可信計(jì)算平臺(tái)委托授權(quán)機(jī)制的研究與實(shí)現(xiàn).pdf

1、可信計(jì)算是一種信息系統(tǒng)安全新技術(shù)，提供數(shù)據(jù)完整性、安全存儲(chǔ)、平臺(tái)身份證明等可信功能，從終端入手解決信息安全問(wèn)題。用戶獲取可信功能必須通過(guò)平臺(tái)的授權(quán)認(rèn)證，因此授權(quán)認(rèn)證是實(shí)現(xiàn)平臺(tái)可信的一個(gè)關(guān)鍵環(huán)節(jié)。委托授權(quán)是在角色備份、權(quán)限分離等需求下提出的一種新的授權(quán)方式，某個(gè)角色將其擁有的部分或全部權(quán)限授予另一個(gè)角色，使后者能代表前者執(zhí)行一些功能。
　　 可信計(jì)算組織TCG制訂的TPM規(guī)范支持委托授權(quán)機(jī)制，其中存在委托信息的時(shí)效性不能得到有效驗(yàn)

2、證的問(wèn)題，委托相關(guān)的授權(quán)協(xié)議也存在委托信息替換等安全問(wèn)題。本文針對(duì)這些問(wèn)題，研究委托授權(quán)的相關(guān)機(jī)理，改進(jìn)TCG規(guī)范定義的委托機(jī)制，提高TPM對(duì)委托的可控性以及委托機(jī)制的安全性。所做工作主要有以下三個(gè)方面：
　　 第一，設(shè)計(jì)一個(gè)授權(quán)數(shù)據(jù)及其權(quán)限列表集中管理委托的授權(quán)數(shù)據(jù)和對(duì)應(yīng)的權(quán)限，給出由TPM操作和維護(hù)列表的方法，改變了TCG委托機(jī)制對(duì)委托信息的外部分散存儲(chǔ)方式，可有效驗(yàn)證委托信息的時(shí)效性。
　　 第二，將Merkle哈

3、希樹應(yīng)用于對(duì)委托信息的集中管理，給出由平臺(tái)主機(jī)配合TPM操作和維護(hù)哈希樹的方法，既可解決委托信息的時(shí)效性驗(yàn)證問(wèn)題，又不受限于TPM有限的存儲(chǔ)空間和運(yùn)算能力。
　　 第三，針對(duì)TCG委托相關(guān)授權(quán)協(xié)議中存在的缺乏數(shù)據(jù)機(jī)密性保護(hù)、委托信息替換、交互雙方對(duì)會(huì)話狀態(tài)認(rèn)知不一致等問(wèn)題，通過(guò)引入對(duì)稱加密算法、結(jié)合對(duì)實(shí)體和對(duì)功能的授權(quán)認(rèn)證、建立會(huì)話狀態(tài)的溝通機(jī)制等方法改進(jìn)了委托授權(quán)協(xié)議。
　　 在Linux系統(tǒng)中搭建了實(shí)驗(yàn)環(huán)境，基于TP