余麗華

(福建廣播電視大學計算機系 福建福州 350003)

計算機無線網(wǎng)絡中基于簽密算法的模塊屬性遠程證明協(xié)議研究

余麗華

(福建廣播電視大學計算機系 福建福州 350003)

計算機的發(fā)展和普及，給人類的生產(chǎn)生活帶來了很大的方便，計算機網(wǎng)絡問題也隨之接踵而來。可信計算機正是在這個時期發(fā)展起來的，它對提高計算機網(wǎng)絡發(fā)揮著重要的作用，提高了計算機的抗擊能力。

無線網(wǎng)絡，簽密算法，模塊屬性，遠程證明協(xié)議

可信計算中的遠程證明協(xié)議解決的就是當前計算機連接時的相互認知問題。

按排計算機無線網(wǎng)絡中模塊屬性遠程證明協(xié)議，縮小了計算機網(wǎng)絡的驗證平臺，提高了計算機安全驗證的效率，但在實際的計算機模塊屬性遠程證明過程中還存在很多不足，如安全性能低、效率較低等。計算機網(wǎng)絡安全威脅中最主要的就是以安全防范措施的被動型以及網(wǎng)絡漏洞的出現(xiàn)，它們還不能夠對當前的安全系統(tǒng)加以攻破：①防火墻是計算機無線網(wǎng)絡中最傳統(tǒng)最普遍的組件，其缺點就是在事件發(fā)生后才進行彌補，即在漏洞攻破的過程中，根據(jù)反饋的有關信息來判斷病毒的攻擊程度，這種方法有很大的滯后性。②在開發(fā)軟件的時候，會有人惡意的植入一些病毒信息，平時很難發(fā)現(xiàn)只有在軟件運行的時候隱藏的病毒才會被激發(fā)，因此在軟件安全檢查的時候是很難檢測到這些病毒的。③很多監(jiān)測病毒木馬的軟件都不能夠完全的保證自己不含病毒。人們逐漸的認識到單一的軟件防護是無法抵抗病毒的，硬件系統(tǒng)抵抗病毒的方法受到了人們的重視。

可信計算機是利用軟件和硬件系統(tǒng)兩方面的結合來提高可信度的。而模塊屬性遠程證明協(xié)議正為計算機可信度的提升搭建了一個良好的平臺，模塊屬性遠程協(xié)議是在簽密算法的基礎上進行的，是一個通信雙方綜合可信度驗證的過程，同時向計算機使用者提供了一個可信的平臺，讓驗證者通過計算機發(fā)出有關信息對分析當前是否是通信的最佳時期。

筆者在原有計算機無線安全保證的基礎上，提出了模塊屬性遠程證明協(xié)議，用以提高計算機無線使用的安全性能。這是在簽密算法的基礎上產(chǎn)生的，它將各模塊的遠程協(xié)議和簽密系統(tǒng)的結合起來，以達到提高安全性能的作用；在實際的應用過程中，將驗證劃分為屬性驗證和指數(shù)驗證兩個部分，從而來全面的對證書的準確性和屬性值進行驗證，從而來提高計算機驗證的整體水平[1]。

1 可信計算和遠程證明協(xié)議的概念

可信計算是指在計算機無線網(wǎng)絡中引入安全系統(tǒng)，通過提高計算機軟件的安全性來提高計算機整體的安全性，從而來提高抵御黑客的入侵。從實質上來看，可信計算是建立在使用者和計算機的信任基礎之上的，在計算機無線無線網(wǎng)絡的使用過程中必須對計算機自身的安全性能進行驗證，這種驗證的方法來源于平時的使用效果。要想保證計算機無線網(wǎng)絡的安全使用，計算機和使用者之間的信任必不可少。信任關系的提高了計算機無線網(wǎng)絡的安全性能。可信計算機就是利用這一原理，將其應用到實際的計算機無線網(wǎng)絡中去。遠程證書是當前可信計算的重要內容。其中，模塊屬性遠程證明協(xié)議的步驟較多，證明的信息量較大、證書的網(wǎng)絡環(huán)境不穩(wěn)定，這很大程度上無法保證計算機的安全使用。筆者在原有計算機安全保護的基礎上，提出了基于簽密算法的模塊屬性遠程證明協(xié)議。

