摘 要:目前针对计算机安全防护系数低等理由,已经提出了有效的解决方案,可引入国家或计算机技术部门提出的接口规范、性能高的可信模块嵌入式安全模型。以计算机密钥管理为核心设计内容,在ET管理结构的基础之上,在ET中设置随机密钥、密钥管理功能、密钥安全防护系统及引擎等数据。构建了安全防护指数高、高效能、高质量的密钥管理结构,并出示了两种管理方案,即为外部密钥存储管理方案,另一种即为双端口密钥缓存管理。计算机PC主机在特定条件下与ET模块共同搭建了异构双处理系统;通过PCI接口,实现了ET和PC主机的通讯功能,同时完成了加密某一秘密文件或者是敏感文件的任务,同时将密钥进行备份,保存在已加密的存储器中,确保数据的安全指数,从某种程度上来看,充分满足了计算机的安全性、合理性和完整性。
关键词:可信计算;可信计算机平台;密钥;密钥管理
中图分类号:TP309.1
我们都知道传统计算机主要是通过病毒检测与防火墙来实现屏障外部病毒的目的,这些技术都是以可信计算机平台密钥管理由提供海量免费论文范文的www.808so.com,希望对您的论文写作有帮助.防护计算机安全为主要任务,将软件设计作为基本单位,随着设计困难的增加,也随之对计算机防御措施的设计提出了更高的要求,系统性能、功能趋于复杂,即便是这样,依旧无法有效保证计算机的安全性。为了有效解决这一理由,以纯软件防护结构为前提,利用协同兼并技术,在纯软件的外部增加一层硬件防护措施,确保了计算机系统的防护指数。而可信计算机支撑平台的创生很大程度上源于当前计算机安全防护系统性能低这一目前状况,它可提供可用性、可靠性高的安全防护平台,以学作为构建可信平台模块的主要支撑,将计算机密钥管理操作系统作为核心内容,设置多种认证技术与解密结束来提高计算机的安全防护理由。
可信模块是构建可信计算机系统必不可少的构件,也是有效发挥安全防护性能的核心内容,它利用不同类型的服务模块,提供给计算机系统以下几个功能:(1)通过计算机系统的报告机制,有效查询、检测可信计算机平台的可信度,建立一个独属于可信计算机的交流平台,建立有效的身份,以免系统混入入侵者;(2)反复验证内部数据及计算机外部结构的正确性;(3)TCM具有安全存储的功能,确保敏感信息不会泄露、更改和被破坏,若未经过授权,更是无法实现存储功能。
1 基于ET板卡的可信计算机平台
本文主要叙述的是利用计算机双处理器协同硬件软件的兼容技术,主要用来实现系统的安全防护,也就是说,在软硬件结构保持原样的同时,增加ARM处理系统用以保证系统文件、敏感数据安全性的策略。
在Windows主机中的PCI插槽中插人一块ARM板卡,ARM板卡运转Linux系统,通过PCI9054高速芯片与Windows主机相连。一般情况下,板卡中集成了可信处理模块、随机数发生器模块以及算法模块等。Linux及Windows系统的双端口处理器实现信息的内部流通,所谓的双端口处理器,一般是指Windows主机和安全结构体系中可信模块统一进行密钥管理的储存器。Linux辅核系统与Windows主核系统通过终端机制对授权数据、存储信息以及密钥的加载进行高质量管理。
2 密钥管理
可信计算机系统可信模块包括消息认证码算法、杂凑算法、椭圆曲线算法以及对称算法等。在密钥的有效运转下,才能实现这些复杂的算法,所以,密钥管理可以说是整个可信计算机系统的核心,是防护计算机平台安全的重要支撑。
2.1 密钥管理总体架构
一般来说,密钥是以树形体现的,一层一层构画成大树的形态,不仅如此,还是以树的形态实现数据、信息的存储功能的,在密钥的树形结构中,主密钥在树的根部,以加密子密钥的方式对其他密钥进行有效的安全保护。本文主要讲述的是双核处理器兼并协同硬件结构体系,在树形结构的安全屏障下,设计出高质量、高效能的密钥结构。
可信计算机系统中的FPGA硬件实现了随机数发生器和不同种类算法体系的运转,具有产生随机数、高校、准确以及快速的特点,并且提供给计算机核心系统可信度最高的算法。并提供对基本数据、信息加密服务及解密服务,ET密钥管理模块是可信计算机安全防护系统中的核心模块,它能有效管理密钥销毁、密钥注册、密钥加载以及密钥生成等环节,主要通过树形结构对其进行管理。
2.2 ET密钥管理
一般情况下,密钥可作如下使用:(1)用户类密钥, 典型的代表为UK,尽量满足用户的需要,如身份认证、数据与信息的完整性保护以及机密性等;(2)平台存储类密钥,这类密钥的典型代表为K,具有保护UK与PIK主密钥的功能,属于树形结构当中的主密钥;(3)平台身份类密钥,这类密钥具体包括平台加密密钥、平台身份密钥和模块密钥等。
在计算机系统结构中,若是对存储数量并无任务规定,那么不管访问制约与安全屏障设置的多复杂,也时常会出现密钥被窃取的情况,这对整个树形结构的安全系统是极具威胁的。所以,在日益复杂的计算机网络环境中,多级密钥管理方式应运而生,在整个树状结构体系中,K属于最为重要的内容,是关键性密钥,也是根密钥,以加密子密钥的方式对其他密钥进行有效保护,处在树状叶子部位的密钥,因为层次的关系,所以其安全性也最具有保障,但是相对的,它的管理也会系统一些、复杂一些,能够有效满足保密性、安全性与不可复制性等安全要求。
