文档介绍:太原理工大学
硕士学位论文
基于过滤机制的Web服务远程可信认证
姓名:贾伟
申请学位级别:硕士
专业:计算机应用技术
指导教师:彭新光
20100401
太原理工大学硕士研究生学位论文
基于过滤机制的 Web 服务远程可信认证
摘要
计算机网络的飞速发展给人们的生活带来了极大的便利,电子商务的
发展更是改变了人们传统的生活方式。在网络给人们引来巨大便利和商机
的同时,网络安全问题也越来越成为威胁计算机发展的主要因素。可信计
算正是在这个大背景下发展起来的,可信计算能从计算机内部保证数据和
配置的安全,提高了计算机的安全性。
可信计算的远程认证是为了解决远程实体间的认证问题,可信计算小
组 TCG 先后发布的可信认证方案是 Privacy CA 和直接匿名认证 DAA。这
两种方案都是基于远程平台的可信平台模块 TPM 中的平台配置信息 PCR
值和身份认证密钥 AIK,不同的是 DAA 引入了时间戳标示。但这种基于二
进制的认证过多的暴露了远程平台的信息,在开放的分布式应用中系统更
新、备份等很难实现,基于属性的认证克服了二进制认证的缺陷,但也存
在一次认证,静态认证等固定缺陷。
虚拟技术引入到可信远程认证中,提高了认证的易实现性和认证结果
的可信性。但现存的认证方案在认证效率和具体的应用上都显现出不足。
本文正是从认证效率和具体的应用上入手,提出了基于过滤机制的认证方
案,并提出了适用于 Web 服务的认证方案和具体的过滤策略。本文主要作
了以下三方面的工作:
(1)分析了现存的虚拟可信认证方案,把虚拟可信认证方案分为两类:
基于语言的虚拟认证和基于虚拟机的认证;并分析了这两种认证策略各自
的优、缺点。这两种认证方案是本文的研究的基础,本文的主要工作正在
对这两种方案的改进。
(2)提出了引入过滤机制的认证方案。基于语言的虚拟可信认证,采用
语言虚拟机从程序的语义层认证程序的具体行为,提高了认证可信性,但
程序的语义的定义是很困难的,客户和服务器都需要语言虚拟机才能进行
认证,并且加重了服务器的通信负担;基于虚拟机的认证本质还是二进制
认证。本文结合两种认证方案的优点,把进行认证服务的语言虚拟机,改
为一个服务器的真实的“虚拟”,通过把未认证过的程序在虚拟服务器上运
I
太原理工大学硕士研究生学位论文
行,并把程序运行的结果作为认证的标准。认证过滤器专门负责对程序认
证的过滤,它的设计是该方案的核心内容,关乎认证的成败。为认证通过
的程序建立程序信任列表,认证过的程序下次则不用再进行认证,提高了
认证的效率。并针对 Web 服务器并结合程序分类思想,提出了具体的认证
和过滤策略。最后结合基于虚拟机认证的优点,提出了适用于大型服务器
的过滤认证机制。
(3)通过开源的 TPM Emulator 和 IAIK jTSS 在 Linux 之上搭建了可信认
证环境。Web 服务器选用 Tomcat,通过认证信任表的动态改变,实现了程
序的认证过滤,验证了本文提出的基于 Web 服务的认证过滤策略的可行性。
关键词:可信计算,远程认证,Web 服务,过滤
II
太原理工大学硕士研究生学位论文
FILTER-BASED REMOTE TRUSTED
ATTESTATION FOR WEB SERVICES
ABSTRACT
work’s rapid development takes greatly advantage to
people's lives, the development of merce is changing people's
traditional way of life. At the same work brings huge business
opportunities and advantage, work’s security is increasingly ing the
main factors that threaten the development of puter, puting is
developed at this background, puting can ensure data and
configuration’s security from internal, and that improves the security of
computers.
puting remote attestation is to solve the remote platform’s
authe