基于可信計(jì)算的遠(yuǎn)程證明的研究

黃秀文

（武漢紡織大學(xué) 信息技術(shù)中心，湖北 武漢 430074）

基于可信計(jì)算的遠(yuǎn)程證明的研究

黃秀文

（武漢紡織大學(xué) 信息技術(shù)中心，湖北 武漢 430074）

可信計(jì)算作為一種信息系統(tǒng)安全新技術(shù)，為克服單純依靠軟件安全防范方式的不足提供了新的思路，在平臺(tái)上通過(guò)軟硬件結(jié)合的方式構(gòu)建可信計(jì)算環(huán)境。遠(yuǎn)程證明是可信計(jì)算平臺(tái)的重要功能之一，是發(fā)出證明請(qǐng)求的一方確認(rèn)遠(yuǎn)程平臺(tái)的身份和平臺(tái)狀態(tài)配置信息的過(guò)程。本文圍繞可信計(jì)算的遠(yuǎn)程認(rèn)證進(jìn)行研究，從可信平臺(tái)模塊、可信軟件棧及其在實(shí)際中的應(yīng)用進(jìn)行探討、分析和改進(jìn)，為基于可信計(jì)算的遠(yuǎn)程認(rèn)證的設(shè)計(jì)和實(shí)現(xiàn)提供了新的途徑。

信息安全；可信計(jì)算；可信計(jì)算平臺(tái)；可信軟件棧；遠(yuǎn)程證明

隨著計(jì)算機(jī)技術(shù)的發(fā)展，信息安全技術(shù)也在不斷變化和發(fā)展中，傳統(tǒng)的安全技術(shù)如防火墻、殺毒軟件、入侵檢測(cè)己不能保證信息的安全。面對(duì)各種各樣的惡意攻擊和病毒，雖然通過(guò)加大病毒庫(kù)，砌高防火墻，增加入侵檢測(cè)的復(fù)雜度，但依然有層出不窮的問(wèn)題出現(xiàn)，尤其對(duì)于在電腦硬盤(pán)中駐存的一些惡意程序運(yùn)行更顯得無(wú)能為力，這些惡意程序破壞系統(tǒng)，在網(wǎng)絡(luò)肆意傳播。整個(gè)信息安全狀況令人擔(dān)憂(yōu)，誤報(bào)率多、安全投入增加、維護(hù)與管理成本高且更加復(fù)雜，使用信息系統(tǒng)的效率降低。尤其對(duì)一些新的病毒攻擊，入侵檢測(cè)毫無(wú)防御能力。

可信計(jì)算 TC ( Trusted Computing)通過(guò)在平臺(tái)內(nèi)部引入可信硬件設(shè)備作為可信根，采用軟硬件相結(jié)合的技術(shù)，建立一條信任鏈，一級(jí)認(rèn)證一級(jí)，一級(jí)信任一級(jí)，把信任關(guān)系擴(kuò)大到整個(gè)計(jì)算機(jī)系統(tǒng)，這樣就能確保計(jì)算機(jī)系統(tǒng)的可信。遠(yuǎn)程證明是指一個(gè)節(jié)點(diǎn)將自己平臺(tái)的某些信息使用約定的格式和協(xié)議向另一個(gè)節(jié)點(diǎn)報(bào)告，使得另一節(jié)點(diǎn)能夠獲得這些信息，并判定該平臺(tái)的可信狀態(tài)。其目的是保證兩個(gè)節(jié)點(diǎn)的身份和安全屬性符合對(duì)一方的要求，其平臺(tái)狀態(tài)是可靠的。而在可信計(jì)算平臺(tái)上的“遠(yuǎn)程證明”是指在平臺(tái)上使用身份認(rèn)證密鑰AIK對(duì)當(dāng)前存儲(chǔ)的PCR值進(jìn)行簽名，然后報(bào)告給遠(yuǎn)程挑戰(zhàn)者其平臺(tái)的狀態(tài)，是建立在可信度量、可信報(bào)告基礎(chǔ)之上的技術(shù)。

