TPM实际上是一个含有密码运算部件和存储部件的小型片上的系统,由CPU、存储器、I/O、密码运算器、随机数产生器和嵌入式操作系统等部件组成。
TPM(Trusted Platform Module)安全芯片,是指符合TPM(可信赖平台模块)标准的安全芯片,它能有效地保护PC、防止非法用户访问。了数据安全的考虑,不少笔记本都集成了安全芯片,可实现数据加密、密码保护等安全功能。
TPM安全芯片的主要用途
1、存储、管理BIOS开机密码以及硬盘 密码。即便是掉电其信息亦不会丢失。相比于BIOS管理密码,TPM安全芯片的安全性要大为提高。
2、TPM安全芯片可以对系统登录、应用软件登录进行加密。比如目前咱们常用的MSN、QQ、网游以及网上银行的登录信息和密码,都可以通过TPM加密后再进行传输,这样就不用担心信息和密码被人窃龋
3、加密硬盘的任意分区。
TPM安全芯片硬件集成原理
为了数据安全的考虑,不少用户会购买U锁这类USB加密装置,接入笔记本后可实现身份识别、数据加密等功能,但外接这种装置毕竟容易丢失或不便于携带,使用上其实并不安全,为此不少笔记本则内置了各种安全功能,其原理是在主板上焊接一个TPM安全芯片,并在主板BIOS中写入了安全芯片的控制程序,因而笔记本BIOS中可能会有TPM安全芯片的开启和关闭开关。
安全保护原理图
安全芯片所起的作用相当于一个“保险柜”,最重要的密码数据都存储在安全芯片中,安全芯片通过SMB系统管理总线与笔记本的主处理器和BIOS芯片进行通信,然后配合管理软件完成各种安全保护工作,而且根据安全芯片的原理,由于密码数据只能输出,而不能输入,这样加密和解密的运算在安全芯片内部完成,而只是将结果输出到上层,避免了密码被破解的机会。
TPM安全芯片软件封装原理
笔记本内置的TPM安全芯片,必须配合客户端安全管理软件使用,才能实现文件加密、用户认证、用户权限管理等功能。也就是说,用户在日常使用的时候,看到的只是安全管理软件的操作界面,TPM安全芯片的功能被软件进行了“封装”,用户在软件上每操作一步,软件就会将这些指令通过SMB系统管理总线发到主板BIOS,主板BIOS接收到指令后再传递给TMP安全芯片,之后再由主处理器进行加密和解密的运算。
使用中所看到的界面
利用安全管理软件,TPM安全芯片可以配合指纹识别、加密U盘使用,以此实现更高的安全级别,但要注意,单独使用TPM安全芯片时必须要求牢记密码,一旦密码丢失后,数据难以找回,TPM安全芯片还有物理自毁功能,譬如即便是被盗走了硬盘,此时TPM安全芯片无法正确识别出管理软件,就会出现各种错误,譬如自动重启系统、保护密码失效、自动屏蔽USB启动选项等,以此防止非法用户通过U盘进入系统复制文件。
TPM(Trusted Platform Module)可信任平台模块
◎什么是TPM?
TPM是具有加密功能的安全微控制器,旨在提供涉及加密密钥的基本安全功能。TPM芯片集成在主板上并通过硬件总线与系统的其他部件通信。我们在BIOS的设置建立对系统以及TPM的管理。
◎TPM技术的由来
TPM诞生于上世纪90年代末,随着电脑和互联网的日益普及,用户对电脑加密等安全措施的要求也越来越高。为了适应不断发展变化的形势,1999年10月TCPA(信任运算平台联盟,Trusted Computing Platform Alliance)成立,加入的厂商有Compaq、HP、IBM、Intel、Microsoft,以共同推广PC的识别技术。TCPA专注于从计算平台体系结构上增强其安全性,并于2001年1月发布了可信计算平台标准规范。到了2003年3月,TCPA决定将推广范围扩大,改组成TCG(可信任运算集团,Trusted Computing Group),从此吸引了PC行业之外的厂商积极参与响应,如Nokia、Sony等,并提出TPM规范。目前TCG已发展为成员超过190家,遍布全球各大洲主力厂商,在IT和通信业拥有广泛影响力的大型组织。
◎TPM的工作原理
TPM作为可信计算平台的核心,实际上是一块安装在主板上,含有密码运算部件和存储部件的系统级芯片。TPM技术最核心的功能在于对CPU处理的数据流进行加密,同时监测系统底层的状态。在此基础上,可以开发出唯一身份识别、系统登录加密、文件夹加密、网络通讯加密等各个环节的安全应用,它能够生成加密的密钥,还有密钥的存储和身份的验证,可以高速进行数据加密和还原,作为保护BIOS和OS不被修改的辅助处理器,通过TSS与TPM的结合来构建跨平台与软硬件系统的可信计算体系结构。即使用户硬盘被盗也不会造成数据泄漏。TPM的序号无法轻易被读出,其读取过程经过加密算法处理,与IC卡一样具有传输加密的安全特性,即TPM芯片就是一颗内嵌于计算机内的智能卡,该芯片的序号代表着该机、该装置、该硬件等信息。TPM上的数字就如同身份证号码,是唯一识别而不重复的一组数字。
◎全球地位
由于某些国家的法律法规影响,TPM并没有推广到全球。
×中国就限制了TPM的使用,但是使用TCM代替。TCM并不能完全兼容TPM像windows Vista bitlocker和Wave指纹识别模块这样的应用程序就不能得到TCM的兼容。
×中国香港使用标准的TPM协议。
×俄罗斯没有跟TCM相当的技术。任何加密技术都需要俄罗斯当局的批准,不仅仅是TPM技术。
◎其他
l 如果嵌有TPM技术的主板被更换后,TPM功能需要重新激活
l 中国标准的TCM
中国拥有自主知识产权的可信计算规范被称为TCM(Trust C Module),与之对应的国际可信计算的规范TPM。TCM与TPM1.2有很多的相同点,TCM是借鉴了TPM1.2的架构,替换了其核心算法后的产品。同时TCM中也按照我国的相关证书、密码等政策提供了符合我国管理政策的安全接口。
来源:http://hi.baidu.com/loukiwa/blog/item/13bf0f3b7c17cfe215cecbaa.html