可信計算

《可信計算》圍繞不斷快速發展的可信計算學科展開全書內容，其內容涵蓋了如何使用可信平台模塊（TPM）提供安全解決方案，並討論瞭如何編碼實現。《可信計算》介紹了’TPM的基本功能以及如何編寫代碼通過標準TCG（TrustedComputingGroup，可信計算組織）軟件棧訪問這些功能，同時還提供了相關範例，並討論了利用TPM能夠實現的解決方案。

《可信計算》簡明實用，可作為高等院校相關專業的教材或教學參考書，同時也適合軟件工程師、軟件項目經理和技術主管、用户界面設計者和可信計算愛好者閲讀。

譯者序

前言

關於作者

第一部分背景材料

第1章可信計算概述．

1．1計算機安全攻擊所造成的損失是驚人的

I．2正在變化中的計算機安全威脅

1．2．1易受攻擊的程序

1．2．2惡意程序：病毒和間諜軟件/廣告軟件

1．2．3錯誤配置的程序

1．2．4社會工程：網絡釣魚和網絡嫁接

1．2．5物理數據竊取

1．2．6電子竊聽

1．3軟件能夠做到完全安全嗎

1．4TPM能幫我們做什麼

1．5隱私和恢復——硬件的特殊考慮

1．6小結

1．7尾註

第2章可信平台模塊的設計目標

2．1安全地報告當前環境：平台狀態

2．1．1存儲系統啓動序列的記錄

2．1．2報告啓動序列記錄

2．2安全存儲

2．2．1存儲數據和對稱密鑰

2．2．2存儲非對稱密鑰

2．2．3授權

2．3安全簽名

2．4安全身份標識

2．5多用户環境中用户的隔離

2．6內部隨機數產生器

2．7沒有包含的特性

2．8安全性分析

2．9小結

第3章可信平台模塊功能概述

3．1安全存儲：存儲根密鑰（sRK）

3．2可遷移密鑰與不可遷移密鑰

3．3密鑰類型

3．3．1存儲密鑰

3．3．2綁定密鑰

3．3．3身份密鑰

3．3．4簽名密鑰

3．4平台完整性

3．4．1平台配置寄存器（PCR）

3．4．2移交過程-

3．4．3密鑰維護

3．5安全簽名

3．5．1避免密鑰泄露

3．5．2私密性和多種簽名

3．6小結

第二部分TCG編程接口

第4章編寫TPM設備驅動程序．

4．1TCG設備驅動程序庫

4．2TPM1．1b規範設備接口

4．2技術細節

4．2．2設備編程接口

4．3TPM1．2規範設備接口

4．3．1技術細節

4．3．2設備編程接口

4．4小結

第5章底層軟件：直接使用BlOS和TDDL

5．I通過BIOS與TPM進行會話

5．2通過TDDL與TPM進行會話

5．2．1IBM的libtpm包

5．2．2啓用和清空TPM

5．2．3與TPM進行會話

5．2．4以一些簡單的TPM命令開始

5．3獲得所有權

5．3．1創建和使用密鑰

5．3．2檢查TPM配置

5．4小結

第6章可信啓動

6．1用靜態可信根實現可信啓動

6．2動態可信度量根

6．3AMD安全虛擬機

6．4驗證I．ocality

6．5小結

第7章TCG軟件棧

7．1TSS設計概況

7．2TCG服務提供者接口（Tspi）

7．3TSP對象類型

7．3．1上下文對象

7．3．2TPM對象

7．3．3策略對象

7．3．4密鑰對象

7．3．5加密數據對象

7．3．6散列對象

7．3．7PCR合成對象

7．3．8非易失性數據對象（17SS1．2）

7．3．9可遷移數據對象（TSS1．2）

7．3．10代理簇對象（TSS1．2）

7．3．11直接匿名證明（DAA）對象（TSS1．2）

7．4TSS返回代碼

7．5TSS內存管理

7．6可移植的數據設計

7．7永久密鑰存儲

7．8簽名和認證

7．9設置回調函數

7．10TSS確認數據結構

7．11小結

第8章使用TPM密鑰

8．1創建密鑰層次結構

8．2效用函數

8．3小結

第9章使用對稱密鑰

9．1數據綁定

9．2數據密封

9．3加密文件

9．4小結

第10章TSS核心服務（TCS）

10．1TCS概述

10．1．1TCS是如何處理有限資源的

10．1．2對TCS抽象能力的進一步分析

10．1．3為什麼TCS可以實現本地和遠程調用

10．2使用和實現一個TCS

10．2．1開始

10．2．2為什麼選擇WSDL

10．3wsdl文件的簡要分析

10．3．1頭文件

10．3．2段

lO．4複雜類型中的InParms和OutParms

lO．5消息

10．6端口類型的操作

lO．7綁定操作

10．8服務

10．8．1對WSDL．文件的總結

10．8．2使用WSDL。文件

