文档首页/ IoT边缘 IoTEdge/ 用户指南/ 管理边缘节点/ 启用TPM硬件加密
更新时间:2024-07-12 GMT+08:00
查看PDF
分享

启用TPM硬件加密

TPM(Trusted Platform Module)安全芯片是指符合TPM(可信赖平台模块)标准的安全芯片,它能有效地保护服务器,防止非法用户访问敏感数据。

通过安装节点时,选定开启TPM加密功能,实现对节点侧密钥、鉴权凭证等敏感数据的硬件加密。

图1 开启TPM硬件场景下边缘网关访问云端

开启TPM硬件加密功能后,网关运行时底座将向TPM芯片申请根密钥,该根密钥用于加密敏感信息(如网关身份密钥)。当网关上的应用需要使用到这些敏感信息时,再经过TPM解密后使用。引入TPM芯片后,提升边缘网关的安全等级,软硬件协同实现边缘本地敏感数据的加密存储,保障用户数据的高安全、高隐私。

使用约束

  1. 该功能仅适用于装有TPM2.0安全芯片的硬件网关。
  2. 仅安装节点时可选择是否开启TPM硬件加密,节点安装完成后无法更改。
  3. 部署类型为KubeEdge的专业版边缘节点不支持开启TPM硬件加密。
  4. 开启TPM硬件加密的节点后将无法进行主备配置。

开启TPM硬件加密

  1. 访问IoT边缘,单击“管理控制台”进入IoT边缘控制台。
  2. 选择左侧导航栏“边缘节点 > 节点管理”单击右上角“注册节点”
  3. 根据页面提示填写参数,勾选右下角“《华为云服务等级协议》”单击“下一步”配置节点数据。相关配置请参照注册边缘节点
  4. 填写配置节点数据信息后,单击“立即创建”。
  5. 弹出如下对话框,勾选“启用TPM密钥存储”。

    图2 注册成功

  6. 复制安装命令,到边缘节点设备上执行命令,完成边缘软件部署。

    图3 执行安装

  7. 返回节点列表,单击该节点名称进入节点详情页。可以查看节点上的TPM芯片信息,以及确认当前节点是否启用TPM。

    图4 节点详细信息

TPM硬件加密与本地软件加解密对比

使用软件加解密,密钥材料放置于磁盘中。而在带TPM安全芯片的系统中,一些关键的密钥是存在TPM芯片内部,这时攻击者只有攻破TPM才有可能攻破系统的防护,攻克一块芯片比一块硬盘成本和难度更高。TPM芯片可以生成、存储和保护密钥。它提供了一个安全的环境来生成密钥对,并将私钥存储在TPM的安全存储器中。私钥无法被直接访问,只能通过TPM提供的安全接口进行使用。经TPM加密的数据只有此TPM芯片才能解密,从而达到数据与TPM芯片绑定来保护数据的目的。简而言之,TPM硬件加解密与本地软件加解密对比,具有更高的安全性、保密性。

图5 边缘密钥服务体系

父主题: 管理边缘节点

相关文档