一文讀懂可信計算技術(shù)與產(chǎn)品生態(tài)

TPM的高安全防護等級可以有效阻止硬件設備運行BIOS級別和外設固件級別的惡意程序，有效保護具有計算能力的設備，防止非法用戶(hù)/設備訪(fǎng)問(wèn)，并提供物理安全級別的敏感數據及密鑰加密保護，安全配置策略等。任何軟件方式的數據盜取，通信鏈路上的中間人和重放攻擊，以及本地物理現場(chǎng)的探針、刨片等物理攻擊方式對TPM芯片來(lái)說(shuō)都不起作用。符合ISO/IEC 11889標準的TPM還支持中國商用密碼算法體系（SM2/SM3/SM4），使得在數據保護上更加安全。

快速網(wǎng)絡(luò )身份認證（Fast ID Online，FIDO）應用是一個(gè)用于身份認證的國際標準，FIDO通過(guò)易用的客觀(guān)物理事實(shí)如指紋、人臉、虹膜代替口令，統一分布式的認證器系統，統一開(kāi)放的基于密碼算法的認證協(xié)議，基于風(fēng)險策略的身份認證基礎設施，來(lái)進(jìn)行可信身份認證。對于用戶(hù)來(lái)說(shuō)，刷指紋、刷臉等方式訪(fǎng)問(wèn)網(wǎng)絡(luò )服務(wù)，勝在用戶(hù)體驗。

那么FIDO足夠安全嗎？如何保證身份認證信息的安全性呢？這就需要可信平臺模塊（TPM）的參與了。FIDO規范定義了基于TPM形成安全環(huán)境，以保護FIDO用戶(hù)的網(wǎng)絡(luò )身份驗證憑據。TPM芯片是高等級的安全芯片，其安全性有足夠保障。

FIDO標準組織聯(lián)合W3C（萬(wàn)維網(wǎng)聯(lián)盟，World Wide Web Consortium）在W3C Member Submission提交的FIDO 2.0: Key Attestation Format規范中詳細定義了基于TPM的認證器實(shí)現，這意味著(zhù)所有瀏覽器都要支持基于TPM的FIDO認證協(xié)議。特別需要說(shuō)明的是，基于ISO/IEC 11889可信平臺模塊應用的FIDO 2.0可以直接使用中國密碼算法SM2進(jìn)行簽名驗證機制，詳情可參考下面的鏈接：

https://www.w3.org/Submission/fido-key-attestation/

Microsoft Edge瀏覽器直接支持FIDO 2.0，W3C Web Authentication，可以直接基于TPM保護的密鑰進(jìn)行FIDO協(xié)議的身份認證，為全球和中國用戶(hù)提供了一致、開(kāi)放和領(lǐng)先的身份認證安全方案。

在系統搭建和配置完成后，物聯(lián)網(wǎng)設備與云服務(wù)之間的接入身份驗證基于HMAC密碼算法完成。設備端的HMAC計算在TPM中進(jìn)行，服務(wù)端對計算結果進(jìn)行驗證，確認接入設備的身份，以防止設備身份假冒和釣魚(yú)等攻擊。TPM芯片是AIoT身份的理想安全載體，基于Windows IoT Core接入Azure IoT Hub云服務(wù)的物聯(lián)網(wǎng)設備身份應用，基本上是即插即用的，充分實(shí)現了物理硬件安全，以及端到云的物聯(lián)網(wǎng)設備身份可信應用。

作為中國大陸唯一一家可信計算芯片供應商，國民技術(shù)面向全球市場(chǎng)提供一致化的可信計算芯片及解決方案，先后推出了全球第一款可信密碼模塊（TCM）安全芯片Z8H172T，第一款國產(chǎn)可信平臺模塊2.0（TPM 2.0）安全芯片Z32H320TC等產(chǎn)品。

目前，國民技術(shù)第三代可信計算芯片Z32H330TC以及基于Z32H330TC的可信密碼模塊（TCM）產(chǎn)品以高性能、高安全性、兼容國際和中國標準為核心競爭力，在全球一體化的產(chǎn)業(yè)鏈中被廣泛應用。產(chǎn)品與x86，AMD64，ARM，龍芯，申威、RISC-V等主流CPU平臺兼容，并得到了主流BIOS代碼庫的支持，與全球主要的計算機操作系統，如Windows、Linux、中國統信、中國麒麟、中國方德等操作系統無(wú)縫集成。

PCIe屬于高速串行點(diǎn)對點(diǎn)雙通道高帶寬傳輸，所連接的設備分配獨享通道帶寬，不共享總線(xiàn)帶寬，主要支持主動(dòng)電源管理、錯誤報告、端對端的可靠性傳輸、熱插拔以及服務(wù)質(zhì)量(QOS)等功能。PCI Express 2.0接口的TCM模塊為主機提供內置化的高集成可信密碼模塊，在工程實(shí)施的便利性上具有獨特的優(yōu)勢，該模塊使用國民技術(shù)Z32H330TC可信計算芯片。

另外一種基于Z32H330TC芯片實(shí)現的帶USB接口的TCM模塊，可為主機提供外置式便捷、高集成的可信密碼模塊，在工程實(shí)施上具有靈活性?xún)?yōu)勢，可適應更多應用類(lèi)型。

國民技術(shù)是國際可信計算產(chǎn)業(yè)唯一來(lái)自中國的可信計算芯片供應商，產(chǎn)品及解決方案主要應用于終端計算機、服務(wù)器、網(wǎng)絡(luò )通信設備、嵌入式系統等領(lǐng)域，目前全球市場(chǎng)出貨數百家OEM/ODM客戶(hù)，以過(guò)硬的產(chǎn)品質(zhì)量和優(yōu)質(zhì)的服務(wù)得到全球客戶(hù)的廣泛認可。