1、为了保障终端接入网络时的安全,可信连接架构(trusted network connection architecture, tca)3制定了身份认证协议和平台鉴别评估协议,保证接入网络的终端发送的信息是可信的,且不存在被攻击的终端提供虚假信息的可能。然而tca协议通信频繁,计算量大,需要通过多轮次计算、数据交互和验证才能完成,对网络质量和终端平台计算能力要求较高,对移动终端和无线通信网络来说,实现难度较大4。本文针对这种情况,提出适合移动终端的轻量级接入认证与评估协议。该协议充分考虑了移动终端自身计算能力、无线网络稳定性和传输速率等因素,在保证认证与评估过程完整性和可靠性的前提下,降低网络通
2、信的数据量,减少交互步骤,做到快速认证与评估,同时保证协议的健壮性和可用性。1 tca协议 以沈昌祥5、张焕国等6组成的中国可信计算规范标准起草小组,对我国可信网络连接规范做了深入的研究,提出了基于三元对等鉴别的访问控制方法,在国际tnc(trusted network connect)规范7的基础上,增强了对策略执行点的保护,提出了三元对等可信网络连接规范tca3,其架构如图1所示。tca存在三个实体:访问请求者(access requestor, ar)、访问控制器(access controller, ac)和策略管理器(policy manager, pm)。从上至下分为三个抽象层:完
3、整性度量层、可信平台评估层和网络访问控制层。ar和ac都具有可信密码模块tpm(trusted platform module)8-9,为计算平台提供可信密码支撑、平台完整性以及平台身份可信验证功能。ar请求接入受保护网络,ac控制ar对受保护网络的访问。pm对ar和ac进行集中管理。ar、ac基于pm来实现ar和ac之间的双向身份认证和平台鉴别评估,pm在身份认证和平台鉴别评估过程中充当可信第三方,为ar和ac发放平台身份密钥(platform identity key, pik)10证书,并对证书进行管理。1)网络访问控制层。ar的访问请求者、ac的访问控制者基于pik证书,执行身份认证协
4、议实现双向身份认证,其中pm的鉴别策略服务者作为可信的第三方提供身份认证服务。2)可信平台评估层。ar的可信网络连接客户端和ac的可信网络连接服务端在pm评估策略服务者的配合下,根据完整性度量层收集到的平台完整性度量值,执行可信平台鉴别评估协议,实现ar和ac之间的双向可信平台鉴别评估。3)完整性度量层。ar和ac的完整性度量收集者收集两者平台完整性度量值,由pm的完整性度量校验者校验平台完整性度量值,并通过接口if imv(integrity measurement verifier interface)3为可信平台评估层服务。现有tca认证与评估协议存在以下问题:1)该协议是一个多轮协议,
5、需要ar、ac和pm三方参与,且数据交互次数繁多,在认证过程中如果因网络中断导致鉴别过程终止,则整个评估过程需要重新开始,导致网络开销过大;2)协议存在多次公私钥加解密运算,对于计算能力相对有限的移动终端计算平台来说,是个巨大挑战;3)ar和ac的平台状态信息在协议交互过程中没有保护措施,双方的平台配置情况容易暴露给除pm之外的第三方。为了解决上述问题,提出轻量级认证与评估协议。该协议的核心思想是,当ar首次接入网络时,执行tca协议中完整的身份认证协议和平台鉴别评估协议。当ar再次接入网络时,根据终端的安全状况与平台的完整性状况,简化认证接入过程,基于首轮协议执行完毕后双方共享的秘密信息,不
6、需要可信第三方pm的参与,执行快速认证与评估。2 轻量级身份认证协议 在网络访问控制层,当ar首次接入网络时,ar和ac之间的身份认证协议采用wapi(wlan authentication and privacy infrastructure)三元认证鉴别协议11-12。由pm验证ar和ac的平台身份证书和私钥签名,确认平台身份,并返回两者的验证结果,ar和ac根据身份验证结果决定是否启动进一步的平台可信鉴别评估。并且,根据wapi规范,在身份认证完成之后,ar和ac进行密钥协商,协商出的密钥可以作为双方的通信会话密钥或者身份认证密钥使用。轻量级身份认证协议建立在首轮身份认证成功的基础上。当
7、ar再次需要接入网络时,实施轻量级身份认证协议,在无需pm参与的情况下完成双向身份认证。该协议实施需要以下前提。 1)协议以 wapi 密钥协商生成的身份认证密钥k rc 作为共享秘密。 ar 的k rc 保存在 tpm 模块的密钥保护区, ac 的k rc 保存在具有保护措施的密钥数据库内。2)在首次认证成功之后双方均保存对方 pik 证书cert ar 和cert ac 。3)首次身份认证完成后必须更新双方的共享秘密k rc 。在规定的认证密钥有效期或交换一定数量的数据之后, ar 与 ac 之间可重新进行认证密钥的协商。轻量级身份认证协议如图2所示。具体描述如下。 1) ac ar :r
