一種遠程證明協議轉換模型及通用安全協議研究

摘 要:在對現有的遠程證明技術進行分析研究的基礎上，提出了一種遠程證明證據傳輸的通用方法，該方法利用協議轉換代理模塊將不同的證明信息通過對偶的方式轉換為通用的證明信息，并且利用所設計的通信協議進行安全傳輸。該方法解決了遠程證明中不同證明信息傳輸的通用性問題，并且保障了遠程證明信息在傳輸過程中的機密性和完整性。

關鍵詞:遠程證明; 可信網絡; 通信協議; 可信計算

中圖分類號:TP309文獻標志碼:A

文章編號:1001-3695(2010)06-2309-04

doi:10.3969/j.issn.10013695.2010.06.090

New protocol transfer module for remote attestation and genericsecure communication protocol

SHI Guangyuan， GONG Bei， FENG Yumeng

(College of Computer Sciences， Beijing University of Technology， Beijing 100124， China)

Abstract:Through research the existing technologies of remote attestation， this paper provided a new method for remote attestation to ensure the secure transmission of the attestation’s information. The method took advantage of a protocol transfer module to map the different attestation information into the generic information， and designed a common communication protocol to guarantee the confidentiality and integrity of remote attestation’s information in the course of transmission.

Key words:remote attestation; trusted network; communication protocol; trusted computing

0 引言

隨著互聯網應用的迅速普及，人們的工作生活都與之緊密聯系。然而，由于互聯網具有開放性、互聯性等特征，致使網絡中存在很多不安全因素，如蠕蟲病毒、木馬軟件等對終端的肆意攻擊，都嚴重地威脅了計算機的安全。

在這種情況下，如何證明在網絡環境中相互通信的終端安全可信，已經成為計算機安全領域中的研究熱點。可信計算技術正在努力從根本上解決計算機的安全問題，對安全領域中的很多關鍵問題都展開了深入研究。其中，可信遠程證明就是其中一個非常重要的部分。可信遠程證明是證明方通過向遠端的質詢方提供可信的證據來證明一個可信的安全環境是否存在。現階段對于遠程證明的研究工作主要有:Sadeghi等人[1]通過計算平臺提供的安全屬性來證明該平臺是否可信;Haldar等人[2]通過利用可信虛擬機分析程序語義，利用語義來完成遠程證明;Sailer等人[3]在TCG的規范之上提出了完整性度量體系，通過對實體完整性的度量來證明平臺可信; Li Xiaoyong等人[4]通過分析系統行為來判斷平臺是否可信。但是，上述這些證明方案主要關注的是證明框架和方法的研究，由于遠程證明是在多個平臺之間進行相互操作，需要有一套通用的可信網絡框架和通信協議來保障這些證明信息能夠安全準確地傳輸，而不會因為被有意竄改從而導致證明結果失效。

針對上述問題，本文通過研究各種遠程證明方法，分析出它們之間的共性和區別，并結合可信網絡連接架構，提出了一套通用的可信遠程證明網絡模型框架，并且設計了一套遠程證明通用協議(attestation generic protocol，AGP)，保障了證明信息在傳輸過程中的機密性和完整性。本文對現有的證明機制進行了分析，提出了可信網絡證明模型，并給出了通用的證明通信協議。

1 可信遠程證明機制

可信遠程證明是證明方通過向遠端的質詢方提供可信的證據來證明一個可信的安全環境是否存在。具體地說，當平臺A上的用戶請求平臺B提供服務時，平臺B(稱為質詢方)在提供授權訪問之前，除了傳統的身份和權限驗證之外，還需要驗證平臺A(稱為證明方)的狀態是否可信。可信遠程證明典型的場景如圖1所示。

可信計算組織(TCG)在已經公布的硬件組件的規范[5]中提出了可信平臺模塊TPM的概念，并且TPM中存儲的平臺配置信息通過利用一個加密的安全哈希函數SHA1[6]來進行遠程證明。TCG的遠程證明機制是質詢方要求遠程計算平臺提交相關的證明信息，這些信息包括事件記錄日志和對應的PCR(platform configuration register)寄存器值。每個PCR可以定義為只與計算平臺的某一類系統特定事件狀態相關。證明方把PCR進行簽名，然后將簽名值、事件記錄以及平臺證書等內容報告給質詢方;質詢方對內容進行驗證，確定遠程計算平臺身份及報告內容的真實性。

