防病毒程序、防火墻、合規(guī)性管理、安全通信協(xié)議和其他方法可提供自上而下的安全性。自上而下的安全性在機(jī)器的啟動周期后期啟動，它主要關(guān)注密封系統(tǒng)的外部攻擊面（將壞事拒之門外并保守秘密）。如果只使用自上而下的安全技術(shù)，那么軟件的較低、最關(guān)鍵的層往往容易受到攻擊。

TCG 的硬件/固件/軟件方法為所有可以關(guān)閉此漏洞的層提供了完整的自下而上的防御。顯示了自上而下和自下而上的防御如何結(jié)合起來提供“深度防御”。

支持可信計(jì)算的固件建立在“可傳遞信任鏈”之上，并使用用于測量的核心信任根 （CRTM） 從啟動期間在系統(tǒng)上運(yùn)行的第一條指令開始建立系統(tǒng)測量。CRTM 啟動了必要的自下而上的安全性，以實(shí)現(xiàn)深度防御并保護(hù)所有計(jì)算設(shè)備（包括聯(lián)網(wǎng)傳感器）的安全。

啟動固件、操作系統(tǒng)（包括實(shí)時操作系統(tǒng) （RTOS））和受信任的應(yīng)用程序在 TPM 的可編程配置寄存器 （PCR） 中放置全面的代碼測量，以構(gòu)建其可傳遞信任鏈。這些度量位于 TPM 中，不能由惡意代碼更改，由 TPM 中的函數(shù)廣泛使用。

使用TSS 2.0作為功能強(qiáng)大且方便的 TPM 軟件服務(wù)，以下是使用 TPM PCR 可用的一些主要功能：

單獨(dú)或與其他類型的授權(quán)結(jié)合使用對各種 TPM 操作進(jìn)行授權(quán)，以實(shí)現(xiàn)多重身份驗(yàn)證

密封系統(tǒng)機(jī)密（密鑰等），以保護(hù)它們不被潛在的惡意軟件泄露

系統(tǒng)

安全運(yùn)行狀況的證明 注意：使用 TPM 的證明可以可靠地檢查系統(tǒng)的代碼度量。惡意固件無法更改或模擬基于 TPM 的證明，因?yàn)樗床坏綄?PCR 摘要進(jìn)行簽名以進(jìn)行證明所需的 TPM 駐留/機(jī)密證明密鑰。

TPM 還具有傳統(tǒng)硬件安全模塊 （HSM） 或智能卡的所有功能。使用 TSS 2.0 與 TPM2.0接口的 PKCS#11 軟件提供了傳統(tǒng)上隨這些設(shè)備提供的所有功能。這使得許多使用 HSM 和智能卡的應(yīng)用程序可以輕松移植到具有 TPM 2.0 的系統(tǒng)。

TPM 2.0 是國際標(biāo)準(zhǔn)化組織 （ISO） 標(biāo)準(zhǔn)。它是構(gòu)建基于硬件的信任根的國際標(biāo)準(zhǔn)。世界貿(mào)易組織（WTO）成員不得對ISO標(biāo)準(zhǔn)化安全設(shè)備實(shí)施進(jìn)出口管制。這有助于在全球范圍內(nèi)運(yùn)送設(shè)備的能力，而不會因?yàn)橹荚诒O(jiān)管TPM和其他硬件安全模塊的貿(mào)易壁壘而阻止設(shè)備進(jìn)入市場。它已經(jīng)或?qū)⒈恢付檎?、關(guān)鍵基礎(chǔ)設(shè)施和其他安全合規(guī)性意識項(xiàng)目（包括帶有傳感器的項(xiàng)目）的征求建議書 （RFP） 中的必填項(xiàng)目。

TSS 2.0

TCG 的 TSS 2.0 是用于使用 TPM 的標(biāo)準(zhǔn)應(yīng)用程序編程接口 （API）。借助 TSS 2.0 的跨平臺支持，用戶可以輕松地跨平臺移動應(yīng)用程序。

應(yīng)該注意的是，一些供應(yīng)商使用術(shù)語“TSS”來描述其專有或非標(biāo)準(zhǔn)TPM軟件。在許多情況下，來自政府和具有安全意識的行業(yè)的 RFP 要求確實(shí)/將專門確定 TCG TSS 2.0 以滿足和 RFP 響應(yīng)的要求。使用 TSS 2.0 可以提高這些部門組織對增加安全性的信心，因?yàn)樗麄冎浪怯?TCG 開發(fā)并由 TCG 安全專家審查的。TCG TSS 2.0 規(guī)范可在TCG 網(wǎng)站上找到。

安全程序員還可以使用 TSS 2.0 獲得 TPM 的關(guān)鍵服務(wù)：

與 TPM 通信時所需的編組/解組服務(wù)

