可信平台模块

可信平台模块（Trusted Platform Module）是一种植于计算机内部为计算机提供可信根的芯片。该芯片的规格由可信计算组（Trusted Computing Group）来制定。 中国国内研究的TCM（trusted cryptography module,可信密码模块），与之对应。

中文名

可信平台模块

外文名

Trusted Platform Module

用    途

有效地保护PC、防止非法用户访问

安    装

植于计算机内部

芯片规格

由可信计算组来制定

主要厂家

英飞凌、意法半导体

目录

1. 1 简介
2. 2 标准
3. 3 用途

1. 4 启动与停止
2. ▪ 启动TPM
3. ▪ 停止TPM

1. 5 其它

可信平台模块简介

编辑

可信平台模块（Trusted Platform Module）安全芯片，是指符合TPM(可信赖平台模块)标准的安全芯片，它能有效地保护PC、防止非法用户访问。 [1] 

可信平台模块标准

编辑

1999年10月，多家IT巨头联合发起成立可信赖运算平台联盟（Trusted Computing Platform Alliance，TCPA），初期加入者有康柏、HP、IBM、Intel、微软等，该联盟致力于促成新一代具有安全且可信赖的硬件运算平台。2003年3月，TCPA增加了诺基亚、索尼等厂家的加入，并改组为可信赖计算组织（Trusted Computing Group，TCG），希望从跨平台和操作环境的硬件和软件两方面，制定可信赖电脑相关标准和规范。并在并提出了TPM规范。

符合TPM的芯片首先必须具有产生加解密密匙的功能，此外还必须能够进行高速的资料加密和解密，以及充当保护BIOS和操作系统不被修改的辅助处理器。

可信平台模块用途

编辑

TPM安全芯片用途十分广泛，配合专用软件可以实现以下用途：

1、存储、管理BIOS开机密码以及硬盘密码

以往这些事务都是由BIOS做的，玩过的朋友可能也知道，忘记了密码只要取下BIOS电池，给BIOS放电就清除密码了。如今这些密钥实际上是存储在固化在芯片的存储单元中，即便是掉电其信息亦不会丢失。相比于BIOS管理密码，TPM安全芯片的安全性要大为提高。

2、TPM安全芯片可以进行范围较广的加密

TPM安全芯片除了能进行传统的开机加密以及对硬盘进行加密外，还能对系统登录、应用软件登录进行加密。比如人们常用的MSN、QQ、网游以及网上银行的登录信息和密码，都可以通过TPM加密后再进行传输，这样就不用担心信息和密码被人窃取

3、加密硬盘的任意分区

人们可以加密本本上的任意一个硬盘分区，您可以将一些敏感的文件放入该分区以策安全。其实有些本本厂商采用的一键恢复功能，就是该用途的集中体现之一（其将系统镜像放在一个TPM加密的分区中）。

可信平台模块启动与停止

编辑

可信平台模块启动TPM

TPM实施过程随不同的服务器BIOS版本、TPM标准、操作系统和TPM实用程序版本而有所不同。

基本上，IT管理员需要首先在服务器BIOS的安全菜单中启用TPM并重新启动。服务器不支持远程更改TPM状态，因此，管理员需要在数据中心实地操作。在管理的需要安全性的远程服务器时，请记住这些：

一旦在BIOS中启用了TPM，记得在操作系统中激活它并“取得所有权”。一些系统使用TPM管理实用程序完成这些操作，例如英特尔的Embassy Security Center。支持TPM的操作系统可以通过PowerShell命令行执行TPM管理工作。坚持参照TPM实用程序或操作系统文档来找出准确的操作方法，但也会经常需要手动设置TPM的密码并核对TPM参数配置。再次提醒，必须在启用TPM的同时执行这些任务。若在启用TPM之后执行这些操作，操作可能会被视为恶意入侵。

永远别忘了记录或备份TPM相关的密码和密钥，并将备份副本异地保存在安全的物理位置。

可信平台模块停止TPM

TPM启用并激活后将一直保持运行，除非管理员直接干预，则需要管理TPM指令——这种情况极少发生。例外情况是，管理员需要关闭或甚至清除TPM。

例如，有些服务器退役后在企业内得到重新利用，并且不再需要TPM功能。TPM关闭后，新的应用程序和数据可以在没有TPM支持的服务器上处理。

可以通过操作系统停用TPM，例如使用 PowerShell cmdlet。如果操作系统不支持禁用TPM，从BIOS中的TPM管理菜单手动操作也能完成TPM启用或清除任务。

管理员可以通过BIOS清除TPM。如果完全清除TPM，就会恢复主板的出厂默认设置，重置所有的密钥和TPM中的密码，任何加密的数据将变得无法访问。如果丢失了密码，或者准备回收或出售服务器，请清除TPM。千万不要在生产服务器上清除TPM！

一些主板包括TPM清除跳线——设置跳线之后将对TPM进行清除和重新设置。因为跳线操作需要具有额外的物理访问条件，并要求管理员熟悉服务器的内部布局，可以一定程度上防止意外篡改。然而，Windows Server 2012允许管理员通过PowerShell cmdlet实现清除TPM的操作。

可信平台模块其它

编辑

提供TPM安全芯片的厂商也不少，由于其不面对最终消费者，人们可能都比较陌生。由于国外对于TPM安全芯片的研发、制造起步较早，故而国外厂商在这方面有着相当大的优势。国外生产的TPM安全芯片的主要厂家有：英飞凌、意法半导体（ST）、Atmel、华邦电子（收购美国国家半导体公司）等。国内厂商这方面的研发起步较晚，仅有联想的“恒智”芯片以及兆日公司的产品。

广大笔记本厂商内置TPM更多的是防患于未然，毕竟支持TPM的系统还没有出现，广大厂商都是采用第三方软件来实现TPM的部分功能，提供例如文件加解密等服务。在Vista正式发布之后，TPM安全芯片将真正开始发挥其幕后英雄的本色，大量的系统安全功能也都将通过其来实现。随着微软NGSCB技术的正式推广，TPM将在真正意义上扮演PC的保护神，让人们的电脑真正摆脱木马、病毒的骚扰。看来得到软硬件两方面支持的TPM安全芯片前途无量，TPM安全芯片在本本安全领域上的作用将更加凸现。

在Wedbush Morgan Securities年度高层会议上，雅达利公司创建者之一的诺兰·布什内尔（Nolan Bushnell）称，游戏产业面临的盗版泛滥问题，在过不久将随着新型加密芯片的逐步普及而成为历史。 “一种名为TPM的加密芯片即将被使用在大部分电脑主板上。”布什内尔在会议上说道：“这就意味着游戏产业将迎来一种全新的、绝对安全的加密方式，它无法在网络上被破解也不存在注册码被散播的危险，它将允许我们在那些盗版极为严重的地区开拓巨大的新市场。” 布什内尔认为，电影和音乐的盗版很难被阻止，因为只要是“能看、能听的就可以拷贝”。然而电子游戏的情况则完全不同，由于这类产品与代码的紧密联系性，使用TPM芯片将能够完全阻止盗版游戏的运行。

“一旦TPM芯片的普及率达到足够高的水准，人们就可以开始看到在亚洲和印度等盗版泛滥地区正版软件收入的逐步增长，而这在以前是几乎是不可想象的。” [2] 

欢迎关注技术公众号：架构师成长营