一种基于可信平台模块远程证实设计和实现.docVIP

一种基于可信平台模块的远程证实的设计和实现 　　摘 要：在分布式计算中，一个重要的问题是如何验证远程计算机系统的状态。以可信计算联盟(Trusted Computing Group)的可信平台模块为基础，提出一种安全验证远程计算机系统状态的方法，并在Windows系统上实现。通过该远程证实系统，远程的挑战者能够获得证实系统（被验证的系统）运行时的状态。 　　关键词：远程证实； 安全芯片； 可信平台模块; 可信计算 　　中图分类号：TP309文献标志码：A 　　文章编号：1001-3695(2007)06-0127-02 　　 　　0 引言?? 　　在分布式计算环境中，一个基础问题是如何验证一个远程计算机系统的状态，以便能够相信它按预期的方式运行。人们不能信任程序，因为它可以被窜改；同样的原因也不能信任操作系统。这是一个安全根问题［1］。?? 　　Rick Kennel和Leah H.Jamieson通过让证实系统运行特定的验证程序，该程序采集证实系统上与平台相关的特性，使其不能被有效地模拟，得出证实系统的真实性［2］，但他们的方法没有验证证实平台上的软件状态。CMU大学Arvind Seshadri实现了验证嵌入设备的方法［3］，他们让嵌入设备运行特定的验证程序，该程序经过优化而不能被恶意地修改而不被发觉，通过验证程序采集的信息，验证嵌入式设备的状态。上述方法没有使用额外的硬件，但不适合PC平台。IBM的Reiner Sialer等基于TCG规范在Linux平台下实现了平台的完整性测量［4］。 　　可信计算组织（TCG）定义了一套标准［5］，描述怎样取得系统的完整性测量值以及将测量值保存到TPM(Trusted Platform Module, 也称安全芯片)中的方法：当系统上电后，系统将控制权交给不变根(Boot Block)，这个不变根计算BIOS的Hash值，用TPM保护计算后的Hash值作为BIOS的度量值。这个测量过程反复进行，直到OS启动。不过TCG定义的可信启动过程仅到Boot Loader。笔者在TCG标准之上，使用安全芯片，实现一种让远程挑战者验证系统运行状态的方案。?? 　　 　　1 问题定义、假设和威胁模型?? 　　本文的目标是让远程实体（挑战者）能够验证在另一个系统上的程序（证实系统）的完整性。具体采用文件内容的Hash值表示文件的完整性值。对文件内容做Hash，并用Hash值验证文件没有被窜改。这是一种简单、有效的方法。 　　1.1 完整性背景?? 　　系统的完整性测量不是一个新问题。Arbaugh［1］描述了一个安全启动操作系统的架构，在这种方式下只有可信系统能够启动。Outgoing authentication［6］允许证实密码协处理器中的软件。这两种方法都对客户端环境要求太严格，前者只能启动完全可信的组件，后者一次只能在密码协处理器中实现一个应用。?? 　　随后的研究集中在使用附加的硬件评估软件的完整性。Hollingworth等人研究了独立审计者(Independent auditors)［7］；Dyer等人［8］和Molina等人［9］建议在主板上使用第二块CPU监视(monitoring)和对OS控制。Dyer等人应用安全协处理器保护和监视客户端系统和它的网络访问。Zhang等人［10］扩展这些思想，使用安全协处理器监视客户系统内核的完整性。Molina等人研究了把安全协处理器作为一个独立的审计者，它监视主机操作系统的完整性。?? 　　最近的研究集中在以安全的方式度量系统的完整性，并能够让远程对方验证，称为认证启动(Authenticated boot)。NGSCB［11,12］依赖特殊的硬件来区分标准操作系统和可信系统。Garfikel等人［13］建立一个可信的虚拟机。虚拟机监视器向远方认证运行在虚拟机上的软件。但以上的解决方法如果应用在PC上，就会既昂贵又要求太严。 　　1.2 假定和威胁模型?? 　　笔者假定代码的测量足够描述它的行为。代码改变能够反映在测量中，并且能够在验证中加以考虑。内核代码加载和卸载改变也是如此。基于恶意的DMA传输的内核改变不予考虑，不过配置DMA的代码被测量和评估。同时假定证实系统有一个有效的证书，它绑定证实系统的身份公钥AIKpub。测量数据没有机密性要求，因此不假定测量数据是机密的。最后，完整性测量值的解释依赖挑战者。?? 　　 　　2 远程证实构架?? 　　本文基于安全芯片的完远程证实构架（图1）由测量机制、完整性挑战机制和完整性验证机制三部分组成。测量代理、证实代理和安全芯片安装在证实系统上。?? 　　(1)证实系统上的测量机制。决定测量什么、什么时候测量和怎样安全地维护测量值。?? 　　(2)完整性