基于DICE的证明存储方案.pdf

1、基于 DICE 的证明存储方案王辉1,2,冯伟2,秦宇21(中国科学院大学,北京100049)2(中国科学院软件研究所可信计算与信息保障实验室,北京100190)通信作者:冯伟,E-mail:摘要:信息技术的不断发展和智能终端设备的普及导致全球数据存储总量持续增长,数据面临的威胁挑战也随着其重要性的凸显而日益增加,但目前部分计算设备和存储设备仍存在缺乏数据保护模块或数据保护能力较弱的问题.现有数据安全存储技术一般通过加密的方式实现对数据的保护,但是数据的加解密操作即数据保护过程通常都在应用设备上执行,导致应用设备遭受各类攻击时会对存储数据的安全造成威胁.针对以上问题,本文提出了一种基于 DIC

2、E 的物联网设备证明存储方案,利用基于轻量级信任根 DICE 构建的可信物联网设备为通用计算设备(统称为主机)提供安全存储服务,将数据的加解密操作移至可信物联网设备上执行,消除因主机遭受内存攻击等风险对存储数据造成的威胁.本文工作主要包括以下 3 方面:(1)利用信任根 DICE 构建可信物联网设备,为提供可信服务提供安全前提.(2)建立基于信任根 DICE 的远程证明机制和访问控制机制实现安全认证和安全通信信道的建立.(3)最终利用可信物联网设备为合法主机用户提供可信的安全存储服务,在实现数据安全存储的同时,兼顾隔离性和使用过程的灵活性.实验结果表明,本方案提供的安全存储服务具有较高的文件传

3、输速率,并具备较高的安全性,可满足通用场景下的数据安全存储需求.关键词:物联网设备;安全存储;轻量级信任根;可信启动;远程证明引用格式:王辉,冯伟,秦宇.基于 DICE 的证明存储方案.计算机系统应用,2023,32(9):5366.http:/www.c-s- Attestation and Storage SchemeWANGHui1,2,FENGWei2,QINYu21(UniversityofChineseAcademyofSciences,Beijing100049,China)2(TrustedComputingandInformationAssuranceLaboratory,I

4、nstituteofSoftware,ChineseAcademyofSciences,Beijing100190,China)Abstract:Thecontinuousdevelopmentofinformationtechnologyandthepopularizationofintelligentterminaldeviceshaveledtothecontinuousgrowthofthetotalamountofglobaldatastorage,andthethreatsandchallengesfacedbydatahaveincreasedwiththeprominenceo

5、ftheirimportance.However,currently,somecomputingandstoragedevicesstilllackdataprotectionmodulesorhaveweakdataprotectioncapabilities.Existingdatasecuritystoragetechnologiesgenerallyprotectdatathroughencryption,butdataencryptionanddecryptionoperations,ordataprotectionprocesses,areusuallyperformedonthe

6、applieddevices,resultinginthreatstothesecurityofstoreddatawhentheapplieddevicesaresubjectedtovariousattacks.Inresponsetotheaboveissues,thisstudyproposesaDICE-basedInternetofThings(IoT)deviceattestationstoragescheme,whichutilizestrustedIoTdevicesbuiltbasedonthelightweightrootoftrustDICEtoprovidesecur

7、estorageservicesforgeneral-purposecomputingdevices(collectivelyreferredtoashosts),movesdataencryptionanddecryptionoperationstotrustedIoTdevices,andeliminatesthreatstostoreddatacausedbyriskssuchashostmemoryattacks.Thisstudymainlyincludesthefollowingthreeaspects:(1)buildingatrustedIoTdevicebyusing计算机系

8、统应用ISSN1003-3254,CODENCSAOBNE-mail:ComputerSystems&Applications,2023,32(9):5366doi:10.15888/ki.csa.009228http:/www.c-s-中国科学院软件研究所版权所有.Tel:+86-10-62661041基金项目:国家重点研发计划(2022YFB4501500,2022YFB4501501,2020YFE0200600)收稿时间:2023-02-16;修改时间:2023-03-20;采用时间:2023-04-07;csa 在线出版时间:2023-07-14CNKI 网络首发时间:2023-07

9、-17SystemConstruction系统建设53therootoftrustDICEtoprovideasecurityprerequisiteforprovidingtrustedservices;(2)establishingaDICE-basedremoteattestationmechanismandaccesscontrolmechanismtoachievesecureauthenticationandestablishasecurecommunicationchannel;(3)usingthetrustedIoTdevicetoprovidetrustedandsecur