多個 TPM 應(yīng)用程序可以不受干擾地使用相同的 TPM

對從軟件到 TPM 的數(shù)據(jù)流進(jìn)行加密，從而阻止側(cè)信道（硬件探測）攻擊。

注意：這是通用標(biāo)準(zhǔn) EAL 4+ 認(rèn)證所必需的，這是許多客戶要求的

簡化使用 TPM 的應(yīng)用程序所需的上下文和會話管理

TSS 2.0 還提供：

用于與 TPM 通信的同步和異步函數(shù)調(diào)用模型

一種分層軟件模型，允許不同級別的抽象（取決于所使用的 TSS 層），簡化了使用 TPM

的任務(wù) 注意：分層軟件模型還為不同的代碼占用空間提供了可擴(kuò)展的解決方案，從最小的物聯(lián)網(wǎng) （IoT） 設(shè)備（如傳感器節(jié)點(diǎn)）到服務(wù)器應(yīng)用程序

TSS 2.0 軟件模型的各層如圖 2 所示。

圖2.TCG TSS 2.0 的分層架構(gòu)提供了包括傳感器節(jié)點(diǎn)在內(nèi)的應(yīng)用靈活性。

TSS 2.0 層執(zhí)行以下功能：

設(shè)備驅(qū)動程序管理與 TPM 設(shè)備通信的電子總線。TPM設(shè)備驅(qū)動程序目前在Linux和Windows中可用。其他操作系統(tǒng)和實(shí)時操作系統(tǒng)可能需要修改或自定義的驅(qū)動程序。

選項(xiàng)卡和資源管理器允許多個應(yīng)用程序和內(nèi)核共享 TPM 資源。此代碼和設(shè)備驅(qū)動程序是特定于操作系統(tǒng)的 TSS 2.0 軟件堆棧的兩個部分。

TPM 命令傳輸接口 （TCTI） 允許開發(fā)程序員面向平臺上硬件 TPM 以外的 TPM（例如，軟 TPM）。這是調(diào)試 TPM 軟件的一個非常方便的功能，并允許實(shí)現(xiàn)遠(yuǎn)程 TPM。

系統(tǒng) API （SAPI） 是與 TPM 交互的最低級別（抽象最少）方式。它不需要文件系統(tǒng)或堆。它可以與啟動固件集成或用于最小的物聯(lián)網(wǎng)設(shè)備。

增強(qiáng)型系統(tǒng) API （ESAPI） 具有更輕松的上下文管理，并提供加密到 TPM 的數(shù)據(jù)流的功能，從而阻止側(cè)信道攻擊（對 EAL4+ 至關(guān)重要）。

功能 API （FAPI） 提供了 TSS 1.2 所不具備的新易用性。它允許程序員連接到 TPM，而無需成為 TPM 專家。

TSS 2.0 API 遵循業(yè)界公認(rèn)的最佳軟件實(shí)踐，利用干凈的編程技術(shù)。這允許程序員（包括最初編寫代碼的程序員）返回并使用 TSS 2.0 輕松閱讀、理解和修改應(yīng)用程序。當(dāng)您考慮到您的代碼必須在產(chǎn)品通常較長的生命周期中由各種程序員理解、維護(hù)、測試和可能進(jìn)行認(rèn)證時，這是一個非常重要的因素。

TSS 2.0 中的干凈編程技術(shù)包括：

無函數(shù)重載 – 確保高語義內(nèi)容

強(qiáng)類型檢查 – 無可變參數(shù)（可變參數(shù)數(shù)）變量

無全局變量

人類可以理解的有意義的變量名稱和函數(shù)名稱

TSS 2.0 API 還提供強(qiáng)大的代碼版本控制和修訂控制。這可確?？梢宰R別每個版本的代碼行為更改的詳細(xì)信息。除非版本更改，否則將保持向后代碼兼容性。

其他合規(guī)性

TSS 2.0 API 的設(shè)計(jì)特征包括符合汽車行業(yè)軟件可靠性協(xié)會 （MISRA）。這對于工業(yè)物聯(lián)網(wǎng)、汽車和細(xì)分市場的軟件安全合規(guī)性至關(guān)重要，在這些領(lǐng)域，安全性是一個關(guān)鍵問題。但是，底層 TSS 2.0 實(shí)現(xiàn)可能符合也可能不符合 MISA 標(biāo)準(zhǔn)，因此有必要與 TSS 2.0 供應(yīng)商聯(lián)系，以了解 MISRA 合規(guī)性是否從 TSS 2.0 API 擴(kuò)展到實(shí)際的 TSS 實(shí)現(xiàn)中（注意：車載安全 TSS 2.0 符合 MISRA）。

審核編輯：郭婷