUsing the Extended Finite StateMachine Model[C]//A CM Transactions oil Desi gn A utomation of ElectronicS ystems.New Y ork:ACM Press,1996:57279.Compliant T esting Method of T rusted Cryptography ModuleL I H ao,FENG Dengguo,CHEN Xiaofeng(State Key Laboratory of Information Security/Institute of Software of Chinese Academy of Sciences,Bejing100190,China) Abstract:An effective compliant testing met hod is p roposed in t his paper,which brings forward four scale indexes,dividing t he testing job into two layers.This met hod uses EFSM and equivalence testing skills to get test cases.Then we p ro secute t he testing job which coveres t he whole specification successf ul2 ly.Finally,by analyzing t he testing result s,t his paper shows t hat t he p roposed met hod,when compared wit h t he ot her TCM testing met hods,is more effective in detecting t he problems caused by t he product s not conforming wit h t he standard.K ey w ords:t rusted cryptograp hy module;compliant test;extended finite state machine model;equiv2 alence test43。

可信计算技术综述摘要：可信计算技术通过硬件隔离出一块可信执行环境来保护关键代码及数据的机密性与完整性。

硬件隔离从微机源头做起，绝大多数不安全因素将从终端源头被控制，硬件安全是信息系统安全的基础，密码、网络安全等技术是关键技术。

只有从信息系统的硬件和软件的底层采取安全措施，从信息系统的整体采取措施，才能比较有效地确保信息系统的安全。

关键词：可信计算机；分析一、引言可信计算平台是提供可信计算服务的计算机软硬件实体，它能够提供系统的可靠性、可用性、信息和行为的安全性，一个可信计算机系统由可信硬件平台、可信操作系统和可信应用组成。

可信计算平台的基本思路是：首先构建一个可信根，再建立一条信任链，从可信根开始到硬件平台、到操作系统、再到应用，一级认证一级，一级信任一级，从而把这种信任扩展到整个计算机系统。

可信计算技术包括TPM、TPCM、SGX、TrustZone等硬件技术，本文将从这四种硬件技术进行分析。

二、可信计算技术（一）基于TPM技术TPM安全芯片是基于硬件层面的安全措施，从BIOS源头确保计算环境安全，TPM芯片作为一个含有密码运算部件和存储部件的小型片上系统，通过对用户身份、应用环境、网络环境等不同底层认证，防止恶意盗取信息和病毒侵害。

TPM是一块嵌入在PC主板上的系统级安全芯片，以独立模块的形式挂在计算机主板上，集成了数字签名、身份认证、信息加密、内部资源的授权访问、信任链的建立和完整性度量、直接匿名访问机制、证书和密钥管理等一系列安全计算所必需的基础模块。

工作原理是将BIOS引导块作为完整性度量的信任根，TPM作为完整性报告的信任根，对BIOS、操作系统依次进行完整性度量，保证计算环境的可信任。

（二）基于TPCM技术由于TPM缺乏主动度量和控制机制，TCG现有标准中TCG公钥密码算法只采用RSA，杂凑算法只支持SHA1系列，未使用对称密码，导致密钥管理、密钥迁移和授权协议的复杂化，直接威胁密码安全。

可信计算概论⼀、概念可信计算的基本思想：在计算机系统中，建⽴⼀个信任根，从信任根开始，到硬件平台、操作系统、应⽤，⼀级度量⼀级，⼀级信任⼀级，把这种信任扩展到整个计算机系统，并采取防护措施，确保计算资源的数据完整性和⾏为的预期性，从⽽提⾼计算机系统的可信性。

通俗的解释：可信≈可靠 + 安全现阶段的可信计算应具有确保资源的数据完整性、数据安全存储和平台远程证明等功能。

⼆、关键技术信任根：信任根是可信计算机的可信起基点，也是实施安全控制的点。

在功能上有三个信任根组成。

1、可信度量根（root of trust for measurement, RTM）。

RTM是可信平台进⾏可信度量的基点，在TCG的可信平台中，是平台启动时⾸先执⾏的⼀段软件，⽤以对计算机可信度量。

⼜被称为可信度量根核（crtm）。

具体到可信计算PC中，是BIOS中最开始的代码。

2、可信存储根（root of trust for storage，RTS）。

RTS是对可信度量值进⾏安全存储的基点。

由TPM芯⽚中⼀组被称为平台配置寄存器（paltform configuration register， RCP）和存储根密钥（storage root key，SRK）组成。

3、可信报告根（RTR，report）。

由pcr和背书秘钥（endorsement key）的派⽣密钥AIK（attestaion identity key）组成。

可信计算平台由TPM芯⽚机器密钥和相应软件作为期信任根。

度量存储报告机制：基于信任根，对计算机平台的可信性进⾏度量，并对度量的可信值进存储，当客体访问时提供报告。

是计算机平台确保⾃⾝可信，并向外提供可信服务的⼀项重要机制。

1、度量⽬前尚未有点单⽅法对计算平台的可信性进⾏度量，因此TCG的可信性度量是度量系统重要资源数据完整性的⽅法。

对与系统重要资源数据，实现计算散列值并安全存储；在可信度量时，重新计算重要资源数据的散列值，并欲实现存储的散列值⽐较。

682008.08早在1995年，法国的Jean-Claude Laprie和美国Algirdas Avizienis就提出可信计算（Dependable Computing）的概念。

其思路是：在PC机硬件平台上引入安全芯片架构，通过安全特性来提高终端系统的安全性。

可信计算平台基于可信平台模块（TPM)，以密码技术为支持、安全操作系统为核心，涉及到身份认证、软硬件配置、应用程序、平台间验证和管理等内容。

2003、04年间，可信计算在我国网络安全业界掀起一股股热浪，一度被称作信息安全的济世良方，国家有关部门也就可信计算技术的研究与推广给予扶持和投入，沈昌祥、卿斯汉、赵战生、曲成义等信息安全界知名专家多次在发言中提到可信计算，为此项技术的应用和推广谋划发展之路。

