◆趙 進

?

基于可信固件的遠程身份認證模型研究

◆趙 進

(中國人民解放軍91977部隊 北京 100841)

基于操作系統(tǒng)層的終端計算機身份認證模型，主要工作機制是通過運行于終端計算機操作系統(tǒng)中軟件代理與認證服務器交互完成，此時操作系統(tǒng)已經啟動，可能存在惡意軟件隨操作系統(tǒng)啟動等安全隱患。本文研究基于終端計算機構建可信固件并實現固件層的軟件代理，提出了基于可信固件的身份認證模型。該模型能夠在操作系統(tǒng)啟動前完成對終端計算機身份認證，并根據認證結果執(zhí)行禁止開機、禁止接入網絡等安全管控策略。

可信固件；身份認證；模型

0 引言

隨著信息技術的發(fā)展，云計算、移動計算等工作模式逐步成熟，眾多企事業(yè)單位逐步引入移動辦公和遠程辦公，特別是在內網部署終端計算機，通過虛擬桌面系統(tǒng)在線處理工作[1]。在線辦公在提升管理效率、降低管理成本的同時，也帶來了數據泄露、黑客攻擊等安全問題[2]。

終端計算機是數據信息產生的源頭，也是大多數網絡攻擊的首要目標。身份認證系統(tǒng)是確保終端計算機安全應用的一種重要方案，通過身份認證協(xié)議，可以防止非法人員進入應用系統(tǒng)訪問受控信息、惡意破壞數據等安全隱患[3]。但目前常用的身份認證系統(tǒng)通過運行于操作系統(tǒng)中的軟件代理與認證服務器交互完成工作[4]。在此認證過程中，存在惡意軟件隨操作系統(tǒng)啟動的風險，以及操作系統(tǒng)中的身份認證機制被卸載或旁路，無法阻止非授權終端接入內網[4]等安全隱患。

在國際上，可信計算是由可信計算組織（Trusted Computing Group, TCG）進行推動和開發(fā)，基本的思路是在計算機主板上配備“信任根”（可信平臺模塊）。該信任根的可信性由物理安全和管理安全確保；通過該信任根構建信任鏈，能夠建立從信任根到硬件平臺，從硬件平臺到操作系統(tǒng)，從操作系統(tǒng)到應用的認證，把信任擴展到整個可信計算領域[6]。

固件是計算機中不可缺少的重要部件，是連接計算機基礎硬件和系統(tǒng)軟件的橋梁[5]。在可信計算機系統(tǒng)中的固件，稱之為可信固件[7]。計算機開機后，可信平臺模塊首先會對可信固件進行主動的可信度量，保證固件的完整性。在此基礎上，固件會對計算機的關鍵硬件和核心軟件進行度量，保證硬件不被替換、系統(tǒng)軟件不被篡改。本文研究提出了基于可信固件的身份認證模型，通過在終端計算機構建可信計算能力，實現對終端計算機的可信度量、加解密及雜湊運算等功能，完成基于可信固件層的遠程身份認證。

本文第一節(jié)研究構建了基于可信固件的遠程認證系統(tǒng)總體架構；第二節(jié)研究提出了認證系統(tǒng)功能組成；第三節(jié)研究設計了模型可信固件架構；第四節(jié)研究設計了身份認證管理中心架構；第五節(jié)對全文進行了總結。

1 認證系統(tǒng)總體架構

為實現終端計算機計算機遠程身份認證，需要滿足以下安全性要求。

（1）終端計算機自身的安全性驗證。即需要實現對終端計算機自有關鍵硬件和核心軟件的驗證。

（2）固件層具有網絡協(xié)議棧的支持。即在開機過程中對終端計算機提供網絡接入支持。

（3）對終端計算機的身份進行驗證。部署身份認證管理中心，對終端計算機的身份進行驗證，同時，對終端計算機的接入進行控制。

因此，基于可信固件的遠程身份認證系統(tǒng)包括以下幾個部分，系統(tǒng)拓撲圖如圖1所示。

（1）資源管理中心。該中心用于管理終端計算機和服務器的密鑰及相關算法模塊，其功能包括密鑰產生、注冊、銷毀等管理功能。本文主要針對身份認證系統(tǒng)和機制進行研究設計，對資源管理中心不展開討論。

（2）身份認證管理中心。該中心主要負責對各個終端計算機的完整性認證和身份認證，并同時對終端計算機進行接入控制。

（3）終端計算機。在每一臺需要管控的終端計算機中都部署相應的可信平臺模塊，用于對自身的完整性進行度量，實現身份認證相關協(xié)議。

（4）應用服務器。應用服務器用于為終端計算機提供基礎軟件服務，即可以采用虛擬化等技術提供遠程桌面，也可以提供辦公系統(tǒng)、財務系統(tǒng)等應用服務。