10、estorageservicesforlegitimatehostusers,whichachievessecuredatastorageandtakesintoaccountisolationandflexibilityintheuseprocess.Theexperimentalresultsshowthatthesecurestorageserviceprovidedbythisschemehasahighfiletransferrateandhighsecurity,whichcanmeettherequirementsforsecuredatastorageingeneralscen

11、arios.Key words:InternetofThings(IoT)device;securestorage;lightweightrootoftrust;trustedboot;remoteattestation1引言随着互联网技术和云计算、人工智能等新兴技术的持续发展,以及智能终端等计算设备数量规模的不断扩大,现如今全球的数据存储总量正以惊人的速度不断增长.国际数据公司 IDC 预计在 2025 年全球的物联网设备或类似设备的数量规模会达到 416 亿,并产生 79.4ZB 的数据1.而随着网络信息技术的不断发展,数据资源在各行各业中地位的重要性不断凸显,一些网络攻击者正在将数据资源

12、作为他们破坏和窃取的对象.而数据安全不但关乎国家、企事业单位的机密信息,同时也与个人隐私紧密相关,因此提高数据在全生命周期中的安全性成为亟需解决的挑战.其中数据存储阶段是数据生命周期的关键阶段,因此提高数据在存储阶段的安全性尤为重要.在通用计算设备上,实现数据的安全存储主要依赖于磁盘加密技术,它包括基于硬件和基于软件两种类型,基于硬件的磁盘加密技术依赖于特定的硬件驱动器,例如自加密驱动器 SED2;而基于软件的磁盘加密技术以运行在内核层的应用程序为基础,例如 eCryptfs.虽然以上两种磁盘加密技术都可以在一定程度上提高数据在存储期间的安全,但是都存在一定的缺陷,例如基于硬件的磁盘加密技术需

13、要依赖特定的硬件,而部分基于软件的磁盘加密技术由于缺乏隔离性,在遭受主机内存攻击时无法保证加载至主机内存中密钥的安全.同时例如 Windows 提供的驱动器加密工具 BitLocker3在使用过程中会将加密密钥释放到内存中,在主机内存遭受攻击时可能会导致密钥泄漏进而影响存储数据的安全.针对以上问题,可以考虑借助外部设备为存在数据安全存储需求的计算设备提供安全存储服务,在不增加原有计算设备硬件成本的同时兼顾与外部设备之间的隔离性,进而提高存储数据的安全性.而小型物联网设备具有便携、成本较低且功能较为全面的优势,因此使用物联网设备来提供安全存储服务具备较高的可行性.物联网设备通常利用传感器等硬件对

14、真实物理环境进行探测,并利用传统互联网技术与其他计算设备进行数据传输.物联网设备通常由感知层、网络层和应用层4构成.作为互联网技术和硬件技术结合发展的产物,物联网设备同样面临着来自传统网络安全风险的威胁,例如中间人攻击等网络攻击.同时随着物联网技术与云计算、人工智能等新兴技术的融合发展,物联网设备在硬件、软件和数据 3 个方面面临着愈加严峻的风险挑战.因此,为了在物联网设备上构建安全存储服务,同时防止针对物联网设备发起的攻击,有必要基于可信计算技术构建可信物联网设备,使其具备平台身份和平台状态证明的能力.而基于信任根的可信计算技术是满足物联网设备在信任建立、授权访问控制和数据机密性、完整性保护

15、5等方面安全需求的常用技术.普通计算设备通常利用基于硬件信任根的可信计算技术实现自身对攻击的主动防御.常见的传统硬件信任根有 TPM(trustedplatformmodule)/TCM(trustedcryptographymodule)6.但由于部分物联网设备与个人电脑、服务器等普通计算设备相比,在内存、计算能力等资源以及能源储备方面存在较大的局限性7,因此无法直接使用传统硬件信任根 TPM/TCM 实现可信启动8、远程证明9以及数据的安全存储.针对以上问题,本文提出一种基于信任根 DICE(deviceidentifiercompositionengine)10的证明存储方案,利用轻量级

