TPM功能简介及使用(070207).ppt

TPMTPM功能简介及使用功能简介及使用 qiuml20070207联想联想TPM模组机型模组机型 所谓TPM安全芯片,其英文全称：Trusted Platform Module,即可信任平台模组；目前联想可以支持TPM模组配置的机型有：E280/E660/E290/E680系列昭阳机型.内容提要内容提要 TPM TPM TPM TPM简要介绍及文件加密原理；简要介绍及文件加密原理；简要介绍及文件加密原理；简要介绍及文件加密原理； TPM CMOS TPM CMOS TPM CMOS TPM CMOS下功能开启及清除；下功能开启及清除；下功能开启及清除；下功能开启及清除； TPM TPM TPM TPM所有者创建及管理操作；所有者创建及管理操作；所有者创建及管理操作；所有者创建及管理操作； TPM TPM TPM TPM文件加密与解密操作文件加密与解密操作文件加密与解密操作文件加密与解密操作. . . .TPM简要介绍简要介绍 作为可信计算技术的核心,TPMTrusted Platform Module安全芯片旨在将PC变成一个安全可信的计算平台.在实际应用中,它被嵌入到PC主板之上,TPM芯片.安全芯片的功能： TPM安全芯片的实质是一个可独立进行密钥生成、加解密的装置,内部拥有独 立的处理器和存储单元,可存储密钥和敏感数据,为各种计算平台提供完整性度量,数据安全保护和身份认证服务. 微软号称有史以来最具革命性的操作系统的Windows Vista的安全性也是建立在TPM安全芯片的基础之上的.在技术层面,TPM安全芯片五大功能力保数据安全.TPM简要介绍简要介绍功能之一：完整性度量功能之一：完整性度量 通过完整性度量通过完整性度量, ,保证保证PCPC从加电时刻起从加电时刻起, ,一直到在其上运行的每一一直到在其上运行的每一个硬件、操作系统以及应用软件都是可信的个硬件、操作系统以及应用软件都是可信的, ,使计算机不会受到病毒、使计算机不会受到病毒、木马的威胁木马的威胁. .功能之二：敏感数据的加密存储功能之二：敏感数据的加密存储加密存储：加密存储： TPM TPM将部分敏感数据如根密钥等存储在芯片内部的屏蔽区域将部分敏感数据如根密钥等存储在芯片内部的屏蔽区域, ,系统系统的其他敏感数据加密后存储到外部存储设备的其他敏感数据加密后存储到外部存储设备. .通过硬件级的保护通过硬件级的保护, ,传统传统的攻击方法将难以窃取敏感数据的攻击方法将难以窃取敏感数据. .TPM简要介绍简要介绍数据封装： TPM将数据与特定的密钥及平台状态绑定在一起,只有被授权的用户,使用该密钥在相同的平台状态下才可以解密被加密的数据；比如客户丢了笔记本电脑,即使别人通过安装其他的操作系统查看到磁盘,但由于磁盘数据已经与平台绑定,而平台的信息已经发生了变化,因此其他用户也无法获取磁盘数据. 另外如果用户想使用网上银行,通过完整性度量与验证可以保证账户等敏感信息不会被木马程序窃取,而通过数据封装还可以设置这些敏感信息只能在特定的计算机上操作,即使别人知道账号信息,也无法在别的计算机进行交易.TPM简要介绍简要介绍功能之三：身份认证功能功能之三：身份认证功能 通过身份认证通过身份认证, ,向外部实体提供系统向外部实体提供系统 平台平台#明明 和和 应用应用#明明 服务；服务；现有的计算机在网络上是依靠不固定的现有的计算机在网络上是依靠不固定的IPIP地址进行活动地址进行活动, ,导致网络黑导致网络黑客泛滥和用户信用不足；而具备由权威机构颁发的惟一的客泛滥和用户信用不足；而具备由权威机构颁发的惟一的#书的可信书的可信计算平台具备在网络上的惟一的身份标识计算平台具备在网络上的惟一的身份标识. .功能之四：独特功能设置权限功能之四：独特功能设置权限 防火墙防火墙 访问访问TPMTPM所管理的资源包括密钥、加密存储的敏感数据时所管理的资源包括密钥、加密存储的敏感数据时, ,是是通过通过TPMTPM的授权协议来完成的的授权协议来完成的, ,只有通过合法授权才能访问资源只有通过合法授权才能访问资源, ,最大最大限度地保护了敏感数据限度地保护了敏感数据. .