可信計算平臺委托授權(quán)機制的研究與實現(xiàn).pdf

1、可信計算是一種信息系統(tǒng)安全新技術(shù)，提供數(shù)據(jù)完整性、安全存儲、平臺身份證明等可信功能，從終端入手解決信息安全問題。用戶獲取可信功能必須通過平臺的授權(quán)認證，因此授權(quán)認證是實現(xiàn)平臺可信的一個關(guān)鍵環(huán)節(jié)。委托授權(quán)是在角色備份、權(quán)限分離等需求下提出的一種新的授權(quán)方式，某個角色將其擁有的部分或全部權(quán)限授予另一個角色，使后者能代表前者執(zhí)行一些功能。
　　 可信計算組織TCG制訂的TPM規(guī)范支持委托授權(quán)機制，其中存在委托信息的時效性不能得到有效驗

2、證的問題，委托相關(guān)的授權(quán)協(xié)議也存在委托信息替換等安全問題。本文針對這些問題，研究委托授權(quán)的相關(guān)機理，改進TCG規(guī)范定義的委托機制，提高TPM對委托的可控性以及委托機制的安全性。所做工作主要有以下三個方面：
　　 第一，設(shè)計一個授權(quán)數(shù)據(jù)及其權(quán)限列表集中管理委托的授權(quán)數(shù)據(jù)和對應(yīng)的權(quán)限，給出由TPM操作和維護列表的方法，改變了TCG委托機制對委托信息的外部分散存儲方式，可有效驗證委托信息的時效性。
　　 第二，將Merkle哈

3、希樹應(yīng)用于對委托信息的集中管理，給出由平臺主機配合TPM操作和維護哈希樹的方法，既可解決委托信息的時效性驗證問題，又不受限于TPM有限的存儲空間和運算能力。
　　 第三，針對TCG委托相關(guān)授權(quán)協(xié)議中存在的缺乏數(shù)據(jù)機密性保護、委托信息替換、交互雙方對會話狀態(tài)認知不一致等問題，通過引入對稱加密算法、結(jié)合對實體和對功能的授權(quán)認證、建立會話狀態(tài)的溝通機制等方法改進了委托授權(quán)協(xié)議。
　　 在Linux系統(tǒng)中搭建了實驗環(huán)境，基于TP