移动可信接入轻量级认证与评估协议Word文档格式.docx
《移动可信接入轻量级认证与评估协议Word文档格式.docx》由会员分享,可在线阅读,更多相关《移动可信接入轻量级认证与评估协议Word文档格式.docx(11页珍藏版)》请在冰豆网上搜索。
为了保障终端接入网络时的安全,可信连接架构(trustednetworkconnectionarchitecture,tca)[3]制定了身份认证协议和平台鉴别评估协议,保证接入网络的终端发送的信息是可信的,且不存在被攻击的终端提供虚假信息的可能。
然而tca协议通信频繁,计算量大,需要通过多轮次计算、数据交互和验证才能完成,对网络质量和终端平台计算能力要求较高,对移动终端和无线通信网络来说,实现难度较大[4]。
本文针对这种情况,提出适合移动终端的轻量级接入认证与评估协议。
该协议充分考虑了移动终端自身计算能力、无线网络稳定性和传输速率等因素,在保证认证与评估过程完整性和可靠性的前提下,降低网络通信的数据量,减少交互步骤,做到快速认证与评估,同时保证协议的健壮性和可用性。
1tca协议
以沈昌祥[5]、张焕国等[6]组成的中国可信计算规范标准起草小组,对我国可信网络连接规范做了深入的研究,提出了基于三元对等鉴别的访问控制方法,在国际tnc(trustednetworkconnect)规范[7]的基础上,增强了对策略执行点的保护,提出了三元对等可信网络连接规范——tca[3],其架构如图1所示。
tca存在三个实体:
访问请求者(accessrequestor,ar)、访问控制器(accesscontroller,ac)和策略管理器(policymanager,pm)。
从上至下分为三个抽象层:
完整性度量层、可信平台评估层和网络访问控制层。
ar和ac都具有可信密码模块tpm(trustedplatformmodule)[8-9],为计算平台提供可信密码支撑、平台完整性以及平台身份可信验证功能。
ar请求接入受保护网络,ac控制ar对受保护网络的访问。
pm对ar和ac进行集中管理。
ar、ac基于pm来实现ar和ac之间的双向身份认证和平台鉴别评估,pm在身份认证和平台鉴别评估过程中充当可信第三方,为ar和ac发放平台身份密钥(platformidentitykey,pik)[10]证书,并对证书进行管理。
1)网络访问控制层。
ar的访问请求者、ac的访问控制者基于pik证书,执行身份认证协议实现双向身份认证,其中pm的鉴别策略服务者作为可信的第三方提供身份认证服务。
2)可信平台评估层。
ar的可信网络连接客户端和ac的可信网络连接服务端在pm评估策略服务者的配合下,根据完整性度量层收集到的平台完整性度量值,执行可信平台鉴别评估协议,实现ar和ac之间的双向可信平台鉴别评估。
3)完整性度量层。
ar和ac的完整性度量收集者收集两者平台完整性度量值,由pm的完整性度量校验者校验平台完整性度量值,并通过接口ifimv(integritymeasurementverifierinterface)[3]为可信平台评估层服务。
现有tca认证与评估协议存在以下问题:
1)该协议是一个多轮协议,需要ar、ac和pm三方参与,且数据交互次数繁多,在认证过程中如果因网络中断导致鉴别过程终止,则整个评估过程需要重新开始,导致网络开销过大;
2)协议存在多次公私钥加解密运算,对于计算能力相对有限的移动终端计算平台来说,是个巨大挑战;
3)ar和ac的平台状态信息在协议交互过程中没有保护措施,双方的平台配置情况容易暴露给除pm之外的第三方。
为了解决上述问题,提出轻量级认证与评估协议。
该协议的核心思想是,当ar首次接入网络时,执行tca协议中完整的身份认证协议和平台鉴别评估协议。
当ar再次接入网络时,根据终端的安全状况与平台的完整性状况,简化认证接入过程,基于首轮协议执行完毕后双方共享的秘密信息,不需要可信第三方pm的参与,执行快速认证与评估。
2轻量级身份认证协议
在网络访问控制层,当ar首次接入网络时,ar和ac之间的身份认证协议采用wapi(wlanauthenticationandprivacyinfrastructure)三元认证鉴别协议[11-12]。
由pm验证ar和ac的平台身份证书和私钥签名,确认平台身份,并返回两者的验证结果,ar和ac根据身份验证结果决定是否启动进一步的平台可信鉴别评估。
