ＴＰＭ匿名認證機制的研究與應用

摘要：分析了可信平臺模塊身份認證方案的匿名性機制，在修改直接匿名證言方案的基礎上，提出了一個稱為TOSS的可信在線服務系統設計方案。與傳統在線服務系統相比，該系統是基于用戶等級的，支持匿名訪問、服務分級和時限控制，具有更好的安全性和服務進化功能。

關鍵詞：可信計算； 可信平臺模塊； 身份認證； 匿名； 直接匿名證言； 可信在線服務系統

中圖分類號：TP309

文獻標志碼：A

文章編號：1001-3695（2007）09-0109-03

可信計算組織認為隱私保護是可信系統的一個必要因素，用戶對自己的隱私信息必須擁有選擇和控制權[1]。由于每個可信平臺模塊(trusted platform module，TPM)均有一對能惟一標志自己的RSA背書密鑰(endorsement key，EK)，很容易造成平臺用戶的行為被跟蹤，導致隱私泄露。對于可信計算技術而言，隱私保護是其能夠被用戶廣泛認可和使用的關鍵性因素。

在分布式可信計算系統中，可信計算平臺(trusted computing platform，TCP)之間的認證包括確認對方有一個合法的TPM，確認對方運行著安全的操作系統及軟件。對平臺運行軟件的安全確認由驗證對方提供的平臺配置注冊碼(platform configuration registers，PCR)的值來實現，但前提是提供PCR度量值的對方TPM是一個合法的TPM，這就要求各個TCP所包含的TPM之間能夠實現身份認證。TPM之間身份認證的核心問題是既能實現相互認證又能保持匿名性，即TPM能向認證者證明自己是一個合法的TPM，但又不能讓認證者知道自己具體是哪一個TPM，以防止平臺用戶的行為被跟蹤。目前可信計算組織已發布的方案包括TPM v1.1的Privacy CA方案[2]和TPM v1.2的直接匿名證言(direct anonymous attestation，DAA)方案[3，4]。

1匿名性的實現

TPM用自己惟一的RSA背書密鑰EK對PCR簽名，是目前以數字簽名為基礎的大多數身份認證方案所采用的方法。這種方法雖然很容易實現認證，但完全無法實現匿名，若不同的驗證者相互串通，平臺用戶的行為就可直接通過其EK公鑰跟蹤。讓所有TPM公用同一對簽名密鑰的方法，雖然完全實現了匿名，但整個認證體系過于脆弱，一旦任一TPM被抽取了簽名私鑰，假冒的TPM就無法被鑒別，從而造成整個認證體系崩潰。這兩種方法均不可能成為真正的TPM身份認證方案。

1.1Privacy CA 方案匿名性的實現機制及存在的問題

Privacy CA方案采用一次一密的簽名方式實現認證過程的匿名性。TPM為每次認證產生一對不同的RSA簽名密鑰AIKi，并引入Privacy CA對AIKi公鑰進行證明。這樣，每次認證時TPM只要將用AIKi簽名的PCR和Privacy CA對AIKi的證明發送給驗證者即可。

在Privacy CA方案中，TPM的合法性由Privacy CA負責驗證，由于每次認證時TPM向驗證者出示的AIKi公鑰各不相同，因而驗證者無法分辨對方是否是同一TPM，平臺用戶的行為也就無法被跟蹤。但是，Privacy CA方案也存在著比較明顯的缺點。首先，由于每個TPM的每次認證均要向Privacy CA申請證書，Privacy CA成為影響認證效率的瓶頸，無法適應大范圍或大規模的應用。其次，Privacy CA由誰建立也是一個問題。若Privacy CA與被認證者關聯，則證明的合法性無法得到保證；若Privacy CA與驗證者關聯，由于TPM在申請每個AIKi的證明時均要用到自己的EK公鑰，TPM的匿名性又無法得到保障。