1　可信技術(shù)概述

可信就是一個(gè)主體可以信賴(lài)一個(gè)客體，可信計(jì)算組織（TCG）用實(shí)體行為的預(yù)期性來(lái)定義可信：如果一個(gè)實(shí)體的行為是以預(yù)期的方式符合預(yù)期的目標(biāo)，則該實(shí)體是可信的。這個(gè)定義中，信任是一種對(duì)設(shè)備有信心的期望，認(rèn)為它的執(zhí)行會(huì)符合主體對(duì)它的預(yù)期，能夠?qū)崿F(xiàn)預(yù)定的目標(biāo)。

可信計(jì)算是一種信息系統(tǒng)安全新技術(shù)，包括可信硬件、可信軟件、可信網(wǎng)絡(luò)和可信計(jì)算應(yīng)用等諸多方面?？尚庞?jì)算的思想源于人類(lèi)社會(huì)，是把人類(lèi)社會(huì)成功的管理經(jīng)驗(yàn)用于計(jì)算機(jī)信息系統(tǒng)和網(wǎng)絡(luò)空間，以確保計(jì)算機(jī)信息系統(tǒng)和網(wǎng)絡(luò)空間的安全可信。TCG認(rèn)為，可信計(jì)算的總體目標(biāo)是提高計(jì)算機(jī)系統(tǒng)的安全性?，F(xiàn)階段的主要目標(biāo)是確保系統(tǒng)數(shù)據(jù)的完整性、數(shù)據(jù)的安全存儲(chǔ)和平臺(tái)可信性的遠(yuǎn)程證明。

可信計(jì)算的基本思想是：

（1）首先在計(jì)算機(jī)系統(tǒng)中建立一個(gè)信任根。信任根的可信性由物理安全、技術(shù)安全與管理安全共同確保。

（2）再建立一條信任鏈。從信任根開(kāi)始到硬件平臺(tái)，到操作系統(tǒng)，一級(jí)測(cè)量認(rèn)證一級(jí)，一級(jí)信任一級(jí)，把這種信任擴(kuò)展到整個(gè)計(jì)算機(jī)系統(tǒng)，從而確保整個(gè)計(jì)算機(jī)系統(tǒng)的可信。

2　可信平臺(tái)架構(gòu)

在TCG的架構(gòu)規(guī)范中，可信計(jì)算平臺(tái)的定義為：“A Trusted Computing Platform is a computing platform that can be trusted to report its properties”（可信計(jì)算平臺(tái)就是能夠讓人信賴(lài)地報(bào)告自己屬性的計(jì)算平臺(tái)）。它不僅指能提供可信計(jì)算的硬件體系，還需要在這之上實(shí)現(xiàn)軟件接口。目前，可信計(jì)算平臺(tái)架構(gòu)從上到下分別由應(yīng)用軟件、TSS和TPM構(gòu)成。

可信平臺(tái)架構(gòu)如圖1所示：

圖1　可信平臺(tái)架構(gòu)

可信計(jì)算平臺(tái)至少要提供下列三個(gè)功能：保護(hù)功能、完整性度量功能與完整性報(bào)告功能，與這三個(gè)功能緊密相關(guān)的就是三個(gè)信任根：可信存儲(chǔ)根（Root of Trust for Storage，RTS）、可信度量根（Root of Trust for Measurement，RTM）與可信報(bào)告根（Root of Trust for Reporting，RTR）。

2.1可信平臺(tái)模塊TPM

在可信計(jì)算技術(shù)體系中，最核心的就是可信平臺(tái)模塊TPM（Trusted Platform Module）芯片，它是一個(gè)內(nèi)置在系統(tǒng)中的硬件模塊。TPM可以看做是一個(gè)完整的計(jì)算機(jī)，包括處理器，協(xié)處理器。存儲(chǔ)單元和操作系統(tǒng)等。TPM是可信根的基礎(chǔ)，具備四個(gè)主要功能：對(duì)稱(chēng)/非對(duì)稱(chēng)加密、安全存儲(chǔ)、完整性度量和簽名認(rèn)證。TPM安全芯片可以進(jìn)行范圍較廣的加密。除了能進(jìn)行傳統(tǒng)的開(kāi)機(jī)加密以及對(duì)硬盤(pán)進(jìn)行加密外，還能對(duì)系統(tǒng)登錄、應(yīng)用軟件登錄進(jìn)行加密。比如目前咱們常用的 MSN、QQ、網(wǎng)游以及網(wǎng)上銀行的登錄信息和密碼，都可以通過(guò)TPM加密后再進(jìn)行傳輸，這樣就不用擔(dān)心信息和密碼被人竊取。

