返回
可信计算平台委托机制的分析与改进

可信计算平台委托机制的分析与改进

ID:5354849

大小:204.18 KB

页数:4页

时间:2017-12-08

可信计算平台委托机制的分析与改进_第1页
可信计算平台委托机制的分析与改进_第2页
可信计算平台委托机制的分析与改进_第3页
可信计算平台委托机制的分析与改进_第4页
资源描述:

《可信计算平台委托机制的分析与改进》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、第35卷第5期武汉大学学报信息科学版Vol.35No.52010年5月GeomaticsandInformationScienceofWuhanUniversityMay2010文章编号:16718860(2010)05059904文献标志码:A可信计算平台委托机制的分析与改进11黄宁玉张兴(1北京工业大学计算机学院可信计算实验室,北京市朝阳区平乐园100号,100124)摘要:针对TCG委托机制中存在的使用已失效的委托信息仍能获得TPM服务的安全问题,提出了一种基于m叉哈希树MHT的委托方案。MHT存储在平台中,叶节点记录当前有效

2、委托的哈希值,子节点连接后计算哈希值构成父节点,如此递归产生根节点存储在TPM中。创建或撤销委托时,添加或删除MHT相应的叶节点,同步更新MHT内部节点直到根节点;执行委托时,查询MHT,判断委托当前是否合法有效,避免TPM中的资源被非法利用。实验结果表明,新的委托方案具有更高的安全性,且容易实现。关键词:可信计算;委托;授权数据;哈希树中图法分类号:TP393控制和管理对敏感信息的授权访问是信息安全最重要的核心服务之一。授权是基于个人身份授予其访问系统对象的权限的过程,在备份职责、分散职权、协同工作等的需求下,基于授权产生了[1]委托的观点,

3、委托是指一个实体的所有者将其图1TCG委托机制具有的某些权限授予另一个用户,使后者能代表Fig.1TCGDelegationMechanism[2]前者执行一些功能。委托具有单调性、多重性[3]根据TPM规范,TPM中的实体主要为等特性,符合最小特权、职责隔离等安全设计原[4]TPM所有者以及各种类型的密钥,通常可被用于则。在国际可信计算组织TCG推出的以可信[58]执行多种功能。用户在TPM中创建实体时,赋平台模块TPM为核心的系列规范中详细定[6]予实体一个授权数据,该授权数据由该用户或义了TPM的逻辑功能和体系框架。不少文献对者称实体的

4、所有者掌握。TPM尤其是其中的授权协议进行了安全性研究,委托使用密钥和委托使用TPM所有者的原其中,通过SVO逻辑等各种方法和工具对平台理和关键步骤相似,本文均以委托使用密钥为例。中使用最广泛的对象相关授权协议OSAP进行1.1创建密钥委托的分析表明,协议中存在密钥句柄替换、授权数据[911]委托者提交委托的授权数据auth1、auth1具内外不同步等安全问题,其中,文献[9]还提有的权限即委托的功能permissions1等信息,出了采用线性列表来维护授权数据的解决方法。TPM通过软件栈接收后,创建委托本文提出了一种基于m叉哈希树MHT的委托

5、delegateKeyBlob:∀用内部密钥delegateKey加密方案。auth1为auth1#;∃创建密钥委托delegateKeyBlob,在其中记录需要委托的功能permissions1、加密的1TCG委托机制授权数据auth1#、委托所使用密钥的相关信息等;[12]%在内部密钥tpmProof的控制下,计算该委托利用takegrant模型!描述TCG委托机delegateKeyBlob的消息验证码,并记录在委托中,制如图1所示。收稿日期:20100315。项目来源:国家863计划资助项目(2006AA01Z202);国家973计

6、划资助项目(2003CB317003);香港城市大学应用研究与发展基金资助项目(9668009)。600武汉大学学报信息科学版2010年5月最后将委托返回给委托者。1.2执行密钥委托委托者将委托delegateKeyBlob以及为密钥新创建的、赋予了一定权限的授权数据通过安全渠道授予被委托者,被委托者将以上信息及请求执行的命令等通过执行DSAP协议提交TPM,TPM接收后执行以下主要操作:∀在内部密钥图2委托的MHT存储结构tpmProof控制下计算委托delegateKeyBlob的消Fig.2MerkleHashTreeforDeleg

7、ation息验证码,验证完整性;∃用内部密钥typedefstructMHTNode{delegateKey解密delegateKeyBlob中的auth#1,UINT32delegateID;得到委托的授权数据auth1;%通过协议的多步TPM_DIGESTintegrityDigest;交互验证delegateKeyBlob中的auth1是否与用structMHTNode*father,户提供的授权数据一致,若一致,则查找*firstSubTree,*nextSibling;delegateKeyBlob中的permissions1域,检验用

8、户}MHTNode,*MHT;所请求的功能是否被密钥委托者委托,如果是,则叶节点的delegateID和integrity

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。