关于密钥管理在可信计算机平台中应用探析.docVIP

关于密钥管理在可信计算机平台中应用探析【摘要】伴随我国社会主义经济与国内生产总值GDP的不断增长，我国的对于计算机软件的开发技术也逐渐加快了脚步。针对现今网络安全性与防护性问题，我们必须对其进行适当的调整与改进才能在本质改善计算机网络平添的可信性。饿这时候提出的TCM（国家可信密码模块）与ETSM（可嵌入式可行安全模型）的出现给我们带来了新希望。本文主要对密钥管理在可信计算机平台中的应用进行了分析与探讨，并针对其现今存在的问题提出了一些相关政策。 【关键词】密钥管理；可信计算；计算机平台；可信服务模块 随着计算机网络的普及与应用的广泛性，其在生活中与企业中的重要性也越来越重要。由于传统的安全防护措施已经不能逐渐适应当今社会计算机网络的发展，新型的病毒、木马以及电脑蠕虫已经对计算机网络平台产生了深深的不良影响。因此，我们必须对现今的计算机网络安全进行一定程度的改革与深化才能更好提高计算机平台的可信度。所以，如何正确提高可信计算机平台的性能就成为了当今社会发展的重中之重。 一、可信密码模块的内涵 对于当今发展迅速地计算机网络而言，其安全问题是一直困扰广大民众的关键性问题。而传统的安全防护，只是注重了防护，而对于其他设备与硬件的防护还没有做到任何的保护措施。而文中使用的密钥管理与可行密码模块的应用彻底的改变了当今可信计算机平台，为其系统的安全性与可信性增加了力量。而对于可行密码是指计算机通过可信计算密码来不断支撑其计算机的平台核心的一种方式手段。可信密码模块的工作流程主要是通过计算机系统中各种服务模块为计算机系统提供三个方面的系统功能服务：1.为系统提供安全性与防护性的存储功能，进而来不断保障系统的整体安全性，防止外来因素的影响，以防可行计算机平台出现信息破坏、更改以及泄露的问题；2.其可以更好的验证外部实体的数据的正确性，提高了信息的可信度；3.计算机还可以改通过逻辑报告的方式来不断完成平台可信性的查询，构建一个可信度极高的身份识别系统，以防出现有人假冒人员进入平台，破坏了平台的可信度。再加上，可信密码模块的内部还适当的引入了SM2——椭圆曲线密码算法、SMS4——对称密码算法、SM3——密码杂凑算法、HMAC——消息认证码算法，这些新型算法的引入不仅仅增加了系统的整体功能性，还为密钥管理上提供了基础。因此，在可信计算机平台中是适当合理的引用可信密码模块以及密钥管理是十分重要的。 二、密钥结构分析与密钥管理 1.密钥的分类及其结构分析 对于计算机密钥系统中的可信密码模块算法的SMS4、非对称算法SM2以及杂凑算法SM3而言，其根据密钥的使用范围在计算机平台的可信应用有以下三个分类： （1）平台平台身份类密钥密码模块。对于这种计算机密钥可信密码保护模块而言，其主要将密钥分为公钥（PUBEK）、私钥（PRIVEK）两种。其中私钥模块只能在可信密码模块中进行应用，而且其限定了一个可信模块只能唯一对应一个密钥。由于密钥是唯一进入可信密码模块的初始密钥，可以说是一个计算机可信平台构成的基本元素之一，而平台的身份密钥（PIK）又是可信密码模块的身份密钥，这在一定的程度上使得平台身份密钥在对可信密码模块进行系统内部的信息数字签名时，实现了保障平台身份认证与平台信息报告的完整性。 （2）平台存储类密钥。平台存储类密钥又称为SMK，其主要的功能是用于保护PIK以及可信计算机平台用户密钥UK的主密钥。 （3）用户类密钥。用户类密钥简称UK，其主要的作用是不断实现用户所需要构建的密码功能，其主要包括了信息的机密性、完整性、用户的身份认证等等。在可信计算机平台处理相关信息的时候，用户类的密钥可以更好的为用户保护某些必须将之房子机器中的信息安全，只有真正的管理人员观看信息。 2.密钥管理 对于现今社会中的密钥管理而言，其主要有以下几个方面的内容： （1）双端口密钥缓存管理系统。该系统主要是由双端口的储存器构成，而双端口存储器又是PC机与ETSM进行计算机信息平台交换的关键部位，其不仅仅可以更为优秀的处理双方的信息，其还可以为上层的应用程序提供有效地可信息服务保障。在当用户使用ESPI层有关功能的相关函数时，PC机的windows可以顺利往双端口存储器有效地传送相应的有关数据，并且其可以对有关的信息进行合理有机的处理，增加了可信计算机平台的安全性与防护性。 （2）外部密钥存储。对于一个密钥管理的中的ETSM而言，在其内部只有EK和SMK这两种重要的内部储存可信密码模块，而其余的密钥都是通过SMK对计算机的网络进行有机的防护的，这在一定的程度上就为计算机节省了内部使用空间。 三、密钥的迁移 人们为进一步确保可信计算机平台信息的安全性与防护性，可以适当的在每一个可信计