TPM的架構(gòu)如圖2所示：

圖2　TPM架構(gòu)

TPM提供安全存儲(chǔ)功能，能夠?qū)γ荑€提供非常好的保護(hù)，密鑰的生成和處理都在TPM內(nèi)部完成。TPM內(nèi)部的非易失性存儲(chǔ)器中可以存放少量的密鑰。存儲(chǔ)根密鑰（Storage Root Key，SRK）和背書(shū)密鑰（Endorsement Key，EK）就存儲(chǔ)于非易失性存儲(chǔ)器中?？尚糯鎯?chǔ)根通過(guò)SRK構(gòu)建一個(gè)密鑰層次架構(gòu)，中間節(jié)點(diǎn)為存儲(chǔ)密鑰，葉子節(jié)點(diǎn)為任意需要加密的數(shù)據(jù)。由于TPM存儲(chǔ)容量有限，因此一般在磁盤(pán)上構(gòu)建一個(gè)持久存儲(chǔ)區(qū)（Persist Storage，PS），使用SRK進(jìn)行加密保護(hù)，這樣受保護(hù)的數(shù)據(jù)可以進(jìn)行擴(kuò)充。

2.2可信軟件棧TSS

在可信計(jì)算的體系結(jié)構(gòu)中，處于上層應(yīng)用程序和底層 TPM之間的是可信軟件棧 TSS（TCG Software Stack），無(wú)論什么樣的操作系統(tǒng)和系統(tǒng)平臺(tái)，都不會(huì)影響平臺(tái)與TSS模塊的接口關(guān)系，TSS獨(dú)立于平臺(tái)。其設(shè)計(jì)的目標(biāo)為：為應(yīng)用程序訪問(wèn)TPM提供接口，同時(shí)實(shí)施對(duì)TPM的管理。

其系統(tǒng)架構(gòu)圖如圖3所示：

圖3　可信軟件棧架構(gòu)圖

從圖3中我們可以看出，TSS被劃分為四個(gè)功能層次：驅(qū)動(dòng)層TDD（TPM Device Driver）、設(shè)備驅(qū)動(dòng)庫(kù)層TDDL（TPM Device Driver Library）、核心服務(wù)層TCS（TSS Core Services）和服務(wù)提供層TSP（Trusted Service Provider），通過(guò)接口進(jìn)行調(diào)用和封裝。TSS為應(yīng)用程序使用TPM的功能提供了豐富的接口，把所有TPM的命令都封裝起來(lái)。

3　遠(yuǎn)程證明系統(tǒng)的設(shè)計(jì)

越來(lái)越多的與互聯(lián)網(wǎng)相關(guān)的應(yīng)用需要用戶(hù)借助遠(yuǎn)程主機(jī)運(yùn)行的特定服務(wù)程序來(lái)完成，如網(wǎng)上銀行等。用戶(hù)通過(guò)網(wǎng)絡(luò)與遠(yuǎn)程主機(jī)的服務(wù)程序交互之前，如果無(wú)法確信遠(yuǎn)程主機(jī)和服務(wù)程序沒(méi)有被非法入侵，那么可能因?yàn)槭褂昧嗽摲?wù)而造成損失。利用 TPM 芯片和 TSS 軟件棧，可以構(gòu)建一個(gè)通用的可信平臺(tái)。以TPM 作為可信度量根、可信存儲(chǔ)根和可信報(bào)告根，可信平臺(tái)具有這種潛能：可以向外來(lái)用戶(hù)證實(shí)本平臺(tái)所處的狀態(tài)，包括硬件配置和軟件的狀態(tài)，以讓外來(lái)用戶(hù)判斷本平臺(tái)是否出于一個(gè)安全的狀態(tài)。TCG 組織其規(guī)范將這種潛能定義為遠(yuǎn)程證明(Remote Attestation)，并描述了一個(gè)簡(jiǎn)單的遠(yuǎn)程證明機(jī)制。