1.2DAA方案匿名性的實現機制

為了解決Privacy CA方案存在的問題，可信計算組織于2003年發布了DAA方案。DAA 方案以CamenischLysyanskaya簽名方案[5，6]和基于離散對數的知識證明為基礎，并使用FiatShamir 啟發式方法[7，8]將知識證明轉換為非交互式知識簽名。在DAA方案中，TPM首先產生一個密鑰，然后向DAA發布者申請關于此密鑰的CamenischLysyanskaya簽名(DAA證明)，以后TPM就用此密鑰對每次認證產生的AIKi公鑰進行知識簽名(DAA簽名)。該DAA簽名也包含了對DAA證明的知識證明。

下面是DAA方案的簡化流程，分析主要側重于匿名性的實現機制，具體的計算和知識證明細節在文獻[4]中有詳細描述。除了確有必要，沒有嚴格區分TPM和嵌入了TPM的主機(host)。事實上，由于TPM只是一個資源非常有限的小芯片，為了減輕TPM的計算負載，DAA方案中的一些操作是在TPM所嵌入的主機上執行的。操作能否在主機上執行的劃分原則是：可在主機上執行的操作不具有代替TPM產生簽名和簽名知識的能力。此外，主機還控制著TPM與外界實體的所有通信，外界實體向TPM輸入的信息或TPM向外界實體輸出的信息都要通過主機轉發，因而主機均能獲悉。

1)DAA發布者計算產生發布者公鑰PKl=(n，g′，g，h，S，Z，R0，R1，γ，Γ，ρ)和一個用于驗證公鑰元素g，h，S，Z，R0，R1正確性的非交互式證明值proof。

2) 發布者公開發布PKl和proof，TPM根據proof值、公鑰元素的位數和γ，Γ，ρ之間的約束關系檢驗發布者公鑰的正確性，并依據發布者的長效公鑰PKl′驗證PKl確實由發布者產生。

3)TPM計算產生密鑰f，將f拆分為(f0，f1)，然后選擇一個隨機整數υ′，計算U和NI，并將EK公鑰、U和NI發送給DAA發布者。其中：U=Rf00Rf11Sυ′mod n；NI=ζfI mod Γ=ζf0+f12lfI mod Γ， lf=104為f0和f1的位數;ζI=(HΓ(1‖bsnI))Γ-1)/ρmod Γ，bsnI為發布者的基名。

注意：主機能獲悉EK公鑰、U和NI，但不知道(f0，f1，v′)。

4)DAA發布者驗證EK公鑰的合法性，用NI檢查該TPM是否在黑名單中(黑名單記錄著所有泄漏了的(f0，f1))，然后通過知識證明確定申請者確實是用(f0，f1，v′)計算了U和NI。由于使用的是知識證明，發布者(也包括主機)并不能獲得(f0，f1，v′)。

5)發布者選擇一個隨機整數v″和一個隨機素數e，計算A(n是一個安全素數乘積，TPM無法自行計算A)，然后將(A，e，v″)發送給TPM。其中：A=[Z/(USV″)]1/emod n。

6)TPM通過知識證明驗證A的正確性，(A，e，v=v′+v″)成為關于(f0，f1)的DAA證明，TPM將(f0，f1，v)作為密鑰存儲起來，不泄漏給包括主機在內的任何其他實體。

7)TPM每次進行身份認證時，首先根據驗證者的基名bsnv計算ζv，然后選擇隨機整數w，r∈{0，1}ln+l。其中：ln=2048為RSA模數n的位數，l=80為控制零知識屬性的安全參數。計算T1、T2、Nv，和c，最后形成的DAA簽名σ包括∑v、T1、T2、Nv、c和一些用于知識證明的參數。TPM將σ、AIKi公鑰和SignAIKi(PCR)發送給驗證者。其中：若bsnv=⊥，ζv∈R〈γ〉；若bsnv≠⊥，ζv=(HΓ(1‖bsnv))(Γ-1)/ρ mod Γ；T1=Ahw mod n；T2=gwhe(g′)r mod n;Nv=ζvf0+f12lf mod Γ。式中：c是關于發布者公鑰、(ζv，T1，T2，Nv)是相關知識證明值、nv和AIKi是公鑰的hash值，nv∈{0，1}lH是驗證者提供的一個用于防范重放攻擊的臨時值；lH=160為用于FiatShamir啟發式方法的hash函數輸出位數。

