網絡服務中基于可信計算平臺的信任管理

(1.華中科技大學 計算機科學與技術學院， 武漢 430074；2.中國地質大學 數學與物理學院，武漢430074)

摘要：提出了基于可信計算平臺的信任管理方案，除了對用戶的信任狀檢查以外，還需要對可信計算平臺也進行身份和權限的檢驗。將可信計算平臺的信任狀按粒度分為三類并將安全策略進行相應的分類，最后在網格環境下分析提出的方案。

關鍵詞：信任管理；可信計算；網絡安全

中圖分類號：TP309文獻標志碼：A

文章編號：1001-3695(2008)11-3457-03



Trust management of network service based on trust computing platform



HU Fu-lin1，XIAO Hai-jun2

(1.School of Computer Science Technology ， Huazhong University of Science Technology ， Wuhan 430074， China;2.School of Mathema-tics Physics ， China University of Geosciences， Wuhan 430074， China)Abstract:This paper proposed a novel trust management method based on trust computing platform. It checked both users and platforms’ identity and ownership. The trust computing platform credentials and the policies were divided into three types.At last，analyzed the application of the method in computing grid.

Key words:trust management; trust computing; network security



很多年以前，信任的概念就在不同的學科中被提出。現階段，隨著信息化的迅猛發展，各種系統在分布式的環境下頻繁地進行相互通信，使得信任的概念以及內涵越來越受到重視。在信息安全的領域，信任更是扮演了一個重要的角色。在20世紀80年代初，TCSEC(trusted computer system evaluation criteria)使用信任分區來保證系統的可信。之后，在分布式系統中引入了可信中心的概念，可信中心用于管理一些安全服務，如密鑰管理、訪問控制和證書等。隨之信任管理的概念在90年代末和2000年初被提出，其主要是對身份和權限的管理。在安全系統中，信任的概念往往是基于硬件安全的前提之上。隨著TCPA(trusted computing platform alliance)對可信計算平臺的研究，已經可以保證硬件方面的安全。可信計算平臺是一種基于硬件的專門維護計算機之間可信和安全的子系統平臺。

在本文中，主要討論如何將可信平臺用于網絡信任管理。特別是在概念上，從基于用戶的信任管理轉變為基于用戶與平臺的信任管理。在使用可信平臺的基礎上，討論如何授權以及認證，最后作出安全決策。

本文描述了基于可信計算平臺的分布式信任管理框架，詳細描述了平臺的信任狀分類以及相應策略分類，并分析了在計算網格中基于可信計算平臺信任管理的應用。

1預備知識

11可信計算平臺

TPM(trusted platform module)芯片是可信平臺的中心。TPM執行某些密碼函數并且為數據和密鑰提供存儲寄存器。使用TPM芯片，可信計算平臺可以提供認證以及數據、密鑰存儲功能，還有證明服務^[1]。整個平臺的硬件、固件和軟件都有相對應的散列值，該值包含在該部件的合法證書中，其正確性表明該部件是否處于正常工作狀態。當平臺啟動，測量代理將重復測量平臺的各個部件，并將通過檢驗的新值在PCR(platform configuration register)中代替相對應的舊值。可信計算平臺使用證明機制^[2]來傳達存儲的PCR值，測量日志以及個體部件的合法證書。通過這些信息，就可以判斷該平臺是否處于正常工作狀態。

12屬性

J.Poritz等人^[3]和A.R.Sadeghi等人^[4]提出了平臺狀態和安全屬性的映射。安全屬性可以看做平臺的高級狀態，在自然語言或結構化變量中，描述平臺的某些狀態。相對于二進制的表示，屬性有如下三點優勢：

a）屬性往往使用自然語言命名，比二進制值便于理解；

b）相對于部件對應的散列值，特別是當部件更新時，屬性往往無須改變；

c）屬性隱藏了許多具體執行的細節，有利于為證明服務提供更好的私密性。

2基于可信計算平臺的分布式信任管理框架

信任關系表示SP相信SD有足夠的權限來訪問其所請求的服務，SD相信SP將按其期望提供相應的服務^[5]。而在分布式系統中，往往是服務的請求者與提供者之間相互陌生，沒有任何預先存在的信任關系。雖然以前的安全性結論如X.509公鑰證書和PGP都涉及到信任的概念，但信任管理的概念首先是被Blaze等人^[6]提出。Blaze等人給出了一個完整的信任管理框架，包括信任的定義以及決策支持，是一種說明和解釋安全性策略、信任狀以及關系的統一方法。該方法允許對安全性行為進行有向認證^[7]。這個傳統的信任管理系統框架如圖1所示。