3.1遠(yuǎn)程證明的原理

簡(jiǎn)單遠(yuǎn)程證明過(guò)程的完成要經(jīng)歷兩個(gè)階段：可信度量與可信報(bào)告?？尚哦攘渴瞧脚_(tái)組件完整性度量值的計(jì)算與存儲(chǔ)，可信報(bào)告是將平臺(tái)組件的度量值報(bào)告給外來(lái)用戶(hù)，然后用戶(hù)通過(guò)驗(yàn)證度量值來(lái)判斷平臺(tái)和應(yīng)用程序是否被篡改。

3.1.1可信度量

平臺(tái)可信度量是指通過(guò)一定的方法按步驟度量并報(bào)告平臺(tái)的狀態(tài)。從系統(tǒng)加電啟動(dòng)，一直到最后應(yīng)用程序每一步都需要度量,整個(gè)啟動(dòng)序列都遵循“先度量，再執(zhí)行”的原則。當(dāng)前階段的代碼負(fù)責(zé)度量下一階段即將要執(zhí)行的代碼，然后再將度量值擴(kuò)展到PCR中，這樣一級(jí)信任一級(jí)，以此保證平臺(tái)的可信，保證環(huán)境的安全。當(dāng)然任何信任關(guān)系中總是存在某種基礎(chǔ)性的假設(shè)，必然存在默認(rèn)環(huán)節(jié)的信任關(guān)系的基石。在一個(gè)信任關(guān)系依次傳遞的鏈條中，源頭在啟動(dòng)的過(guò)程中是被假設(shè)為安全可信的，不會(huì)受到度量。

3.1.2可信報(bào)告

在系統(tǒng)進(jìn)行可信度量時(shí)，除了度量結(jié)果要在PCR中進(jìn)行擴(kuò)展之外，還將具體每一步的度量操作、中間狀態(tài)和度量結(jié)果保存下來(lái)，可以作為系統(tǒng)可信度量的詳細(xì)步驟進(jìn)行參考，存儲(chǔ)度量日志（Storage Measurement Log，SML）用于存儲(chǔ)這些信息。由于PCR被認(rèn)為是不可篡改的，并且它所保存的值可以通過(guò)SML重新計(jì)算出來(lái)，因此SML一般不需要安全保護(hù)。

可信計(jì)算平臺(tái)使用PCR的值來(lái)生成完整性報(bào)告。由于PCR的值保存在TPM中，并且在報(bào)告生成的過(guò)程中要防止被篡改，需要設(shè)計(jì)一套密碼協(xié)議保證PCR值的秘密性、真實(shí)性和完整性，同時(shí)還要考慮平臺(tái)配置的隱私性。TCG提出解決方案是使用平臺(tái)的匿名身份證書(shū)，既保證該信息來(lái)源于一個(gè)可信計(jì)算平臺(tái)，又保證該平臺(tái)的匿名性。同時(shí)，使用簽名機(jī)制保證信息的完整性和真實(shí)性。

3.2遠(yuǎn)程證明的協(xié)議

遠(yuǎn)程證明是對(duì)平臺(tái)做全面的度量，向遠(yuǎn)程通信方證明自身運(yùn)行環(huán)境是可信的。它是一個(gè)綜合完整性校驗(yàn)和身份鑒別的過(guò)程，同時(shí)向驗(yàn)證者提供了一份可信的平臺(tái)狀態(tài)報(bào)告。TPM是報(bào)告的可信根，能夠保證對(duì)當(dāng)前完整性度量值作可信的報(bào)告。遠(yuǎn)程證明是通過(guò)典型的“挑戰(zhàn)——應(yīng)答”協(xié)議來(lái)實(shí)現(xiàn)的。

