WO2024036832A1

WO2024036832A1 - 基于tpm的智能密码钥匙密码应用接口的实现方法

Info

Publication number: WO2024036832A1
Application number: PCT/CN2022/137642
Authority: WO
Inventors: 岳佳圆; 宋俊涛; 边秀宁; 于珊珊; 李蕾; 杨诏钧; 孔金珠
Original assignee: 麒麟软件有限公司
Priority date: 2022-08-18
Filing date: 2022-12-08
Publication date: 2024-02-22
Also published as: CN115062330B; CN115062330A

Abstract

本发明公开一种基于TPM的智能密码钥匙密码应用接口的实现方法，包括：a、智能IC卡或智能密码钥匙的底层硬件均采用TPM安全芯片，为TPM设备，各TPM设备的操作系统的内核包括TPM设备驱动，各TPM设备的操作系统的用户空间部署应用程序、SKF接口提供层、SKF接口服务层和TSS可信软件栈；b、操作系统通过TPM设备驱动与TPM安全芯片交互；c、将设备的SKF应用元数据、SKF容器数据、SKF文件数据存储在由TPM安全芯片提供的非易失性存储区，创建授权访问机制；d、在调用SKF接口时先执行SKF接口可用性检查。本发明为SKF接口的可用性提供了由TPM作为核心的硬件级系统完整性安全可信防护机制。

Description

基于TPM的智能密码钥匙密码应用接口的实现方法

技术领域

本发明涉及终端密码设备的安全技术领域，尤指一种基于TPM的智能密码钥匙密码应用接口的实现方法。

背景技术

智能IC卡及智能密码钥匙是一种具备密码运算、密钥管理能力、可提供密码服务的终端密码设备，其主要作用是存储用户秘密信息(如私钥、数字证书)，完成数据加解密、数据完整性校验、数字签名、访问控制等功能，一般使用USB接口形态，因此也被称作USB Token或者USB Key、UKey。

智能IC卡及智能密码钥匙密码应用接口(简称为SKF接口)是国密标准中智能密码钥匙的C语言应用开发接口标准，位于应用程序与设备(即智能IC卡或智能密码钥匙)之间(如图1所示)，这些接口提供了在USB Key上进行存储用户秘密信息(如密钥、数字证书)，完成数据加解密、数据完整性校验、数字签名、访问控制等功能。

目前很多国内密码设备厂商都为其产品提供了SKF接口的开发包。开发者可以通过统一的SKF接口开发密码应用，访问来自不同设备供应商的USB Key、TF卡、智能卡等不同形态的密码设备，而无需与某一个设备供应商的专属设备或专属接口绑定。

另外，现有技术在标准规范中定义了以下几个大类的SKF接口：设备管理、访问控制、应用管理、文件管理、容器管理、密码服务。根据标准规范，在一个遵循SKF接口规范的设备中可以包含一个或多个应用(Application)(如图2)。每个应用之间彼此相互独立。每个应用具有管理员PIN和用户PIN，并可以包含一个或多个容器(Container)、一个或多个文件。每个容器中可以存放两对分别用于加密和签名的密钥对，以及两个相应的证书或证书链。每一个容器只能为ECC或RSA中的一种类型，一个容器中不能混用ECC 密钥和RSA密钥(如图3)。

现有技术中，绝大多数采用USB Key作为密码算法功能及密钥等数据存储的物理载体，也有国产CPU厂商推出了基于其国产CPU芯片提供密码算法功能的技术，但是这些技术主要侧重于满足SKF接口标准规范中提出的各项要求，尚未关注到当密码设备的操作系统的完整性遭受威胁时对于SKF接口调用及其敏感数据使用方面的防护措施。

发明内容

本发明的目的，在于提供一种基于TPM的智能密码钥匙密码应用接口的实现方法，以解决现有的智能密码设备存在的其操作系统的完整性遭受威胁时对于SKF接口调用及其敏感数据使用方面无法防护的问题。

