可信平臺(tái)模塊（TPM）的內(nèi)部存儲(chǔ)空間很小,密鑰大多以加密的形式存儲(chǔ)在模塊外部,因此需要一種可以單獨(dú)撤銷(xiāo)某一存儲(chǔ)在模塊外部密鑰的方法。該文通過(guò)使用變色龍散列函數(shù),提出了一種具備撤銷(xiāo)單一外部密鑰功能的動(dòng)態(tài)密鑰管理方法。該方法構(gòu)建了一個(gè)動(dòng)態(tài)密鑰管理樹(shù),將密鑰存儲(chǔ)在葉節(jié)點(diǎn)中。基于TPM保存的私鑰,可以在不影響其他密鑰的情況下添加新密鑰、更新和撤銷(xiāo)舊密鑰。動(dòng)態(tài)密鑰管理樹(shù)中每一層最左側(cè)的節(jié)點(diǎn)存儲(chǔ)在TPM內(nèi)部,其余節(jié)點(diǎn)存儲(chǔ)在外部,更新和撤銷(xiāo)密鑰時(shí),只需遍歷從密鑰葉節(jié)點(diǎn)到密鑰子樹(shù)根節(jié)點(diǎn)的路徑,因此該方法的內(nèi)部存儲(chǔ)開(kāi)銷(xiāo)和時(shí)間開(kāi)銷(xiāo)和密鑰總數(shù)量呈對(duì)數(shù)關(guān)系。動(dòng)態(tài)密鑰管理方法能很好地兼容現(xiàn)有的TPM應(yīng)用程序,同時(shí)也可以應(yīng)用在其他嵌入式密碼模塊中。 

【文章來(lái)源】：清華大學(xué)學(xué)報(bào)(自然科學(xué)版). 2020,60(06)北大核心EICSCD

【文章頁(yè)數(shù)】：10 頁(yè)

【部分圖文】：

動(dòng)態(tài)密鑰管理方法存儲(chǔ)分布

由于TPM多數(shù)使用的是慢速總線設(shè)備, 因此總線上的通信決定了通信效率的高低。 對(duì)于TPM 1.2來(lái)說(shuō), 動(dòng)態(tài)密鑰管理方案帶來(lái)的通信開(kāi)銷(xiāo)如表6所示。 對(duì)于TPM 2.0來(lái)說(shuō), 動(dòng)態(tài)密鑰管理方案帶來(lái)的額外通信開(kāi)銷(xiāo)如表7所示。 size(newPath)由算法KtAppend計(jì)算得到, size(authPath)由算法KtGenAuthPath得到, size(updatePath)由算法KtUpdate得到。 當(dāng)keyIndex從1變化到256時(shí), 3種路徑的存儲(chǔ)開(kāi)銷(xiāo)如圖10所示。表6 TPM1.2的額外通信開(kāi)銷(xiāo) 命令名稱(chēng) 命令方向 TPM_KEY TPM_KEY12 Enhanced TPM_TakeOwnership 請(qǐng)求 670 680 +2 TPM_MakeIdentity 響應(yīng) 957 967 +8+size(newPath) TPM_CreateWrapKey 響應(yīng) 656 666 +8+size(newPath) TPM_ConvertMigrationBlob 響應(yīng) 660 670 +8+size(newPath) TPM_LoadKey2 請(qǐng)求 664 674 +8+size(newPath) TPM_ChangeAuth 請(qǐng)求 737 747 +8+size(newPath) TPM_ChangeAuth 響應(yīng) 701 711 +size(updatePath)

表7 TPM 2.0的額外通信開(kāi)銷(xiāo) 命令名稱(chēng) 命令方向 Ori1 Ori2 Ori3 Ori4 Enhanced TPM2_CreatePrimary 請(qǐng)求 216 222 248 254 +2 TPM2_Create 響應(yīng) 777 525 841 589 +8+size(newPath) TPM2_Import 響應(yīng) 219 153 583 217 +8+size(newPath) TPM2_Load 請(qǐng)求 593 341 625 373 +8+size(authPath) TPM2_ ObjectChangeAuth 響應(yīng) 219 153 283 217 +size(updatePath) 注: *Ori1表示命令使用RSA; *Ori2表示命令使用ECC; *Ori3表示命令使用帶有RSA的HMAC; *Ori4表示命令使用帶有ECC的HMAC。如果加載密鑰時(shí)使用黑名單的方法[9], 除了需要調(diào)用TPM_LoadKey2(), 還需要調(diào)用一個(gè)新增的TPM指令TPM_ShowRevListElement()。 這條指令的調(diào)用次數(shù)和已撤銷(xiāo)的密鑰數(shù)量一樣多, 記為nr。 對(duì)于TPM_KEY來(lái)說(shuō), 這條指令的請(qǐng)求數(shù)據(jù)有952字節(jié), 響應(yīng)有656字節(jié); 對(duì)于TPM_KEY12來(lái)說(shuō), 分別是962字節(jié)和656字節(jié)。 因此黑名單方式的額外通信負(fù)載是1 608 nr/1 628 nr。 使用動(dòng)態(tài)密鑰管理方案時(shí)減小了TPM_LoadKey2()的通信開(kāi)銷(xiāo)為8+size(authPath)。 假設(shè)1 608 nr/1 628 nr=8+size(authPath), 這樣就能計(jì)算出nr和keyIndex的關(guān)系, 如圖11a所示。


本文編號(hào)：3536149