一种基于环签名的可信计算平台属性验证方法
【技术领域】
[0001] 本发明设及一种基于环签名的可信计算平台属性验证方法,属于信息安全技术领 域。
【背景技术】
[0002] 由于电网系统内网对计算平台的要求较高,在安装各种应用和安全防护软件后还 需对安装的软件进行二次加固,才能使安装的软件被允许接入内网,因此主要考虑内部属 性证书,即由可信巧片和其宿主联合签发的,目的是用来说明当前平台具有某种属性,而不 是直接考虑外部属性证书(直接由生产该软件的厂商签发的证书)。
[0003] 对于内部属性证书,由于需要真实报告平台的配置信息,因此必须有可信巧片的 参与才能签发。但因为设及到可信巧片的签名W及平台的配置信息,所W在计算平台验证 过程中,如何保护隐私性是亟待解决的重要问题。
[0004] 在现有的TCM设计规范中,主要有两种类型的证书;密码模块证书和平台证书。密 码模块证书用于建立密码模块密钥巧ndorsementKey,EK)与可信密码模块的绑定关系。 一个可信计算平台可W通过密码模块证书来证明平台可W被信任做出完整性度量报告。密 码模块证书可W提供平台嵌入有合法TCM的证据。在TCM证明自己的身份时,生成另外一 对ECC密钥对-平台身份密钥(PlatformIdentityKey,PIK)代替邸进行签名,并通过 和私有CA交互确认PIK的正确性来完成身份的证明。而平台证书中的平台身份证书可W 提供对平台环境状态配置信息的证明。TPCM运用PIK对受保护的平台配置寄存器(PCR)内 存储的有关平台配置信息的度量值进行数字签名,平台转发该签名给远程请求者来提供平 台完整性的度量。但是,该种证明方法暴露了本地平台的具体配置信息,使平台更容易遭受 攻击。此外,该种证明方法需要零知识证明,而零知识证明的实现效率较低,因此会影响可 信计算平台的验证效率。
【发明内容】
[0005] 本发明的目的在于,提供一种基于环签名的可信计算平台属性验证方法,既能满 足计算平台验证的远程匿名性,保护隐私,又能提高可信计算平台的验证效率。
[0006] 为解决上述技术问题,本发明采用如下的技术方案;一种基于环签名的可信计算 平台属性验证方法,包括W下步骤:设计算平台A、B为进行平台属性自动验证的双方,属性 证书中的属性P对应平台配置Cl,C2,…,旬,计算平台A选择其它t-1个内嵌可信巧片的计 算平台与自身形成环;由计算平台A内嵌的可信巧片A提取存放于对应PCR中的配置信息 摘要值Ct(1《r《脚,并由可信巧片A随机选择一个私有信息Xa,计算属性隐藏值yA= x,-i化化Cl,C2,…,旬)+dAr)mo化W及签名最终值;交互验证阶段,资源提供方即计算平台B 选择的私有信息xe和私钥de同时参与运算,验证计算平台A是否具有属性P。
[0007] 前述的基于环签名的可信计算平台属性验证方法,具体包括W下步骤:
[000引 (1)参数初始化阶段
[0009] 设计算平台A、B为进行平台属性自动验证的双方,计算平台A、B分别内嵌可信巧 片A、B,属性证书中属性P对应平台配置Cl,C2,…,旬,每个可信巧片拥有一个ECC密钥对 (PIKS,PIKP),其中,PIKS为私钥,PIKP为相应的公钥;
[0010] 当计算平台A需向计算平台B证明其是合法的可信巧片A拥有者时,计算平台A 选择其它t-1个内嵌可信巧片的计算平台与自身形成环,并通过可信巧片公钥证书获得其 他可信巧片的PIK公钥;设环中成员可信巧片的PIK公钥分别为PIKPi,PIKP2,…,PIKPt,为 表示方便,W下记作Qi,Q2,…,Q"有限域Fp上的楠圆曲线域参数为T= (P,a,b,G,n,h);
[0011] 可信巧片A选择私钥cIaG[l,n-l],计算公钥为楠圆曲线上的点a=(.皆,少&), 且Qa=daG,设自身可信巧片A的序号为S,即Qa=QS,dA=cU,此处生成的ECC密钥对即为 PIK密钥,即(cIa,Qa)就是(PIKS"PIKPs);
[001引 似签名阶段
[001引a)可信巧片A随机选择一个私有信息Xa(1《n-1),提取存放于对应PCR中 的配置信息摘要值Cr(l《r《N),计算XaG=(x',y')和r=x'mo化(r声0),联合 宿主计算属性隐藏值Ya二Xa-i(Hi化Cl,〔2,…,Cw)+dA:r)mo化且(Ya声0),此时,可信巧片A 要签名的信息为M= (P,a,b,G,n,h,Qa,yA,r,巧;
[0014] b)可信巧片A的宿主计算散列值k= & (M,Qi,Q2,…,Qt),随机选择初始值V和随 机数序列X。…,x,_i,Xw,…,X。利用楠圆曲线加密算法分别计算出yi=f(Xi),i声s,所使 用的公钥分别为Qi(l《i《t,i声s);
[0015] c)可信巧片A选择W下环方程:
[0016] C;,,〇,,知…乂)=左《_快 ? £;(义_10鸟_(...@ 左=v式(1);