本文對該信任管理系統進行進一步的擴展，利用可信計算技術，將不僅僅是對用戶進行認證，而是同時對用戶和平臺進行認證，過程如圖2所示。請求者SD需要在請求時提供其用戶信任狀和平臺信任狀。SP需要回答兩個額外的問題：請求者所在平臺有訪問SP的必要屬性嗎？服務者將會在檢驗請求者權限之前來檢查請求者所在平臺是否合法。如果不合法，那么直接放棄其請求；如果合法，繼續檢驗請求者身份是否合法并具有訪問權限。因此，可信計算平臺通過TPM，提供的具有可信功能和屬性的分布式認證服務，可以更好地進行決策。

可信計算平臺整體的信任管理框架需要的重要元素有：a)正確的用戶和平臺信任狀，使得SP能判斷給予請求者哪些權限；b)需要一個評估引擎來判斷提供的信任狀在規定策略下是否有足夠權限滿足請求所需；c)需要一個協商協議，當所提供的信任狀的權限不足以滿足請求時，需要補充信任狀。

3平臺信任狀

用戶的信任狀已經提出較長時間了，所以本文假設信任管理系統中的用戶信任狀格式是符合系統要求的，不對用戶信任狀進行討論。

31平臺信任狀分類

本文將平臺信任狀分為兩類，即身份信任狀(identification credential，IC)

和授權信任狀。IC可以提供平臺的基本信息，如平臺身份以及操作系統信息。平臺身份信任狀主要包括EK(endorsement key)和AIK(attestation identity key)。EK主要用于獲取權限并產生AIK，但不能通過EK來表示可信計算平臺；AIK則主要用于標志可信計算平臺，一個用戶可以創建的AIK是有數量限制的。身份信任狀的格式如下：

ICi，{Puser，Kshare}K-1i，

{IDplatform，MS}Kshare，signaturei

其中：ICi表示該信任狀為第i個平臺的身份信任狀；{Puser，Kshare}K-1i為平臺身份信任狀的EK，Puser表示用戶所擁有的權限；Kshare表示用于加密AIK的密鑰，而K-1i表示平臺i的私鑰；{IDplatform，MS}Kshare為平臺身份信任狀的AIK，IDplatform表示平臺的ID，而MS表示平臺的組件集合；signaturei表示第i個平臺的數字簽名。

平臺的授權信任狀比身份信任狀更加復雜，因為授權信任狀能通過權限的要求尋找相應的可信計算平臺。其中不僅包括平臺整體屬性，而且還包括組成平臺的各組件的身份、各組件的屬性以及組件之間是否可以同時運行等其他信息。當可信平臺收到服務請求后，可信平臺將檢驗對方平臺授權信任狀是否包含了服務請求所需的所有權限，如果已經包含，那么提交給SP；如果沒有完全包含，那么繼續協商，當超過一定協商次數時，拒絕服務。

32組件屬性證書

為了靈活解決上面提到的授權信任狀的權限問題，本文提出組件屬性證書(module attribute certificate，MAC)的概念。組件屬性證書對每個組件進行抽象，將原來的平臺設置寄存器(platform configuration registers，PCR)二進制值轉換為組件的某個屬性。平臺中每個組件均有某些固定的屬性，這些屬性由MAC進行描述。MAC的格式如下：

MACi，{{modulej，accessj，Gj}，…，{modulek，accessk，Gk}，lifetime}K-1i，signaturei

其中：lifetime表示MAC的有效時間；module表示組件的名稱；access表示組件所擁有的權限；G表示屬性粒度，表示的是平臺i所擁有的私鑰；signaturei是平臺i的數字簽名。在進行組件屬性證書驗證時，MAC屬性集合中的屬性將與PCR的二進制值、日志和組件有效性證書聯系起來。當組件有效性證書中的值與MAC中相對應的值均有效時，該屬性可用。

