可信计算常用术语整理

在读《可信计算–理论与实践》时，一大堆各种英文简写，很快就看晕了，于是在此整理一下。 TCG：Trusted Computing Group：可信计算组织 TPM：Trusted Platform Module：可信平台模块 TCM：Trusted Cryptography Module：可新密码模块 MTM: Mobile Trusted Module：移动可信模块 DAA：直接匿名功能。 DMA:Direct Memory Access,直接存储器访问 PCA:Privacy Certificate Authority隐私签证机构.

TPM密钥管理

TPM可以提供以下种密钥： 身份密钥(identity key):标示TPM和计算平台身份的密钥 绑定密钥(binding key):用于数据的加密和解密 签名密钥(signing key):用于对用户选定的数据进行签名 存储密钥(storage key):用于保护其他密钥，或将数据封装于计算平台之上 遗留密钥(legacy key):同事兼具绑定和签名密钥的特性。一般不推荐使用 迁移密钥(migrate key):当TPM充当迁移权威时，专用于保护被迁移密钥的特殊密钥类型。ps：此类密钥与可迁移类密钥不是同一概念。 SRK：存储根密钥：在存储保护对象体系中处于根节点位置。存储在TPM内部，永远不在TPM外部使用。

密钥迁移时

被迁移的密钥为 MK，用来保护被迁移的密钥的公钥为PK MA(migration authority)：迁移权威，第三方，用来代管密钥。

身份标示

TCG为TPM设计了两种不同的身份密钥： EK：背书密钥：只参与少数必要操作，一般不更新。采用rsa算法生成一对密钥，EK的私钥永久储存在TPM内部(只有EK，SRK这两个是这样) Endorsement,背书，担保 AIK：平台身份密钥：用于频繁的签名操作 PCR:平台配置寄存器，用来安全存储度量结果，长度为160b，与sha-1算法的输出长度保持一致。规范规定TPM至少提供16个PCR，最多230个。 ML:measurement log/list,度量日志/列表

TCM密钥

密码模块密钥：相当于TPM的EK，用于唯一标示安全芯片及其所在计算平台的身份。 PIK：平台身份密钥，相当于TPM的证明身份密钥，均用于对完整性值和其他密钥的数字签名。 PEK：平台加密密钥。

信任根

可信度量根：RTM：Root of Trust for Measurement 可信存储根：RTS 可信报告根：RTR 可信度量根分为静态和动态两种，分别是SRTM和DRTM。 SRTM:静态可信度量根 DRTM:动态可信度量根 CRTM:可信度量根的核心

DRTM有两种技术，分别是AMD和Intel的安全虚拟机(SVM)架构和TXT(Trusted Execution Technology) SLB：是SVM架构中用于存放隔离环境要执行的代码块，大小为64KB。 SINIT AC模块是TXT技术中用于检查硬件配置的模块。 MLE是在建立的隔离环境中运行的代码，其与SINIT AC模块都需要在隔离环境建立前载入内存。

可信存储根 密钥缓存管理KCM模块。

others

TCB：可信计算基。 存储度量日志SML，用来保存静态信任链建立过程中的软件列表 TPL:Initial Program Loader 初始程序加载 VMM:virtual machine monitor IMA:Integrity Measurement Architecture，一种完整性度量的架构，04年由IBM公司提出。 完整性挑战协议？

欢迎与我分享你的看法。 转载请注明出处：http://taowusheng.cn/