16、信任根 DICE 实现物联网设备的可信启动以创建可信计算环境,并基于该可信物联网设备向合法主机提供可信的安全存储服务,其中 DICE 是国际可信计算组织提出的一种可作为轻量级信任根的安全架构标准.该方案由可信启动、远程证明和安全存储部分组成,首先将轻量级信任根 DICE 作为物计 算 机 系 统 应 用http:/www.c-s-2023年第32卷第9期54系统建设SystemConstruction联网设备的信任锚点并建立信任链实现可信启动,然后基于可信启动过程中派生的复合设备标识符 CDI(compounddeviceidentifier)生成用于物联网设备平台身份和平台状态证明的证明密钥

17、以实现自身平台身份和平台状态的证明,并验证主机身份的合法性.随后使用磁盘加密技术将物联网设备连接的外置移动存储设备制作为加密分区作为持久化存储区域,在完成远程证明的基础上结合 FTP 技术向合法主机提供安全存储服务.本文的主要贡献如下.(1)利用基于信任根 DICE 构建的可信物联网设备为主机提供安全存储服务,将存储数据的加解密操作隔离至可信物联网设备上执行,解决了磁盘加密技术等安全存储技术所存在的因主机遭受内存攻击等风险而威胁存储数据安全的问题.(2)建立基于信任根 DICE 的物联网设备远程证明机制和加密分区的访问控制机制,确保提供安全存储服务的物联网设备、请求服务的主机和用户处于可信状态

18、.(3)在原有 DICE 的固件分层度量引导基础上设计了一种树形度量引导模型以实现对物联网设备完整固件层或固件层部分组件的选择性度量,在实现物联网设备可信启动的同时降低在固件层组件耦合度较低的情况下不必要的度量引导开销.本文第 2 节介绍国内外在可信启动、远程证明以及安全存储方面的相关工作.第 3 节介绍本方案的系统模型、威胁模型和安全假设.第 4 节介绍本方案各模块的功能与设计.第 5 节介绍本方案的实验过程并对实验结果进行性能评估和安全性分析.第 6 节对全文进行总结并对未来工作进行展望.2相关工作 2.1 可信启动可信启动8是一种在计算设备通电重启后通过利用信任根构建信任链的方式实现对计

19、算设备操作系统、固件等组件度量引导的技术.其中信任根和信任链是实现可信启动的关键,信任根是固化在计算设备内部的最小安全功能组件,具有防物理篡改的优势11,比较常见的硬件信任根是安全芯片.国际可信计算组织发布的 TPM 和中国发布的 TCM 是两种主流的安全芯片标准.2.1.1基于传统信任根 TPM 的可信启动如图 1 所示,当计算设备通电重启后,处于可信引导块中的 CRTM 最先开始运行,在完成自检之后对可信引导块的剩余部分进行度量,随后将引导控制权转交给可信引导块.随后以同样的方式完成从可信引导块到操作系统加载程序、再到操作系统直至系统应用的引导过程12.在此阶段内,TPM 对计算设备各阶段

20、运行代码进行计算度量,同时利用平台状态寄存器进行扩展度量,并将最后的度量值记录在度量日志中.系统应用操作系统操作系统加载程序可信引导块计算设备CRTM图 1基于 TPM 的可信启动2.1.2基于轻量级信任根 DICE 的可信启动针对部分资源受限、无法内置传统信任根 TPM/TCM 的计算设备,国际可信计算组织提出了一种可作为轻量级信任根的安全架构标准 DICE,用于实现此类计算设备的度量引导13.实现 DICE 的最低硬件需求仅包括以下 3 个部分:(1)作为计算设备全部信任基础和设备身份密钥的唯一设备秘密 UDS(uniquedevicesecret);(2)计算设备重启后最先运行的引导代码

21、;(3)用于阻止除引导代码外的固件访问 UDS 的锁定机制10.L0L1L2,Ln1L0L0CDI(L0)LtLtLt1CDI(Lt)Lt+1CDI(Lt)Lt+1Lt+1CDI(Lt+1)基于 DICE 的度量引导方案中固件分为一至多层,并依次获得控制权13,假设有 n 层,为,.各层固件按照顺序进行逐级度量引导,如图 2 所示.当设备通电重启后,DICE 短暂访问 UDS 并利用单向函数基于设备身份密钥 UDS 和固件层的度量值为固件层生成一个称为的复合设备标识符,除最后一层外每层固件都会为下层固件生成属于该下层固件自身的复合设备标识符.假设当前运行固件层为,在获得传递的控制权和复合设备标