可以说,ET密钥管理方式,实现了对数据与信息的保密性管理。algorithm字段通常应该对密钥的种类加以标记,父密钥对不同的子密钥进行加密,以确保其安全性与有效性,相对于2密钥来说,父密钥加密其私钥数据,通常可不对加密其公钥数据,而S4密钥,需要全部加密,以免数据的外泄与更改,父密钥既可以是S4密钥,亦可是2密钥,所以,我们不难看出,S4与2这两种密钥的主要功能是用来存储保密性数据。函数Tspi_Key_CreateKey使ET板卡能够自行生成准确的存储密钥的日期,父密钥利用加密的形式对其进行有效的保护。此外,若想使用函数Load密钥与Tspi密钥 必须将其加载到ET板卡上,父密钥解密之后才可正常使用。
FPGA硬件在某种环境下促成了密钥的生成,为了确保密钥的有效性与保密性,必须经过父密钥对其进行加密操作。换而言之,只有通过解密,除了父密钥之外的所有密钥才能正常加载与使用。
2.3 双端口密钥缓存管理
一般情况下,促成ET加密模块与计算机PC主机信息内部流通的部件为双端口存储器,在树状结构体系中,它提供给上层结构更为有效的服务保障。当用户使用ESPI层的功能函数时,PC机Windows往双端口存储器写人相应的数据,并触发中断向ET板卡提出相应的功能请求,ET板卡则在内部响应请求做相应处理,再将处理结果返回给Windows。
2.4 外部密钥存储
在可信计算机的ET密钥模块中,在模块内部的密钥仅有K密钥与EK密钥,其余密钥全部处于Windows外部的存储设备中,采取父密钥设置子密钥的方式来确保其安全性。
若想有效保存ET,板卡执行生成的密钥,可利用函数Tspi Context_Register密钥将其存储在外部空间中,并设置单独的QUID号,所谓的QUID号,是对每一个密钥设置的标识,通俗的理解,就是,能够打开密钥,并对其进行操作。一般情况下,我们可将密钥分为对称密钥与非对称密钥两个类型。非对称密钥在某种情况下,又被称之为2算法密钥,它的公钥长度为256比特位组成的坐标点,私钥长度为256比特位。所谓的对称密钥,又被称之为S3算法密钥,是实现共享、解密、与之加密同一个密钥的行为,密钥长度为128比特位。当可信计算机平台密钥管理由优秀论文网站www.808so.com提供,助您写好论文.密钥处于ET模块外部时,若父密钥未曾对其进行加密,那么是不能进行存储操作的。为了查找方便,我们主要将其分为三种存储方式。
2.4.1 存储2密钥,父密钥为2密钥
通过父密钥对2密钥的私钥部分进行加密,无需对公钥部分进行加密。2密钥被加密之后,占用了共128节的空间,数据总量为4个256长度。通常,存储的文件格式为txt与2.
2.4.2 存储2密钥,父密钥为S4密钥
一般情况下,无需对2非对称密钥的公钥实行存储操作,公钥共占有512位64字节的空间。利用S4算法来计算2非对称密钥的私密部分,之后对其进行加密与存储操作,通常存储文件的格式为txt、S4与2,共256位32字节。
2.4.3 存储S4密钥,父密钥为S4密钥
密钥在经过父密钥的加密之后与原来一样,为128比特位,所以,显而易见的,这种密钥的存储格式相对于其他密钥来说,是十分简单的,存储格式大多为txt、S4等。
在文件中,每一个密钥为了便于存储和阅读,都应利用换行符将其隔开。倘若父密钥的ID号显示为0,那么证明是由主密钥K对其加密的。而子密钥的ID号倘若显示为0,那么则证明这个密钥是不存在的,在树形结构当中,位处三层以上的叶子节点部位。
密钥一般存储于ET可信模块的内部,倘若只是短期使用,那么则无需对其进行存储操作。
2.5 系统测试
通过Linux系统的C项编程,已经完美设置了密钥管理模块及加密算法模块,Altera FPGA这种逻辑设计方式生成了随机密钥模块。在加载ARM处理器之后,完成了对密钥的管理操作、以及加密各种保密性文件和数据。同时在系统的客户应用程序建立一个保护性强、可信度高、质量好、反应迅速的验证平台。在该平台实现数据与信息的内部处理与流动,确保系统方案的可行性、有效性及正确性。
3 结束语
在可信计算机结构系统当中,密钥对平台的完整性度量、安全存储、安全防护以及明具有无法比拟的作用,所以,我们可以认为密钥管理模块是实现安全防护的核心内容。本文在自主开发的S3C2410的ARM9的ET板卡中,设计了符合TCM规范以及适宜计算机系统运转的密钥管理结构,详细分析了密钥的管理形式,设计了保护性强、可信度高的密钥管理模块,进一步完善系统功能后,提升计算机网络环境及国防环境的安全性,确保保密性文件、数据的安全性。
参考文献:
[1]艾俊,吴秋新.可信计算支撑平台中的密钥管理技术研究[J].北京信息科技大学学报,2009(04).
[2]张森,杨昌,张焕国.可信计算平台中的密钥管理[J].楚雄师范学院学报,2006(09).
[3]许丽京.可信计算技术安全协议与密钥管理研究[J].数据通信,2012(02):41.
作者简介:王晓军(1973.03-),男,四川渠县人,本科,讲师,研究方向:计算机应用。
作者单位:达州广播电视大学,四川达州 635000
试述可信计算机平台密钥管理
更新时间:2024-03-26
作者:用户投稿
本站原创
本站原创
点赞:23184 浏览:106154