为解决上述技术问题，本发明是这样实现的：

一种基于TPM的智能密码钥匙密码应用接口的实现方法，包括以下步骤：

a、智能IC卡或智能密码钥匙的底层硬件均采用TPM安全芯片，底层硬件采用TPM安全芯片的智能IC卡或智能密码钥匙为TPM设备，各TPM设备的操作系统的内核包括TPM设备驱动，各TPM设备的操作系统的用户空间部署应用程序、SKF接口提供层、SKF接口服务层和TSS可信软件栈；

b、所述操作系统通过内核的TPM设备驱动与TPM安全芯片进行交互；所述TSS可信软件栈为操作系统中的用户态程序提供访问TPM安全芯片相关功能的软件接口支持；

所述SKF接口服务层的具体形态为运行于操作系统中的一个服务进程，其接受来自上层的应用程序的请求，维护SKF接口调用过程中各类运行时句柄，通过TSS可信软件栈与TPM安全芯片进行交互；

所述SKF接口提供层提供上层应用程序调用SKF功能的SKF接口，所述SKF接口包括SKF设备管理类接口、SKF访问控制类接口、SKF应用管理类接口、SKF文件管理类接口、SKF容器管理类接口和SKF密码服务类接口；

c、将设备的SKF应用元数据、SKF容器数据、SKF文件数据存储在由TPM安全芯片提供的非易失性存储区，并创建授权访问机制；

d、在调用SKF接口时先执行SKF接口可用性检查。

其中，所述SKF应用元数据在非易失性存储区中占用一个NV索引，保存创建的应用总数、以及每个应用的属性的信息；

每个SKF容器数据占用一个NV索引，保存容器名称、容器中各密钥的创建情况、各密钥的长度与密钥值、容器中证书的NV索引的数据信息；

每个SKF文件数据占用一个NV索引。

其中，所述授权访问机制基于NV索引的访问创建的，其采用口令授权机制。

其中，所述SKF密码服务类接口通过TPM的NV相关命令读取SKF应用元数据、SKF容器数据中的密钥及证书的数据，并调用TPM密码算法相关命令实现各类密码算法功能。

其中，所述SKF设备管理类接口涉及查询并获取操作系统中TPM设备节点的信息，调用TPM的获取属性命令以获得关于TPM设备的厂商、固件、版本号、所支持的算法及模式标识、算法特性值、存储空间大小的信息。

其中，所述SKF访问控制类接口涉及通过TPM的NV相关命令操作SKF应用元数据；所述SKF应用管理类接口涉及通过TPM的NV相关命令操作SKF应用元数据；所述SKF文件管理类接口涉及通过TPM的NV相关命令操作SKF应用元数据和SKF文件数据；所述SKF容器管理类接口涉及通过TPM的NV相关命令操作SKF应用元数据和SKF容器数据。

其中步骤d的SKF接口可用性检查的方法为：

计算机启动后，具备TPM设备的操作系统软硬件信任链上各个级别的完整性由TPM度量，其完整性度量值保存于TPM的PCR寄存器中；

在SKF接口中，首先开启操作系统的可用性检查，读取PCR的当前值与完整性基准值，并进行比较：

(1)若两者不一致，说明当前操作系统可能存在安全风险，此时SKF接口不可用；

(2)若两者一致，说明系统完整性度量正常，SKF接口可正常使用。

本发明的有益效果是：

本发明中的SKF接口中应用、容器的元数据与容器中的密钥及证书等敏感数据均保存在TPM的非易失性存储中，并由TPM所提供的授权访问机制所保护，无法通过其它途径被外界访问。并且SKF接口中的随机数生成、密钥生成、对称加解密算法、非对称加解密算法等功能也均由TPM安全芯片提供。

本发明的SKF接口的可用性与所在操作系统的完整性度量结果相结合，若由TPM度量的系统完整性失败，说明当前系统面临安全风险，此时SKF接口逻辑将控制上层应用程序无法正常使用SKF接口，以应对密钥及证书等敏感数据存在被非法使用的风险，直至系统完整性度量结果恢复正常。

本发明的智能密码钥匙称的底层硬件均采用TPM安全芯片，将智能IC卡及智能密码钥匙密码应用接口的可用性与TPM度量的系统完整性相结合，为SKF接口的可用性提供了由TPM作为核心的硬件级系统完整性安全可信防护机制。

附图说明

下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1为现有技术中SKF接口在应用层次关系的位置图；

图2为现有技术SKF设备的逻辑结构；

图3为现有技术符合SKF接口规范的设备的应用与容器的逻辑结构图；

图4为本发明的软硬件架构图；

图5为本发明的SKF各类接口与TPM之间的关系；

图6为本发明以生成随机数的具体SKF接口为例的SKF接口可用性检查流程图。

附图标记说明

1、TPM设备；2、TPM设备驱动；3、TSS可信软件栈；4、SKF接口服务层；5、SKF接口提供层；6、应用程序；51、SKF设备管理类接口；52、SKF访问控制类接口；53、SKF应用管理类接口；54、SKF文件管理类接口；55、SKF容器管理类接口；56、SKF密码服务类接口。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。

