2015年TPM2.0 library specification（Trusted Platform Module）正式成為國際標準ISO/IEC 11889，首次成體系支持中國密碼算法體系，包括SM2/SM3/SM4密碼算法。這是中國密碼算法技術和標準的又一次重要突破，也是中國信息安全標準在國際標準化工作中的重要進展。

ISO/IEC 11889標準帶來哪些好處？

ISO/IEC 11889的核心在于一顆可信密碼安全芯片，它可有效阻止硬件設備運行非法程序，包括BIOS級別，外設固件級別的惡意程序；能有效的保護具有計算能力的設備，防止非法用戶／設備訪問；提供物理安全級別的敏感數(shù)據(jù)的加密保護，保護加密密鑰，安全配置策略等信息。軟件方式的數(shù)據(jù)盜取，通信鏈路上的中間人和重放攻擊，以及本地物理現(xiàn)場的探針、拋片等物理攻擊方式對可信安全芯片來說都不管用。ISO/IEC 11889 支持中國商用密碼算法體系（SM2/SM3/SM4），使得在數(shù)據(jù)安全保護上更加牢不可破。

可信計算的應用場景是什么？

有計算能力的設備都可使用可信計算，例如小型機、服務器、臺式機、筆記本、平板電腦、智能手機、打印機、手寫板、工業(yè)控制系統(tǒng)、電動汽車控制系統(tǒng)、IoT設備等，用途非常廣泛。

擁有自己的TPM應用，就不用操心防御中間人攻擊，重放攻擊，字典攻擊這些問題，采用TPM協(xié)議不管走到網(wǎng)絡的那個角落都不會遭受到這些攻擊，即使TPM指令的通信傳輸協(xié)議不加密。

快速入門

如何快速建立基于ISO/IEC 11889標準的學習、開發(fā)與應用環(huán)境呢？下面我們以國民技術Z32H330TC芯片為例，做一詳細介紹：

1, 硬件平臺：中國型號的SurfacePro 5/6/7/8/9，Surfacebook內(nèi)嵌了國民技術的TPM2.0密碼安全芯片，更多平臺也已經(jīng)支持。

2, 安全BIOS：BIOS中的度量應用安全機制在您購買的硬件設備上已經(jīng)集成啦，可以抵御badBIOS這樣的惡意攻擊。當然有研究精神的小伙伴可以研究下BIOS中的TPM2.0開發(fā)，您參考下面鏈接，它提供了TPM2.0的BIOS驅(qū)動和TREE操作代碼。

https://svn.code.sf.net/p/edk2/code/branches/UDK2015/SecurityPkg/Tcg/

3, OS驅(qū)動:LinuxKernel 4.0開始支持TPM2.0芯片，如Ubuntu20.04，F(xiàn)edora等，完美支持國民技術Z32H330TC芯片。

TPM中間件：開源項目TPM2.0-TSS實現(xiàn)了TPM2.0的各種API：

從下面的鏈接獲取完全的資源，依照INSTALL安裝編譯：

https://github.com/tpm2-software/tpm2-tss

以管理員權限r(nóng)esourcemgr成功運行中間件，"Initializing local TPM Interface"提示成功找到物理TPM驅(qū)動，現(xiàn)在有API啦，試試吧。

軟件工具

開源項目TPM2.0 Tool在TSS2.0基礎上包裝了常用的TPM2.0功能，可以直接使用。功能包括：

— NVTool:芯片內(nèi)部用于用戶使用的存儲空間的操作，包括定義分配存儲區(qū)／釋放存儲區(qū)／讀存儲區(qū)／寫存儲區(qū)／所有存儲區(qū)列表／鎖定存儲區(qū)讀等操作。

— 證明工具：包括聲明所有者／獲取平臺背書密鑰公鑰／獲取芯片生產(chǎn)商／獲取身份密鑰公鑰／身份密鑰解析／生成身份報告憑據(jù)請求／激活身份報告憑據(jù)／平臺配置寄存器列表／平臺狀態(tài)引證。

— 密鑰管理工具：生成主密鑰／存儲密鑰／密鑰生成／密鑰對象加載／外部密鑰對象加載。

— 加密工具：對稱加／解密、RSA加／解密、數(shù)據(jù)封裝。

— 簽名工具：簽名／驗簽（RSA，ECC，SM2）、密鑰來源證明。

— 其他工具：獲取隨機數(shù)／計算Hash值／計算HMAC／讀取密鑰公鑰對象。

以上常用的安全操作、密碼服務操作非常齊全，快快動手開發(fā)自己的TPM應用吧

開源項目對TPM2.0的支持顯示出ISO/IEC 11889標準強大的生命力，為新一代標準的廣泛應用奠定了基礎，也為安全可信應用系統(tǒng)開發(fā)提供了高端體驗。