針對TCG遠程證明內容不足的局限性又分別提出了基于屬性和基于系統行為的證明方式。基于屬性的證明方式是把系統的配置信息映射為與系統安全相關的安全屬性，然后質詢方通過驗證證明方是否具有這些安全屬性來判斷其是否可信。在文獻[7]中利用一種基于屬性的協議來完成盲驗證和安全屬性及配置信息映射的撤銷功能。

基于系統行為的計算平臺可信證明方法是對證明平臺中所發生的與平臺狀態可信有關的系統行為加以度量和驗證，通過行為分析來判斷證明平臺的狀態是否可信。質詢方根據安全策略來實現對系統行為的判斷，從而達到對平臺狀態是否可信進行證明。

在上述各種證明方式中，它們既存在各自的優點，同時也有自己的不足，各種證明方法參看表1。TCG的證明方法比較簡單，只是對平臺證書和PCR值進行驗證，這種方式包含的信息量有限，因此證明的效果存在一定限制，但是這種證明方式的效率比較高，如果對于安全等級要求不高的一般用戶，這種證明的力度就能滿足要求。對于其他兩種證明方式，它們能夠提供比較豐富的證明信息，能夠更加全面準確地對系統進行安全檢查，但是需要把系統配置信息抽象為系統層次的安全屬性，或者需要分析系統行為，所以比較適用于對安全等級要求很高的用戶使用。由此可見，各種證明方法都有自己的適用領域，所以需要一個通用的模型來保障各種證明方法的使用，但是由于證明方提供的證據內容不同，在進行遠程證明的過程中，傳輸的內容也有所不同。另外，傳輸過程中證明信息的安全性也需要保證，這就需要使用一種通用的可信通信框架來保障證明信息的安全傳輸。

表1 證明方法對比

證明機制主要方法證明信息

基于配置信息證明把平臺的可信配置信息發送給質詢方，質詢方通過對該信息進行驗證來判斷平臺是否可信證明平臺的可信配置信息，例如操作系統版本、殺毒軟件版本等

基于二進制證明證明方把所有加載組件進行度量得到二進制的哈希值，把度量結果發送給質詢方對加載組件的度量結果和度量日志

基于安全屬性證明把系統相關的配置信息映射為安全屬性，質詢方通過對安全屬性進行驗證來判斷各種安全屬性證書、完整性證書、多級安全系統證書等

基于軟件語義證明利用可信虛擬機TVM來分析運行軟件的各種行為是否符合安全策略TVM對程序的驗證報告，如驗證程序的類屬性、動態屬性等

基于系統行為證明對證明平臺中所發生的與平臺狀態可信有關的系統行為加以度量和驗證，質詢方根據安全策略來實現對系統行為的判斷，從而達到對平臺狀態是否可信進行證明與平臺可信狀態相關的系統行為事件記錄

2 TCG的可信網絡架構

TCG提出的可信網絡連接(TNC)架構[8]用于解決在網絡環境下的終端安全通信問題，并且通過對終端進行完整性驗證，來評估終端對于要訪問網絡的適用性，以便確保只有合法并且自身安全的終端才能夠接入到網絡。TNC是TCG提出的一種新的概念模型，同時它也是一個開放的通用架構，而且TNC不依賴于具體的技術或者模式。TNC架構如圖2所示。

TNC架構采用服務器/客戶端模式，從縱向考慮，TNC包含三個邏輯實體，即訪問請求者(access requestor，AR)、策略執行點(policy enforcement point，PEP)和策略決策點(policy decision point，PDP)。訪問請求者是請求訪問受保護網絡的邏輯實體。策略執行點是執行PDP的訪問授權決策的網絡實體。策略決策點是根據特定的網絡訪問策略檢查訪問請求者的訪問認證，決定是否授權訪問的網絡實體。從橫向考慮，TNC又分為完整性度量層、完整性評價層和網絡訪問層。