22、识符之后,在实现对层固件的度量后利用单向函数基于自身复合设备标识符和的固件度量值为生成复合设备标识符,即:CDI(Lt+1)=OWF(CDI(Lt),Hash(Lt+1)(1)2023年第32卷第9期http:/www.c-s-计 算 机 系 统 应 用SystemConstruction系统建设55CDI(Lt+1)Lt+1随后将引导控制权和一并转交给层固件.该方案中每层固件的复合设备标识符都可用于派生属于该层固件的数据密封密钥和远程证明密钥.CDI(L0)=OWF(UDS,Hash(L0)CDI(L1)=OWF(CDI(L0),Hash(L1)CDI(L2)=OWF(CDI(L1),Has

23、h(L2)CDI(L0)CDI(L1)Hash(L0)Hash(L1)DICEL0L1Ln1UDS计算设备.图 2基于 DICE 的度量引导 2.2 远程证明远程证明是指远程验证方对可疑计算设备的平台身份、平台状态进行验证的技术,包括平台身份证明和平台状态证明.从实现方式角度区分,远程证明可以分为基于软件、基于硬件以及基于软硬件协同这 3 种方式,基于软件的方式仅依赖于证明代码,以 SWATT14、Reflection15为代表.基于硬件的方式需要借助硬件来实现远程证明过程,基于硬件信任根 TPM/TCM 和IntelSGX16的远程证明是基于硬件方式的代表性方案.而基于软硬件协同的远程证明是

24、指利用具有最小硬件安全特征的硬件组件实现远程证明的方式,以TyTan17、TrustLite18为代表.2.2.1基于软件的远程证明基于软件的远程证明是指对目标计算设备内存中的数据、代码等进行验证的过程.Reflection15是最早的软件证明方案,它的基本思想是构造两个包含覆盖完整内存空间地址范围的随机挑战,并且所包含的地址范围互相重叠,以实现对目标设备完整内存地址空间的验证.但由于缺乏硬件模块的保护,此类证明方案容易遭受内存压缩、内存复制等攻击.针对以上软件证明的风险挑战,目前的应对方案主要包括以下 3 种11:(1)基于严格证明时间的软件证明:利用伪随机遍历等手段防止攻击者影响证明过程并

25、对远程验证方造成欺骗,SWATT14是此类方案的典型代表,但由于对证明时间的强烈依赖,因此需要保证自身算法始终处于最优状态.(2)基于空闲内存填充的软件证明:利用伪随机噪声对设备空闲程序内存进行填充以防止敌手对空闲内存空间进行非法占用,在分布式场景下提出的方案 19 是该类方案的典型代表.(3)基于随机证明函数的软件证明:利用不可预测的随机构造证明函数代替固定证明函数,PIV20是此类方案的典型代表,该方案会在证明时通过生成随机哈希函数的方式提高证明过程的安全性.2.2.2基于硬件的远程证明基于硬件的远程证明是指利用硬件信任根、支持可信执行环境21的处理器或者其他硬件技术实现远程证明的一种方式

26、.TPM 是最常用于远程证明的硬件信任根,基于 TPM 的平台状态证明过程一般是首先计算当前设备的平台状态度量值,再利用自身独有的签名私钥基于该度量值生成签名,然后将平台状态度量值和签名作为可信性证据一起发送给验证方,验证方收到后对平台状态度量值和签名进行验证.当需要在远程证明过程中保持证明方身份的匿名性时,可以利用直接匿名证明协议 DAA(directanonymousattestation)22实现远程证明过程.英特尔公司推出的 IntelSGX 是一款支持可信执行环境的商用处理器,它支持本地证明和远程证明两种证明方式23,其中本地证明是远程证明的基础.本地证明是指两个处于同一计算平台上的

27、 enclave 之间进行双向验证的过程,而远程证明在不同计算平台之间进行,由应用程序、应用程序 enclave 和负责生成远程证明报告的 Quotingenclave 协作完成,enclave 是存放运行中敏感代码和数据的安全容器16.2.2.3基于软硬件协同的远程证明基于软硬件协同的远程证明是一种利用最小硬件安全特征实现远程证明的方式,代表性工作有 TyTan、TrustLite.TyTan17是首个针对嵌入式系统提出的安全架构,它通过计算任务二进制代码的哈希值作为任务本地证明的身份标识和证明依据,并利用远程证明密钥生成 MAC(messageauthenticationcode)作为远程