功能之五：数据的加密传输功能之五：数据的加密传输 TPM TPM在和外部的实体进行命令和数据的交互时在和外部的实体进行命令和数据的交互时, ,除了要验证操作者除了要验证操作者的身份外的身份外, ,还可以对通讯线路上传输的数据进行加密还可以对通讯线路上传输的数据进行加密, ,防止被窃取和攻防止被窃取和攻击击. .TPM简要介绍简要介绍TPM数据加密原理数据加密原理提提供供硬硬件件芯芯片片级级数数据据安安全全保保护护密码保险箱：密码保险箱： 提提供供了了安安全全生生成成和和保保护护密密钥钥的的机机制制. .密密钥钥的的计计算算通通过过安安全全芯芯片片之之中中的的专专用用处处理理单单元元完完成成, ,密密钥保存于安全芯片中钥保存于安全芯片中. .加密算法明文密文加密算法内容提要内容提要 TPM TPM TPM TPM简要介绍及文件加密原理；简要介绍及文件加密原理；简要介绍及文件加密原理；简要介绍及文件加密原理； TPM CMOS TPM CMOS TPM CMOS TPM CMOS下功能开启及清除；下功能开启及清除；下功能开启及清除；下功能开启及清除； TPM TPM TPM TPM所有者创建及管理操作；所有者创建及管理操作；所有者创建及管理操作；所有者创建及管理操作； TPM TPM TPM TPM文件加密与解密操作文件加密与解密操作文件加密与解密操作文件加密与解密操作. . . .联想联想TPM数据加密功能数据加密功能 目前联想TPM配置机型,可以实现对客户的数据实现加密功能,但是要实现此项功能,之前必须对TPM作相应的设置；通常需要做到：1 首先：CMOS下TPM设置界面开启TPM功能；2 其次：在Windows 设置界面下,通过TPM应用软件创建所有者；3 最后：在机型文件数据加密前,创建用户口令及密钥备份操作！ 说明：具体操作,请参看后续分页介绍.TPM CMOS开启开启第一步：第一步： 开机进入开机进入CMOSCMOS设置界面后设置界面后, ,在在SecuritySecurity选项下选项下, ,选中左图红选中左图红框内选项框内选项TPMTPM设置；设置；第二步：第二步： 在左图所示的分选项中在左图所示的分选项中, ,依次依次选中选中YesYes ！ .TPM CMOS开启开启第三步：第三步： 左图绿框内为设置完成状态左图绿框内为设置完成状态, ,缺缺一不可！一不可！注意：最后一项注意：最后一项, ,依然设定为依然设定为No.No.TPM CMOS开启开启TPM 所有者所有者清除清除第一步：第一步： 如果要清除如果要清除TPMTPM所有者所有者, ,则需则需要将该项设置成要将该项设置成Yes,Yes,清空清空TPMTPM芯片信息芯片信息! !TPM 所有者所有者清除清除第二步：第二步： TPM TPM清空清空 后后, ,需要保存设置后需要保存设置后, ,重新启动系统重新启动系统, ,再次进入再次进入CMOSCMOS设设置置 界面界面, ,重新重新 开启开启TPMTPM功能功能. .TPM 功能重新开启功能重新开启操作步骤：操作步骤： 开机后开机后, ,再次进入再次进入CMOSCMOS设置设置后后, ,打开打开TPMTPM功能功能, ,才能实现在才能实现在Windows XPWindows XP下下,TPM,TPM管理软件对管理软件对 所有者所有者 的创建的创建! !