基于TEE的抗量子认证协议研究.pdf

哈尔滨工业大学硕士学位论文

摘要

基于经典密码学的认证协议是信息安全领域的重要组成部分，认证协议包

括身份认证、内容认证等安全认证功能，是保障通信安全与数据安全的关键环

节。而由于量子计算技术的迅速发展，基于现代密码学的认证协议正面临挑战。

同时，随着物联网技术的普及，大量敏感数据存储于物联网IoT设备中，如何

保障其认证抗量子安全性成为学者们的关注热点。本论文将抗量子密码算法引

入认证协议的设计，同时基于可信执行环境（TrustExecutionEnvironment,TEE）

对于认证协议进行设计并优化，最终构建出一套面向IoT设备的抗量子认证协

议QAPT(post-QuantumAuthenticationProtocolbasedonTEE)。主要工作如下：

（1）针对标准认证协议不具备抗量子安全性的问题，本文设计了基于Kyber

和Dilithium算法的抗量子身份认证协议，同时引入QRNG量子随机数对算法

进行改进，强化了协议核心算法的分布特征，提高了算法安全性；设计了基于

SM3与SM4算法的抗量子内容认证协议，并引入密钥更新环节增强密钥安全

性以及抗重放攻击能力。基于上述改进，本文保证了认证协议的抗量子安全性。

（2）针对标准认证协议不具备本地安全性的问题，本文基于TEE技术对

于抗量子认证协议进行了设计与优化；通过分析并优化了认证协议中的压缩算

法参数，在不影响算法安全性的情况下将密文尺寸降为原有的40%，减少了算

法的整体空间占用；同时优化了TEE标准认证模型，将协议可信端的空间占用

降为原来的64%；设计了新的TEE通信机制对认证协议的密钥管理机制进行优

化，简化了调用流程，同时避免了密钥数据在不可信端泄露的风险，增强了密

钥安全性。基于上述改进，本文保证了认证协议的本地安全性。

本文对所设计协议QAPT进行了全面的实验测试。首先对其各项功能进行

完整测试验证了功能实现的正确性。同时，本文进行了QAPT与经典认证算法

的性能对比测试，经对比，QAPT密钥生成、签名认证、密钥协商功能的运行速

率相比经典认证算法均可提升约1个数量级。此外，本文通过模拟本地提权攻

击、篡改攻击、重放攻击对QAPT进行测试，验证了协议的安全性。

综上所述，本文以嵌入式IoT设备为背景，设计了一种基于TEE技术的抗

量子认证协议。根据现有的相关研究，本文是首次将抗量子密码体系与TEE技

术结合进行认证协议设计，并通过完整的实验测试验证了该协议的功能、性能

和安全性，为认证安全领域的研究提供了一种全新的思路和方向。

关键词：抗量子密码；TEE；认证协议；IoT设备

-I-

哈尔滨工业大学硕士学位论文

Abstract

Theauthenticationprotocolsbasedonclassiccryptographyareanimportantpart

ofinformationsecurity.Theclassicauthenticationprotocols,includingfunctionssuch

asidentityauthenticationandcontentauthentication,arecrucialforensuring

communicationanddatasecurity.Withtherapiddevelopmentofquantumcomputers

andthesubsequentintroductionofquantumalgorithms,authenticationprotocols

basedonclassicalcryptographyarefacingchallenges.Meanwhile,withthe

widespread