TCG的可信網絡架構TNC主要是針對于平臺完整性證明的支持，也就是對于TCG的遠程證明方式的支持，并沒有考慮到后來出現的基于安全屬性和系統行為的遠程證明方式的支持。但TNC具有很好的擴展性，并且利用TNC所提供的服務能夠建立起可信連接，所以可以把TNC網絡架構作為一種基礎功能模塊來使用。

3 可信遠程證明網絡模型及通信協議

3.1 可信遠程證明網絡模型

可信遠程證明網絡模型(trusted remote attestation network model，TRANM)整體架構如圖3所示。在證明方中，證明度測模塊用來度量計算平臺的可信性，該模塊實現方法可以是表1中所列舉的證明方法中所采取的度量方法，度量結果將存放在證據數據庫中，以便供證明信息采集器(attestation information collector，AIC)所使用。AIC將獲得的證據文件傳遞給協議轉換代理(protocol transfer proxy，PTP)進行證據規范化處理，然后通過通用協議進行傳輸。在驗證端，PTP將統一證據傳遞給證明信息分析器(attestation information verifier，AIV)進行證據分類處理，把不同證據提供給證明驗證模塊進行平臺可信性證明。關于證明度測模塊和證明驗證模塊的設計實現可以參考文獻[1~4]，協議轉換代理PTP的設計是本文闡述的要點。

3.2 PTP模塊描述

在可信遠程證明網絡模型中，協議轉換代理PTP模塊主要負責把通過不同證明方法所得到的證據進行規范化處理，轉換成能夠被證明通用協議(AGP)所使用的格式，使得能夠按照所設計的證明通用協議進行傳輸。PTP具有的功能包括:a)在證明方負責把不同的證明信息轉換成統一證明信息;b)在質詢方負責把接收到的統一證明信息轉換為對應的證明信息。

首先利用AIC收集證明證據信息，AIC收集證據的相關信息，不單單包含證據文件本身(證據材料)，還要包括證據文件類型、證據文件數量、證據文件大小等內容。

在本文第1章中，已經對現有的證明方法進行了分析對比，并且通過表1給出了各種證據文件的主要內容。因為AIC并不需要分析證據文件的內容，所以AIC主要是能夠獲得證據文件，然后將證明證據信息傳遞給PTP模塊進行規范化處理。PTP模塊在接收到證據文件后，使用對偶的方法，把證明證據映射為通用通信協議中的信息，PTP流程如圖4所示。

定義1 設集合T為證明信息集合，T={A={a1，a2，a3…}，B={ b1，b2，b3…}}。其中:子集合A是證據信息中證據文件類型集合，集合中的元素代表了一種文件類型，如a1代表TCG證明類型，a2代表基于屬性證明類型等;子集合B是證據材料集合，每個元素代表不同證明材料，如屬性證書、各種度量值和安全日志等。

定義2 設ξ表示為對偶后的通用證明信息，ξ由證明信息類型AT、證明材料AI以及一些分析信息組成。

PTP轉換機制的形式化描述:利用信息對偶的方法把原有證明方法所獲得的證據轉換為通用的證明信息。

假設通過使用證明方法度量系統平臺而得到的證據信息集合是poof，通用通信協議中的收發信息集合是m，給定一個信息對偶集合K ，

K = {〈a，m〉|ai∈poof ，mi∈m ，i = 1，2，…}

令P={ a1 ，a2 ，…，ak }poof ，M={ m1 ，m2 ，…，mk }m，K確定了從集合P到M的一個映射φ，即φ(ai) = mi 。

φ(ai)=mi=AT，ai∈Ami=AI，ai∈B…

對偶集中每一個項表示原始證明信息和轉換后統一信息的集合。當ai屬于證明類型A集合時，它被映射為AT，AT∈ξ;同樣，當ai屬于證明材料B集合時，它被映射為AI，AI∈ξ。不同的證明方式中利用AIC收集到平臺組件的度量值和度量日志信息等證明信息，然后傳遞給PTP進行對偶化處理得到統一的證明信息。其示例如圖5所示。

當證明平臺要把證明信息發送給質詢方時，首先要通過PTP將證明信息t∈T對偶成為統一證明信息，用函數transform()表示轉換過程。在轉換為ξ時，需要加入證明類型信息ai，ai∈A，用于在解析階段來判斷證明信息的類型，然后把證明材料bi，bi∈B進行映射，證明信息的轉換(圖6)過程如下:

ξ=transform(ai，bi)，ai∈A，bi∈B

例如，TCG的證明方式是把組件度量值PCR進行簽名sign(PCR)，然后將簽名值、事件記錄eventLog以及平臺證書cert信息進行重組，因此證明材料bi={sign(PCR)， eventLog， cert};將ai映射為ξ中的AT，再bi映射為AI，并且在接收類型中表明是證明方接受還是質詢方接收，然后將ξ封裝傳遞給安全協議，并發送給質詢方。當質詢方接收到證明信息后，通過PTP將證明信息ξ根據類型信息ai，ai∈A，將證明信息解析為證明材料bi，bi∈B，然后再將解析完后的證明交給其對應的證明方法進行驗證，解析過程如下:

bi=reslove(ξ，ai)，ai∈A，bi∈B

另外，因為存在不同等級的安全需求，平臺可能需要提供多種遠程證明方式，質詢方可能根據不同的安全需求來選擇不同的證明方式，PTP另外一個重要功能就是協商證明方式的功能。此外，如果用戶直接進行證明，則采用平臺之間的默認證明方式。

上述內容是對可信網絡擴展模塊的介紹，其中重點介紹了協議轉換代理模塊PTP的作用，并且詳細描述了PTP中兩個重要的協議轉換功能，并利用TCG證明方式進行舉例說明。

3.3 通信協議

可信網絡擴展模型中添加了協議轉換代理模塊PTP，通過PTP來完成不同證明信息的統一轉換工作，因此對遠程證明的通信協議也需要進行相應的擴展。在進行遠程證明時，首先證明平臺需要搜集證明信息，由于證明方式存在差別，證明信息也不相同。然后，證明方向質詢方進行身份證明，證明通過后把證明信息發送給質詢方，質詢方按照對應的證明方式來驗證證明信息，如果驗證為平臺可信則為證明方提供服務并進行授權訪問，否則可以拒絕服務或者進行其他處理。計算平臺可信遠程證明是在網絡之間進行通信工作時非常重要的準備階段，它為后繼的安全工作提供了保障。通用協議協調關系如圖7所示。

下面以平臺A和B的遠程證明通信過程為例，給出通信協議的具體流程(平臺A為證明方，平臺B為質詢方):

a)當平臺A發送服務請求后，首先進行身份證明，證明它是一個合法的平臺。本方法中增加一個環的管理員，他與群管理員不同的是環管理員只驗證成員的合法性，但是沒有打開簽名的權限從而保證了簽名的匿名性。選定一個階為素數p的群G，以及整環Zp，G是以g為生成元的乘法循環群，定義兩個散列函數Hid:{0，1}lid→G，Hm:{0，1}lm→Zp(Hid和Hm均為無碰撞的強單向函數)，選擇g1=gx，x∈Zp，g2∈G，定義e:G×G→GT為從G到GT的雙線性映射，整個系統的公開參數為(G，GT，e，p，g，g1，g2，Hid，Hm)。

b)加入環成員。環簽名的成員首先不能是無賴的證明者，所以首先進行驗證，不是無賴的證明者才可以加入到環中。每一個證明者IDi做γi=Hid(IDi)，生成一個序列R={γ1，γ2，…，γn}，證明者向環管理員證明自己的合法性同時生成自己的簽名密鑰。

(a)選擇x1，x2∈Zp，v1=g1x1，v2=g2x2，選擇ra，rb∈Zp，環管理者選擇nc∈Zp，使用驗證者的公鑰加密之后發送給證明者。

(b)證明者用私有密鑰解密nc，選擇ra，rb∈Zp，y1，y2∈Zp，計算

Ra=gra1，Rb=grb2

s1=ra-ncy1，s2=rb-ncy2，v3=gγi

σ′1=Hm(g1‖Ra‖v3‖g1y1‖nc)

σ′2=Hm(g2‖Rb‖v3‖gy22‖nc)