本发明为一种基于TPM可信安全芯片实现智能密码钥匙密码应用SKF接口的方法，其将智能IC卡及智能密码钥匙的底层硬件平台拓展到了可信安全硬件(即TPM安全芯片)，并进一步将SKF接口的可用性与TPM所提供的系统完整性度量这一可信能力结合起来。现有技术中，SKF接口的可用性并未与操作系统的完整性相关联。本发明提出了借助TPM软硬件实现对操作系统的完整性进行度量，当系统完整性遭受破坏或存在潜在风险时，SKF接口将不再变得可用，为SKF接口提供了更为安全可靠的保障。

本发明的一种基于TPM的智能密码钥匙密码应用接口的实现方法，包括以下步骤：

a、如图4所示，智能IC卡或智能密码钥匙的底层硬件均采用TPM安全芯片，底层硬件采用TPM安全芯片的智能IC卡或智能密码钥匙为TPM设备1，各TPM设备1的操作系统的内核包括TPM设备驱动2，各TPM设备1的操作系统的用户空间部署应用程序6、SKF接口提供层5、SKF接口服务层4和TSS可信软件栈3。

b、如图4所示，操作系统通过内核的TPM设备驱动2与TPM安全芯片进行交互；TSS可信软件栈3为操作系统中的用户态程序提供访问TPM安全芯片相关功能的软件接口支持。

SKF接口服务层4的具体形态为运行于操作系统中的一个服务进程，其接受来自上层的应用程序6的请求，维护SKF接口调用过程中各类运行时句柄，通过TSS可信软件栈3与TPM安全芯片进行交互。具体而言，SKF接口服务层4等待监听来自上层应用程序6的请求，在应用程序6中创建SKF接口服务层4的几类句柄对象，以此维护SKF接口调用过程中各类运行时句柄，实现了各个SKF接口的具体处理逻辑，并在各SKF接口逻辑中通过TSS可信软件栈3与TPM芯片进行交互，使用其各种物理级的密码功能与NV存储操作。

以上步骤a、b为本发明的软硬件架构的设计。

SKF接口提供层5提供上层应用程序6调用SKF功能的SKF接口，其一般以动态库或静态库的形式被集成与调用。SKF接口包括SKF设备管理类接口51、SKF访问控制类接口52、SKF应用管理类接口53、SKF文件管理类接口54、SKF容器管理类接口55和SKF密码服务类接口56。

其中，TPM安全芯片是指符合TPM(可信赖平台模块)标准的安全芯片：可信平台模块TPM是一种具备加解密能力的安全协处理器，拥有非易失性存储(NV storage)和平台配置寄存器(PCR)，可提供物理随机数发生器、对称/非对称/杂凑等加解密算法、密钥生成与管理等基础功能，由此可提供对系统进行完整性度量、身份认证、数据密封保护等可信安全能力，进而可作为计算机的一个硬件安全锚点，作为构建安全信任链的基础。另外，国产的TPM芯片产品一般都具备国密的加解密算法。上层应用程序6一般通过可信软件栈(Trusted Software Stack,TSS)来访问和使用TPM的各种能力。它提供访问TPM功能的接口函数，是TPM与上层应用之间的桥梁。一般而言，TSS可信软件栈3主要具备以下核心功能：提供对TPM功能的单一访问入口；允许对TPM的同步访问；对应用程序构建TPM命令流的底层实现；管理TPM的资源。有些TSS可信软件栈3的具体实现还支持远程跨机提供接口的能力。

c、将设备的SKF应用元数据、SKF容器数据、SKF文件数据存储在由TPM安全芯片提供的非易失性存储区，并创建授权访问机制。

在本发明的方案中，与SKF接口相关且需持久化的数据被存储于TPM内部的非易失性存储区(NV Storage)中。其中：

(1)SKF应用元数据存储

在一个SKF设备中可以存在多个应用。应用的元数据区占用一个NV索引，保存创建的应用总数、每个应用的属性等信息。应用元数据区在TPM NV中的存储结构定义如表1所示：