内容提要内容提要 TPM TPM TPM TPM简要介绍及文件加密原理；简要介绍及文件加密原理；简要介绍及文件加密原理；简要介绍及文件加密原理； TPM CMOS TPM CMOS TPM CMOS TPM CMOS下功能开启及清除；下功能开启及清除；下功能开启及清除；下功能开启及清除； TPM TPM TPM TPM所有者创建及管理操作；所有者创建及管理操作；所有者创建及管理操作；所有者创建及管理操作； TPM TPM TPM TPM文件加密与解密操作文件加密与解密操作文件加密与解密操作文件加密与解密操作. . . .TPM 管理和应用管理和应用操作步骤：操作步骤： Windows XP Windows XP下下TPMTPM软件包含软件包含两部分：两部分：TPM1TPM1文件夹：文件夹：TPMTPM应用软件应用软件, ,对对文件进行加密操作界面；文件进行加密操作界面；TPM2TPM2文件夹：文件夹：TPMTPM管理软件管理软件, ,对对TPMTPM所有者所有者 创建相关创建相关. .TPM所有者所有者创建创建第一步：第一步： 在系统在系统 程序程序 下依左图打开下依左图打开TPMTPM管理工具管理工具. .TPM所有者所有者创建创建第二步：第二步： 在弹出的对话框中在弹出的对话框中, ,输入输入 所有所有者口令者口令, ,并确认；并确认； 所有者口令所有者口令 可可任意创建任意创建, ,同一机台是唯一的同一机台是唯一的. .TPM所有者所有者创建创建第三步：第三步： 如果之前有创建过如果之前有创建过 所有者所有者, ,在在须先行在须先行在CMOSCMOS执行执行 所有者所有者 清清除动作；否则除动作；否则, ,以上步骤将不被执以上步骤将不被执行行! !TPM所有者所有者创建创建第四步：第四步： 左图为左图为 所有者所有者 创建完毕后的创建完毕后的TPMTPM管理页面；注意：目前管理页面；注意：目前, ,密密钥管理钥管理 功能并未实现功能并未实现! !内容提要内容提要 TPM TPM TPM TPM简要介绍及文件加密原理；简要介绍及文件加密原理；简要介绍及文件加密原理；简要介绍及文件加密原理； TPM CMOS TPM CMOS TPM CMOS TPM CMOS下功能开启及清除；下功能开启及清除；下功能开启及清除；下功能开启及清除； TPM TPM TPM TPM所有者创建及管理操作；所有者创建及管理操作；所有者创建及管理操作；所有者创建及管理操作； TPM TPM TPM TPM文件加密与解密操作文件加密与解密操作文件加密与解密操作文件加密与解密操作. . . .文件文件加密加密保护保护第一步：第一步： 右击要进行加密的文件右击要进行加密的文件, ,依次选依次选择择 文件保护文件保护-加密加密, ,如左图所如左图所示示. .第二步：第二步： 如果初次实现对文件进行如果初次实现对文件进行 加密加密, ,则会弹出则会弹出, ,左图创建左图创建 用户口令用户口令 对对话框话框. .用户口令用户口令 在同一用户账号在同一用户账号下是唯一的下是唯一的, ,不同的账号下不同的账号下, ,可以创可以创建不同的建不同的 用户口令用户口令, ,和之前和之前 所有所有者口令者口令 没有必然联系！没有必然联系！文件文件加密加密保护保护12第三步：第三步： 在确认完在确认完 用户口令用户口令 后后,TPM,TPM应应用软件还会弹出用软件还会弹出 密钥备份密钥备份 可以可以进行多个进行多个 密钥备份密钥备份 操作对话框：操作对话框：1 1：密钥备份文件：密钥备份文件 浏览浏览 存储；存储；2 2：输入备份口令：输入备份口令. .文件文件加密加密保护保护操作步骤：操作步骤： 同加密方式相同同加密方式相同, ,选择选择 解密解密 即即可；如果不需要保存可；如果不需要保存 用户口令用户口令, ,则需则需 保存口令保存口令 前的前的 勾勾 去掉去掉. .文件文件解密解密保护保护第一步：第一步： 如果客户丢失如果客户丢失 用户口令用户口令, ,则可则可以同时以同时 紧急解密紧急解密 的方式打开加密的方式打开加密文件文件. .文件文件紧急解密紧急解密保护保护第二步：第二步： 选中之前备份的选中之前备份的 密钥密钥 文件文件, ,同同时时 输入输入 备份密码备份密码 打开加密文件打开加密文件即可；两者缺一不可即可；两者缺一不可! !文件文件紧急解密紧急解密保护保护TPM应。