基于可信固件的遠程身份認證模型研究

◆趙 進

?

基于可信固件的遠程身份認證模型研究

◆趙 進

(中國人民解放軍91977部隊 北京 100841)

基于操作系統層的終端計算機身份認證模型，主要工作機制是通過運行于終端計算機操作系統中軟件代理與認證服務器交互完成，此時操作系統已經啟動，可能存在惡意軟件隨操作系統啟動等安全隱患。本文研究基于終端計算機構建可信固件并實現固件層的軟件代理，提出了基于可信固件的身份認證模型。該模型能夠在操作系統啟動前完成對終端計算機身份認證，并根據認證結果執行禁止開機、禁止接入網絡等安全管控策略。

可信固件；身份認證；模型

0 引言

隨著信息技術的發展，云計算、移動計算等工作模式逐步成熟，眾多企事業單位逐步引入移動辦公和遠程辦公，特別是在內網部署終端計算機，通過虛擬桌面系統在線處理工作[1]。在線辦公在提升管理效率、降低管理成本的同時，也帶來了數據泄露、黑客攻擊等安全問題[2]。

終端計算機是數據信息產生的源頭，也是大多數網絡攻擊的首要目標。身份認證系統是確保終端計算機安全應用的一種重要方案，通過身份認證協議，可以防止非法人員進入應用系統訪問受控信息、惡意破壞數據等安全隱患[3]。但目前常用的身份認證系統通過運行于操作系統中的軟件代理與認證服務器交互完成工作[4]。在此認證過程中，存在惡意軟件隨操作系統啟動的風險，以及操作系統中的身份認證機制被卸載或旁路，無法阻止非授權終端接入內網[4]等安全隱患。

在國際上，可信計算是由可信計算組織（Trusted Computing Group, TCG）進行推動和開發，基本的思路是在計算機主板上配備“信任根”（可信平臺模塊）。該信任根的可信性由物理安全和管理安全確保；通過該信任根構建信任鏈，能夠建立從信任根到硬件平臺，從硬件平臺到操作系統，從操作系統到應用的認證，把信任擴展到整個可信計算領域[6]。

固件是計算機中不可缺少的重要部件，是連接計算機基礎硬件和系統軟件的橋梁[5]。在可信計算機系統中的固件，稱之為可信固件[7]。計算機開機后，可信平臺模塊首先會對可信固件進行主動的可信度量，保證固件的完整性。在此基礎上，固件會對計算機的關鍵硬件和核心軟件進行度量，保證硬件不被替換、系統軟件不被篡改。本文研究提出了基于可信固件的身份認證模型，通過在終端計算機構建可信計算能力，實現對終端計算機的可信度量、加解密及雜湊運算等功能，完成基于可信固件層的遠程身份認證。

本文第一節研究構建了基于可信固件的遠程認證系統總體架構；第二節研究提出了認證系統功能組成；第三節研究設計了模型可信固件架構；第四節研究設計了身份認證管理中心架構；第五節對全文進行了總結。

1 認證系統總體架構

為實現終端計算機計算機遠程身份認證，需要滿足以下安全性要求。

（1）終端計算機自身的安全性驗證。即需要實現對終端計算機自有關鍵硬件和核心軟件的驗證。

（2）固件層具有網絡協議棧的支持。即在開機過程中對終端計算機提供網絡接入支持。

（3）對終端計算機的身份進行驗證。部署身份認證管理中心，對終端計算機的身份進行驗證，同時，對終端計算機的接入進行控制。

因此，基于可信固件的遠程身份認證系統包括以下幾個部分，系統拓撲圖如圖1所示。

（1）資源管理中心。該中心用于管理終端計算機和服務器的密鑰及相關算法模塊，其功能包括密鑰產生、注冊、銷毀等管理功能。本文主要針對身份認證系統和機制進行研究設計，對資源管理中心不展開討論。

