基于国产自主密码
构建可信计算创新体系
■中电长城网际系统应用有限公司/张兴
一、以自主密码为基础构建可 编写“可信计算平台密码规范”和 协议安全性带来新的威胁信计算标准体系 “可信计算平台密码测评规范” 2.证书管理方面配置了五种
国家安全。 方案局限性 自身的完整性、身份可信性和数据
201502/ 69
数据保护协议等重要功能。 划分为密码模块密钥EK、平台身 权协议将OIAP协议和OSAP两
密码方案中的非对称密码算法 份密钥、平台加密密钥、存储主密 种授权协议统一为一种协议从而用ECC实现以获得更高的安全性 钥、应用类密钥。最突出的特点是 简化协议的实现。
和性能也增加其适应性。椭圆曲 引进了平台加密密钥的概念这是 新的授权数据管理方法的思想线密码算法使用Fp上的E C C国家 适应了双证书体制后的创新。 由于 是一个授权数据对应多个实体标准算法密钥位长为mm=256 。 有了平台加密密钥所以才能保证 授权数据与实体分开存放所有实ECC用于身份认证时的签名完 平台之间或者应用之间比较方便且 体对象与其对应的授权数据形成一整性度量报告以及和密钥迁移中 安全地迁移密钥。 个授权数据列表该列表由SMK的加解密。可信计算平台中可信计 证书配置 加密存储在可信芯片外部配合授算芯片的计算资源、存储资源和带 TCG证书配置和管理非常复 权数据列表的杂凑值可以解决同宽资源十分有限所以更有必要采 杂在实际产品中很难实现并不 步问题。
平台数据加密保护采用SM S4 书。取消可信平台认证证书等属性 调从可信“源头”实现自主可控对称分组加密算法密钥长度128 证书。 与国际可信计算组织TC G所提出的比特明文分组长度128比特密 平台证书采用“双证书”机制 方案相比较采用了国家密码标准文分组长度128比特。对称密码的 即平台证书包含平台身份证书和 的密码算法在密码算法强度、授缺失造成密钥管理、数据加密和 平台加密证书。平台身份证书用于 权协议安全性以及可信支撑安全功授权协议的复杂性和低效率 同 平台身份的证明。平台加密证书执 能等多个方面都具有明显优势。集时也造成了很多威胁安全的环节。 行加密运算用于平台间密钥迁移 中体现了以下六个特点我国可信计算密码方案的创新正 以及其它敏感数据的交换保护。 一是基于密码技术构建可信计是建立了对称与非对称相结合的 授权协议 算体系结构。二是密钥存储保护采密码体制。 TCG的主规范中详细描述了授 用主密钥机制主密钥使用对称密
密钥配置 权数据管理方法及相应的授权协 钥。三是密码算法全部采用国家自
TCG规范中列出了7种密钥 议。这也是规范中的难点。我国的 主的算法。四是修改了对象授权数密钥的划分是从密钥的使用属性和 可信计算密码方案是在分析TCG 据的存储方式提供更加灵活的存储管理的角度提出常常出现种 授权数据管理基础上根据用户实 对象与相应授权数据的对应关系。类交叉。 TCG规范中没有专门对密 际需求提出了新的授权数据管理方 五是自主设计了授权和传输保护钥的层次关系进行系统的说明。 法利用了授权数据列表方式解决 协议。六是简化了证书管理和密钥
我国可信计算方案根据密钥的 了密钥更新的同步问题同时基于 管理。
使用范围把可信计算平台的密钥 这种新的授权管理可以重新设计授
70 / 201502
DiyVM是一家成立于2009年的国人主机商,提供的产品包括VPS主机、独立服务器租用等,产品数据中心包括中国香港、日本大阪和美国洛杉矶等,其中VPS主机基于XEN架构,支持异地备份与自定义镜像,VPS和独立服务器均可提供内网IP功能。商家VPS主机均2GB内存起步,三个地区机房可选,使用优惠码后每月69元起;独立服务器开设在香港沙田电信机房,CN2线路,自动化开通上架,最低499元/月起。下面以...
快快CDN主营业务为海外服务器无须备案,高防CDN,防劫持CDN,香港服务器,美国服务器,加速CDN,是一家综合性的主机服务商。美国高防服务器,1800DDOS防御,单机1800G DDOS防御,大陆直链 cn2线路,线路友好。快快CDN全球安全防护平台是一款集 DDOS 清洗、CC 指纹识别、WAF 防护为一体的外加全球加速的超强安全加速网络,为您的各类型业务保驾护航加速前进!价格都非常给力,需...
这两天Linode发布了十八周年的博文和邮件,回顾了过去取得的成绩和对未来的展望。作为一家运营18年的VPS主机商,Linode无疑是有一些可取之处的,商家提供基于KVM架构的VPS主机,支持随时删除(按小时计费),可选包括美国、英国、新加坡、日本、印度、加拿大、德国等全球十多个数据中心,所有机器提供高出入网带宽,最低仅$5/月($0.0075/小时)。This month marks Linod...