可保护平台配置隐私的安全远程证明研究

Trusted Computing is a hot research topic in information security domain at recently, and remote attestation is one of the important components of Trusted Computing, i.e. attesting the platform configuration information of the local platform to a remote entity. At present, the research about remote attestation focused on the models of remote attestation, the methods of remote attestation and the security protocols of remote attestation. However, the existing models and methods of remote attestation are unable to protect platform configuration privacy or implemented in highly complex ways. And the research of security protocols of remote attestation is in the elementary phase, remains to be studied, especially on platform configuration privacy and security..To solve these problems, the project prepares to use TPM as an appraiser to establish a remote attestation model that can protects platform configuration privacy. Secondly, by the theoretic and experimental study of software behavior, the project prepares to establish a remote attestation model that is based on software behavior characteristics and can protects platform configuration privacy. Thirdly, the project prepares to establish a provable security analysis theory of security protocols of remote attestation, and an extended strand space model for security protocols of remote attestation. And then, based on this, the project prepares to design security protocols of remote attestation on basis of the remote attestation model and the remote attestation method, realizing security remote attestation with platform configuration privacy protected.

可信计算是近年来信息安全领域的研究热点，而远程证明问题是可信计算的关键问题之一。远程证明是指向一个远程实体证明本地平台的配置信息。目前对远程证明的研究主要集中于远程证明模型研究、远程证明方法研究和远程证明相关安全协议研究。但是，现有远程证明模型和方法要么不能保护平台配置隐私，要么实现复杂度较高。而对远程证明相关安全协议的研究还处于初级阶段，还需要进一步研究，特别是在平台配置隐私保护和安全性方面。.为了解决这些问题，本项目拟基于TPM为仲裁者来建立可保护平台配置隐私的远程证明模型；通过对软件行为学的理论与实验研究来建立基于软件行为特征的、可保护平台配置隐私的远程证明方法；建立可证明安全的远程证明相关安全协议分析理论，以及针对远程证明相关安全协议的扩展串空间模型，并在此基础上结合本项目所提出的远程证明模型和远程证明方法，设计安全的远程证明相关协议，从而实现可保护平台配置隐私的安全远程证明。

可信计算是近年来信息安全领域的研究热点，而远程证明是可信计算的关键问题之一。现有远程证明模型和方法要么不能保护平台配置隐私，要么实现复杂度较高。而对远程证明相关安全协议的研究还处于初级阶段。为了解决这些问题，本项目在可保护平台配置隐私的远程证明模型、方法和协议方面进行了深入研究，主要工作如下：.(1) 在可保护平台配置隐私的远程证明模型研究方面，提出了一种平台完整性本地验证的远程证明模型和一种平台本地评估的远程证明模型。.(2) 在可保护平台配置隐私的远程证明方法研究方面，搭建了基于TPM Emulator/TPM芯片/TCM芯片的可信计算实验平台、基于TPM芯片/TCM芯片的单向远程证明实验环境和双向混合远程证明实验环境，在软件行为学理论研究的基础上构建了软件行为特征度量与验证系统和基于软件行为特征的远程证明系统，并提出了一种有效的混合远程证明方法。.(3) 在远程证明相关安全性理论研究方面，提出了自动验证理论和针对远程证明及可信网络连接协议的自动验证理论扩展，针对多身份认证系统和多协议混合环境对串空间理论进行了进一步扩展，针对远程证明及可信网络连接协议对可证明安全理论中的CK模型和UC模型进行了扩展。.(4) 在分析远程证明相关安全协议方面，利用本项目提出的自动验证理论，对NSPK协议、NSSK协议、Woo-Lam协议和Otway-Rees协议进行了安全性分析，并利用此前我们提出的串空间模型扩展理论，以及本项目扩展后的CK模型和UC模型对TNC IF-T EAP协议进行了安全性分析。.(5) 在设计远程证明相关安全协议方面，对Woo-Lam协议和Otway-Rees协议进行了改进，提出了增强型TLS协议、增强型WAI证书鉴别过程、增强型ETLS协议、扩展的IKEv2协议、健壮的单向/双向远程证明协议及可信网络连接协议，对多身份认证系统、WSN远程证明协议和智能卡安全接入协议进行了初步研究。.以上这些研究为可保护平台配置隐私的远程证明模型和方法研究、远程证明相关安全协议的分析与设计研究奠定了理论基础。