圖4　遠(yuǎn)程證明協(xié)議

遠(yuǎn)程證明的協(xié)議如圖4所示：

一個(gè)平臺(tái)（挑戰(zhàn)者）向另一個(gè)平臺(tái)（證明者）發(fā)送一個(gè)挑戰(zhàn)證明的消息和一個(gè)隨機(jī)數(shù)（nonce），要求獲得一個(gè)或多個(gè)PCR值以便對(duì)證明者的平臺(tái)狀態(tài)進(jìn)行驗(yàn)證。每個(gè)TPM擁有唯一的背書(shū)密鑰（Endorsement Key, EK），用來(lái)唯一標(biāo)識(shí)可信平臺(tái)的身份。對(duì)于可信平臺(tái)的身份認(rèn)證，在需要個(gè)人隱私來(lái)證明其身份的同時(shí)還要盡可能的少暴露個(gè)人隱私。所以TCG規(guī)定EK不用于身份認(rèn)證，而使用EK生成并通過(guò)隱私CA（Certificate Authority）簽發(fā)的AIK證書(shū)來(lái)完成身份認(rèn)證。證明者利用AIK對(duì)挑戰(zhàn)者指定的PCR值進(jìn)行簽名后，附加上對(duì)應(yīng)的度量日志（SML）表項(xiàng)和AIK證書(shū)一起發(fā)送給挑戰(zhàn)者。挑戰(zhàn)者對(duì)證明值進(jìn)行驗(yàn)證，驗(yàn)證過(guò)程包括根據(jù)度量日志重新計(jì)算哈希值、對(duì)AIK證書(shū)進(jìn)行驗(yàn)證，以及將簽名值和期望值進(jìn)行匹配三個(gè)步驟。經(jīng)過(guò)這三個(gè)步驟就可得出遠(yuǎn)程證明的結(jié)果，即證明者是否是可信的。

3.3遠(yuǎn)程證明總體設(shè)計(jì)

此次遠(yuǎn)程證明大概分為以下幾個(gè)部分：

（1）度量請(qǐng)求。首先，發(fā)送度量請(qǐng)求，客戶(hù)端接到度量請(qǐng)求后，通過(guò)webservice向服務(wù)器發(fā)送隨機(jī)數(shù)請(qǐng)求；

圖5　遠(yuǎn)程證明系統(tǒng)架構(gòu)圖

（2）服務(wù)器接到請(qǐng)求后，生成隨機(jī)數(shù)，并返回給客戶(hù)端節(jié)點(diǎn)；客戶(hù)端節(jié)點(diǎn)得到隨機(jī)數(shù)后，提取度量模塊的PCR值，生成完整性報(bào)告并發(fā)送給服務(wù)器；

（3）服務(wù)器接收到客戶(hù)端生成的完整性報(bào)告（完整性報(bào)告report包括PCR值、隨機(jī)數(shù)等）后，對(duì)report進(jìn)行解析。

具體架構(gòu)如圖5所示。

圖6　遠(yuǎn)程證明流程圖

遠(yuǎn)程證明的過(guò)程如圖6所示。

（1）服務(wù)器觸發(fā)客戶(hù)端對(duì)平臺(tái)進(jìn)行完整性驗(yàn)證。客戶(hù)端監(jiān)聽(tīng)，服務(wù)器發(fā)出連接請(qǐng)求，建立套接字連接。

（2）服務(wù)器產(chǎn)生一個(gè)隨機(jī)數(shù)，指定要求的PCR編號(hào)，發(fā)送給客戶(hù)端。

（3）平臺(tái)度量值存在PCR里，度量日志寫(xiě)入文件里，客戶(hù)端讀指定PCR獲取度量值，讀日志文件獲取度量日志。

（4）配備TPM的客戶(hù)端載入AIK，將度量值和隨機(jī)數(shù)串聯(lián)，用SHA1算法求出哈希值，再用AIK私鑰對(duì)其進(jìn)行簽名，形成完整性報(bào)告，報(bào)告包括隨機(jī)數(shù)、度量值、哈希值、簽名值、AIK證書(shū)等。

（5）最后將完整性報(bào)告和度量日志一起發(fā)送給服務(wù)器。

（6）服務(wù)器驗(yàn)證簽名、檢查隨機(jī)數(shù)，通過(guò)比較簽名值和期望值判斷平臺(tái)是否可信。

在實(shí)現(xiàn)用戶(hù)身份驗(yàn)證的過(guò)程中，系統(tǒng)利用 MD5信息摘要算法對(duì)用戶(hù)口令進(jìn)行加密以防止用戶(hù)口令被竊取，用以加強(qiáng)保證系統(tǒng)的安全性。

首先獲得MD5摘要算法的 MessageDigest 對(duì)象，然后使用指定的字節(jié)更新摘要，digest()最后確定返回md5 hash值，返回值為8為字符串，因?yàn)閙d5 hash值是16位的hex值，實(shí)際上就是8位的字符。最后把密文轉(zhuǎn)換成十六進(jìn)制的字符串形式返回。