組件屬性證書中的屬性集可以包含多種不同類型的屬性。本文主要將屬性粒度分為粗、中和細三類。如果是屬性類型為粗，那么說明該屬性是系統整體上的，對某些系統特征的抽象表示，這樣的屬性較難表示，但是在驗證部分可以提供更高的機密性。屬性類型為低，說明該屬性是細粒度，往往表示可信計算平臺某個組件的具體特征，這樣的屬性容易表示，但是機密性不高。屬性類型為中，是將安全性屬性從整體上劃分成多個組，當某個組件的屬性滿足分組要求時，就分配到該組，并以隊列的形式進行排列。當需要該組的組件進行服務時，從隊列中取組件提供服務。

33策略類型

根據組件屬性證書中對屬性集屬性的分類，本文將可執行策略也相應地分為三類，如圖3所示。

在平臺級策略中，授權策略在抽象層。SD使用粗粒度屬性。例如，如果平臺所有的組件均有完整性保護，那么請求者認為平臺具有平臺完整性屬性。也就是說，每個組件的驗證值和組件有效證書中的相應值是一致的。這些策略無須單個組件的屬性細節，可保證SP的私密信息。該類型策略涉及的范圍最廣泛，所以在圖3的最外層。

而在特定策略中，所有策略均是使用的細粒度屬性，SD針對每個單獨的組件。雖然這樣更細節的請求會更加難以實現，但是為了提高信任管理系統的靈活性，是非常有必要的。例如，SD可以要求SP的組件X更新到版本A。SP的組件屬性證書(MAC)可以獲取這樣的信息，也可以作為平臺授權信任狀展示給SD。SD接收到MAC以后，就可以判斷SP具有哪些屬性，能否提供所需服務。

組級策略中，策略的定義是相對折中的，既不過于抽象也不非常具體。策略使用的均是中粒度的屬性，所反映的對象是某些具有共同特性的組件。本文將這些組件歸為同一個組，不同的策略分配到不同標簽的組。組的安全性標簽與安全性屬性相對應，所以SD相信具有某類標簽的組件具有相應的安全性屬性。

34策略與權限

上節中，主要討論了信任狀的類型和信任管理系統所采用的策略，將策略按不同粒度進行劃分，系統根據不同情況采用不同粒度的策略。策略的粒度可以由SD以請求的服務來決定，也可以按發起服務請求的平臺以及組件情況來確定。所以策略的制定，要適合不同的平臺、平臺中不同的組件以及組件中不同的屬性。系統需要為平臺、組件和屬性分配不同的權限。RBAC^[8]中，用戶被分配不同角色，而不同角色擁有不同的權限。當用戶的情況發生變化時，僅僅是用戶所擁有的角色改變了，而角色的權限關系是沒有變化的。同樣地，如果信任管理系統中屬性、組件或平臺的要求改變了，也不應該影響系統策略。這里效仿RBAC中用戶—角色—權限的關系，在屬性、組件、平臺與權限之間，設置一個中間量，稱為成分。其中屬性、組件和平臺擁有一個或多個成分，而每個成分擁有相應的權限。那么，當需要將中等粒度策略的組件轉換成低粒度策略時，只需在組件的成分中進行重新配置，而無須將組件和權限作更多的調整。

IBM的TPL(trust policy language)是一種基于XML的語言，主要用于定義新用戶和預先定義的基于可信第三方授權角色之間的關系。其中的角色擁有可信第三方提供的證書，如X.509。同樣地，本文使用TPL來映射組件屬性證書與成分之間的關系，然后通過XACML策略語言來為成分分配權限，如圖4所示。

35應用場景

假設現有一個用于網絡服務的計算網格，網格本身擁有很多獨立節點，這些節點提供計算或存儲資源。所有的網格節點及這些節點之間的協作關系由網格管理中心(grid management center， GMC)進行管理，GMC同時也具有如為主機身份驗證、授權和審計的功能。當主機提出申請需要使用網格資源時，GMC將對該主機進行評估，判斷該主機是否具有足夠的權限來使用相應資源，如果有，那么分配相應的組件節點來執行所需服務。這里請求服務的主機作為SD，而網格作為SP。

