密钥基于国产自主密码构建可信计算创新体系

基于国产自主密码

构建可信计算创新体系

■中电长城网际系统应用有限公司/张兴

一、以自主密码为基础构建可 编写“可信计算平台密码规范”和 协议安全性带来新的威胁信计算标准体系 “可信计算平台密码测评规范”  2.证书管理方面配置了五种

国家安全。 方案局限性 自身的完整性、身份可信性和数据

201502/ 69

数据保护协议等重要功能。 划分为密码模块密钥EK、平台身 权协议将OIAP协议和OSAP两

密码方案中的非对称密码算法 份密钥、平台加密密钥、存储主密 种授权协议统一为一种协议从而用ECC实现以获得更高的安全性 钥、应用类密钥。最突出的特点是 简化协议的实现。

和性能也增加其适应性。椭圆曲 引进了平台加密密钥的概念这是 新的授权数据管理方法的思想线密码算法使用Fp上的E C C国家 适应了双证书体制后的创新。 由于 是一个授权数据对应多个实体标准算法密钥位长为mm=256 。 有了平台加密密钥所以才能保证 授权数据与实体分开存放所有实ECC用于身份认证时的签名完 平台之间或者应用之间比较方便且 体对象与其对应的授权数据形成一整性度量报告以及和密钥迁移中 安全地迁移密钥。 个授权数据列表该列表由SMK的加解密。可信计算平台中可信计 证书配置 加密存储在可信芯片外部配合授算芯片的计算资源、存储资源和带 TCG证书配置和管理非常复 权数据列表的杂凑值可以解决同宽资源十分有限所以更有必要采 杂在实际产品中很难实现并不 步问题。

平台数据加密保护采用SM S4 书。取消可信平台认证证书等属性 调从可信“源头”实现自主可控对称分组加密算法密钥长度128 证书。 与国际可信计算组织TC G所提出的比特明文分组长度128比特密 平台证书采用“双证书”机制 方案相比较采用了国家密码标准文分组长度128比特。对称密码的 即平台证书包含平台身份证书和 的密码算法在密码算法强度、授缺失造成密钥管理、数据加密和 平台加密证书。平台身份证书用于 权协议安全性以及可信支撑安全功授权协议的复杂性和低效率 同 平台身份的证明。平台加密证书执 能等多个方面都具有明显优势。集时也造成了很多威胁安全的环节。 行加密运算用于平台间密钥迁移 中体现了以下六个特点我国可信计算密码方案的创新正 以及其它敏感数据的交换保护。 一是基于密码技术构建可信计是建立了对称与非对称相结合的 授权协议 算体系结构。二是密钥存储保护采密码体制。 TCG的主规范中详细描述了授 用主密钥机制主密钥使用对称密

密钥配置 权数据管理方法及相应的授权协 钥。三是密码算法全部采用国家自

TCG规范中列出了7种密钥 议。这也是规范中的难点。我国的 主的算法。四是修改了对象授权数密钥的划分是从密钥的使用属性和 可信计算密码方案是在分析TCG 据的存储方式提供更加灵活的存储管理的角度提出常常出现种 授权数据管理基础上根据用户实 对象与相应授权数据的对应关系。类交叉。 TCG规范中没有专门对密 际需求提出了新的授权数据管理方 五是自主设计了授权和传输保护钥的层次关系进行系统的说明。 法利用了授权数据列表方式解决 协议。六是简化了证书管理和密钥

我国可信计算方案根据密钥的 了密钥更新的同步问题同时基于 管理。

使用范围把可信计算平台的密钥 这种新的授权管理可以重新设计授

70 / 201502