一批知名的信息安全厂商也迅速参与了相关产品/技术的研发、生产和推广工作。

数年过去了，可信计算已经从前几年的大造舆论、广泛宣传，转入到实现阶段。

国家可信计算标准工作小组也已成立，“十一五”期间，可信计算列入了国家发改委的信息安全专项，“863计划”也正在启动可信计算专项，国家自然科学基金也有对可信计算的支持，这都说明可信计算已经有了实质性进展。

一个信息安全的重要理念由于国内网络系统中使用的CPU、操作系统大多来自国外，安全不可控性较强。

由老三样（防火墙、入侵监测和病毒防范）为主要构成的传统信息安全系统以防外为重点，把过多的注意力放在对服务器和网络设备的保护上，而忽略了对终端的保护。

有别于传统的安全技术，可信计算技术从终端开始防范攻击，它通过在计算机硬件平台上引入安全芯片架构来提高系统的安全性。

其目的主要是通过增强现有的PC终端体系结构的安全性来保证整个计算机网络的安全，意义就是在计算机网络中搭建一个诚信体系，每个终端都具有合法的网络身份，并能够被认可，而且终端具有对恶意代码，如病毒、木马等有免疫能力。

在这样的可信计算环境中，任何终端出现问题，都能保证合理取证，方便监控和管理。

（17条消息）【可信计算】可信计算学习研究资源整理原文地址：想要学习和理解可信计算技术的入门者，经常不知道从哪里下手，下面根据个人经验总结一些资源供参考（不一定全，欢迎补充）：规范通过规范的研究可以理解可信计算的基本概念和思想，方便阅读更多的书籍和论文。

早期可信计算的研究主要以TCG（国际可信计算工作组）组织为主，国内开展可信计算研究的思路基本也是跟着TCG的步伐。

可信计算最核心的就是TPM硬件芯片，其TPM 1.2规范是比较经典的，大多数厂家的芯片都以TPM 1.2为标准。

不过，现在该规范已经升级到TPM 2.0，也称为“Trusted Platform Module Library Specification”，而且遵循该规范的新芯片也已经面世。

国内对应的是TCM芯片，可以参考“可信计算密码支撑平台功能与接口规范”，而且已经成为国家标准，即GB/T 29829-2013。

而随着可信计算的发展，可信平台模块不一定再是硬件芯片的形式，特别是在资源比较受限的移动和嵌入式环境中，可信执行环境（TEE，Trusted Execution Environment）的研究比较热，如基于ARM TrustZone、智能卡等可以实现可信计算环境。

另一个热点是物理不可克隆函数PUF（Physical Unclonable Functions），其可以为可信计算提供物理安全特征，实现密钥安全存储、认证、信任根等功能，而且对应用到物联网、可穿戴设备、BYOD等场景中具有很好的优势。

关于这方面的标准可以参考“GlobalPlatform”，一个开放式联盟，定义了关于卡、设备、系统等各个方面的规范，其中包含与可信计算联系比较紧密的GP-TEE规范。

书籍与论文中文书籍推荐冯登国教授的“可信计算理论与实践”，其对可信计算的研究历史、现状和技术有比较全面和深入的理解。

还有张焕国教授的“可信计算”一书。

另外推荐综述论文“可信计算技术研究”（发表在计算机研究与发展期刊上）和“The Theory and Practice in the Evolution of Trusted Computing”（发表在科学通报CSB上）。

浅谈可信计算技术及其在银行业中的应用作者：魏兴等来源：《中国金融电脑》 2018年第11期近几年，随着网络安全事件的不断涌现，攻击手段的不断变化和升级，企业面临的网络安全形势更为严峻。

可信计算技术及可信计算系统产业的出现，颠覆了人们以往对网络安全防护的认知，将安全防护从“被动防御”变为“主动防御”。

在不依赖病毒样本特征、不安装系统补丁、不关闭网络端口、不升级杀毒软件的情况下，可信计算技术使用主动防御手段能够识别勒索病毒，阻止恶意程序执行，具有对操作系统漏洞及非预知病毒木马的防御能力。

在防范未知恶意程序、0day 攻击等方面较传统被动式防御具有一定的优势。

一、可信计算的概述1. 定义可信计算概念最早可以追溯到美国国防部颁布的TCSEC 准则。

1983 年，美国国防部制定了世界上第一个《可信计算机系统评价标准》（TCSEC），第一次提出了可信计算机和可信计算基（Trusted ComputingBase,TCB）的概念，并把TCB 作为系统安全的基础。

对于可信的定义目前存在以下几种说法。

ISO/IEC15408 标准定义：指参与计算的组件，其操作或者过程在任意的条件下是可以预测的，并且能够抵御病毒和物理干扰；IEEE 可信计算技术委员会认为，可信是指计算机系统所提供的服务是可信赖的，而且这种可信赖是可论证的；我国沈昌祥院士认为，可信计算系统是能够提供系统的可靠性、可用性、信息和行为安全性的计算机系统。

系统的可靠性和安全性是现阶段可信计算最主要的两个属性。

因此，可信可简单表述为可信≈可靠+安全。

2. 发展可信计算发展至今，从最初的可信1.0 开始，以计算机可靠性为主，以故障排除和冗余备份为手段是基于容错方法的安全防护措施。

之后可信2.0，以可信计算组织（Trusted Computing Group,TCG）出台的TPM1.0为标志，主要以硬件芯片作为信任根，以可信度量、可信存储、可信报告等为手段，实现计算机的单机保护。