基于DICE的证明存储方案.pdf
《基于DICE的证明存储方案.pdf》由会员分享,可在线阅读,更多相关《基于DICE的证明存储方案.pdf(14页珍藏版)》请在咨信网上搜索。
1、基于 DICE 的证明存储方案王辉1,2,冯伟2,秦宇21(中国科学院大学,北京100049)2(中国科学院软件研究所可信计算与信息保障实验室,北京100190)通信作者:冯伟,E-mail:摘要:信息技术的不断发展和智能终端设备的普及导致全球数据存储总量持续增长,数据面临的威胁挑战也随着其重要性的凸显而日益增加,但目前部分计算设备和存储设备仍存在缺乏数据保护模块或数据保护能力较弱的问题.现有数据安全存储技术一般通过加密的方式实现对数据的保护,但是数据的加解密操作即数据保护过程通常都在应用设备上执行,导致应用设备遭受各类攻击时会对存储数据的安全造成威胁.针对以上问题,本文提出了一种基于 DIC
2、E 的物联网设备证明存储方案,利用基于轻量级信任根 DICE 构建的可信物联网设备为通用计算设备(统称为主机)提供安全存储服务,将数据的加解密操作移至可信物联网设备上执行,消除因主机遭受内存攻击等风险对存储数据造成的威胁.本文工作主要包括以下 3 方面:(1)利用信任根 DICE 构建可信物联网设备,为提供可信服务提供安全前提.(2)建立基于信任根 DICE 的远程证明机制和访问控制机制实现安全认证和安全通信信道的建立.(3)最终利用可信物联网设备为合法主机用户提供可信的安全存储服务,在实现数据安全存储的同时,兼顾隔离性和使用过程的灵活性.实验结果表明,本方案提供的安全存储服务具有较高的文件传
3、输速率,并具备较高的安全性,可满足通用场景下的数据安全存储需求.关键词:物联网设备;安全存储;轻量级信任根;可信启动;远程证明引用格式:王辉,冯伟,秦宇.基于 DICE 的证明存储方案.计算机系统应用,2023,32(9):5366.http:/www.c-s- Attestation and Storage SchemeWANGHui1,2,FENGWei2,QINYu21(UniversityofChineseAcademyofSciences,Beijing100049,China)2(TrustedComputingandInformationAssuranceLaboratory,I
4、nstituteofSoftware,ChineseAcademyofSciences,Beijing100190,China)Abstract:Thecontinuousdevelopmentofinformationtechnologyandthepopularizationofintelligentterminaldeviceshaveledtothecontinuousgrowthofthetotalamountofglobaldatastorage,andthethreatsandchallengesfacedbydatahaveincreasedwiththeprominenceo
5、ftheirimportance.However,currently,somecomputingandstoragedevicesstilllackdataprotectionmodulesorhaveweakdataprotectioncapabilities.Existingdatasecuritystoragetechnologiesgenerallyprotectdatathroughencryption,butdataencryptionanddecryptionoperations,ordataprotectionprocesses,areusuallyperformedonthe
6、applieddevices,resultinginthreatstothesecurityofstoreddatawhentheapplieddevicesaresubjectedtovariousattacks.Inresponsetotheaboveissues,thisstudyproposesaDICE-basedInternetofThings(IoT)deviceattestationstoragescheme,whichutilizestrustedIoTdevicesbuiltbasedonthelightweightrootoftrustDICEtoprovidesecur