并且,根据wapi规范,在身份认证完成之后,ar和ac进行密钥协商,协商出的密钥可以作为双方的通信会话密钥或者身份认证密钥使用。
轻量级身份认证协议建立在首轮身份认证成功的基础上。
当ar再次需要接入网络时,实施轻量级身份认证协议,在无需pm参与的情况下完成双向身份认证。
该协议实施需要以下前提。
1)协议以wapi密钥协商生成的身份认证密钥krc作为共享秘密。
ar的krc保存在tpm模块的密钥保护区,ac的krc保存在具有保护措施的密钥数据库内。
2)在首次认证成功之后双方均保存对方pik证书certar和certac。
3)首次身份认证完成后必须更新双方的共享秘密krc。
在规定的认证密钥有效期或交换一定数量的数据之后,ar与ac之间可重新进行认证密钥的协商。
轻量级身份认证协议如图2所示。
具体描述如下。
1)ac→ar:
r1,ts。
当ar意图接入网络时,ac生成认证挑战随机数r1,时间戳ts,发送至ar作为身份认证请求。
2)ar首先验证ts>
tstast,tstast代表上次认证时间戳。
如表达式值为真,ar利用tpm模块生成应答随机数r2,并计算v1,同时更新tstast=ts。
v1=hash(r1‖krc‖certar)
(1)
其中:
hash(x)代表基于共享秘密krc对消息x进行单向哈希运算,krc代表在首次认证之后经认证密钥协商出的共享秘密,certar代表ar的平台身份证书。
3)ar→ac:
v1,r2。
ar向ac发送身份认证值v1和应答随机数r2。
4)ac根据式
(1)验证计算v1。
由于认证密钥krc是ar和ac之间的共享秘密,因此只有合法的ar和ac可以根据式
(1)计算出v1。
如验证失败,认证过程结束,ac拒绝ar接入网络;
否则,ac计算身份认证值v2=hash(r2‖krc‖certac),certac为ac的平台身份证书。
5)ac→ar:
v2。
ac向ar发送v2。
6)ar验证v2的值。
如认证失败,ar认为ac的身份不可信,可以选择不接入网络;
否则,身份认证成功,ar可以进行进一步的平台鉴别评估。
3轻量级平台鉴别评估协议
在可信平台评估层,当ar与ac完成双向身份认证之后,要进行平台可信鉴别评估。
评估双方收集自身平台的平台配置信息,即平台配置寄存器(platformconfigurationregister,pcr)请补充其中文名称和英文全称。
值,经pik私钥签名后,连同完整性度量日志,pik证书等内容发送至pm,pm经过验证和评估后,给出评估结果,并对评估结果签名,发送至ac。
ac对评估结果签名进行验证,做出访问决策,并向ar转发pm的评估结果及签名。
ar验证pm的签名,同样根据评估结果做出访问决策。
轻量级平台鉴别评估协议也建立在首轮平台鉴别评估成功的基础上。
当ar再次接入网络时实施轻量级平台鉴别评估协议,在无需pm参与的情况下完成平台鉴别与评估。
需要说明的是,在移动终端成功通过首轮平台鉴别评估接入到网络,直至再次请求接入网络的时间间隔内,可能出现平台遭受攻击(如感染病毒、木马、恶意代码修改程序)的情况,这种平台状态环境变化在轻量级平台鉴别评估过程中能够发现,这时要求重新进行完整的首轮平台鉴别评估协议。
该协议实施需要以下前提:
1)协议以wapi中密钥协商生成的身份认证密钥krc作为ar与ac的共享秘密;
2)首轮鉴别与评估成功后,ar和ac各自保存对方的平台配置信息的哈希值m。
m=hash(v‖log‖cert)
(2)
v代表经认证方平台pik私钥签名的平台配置pcr值,log代表平台完整性度量日志,cert代表平台身份pik证书。
如果下次评估时平台提交的哈希值与首轮中保存的哈希值不一致,则认为平台不可信。
轻量级平台鉴别评估协议如图3所示。
ts,n1,r1,parmsar。
ac向ar发送平台鉴别请求,以启动整个平台鉴别过程。
请求消息包含时间戳ts,挑战随机数n1、r1以及对ar的组件度量请求参数列表parmsar。
其中ts由ac的tpm模块生成,parmsar内容由ac根据自己的平台鉴别策略生成。
2)ar收到鉴别请求后,首先检查ts以防范重放攻击,并利用tpm模块生成随机数n2和r2。
接下来根据parmsar的参数,通知自己完整性度量层的完整性度量收集者(integritymeasurementcollector,imc)请补充其中文名称和英文全称。