8、1,ts。当 ar 意图接入网络时, ac 生成认证挑战随机数r1,时间戳ts,发送至 ar 作为身份认证请求。2) ar 首先验证tsts tast ,ts tast 代表上次认证时间戳。如表达式值为真, ar 利用 tpm 模块生成应答随机数r2,并计算v1,同时更新ts tast =ts。v1=hash(r1k rc cert ar )(1) 其中:hash(x)代表基于共享秘密k rc 对消息x进行单向哈希运算,k rc 代表在首次认证之后经认证密钥协商出的共享秘密,cert ar 代表 ar 的平台身份证书。3) ar ac :v1,r2。 ar 向 ac 发送身份认证值v1和应答随
9、机数r2。4) ac 根据式(1)验证计算v1。由于认证密钥k rc 是 ar 和 ac 之间的共享秘密,因此只有合法的 ar 和 ac 可以根据式(1)计算出v1。如验证失败,认证过程结束, ac 拒绝 ar 接入网络;否则, ac 计算身份认证值v2=hash(r2k rc cert ac ),cert ac 为 ac 的平台身份证书。5) ac ar :v2。 ac 向 ar 发送v2。6) ar 验证v2的值。如认证失败, ar 认为 ac 的身份不可信,可以选择不接入网络;否则,身份认证成功, ar 可以进行进一步的平台鉴别评估。3 轻量级平台鉴别评估协议 在可信平台评估层,当ar与
10、ac完成双向身份认证之后,要进行平台可信鉴别评估。评估双方收集自身平台的平台配置信息,即平台配置寄存器(platform configuration register, pcr)请补充其中文名称和英文全称。值,经pik私钥签名后,连同完整性度量日志,pik证书等内容发送至pm,pm经过验证和评估后,给出评估结果,并对评估结果签名,发送至ac。ac对评估结果签名进行验证,做出访问决策,并向ar转发pm的评估结果及签名。ar验证pm的签名,同样根据评估结果做出访问决策。轻量级平台鉴别评估协议也建立在首轮平台鉴别评估成功的基础上。当ar再次接入网络时实施轻量级平台鉴别评估协议,在无需pm参与的情况下
11、完成平台鉴别与评估。需要说明的是,在移动终端成功通过首轮平台鉴别评估接入到网络,直至再次请求接入网络的时间间隔内,可能出现平台遭受攻击(如感染病毒、木马、恶意代码修改程序)的情况,这种平台状态环境变化在轻量级平台鉴别评估过程中能够发现,这时要求重新进行完整的首轮平台鉴别评估协议。该协议实施需要以下前提: 1)协议以 wapi 中密钥协商生成的身份认证密钥k rc 作为 ar 与 ac 的共享秘密;2)首轮鉴别与评估成功后, ar 和 ac 各自保存对方的平台配置信息的哈希值m。m=hash(vlogcert)(2) v代表经认证方平台 pik 私钥签名的平台配置 pcr 值,log代表平台完整
12、性度量日志,cert代表平台身份 pik 证书。如果下次评估时平台提交的哈希值与首轮中保存的哈希值不一致,则认为平台不可信。轻量级平台鉴别评估协议如图3所示。ts,n1,r1,parms ar 。 ac 向 ar 发送平台鉴别请求,以启动整个平台鉴别过程。请求消息包含时间戳ts,挑战随机数n1、r1以及对 ar 的组件度量请求参数列表parms ar 。其中ts由 ac 的 tpm 模块生成,parms ar 内容由 ac 根据自己的平台鉴别策略生成。2) ar 收到鉴别请求后,首先检查ts以防范重放攻击,并利用 tpm 模块生成随机数n2和r2。接下来根据parms ar 的参数,通知自己完
13、整性度量层的完整性度量收集者( integrity measurement collector, imc )请补充其中文名称和英文全称。收集相应的平台状态信息,获得相关的 pcr 值pcr ar ,并用自己的平台身份 pik 私钥对pcr ar 签名,得到v ar =pcr ar sign ar 。接着提取完整性度量日志log ar 和平台身份证书cert ar ,利用式(2)进行哈希运算m ar =hash(v ar log ar cert ar )。使用加密密钥k rc 1 加密m ar ,得到r1,m ar ek rc 1 ,其中加密密钥k rc 1 的计算如式(3):k rc i =h