28、证明的证据,该远程证明密钥基于平台密钥生成.为了保证平台密钥的安全性与远程证明报告的可信性,TyTan通过内存保护单元实现对平台密钥的保护.国际可信计算组织提出了一种基于 DICE 的远程证明方案24,该方案通过验证计算设备生成的 MAC 是计 算 机 系 统 应 用http:/www.c-s-2023年第32卷第9期56系统建设SystemConstruction否正确,从而判断出计算设备用于生成 MAC 的密钥是否合法,由于生成 MAC 的远程证明密钥是在 UDS 和设备固件度量值基础上生成的,因此远程证明密钥可以正确反映该设备平台身份和平台状态的可信性.2.3 安全存储数据安全是计算设备

29、安全体系的关键组成部分,包括数据机密性、数据完整性和数据可用性.下面依次对常见数据安全存储技术 BitLocker 和 IPFS 进行介绍.微软的 BitLocker3是 Windows 操作系统提供的一种驱动器加密工具,可用于对系统分区、磁盘分区以及可移动存储介质中的数据进行加密保护,密钥FVEK 和密钥 VMK 是数据保护过程中的关键密钥,密钥 FVEK 用于对数据直接进行加密保护,而密钥 VMK用于对密钥 FVEK 进行加密保护.BitLocker 可以实现对存储数据的有效保护,但仍存在一定的安全风险,主要来源于以下两个方面:一方面是存在敌手通过暴力破解获得 VMK 密钥的风险;另一方面

30、是存在释放到内存中的密钥被窃取导致加密数据泄露的风险.IPFS(Intelprotectionfilesystem)25是 IntelSGX提供的具备安全特性的用户级文件系统,有数据安全存储需求的应用程序可以通过创建 enclave 的方式来调用 IPFS 提供的接口,对数据进行加密存储,实现数据的机密性保护.但由于 IPFS 在文件读写时仍需要借助主机系统的不可信库,因此无法实现对新鲜数据和持久化数据的完整性保护,所以 IPFS 只能实现对加密数据篡改行为的事后检测,但无法保证加密数据不受到恶意篡改.3系统模型与安全假设本文面向通用计算设备(称为主机)设计了一种基于可信物联网设备的证明存储方

31、案,并基于轻量级信任根 DICE 构建可信物联网设备,以下是对该证明存储方案系统模型、威胁模型的介绍与安全假设的说明.3.1 系统模型该方案的系统模型由可信物联网设备和主机两部分组成,如图 3 所示.可信物联网设备由基于 DICE 的设备端可信启动模块、设备端远程证明模块和设备端安全存储模块构成.基于 DICE 的设备端可信启动模块用于实现物联网设备固件的可信启动和复合设备标识符 CDI、远程证明密钥的生成.设备端远程证明模块用于自身平台状态和平台身份的证明,以及对主机的平台身份进行验证.设备端安全存储模块由 FTP 服务端和加密分区管理子模块构成,用于加密分区的制作、管理和实现对加密分区的访

32、问控制,以及实现与FTP 客户端之间的数据传输.而主机由主机端远程证明模块、主机端安全存储模块构成,主机端远程证明模块用于验证物联网设备的平台状态、平台身份以及实现自身的平台身份证明.主机端安全存储模块由 FTP客户端和主机端加密分区管理子模块构成,用于实现与 FTP 服务端之间的数据传输和方便主机用户对加密分区进行管理,可信物联网设备和主机之间通过本地网络进行数据传输.主机端远程证明模块本地网络通信设备端远程证明模块FTP 服务端加密分区管理子模块外置移动存储设备设备端安全存储模块可信物联网设备加密分区管理子模块主机端安全存储模块主机UDSFTP 客户端基于 DICE 的设备端可信启动模块图

33、 3系统模型当物联网设备通电重启后,物联网设备的基于DICE 的设备端可信启动模块在操作系统可信启动的基础上,基于轻量级信任根 DICE 对设备完整固件层或固件层部分组件进行度量引导实现固件的可信启动和复合设备标识符 CDI 的生成,并基于设备固件的复合设备标识符 CDI 派生物联网设备的远程证明密钥.在完成物联网设备固件的可信启动后,设备端远程证明模块利用可信启动阶段生成的远程证明密钥实现物联网设备自身的平台身份、平台状态证明,同时对主机的平台身份进行验证.在完成远程证明之后,通过身份验证的合法主机用户可以向可信物联网设备请求安全存储服务,通过主机端安全存储模块对加密分区中的文件进行上传、下