8)驗證者證明TPM擁有關于(f0，f1)的DAA證明(A，e，v)且用(f0，f1)計算了Nv，用c檢查TPM提供的AIKi公鑰是否與包含在DAA簽名中的AIKi公鑰一致且不是被重放的，用Nv檢查該TPM是否在黑名單中。由于使用的是知識證明，驗證者并不能獲得(f0，f1，v)或(A，e)。關于DAA證明的關鍵性知識證明可簡要表示[4，9]為PK{(f0，f1，v，e，w，ew):Z≡±Te1Rf00Rf11Svh-ew mod n}。

從上述流程分析可以清楚地看到，DAA方案明顯優于Privacy CA方案。在DAA方案中，TPM只需向發布者申請一次DAA證書，以后每次認證均使用該證書，因而發布者不會成為影響效率的瓶頸。在每次認證時，驗證者無法獲得f0、f1、v、A、e，而T1、T2的值又隨著w、r的不同而變化，只要ζv不是一個長期固定值，驗證者就無法獲得能惟一對應被認證者的值，從而實現了匿名性。即使驗證者與發布者關聯，甚至兩者干脆就是同一實體，匿名性仍然可以保持。

2一個可信在線服務系統設計

下面討論一個應用并修改DAA方案的可信在線服務系統TOSS，該系統向繳納不同會費的用戶提供不同等級和時限的在線服務。在TOSS中，用戶被分為nj個等級(如普通會員、專業會員、高級會員、……)，不同等級的用戶能夠獲得相應等級的服務資源。

傳統的在線服務系統通常是基于用戶賬戶的，每個用戶均對應一個惟一的賬戶，不同等級的用戶擁有不同的訪問權限。這種系統的主要缺點是：a)在服務系統中要有一個賬戶文件，文件中為每個用戶保存一個賬戶記錄，每條記錄主要包括賬號、口令、權限等字段。如果賬戶文件泄漏，則整個系統的用戶管理就會完全崩潰。盡管賬戶文件通常是加密的，但這種將系統安全系于一點的集中式管理仍具有較大風險。b)用戶通過賬號和口令登錄系統。這種方式安全性不高，口令本身比較容易被猜測或泄露，登錄信息被截取后容易遭到重放攻擊，用戶還能將自己的賬戶借給其他人共用。c)不能提供匿名訪問。用戶對服務資源的訪問均能被記錄和跟蹤，用戶隱私無法得到有效保護。

與傳統的在線服務系統不同，TOSS是基于用戶等級的。在TOSS中，有一個付費等級管理中心、一個DAA發布者和一組資源服務器。發布者為每個用戶等級發布一組發布者公鑰，用戶依據付費等級可獲得相應的DAA證書。資源服務器作為DAA驗證者認證用戶的身份、等級和時限，允許用戶在有效時限內獲得對應于其等級的服務資源。

2.1TOSS關于用戶等級的基本處理流程

1)付費等級管理中心產生一對RSA簽名密鑰（GU，GR），用戶可獲得GU(如通過X.509身份證書)。用戶按標準繳納會費并提供自己的EK公鑰，付費等級管理中心將用戶等級值j(1≤j≤nj)、時限值p和用戶等級證明SG發送給用戶。其中：SG=SignGR(H(EK‖j‖p))。