14、ash(n ik rc )(3) k rc 是鉴别双方在第3章中提到的认证密钥,n i是对方发送过来的随机数,i代表第i次平台鉴别评估过程。加密密钥k rc i 根据共享密钥k rc 产生,保证在协议交换数据过程中实现一次一密。parms ac ,n2,r2,r1,m ar ek rc 1 。 ar 将对 ac 的组件度量请求列表parms ac ,随机数n2,r2,r2,m ar ek rc 1 发送至 ac 。4) ac 根据式(3),使用认证密钥k rc 和n1计算k rc 1 ,解密r1,m ar ek rc 1 ,得到m ar ;验证r1的值成功后,比较m ar 和首次鉴别协议完成后
15、保存的 ar 哈希值,如两者哈希值一致,表明 ar 的平台状态是完整的,没有被篡改;否则,认为 ar 的平台完整性遭到了破坏。 ac 根据验证结果,生成对 ar 的访问决策dec ac 。接下来, ac 按照步骤2)中 ar 的方法计算m ac =hash(v ac log ac cert ac )。v ac =pcr ac sign ac ,v ac 是 ac 平台身份私钥对自身平台pcr值的签名,log ac 是 ac 平台的完整性度量日志,cert ac 是 ac 平台身份证书。 ac 使用收到的n2计算k rc 2 =hash(n2k rc )。使用k rc 2 加密r2,m ac 和
16、 ac 的访问决策dec ac ,得到r2,m ac ,dec ac ek rc 2 ,并生成随机数n3。n3,r2,m ac ,dec ac ek rc 2 。 ac 将n3,r2,m ac ,dec ac ek rc 2 发送至 ar 。6) ar 根据n2计算出k rc 2 ,解密r2,m ac ,dec ac ek rc 2 。验证r2的值成功后,将m ac 与首次鉴别协议完成后保存的 ac 哈希值进行比较,验证 ac 的平台完整性,并根据验证结果, ar 生成对 ac 的访问决策dec ar 。接下来, ar 利用收到的随机数n3,生成密钥k rc 3 =hash(n3k rc )。
17、使用认证密钥k rc 3 加密 ar 的访问决策dec ar ,得到dec ar ek rc 3 。7) ar ac :dec ar ek rc 3 。 ar 将dec ar ek rc 3 发送至 ac 。8) ac 根据n3计算k rc 3 并解密dec ar ek rc 3 ,得到 ar 的访问决策dec ar 。 ar 和 ac 根据各自的访问决策dec ac 和dec ar ,决定进一步的网络访问行为。至此,轻量级双向平台鉴别评估过程结束。4 安全与性能分析 4.1 基于ban逻辑的安全性形式化分析 本文基于ban(burrows, abadi and needham)逻辑对轻量级身
18、份认证协议以及平台鉴别评估协议的安全性进行分析。ban逻辑是常用的协议形式化分析工具, 其逻辑符号说明如下:px表示p相信x;#(x)表示x是新的;p x表示p对x有仲裁权;p kq表示p、q之间共享k;p x表示p看到过x;p|x表示p曾说过x。ban逻辑的几条推理规则如下: 1)消息含义规则。对于共享密钥,如果有pq kp,p x k,则p q| x。2)临时值验证规则。如果有p#(x),pq|x,则pqx。3)仲裁规则。如果有pq x,pqx,则px。4)信仰规则。如果有px,py,则p(x,y)。如果有p(x,y),则px。如果有pq(x,y),则pqx。5)新鲜性规则。如果有p#(x
19、),则p#(x,y)。4.1.1 轻量级身份认证协议形式化分析 根据第2章的身份认证协议描述,建立协议的理想化模型: 1) ac ar :r1;2) ar ac :r2,r1,k rc ,cert ar k rc ;3) ac ar :r2,k rc ,cert ac k rc 。再根据该协议实施前的初始条件,得到初始化假设。 ac | ac k rc ar 。 ar | ac k rc ar 。假设和表明k rc 是 ac 和 ar 之间的共享密钥。 ar | ac cert ac 。 ac | ar cert ar 。假设和表明 ac 和 ar 相信对方对自身身份证书拥有仲裁权。 ac |
20、#r1。 ar |#r2。这里r1和r2分别由 ac 和 ar 产生。协议的目标是得到 ac cert ar 以及 ar cert ac ,即通过双向的身份认证协议,双方都能够验证基于平台身份证书的对方的身份是合法的。分析推理过程如下:在理想化模型2)中,有 ac r1,k rc ,cert ar k rc ,再由初始化假设 ac | ac k rc ar ,根据消息含义规则,得到: ac ar |r1,k rc ,cert ar (4) 由初始化假设 ac |#r1以及新鲜性规则,得到: ac #r1,k rc ,cert ar (5) 根据临时值验证规则,由式(4)和式(5),得到: ac