34、载和显示操作.3.2 威胁模型(1)攻击者具备在物联网设备启动期间对设备固2023年第32卷第9期http:/www.c-s-计 算 机 系 统 应 用SystemConstruction系统建设57件进行攻击的能力,即攻击者可以对设备固件代码进行恶意篡改或植入恶意代码.(2)攻击者在物联网设备与主机进行远程证明的过程中试图冒充合法物联网设备或主机.(3)外置移动存储设备存在被攻击者非法窃取或处于丢失等非安全状态下的风险可能.3.3 安全假设(1)针对主机的安全假设本方案仅考虑主机大规模存储数据的安全性,主机数据在使用阶段的安全性不在本方案的考虑范围内,数据在使用阶段的安全可通过可信执行环境实

35、现.(2)针对可信物联网设备的安全假设1)作为物联网设备身份密钥的 UDS 和设备端可信启动模块是受物理防篡改保护的,是固化在物联网设备中的绝对信任,攻击者无法对其进行篡改和破坏.2)仅设备端可信启动模块在通电重启后可访问UDS,攻击者无法访问物联网设备身份密钥 UDS 和可信启动模块的代码.3)仅自身可访问可信启动过程中基于复合设备标识符 CDI 派生的密钥,攻击者无法访问、篡改和破坏.4)向合法主机提供安全存储服务时,其自身的操作系统内核始终是安全的,攻击者无法对其进行劫持和破坏,并且不考虑针对 DICE 的 TOCTOU 攻击.5)攻击者的攻击能力仅限于发动网络攻击,无法接触物联网设备,

36、不考虑针对设备发起的窥探、破坏等物理攻击,但是该证明存储方案无法有效抵御 DDOS攻击和侧信道攻击.(3)针对外置移动存储设备的安全假设仅可信物联网设备能够打开和关闭外置移动存储设备的加密分区.3.4 符号说明表 1 列出本方案所用的标识符.4方案设计 4.1 基于 DICE 的物联网设备可信启动本方案在物联网设备操作系统可信启动的基础上,基于轻量级信任根 DICE 实现物联网设备固件的可信启动.传统基于 DICE 的计算设备度量引导方案是将固件划分为多层,然后按照固件分层顺序对固件进行线性的逐级度量引导并建立信任链,同时在信任链建立过程中为各层固件派生复合设备标识符 CDI,并利用密钥派生函

37、数基于复合设备标识符 CDI 派生用于远程证明和对数据加密保护的密钥.但是在计算设备的单一固件层过于庞大、构成组件之间耦合度较低的情况下,该方案会增加不必要的计算开销,存在效率较低的问题.针对该问题,本方案基于 DICE 提出一种实现对计算设备完整固件层或固件层部分组件进行选择性度量的树形度量引导模型,该树形度量引导模型将前一引导阶段作为根结点,将当前固件层的各组件作为子节点,根据实际的固件组件使用情况实现对部分固件组件的扩展度量或完整固件层的度量.如图 4 所示,以单个固件层为例,假设该层固件有 n 个构成组件,分别与树中各个子节点相对应,即 f1,f2,f3,fn.表 1标识符与函数标识标

38、识符与函数标识说明DICE物联网设备信任根UDS物联网设备身份密钥FIRMWARE物联网设备固件fi设备固件的第i个组件CDI复合设备标识符CDILt第t层固件的复合设备标识符user_name主机用户登录名user_pass主机用户登录口令ep_pass加密分区访问密码Dev_sk、Dev_pk物联网设备非对称密钥对Alias Key物联网设备对称密钥H_sk、H_pk主机非对称密钥对H_k主机对称密钥KEK密钥加密密钥DEK加密分区关联密钥DEK.encfile加密分区关联密钥的密文文件D_sig、H_sig物联网设备、主机生成的签名D_hmac、H_hmac物联网设备、主机生成的HMAC

