基于ZKV方法的遠(yuǎn)程證明AIK證書生成協(xié)議.pdf

1、計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)潛移默化地改變了人們的生活方式,人們在享受技術(shù)進(jìn)步帶來的便利的同時(shí),逐漸地對遠(yuǎn)程平臺的安全性提出了質(zhì)疑。為保證計(jì)算機(jī)網(wǎng)絡(luò)提供服務(wù)的同時(shí)具有較小的安全風(fēng)險(xiǎn),在使用服務(wù)之前需要證明遠(yuǎn)程平臺的安全性,因此,研究可信計(jì)算平臺的遠(yuǎn)程證明具有理論意義與實(shí)用價(jià)值。
　　 可信計(jì)算正是為解決上述安全問題而產(chǎn)生的。可信技術(shù)是一種以硬件安全模塊為基礎(chǔ)、以提高終端計(jì)算環(huán)境的整體安全性為目的的信息安全技術(shù)。在可信計(jì)算技術(shù)的應(yīng)用中,不僅可以

2、使用它來提高終端計(jì)算環(huán)境的整體安全性,同時(shí)還可以把可信計(jì)算技術(shù)與網(wǎng)絡(luò)鏈接技術(shù)相結(jié)合,從而形成一種稱之為TNC的技術(shù)。TNC技術(shù)可以通過遠(yuǎn)程代碼對平臺計(jì)算環(huán)境進(jìn)行證明,即所謂的遠(yuǎn)程證明。
　　 可信平臺中涉及到五種證書,分別是背書證書、驗(yàn)證證書、平臺證書、確認(rèn)證書和AIK證書。可信計(jì)算組織將遠(yuǎn)程證明分為兩種,分別是針對平臺身份的遠(yuǎn)程證明和針對平臺配置信息的遠(yuǎn)程證明。最初TCG是通過背書證書來證明平臺的身份,可信平臺將平臺信息按AI

3、K公鑰||背書證書||平臺證書||驗(yàn)證證書的格式,以明文形式發(fā)送給可信第三方,這樣就存在背書公鑰、背書證書、平臺證書和驗(yàn)證證書在傳輸?shù)倪^程中有可能被竊取等問題。
　　 隨后TCG提出了隱私CA(Privacy CA)的方法,在這種方法中TPM要完成一次驗(yàn)證活動都必須要一個(gè)在線的可信第三方來參與。這種方法由于需要在線的可信第三方,所以存在兩個(gè)問題,第一,當(dāng)驗(yàn)證活動比較少時(shí),還可以提供足夠的Privacy CA,但隨著驗(yàn)證活動數(shù)量增

4、加和發(fā)生頻率提高,Privacy CA會達(dá)到一定的瓶頸,從而不能滿足TPM的需求;第二,如果驗(yàn)證者與Privacy CA串通的話,驗(yàn)證者就可以很容易確定驗(yàn)證平臺的真實(shí)身份。
　　 2004年,E.Brickell等提出了一項(xiàng)名為DAA的策略,DAA協(xié)議通過多次零知識證明和組簽名來完成驗(yàn)證過程。該協(xié)議有效的克服了基于Privacy CA的匿名驗(yàn)證協(xié)議存在的問題,但是由于該協(xié)議的算法較為復(fù)雜,實(shí)現(xiàn)成本比較高,所以可行性不是很高。

5、r>　　 基于ZKV方法遠(yuǎn)程證明AIK證書生成協(xié)議將零知識證明、Kerberos框架和虛擬vTPM三種技術(shù)結(jié)合起來,針對平臺信息暴露、可信第三方瓶頸和證明復(fù)雜等問題,設(shè)計(jì)了一種新的遠(yuǎn)程證明方法。
　　 在平臺申請AIK證書時(shí),ZKV使用零知識的證明方式,使用Kerberos作為TTP,Kerberos中分為AS和TGS,AS進(jìn)行AIK認(rèn)證,分工合作減少TTP的負(fù)載,vTPM架構(gòu)作為平臺的體系結(jié)構(gòu),虛擬技術(shù)實(shí)現(xiàn)按功能模塊的安全隔