然后證明者將計算結果(v1，v2，s1，s2，Ra，Rb，v3，σ′1，σ′2)發送給環管理員。

(c)環管理員首先驗證v3是否與其無賴證明者列表中的某個值匹配，如果匹配則拒絕證明者的加入申請，否則驗證

σ′1=Hm(g1‖Ra‖v3‖gs11Ranc‖nc)

σ′2=Hm(g2‖Rb‖v3‖gs22Rncb‖nc)

是否成立，如果成立則說明證明者是合法的證明者。

(d)環管理員使用證明者公開密鑰加密一個v′∈Zp給申請加入的環成員。

c)簽名過程如下:

(a)當通過環管理員驗證之后，申請加入的證明者成為第i個環成員，其在收到v′之后計算v=v′+x1+x2。

(b)對消息M進行簽名，計算m=Hm(M)，環成員計算其私鑰di=(gx2γvi，gv)。

(c)選擇r1，r2，…，rn∈Zp，計算

σ=((gx2γv+mi∏ni=1γrii)，gr1，gr2，…，gv+mgri，…，grn)

記為σ=(S， f1， f2， …， fn)，作為環成員i的簽名。

d)驗證過程。驗證者根據σ=(S， f1， f2， …， fn)，首先計算m=Hm(M)，然后驗證者驗證等式e(S，g)=e(g1，g2)∏ni=1e(γi，fi)是否成立，如果成立則接收證明者的身份證明，不成立則認為證明者非法。

e)證明信息傳輸。完成身份證明之后，平臺A收到B的證明請求后，首先利用平臺A的密鑰Ska解密請求包，并且從平臺B的公鑰證書certB中提取出公鑰PKb，PTP根據平臺B的證明要求來采集具體的證明信息bi，bi∈B。PTP可以根據ATList來決定所使用的證明方式。平臺B將采集的證明信息通過PTP進行轉換，并得到統一證明信息ξ;然后，利用單項散列函數計算得出ξ的哈希，表示為H(ξ)，平臺A把收集到的證明信息ξ，及其公鑰證書發送給平臺B。邏輯表達方式如下:

PA→PB:EPkb{certA，sig(ξ，SKa)，H(ξ)，T+1}

其中:sig(ξ，SKa)是用平臺密鑰簽名的證明信息。平臺B收到A的證明響應包后，首先使用自己的密鑰SKb解包，提取出A的公鑰證書certA和證明信息的簽名信息，然后利用A的公鑰提取出證明信息，并且通過H(ξ)驗證證明信息是否被竄改過，再把統一證明信息ξ交給PTP進行解析成為具體的證明信息bi，bi∈B，將bi交給平臺B驗證;平臺B根據證明信息驗證通過后，就允許A通過授權訪問B的資源。

3.4 協議安全性分析

1)正確性

根據雙線性群的性質，可以推導出如下的等式成立:

e(S，g)=e(gx2γv+mi∏ni=1γrii，g)=e(gx2，g)×e(γ1，g)r1×…×e(γi，g)v+m+ri…e(γn，g)rn

而根據雙線性映射的性質，可以得

e(gx2，g)×e(γ1，g)r1×…×e(γi，g)v+m+ri…e(γn，g)rn=e(g1，g2)∏ni=1e(γi，fi)

從而得出簽名和驗證方案是正確的。

2)無條件匿名性

首先需要解釋證明者申請成為環成員過程中是匿名的。因為γi=Hid(IDi)，所以可信網絡連接終端向環管理員認證階段，匿名性取決于Hid:{0，1}lid→G的強度。由于Hid:{0，1}lid→G是強單向函數，設A′(Hid(IDi))為求逆算法，那么就存在如下兩種情形:

a)當A′(Hid(IDi))為隨機猜測算法時，A′(Hid(IDi))輸出長度n的序列，A′(Hid(IDi))求逆成功的概率等于在已知Hid(IDi)的情形下使得

Hid(A′(Hid(IDi)))=Hid(IDi)