39、D_r、H_r物联网设备、主机的签名验证结果H_n1、H_n2主机生成的随机消息D_n1、D_n2物联网设备生成的随机消息H_k、Alias Key主机、物联网设备合法对称密钥D _hmac、H_hmac物联网设备、主机应生成的标准HMACHash(code)code的哈希值OWF(k,Hash(code)单向函数基于密钥k和code哈希值生成密钥Signature(m,sk)利用私钥sk对消息m签名Verify(m,pk,sig)利用公钥pk验证消息m的签名sigHMAC(key,Hash(code)基于密钥key和code哈希值生成HMAC若需要运行完整设备固件层,就计算该设备固件层的完整

40、度量值,并利用单向函数基于物联网设备的身份密钥 UDS 和完整固件层度量值生成该固件层的计 算 机 系 统 应 用http:/www.c-s-2023年第32卷第9期58系统建设SystemConstruction复合设备标识符 CDI,如图 5 所示.当仅需运行 f1节点对应的固件组件时就对该组件的代码进行度量,并利用单向函数基于 UDS 和该固件组件的度量值生成标识符,作为当前该固件层的复合设备标识符 CDI,而无需对该组件所属的完整固件层进行度量,可以有效减少计算开销、提高度量引导效率,如图 6 所示.此时可以利用密钥派生函数基于复合设备标识符 CDI 生成远程证明密钥,实现设备的平台身

41、份证明和设备固件层的完整性证明.基于 DICE 的可信启动模块UDSf1f2f3fnFIRMWARE物联网设备图 4基于 DICE 的树形度量引导模型基于 DICE 的可信启动模块UDSCDI=OWF(UDS,Hash(FIRMWARE)Hash(FIRMWARE)f1f2f3fnFIRMWARE物联网设备图 5完整设备固件层度量引导 4.2 基于 DICE 的远程证明在基于轻量级信任根 DICE 完成物联网设备的可信启动并创建可信计算环境后,物联网设备需要向主机证明自身平台身份和平台状态的可信性,并且对主机的身份进行验证.由于物联网设备在可信启动阶段生成的复合设备标识符 CDI 是基于设备身

42、份密钥 UDS 和设备完整固件层或固件层部分组件的度量值生成的,因此基于 CDI 生成的远程证明密钥可用于同时实现物联网设备的平台状态证明和平台身份证明.与可信启动阶段的树形度量引导模型相对应,物联网设备的平台状态证明对象可以是完整设备固件层,也可以是设备固件层的部分组件.前一种将可信启动阶段中基于设备身份密钥UDS 和完整设备固件层度量值生成的复合设备标识符CDI 作为派生远程证明密钥的种子,而后一种证明过程中的复合设备标识符 CDI 是基于设备身份密钥 UDS和设备固件层部分组件的度量值生成的.证明过程可以利用数字签名和 HMAC 两种方式实现,主机用于生成签名的非对称密钥对 H_sk、H

43、_pk 和生成 HMAC 的对称密钥 H_k 是向可信第三方请求得到的.基于 DICE 的可信启动模块UDSCDI=OWF(UDS,Hash(f1)Hash(f1)f1f2f3fnFIRMWARE物联网设备图 6固件层部分组件度量引导基于数字签名的物联网设备平台状态证明以及与主机之间的双向身份认证过程如图 7 所示,证明开始后物联网设备向主机发送随机挑战消息 D_n1,主机收到后利用私钥 H_sk 基于 D_n1 生成签名 H_sig,即:H_sig=Signature(D_n1,H_sk)(2)随后主机生成随机消息 H_n1,并将其和签名 H_sig作为响应消息返回给物联网设备,物联网设备收

44、到签名 H_sig 后使用公钥 H_pk 对其进行验证,即:H_r=Verify(D_n1,H_pk,H_sig)(3)随后物联网设备利用自身拥有的签名私钥 Dev_sk基于随机消息 H_n1 生成签名 D_sig 并返回给主机,即:D_sig=Signature(H_n1,Dev_sk)(4)主机收到物联网设备的签名后使用合法公钥 Dev_pk对其进行验证,即:D_r=Verify(H_n1,Dev_pk,D_sig)(5)由于物联网设备的签名私钥与 CDI 相关联,而CDI 是基于 UDS 和固件度量值生成的.若物联网设备签名的验证结果是正确的,说明物联网设备的平台身份和当前平台状态都是可