（2）身份認證管理中心。該中心主要負責對各個終端計算機的完整性認證和身份認證，并同時對終端計算機進行接入控制。

（3）終端計算機。在每一臺需要管控的終端計算機中都部署相應的可信平臺模塊，用于對自身的完整性進行度量，實現身份認證相關協議。

（4）應用服務器。應用服務器用于為終端計算機提供基礎軟件服務，即可以采用虛擬化等技術提供遠程桌面，也可以提供辦公系統、財務系統等應用服務。

圖1 遠程身份認證拓撲圖

從圖1可以看出，任何一臺終端計算機接入應用服務網絡前，首先要經過身份認證管理中心的身份認證。只有在身份認證通過后，才能夠與應用服務器建立連接。

2 認證系統功能組成

本文提出的基于可信固件的遠程身份認證系統的主要功能包括以下三點：

（1）終端計算機完整性驗證，防止關鍵硬件和核心軟件的破壞。

（2）終端計算機身份驗證，在固件層實現遠程身份認證流程。

（3）終端計算機啟動和接入控制，如果終端計算機遠程身份驗證失敗，則基于策略對終端進行控制。

因此，基于可信固件的遠程身份認證系統功能組成如圖2所示。

圖2 遠程身份認證系統功能組成

其中，終端計算機的可信固件包括了完整性度量、身份認證和受控管理三個功能。完整性度量保證了終端計算機啟動環境和運行環境的安全、可靠；身份認證能夠基于可信平臺模塊，實現終端的平臺身份認證；受控管理包括對終端啟動的控制和網絡接入的控制。這三個功能互為依托，完整地實現終端計算機接入應用網絡的整體控制流程。

3 認證模型可信固件架構

通過對遠程身份認證系統的分析，支持終端計算機遠程身份認證系統的可信固件需要包括以下功能模塊，如圖3所示。

（1）可信平臺模塊驅動。該模塊是符合可信平臺模塊接口的固件模塊，能夠在固件層對可信平臺模塊自檢、加解密、存儲等接口進行調用。

（2）可信度量模塊。該模塊通過可信平臺模塊的相關接口，能夠對終端計算機關鍵硬件和核心軟件，如主板、內存、操作系統內核等進行度量。

（3）身份認證模塊。該模塊包括對用戶身份進行認證和終端平臺身份認證兩個功能。

（4）受控管理模塊。該模塊接受身份認證管理中心的命令，能夠在固件層對計算機終端進行禁止開機等控制。

（5）配置管理模塊。配置管理模塊包括對是否啟動可信度量、身份認證等功能的管理。

（6）網絡協議模塊。該模塊在固件層提供網絡協議棧的支持，包括IP網絡協議、UDP/TCP傳輸協議等。

（7）固件通用模塊。該模塊包括了固件對硬件初始化和操作系統引導等功能。

圖3 終端計算機可信固件組成

4 身份認證管理中心架構

與可信固件相對應的身份認證管理中心也需要包括以下模塊：網絡通信模塊、身份認證模塊、終端管理模塊、數據加解密模塊和數據管理模塊，如圖4所示。

4.1 網絡通信服務

該模塊用于接收可信固件客戶端的連接請求，與客戶端建立網絡連接。同時，該服務也能對建立的網絡連接進行管理。

4.2 身份認證服務

該模塊用于對可信固件客戶端發送的身份認證信息進行身份認證，并得出身份認證結果。

4.3 終端管理服務

該模塊實現對終端計算機進行管控，包括終端的錄入、狀態跟蹤、日志記錄、管理策略等功能。

4.4 數據加解密服務

對重要數據進行加密或解密服務。

圖4 身份認證管理中心系統組成

5 結束語

本文研究設計了基于可信固件的身份認證模型，通過在終端計算機構建可信計算能力，完成基于可信固件層的遠程身份認證，能夠有效防止惡意軟件隨操作系統啟動、身份認證機制被卸載或旁路、非授權終端接入內網等安全隱患。

[1]芮蘭蘭，郭春明，邱雪松等.下一代終端計算機管理系統體系結構及流程實現[J].北京郵電大學學報，2009.

[2]廖輝，凌捷.終端計算機安全狀況評估指標體系的研究[J].計算機工程與設計，2010.

[3]周超，周城，丁晨路.計算機終端計算機準入控制技術[J].計算機系統應用，2011.

[4]戚文靜，張素，于承新等.幾種身份認證技術的比較及其發展方向[J].山東建筑工程學院學報，2004.

[5]楊培，吳灝，金然.BIOS安全防護技術研究[J].計算機工程與設計，2008.

[6]馮登國，秦宇，汪丹等.可信計算技術研究[J].計算機研究與發展，2011.

[7]周振柳，李銘，翟偉斌等.基于UEFI的可信BIOS研究與實現[J].計算機工程，2008.