2.2 TCM标准体系发展历程
由于可信计算以密码技术为核心基础,国家密码管理局作为密码政策管理与技术指导部门,决定以自主密码技术为突破口,引导我国可信计算技术自主创新和产业发展。从2005年开始酝酿,2006年开始全面规划和布局建立基于自主技术的中国可信计算密码技术规范及标准的工作,并发动相关产业单位,分阶段、有步骤地来推动标准制定和产业发展。
自主可信计算标准体系发展历程大致有以下三个阶段。
1. 第一阶段:构建自主可信计算架构,制定《可信计算平台密码方案》
2006年3月~9月,由国家密码管理局组织领导,专家牵头,集中国国内主要密码与IT厂商力量(包括联想、北工大、兆日、瑞达、中兴、30所、华大等9家单位),进行基础技术研究,构建出以自主密码算法为核心的自主可信计算架构与功能体系,并形成《可信计算平台密码方案》,这是创建自主可信计算技术规范体系的基础。
这一阶段的编制原则如下。
1)全部采用自主密码算法(SM2/SM3/SM4/RNG)。
2)结合国内安全需求,瞄准国内产业市场。
3)借鉴国际先进的可信计算技术体系框架,核心的密码算法和密码协议部分进行自主创新。
2. 第二阶段:组建TCMU产业联盟,制定TCM产品技术规范体系《可信计算密码支撑平台技术规范》
2006年10月至2007年12月,在国密局组织领导下,专家牵头,由联想、兆日、国民技术(中兴集成)、瑞达、同方、方正、中科院软件所、长城、卫士通、吉大正元、江南所等在可信计算研究和产业化推广能力处于国内领先地位的单位,成立了可信计算密码应用技术体系研究专项工作组,研究制定我国自主的TCM产品技术规范,并依据其开展相关产品的研制工作,进行产业化推广。
其于2008年改组为中国可信计算工作组(TCMU),全面推进自主TCM产业发展,图2-2显示了其演进历程。
这一阶段的编制原则如下。
1)以基于自主密码技术建立的《可信计算平台密码方案》为核心和基础,扩展其内容形成TCM/TSM技术规范,并针对PC平台,确定TCM/TSM特定的接口与要求。
基于自主密码算法和技术,是构建《信息安全技术 可信计算密码支撑平台功能与接口规范》自主知识产权和建立专利保护墙的基础。
图2-2 中国可信计算产业联盟
2)学习和借鉴TCG技术规范。TCG已逐步建立起一整套可信计算技术规范体系,其中基础部分TPM 1.2、TSS 1.2已基本稳定与成熟,可以参考和借鉴。PC Client技术规范已经过产业化检验,非常成熟,可以借鉴。同时,借鉴TCG技术规范,有利于中国自主可信计算技术规范纳入技术发展主流和产业化推广。
3)充分利用国内厂商已有技术积累,有利于加快自主可信计算技术规范产业化进程,有利于国内厂商建立专利保护机制。
4)技术规范文本内容直接面向产品实现技术细节,强调产品互连互通。
经过历时一年的努力,制定出TCM产品技术规范体系,包括《可信计算密码支撑平台技术规范》,是面向可信计算密码支撑平台核心部件开发的技术规范簇,包括:《总体:可信密码支撑平台功能原理》,定义了可信计算密码支撑平台的功能架构与实现原理;《TCM规范》,定义了TCM功能命令与实现模式;《TSM规范》,定义了TCM服务模块的功能函数及接口;《PC平台TCM接口规范》,定义了针对PC平台的TCM特定硬、软件资源要求;《TCM数据结构》《TSM数据结构》《数字证书规范》3个支撑性规范。
按我国密码技术管理政策,TCM/TSM属于专控产品,其研制、生产和销售需要国家有关主管部门认证的专门资质,技术规范不属于开放范畴,为此为了TCM/TSM的产业推广,还需在《可信计算密码支撑平台技术规范》基础上选择部分技术内容形成《信息技术安全 可信计算密码支撑平台功能与接口规范》,进行公布开放,以利于TCM和自主可信计算产业推广。
3. 第三阶段:制定《可信计算平台密码应用接口规范》和《自主可信计算产品检测规范》
由于目前大多数安全应用所采用的密码服务调用接口类型主要是CSP、CNG和PKCS#11,因此大多数应用开发者熟悉和习惯CSP、CNG和PKCS#11接口调用模式,并且已建立成熟的产品开发支持体系。
当传统安全应用的开发者转向基于TCM密码服务功能而进行应用开发时,需要重新学习TCM密码服务调用接口体系(TSPI),更甚者,传统安全应用要移植到TCM上,必须全部重新开发,给应用厂商带来了资源消耗,这为TCM应用推广带来了很大阻力。
为使现有安全应用平滑移植至TCM上,制定了通用性的TCM应用接口标准—《可信计算平台密码应用接口规范》,使安全应用以CryptoAPI、CNG API、PKCS-API接口形式直接实现TCM功能调用,使TCM成为构建安全应用的信任根,成为TCM产业发展关键任务。
可信计算平台密码应用通用接口技术架构将以TCM/TSM提供的服务调用接口TSPI为基础,分别按CSP、CNG和PKCS#11接口类型和调用模式,创建三类接口—CryptoAPI、CNG API和PKCS11-API。
同时,以《可信计算密码支撑平台技术规范》为基础,制定出《TCM符合性测试标准》《可信计算密码支撑平台检测规范》和《可信计算机密码检测规范》,制定出《可信密码模块保护轮廓》《可信计算平台保护轮廓》,还研究制定了《可信计算平台直接匿名证明标准》。
经过三个阶段的工作,已建立起基本完整的自主可信计算技术标准体系,以指导自主可信计算产业发展。