圖1 遠程身份認證拓撲圖

從圖1可以看出，任何一臺終端計算機接入應用服務網絡前，首先要經過身份認證管理中心的身份認證。只有在身份認證通過后，才能夠與應用服務器建立連接。

2 認證系統(tǒng)功能組成

本文提出的基于可信固件的遠程身份認證系統(tǒng)的主要功能包括以下三點：

（1）終端計算機完整性驗證，防止關鍵硬件和核心軟件的破壞。

（2）終端計算機身份驗證，在固件層實現遠程身份認證流程。

（3）終端計算機啟動和接入控制，如果終端計算機遠程身份驗證失敗，則基于策略對終端進行控制。

因此，基于可信固件的遠程身份認證系統(tǒng)功能組成如圖2所示。

圖2 遠程身份認證系統(tǒng)功能組成

其中，終端計算機的可信固件包括了完整性度量、身份認證和受控管理三個功能。完整性度量保證了終端計算機啟動環(huán)境和運行環(huán)境的安全、可靠；身份認證能夠基于可信平臺模塊，實現終端的平臺身份認證；受控管理包括對終端啟動的控制和網絡接入的控制。這三個功能互為依托，完整地實現終端計算機接入應用網絡的整體控制流程。

3 認證模型可信固件架構

通過對遠程身份認證系統(tǒng)的分析，支持終端計算機遠程身份認證系統(tǒng)的可信固件需要包括以下功能模塊，如圖3所示。

（1）可信平臺模塊驅動。該模塊是符合可信平臺模塊接口的固件模塊，能夠在固件層對可信平臺模塊自檢、加解密、存儲等接口進行調用。

（2）可信度量模塊。該模塊通過可信平臺模塊的相關接口，能夠對終端計算機關鍵硬件和核心軟件，如主板、內存、操作系統(tǒng)內核等進行度量。

（3）身份認證模塊。該模塊包括對用戶身份進行認證和終端平臺身份認證兩個功能。

（4）受控管理模塊。該模塊接受身份認證管理中心的命令，能夠在固件層對計算機終端進行禁止開機等控制。

（5）配置管理模塊。配置管理模塊包括對是否啟動可信度量、身份認證等功能的管理。

（6）網絡協(xié)議模塊。該模塊在固件層提供網絡協(xié)議棧的支持，包括IP網絡協(xié)議、UDP/TCP傳輸協(xié)議等。

（7）固件通用模塊。該模塊包括了固件對硬件初始化和操作系統(tǒng)引導等功能。

圖3 終端計算機可信固件組成

4 身份認證管理中心架構

與可信固件相對應的身份認證管理中心也需要包括以下模塊：網絡通信模塊、身份認證模塊、終端管理模塊、數據加解密模塊和數據管理模塊，如圖4所示。

4.1 網絡通信服務

該模塊用于接收可信固件客戶端的連接請求，與客戶端建立網絡連接。同時，該服務也能對建立的網絡連接進行管理。

4.2 身份認證服務

該模塊用于對可信固件客戶端發(fā)送的身份認證信息進行身份認證，并得出身份認證結果。

4.3 終端管理服務

該模塊實現對終端計算機進行管控，包括終端的錄入、狀態(tài)跟蹤、日志記錄、管理策略等功能。

4.4 數據加解密服務

對重要數據進行加密或解密服務。

圖4 身份認證管理中心系統(tǒng)組成

5 結束語

本文研究設計了基于可信固件的身份認證模型，通過在終端計算機構建可信計算能力，完成基于可信固件層的遠程身份認證，能夠有效防止惡意軟件隨操作系統(tǒng)啟動、身份認證機制被卸載或旁路、非授權終端接入內網等安全隱患。

[1]芮蘭蘭，郭春明，邱雪松等.下一代終端計算機管理系統(tǒng)體系結構及流程實現[J].北京郵電大學學報，2009.

[2]廖輝，凌捷.終端計算機安全狀況評估指標體系的研究[J].計算機工程與設計，2010.

[3]周超，周城，丁晨路.計算機終端計算機準入控制技術[J].計算機系統(tǒng)應用，2011.

[4]戚文靜，張素，于承新等.幾種身份認證技術的比較及其發(fā)展方向[J].山東建筑工程學院學報，2004.

[5]楊培，吳灝，金然.BIOS安全防護技術研究[J].計算機工程與設計，2008.

[6]馮登國，秦宇，汪丹等.可信計算技術研究[J].計算機研究與發(fā)展，2011.

[7]周振柳，李銘，翟偉斌等.基于UEFI的可信BIOS研究與實現[J].計算機工程，2008.