成立的概率。由于A′(Hid(IDi))，IDi是在{0，1}*上獨立分布的序列，故

Pr[Hid(A′(Hid(IDi)))=Hid(IDi)]=∑yPr[f(Un)=y]2≥2-n

b)設A′(Hid(IDi))是固定輸出算法，對于給定γi=Hid(IDi)，A′(Hid(IDi))都輸出固定的序列，因此固定輸出算法A′的求逆概率為

Pr[Hid(A′(Hid(IDi)))=Hid(IDi)]=|H-1(A′(Hid(IDi))|/2-n≥2-n

綜上所述，單向函數求逆的概率最差也是2-n，所以對于強單向函數γi=Hid(IDi)的求逆概率為

2-n≤Pr[A′(f(Un))∈f-1(f(Un))]<1/p(n)。

由上述分析可以得γi=Hid(IDi)對求逆的概率為2-n≤Pr[A′(Hid(IDi))]<1/p(n)，如果想知道證明者的身份信息，幾乎等同于暴力破解，因此證明者在申請成為環成員過程中是匿名的。

證明者在簽名過程中是匿名的。因為在σ=(S， f1， f2， …， fn)中， f1， f2， …， fn為gr1，gr2，…，gv+mgri，…，grn并沒有透露簽名者的任何信息，而在S=gx2γv+mi∏ni=1γrii中，v=v′+x1+x2，x1，x2是隨機選擇，而v′環管理員發送給環成員的r1，r2，…，rn∈Zp均為隨機選擇的，所以在生成的簽名σ=(S， f1， f2， …， fn)中，沒有提供簽名者的任何信息，猜解簽名者的信息等同于暴力猜解。故證明者在簽名過程中是匿名的。

3)簽名不可偽造

由于只有合法的環成員才能通過環管理員的驗證，才能收到v′，才可以計算v=v′+x1+x2，進而生成簽名密鑰di=(gx2γvi，gv)。簽名方案是基于DDH假設，所以在多項式時間內從σ=(S， f1， f2， …， fn)簽名中不能得到簽名密鑰的任何信息，從工程角度來看，簽名在有效時間內是不可偽造的。

該通用協議通過協議轉換代理PTP把不同的證明信息轉換成為通用的證明信息，在證明信息傳輸過程中，采用散列算法從證明信息中提取摘要，并用私鑰對該摘要

進行簽名操作后進行加密傳送;接收方通過驗證簽名值可以確認消息是否來自平臺A以及消息是否被修改過，因為如果有竄改行為會使散列值發生變化，從而保證信息傳輸的完整性和機密性。

4 結束語

可信計算技術中的可信遠程證明是當今信息安全領域中的研究熱點，各種證明方法相繼提出，并且各有特點和適用領域。為了確保各種證明方法的證明信息能夠在網絡中安全可靠地傳輸，本文提出了一套可信遠程證明網絡模型，并且設計了通用的通信協議。利用TCG規范中提出的TNC的模型思想，在該模型中添加了協議轉換模塊，利用該模塊完成各種不同證明信息的統一轉換工作，并且使用了數字簽名和完整性驗證等技術來保證證明信息在網絡傳輸過程中的完整性和機密性。

參考文獻:

[1]SADEGHI A R， STUBLE C， et al. Propertybased attestation for computing platforms: caring about properties， not mechanisms[C]//Proc of Workshop on New Security Paradigms. New York: ACM Press，2004:67-77.

[2]HALDAR V， CHANDRA D， FRANZ M. Semantic remote attestation:a virtual machine directed approach to trusted computing[C]//Proc of the 3rd Virtual Machine Research and Technology Symposium. 2005.

[3]SAILER R S R， ZHANG Xiaolan， JAEGER T， et al. Design and implementation of a TCGbased integrity measurement architecture[C]//Proc of the 13th Conference on USENIX Security Symposium. 2004:16-16.

[4]LI Xiaoyong， SHEN Changxiang， ZUO Xiaodong. An efficient attestation for trustworthiness of computing platform[C]//Proc of Intelligent Information Hiding and Multimedia Signal Processing Conference. 2006: 625-630.

[5]Trusted Computing Group. TPM main specification[S]. 2003.

[6] N S Laboratory. Secure hash standard[S]. 1995.

[7]CHEN Liqun， LANDFERMANN R， LOHR H， et al. A protocol for propertybased attestation[C]//Proc of the 1st ACM Workshop on Scalable Trusted Computing. New York:ACM Press，2006:7-16.

[8]Trusted Computing Group. TCG specification architecture overview specification[S]. 2007.