基于可信计算的度量验证关键技术研究

分布式应用的飞速发展让结点平台的可信保障成为信息安全的研究热点。传统计算机平台的信息安全技术很难满足分布式计算环境的安全需求。可信计算技术通过引入可信硬件作为“信任根”，为保障结点平台的可信性提供了新的机制。基于可信计算的度量验证技术是保障平台可信性的核心机制，目前的相关研究在可信性、隐私性、易用性等方面还存在问题。 本文总结度量验证的基本概念和实施模型；分析现有度量验证机制在平台隐私保护、运行时完整性保障上存在的问题，提出相应具体解决方案；并基于度量验证机制提出一种新的对等网络声誉系统，具体创新成果如下： 1. 分析可信与完整性的本质，提出动态系统完整性的概念，并基于Clark-Wilson完整性模型给出具体实施规则，用于指导运行时完整性保障机制的设计与实现。 2. 针对经典度量验证体系架构存在的平台隐私保护不力、验证效率低下、验证方式单一等不足，提出基于Merkle哈希树的度量验证机制RAMT，并阐述其体系架构和具体实现。 3. 分析载入时完整性保障的缺陷，提出运行时完整性保障机制，通过对关键系统构件的运行时完整性进行监控提高其可信性；给出一种基于动态完整性度量模块DIMM的具体实现方案，分析该方案的可靠性和有效性，并阐述其在虚拟机环境下的实际应用vTPM-DIMM。 4. 为解决现有声誉系统的负载平衡、冷启动以及协同作弊问题，基于度量验证机制提出一种多级别的可信声誉系统MRS；通过CCEA实施全局的访问控制规则，MRS还可作为激励机制使用。