21、 ar r1,k rc ,cert ar (6) 根据信仰规则和式(6),得到: ac ar cert ar (7) 再有初始化假设 ac | ar cert ar ,根据仲裁权规则,得到 ac cert ar 。在理想化模型3)中,按上述方法同理可证 ar cert ac 。故身份认证协议实现了预期目标,安全性得以保证。4.1.2 轻量级平台鉴别评估协议形式化分析 根据第3章的平台鉴别评估协议描述,简化后建立协议的理想化模型:1) ac ar :n1,r1;n2,r2,r1,m ar k rc 1 ;r2,m ac ,dec ac k rc 2 。再根据该协议实施过程中的初始条件,得到初始化
22、假设。 ar | ac k rc 1 ar 。根据第3章协议步骤2), ar 相信一次一密密钥k rc 1 ,因为k rc 1 由 ar 计算生成。 ac | ar ac k rc 1 ar 。根据协议内容,由于k rc 1 由 ar 产生,所以 ac 相信 ar 对k rc 1 有仲裁权。 ac | ac k rc 2 ar 。根据第3章中协议步骤4), ac 相信一次一密密钥k rc 2 ,因为k rc 2 由 ac 计算生成。 ar | ac ac k rc 2 ar 。根据协议内容,由于k rc 2 由 ac 产生,所以 ar 相信 ac 对k rc 2 有仲裁权。 ar | ac m
23、 ac 。 ac | ar m ar 。假设和和表明 ac 和 ar 相信对方对自身的平台配置信息拥有仲裁权。 ac |#r1; ac |#n1。 ar |#r2; ar |#n2。 在理想化模型2)中,协议的目标如下:指代不明确,具体指哪个部分?请明确。是否应该改为“协议的目标如下:1);2)”这样的描述方式?得到 ac ac k rc 1 ar ,即 ac 验证k rc 1 是本次通信过程中双方共享的一次一次的密钥,验证k rc 1 的过程也就是鉴别 ar 平台合法性的过程;得到 ac m ar ,即 ac 相信由 ar 发送的平台配置信息m ar 是合法的。同理,在理想化模型3)中,协议
24、的目标如下:得到 ar ac k rc 2 ar ;得到 ar m ac 。在理想化模型2)中,由协议内容可知, ac 收到消息后,根据第3章中的式(3)k rc i =hash(n ik rc )还原计算k rc 1 ,这说明: ac | ar | ac k rc 1 ar (8) 即 ac 相信一次一密密钥k rc 1 是由 ar 计算生成。由初始化假设 ac |#n1,以及式(3)正文中的公式,不是按照每章中出现的顺序进行编号,而是按照在正文中出现的顺序,按照“(1)、(2)、(3)”的顺序进行编号。已重新对公式进行了编号,这个式(3)是指代哪个公式,请参照现在的公式编号,指明是哪个公式
25、?和新鲜性规则,有: ac |# ac k rc 1 ar (9) 由式(8)和式(9),根据临时值验证规则,有: ac | ar | ac k rc 1 ar (10) 由初始化假设 ac | ar ac k rc 1 ar 和式(10),根据仲裁权规则,有: ac | ac k rc 1 ar (11) 故目标得证。由理想化模型2)的内容,有 ac r1,m ar k rc 1 ,结合 式(11) ac | ac k rc 1 ar 和消息含义规则,有: ac | ar |r1,m ar (12) 由初始化假设 ac |#r1和新鲜性规则,得到: ac |#r1,m ar (13) 根据临时值验证规则,由式(12)和(13),得到: ac | ar |r1,m ar (14) 根据信仰规则和式(14),得到: ac | ar |m ar (15) 再根据初始化假设 ac | ar m ar 和仲裁规则,得到 ac m ar ,目标得证。在理想化模型3)中,根据同样推理过程,可以证明目标 ar ac k rc 2 ar 和目标 ar m ac 。4.2 安全性能分析 在轻量级身份认证协议中: 1) ar 与 ac 拥有首轮身份认证之后的共享认证密钥k rc 。在认证过程中,利用共享认证密钥k rc 、认证方生成的随机数r以及认证
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 