收集相应的平台状态信息,获得相关的pcr值pcrar,并用自己的平台身份pik私钥对pcrar签名,得到var={pcrar}signar。
接着提取完整性度量日志logar和平台身份证书certar,利用式
(2)进行哈希运算mar=hash(var‖logar‖certar)。
使用加密密钥krc1加密mar,得到{r1,mar}ekrc1,其中加密密钥krc1的计算如式(3):
krci=hash(ni‖krc)(3)
krc是鉴别双方在第3章中提到的认证密钥,ni是对方发送过来的随机数,i代表第i次平台鉴别评估过程。
加密密钥krci根据共享密钥krc产生,保证在协议交换数据过程中实现一次一密。
parmsac,n2,r2,{r1,mar}ekrc1。
ar将对ac的组件度量请求列表parmsac,随机数n2,r2,{r2,mar}ekrc1发送至ac。
4)ac根据式(3),使用认证密钥krc和n1计算krc1,解密{r1,mar}ekrc1,得到mar;
验证r1的值成功后,比较mar和首次鉴别协议完成后保存的ar哈希值,如两者哈希值一致,表明ar的平台状态是完整的,没有被篡改;
否则,认为ar的平台完整性遭到了破坏。
ac根据验证结果,生成对ar的访问决策decac。
接下来,ac按照步骤2)中ar的方法计算mac=hash(vac‖logac‖certac)。
vac={pcrac}signac,vac是ac平台身份私钥对自身平台pcr值的签名,logac是ac平台的完整性度量日志,certac是ac平台身份证书。
ac使用收到的n2计算krc2=hash(n2‖krc)。
使用krc2加密r2,mac和ac的访问决策decac,得到{r2,mac,decac}ekrc2,并生成随机数n3。
n3,{r2,mac,decac}ekrc2。
ac将n3,{r2,mac,decac}ekrc2发送至ar。
6)ar根据n2计算出krc2,解密{r2,mac,decac}ekrc2。
验证r2的值成功后,将mac与首次鉴别协议完成后保存的ac哈希值进行比较,验证ac的平台完整性,并根据验证结果,ar生成对ac的访问决策decar。
接下来,ar利用收到的随机数n3,生成密钥krc3=hash(n3‖krc)。
使用认证密钥krc3加密ar的访问决策decar,得到{decar}ekrc3。
7)ar→ac:
{decar}ekrc3。
ar将{decar}ekrc3发送至ac。
8)ac根据n3计算krc3并解密{decar}ekrc3,得到ar的访问决策decar。
ar和ac根据各自的访问决策decac和decar,决定进一步的网络访问行为。
至此,轻量级双向平台鉴别评估过程结束。
4安全与性能分析
4.1基于ban逻辑的安全性形式化分析
本文基于ban(burrows,abadiandneedham)逻辑对轻量级身份认证协议以及平台鉴别评估协议的安全性进行分析。
ban逻辑是常用的协议形式化分析工具,其逻辑符号说明如下:
p≡x表示p相信x;
#(x)表示x是新的;
px表示p对x有仲裁权;
p←→kq表示p、q之间共享k;
px表示p看到过x;
p|~x表示p曾说过x。
ban逻辑的几条推理规则如下:
1)消息含义规则。
对于共享密钥,如果有p≡q←→kp,p{x}k,则p≡q|~x。
2)临时值验证规则。
如果有p≡#(x),p≡q|~x,则p≡q≡x。
3)仲裁规则。
如果有p≡qx,p≡q≡x,则p≡x。
4)信仰规则。
如果有p≡x,p≡y,则p≡(x,y)。
如果有p≡(x,y),则p≡x。
如果有p≡q≡(x,y),则p≡q≡x。
5)新鲜性规则。
如果有p≡#(x),则p≡#(x,y)。
4.1.1轻量级身份认证协议形式化分析
根据第2章的身份认证协议描述,建立协议的理想化模型:
1)ac→ar:
r1;
2)ar→ac:
r2,{r1,krc,certar}krc;
3)ac→ar:
{r2,krc,certac}krc。
再根据该协议实施前的初始条件,得到初始化假设。
①ac|≡ac←→krcar。
②ar|≡ac←→krcar。
假设①和②表明krc是ac和ar之间的共享密钥。
③ar|≡accertac。
④ac|≡arcertar。
假设③和④表明ac和ar相信对方对自身身份证书拥有仲裁权。
⑤ac|≡#r1。
⑥ar|≡#r2。
这里r1和r2分别由ac和ar产生。