2 模塊屬性證明體系

計算機無線網(wǎng)絡中的模塊屬性是對計算機的安全系數(shù)加以描述。計算機使用者向開發(fā)商提出請求，開發(fā)商對計算機安全性能的證明可以通過對整個計算機系統(tǒng)的安全性能輸小到與模塊的安全性驗證。有關的證書權威機構對模塊的安全性能進行檢測后，對合格的模塊辦法證書，服務提供商可以通過安全證書來判定屬性證書的安全系數(shù)。在計算機無線網(wǎng)絡中基于簽密算法的模塊屬性遠征證明協(xié)議體系中，將整個體系劃分為了6大部分，如圖1所示。

圖1 模塊屬性證明體系

(1)模塊生產(chǎn)商：生產(chǎn)者所需要的模塊。但是在這個模塊中不能夠發(fā)布模塊證書。

(2)證書權威發(fā)布機構：該機構的主要職責就是為生產(chǎn)商所驗證的模塊頒布屬性證書。

(3)用戶平臺：該平臺配置有TPM，使用具有安全證書的模塊，并為使用者提供了科學的數(shù)據(jù)請求。

(4)服務提供商：計算機無線網(wǎng)絡提供商為使用者提供各種服務，它不具備檢測用戶平臺安全性的能力[1]。

(5)準確性驗證中心：可以對計算機網(wǎng)絡屬性證書的安全性能進行驗證，但是該部分卻不具備檢驗屬性的能力。

(6)屬性驗證中心：該平臺可以帶證書中的屬性和度量值的相對關系的準確性進行驗證。

計算機無線網(wǎng)絡中一個完整的模塊屬性遠程證明過程大致步驟為：模塊生產(chǎn)商發(fā)布生產(chǎn)者所需要的模塊——證書權威發(fā)布結構頒布屬性證書——用戶平臺為用戶提供服務請求——服務提供商對模塊屬性進行驗證分析，并獲得該模塊的屬性證書——證書準確性驗證中心對證書的準確性進行確定——屬性驗證中心對度量值摘要中的值是否與證書相匹配，驗證屬性證書是否過期[1]。

如圖1所示：可以將計算機無線網(wǎng)絡中基于簽密算法的模塊屬性遠程證明的過程分為三步：

(1)Application：模塊生產(chǎn)商向證書頒布發(fā)布機構申請模塊證書，證書頒布發(fā)布機構為各模塊辦法模塊證書，同時向驗證中心出題一種參數(shù)信息，因此來方便驗證屬性證書。在計算機網(wǎng)絡的使用過程中模塊證書會隨模塊信息引起傳遞給用戶。

(2)Attestation：用戶平臺向計算機服務商提供有關的信息數(shù)據(jù)請求，服務商要求準確性驗證中心進行檢驗，提供檢驗合格證書，并進行相關的遠程證明。

(3)Verfication：服務提供商和屬性驗證中心共同對模塊屬性進行驗證，并檢驗簽名的真實性和實在性。

3 模塊屬性遠程證明協(xié)議

3.1模塊屬性遠程證明協(xié)議的含義

當計算機無線網(wǎng)絡開發(fā)商開發(fā)出一個新的模塊后，就會根據(jù)TNC的規(guī)范給模塊定義一個ID地址。然后根據(jù)TPM進行度量，最后設定與度量的呢估計相適應的屬性值。所以模塊屬性包括ID地質、度量值、屬性值三個部分。

3.2遠程證明協(xié)議[1]

針對當前計算機無線網(wǎng)絡中遠程證明協(xié)議存在的有關問題，筆者介紹了一種基于簽密算法的模塊屬性遠程證明協(xié)議。服務提供商與計算機使用者之間的遠程效益進行交互。用戶在通過向服務平臺發(fā)送有關的服務請求后，服務提供商會轉發(fā)回一個數(shù)據(jù)，和用戶平臺保持相對于的等級。

3.2.1服務提供商與用戶間的遠程證明交互 用戶平臺的服務提供商對模塊進行了度量。通過對計算機服務商的度量進行計算，從而度量出mod1到modm的度量值[1]。計算機服務商選擇一個單向的嘻哈函數(shù)對先前度量出來的值進行連續(xù)性操作，生產(chǎn)摘要O=Hashstam(ID1‖ξ1…IDn‖ξn)，最后服務提供商進行簽名：σ=SignskTPM(o‖N)，則該用戶平臺的屬性簽名為σproperty=(σ,o,N,(c,e1,e2)mod1…(c,e1,e2)modn)

3.2.2PVC驗證屬性證書 驗證中心進行解簽密操作，在有關的數(shù)據(jù)庫中查詢中查詢出與之相應的度量值，從而來判定屬性的正確性，如果屬性是準確的，這時候屬性驗證中心就可以將驗證的結果發(fā)給計算機使用者。