2)用戶用GU解簽名，并檢驗用戶等級證明中EK公鑰、j和p的正確性。

3)用戶向DAA發布者提供自己的EK公鑰和(j，p，SG)，發布者驗證用戶等級證明的合法性(SG計算正確且p在有效期內)，將對應于等級j的發布者公鑰發送給用戶。

4)用戶TPM產生密鑰(f0，f1)，計算U和NI，向發布者申請DAA證明。

5)發布者驗證EK公鑰的合法性(該EK公鑰不在已泄漏EK私鑰的黑名單中且用戶TPM能夠解密用該EK公鑰加密的數據)，用等級j對應的發布者公鑰驗證U和NI，然后計算A，并將（A，e，v″)發送給用戶。與標準DAA方案略有不同，A中包含時限值p，即A=[Z/(USv″+p）]1/e mod n。

6)用戶訪問資源服務器時，資源服務器作為DAA驗證者對用戶進行身份認證。與標準DAA方案不同，hash值c的計算要包含等級值j和時限值p，DAA簽名σ除了包括ζv、T1、T2、Nv、c和知識證明參數外，也要包括j和p。

7)驗證者用等級j對應的發布者公鑰驗證DAA簽名，并確定p在有效期內，然后給予用戶相應的訪問權限。其中：關于DAA證明的關鍵性知識證明可表示為PK{(f0，f1，v，e，w，ew):Z≡±Te1Rf00Rf11Sv+ph-ewmod n}。

2.2安全性分析

1)用戶獲得GU、繳納會費和提供EK公鑰的過程，可通過離線或PKI證書方式進行，其安全性不再討論。

(2)SG是付費等級管理中心的私鑰簽名，攻擊者無法假冒。若攻擊者竄改了(j，p，SG)，則無法通過用戶對H(EK‖j‖p)的正確性檢驗。若攻擊者截獲了(EK公鑰，j，p，SG)，由于沒有EK私鑰，無法通過發布者對EK公鑰的合法性驗證，不能假冒合法用戶騙取DAA證明。若攻擊者截獲了用戶登錄資源服務器的DAA簽名，由于c的計算包含了驗證者提供的臨時值nv，重放攻擊無法通過驗證。

3)用戶申請DAA證明時，若竄改了(j，p，SG)，則無法通過發布者對H(EK‖j‖p)的正確性檢驗；若使用過期的用戶等級證明，則無法通過發布者對p的有效期驗證；若使用其他等級的發布者公鑰，則無法通過發布者對U的驗證。

4)用戶進行身份認證時，若在DAA簽名中使用了虛假的j，則會由于發布者公鑰不同而無法通過資源服務器的驗證；若在DAA簽名中使用了虛假的p，則無法通過關于DAA證明的知識證明。

2.3匿名性分析

與標準DAA方案中所有TPM組成一個匿名組不同，TOSS實現的是一種基于用戶等級和時限的匿名訪問。TOSS根據用戶等級和時限將TPM劃分為nj×np個匿名小組。其中：nj為用戶等級個數，np為劃分的時限個數。用戶在匿名小組內實現了基于DAA的匿名，由于資源服務器知道用戶的等級和時限，知道用戶屬于哪個匿名小組，但無法知道用戶具體是該組的哪個成員。

表面上看，TOSS的匿名強度似乎不如標準DAA方案。但事實上，當一個匿名組的成員數達到一定規模后，成員數就不再成為影響匿名強度的關鍵因素，真正影響匿名強度的主要因素始終是匿名實現機制，而TOSS的匿名實現機制與標準DAA方案是相同的。

TOSS具有根據用戶規模靈活調整匿名小組劃分粒度的能力，可保證每個匿名小組具有匿名強度所要求的規模，而且這種能力非常適合于商業運行模式。當用戶規模不大時，在線服務提供者可在TOSS中提供較少的用戶等級和粗粒度的時限，這樣做的結果既吸引了用戶，也使得每個匿名小組的規模得到了保證。例如在系統運行初期，用戶數很少，所有交費用戶均給予最高用戶等級，所有用戶的時限值也設置為一個固定日期(如一年后某一天)，這時TOSS就只有一個匿名小組，其匿名組的規模與標準DAA方案完全相同；待用戶規模較大后，再適當增加用戶等級，并提供較細粒度的時限。從TOSS的處理流程可以看到，這一過程完全是平滑的，不會對已有用戶造成任何影響。

