可信網(wǎng)絡(luò)遠(yuǎn)程認(rèn)證的相關(guān)研究.pdf

1、遠(yuǎn)程證明是可信計算平臺提供的重要功能之一，用戶利用TPM(TrustedPlatform Module)或者TCM（Trusted Cryptography Module）安全芯片完成平臺身份和平臺完整性狀態(tài)的遠(yuǎn)程證明。從某種角度來看甚至可以將TPM、TCM視為專門用于遠(yuǎn)程證明的密碼芯片。遠(yuǎn)程證明能夠認(rèn)證可信計算平臺的硬件、固件和軟件，它能夠證明遠(yuǎn)程方與之通信的平臺上每一層軟件棧上運行的軟件，乃至虛擬機的運行狀態(tài)。遠(yuǎn)程證明將在安全芯片身

2、份認(rèn)證的同時完成平臺運行狀態(tài)即完整性的認(rèn)證，這能夠大大提高網(wǎng)絡(luò)通信終端的安全性與可靠性。遠(yuǎn)程證明主要包括兩個部分，一是遠(yuǎn)程身份證明，另一個是遠(yuǎn)程完整性證明。
　　首先關(guān)于遠(yuǎn)程身份證明。TCG組織提倡用privacy CA，即可信計算平臺借助可信的第三方，獲得一個CA證書，來表明本平臺的安全可靠。后來，Brickell等學(xué)者提出了基于TPM的直接匿名證明(Direct Anonymous Attestation，DAA)方案，采用零

3、知識證明和群簽名等密碼技術(shù)匿名證明平臺身份。本文在原有的DAA算法基礎(chǔ)之上提出了一種跨域的DAA算法。該算法滿足DAA的基本特性，即匿名性、不可偽造性、不可關(guān)聯(lián)性。該算法使用CL-LRSW群簽名算法，通過引入跨域證書頒發(fā)者，向需要跨域認(rèn)證的可信平臺頒發(fā)跨域DAA證書。以跨域DAA證書為過渡，這樣使得兩個不同的信任域之內(nèi)的節(jié)點可以相互認(rèn)證，從而有效的解決了原始DAA方案中不支持多個信任域的情況。本文還通過實驗，測試了該方案的計算復(fù)雜度及耗

4、時，從而證實了它的可行性。
　　其次，關(guān)于平臺完整性證明，本文針對開源代碼TNC@FHH作了相關(guān)的理論研究和技術(shù)增強及實現(xiàn)。TNC@FHH是國外的基于802.1x的擴(kuò)展認(rèn)證協(xié)議。本文研究了TNC@FHH的工作原理，設(shè)計實現(xiàn)了一套可用的可信網(wǎng)絡(luò)接入系統(tǒng)。該可信網(wǎng)絡(luò)接入系統(tǒng)會檢查平臺身份是否合法（用戶名、密碼來證明），以及平臺完整性狀態(tài):平臺文件完整性、平臺是否插入U盤、殺毒軟件clamav是否開啟及版本是否是最新版、端口狀態(tài)是否合法