协议的目标是得到ac≡certar以及ar≡certac,即通过双向的身份认证协议,双方都能够验证基于平台身份证书的对方的身份是合法的。
分析推理过程如下:
在理想化模型2)中,有ac{r1,krc,certar}krc,再由初始化假设①ac|≡ac←→krcar,根据消息含义规则,得到:
ac≡ar|~{r1,krc,certar}(4)
由初始化假设⑤ac|≡#r1以及新鲜性规则,得到:
ac≡#{r1,krc,certar}(5)
根据临时值验证规则,由式(4)和式(5),得到:
ac≡ar≡{r1,krc,certar}(6)
根据信仰规则和式(6),得到:
ac≡ar≡certar(7)
再有初始化假设④ac|≡arcertar,根据仲裁权规则,得到ac≡certar。
在理想化模型3)中,按上述方法同理可证ar≡certac。
故身份认证协议实现了预期目标,安全性得以保证。
4.1.2轻量级平台鉴别评估协议形式化分析
根据第3章的平台鉴别评估协议描述,简化后建立协议的理想化模型:
1)ac→ar:
n1,r1;
n2,r2,{r1,mar}krc1;
{r2,mac,decac}krc2。
再根据该协议实施过程中的初始条件,得到初始化假设。
①ar|≡ac←→krc1ar。
根据第3章协议步骤2),ar相信一次一密密钥krc1,因为krc1由ar计算生成。
②ac|≡arac←→krc1ar。
根据协议内容,由于krc1由ar产生,所以ac相信ar对krc1有仲裁权。
③ac|≡ac←→krc2ar。
根据第3章中协议步骤4),ac相信一次一密密钥krc2,因为krc2由ac计算生成。
④ar|≡acac←→krc2ar。
根据协议内容,由于krc2由ac产生,所以ar相信ac对krc2有仲裁权。
⑤ar|≡acmac。
⑥ac|≡armar。
假设⑤和⑥⑦和⑧表明ac和ar相信对方对自身的平台配置信息拥有仲裁权。
⑦ac|≡#r1;
ac|≡#n1。
⑧ar|≡#r2;
ar|≡#n2。
在理想化模型2)中,协议的目标如下:
①指代不明确,具体指哪个部分?
请明确。
是否应该改为“协议的目标如下:
1)……;
2)”这样的描述方式?
得到ac≡ac←→krc1ar,即ac验证krc1是本次通信过程中双方共享的一次一次的密钥,验证krc1的过程也就是鉴别ar平台合法性的过程;
②得到ac≡mar,即ac相信由ar发送的平台配置信息mar是合法的。
同理,在理想化模型3)中,协议的目标如下:
①得到ar≡ac←→krc2ar;
②得到ar≡mac。
在理想化模型2)中,由协议内容可知,ac收到消息后,根据第3章中的式(3)krci=hash(ni‖krc)还原计算krc1,这说明:
ac|≡ar|~ac←→krc1ar(8)
即ac相信一次一密密钥krc1是由ar计算生成。
由初始化假设⑦ac|≡#n1,以及式(3)正文中的公式,不是按照每章中出现的顺序进行编号,而是按照在正文中出现的顺序,按照“
(1)、
(2)、(3)…”的顺序进行编号。
已重新对公式进行了编号,这个式(3)是指代哪个公式,请参照现在的公式编号,指明是哪个公式?
和新鲜性规则,有:
ac|≡#ac←→krc1ar(9)
由式(8)和式(9),根据临时值验证规则,有:
ac|≡ar|≡ac←→krc1ar(10)
由初始化假设②ac|≡arac←→krc1ar和式(10),根据仲裁权规则,有:
ac|≡ac←→krc1ar(11)
故目标①得证。
由理想化模型2)的内容,有ac{r1,mar}krc1,结合式(11)ac|≡ac←→krc1ar和消息含义规则,有:
ac|≡ar|~{r1,mar}(12)
由初始化假设⑦ac|≡#r1和新鲜性规则,得到:
ac|≡#{r1,mar}(13)
根据临时值验证规则,由式(12)和(13),得到:
ac|≡ar|≡{r1,mar}(14)
根据信仰规则和式(14),得到:
ac|≡ar|≡mar(15)
再根据初始化假设ac|≡armar和仲裁规则,得到ac≡mar,目标②得证。
在理想化模型3)中,根据同样推理过程,可以证明目标①ar≡ac←→krc2ar和目标②ar≡mac。
4.2安全性能分析
在轻量级身份认证协议中:
1)ar与ac拥有首轮身份认证之后的共享认证密钥krc。
在认证过程中,利用共享认证密钥krc、认证方生成的随机数r以及认证
升级会员 