2.4原型系統功能測試

用Java語言開發了一個輕量級的TOSS，并進行了相關功能測試，對安全性和匿名性進行了驗證。與傳統在線服務系統相比，TOSS具有以下功能特征：

a)拋棄了集中式安全管理模式。用戶付費后，在整個服務期限內只需向DAA發布者申請一次DAA證明，資源服務器只需驗證用戶的DAA簽名，并根據用戶等級給予相應權限。由于DAA簽名具有自證明性，資源服務器無須保存任何與用戶身份有關的信息，解決了傳統在線服務系統中賬戶文件的風險問題。

b)具有更好的安全性。DAA方案具有檢測TPM是否使用被泄漏(f0，f1)的機制，一旦某個用戶TPM的(f0，f1)被發現泄漏，可將該(f0，f1)加入黑名單，該用戶可通過產生新(f0，f1)并重新向發布者申請DAA證明而再次獲得服務。TOSS具有抵抗重放認證信息、竄改用戶等級及使用過期身份的能力。此外，由于DAA方案中TPM不會將(f0，f1，v)泄漏給主機，用戶無法將自己的賬戶借于他人共用。

c)支持匿名訪問、服務分級和期限控制。隨著用戶規模的不斷增加，TOSS具有一定程度的服務進化功能，可提供更多的用戶等級和更加精確的時限，用戶隱私也能得到有效保護，而這一切對已有的用戶來說是完全透明的。

3結束語

本文在修改DAA方案的基礎上，提出了一個可信在線服務系統的設計方案。該系統充分利用了DAA方案的匿名認證機制，擯棄了傳統在線服務系統的集中式安全管理模式，支持匿名訪問、服務分級和期限控制，具有更好的安全性和服務進化功能，非常適合于在線服務系統的商業運行模式。

參考文獻：

［1］Trusted computing group. Trusted computing group design， implementation， and usage principles for TPMbased platforms version 1.0[EB/OL]. (2005). http://www.trustedcomputinggroup.org.

［2］Trusted computing group. Trusted computing platform alliance (TCPA) main specification version 1.1b[EB/OL]. (2001). http://www.trustedcomputinggroup.org.

［3］Trusted computing group. TPM main part 1 design principles specification version 1.2 [EB/OL]. (2003).http://www.trustedcomputinggroup.org， 2003.

［4］BRICKELLE， CAMENISCH J， CHEN L. Direct anonymous attestation[C]//Proc of the 11th ACM Conference on Computer and Communications Security. New York:ACM Press， 2004:132-145

［5］CAMENISCHJ，LYSYANSKAYA A. A signature scheme with efficient protocols[C]//Proc of the 3rd International Conference on Security in Communication Networks. Berlin:SringerVerlag， 2003:268-289.

［6］CAMENISCH J， LYSYANSKAYA A. Efficient nontransferable anonymous multishow credential system with optional anonymity revocation[C]//Advances in CryptologyEUROCRYPT 2001， vol2045 of LNCS. Heidelberg:SpringerVerlag， 2001:93-118.

［7］FIAT A， SHAMIR A. How to prove yourself:practical solutions to identification and signatureproblems[C]//Advances in CryptologyCRYPTO ’86， vol263 of LNCS. Berlin:SpringerVerlag， 1987:186-194.

［8］POINTCHEVAL D， STERN J. Security proofs for signature schemes[C]//Advances in CryptologyEUROCRYPT ’96， vol1070 of LNCS. Berlin:SpringerVerlag， 1996:387-398.

［9］CAMENISCH J， STADLER M. Efficient group signature schemes for large groups[C]//Advances in CryptologyCRYPTO’97， vol1296 of LNCS. Berlin：SpringerVerlag， 1997:1-424.

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”