用戶(hù)身份認(rèn)證就是通過(guò)搜索用戶(hù)信息表，對(duì)用戶(hù)登錄的 ID和密碼進(jìn)行鑒別，從而判定該用戶(hù)合法還是非法。

4　結(jié)束語(yǔ)

隨著信息技術(shù)的發(fā)展，可信化成為信息安全技術(shù)發(fā)展的趨勢(shì)之一，信息安全逐漸成為獲得可信環(huán)境和可信計(jì)算的手段，除了重點(diǎn)發(fā)展認(rèn)證技術(shù)外，計(jì)算機(jī)安全也已經(jīng)從傳統(tǒng)的系統(tǒng)保護(hù)階段過(guò)渡到以可信計(jì)算為下一步發(fā)展目標(biāo)的階段。尤其在分布式計(jì)算、云計(jì)算環(huán)境下，研究適用于平臺(tái)間的遠(yuǎn)程證明需求會(huì)越來(lái)越多，因此，有必要深入研究可信計(jì)算中的遠(yuǎn)程證明技術(shù)。本文圍繞可信計(jì)算的遠(yuǎn)程認(rèn)證進(jìn)行研究，從可信平臺(tái)模塊、可信軟件棧、及其在實(shí)際中的應(yīng)用進(jìn)行探討、分析和改進(jìn)，為基于可信計(jì)算的遠(yuǎn)程認(rèn)證的設(shè)計(jì)和實(shí)現(xiàn)提供了新的途徑。

[1] 李昊，馮登國(guó). 可信密碼模塊符合性測(cè)試方法與實(shí)施[J]. 武漢大學(xué)學(xué)報(bào)(理學(xué)版), 2009, 55: 31-34.

[2] 崔奇，石文昌. 一種通過(guò)應(yīng)用程序驗(yàn)證TPM標(biāo)準(zhǔn)符合性的方法[J]. 中國(guó)科學(xué)院研究生院學(xué)報(bào)，2008, 25(5): 649-656.

[3] 張煥國(guó)，嚴(yán)飛，傅建明，等. 可信計(jì)算平臺(tái)測(cè)評(píng)理論與關(guān)鍵技術(shù)研究[J]. 中國(guó)科學(xué)::F輯信息科學(xué)，2010, 40(2): 167-188.

[4] 朱智強(qiáng)，余發(fā)江，張煥國(guó)，等. 一種改進(jìn)的可信計(jì)算平臺(tái)密碼機(jī)制[J]. 武漢大學(xué)學(xué)報(bào)(理學(xué)版), 2009, 55(1): 011-016.

[5] 詹靜，張煥國(guó)，徐士偉，等. 基于狀態(tài)機(jī)理論的可信平臺(tái)模塊測(cè)試研究[J]. 武漢大學(xué)學(xué)報(bào)(信息學(xué)版), 2008, 33(10): 1067-1069.

[6] 陳小峰，馮登國(guó). 可信密碼模塊的模型檢測(cè)分析[J]. 通信學(xué)報(bào)，2010, 31(1): 59-65.

[7] TNCwebsite. [EB/OL]. http://www.trustedcomputinggroup.org/developers/trusted network cone ect. [2011-11-17].

[8] Trusted Computing Group. TCG Specification Architecture Overview[S]. USA: Trusted Computing Group, 2007. 5-40.

Study on Remote Attestation Based on Trusted Computing

HUANG Xiu-wen
(Modern Education Centre, Wuhan Textile University, Wuhan Hubei 430074, China)

As a new technology of the information system security, Trusted Computing provides a new method to overcome the shortage of solely relying on software security mode. It builds Trusted Computing Environment through a combination of hardware and software on this platform. Remote attestation is one of the critical functions, which is a process of verifying the identity and configuration information of a remote platform by attestation requester. The remote attestation based on trusted computing is discussed and analyzed from TPM, TSS and its application in this paper. The principal achievements of the paper present a new approach for the design and implementation of trusted remote attestation.

Information Security; Trusted Computing; Trusted Computing Platform; TCG Software Stack; Remote Attestation

TP309

A

2095－414X(2015)06－0084－06

黃秀文（1967-）， 女，工程師，研究方向：計(jì)算機(jī)信息管理系統(tǒng).