SD本身會有安全性要求，只有當網格滿足一定的條件時才使用網格。請求者首先會期望GMC提供數據機密性和完整性的保護服務，但是并不關心GMC是如何實現該服務的。其次也希望GMC能正確地執行數據存儲策略，保證數據在執行后能在網格中繼續存儲七天以上。最后，請求者需要知道數據運行成分節點的身份。

對應SD的需要，將策略按3.3節中介紹的分為平臺級策略(P)、組級策略(G)和特殊策略(S)。P策略保證節點的軟、硬件受到完整性保護；G策略保證在SD不知道執行機制的情況下，GMC為其所請求的數據提供機密性保護；S策略更為嚴格，需要在全局范圍內保證這些數據在使用完以后保存七天以上。在該實例中，節點就作為成分并獲得一定的權限，網格中的各節點在權限允許的范圍可以相互調用資源。

GMC會要求SD提供信任狀，并檢查信任狀是否滿足權限要求。而SD也會要求網格提供其中服務響應節點的身份信任狀和授權信任狀。成分節點提供服務是P策略，也就是說其作為一個整體提供透明服務，而在數據保護和數據存儲方面，分別為G策略和S策略。SD與SP的交互過程如圖5所示。

交互步驟如下：a）SD提交自己的信任狀給平臺，平臺確認其權限后將請求者的信任狀和平臺的信任狀一起提交給SP。b）網格中的SP檢驗請求者及其平臺的信任狀合法并具有相應權限后，也會將服務者及其平臺的信任狀返回給SD。c）SD對提交的信任狀進行認證，獲取GMC和服務節點的身份信息，并按照規則使用策略庫中的不同策略。如果提供的信任狀沒有足夠的權限執行所需要的服務，那么SD將繼續通過a）b）與SP進行協商。如果有足夠權限，那么請求者將提供計算數據。d）SP將進行計算并返回計算結果。

4結束語

在傳統的信任管理系統中，SD在請求服務的同時提交自身的信任狀，SP根據其所擁有的權限判斷是否提供服務。隨著可信計算技術的發展，現在應該是不單只要求服務者本身的權限，而是還需要同時考慮SD和提供者所在平臺的權限。本文中，對低層的狀態進行了抽象，在高層以屬性表現這些狀態值，通過組件屬性證書來評估通信實體之間的可信關系。同時，將安全策略從抽象到具體劃分了三個層次，組件根據其作用不同可選擇相應層次的策略。

未來的工作中，需要更加詳細地定義組件屬性證書、標簽以及屬性集合，使得信任管理系統能夠更加形式化地評價組件之間的可信關系。對于信任狀的認證，也需要進一步細化，使得雙方平臺可以快速、準確地獲取對方的權限，有助于進一步的協商。

參考文獻：

［1］Trusted Computing Group．TPM main specification version 1.1b[K].2005.

[2]BALACHEFF B，CHEN Li-qun，PLAQUIN D，et al.Trusted computing platforms: TCPA technology in context[M].[S.l.]:Hewlett-Packard Company ， 2003.

[3]PORITZ J，SCHUNTER M，HERREWEGHEN E V，et al.Property attestation-scalable and privacy-friendly security assessment of peer computers，RZ 3548[R].[S.l.]:IBM Research， 2004.

[4]SADEGHI A R，STUEBLE C.Property-based attestation for computing platforms:caring about properties， not mechanisms[C]//Proc of in New Security Paradigm Workshop.2004. 

[5]VARADHARAJAN V.Authorization and trust enhanced security for distributed applications[C]//Proc of the 7th International Conference on Information and Communications Security. Beijing:[s.n.]，2005.

[6]BLAZE M，FEIGENBAUM J，IOANHIDIS J，et al.RFC 2704，The keynote trust-management system version 2[S]. [S.l.]: Internet Engineering Task Force，1999.

[7]NAGARAJAN A，VARADHARAJAN V，HITCHENS M.Trust mana-gement for trusted computing platforms in Web services[C]//Proc of the 2nd ACM Workshop on Scalable Trusted Computing.Alexandria， Virginia:ACM Press，2007:58-62.

[8]SANDHU R S，COYNE E J，FEINSTEIN H L，et al.Role-based access control models[J].Computer，1996，29(2):38-47.