7、estorageservicesforgeneral-purposecomputingdevices(collectivelyreferredtoashosts),movesdataencryptionanddecryptionoperationstotrustedIoTdevices,andeliminatesthreatstostoreddatacausedbyriskssuchashostmemoryattacks.Thisstudymainlyincludesthefollowingthreeaspects:(1)buildingatrustedIoTdevicebyusing计算机系
8、统应用ISSN1003-3254,CODENCSAOBNE-mail:ComputerSystems&Applications,2023,32(9):5366doi:10.15888/ki.csa.009228http:/www.c-s-中国科学院软件研究所版权所有.Tel:+86-10-62661041基金项目:国家重点研发计划(2022YFB4501500,2022YFB4501501,2020YFE0200600)收稿时间:2023-02-16;修改时间:2023-03-20;采用时间:2023-04-07;csa 在线出版时间:2023-07-14CNKI 网络首发时间:2023-07
9、-17SystemConstruction系统建设53therootoftrustDICEtoprovideasecurityprerequisiteforprovidingtrustedservices;(2)establishingaDICE-basedremoteattestationmechanismandaccesscontrolmechanismtoachievesecureauthenticationandestablishasecurecommunicationchannel;(3)usingthetrustedIoTdevicetoprovidetrustedandsecur
10、estorageservicesforlegitimatehostusers,whichachievessecuredatastorageandtakesintoaccountisolationandflexibilityintheuseprocess.Theexperimentalresultsshowthatthesecurestorageserviceprovidedbythisschemehasahighfiletransferrateandhighsecurity,whichcanmeettherequirementsforsecuredatastorageingeneralscen
11、arios.Key words:InternetofThings(IoT)device;securestorage;lightweightrootoftrust;trustedboot;remoteattestation1引言随着互联网技术和云计算、人工智能等新兴技术的持续发展,以及智能终端等计算设备数量规模的不断扩大,现如今全球的数据存储总量正以惊人的速度不断增长.国际数据公司 IDC 预计在 2025 年全球的物联网设备或类似设备的数量规模会达到 416 亿,并产生 79.4ZB 的数据1.而随着网络信息技术的不断发展,数据资源在各行各业中地位的重要性不断凸显,一些网络攻击者正在将数据资源
12、作为他们破坏和窃取的对象.而数据安全不但关乎国家、企事业单位的机密信息,同时也与个人隐私紧密相关,因此提高数据在全生命周期中的安全性成为亟需解决的挑战.其中数据存储阶段是数据生命周期的关键阶段,因此提高数据在存储阶段的安全性尤为重要.在通用计算设备上,实现数据的安全存储主要依赖于磁盘加密技术,它包括基于硬件和基于软件两种类型,基于硬件的磁盘加密技术依赖于特定的硬件驱动器,例如自加密驱动器 SED2;而基于软件的磁盘加密技术以运行在内核层的应用程序为基础,例如 eCryptfs.虽然以上两种磁盘加密技术都可以在一定程度上提高数据在存储期间的安全,但是都存在一定的缺陷,例如基于硬件的磁盘加密技术需
13、要依赖特定的硬件,而部分基于软件的磁盘加密技术由于缺乏隔离性,在遭受主机内存攻击时无法保证加载至主机内存中密钥的安全.同时例如 Windows 提供的驱动器加密工具 BitLocker3在使用过程中会将加密密钥释放到内存中,在主机内存遭受攻击时可能会导致密钥泄漏进而影响存储数据的安全.针对以上问题,可以考虑借助外部设备为存在数据安全存储需求的计算设备提供安全存储服务,在不增加原有计算设备硬件成本的同时兼顾与外部设备之间的隔离性,进而提高存储数据的安全性.而小型物联网设备具有便携、成本较低且功能较为全面的优势,因此使用物联网设备来提供安全存储服务具备较高的可行性.物联网设备通常利用传感器等硬件对
