兆日TPM芯片安全功能全面展示与分析

    随着信息化大潮的到来，信息在商业领域及个人领域均受到了用户前所未有的关注，随之而来的就是信息安全所产生的一系列问题，为了从根本上解决安全问题， 1999年由Compaq、HP、IBM、Intel和Microsoft牵头组织TCPA( Trusted Computing Platform Alliance)，目前已发展成员190家，遍布全球各大洲主力厂商。TCPA专注于从计算平台体系结构上增强其安全性，并于2001年1月发布了可信计算平台标准规范。2003年3月TCPA改组为TCG(Trusted Computing Group)，其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。

    可信计算的核心是称为TPM（可信平台模块）的安全芯片，作为可信计算技术的核心， TPM被业内喻为安全PC产业链的“信任原点”， 旨在将PC变成一个安全可信的计算平台。在实际应用中，TPM安全芯片被嵌入到PC主板之上，TPM芯片如下图所示。

安全芯片的功能:

    TPM安全芯片的实质是一个可独立进行密钥生成、加解密的装置，内部拥有独立的处理器和存储单元，可存储密钥和敏感数据，为各种计算平台提供完整性度量，数据安全保护和身份认证服务。在技术层面，TPM安全芯片五大功能力保数据安全。

功能之一：完整性度量

    通过完整性度量，保证PC从加电时刻起，一直到在其上运行的每一个硬件、操作系统以及应用软件都是可信得，从此计算机再也不会受到病毒、木马的威胁；

功能之二：“我的地盘我做主”，敏感数据的加密存储

    加密存储：TPM将部分敏感数据如根密钥等存储在芯片内部的屏蔽区域，系统的其它敏感数据加密后存储到外部存储设备。通过硬件级的保护，传统的攻击方法将难以窃取敏感数据。因此用户在使用这种PC的时候就尽可放心了；

    数据封装：TPM将数据与特定的密钥及平台状态绑定在一起。只有被授权的用户，使用该密钥在相同的平台状态下才可以解密被加密的数据。比如用户丢了笔记本电脑，即使别人通过安装其它的操作系统查看到磁盘，但由于磁盘数据已经与平台绑定，而平台的信息已经发生了变化，因此其它用户也无法获取磁盘数据。另外如果用户想使用网上银行，通过完整性度量与验证可以保证帐户等敏感信息不会被木马程序窃取，而通过数据封装还可以设置这些敏感信息只能在特定的计算机上操作，即使别人知道帐号信息，也无法在别的计算机进行交易，这样极大的增加了电子商务的安全。

功能之三：身份认证功能

    通过身份认证，向外部实体提供系统平台身份证明和应用身份证明服务。现有的计算机在网络上是依靠不固定的也不唯一的IP 地址进行活动，导致网络黑客泛滥和用户信用不足。而具备由权威机构颁发的唯一的身份证书的可信计算平台具备在网络上的唯一的身份标识，从而为电子商务之类的系统应用奠定信用基础，对互联网的应用具有巨大的促进作用。

功能之四：内部资源授权访问，独特功能设置权限“防火墙”

    访问TPM所管理的资源（包括密钥、加密存储的敏感数据）时，是通过TPM的授权协议来完成的，只有通过合法授权才能访问资源，最大限度的保护了敏感数据。

功能之五：数据的加密传输，打造全程安全保护通道

    TPM在和外部的实体进行命令和数据的交互时，除了要验证操作者的身份外，还可以对通讯线路上传输的数据进行加密，防止被窃取和攻击。

    前面介绍了这么多，相信读者现在一定对TPM安全芯片有了一个大致的了解了，目前在国内市场上TPM安全芯片的生产商仅有两三家，如兆日公司，国内的像厦新、方正、同方等多家知名PC厂商生产的安全电脑均是采用的兆日的TPM安全芯片。

    在文章的最后，笔者想提醒各位读者，微软有史以来最具革命性的操作系统的Windows Vista即将出现在我们的面前，这款新一代的操作系统被微软自诩为具备更好的安全性，而这个安全性正是建立在TPM安全芯片的基础之上的。对此，我们可以大胆的推断出TPM将来肯定会像USB接口一样成为每台PC的标配的，在此，让我们期待着TPM在未来会更大、更好的发展。