浅论可信计算机平台密钥管理.docVIP

浅论可信计算机平台密钥管理 　　摘要：可信计算机密码支撑平台可以提供一种可靠性高、可用性强的软硬件计算机平台，其利用可信平台模块，以密码学技术为基础，以操作系统为核心，利用相应的加解密技术以及认证技术来提高系统的安全性。本文就针对可信计算机平台密钥管理技术展开讨论。 　　关键词：可信计算机平台；密钥管理 　　中图分类号：TN918.1 文献标识码：A文章编号：1007-9599 (2011) 16-0000-01 　　Trusted Computer Platform Key Management 　　Zhang Liang 　　(Weifang Branch of China Unicom,Weifang261041,China) 　　Abstract:Trusted Computer passwords provide a support platform reliability,availability,and strong computer hardware and software platform,the use of Trusted Platform Module,to cryptography technology,the operating system as the core,the use of appropriate encryption technology and authentication technology to improve system security.In this paper,trusted computing platform for discussion of key management techniques. 　　Keywords:Trusted computing platforms;Key management 　　一、基于ETSM板卡的可信计算机平台 　　本文所提出的是以双处理器协同处理的硬件体系结构技术，为一个双处理器、双操作系统的安全终端，其硬件体系结色所采取的是保持主核系统软硬件结构不变、增加辅核系统的方法。把一块ARM板卡插入主机的PCI插槽中，ARM板卡所运行的是Linux系统，其和主机的连接是利用PCI99054高速芯片来实现的。在板卡中，密码算法模块、随机数发生器模块以及可信处理模块均集成在一起。 　　二、密钥管理 　　（一）整体架构 　　在可信计算机平台中，密钥的存储结构为树形结构，整个密钥层次均为树形结构。在密钥层的整个结构中，存储主密钥为根密钥，其它密钥均通过根密钥利用父密钥加密子密钥的方法对其进行直接或者间接的保护。本文以双核协同处理硬件体系结构结合可信计算密钥树形结构为基础的，针对ETSM平台，将实现可信计算机密钥的体系结构设计出来。 　　（二）ETSM密钥管理 　　按照使用范围，可信密码模块中的密钥可以分为平台身份类密钥、平台存储类密钥以及用户类密钥三类，其中平台身份类密钥包括密码模块密钥、平台身份密钥以及平台加密密钥；平台存储类密钥则有SMK，其用于保护PIK以及用户密钥UK的主密钥，为密钥存储树结构的根密钥；用户类密钥技术有UK，其可以保护用户所需的密码，具体而言包括机密性、身份认证以及完整性保护。如果密钥在信息系统中是无限制明文存储，则不管访问控制的复杂度如何之高，也无可避免的会有一些特权用户有存取密钥的机会，其十分不处于信息系统的安全性。所以在可信计算机平台中，主要采用多级密钥管理体系，以保证系统的安全性。SMK是整个密钥层次结构的根密钥，也是密钥存储的关键密钥，它对其它全部密钥进行直接或者间接保护，SMK会派生出多个子密钥。父密钥对子密钥的存储是利用加密的方式来实现的，对于叶子节点的密钥而言，其层次越高，相应的安全性也就越高，不过其管理也会越复杂，通常三层即可满足安全要求。 　　本文所提出的ETSM密钥管理核心技术就是密钥数据的管理和实现。密钥的数据结构中，algorithm字段标识该密钥属于何种密钥，是SM2还是SMS4。父密钥要对其所属的子密钥进行加密，对于SMS4密钥而言，其整个密钥数据均要进行加密，但是SM2密钥匙公钥部分则无需加密，其父密钥则对其私钥部分加密。父密钥的类型可以是SM2或者SMS4中的任何一种，所以hSM2Key与hSMS4Key则用于存储相应的密钥信息。authDataUsage存放该密钥的授权数据，flag表示该密钥是否解密，其中0为加密，1为解密。 　　密钥的生成要利用高效的FPGA硬件来实现，一旦密钥字符串生成以后，要经过指定的父密钥对其进行加密，并要将加密后对应的字段填充进去；同样的道理，只有父密钥在解密了对应的加载密钥后，才能实现正确的密钥加载，同样要填充对应的