可信计算平台数据封装存储技术的研究

摘要

近年来,随着计算机和信息技术的飞速发展,信息技术已融入人们生产、生活的各个方面,信息系统的安全性日益成为人们关注的焦点。同时,传统信息安全技术的弱点也逐渐暴露出来,它防外不防内的理念已经不能够适应当今的信息安全需求。在此背景下,可信计算应运而生,它旨在从终端系统的底层硬件和软件作起,消除系统结构上的不安全因素,从根本上提高系统的安全性。数据安全一直是信息安全领域的热点问题。作为可信计算四大特性之一的封装存储技术为这一问题的解决提供了一个新的途径。零知识证明是一种高级密码协议,它可以让证明者在向验证者证明某一断言的真实性的同时,不向验证者提供任何与该断言相关的其它信息。特别是在一些身份认证场合,零知识证明可以在不向对方提供任何身份信息的情况下,证明身份的合法性。
　　 本文阐述了可信计算的基本思想、可信平台的结构及功能,并对当前数据封装存储技术的相关研究进行了详细的分析,针对已有方案中属性表示过于简单问题,提出了一种可信平台的属性表示方法,该方法可以较全面地刻划一个可信平台所具有的特征,便于将千差万别的平台配置按属性进行分类,且适于使用零知识证明的思想对其进行属性验证。针对相关研究中的属性界定不明确和不支持远程解封数据问题,文中引入可信的第三方(Trusted Third Party,TTP)负责可信平台属性的界定问题,并详细描述了TTP界定属性的机理。针对可信计算平台的固有缺陷——隐私泄露问题,将零知识证明的思想引入可信平台的属性验证过程,提出了一种第三方参与的基于属性的零知识证明的数据封装存储方法,既可以对封装者和解封者的平台属性进行正确的验证,又可以保证二者属性信息的私密性。
　　 最后对该方法进行了安全性分析,并在TPM-Emulator仿真平台上进行了实验验证,结果表明,该方法在保持已有方案所具有的优势的前提下,封装后数据的增加量较小,能够对数据的远程解封提供支持,且能避免可信平台隐私信息的泄漏。