14、真实物理环境进行探测,并利用传统互联网技术与其他计算设备进行数据传输.物联网设备通常由感知层、网络层和应用层4构成.作为互联网技术和硬件技术结合发展的产物,物联网设备同样面临着来自传统网络安全风险的威胁,例如中间人攻击等网络攻击.同时随着物联网技术与云计算、人工智能等新兴技术的融合发展,物联网设备在硬件、软件和数据 3 个方面面临着愈加严峻的风险挑战.因此,为了在物联网设备上构建安全存储服务,同时防止针对物联网设备发起的攻击,有必要基于可信计算技术构建可信物联网设备,使其具备平台身份和平台状态证明的能力.而基于信任根的可信计算技术是满足物联网设备在信任建立、授权访问控制和数据机密性、完整性保护
15、5等方面安全需求的常用技术.普通计算设备通常利用基于硬件信任根的可信计算技术实现自身对攻击的主动防御.常见的传统硬件信任根有 TPM(trustedplatformmodule)/TCM(trustedcryptographymodule)6.但由于部分物联网设备与个人电脑、服务器等普通计算设备相比,在内存、计算能力等资源以及能源储备方面存在较大的局限性7,因此无法直接使用传统硬件信任根 TPM/TCM 实现可信启动8、远程证明9以及数据的安全存储.针对以上问题,本文提出一种基于信任根 DICE(deviceidentifiercompositionengine)10的证明存储方案,利用轻量级
16、信任根 DICE 实现物联网设备的可信启动以创建可信计算环境,并基于该可信物联网设备向合法主机提供可信的安全存储服务,其中 DICE 是国际可信计算组织提出的一种可作为轻量级信任根的安全架构标准.该方案由可信启动、远程证明和安全存储部分组成,首先将轻量级信任根 DICE 作为物计 算 机 系 统 应 用http:/www.c-s-2023年第32卷第9期54系统建设SystemConstruction联网设备的信任锚点并建立信任链实现可信启动,然后基于可信启动过程中派生的复合设备标识符 CDI(compounddeviceidentifier)生成用于物联网设备平台身份和平台状态证明的证明密钥
17、以实现自身平台身份和平台状态的证明,并验证主机身份的合法性.随后使用磁盘加密技术将物联网设备连接的外置移动存储设备制作为加密分区作为持久化存储区域,在完成远程证明的基础上结合 FTP 技术向合法主机提供安全存储服务.本文的主要贡献如下.(1)利用基于信任根 DICE 构建的可信物联网设备为主机提供安全存储服务,将存储数据的加解密操作隔离至可信物联网设备上执行,解决了磁盘加密技术等安全存储技术所存在的因主机遭受内存攻击等风险而威胁存储数据安全的问题.(2)建立基于信任根 DICE 的物联网设备远程证明机制和加密分区的访问控制机制,确保提供安全存储服务的物联网设备、请求服务的主机和用户处于可信状态
18、.(3)在原有 DICE 的固件分层度量引导基础上设计了一种树形度量引导模型以实现对物联网设备完整固件层或固件层部分组件的选择性度量,在实现物联网设备可信启动的同时降低在固件层组件耦合度较低的情况下不必要的度量引导开销.本文第 2 节介绍国内外在可信启动、远程证明以及安全存储方面的相关工作.第 3 节介绍本方案的系统模型、威胁模型和安全假设.第 4 节介绍本方案各模块的功能与设计.第 5 节介绍本方案的实验过程并对实验结果进行性能评估和安全性分析.第 6 节对全文进行总结并对未来工作进行展望.2相关工作 2.1 可信启动可信启动8是一种在计算设备通电重启后通过利用信任根构建信任链的方式实现对计
19、算设备操作系统、固件等组件度量引导的技术.其中信任根和信任链是实现可信启动的关键,信任根是固化在计算设备内部的最小安全功能组件,具有防物理篡改的优势11,比较常见的硬件信任根是安全芯片.国际可信计算组织发布的 TPM 和中国发布的 TCM 是两种主流的安全芯片标准.2.1.1基于传统信任根 TPM 的可信启动如图 1 所示,当计算设备通电重启后,处于可信引导块中的 CRTM 最先开始运行,在完成自检之后对可信引导块的剩余部分进行度量,随后将引导控制权转交给可信引导块.随后以同样的方式完成从可信引导块到操作系统加载程序、再到操作系统直至系统应用的引导过程12.在此阶段内,TPM 对计算设备各阶段