表1应用元数据的存储结构

另外，对于TPM中创建的NV索引，可为其创建对应的授权访问机制：在尝试访问NV索引时，只有成功获取其授权后才能读写该NV索引所存储的数据，否则无权进行操作。

TPM提供了多种授权机制，在本发明中对于NV索引采用口令授权机制，相较于其它授权机制，口令授权机制清晰简单，且口令授权信息保存在TPM内部，当遇到操作系统或TPM安全芯片需要重启的情况时，无需对授权数据进行额外的导出导入操作，更适合本发明中的场景。

(2)SKF容器数据

在一个SKF应用中可以存在多个容器。容器的主体数据区占用一个NV索引，保存容器名称、容器中各密钥的创建情况、各密钥的长度与密钥值、容器中证书的NV索引(注：因TPM中单个NV索引所能存储的空间存在上限，故容器中的证书使用独立的NV索引进存储)等数据。容器主体数据存储在TPM NV中的结构定义如表2所示：

表2容器的存储结构

容器名称长度	1字节
容器名称	64字节
加密公钥长度	1字节
加密公钥	128字节
加密私钥的TPM句柄(注*)	4字节
签名公钥长度	1字节

签名公钥	128字节
签名私钥的TPM句柄(注*)	4字节
加密证书的NV索引	4字节
签名证书的NV索引	4字节
已创建的会话密钥数量	1字节
已创建的第1个会话密钥长度	1字节
已创建的第1个会话密钥	8字节
已创建的第2个会话密钥长度	1字节
已创建的第2个会话密钥	8字节
……	……

(注：实际参与加解密的密钥对是由TPM生成，其私钥保存于TPM内，只能通过TPM句柄访问，故此处保存私钥的TPM句柄)。

容器中证书采用独立的NV索引进行存储，故在上面的容器主体数据中只存放证书的NV索引。此外，由于证书的长度并不固定，TPM中单个NV索引所能存储的空间存在上限，而且该上限值一般由TPM厂商决定，因此可能存在每个证书需要存储于两个或多个NV索引中的情况(此时每个NV索引保存证书的一部分内容)，需根据实际情况进行调整。

(3)SKF文件数据的存储

在一个SKF应用中可以创建一个或多个文件。每个文件占用一个NV索引，其存储结构如表3所示：

表3文件的存储结构

文件名称长度	1字节
文件名称	32字节
文件内容的实际长度	1字节
文件内容	可变

。

d、在调用SKF接口时先执行SKF接口可用性检查。

SKF应用元数据在非易失性存储区中占用一个NV索引，保存创建的应用总数、以及每个应用的属性的信息；

每个SKF文件数据占用一个NV索引。

授权访问机制基于NV索引的访问创建的，其采用口令授权机制。

如图5所示，SKF密码服务类接口56通过TPM的NV相关命令读取SKF应用元数据、SKF容器数据中的密钥及证书的数据，并调用TPM密码算法相关命令实现各类密码算法功能。TPM密码算法相关命令包括随机数生成、密钥生成、哈希杂凑、对称加解密、非对称加解密/签名验证、消息鉴别码。

SKF设备管理类接口涉及查询并获取操作系统中TPM设备1节点的信息，调用TPM的获取属性命令以获得关于TPM设备1的厂商、固件、版本号、所支持的算法及模式标识、算法特性值、存储空间大小的信息。

SKF访问控制类接口涉及通过TPM的NV相关命令操作SKF应用元数据；SKF应用管理类接口涉及通过TPM的NV相关命令操作SKF应用元数据；SKF文件管理类接口涉及通过TPM的NV相关命令操作SKF应用元数据和SKF文件数据；SKF容器管理类接口涉及通过TPM的NV相关命令操作SKF应用元数据和SKF容器数据。

步骤d的SKF接口可用性检查的方法为：

计算机启动后，具备TPM设备1的操作系统软硬件信任链上各个级别的完整性由TPM度量，其完整性度量值保存于TPM的PCR寄存器中；

上述步骤d相当于给SKF接口的使用增加了一层由TPM为核心提供的硬件级系统完整性防护。另外，操作系统的完整性一般在操作系统初始状态(比如刚安装完系统时)对系统进行度量得出。

