RSS订阅信息安全技术跟踪与研究:技术、平台、会议、论文、产业
你现在的位置:首页 / 企业追踪 / 正文

将TPM用作虚拟智能卡、验证Token

0 企业追踪 | 2014年12月11日
转载申明:本站原创,欢迎转载。但转载时请保留原文地址。
原文地址:http://www.vonwei.com/post/tpmastoken.html

 Passwords是脆弱的,要求用户记住不同的passwords也是一件很烦恼的事情,简单的passwords很容易被猜出,而复杂的passwords用户难以记住。因此,对安全性要求较高的应用,很多都采用多因子认证的方式。典型的例子是双因子认证:something you have(一个硬件token),something you know(pin or password)。如果不同的应用使用不同的Token,增加用户的使用不便,而且对用户也是一笔不菲的开销。

Wave Systems Corp.公司使用可信平台模块TPM来设计虚拟的智能卡(Virtual Smart Card)作为验证Token,构建一个强安全性的双因子认证机制。在总成本上,Wave比其它领先的Token制造公司要节省至少50%:Token或者智能卡需要一个额外的硬件购买,增加了时间和金钱的成本,而TPMs芯片已经广泛的存在于各种终端设备中,购买和部署的成本都很低;硬件令牌的管理也很麻烦,硬件Token丢失或者被偷,大约可以增加30%的成本,而TPMs芯片绑定在主板上,丢失或者被盗的风险很小,除非整机被偷了。

Wave的双因子认证思路:基于TPM的虚拟智能卡是一个因子(something you have);用户的PIN码是第二个因子(something you know)。Wave使用配套的软件将硬件TPM变成一个虚拟智能卡,该智能卡嵌入到平台并且与平台绑定,并且能提供与传统智能卡相似的功能和相同的使用方式。在达到验证功能的同时,保持用户的使用习惯。

由于TPM是国际性的标准,其包含在大部分商业设备中。不管是谁制造了TPM芯片,Wave的虚拟智能卡都能兼容和使用。

关于Wave虚拟智能卡的详情,可以参考https://www.wave.com/products/wave-virtual-smart-card

一些考虑:

在没有TPM芯片的主机上,虚拟智能卡还能否使用,不能使用,意味着在没有TPM芯片的主机上,用户无法访问很多集成该机制的安全应用,如远程登录、VPN等。

TPM本身并没有备份机制,而且在1.2中,一个owner被clear后,其数据都无法恢复,虚拟智能卡是否考虑了TPM可能挂掉或者出现故障的问题,是否存储在TPM内部的credential凭证就无法恢复了?

虽然也是基于硬件的安全,虚拟智能卡的安全是否能达到实际智能卡的强度,需要进行一定的分析。

Wave智能卡的关键特征

  • Full lifecycle management of virtual smart cards(虚拟智能卡的完整生命周期管理)

  • Intuitive interface to create (or delete) virtual smart cards(创建或者删除虚拟智能卡的直观接口,方便用户使用)

  • Command line option to create and delete virtual smart cards(提供创建和删除虚拟智能卡的命令行选项)

  • Flexible PIN policies(灵活的PIN策略)

  • Helpdesk-assisted PIN reset and recovery(帮助台辅助PIN码的重置和恢复)

  • Generates reports for compliance(生成合规性报告)

  • Integrates with Active Directory(与活动目录集成)

  • Supports familiar use cases(支持如下场景的使用案例)

    • Virtual Private Network (VPN)

    • Local logon

    • Remote logon

    • Remote desktop access

    • Intranet/Extranet

    • Cloud applications

目前Wave的虚拟智能卡已经集成到Windows中,在Windows 7, 8和8.1中可用。


对TPM芯片的理解

Wave创建虚拟智能卡也是源于他们对TPM芯片本身的理解,对TPM功能进行细分和应用也是推广其使用的一种良好的机制。

市场考虑:TPM拥有国际性的交互标准,已经植入手提电脑、平板电脑和PC机等多种终端设备,而且在移动设备和云计算中的可信构建也正在火热的发展中。实际上,在TCG主页上可以看到,目前20多亿终端平台都采用了可信计算解决方案,集成到的终端PC平台包含Acer、Dell、HP、Lenovo、Panasonic、Samsung、Toshiba等。

技术积累:TPM标准已经发展多年,而且拥有TCG这样的国际标准安全组织进行不断的维护。TCG会员的实力更是强大,AMD、Intel、IBM、Microsoft、CISCO、ARM等都在之列。在学术界,关于可信计算的研究也一致在持续发展中,包含一些国内外顶级的研究机构。

TPM:拥有密码特征的安全微控制器,提供信任根,能安全的生成密钥,拥有限制密钥使用的能力(如加密解密、签名验证),作为密钥存储的安全容器,保护敏感数据。

相比传统软件的优势:生成密钥、存储秘密、维护度量值等操作都在一个物理硬件芯片的保护的安全区域内,该区域与PC本身的操作系统和主处理器是相互独立的。这意味着,TPM的密钥不会被复制或者导出,其存储的秘密不会被偷也不会被非法使用,其维护的度量值不会被恶意软件篡改。

相比其它硬件安全设备的优势:其它硬件安全设备如OTP tokens、智能卡和USB token等。与这些设备不同的是,TPM也PC的一个长久部分,通常焊接在主板上。TPM是唯一的硬件设备,可以为网络中的每个计算平台创建一个唯一且长久的身份信息。而且,TPM位于固件、驱动、Bootloader和OS的底层,在授予计算平台任何安全权限(如访问内网)前,能够安全地创建基准度量值来验证PC的完整性。最关键的区别,TPMs是唯一的在一个Token中同时支持用户和机器认证的硬件设备。

安全解决方案准则:安全起于设备,终端设备安全是网络安全的基石。

When security starts with the device, you can:

  • Achieve zero-day protection against Advanced Persistent Threats (APTs)

  • Trust the PCs that access your Cloud services

  • Safeguard your systems from malware attacks

  • Simplify your VPN and WiFi security and eliminate the costs of add-on tokens

  • Assure the integrity of a computer's BIOS

  • Allow for BYOD while ensuring network and information security

  • ...


  • ------------------分隔线----------------

  • 如果感兴趣,欢迎关注本站微信号,跟踪最新博文信息,手机微信扫一扫下面的二维码,即可关注!
  • 微月信公众号
  • 推荐您阅读更多有关于“ 虚拟智能卡   ”的文章

    请填写你的在线分享代码
    上一篇:TPM1.2到TPM 2.0的变化下一篇:TCG TPM 2.0规范研读之:可信平台理解、可信平台模块

    猜你喜欢

    评论列表:

    发表评论

    必填

    选填

    选填

    必填,不填不让过哦,嘻嘻。

    记住我,下次回复时不用重新输入个人信息

    本站介绍
    最近发表
    本年最热文章
    本月最热文章
    网站分类
    文章归档