可信计算TPM2.0

目前市场上已经部署了超过10亿的TPM,并且几乎所有的商业PC和服务器上都存在,但很少有人知道它们。

TPM2.0规范的可读性很差,尽管大多数的技术规范都是如此。

可信平台身份证明

PKI证书

可信计算TPM2.0_第1张图片

撤销证书一般是把证书列入证书撤销列表(CRL)中来实现

可信计算TPM2.0_第2张图片

 为了获得对某一证书的信任,验证者必须验证三个方面:

1.验证真实性。     证书真实性的验证是基于证书链验证机制的

2.验证有效性。     证书有效性的验证是通过比较当前时间与证书截止时间来进行的

3.验证可用性。     证书可用性的验证是通过证书撤销机制来实现的

可信计算TPM2.0_第3张图片

 

X.509

X.509是一个Public Key Certificates的格式标准,TLS/SSL使用它TLS/SSLHTTPS的基础,所以HTTPS也使用它

匿名远程证明协议(群签名、隐私协议分析)

密钥备份及恢复

密钥的备份与恢复只能针对解密私钥签名私钥不能备份

Kerberos

Ø Kerberos 是一种可信任的第三方认证服务,是通过传统的对称密码体制提供 TCP/IP 认证服务的。
Ø 过程:客户机向认证服务器( AS )发送请求,要求得到某服务器的证书,然后 AS 的响应包含这些用客户端密钥加密的证书。
Ø 组成: AS Authentication server )存储用户名

        和密码以确定登录客户的身份

        TGSTicket-Granting Sever )为用户和

        服务器产生会话密钥,并发放给用户

Ø 优点: 与授权机制相结合,实现了一次性签放的机制,并且签放的票据都有一个有效期,可有效防止重放攻击;支持双向的身份认证,即服务器可以通过身份认证确认客户方的身份,而客户如果需要也可以反向认证服务方的身份;
Ø 缺点: 票据有可能在有效期内被重放;管理密钥太多,存在管理问题;无法保证数据的完整性。

平台配置寄存器

PCR是TPM的基本特征之一。

你可能感兴趣的:(可信计算,服务器,安全,运维)