可信计算中远程自动匿名证明的研究

《计算机学报》2009年7期本文得到国家863项目(2007AA01Z410,2007AA01Z177)，973项目(.2007CB307101)，长江学者创新团队项目（IRT0707）,北京交通大学校基金（BJTUK08J0030）资助。刘吉强，男，1973年出生，博士，副教授，研究方向为：可信计算，应用密码学，安全协议等。jqliu@bjtu.edu.cn。赵佳，女，1980年出生，博士，讲师，研究方向为可信计算。赵勇，男，1980年出生，博士，讲师，研究方向为可信计算。可信计算中远程自动匿名证明的研究刘吉强1)赵佳1)赵勇1),2)1)(北京交通大学计算机与信息技术学院北京100044)2)(北京工业大学计算机学院北京100022)摘要：远程证明是可信计算的一个重要特征，目的是证明远程平台的身份或配置信息是否可信。常用的二进制证明方法不仅暴露了本地平台的配置信息，而且在现实情况中很难处理平台多样性问题。本文提出的可信计算中远程自动匿名证明方案利用环签名实现直接匿名证明，隐藏了平台的身份信息，以属性证书代替平台配置信息，可以有效防止私有信息的暴露，同时兼顾到对系统的升级和备份的可信评测。证明协议避免使用零知识证明，分析结果显示，具有较高的实现效率。关键字可信计算；远程证明；自动协商；属性证书；环签名中图法分类号TP309StudyofRemoteAutomatedAnonymousAttestationinTrustedComputingLIUJiqiang1)ZHAOJia1)ZHAOYong1),2)1)(SchoolofComputerandInformationTechnology,BeijingJiaotongUniversity,Beijing100044)2)(CollegeofComputerScienceandTechnology,BeijingUniversityoftechnology,Beijing100022)Abstract:Remoteattestationisanimportantattributeintrustedcomputing.Thepurposeofremoteattestationistoattesttheidentityandconfigurationofremoteplatform.Theshortcomingsofpopularbinaryattestationarenotonlyrevealinginformationabouttheconfigurationofplatformorinformation,butalsorequiringtheverifierstoknowallpossible“trusted”configurationsofallplatformaswellasmanagingupdatesandpatchesthatchangetheconfiguration.Theremoteautomatedanonymousattestationhidestheidentityofplatformbyringsignature,replacesconfigurationbyproperty-basedcertificate,whichtakesgoodreferenceforupdatesandpatchesofsystem.Thehiddencertificatesignedbytrustedcomputingmoduleanditshostdoesnotneedextrazero-knowledgeproof,soourschemeisveryefficientinrealization.Keywords:trustedcomputing;remoteattestation;automatednegotiation;propertycertificate;ringsignature《计算机学报》2009年7期1引言可信计算技术为拥有新的安全体系结构的新一代计算平台提供了基础。可信计算技术的发起者和主要推动者是可信计算组织（TrustedComputingGroup，TCG），TCG继承了其前身可信计算平台联盟的若干规范，目标是为计算平台提供“可信”的保障。在可信计算包含的多个方面的内容中，平台之间的远程证明（RemoteAttestation）是其中的一个重要基本特征[1]，也是网络环境中终端相互信任的保证。在TCG规范中，通过检测远程计算平台的完整性实现证明从而取得信任。但这种证明的一个明显的不足之处是暴露了平台(包括硬件和软件)的配置信息，侵犯了终端平台的隐私性（Privacy），这在隐私性保护日益受到关注的今天，无疑是影响了可信计算的发展。TCG规范中专门提出了隐私性的考虑[1]，并引入了平台身份别名——身份验证密钥（AttestationIdentityKeys,AIK）来保护可信平台模块的签名密钥从而隐藏平台的身份信息，但未考虑平台状态配置信息的隐私性保护问题。近几年来，远程证明中的隐私性保护问题受到了多方的关注，如何在有效地实施远程证明的同时，保护计算平台的隐私信息不仅在理论上也在实际应用上都具有非常重要的意义。本文提出的可信计算远程自动匿名证明（RemoteAutomatedAnonymousAttestation,RAAA）方案的主要贡献在于：以属性证书代替平台配置信息，不仅可以有效防止隐私性的暴露，而且为系统升级和备份过程的可信检测提供了很好的思路；利用环签名实现直接匿名证明，避免了可信计算平台与可信第三方的协商过程，在提高执行效率的同时，也增强了安全性；基于可信计算模块及其宿主的联合签署的隐藏属性证书实现远程自动匿名证明，不需要额外的零知识证明，实现效率较高。2相关工作在TCG设计规范中，证明（Attestation）分为多种形式，针对平台的证明（totheplatform）是其中的一种。