可信平臺(tái)中基于屬性的遠(yuǎn)程證明系統(tǒng).pdf

1、隨著互聯(lián)網(wǎng)的高速發(fā)展和計(jì)算機(jī)的高度普及，網(wǎng)絡(luò)環(huán)境下的資源共享與協(xié)作計(jì)算在生產(chǎn)生活中發(fā)揮著越來越重要的作用。在協(xié)作之前需要確信遠(yuǎn)程平臺(tái)硬件和軟件配置的真實(shí)可信性，以確保遠(yuǎn)程主機(jī)的行為在期望的范圍內(nèi)。然而，現(xiàn)在采用的基于密碼和PKI技術(shù)的訪問控制和身份驗(yàn)證等安全機(jī)制沒有考慮上述目標(biāo)；而TCG組織定義的簡(jiǎn)單遠(yuǎn)程證明機(jī)制雖然嘗試解決此類問題，但是以度量值為基礎(chǔ)，存在管理和版本強(qiáng)行控制的缺陷，不易實(shí)際應(yīng)用。
　　 針對(duì)上述問題，可信平臺(tái)中

2、基于屬性的遠(yuǎn)程證明系統(tǒng)PRAS(Property-based Remote Attestation System on Trusted Platform)將屬性與策略機(jī)制引入到遠(yuǎn)程證明中。對(duì)于遠(yuǎn)程主機(jī)，用戶不僅關(guān)心是否具有某種硬件或者軟件配置和度量值，更在乎能否提供某種與安全相關(guān)的屬性。為了證實(shí)屬性的合法性，PRAS系統(tǒng)還引入了屬性證書、屬性權(quán)威中心和平臺(tái)身份權(quán)威中心。屬性證書用于標(biāo)識(shí)合法的屬性集合；平臺(tái)身份權(quán)威中心負(fù)責(zé)簽發(fā)平臺(tái)身份證書

3、；屬性權(quán)威中心負(fù)責(zé)簽發(fā)平臺(tái)或者應(yīng)用程序的屬性證書。為了及時(shí)檢測(cè)平臺(tái)或者應(yīng)用程序的改動(dòng)(合法的或者非法的)，PRAS系統(tǒng)采用信號(hào)異步處理技術(shù)設(shè)計(jì)了屬性集的動(dòng)態(tài)監(jiān)聽機(jī)制，以保證簽發(fā)的屬性證書反映平臺(tái)或者應(yīng)用程序的最新狀態(tài)。簽發(fā)的屬性證書采用可信平臺(tái)的Seal/UnSeal加密機(jī)制與平臺(tái)狀態(tài)綁定在一起，以保證其安全性。用戶在證明平臺(tái)或者應(yīng)用程序的可信性之前，以可信判定策略的形式定義對(duì)目標(biāo)的安全需求，然后依據(jù)自定義的策略評(píng)定屬性證書的可信性，從

4、而確認(rèn)被證明目標(biāo)的可信性。此外，PRAS系統(tǒng)以可信平臺(tái)模塊TPM芯片為基礎(chǔ)設(shè)計(jì)數(shù)據(jù)傳輸協(xié)議，增強(qiáng)了數(shù)據(jù)在網(wǎng)絡(luò)環(huán)境下傳輸?shù)陌踩浴?br>　　 基于Linux操作系統(tǒng)的可信平臺(tái)，采取C、Java、JSP等編程語言實(shí)現(xiàn)了PRAS系統(tǒng)，并且對(duì)系統(tǒng)進(jìn)行了測(cè)試。測(cè)試結(jié)果表明，PRAS系統(tǒng)能夠檢測(cè)網(wǎng)格服務(wù)非法篡改、合法升級(jí)/回滾以及可信評(píng)定策略在證明中發(fā)揮作用。PRAS系統(tǒng)在檢測(cè)網(wǎng)格服務(wù)被篡改、升級(jí)/回滾的準(zhǔn)確率為0.97～0.99，客戶端的平均