图6展示了以生成随机数的具体SKF接口为例，SKF接口可用性检查在整个接口逻辑中的位置：

首先开启操作系统的SKF接口可用性检查，然后读取PCR的当前值与完整性基准值，并进行比较：

(1)若两者不一致，SKF接口不可用，说明当前操作系统可能存在安全风险。

(2)若两者一致，调用TSS软件栈接口，生成TPM物理随机数，SKF接口可正常使用。

本发明采用TPM安全芯片及TSS可信软件栈3作为基础，由TPM安全芯片提供底层物理级的各类密码算法功能，并在TPM的非易失性存储上设计了存储应用、容器、文件、密钥及证书等对象的层次化结构，用以实现智能IC卡及智能密码钥匙密码应用接口功能的一整套方法。另外，本发明将智能IC卡及智能密码钥匙密码应用接口的可用性与TPM度量的系统完整性相结合，为前者提供了由TPM作为核心的硬件级系统完整性安全可信防护机制。

Claims

一种基于TPM的智能密码钥匙密码应用接口的实现方法，其特征在于，包括以下步骤：

a、智能IC卡或智能密码钥匙的底层硬件均采用TPM安全芯片，底层硬件采用TPM安全芯片的智能IC卡或智能密码钥匙为TPM设备，各TPM设备的操作系统的内核包括TPM设备驱动，各TPM设备的操作系统的用户空间部署应用程序、SKF接口提供层、SKF接口服务层和TSS可信软件栈；

b、所述操作系统通过内核的TPM设备驱动与TPM安全芯片进行交互；所述TSS可信软件栈为操作系统中的用户态程序提供访问TPM安全芯片相关功能的软件接口支持；

所述SKF接口服务层的具体形态为运行于操作系统中的一个服务进程，其接受来自上层的应用程序的请求，维护SKF接口调用过程中各类运行时句柄，通过TSS可信软件栈与TPM安全芯片进行交互；

所述SKF接口提供层提供上层应用程序调用SKF功能的SKF接口，所述SKF接口包括SKF设备管理类接口、SKF访问控制类接口、SKF应用管理类接口、SKF文件管理类接口、SKF容器管理类接口和SKF密码服务类接口；

c、将设备的SKF应用元数据、SKF容器数据、SKF文件数据存储在由TPM安全芯片提供的非易失性存储区，并创建授权访问机制；所述SKF应用元数据在非易失性存储区中占用一个NV索引，保存创建的应用总数、以及每个应用的属性的信息；每个SKF容器数据占用一个NV索引，保存容器名称、容器中各密钥的创建情况、各密钥的长度与密钥值、容器中证书的NV索引的数据信息；每个SKF文件数据占用一个NV索引；

d、在调用SKF接口时先执行SKF接口可用性检查；步骤d的SKF接口可用性检查的方法为：

计算机启动后，具备TPM设备的操作系统软硬件信任链上各个级别的完整性由TPM度量，其完整性度量值保存于TPM的PCR寄存器中；

在SKF接口中，首先开启操作系统的可用性检查，读取PCR的当前值与完整性基准值，并进行比较：

(1)若两者不一致，说明当前操作系统存在安全风险，此时SKF接口不可用；

(2)若两者一致，说明系统完整性度量正常，SKF接口可正常使用。
根据权利要求1所述的基于TPM的智能密码钥匙密码应用接口的实现方法，其特征在于，所述授权访问机制基于NV索引的访问创建的，其采用口令授权机制。
根据权利要求2所述的基于TPM的智能密码钥匙密码应用接口的实现方法，其特征在于，所述SKF密码服务类接口通过TPM的NV相关命令读取SKF应用元数据、SKF容器数据中的密钥及证书的数据，并调用TPM密码算法相关命令实现各类密码算法功能。
根据权利要求2所述的基于TPM的智能密码钥匙密码应用接口的实现方法，其特征在于，所述SKF设备管理类接口涉及查询并获取操作系统中TPM设备节点的信息，调用TPM的获取属性命令以获得关于TPM设备的厂商、固件、版本号、所支持的算法及模式标识、算法特性值、存储空间大小的信息。
根据权利要求2所述的基于TPM的智能密码钥匙密码应用接口的实现方法，其特征在于，所述SKF访问控制类接口涉及通过TPM的NV相关命令操作SKF应用元数据；所述SKF应用管理类接口涉及通过TPM的NV相关命令操作SKF应用元数据；所述SKF文件管理类接口涉及通过TPM的NV相关命令操作SKF应用元数据和SKF文件数据；所述SKF容器管理类接口涉及通过TPM的NV相关命令操作SKF应用元数据和SKF容器数据。