3.3模塊屬性遠程證明協(xié)議分析

本研究提出了基于簽密法的模塊屬性遠程證明協(xié)議滿足了以下安全要求。

3.3.1模塊屬性遠程證明協(xié)議不可偽造性 由遠程證明協(xié)議中模塊屬性信息所產(chǎn)生的有關數(shù)據(jù)并不是在簽密證書生產(chǎn)的過程中產(chǎn)生的，因為簽密證書在生產(chǎn)過程中所產(chǎn)生的有關數(shù)據(jù)信息是不需要對外公布的。在遠程證明協(xié)議中模塊屬性中有效的防范計算機無線網(wǎng)絡攻擊者通過屬性信息生成的信息和簽密證書推算出簽密的算法。

3.3.2模塊屬性遠程證明協(xié)議的可驗證性 計算機無線網(wǎng)絡中基于簽密算法的模塊屬性遠程證明協(xié)議中簽密證書的驗證方法一般有兩種：一種就是通過數(shù)字信息驗證來加以完成；另一種就是通過簽密算法來恢復出信息。在本遠程證明協(xié)議中，第一種方法是由準確性驗證中心來完成的[1]，但是準確性驗證中心并不能夠將所得出的有關信息，而是從證書權威發(fā)布結構中得出信息的函數(shù)值，從而來避免信息泄露。第二種方法就是由屬性驗證中心來加以驗證。

3.3.3模塊屬性遠程證明協(xié)議的不可否認性 計算機使用者向服務提供商發(fā)送有關的屬性簽名，其中包含服務商所提供的隨機數(shù)。當用戶的屬性簽名沒有得到驗證，就不能夠對所否認自己所發(fā)布的有關信息。

4 模塊屬性遠程證明協(xié)議的原型模型

為了在計算機的實際使用過程中對模塊驗證方案的有關可行性進行分析，筆者在Rod Flag系統(tǒng)下實現(xiàn)了協(xié)議方案的原型。實驗中模塊屬性證明中所編寫的Java語言中包含了一個java文件，該文件為計算機無線網(wǎng)絡提了有利的數(shù)據(jù)，見表1屬性證書文件各字段說明。

表1 屬性證書文件各字段說明

其中計算機無線網(wǎng)絡基于簽密算法的模塊屬性遠程證明協(xié)議對模塊的簽名和度量值進行了確定。模塊的屬性由計算機函數(shù)隨機生成，度量值由函數(shù)加以生成，該值由有關的權威機構加以頒布。證書獲得后，板塊的度量值將被置于空值，僅僅保留ID等字段。然后通過對解簽密和度量值、屬性值的時間進行計算。

5 小結

筆者結合自己多年對計算機無線網(wǎng)絡中基于簽密算法的模塊屬性遠程證明協(xié)議的研究經(jīng)驗，提出了一種抗風險性較強、效率較高的模塊屬性遠程證明協(xié)議。在該協(xié)議中提出的模塊屬性為單位執(zhí)行遠程證明；采用簽密算法來減小屬性證書的生成時間[1]；就減少了計算機無線網(wǎng)絡所帶來的有關壓力；這種模型方案與原有的計算機安全性能保障措施相比有了很大的提升。

在該種方案下，證書權威發(fā)布機構在頒布屬性機構時，對模塊屬性的全部信息進行了了解。在實際的模塊屬性遠程證書的協(xié)議中，要將重心放在證書權威發(fā)布結構盲目簽密的工作上，使其在證書簽名使不能夠獲得證書模塊中的全部信息，從而進一步的提高計算機無線網(wǎng)絡中基于簽密算法的模塊屬性遠程證明協(xié)議的安全性。當前網(wǎng)絡中基于簽密算法的模塊屬性遠程證明協(xié)議研究研究成為了當前計算機網(wǎng)絡發(fā)展的必然趨勢[2]，筆者針對模塊屬性遠程證明協(xié)議進行了分析，并取得了很大的成效，但是仍然還存在很多的問題和缺陷需要有關的研究者進行繼續(xù)的研究和分析。

[1]彭新光，王曉陽.基于模塊屬性的遠程證明協(xié)議[J].計算機工程與設計，2013，34(2):46.

[2]張志中.面向節(jié)能的電梯群控蟻群調度策略[D].天津：天津大學，2010.

(責任編輯胡安娜)

2014-3-18

余麗華，18959170076@189.cn。

TQ 342.62

A

1674-9545(2014)02-0053-(04)