分散式網路環境下終端可信技術研究

分散式網路是近年來影響信息技術發展的最活躍因素之一。然而日趨嚴重的信息安全問題在很大程度上限制了分散式網路套用的發展。在信息安全的實踐中，人們逐漸認識到，大多數安全隱患來自於終端，只有從終端入手，建立整個網路的可信，才能從根本上解決當前面臨的信息安全問題。本項目正是針對終端可信技術的關鍵問題可信認證、可信度量展開研究。將提出基於自動信任協商的遠程證明方法，從而充分利用自動信任協商方法對平台隱私的保護能力；提出XRT體制下基於身份特徵的數字簽名算法，從而充分利用XRT密碼體制運算高效的優勢；設計出基於動態可信度的可調節安全模型，從而實現基於可信度的訪問控制；提出基於可信晶片的終端平台可信度動態度量方法，從而實現對終端平台更客觀、更全面的可信度評估。上述研究內容屬國際研究熱點，其成果可望在國際上產生積極影響。本項目不僅可望產生6-8篇高質量學術論文，還可望取得具有自主智慧財產權的專利技術。

為了提高網路的可信性，本項目圍繞終端可信技術，針對可信認證和可信度量中的關鍵問題展開了深入研究。經過三年不懈的努力，項目研究取得了一批國際國內先進的創新性成果，大大超額完成了既定的各項技術指標，目前共發表論文24篇，其中SCI期刊論文3篇（另有3篇在SCI刊源期刊上發表，待檢索），EI論文12篇。申請國家發明專利13項，已授權2項。培養碩士研究生18名，其中13名已畢業，培養博士研究生2名。項目研究成果獲省部級科學技術獎一等獎1項。針對平台身份的遠程證明，提出了一種指定驗證人的新型環簽名方案，真實簽名人可主動撤銷其匿名性。且設計出了新的直接匿名證明協定(DAA)，不同於TPM規範中的DAA，該協定利用環簽名的無條件匿名性，直接使用背書密鑰EK完成簽名，無需任何零知識證明，使得驗證效率大大提高。針對平台配置信息的遠程證明，提出了一種基於TPM及屬性證書的遠程自動信任協商證明方法。該方法採用基於屬性的遠程證明思想，使用隱證書的方式完成屬性證書的簽發，在側重隱私保護的吝嗇協商策略下，協商雙方只根據對方的請求提交相關證書，最大程度地保護了平台的配置隱私。效率分析表明，該方法在互動驗證階段具有極高的效率。針對用戶的身份認證，基於XTR體制下的Schnorr簽名算法，分別提出了基於身份的新型數字簽名方案和盲簽名方案。前者具備抗抵賴性、抗欺詐性等安全屬性，同時運算速度比同類方案快大約3倍，而存儲空間僅需原來的1/3。作為對前者的一種擴展，後者實現了簽名訊息的盲化，且計算複雜度只略有增加。針對訪問控制中的安全模型，提出了一種基於動態可信度的可調節安全模型。該模型通過重新定義主客體可信度，設計可信度規則，並制定相應的安全規則，分別對用戶、進程、客體的可信度實施判定和分級，提高了基於可信度訪問控制的精度，可實施性強。模型中的主體可信度呈動態變化，提高了系統的可用性。針對網路伺服器對終端的可信度評估，提出了一種基於可信晶片的終端平台可信度動態度量方法。該方法結合項目中設計出的遠程證明協定和訪問控制模型，實現了根據具體的訪問及套用情況，動態地評估終端可信度，並實施相應的訪問控制，更好地滿足了現實套用需求。此外，項目的研發過程中，還針對可信計算領域中急需的非對稱加密、數字簽名、隱私保護等關鍵性技術展開深入研究，亦取得了豐碩的成果。