TPM功能简介

admin管理员组

文章数量:1536771

2024年6月24日发(作者：)

随着信息化大潮的到来，信息在商业领域及个人领域均受到了用户前所未有的关注，

随之而来的就是信息安全所产生的一系列问题，为了从根本上解决安全问题， 1999年由

Compaq、HP、IBM、Intel和Microsoft牵头组织TCPA( Trusted Computing Platfor

m Alliance)，目前已发展成员190家，遍布全球各大洲主力厂商。TCPA专注于从计算平

台体系结构上增强其安全性，并于2001年1月发布了可信计算平台标准规范。2003年3

月TCPA改组为TCG(Trusted Computing Group)，其目的是在计算和通信系统中广泛使

用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。

可信计算的核心是称为TPM（可信平台模块）的安全芯片，作为可信计算技术的核心，

TPM被业内喻为安全PC产业链的“信任原点”， 旨在将PC变成一个安全可信的计算平

台。在实际应用中，TPM安全芯片被嵌入到PC主板之上，TPM芯片如下图所示。

安全芯片的功能:

TPM安全芯片的实质是一个可独立进行密钥生成、加解密的装置，内部拥有独立的处

理器和存储单元，可存储密钥和敏感数据，为各种计算平台提供完整性度量，数据安全保

护和身份认证服务。在技术层面，TPM安全芯片五大功能力保数据安全。

功能之一：完整性度量

通过完整性度量，保证PC从加电时刻起，一直到在其上运行的每一个硬件、操作系

统以及应用软件都是可信得，从此计算机再也不会受到病毒、木马的威胁；

功能之二：“我的地盘我做主”，敏感数据的加密存储

加密存储：TPM将部分敏感数据如根密钥等存储在芯片内部的屏蔽区域，系统的其它

敏感数据加密后存储到外部存储设备。通过硬件级的保护，传统的攻击方法将难以窃取敏

感数据。因此用户在使用这种PC的时候就尽可放心了；

数据封装：TPM将数据与特定的密钥及平台状态绑定在一起。只有被授权的用户，使

用该密钥在相同的平台状态下才可以解密被加密的数据。比如用户丢了笔记本电脑，即使

别人通过安装其它的操作系统查看到磁盘，但由于磁盘数据已经与平台绑定，而平台的信

息已经发生了变化，因此其它用户也无法获取磁盘数据。另外如果用户想使用网上银行，

通过完整性度量与验证可以保证帐户等敏感信息不会被木马程序窃取，而通过数据封装还

可以设置这些敏感信息只能在特定的计算机上操作，即使别人知道帐号信息，也无法在别

的计算机进行交易，这样极大的增加了电子商务的安全。

功能之三：身份认证功能

通过身份认证，向外部实体提供系统平台身份证明和应用身份证明服务。现有的计算

机在网络上是依靠不固定的也不唯一的IP 地址进行活动，导致网络黑客泛滥和用户信用不

足。而具备由权威机构颁发的唯一的身份证书的可信计算平台具备在网络上的唯一的身份

标识，从而为电子商务之类的系统应用奠定信用基础，对互联网的应用具有巨大的促进作

用。

功能之四：内部资源授权访问，独特功能设置权限“防火墙”

访问TPM所管理的资源（包括密钥、加密存储的敏感数据）时，是通过TPM的授权

协议来完成的，只有通过合法授权才能访问资源，最大限度的保护了敏感数据。

功能之五：数据的加密传输，打造全程安全保护通道

TPM在和外部的实体进行命令和数据的交互时，除了要验证操作者的身份外，还可以

对通讯线路上传输的数据进行加密，防止被窃取和攻击。

关于这个芯片的使用已经争议已久了。简单来说，TPM（Trusted Platform Module，

可信赖平台模块）是集成在主板上的一块芯片，该芯片可以充当每台计算机的唯一标识符，

并且其中可以存储一些信息，例如用户的密钥、密码，以及数字证书。利用该芯片，我们

的计算机可以变得更加安全。

例如在Vista中，对该功能的使用主要体现在一个名叫Security Startup的功能上，

启用该功能后，用户可以选择将硬盘分区加密，但是又不会影响系统的正常启动和使用。

这样如果我们的计算机失窃，或者硬盘被安装到其他计算机上，也不用担心因此会造成数

据丢失。这应该算是一个很好的功能，不过一些隐私保护组织对该芯片有不同的看法，认

为该技术的使用会降低用户对计算机的控制能力，同时不利于用户的隐私保护。因为TPM

芯片具有“唯一性”，因此很多可能会在这方面动脑筋，例如通过在线唱片行购买并下载

的歌曲只能在特定机器上播放，甚至下载回来的歌曲只能在某个日期之前播放等。因为这

一切都是和主板上的TPM芯片相关的，因此短时间内我们可能会对此无能为力。

微软(Microsoft)正积极向软硬件制造商鼓吹新视窗Vista的硬件式(Hardware-Based)

安全技术，名为‘安全启动’。该技术运用信任平台模块(Trusted Platform Module;TPM)

芯片，能够保护密钥、密码、数字凭证的安全;Vista将利用此技术，在电脑开机之际检验

是否有恶意代码侵入。

TPM的技术是将认证机制刻录在芯片中，欲取得电脑内资料者必须拥有特定智慧卡，

其他人无法通过网络取得硬盘内储存的任何内容。IBM、惠普(HP)、戴尔(Dell)等PC厂商

早已在部分产品中使用TPM芯片。专家预估TPM未来将是装置身份辨识的主流，IDC预

估，2005年配备TPM芯片的PC销售量将达2,500万台，2006年将增长至6,000万台，

到2010年时，所有的笔记本电脑与70%以上的台式机电脑(台式机)都将具备TPM功能。

在Longhorn安全系统中，首先登场的是Trusted Platform Module 1.2---由非盈利

性质安全组织Trusted Computing Group制定的安全芯片产品。该芯片已经由Inifeon、

松下半导体以及Broadcom等公司投产。

Trusted Platform Module 1.2通过用户密码以及身份认证方式保护计算机，如果安

装该芯片的计算机被盗，窃贼不仅要破解计算机密码，想要任何个人资料都要在通过

Trusted Platform Module 1.2认证的 前提下。

“如果小偷想破解硬件芯片，我想我只能说祝你好运，”Echert表示，“虽然并非毫

无可能，但是破解硬件芯片需要极其专业的设备，大量时间，以及，极高的运气。”

在提到“硬化(Hardening)”功能时，Echert透露，该特性作为保护计算机的另一道

防线，能够有效保证计算机只有一部分记忆体能被读写，这将有效防止内存驻留型恶意代

码的侵入。

英飞凌(Infineon)可信任平台模块(Trusted Platform Module)IC－SLD9630 TT1.1，

可用在个人计算机、笔记型计算机、服务器、工作站，或手持装置上，作为运算环境中子

系统的核心组件，以确保电子商务交易与因特网通讯时数据验证的完整与机密性。

SLD9630 TT1.1可藉由标准的少量接脚(LPC)接口总线与桌上型或笔记型主机整合。

采用28接脚的TSSOP-28封装，现已应用到惠普商用台式机中。

本文标签： 芯片计算机平台用户数据