用户属性在加强远程证明安全中的研究

摘要

近些年来，伴随着云计算、大数据、移动互联网和无线通讯技术的大力发展，计算机在公共服务如金融、政府、教育等领域的应用也越来越普遍，与此同时计算机平台的安全性也遭遇到了最大程度的挑战。个人计算机和服务器端面临的安全问题日益严重，传统的安全保护措施如防火墙、杀毒软件、入侵检测等逐渐显的捉襟见肘，同时这些安全的保护措施更多的是在软件应用层进行保护，而现在变异的一些病毒、木马等可以通过硬件来对计算机进行感染。如在开机之前就通过硬件把计算机感染了，即软件应用层的保护还没有形成，计算机已经被感染了。所以如何有效的保证用户和平台的安全性成为了一个急需解决的问题，可信计算的出现为安全性问题的解决带来了全新的方案。
　　可信计算是通过为计算机平台配置具有安全保护的可信平台模块TPM(Trusted Platform Module)作为平台检测特性的硬件，把TCG的软件栈TSS（TCG Software Stack）作为为上层应用提供访问接口的软件系统，通过TPM与TSS共同搭建起软硬件相结合的可信环境。在可信计算的环境下，它工作的基本过程是:在计算机系统中，首先构建一个信任根，从此信任根开始，经过硬件平台、到操作系统、进而再到应用，一级度量一级，一级信任一级，这样一步一步在整个计算机系统中建立起信任，信任链的存在为整个计算机系统的可信性提供了保证[1-2]。
　　远程证明技术是可信计算非常重要的应用，通过远程证明技术能够验证远程计算环境是否具备可信性，并且能够有效地检测远程平台安全配置，防范潜在的平台安全威胁，为各种高安全级别网络应用提供有效支撑，为在网络环境中搭建信任关系提供可靠依据。本文针对现有的远程证明方案中安全性弱、不能反映用户特征的问题，提出了一种基于用户属性的远程证明方案。该方案在证据的可信生成与可信验证中用到了基于口令的加密（Password Based Encryption），利用可信平台模块模拟器（TPM Emulator）、Java TCG Software Stack来构建实验平台。
　　对基于用户属性的远程证明与身份认证、访问控制进行了综合比较，并且对其安全性做了分析，最后通过实验实现基于用户属性的远程证明方案，验证了方案的可行性和合理性。实验结果表明基于用户属性的远程证明方案是可行的，相对于AES加密的远程证明方案，一方面提高了证据的可信性与传输的安全性，另一方面能够反映出用户特征。相对于基于属性的远程证明方案，提高了验证效率。

目录

声明

摘要

第一章 绪论

1．1 引言

1．2 研究背景

1．3 课题研究内容

1．4 论文结构与主要内容

第二章 可信计算

2．1 可信计算产生的背景与概念

2．1．1 国外可信计算发展状况

2．1．2 国内可信计算发展状况

2．2 可信计算平台架构

2．2．1 可信计算平台模块TPM

2．2．2 可信计算软件栈TSS

2．3 可信计算平台的核心机制

2．3．1 可信计算度量机制

2．3．2 可信计算安全存储机制

2．3．3 可信计算身份证明机制

2．4 本章小结

第三章 可信计算平台的远程证明

3．1 远程证明

3．1．1 远程证明概述

3．1．2 远程证明的核心机制

3．2 远程证明方案

3．2．1 基于二进制的远程证明方案

3．2．2 基于属性的远程证明方案

3．3 远程证明所面临的问题

3．4 本章总结

第四章 基于用户属性的远程证明

4．1 用户属性

4．1．1 信任物体型的用户属性

4．1．2 生物特征型的用户属性

4．2 PBE算法

4．2．1 CBC模式与算法填充方案

4．2．2 PBE算法加解密过程

4．3 基于用户属性远程证明方案的设计

4．4 用户属性远程证明与访问控制

4．4．1 身份认证

4．4．2 访问控制

4．4．3 用户属性远程证明与访问控制的区别与联系

4．5 用户属性远程证明方案安全性研究

4．6 本章小结

第五章 原型实验

5．1 实验环境搭建

5．1．1 TM Emulator介绍

5．1．2 TPM Emulator安装与调试

5．1．3 JTSS的安装与调试

5．1．4 测试

5．2 整体实验设计与流程

5．2．1 实验设计的目标与代码的实现

5．2．2 实验流程的设计

5．3 实验结果

5．4 本章小结

第六章 总结与展望

参考文献

致谢

攻读学位期间发表的学术论文