[0017] 式中,EkO为对称加密算法,k= & (M,Qi,Q2,…,Qt)为对称加密算法的密钥,货为 逐比特异或运算;
[001引d)可信巧片A联合宿主根据式(1)计算出
[0019]
式似;
[0020] 式中,DkO为相应的对称解密算法;然后可信巧片A的宿主将y煎值发送到可信 巧片A内部,可信巧片A利用ECC私钥dA(即屯)使用楠圆曲线解密算法计算出x,=g(y,), 产生的(2t+l)维可信巧片A的PIK证书(PIKPi,PIKP2,…,PIKPt;v;x^X2,…,Xt)即为可信 巧片A对信息M= (P,a,b,G,n,h,Qa,yA,r,巧签名所产生的自签名证书;
[0021] e)计算平台A将信息M和PIK证书(PIKPi,PIKP2,…,PIKPt;v;x^X2,…,Xt)发送 给计算平台B;
[0022] (3)交互验证阶段
[0023] 计算平台B在收到计算平台A发送的消息M及可信巧片A签发的PIK证书后,首 先验证环签名是否合法,若不合法,则丢弃收到的消息;若合法,则计算平台B随机选择一 个私有信息Xb(1《n-1,)并计算= // (尸(;仁V,.C.、J.,ym'U2=巧A-imo化 和bi=H4(c1bG),然后计算ki=H3 03而(UiG+UsQa)),并发送XbG给计算平台A,计算平台A与 宿主联合计算b2 =H4佩),并返还k2 =H3 (bsX, (XbG))给计算平台B,计算平台B通过验证ki=k2来确定计算平台A是否具有属性P。
[0024] 上述公式中,U2、U2是代入计算k1的中间值,;HiO、&〇、&〇、H40均是哈希函数。
[0025] 前述的基于环签名的可信计算平台属性验证方法中,所述计算平台B验证环签名 的过程如下:
[0026] (1)计算对称密钥k= & (M,Qi,Q2,…,Qt);
[0027] 似计算f(Xi) (1《i《t);
[002引 做验证巧-0',eA-(义_i@A-(…货A-(义0V)…说=v是否成么若成么则接受所 述签名,否则拒绝所述签名。
[0029] 与现有技术相比,本发明具有W下优点:
[0030] 1、签名者可W在未经其他成员同意下代表其所属的任意环签名,不需要管理者来 生成签名,也不需要其他成员合作,并且每一位环成员在签名时可W使用不同的算法。
[0031] 2、验证签名的阶段和环签名一致,验证者只能验证该签名是由环中某成员生成 的,只能确信是环中某一位成员对信息进行了签名,但无法知道具体的签名者身份,不能指 出环成员中哪一位是真正的签名者,因此环签名隐藏了平台身份,不会泄露平台的具体属 性,且签名不可伪造。
[0032] 在平台属性证明过程中,采用类似于自动信任协商中的属性证书的技术,把多种 平台配置具有的共同属性准确地抽象成属性证书,属性证书中的属性P对应多种平台配置 Cl,C2,…,C。,从而平台的真实属性Ct被很好地掩盖在属性值P中,验证方只能获得属性值P 而无法判断出该平台的具体配置属于哪一种,因此隐藏了平台配置信息。
[003引同时,由可信巧片提取存放于对应PCR中的配置信息摘要值Ct(l《r《脚,并由 可信巧片随机选择一个私有信息Xa,计算属性隐藏值yA=x/化1 (P,〔1,〔2,…,旬)+dA:r)mo化 W及签名最终值,因此平台不能伪造相应的配置值,并且攻击者不能通过假冒A来获得B提 供的资源。在交互验证阶段,资源提供方B选择的私有信息xe和私钥cU同时参与运算,保 证了计算的随机性和资源提供方B身份的可靠性,使得敌手不能冒充B来为A提供不安全 的资源。
[0034] 3、匿名证明的计算复杂度直接与所选择的环的大小有关,可信巧片宿主可W根据 自己的隐私性保护需求,自主地选择隐藏身份的环的大小W及成员组成。
[0035] 4、通过环签名来实现匿名证明,不需要零知识证明,因此本发明的计算、验证效率 局。
[0036] 5、本发明适用于所有内嵌ECC算法的可信计算模块,由于目前TPM也内嵌了ECC 算法,因此本发明也同样适用于TPM。
【具体实施方式】
[0037]本发明的实施例;一种基于环签名的可信计算平台属性验证方法,包括W下阶 段:
[003引 1、参数初始化阶段
[0039] 设计算平台A、B为进行平台属性自动验证的双方,计算平台A、B分别内嵌可信巧 片A、B,属性证书中属性P(是否支持应用隔离、是否具有病毒防护能力、病毒库是否最新等 都可W作为一种属性)对应多种平台配置Cl,C2,…,旬,每个可信巧片拥有一个ECC密钥对 (PIKS,PIKP),其中,PIKS为私钥,PIKP为相应的公钥;
[0040] 当计算平台A需向计算平台B证明其是合法的可信巧片A拥有者时,计算平台A 选择其它t-1个内嵌可信巧片的计算平台与自身形成环,并通过可信巧片公钥证书获得其 他可信巧片的PIK公钥;设环中成员可信巧片的PIK公钥分别为PIKPi,PIKP2,…,PIKPt,为 表示方