45、信的,否则至少有一个不可2023年第32卷第9期http:/www.c-s-计 算 机 系 统 应 用SystemConstruction系统建设59信;若主机所生成签名的验证结果也是正确的则表明主机的平台身份也是可信的,反之不可信.3.利用私钥 H_sk基于 D_n1 生成签名 H_sig,并生成随机消息 H_n17.利用公钥Dev_pk 验证签名D_sig主机物联网设备2.发送随机消息 D_n14.返回 H_n1和签名 H_sig6.返回签名D_sig1.生成随机消息D_n15.利用公钥 H_pk验证签名 H_sig,并利用私钥Dev_sk 基于 H_n1生成签名 D_sig图 7基于数字

46、签名的远程证明基于 HMAC 的物联网设备平台状态证明和与主机之间的双向身份认证过程如图 8 所示,物联网设备生成随机消息 D_n2 作为远程证明挑战发送给主机,主机收到证明挑战后利用对称密钥 H_k 基于 D_n2 生成HMAC,即:H_hmac=HMAC(H_k,D_n2)(6)随后主机生成随机消息 H_n2 作为远程证明挑战和 H_hmac 一起作为响应消息返回给物联网设备.而物联网设备收到响应消息后先利用自身拥有的合法密钥 H_k基于发送的随机挑战消息 D_n2 生成标准 HMAC即 H_hmac与 H_hmac 进行比对,即:H_hmac=HMAC(H_k,D_n2)(7)随后物联网

47、设备利用对称密钥 Alias Key 基于随机消息 H_n2 生成 HMAC 即 D_hmac 作为响应消息返回给主机,即:D_hmac=HMAC(Alias Key,H_n2)(8)消息主机收到后利用合法密钥 Alias Key基于随机H_n2 生成标准 HMAC 即 D_hmac作为标准响应消息,即:D_hmac=HMAC(Alias Key,H_n2)(9)若 D_hmac 与 D_hmac相同则代表物联网设备的身份和平台状态都是可信的,若不同则说明物联网设备的平台身份和平台状态至少有一个不可信;若 H_hmac和 H_hmac相同说明主机的平台身份是可信的,反之不可信.3.利用密钥 H

48、_k基于 D_n2 生成H_hmac,并生成随机消息 H_n2主机物联网设备2.发送随机消息 D_n24.返回 H_n2和 H_hmac6.返回D_hmac1.生成随机消息D_n27.利用密钥 AliasKey 基于 H_n2 生成预期D_hmac 以验证D_hmac5.利用密钥H_k 基于 D_n2生成预期H_hmac 以验证H_hmac,并利用密钥 Alias Key基于 H_n2 生成D_hmacHMAC图 8基于的远程证明 4.3 基于 FTP 的安全存储安全存储的主要工作是加密分区的制作、管理和FTP 服务端、FTP 客户端的改造与部署.当可信物联网设备基于轻量级信任根 DICE 完

49、成自身平台状态和平台身份的证明,并对主机的平台身份进行成功验证后就可以向合法主机用户提供可信的安全存储服务.物联网设备的设备端安全存储模块由 FTP 服务端和加密分区管理子模块组成,加密分区管理子模块负责加密分区制作和管理,将与物联网设备连接的外置移动存储设备制作为加密分区,作为数据的持久化加密存储区域.同时生成密钥加密密钥 KEK 对与加密分区关联的随机密钥 DEK 进行加密保护,即生成密钥 DEK对应的密文文件 DEK.encfile,仅通过身份验证的主机合法用户可以凭借正确的加密分区密码请求可信物联网设备使用密钥 KEK 对密钥 DEK 的密文文件 DEK.encfile 进行解密获得该

50、密钥的明文形式,从而进一步获得加密分区的访问权限.密钥 DEK 长期以密文形式存储在可信物联网设备中并受到保护,并仅在可信物联网设备为拥有正确加密分区密码的合法主机用户提供安全存储服务时才会被解密,有效实现了加密密钥与主机的分离,避免了因主机遭受主机内存攻击带来的密钥泄漏等安全风险,并且仅拥有合法密钥 KEK 的可信物联网设备才能对密钥 DEK 的密文文件进行解密进而打开加密分区,更大程度上提高了存储数据的安全性.物联网设备与主机之间利用 FTP 技术实现数据传输,为了方便合法主机用户对加密分区进行操作并提高物联网设备加密分区的安全性,对分别部署在物联网设备和主机上的 FTP 服务端、FTP