一个平台可以通过提供与平台相关的证书如签名证书（EndorsementCredential）来证明平台可以被信任做出完整性度量报告。签名证书可以提供平台嵌入有合法的可信平台模块（TrustedPlatformModule,TPM）的证据。但由于TPM往往和宿主平台有绑定关系，通过直接提供签名证书完成这种证明显然会泄露平台的身份信息。TCG在公布的版本1.1中使用了可信第三方（私有CA）辅助进行身份认证从而避免平台身份信息的泄露[2]——每一个TPM拥有私有CA颁发的一个RSA密钥对，即签名密钥（EndorsementKey，EK），在TPM需要证明自己的身份时，并不直接使用EK进行签名，TPM生成另外一对RSA密钥对，即身份验证密钥（AttestationIdentityKey，AIK）来完成签名，并通过和私有CA交互确认AIK的正确性来完成身份的证明。该方案仍然存在缺点，即私有CA需要参与到每次会话中，因此需要CA始终在线。与常用的离线CA相比，一方面需要高度的可用性保障，另一方面也为CA本身的安全需3求提出了更高的要求。2004年，E.Brickell等提出一项名为“直接匿名证明（DirectAnonymousAttestation,DAA）”的策略[4]，直接匿名证明的理论基础来自于Goldwasser等人提出的“零知识证明（ZeroKnowledgeProof）”[5]，结合Chaum首先提出的群签名（GroupSignature）等技术，使得验证者可以确认通信对方是真正的TPM宿主（host），但又不暴露对方的真实身份信息。DAA已成为TCG规范（版本1.2）的一部分[3]。尽管如此，由于DAA中运用了多次零知识证明，在实际实现上复杂度仍然较大，不具备可行性。除了上述针对平台的证明之外，证明还包括另一种方式，即对平台环境状态的配置信息的证明，称为对平台的证明（Attestationoftheplatform）。可信平台模块TPM运用身份验证密钥AIK对受保护的平台配置寄存器（PlatformConfigurationRegister,PCR）内存储的有关平台环境状态配置信息的度量值进行数字签名，平台转发该数字签名给远程请求者来提供平台完整性的度量（如图1所示[1]）。图1证明协议由于PCR中所存储的度量值是利用散列函数获得的二进制摘要值，因此TCG提供的这种对平台证明的方式也称为二进制证明（BinaryAttestation）。这种二进制证明方法仍然有很多缺点，一个明显的不足之处是暴露了本地平台(包括硬件和软件)的配置信息，这在一定程度上给攻击者提供了方便，使之更容易遭受各种攻击。另一个缺点是可能的平台状态信息的多样性问题，考虑到系统更新和备份问题，这在实际的分布式应用中很难实现。除了上述常用的二进制证明之外，V.Haldar等人提出语义远程证明的方法，其基本思想是使用基于语言的可信虚拟机，通过检测运行于虚拟机上的代码的安全策略实现证明，但其可信虚拟机仍然需要二进制证明[6]。A.-R.Sadeghi等提出的基于属性的证明（Property-basedattestation，PBA）是一种更加有效且灵活的远程证明解决方案[7]。这里的属性是针对特定需要的平台行为的表现，每种属性可以对应多种平台配置信息，验证者只能获知被验证平台具有某种属性而不能知道具体的配置信息，从而避免了平台具体配置信息的直接暴露。在此基础上L.Chen等人提出了一个基于属性证书的证明协议[8]，属性以及其对应的配置信息对应一个属性配置证书（Property-ConfigurationCertificates），由一个可信的第三方CA负责管理和发布，通过一系列复杂的交互协议达到匿名证明的目的。这种证明协议仍然使用大量的零知识证明隐藏真实的配置信息实现属性的证明，实现复杂度较高。不仅如此，该方案中默认的可信第三方必须熟知所有的平台状态信息并对其进行签名，这实际上是把二进制证明中验证者的部分验证工作转移给了可信第三方，仍然没有从根本上解决平台状态信息的多样性问题。4与本文研究内容密切相关的还有自动信任协商（AutomatedTrustNegotiation，ATN）技术。事实上有关TPM的直接匿名证明以及有关平台配置信息的证明从本质上讲都是网络环境中双方终端平台信任关系的确立问题。证明的目的就是为了满足通信对方的需求条件，取得对方的信任。自动信任协商（ATN）是由IBM的W.H.Winsborough等人于2000年首先提出[9]，目的是解决在开放的分布式网络中信任关系的自动建立问题。自动信任协商（ATN）同样使用了基于属性的数字证书（Property-baseddigitalcredentials）来模拟现实生活中的纸制证明文件[10]。每个属性证书都包含了证书拥有者的一项或多项属性，证书发布者并不要求统一，因此并不需要一个统一的可信第三方。在ATN中通过协商策略（NegotiationStrategy）的控制，对属性证书、访问控制策略（AccessControlPolicies）进行交互披露，资源的请求方和提供方自动地建立信任关系（如图2所示），从而保证了敏感资源的受控访问。图2ATN工作原理有关ATN的研究工作仍在不断发展之中，J.Holt等人[11,12]借鉴基于身份密码系统思想，提出了隐证书（HiddenCredential）的概念，资源提供者可以任意选择解密消息的对象来保护敏感的属性，证书和资源等。N.H.Li等人也利用数字签名，比特承诺以及零知识证明等现代密码学的工具和方法提出不经意属性证书（ObliviousAttributeCertificate）来保护敏感属性（SensitiveAttributes）[13-17]。隐证书和不经意属性证书方案都可以使得资源访问者在满足了协商对方的访问控制策略时，不需要揭露自己的真实属性就可以正常访问对方资源信息，在一定程度上解决了双方循环依赖的问题。但两者仍有一个共同的缺点是无法防止证书转移的问题，也就是说