20、运行代码进行计算度量,同时利用平台状态寄存器进行扩展度量,并将最后的度量值记录在度量日志中.系统应用操作系统操作系统加载程序可信引导块计算设备CRTM图 1基于 TPM 的可信启动2.1.2基于轻量级信任根 DICE 的可信启动针对部分资源受限、无法内置传统信任根 TPM/TCM 的计算设备,国际可信计算组织提出了一种可作为轻量级信任根的安全架构标准 DICE,用于实现此类计算设备的度量引导13.实现 DICE 的最低硬件需求仅包括以下 3 个部分:(1)作为计算设备全部信任基础和设备身份密钥的唯一设备秘密 UDS(uniquedevicesecret);(2)计算设备重启后最先运行的引导代码
21、;(3)用于阻止除引导代码外的固件访问 UDS 的锁定机制10.L0L1L2,Ln1L0L0CDI(L0)LtLtLt1CDI(Lt)Lt+1CDI(Lt)Lt+1Lt+1CDI(Lt+1)基于 DICE 的度量引导方案中固件分为一至多层,并依次获得控制权13,假设有 n 层,为,.各层固件按照顺序进行逐级度量引导,如图 2 所示.当设备通电重启后,DICE 短暂访问 UDS 并利用单向函数基于设备身份密钥 UDS 和固件层的度量值为固件层生成一个称为的复合设备标识符,除最后一层外每层固件都会为下层固件生成属于该下层固件自身的复合设备标识符.假设当前运行固件层为,在获得传递的控制权和复合设备标
22、识符之后,在实现对层固件的度量后利用单向函数基于自身复合设备标识符和的固件度量值为生成复合设备标识符,即:CDI(Lt+1)=OWF(CDI(Lt),Hash(Lt+1)(1)2023年第32卷第9期http:/www.c-s-计 算 机 系 统 应 用SystemConstruction系统建设55CDI(Lt+1)Lt+1随后将引导控制权和一并转交给层固件.该方案中每层固件的复合设备标识符都可用于派生属于该层固件的数据密封密钥和远程证明密钥.CDI(L0)=OWF(UDS,Hash(L0)CDI(L1)=OWF(CDI(L0),Hash(L1)CDI(L2)=OWF(CDI(L1),Has
23、h(L2)CDI(L0)CDI(L1)Hash(L0)Hash(L1)DICEL0L1Ln1UDS计算设备.图 2基于 DICE 的度量引导 2.2 远程证明远程证明是指远程验证方对可疑计算设备的平台身份、平台状态进行验证的技术,包括平台身份证明和平台状态证明.从实现方式角度区分,远程证明可以分为基于软件、基于硬件以及基于软硬件协同这 3 种方式,基于软件的方式仅依赖于证明代码,以 SWATT14、Reflection15为代表.基于硬件的方式需要借助硬件来实现远程证明过程,基于硬件信任根 TPM/TCM 和IntelSGX16的远程证明是基于硬件方式的代表性方案.而基于软硬件协同的远程证明是
24、指利用具有最小硬件安全特征的硬件组件实现远程证明的方式,以TyTan17、TrustLite18为代表.2.2.1基于软件的远程证明基于软件的远程证明是指对目标计算设备内存中的数据、代码等进行验证的过程.Reflection15是最早的软件证明方案,它的基本思想是构造两个包含覆盖完整内存空间地址范围的随机挑战,并且所包含的地址范围互相重叠,以实现对目标设备完整内存地址空间的验证.但由于缺乏硬件模块的保护,此类证明方案容易遭受内存压缩、内存复制等攻击.针对以上软件证明的风险挑战,目前的应对方案主要包括以下 3 种11:(1)基于严格证明时间的软件证明:利用伪随机遍历等手段防止攻击者影响证明过程并
25、对远程验证方造成欺骗,SWATT14是此类方案的典型代表,但由于对证明时间的强烈依赖,因此需要保证自身算法始终处于最优状态.(2)基于空闲内存填充的软件证明:利用伪随机噪声对设备空闲程序内存进行填充以防止敌手对空闲内存空间进行非法占用,在分布式场景下提出的方案 19 是该类方案的典型代表.(3)基于随机证明函数的软件证明:利用不可预测的随机构造证明函数代替固定证明函数,PIV20是此类方案的典型代表,该方案会在证明时通过生成随机哈希函数的方式提高证明过程的安全性.2.2.2基于硬件的远程证明基于硬件的远程证明是指利用硬件信任根、支持可信执行环境21的处理器或者其他硬件技术实现远程证明的一种方式
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 DICE 证明 存储 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。