10．8．3理想情況

lO．8．4以gSOAP為例

10．8．5使用gSOAP樁

10．9與TCS相關的隱私問題

10．9．1解決隱私問題

10．9．2對需要的函數進行分組

10．10小結

第11章公鑰加密標準PKCS#11

11．1PKCS#11概述

11．2PKCS#11TPM令牌

11．3RSA密鑰約束

11．4管理

11．5設計要求

11．6openCryptoki的設計

11．7遷移

11．8小結

第三部分體系結構

第12章可信計算和安全存儲

12．1與對稱算法相結合

12．1．1加密文件併發送給網上沒有公鑰的其他用户

12．1．2加密文件併發送給網上有公鑰的其他用户

12．1．3加密文件並存儲在硬盤上

12．2加密文件並存儲在只有組成員可以訪問的組硬盤上

12．3加密文件並存儲在備份設備中

12．4將數據鎖定到特定的PC中

12．4．1步驟1．

12．4．2步驟2

12．4．3步驟3

12．4．4步驟4

12．5內容保護

12．6安全打印

12．6．1內部網

12．6．2因特網

12．7安全傳真

12．8超級安全可遷移存儲

12．9小結

第13章可信計算和安全認證

13．1登錄口令的存儲

13．2虛擬專用網終端

13．3授權委託

13．4不允許進一步遷移的委託

13．5信用卡終端

13．6多個用户使用單一系統

13．7安全的旅館式辦公

13．8利用背書密鑰產生PKI

13．9與生物識別技術相連

13．10與智能卡相連

13．10．1智能存儲卡和TPM

13．10．2智能簽名卡和FPM

13．11虛擬看門狗技術

13．12可信終端

13．13遵循HIPAA的醫學解決方法

13．14軍事上的COTS安全解決方法

13．15與IP電話一起使用

13．16與IPSec一起使用

13．17與計量儀表一起使用

13．18與網絡交換機一起使用

13．19小結

第14章可信設備管理

14．1安全備份/維護

14．2密鑰證書的分配

14．3安全定時報告

14．4密鑰恢復

14．5TPM工具

14．6小結

第15章輔助硬件

15．1可信路徑

15．2特殊鍵盤

15．3可信顯示

15．4小結

第16章從TSs1．1到TSS1．2

16．1認證可遷移密鑰（CMK）

16．2代理

16．3直接匿名證明

16．4Locality

16．5PCR——新行為

16．6NVRAM

16．7審計函數

16．8單調計數器

16．9滴答計數器

16．10SOAP

16．11傳輸會話

16．12管理函數和便利函數

16．13示例程序

16．14小結

第四部分附錄

附錄A刪命令參考

附錄BTSS命令參考

附錄C函數庫

附錄D依據對象和API級別劃分TSS函數

索引

……

DavidChallenerLerlOVO公司個人計算部門安全技術專家。他曾任職於IBM公司，是TPM規範的

合著者之一。

KentYoderIBMLinux技術中心軟件工程師。他作為IBM的代表參與TCGTSS委員會，幫助編寫和維護TrouSerS（在TPM硬件上執行的符合TSS軟件棧規範的開源TSS庫）。

RyanCathermanIBM可信計算軟件初始時的合著者之一，以及該軟件LJNⅨ版本的創始人。

DavidSaffordIBM研究所全球安全分析實驗室研究人員。

LeendertVanDoornAMD的高級研究員，負責軟件技術辦公室。

TPM（可信平台模塊）成為世界各大PC供應商積極推廣的一類新產品。《可信計算》是第一本關於正確使用TPM的工具書，向用户展示可信計算技術的風采，並指導用户進行相關的開發工作。

《可信計算》涵蓋了如何使用TPM提供安全解決方案，並討論瞭如何編碼實現。書中介紹了TPM的基本功能以及如何編寫代碼通過標準TCG（TrustedComptingGroup，可信計算組織）軟件棧訪問這些功能，同時還提供了相關範例，並討論了利用TPM能夠實現的解決方案。《可信計算》主要特點

TPM提供的服務和功能。

TPM設備驅動程序：在BIOS中運行代碼的解決方案、新操作系統的TSS棧和內存受限的環境。

·使用TPM增強PC啓動序列的安全性。

·深入探討密鑰管理方面的問題：創建、存儲、加載、遷移和使用密鑰，對稱密鑰等。

·將PKCS#11與TSS棧結合起來，以支持具有中間件服務的應用。

·TPM和隱私--包括如何避免隱私問題。

·從TSS1．1規範轉移到TSS1．2規範。

·TPM和TSS命令參考以及完整的函數庫。