基于属性的远程证明模型

针对目前TCG组织定义的远程证明信任链模型在描述基于属性的远程证明时存在的不足,通过对基于属性远程证明过程中的证明请求、可信策略以及可信性评估过程进行抽象,提出了一个新的基于属性的远程证明模型。该模型将传统远程证明中信任链模型扩展为信任图,使得模型能够表达更为灵活的可信策略。还对可信策略的属性可信性判定问题以及可信评估过程终止性问题进行了讨论,给出了相关定理及证明,为可信策略的定义与检查提供了理论基础。基于该模型给出了实现可信网络接入时的可信策略定义,用实例验证了该模型在描述能力方面的增强。

基于属性的Chameleon远程认证

针对目前远程认证方案中存在的配置信息易泄露、证书管理复杂等缺陷,在属性认证思想的基础上提出了一种基于属性的Chameleon远程认证方法。该方法采用Chameleon hash函数对认证过程进行改进,利用Chameleon hash函数的抗碰撞性对平台配置信息进行保护,并用Chameleon哈希计算结果作为平台属性凭证进行远程认证。分析结果表明,该方法增强了远程认证的灵活性与安全性。

基于属性证明的可信网络接入方案

为保证终端接入网络时的可信计算平台配置满足特定的安全要求,可信计算组织提出了可信网络接入框架,在该框架中终端向网络决策判定方请求接入网络时采用二进制证明方案进行平台证明,存在完整性管理复杂、暴露用户平台配置隐私等问题.针对上述问题,本文提出了一种基于属性的可信网络接入方案,采用基于属性的远程证明方法,将可信网络接入中的平台证明交给一个可信的安全属性证书颁发方,此属性证书颁发方根据终端平台的完整性颁发安全属性证书,负责网络接入判定的网络接入决策者根据属性证书进行网络接入判定,有效地解决了传统可信网络接入中网络接入决策者完整性管理复杂以及终端平台配置暴露等问题,并能够根据安全属性将平台接入到不同的隔离域,实现了网络中平台多域的隔离.本文在802.1X框架下实现了上述方案,实验结果显示该方案能够根据平台的安全属性实现终端平台VLAN的隔离.