版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
0引 言身份认证技术作为信息安全防护的常用技术手段,已广泛应用于各类信息系统,确保接入用户的数字与物理身份相符合,防止非法接入。随着新技术的发展,各种攻击手段呈现多元化,对于身份认证技术也带来新的挑战。1传统身份认证技术的缺陷传统身份认证技术大多基于操作系统在软件层面实现,通过身份认证软件和数字证书,实现用户的身份认证。由于其依赖操作系统的特点,传统身份认证技术存在以下局限和缺点:(1)传统的身份认证技术缺乏在用户客户端平台硬件启动阶段对客户端进行身份认证,存在非授权客户端平台接入网络的现象,为用户网络带来潜在威胁。(2)传统的身份认证技术依赖于操作系统,采用数字证书的软件认证方式,容易受到病毒、木马、身份仿冒等恶意攻击,且存在被旁路绕过的风险。针对上述问题,将客户端平台身份认证进一步前置,在客户端硬件平台上电启动伊始,通过网络对其进行可信身份认证,只有身份合法的用户平台可以接入网络,实现客户端的安全准入控制,从而提高网络的安全性。2UEFI与可信技术的结合应用分析UEFI技术是一种基于标准接口的计算机固件技术,具有跨平台、功能扩展方便的特点。同时,UEFIBIOS内置了完善的网络协议栈,支持UDP、TCP、FTP等网络协议,可以在启动阶段提供完善的网络应用。除此之外,UEFIBIOS还支持启动阶段从硬盘等存储器件中获取相关文件资源,这就为身份认证在底层实现和在启动阶段实现提供了基础。同时,利用可信计算的可信密码模块(TrustedCryptographyModule,TCM),能够为平台提供加密和认证功能。综上所述,结合运用UEFI技术和可信技术,能够在启动阶段,利用UEFIBIOS和操作系统之间的隔离性,在系统启动操作系统前,与认证服务器相互配合,实现设备的远程入网身份认证,同时利用TCM的加密功能,确保认证数据的传输安全。因此,研究基于UEFI的网络可信身份认证,能有效确保客户端平台的入网可控,同时摆脱认证过程对操作系统的依赖,避免木马、病毒等恶意软件的攻击。3系统组成基于UEFI的远程可信身份认证方案系统架构如图1所示。图1
基于UEFI的远程可信身份认证方案系统架构系统由用户客户端平台和服务器端平台构成。客户端平台在启动过程中,由UEFI固件收集平台信息,通过TCM模块,结合加密、认证功能,请求进行身份认证。服务器端平台对认证数据进行合法性判别,并将身份认证结果反馈给客户端,在启动阶段完成远程身份认证、入网控制。客户端平台UEFI可信增强设计包括四个部分。(1)认证发起。当客户端平台开机启动时,UEFI主动向认证服务器发出请求,包含证书和认证两部分,将用户身份、设备身份等认证信息发送给认证服务器进行认证。(2)TCM调用。调用TCM密码模块,进行对称密码运算和非对称密码运算,实现签名、验签、数据加密等密码功能。(3)信息帧处理。实现数字信封的封装和解封装。数字信封使用的数字签名验签算法由TCM模块提供。(4)证书管理。对认证服务器颁发的身份安全证书进行加密存储和本地管理,其中TCM模块完成加密存储。服务器端平台对客户端平台进行远程注册、认证,为各客户端平台生成对应的身份安全证书并颁发给对应客户端。服务器端平台将针对身份认证数据开展合法性比对,并对客户端平台进行远程身份认证。服务器端平台包括五个部分。(1)网络通信协议栈。通过网络接收认证请求,与客户端平台通信。(2)信息帧处理。实现数字信封的封装和解封装。数字信封使用的数字签名验签算法可以由软件算法实现也可以由专门的密码卡实现。(3)身份安全证书生成。对客户端平台进行注册审核,为通过审核的客户端平台生成安全的身份证书,并对身份证书中的随机数进行更新,确保安全、可靠。同时实现身份证书的存储与销毁操作。(4)身份认证模块。对客户端进行身份认证,将接收数字信封形式的身份认证信息通过解封装解密恢复出的原始数据,并与存储的客户端身份认证数据进行比对,完成用户身份合法性校验,将认证结果回复给用户。(5)用户数据管理。对客户端的信息进行存储和管理,支持增减、修改、查询身份信息。4远程身份认证流程身份认证流程包括了身份信息注册和身份认证两个步骤。在身份注册步骤,客户端平台利用数字签名保护身份信息,确保信息正确及完整。客户端的平台身份密钥(Platformidentitykey,PIK)由TCM模块生成,其本质是一个公钥密钥算法密钥组合,客户端的身份信息可通过PIK私钥完成数字签名,将签名、身份信息发送给认证服务器。认证服务器存储有客户端平台相应的PIK证书(及用户PIK公钥),服务器端利用PIK公钥验证客户端发送的数字签名信息,核准平台身份并颁发身份安全证书(安全证书中包含服务器公钥信息)。身份信息注册阶段流程如下:(1)客户端平台发送设备注册信息,客户端平台对设备信息使用自身的PIK私钥进行数字签名,通过网络将数字签名、设备信息的组合数据发送给认证服务器。(2)认证服务器接收注册信息后,将客户端设备信息、数字签名解析出来后,使用数据库中匹配的客户端设备PIK公钥,完成数字签名验签,通过校验设备信息完成验证。若客户端平台合法,则通过验证,给出合法客户的身份安全证书,并将其数据信息存储在数据库中。(3)认证服务器颁发证书,将身份安全证书通过客户端平台PIK公钥进行加密,发送给客户端。(4)客户端平台通过PIK私钥对收到的身份安全证书进行解密。通过身份安全证书中携带的认证服务器公钥,验证证书签名合法性,并获取证书中的随机数。身份信息注册阶段流程如图2所示。图2
身份信息注册阶段流程在身份认证阶段,由于客户端平台和认证服务器相互获取了对方的公钥,在客户端和服务器端利用数字信封的方式对传输的信息进行加密,提高认证的安全性。身份认证的流程如下:(1)客户端平台上电开机,可信UEFI固件程序启动,在进入操作系统之前,UEFI固件通过证书管理模块对身份安全证书中的认证随机数和身份安全证书公钥信息进行查询。(2)客户端平台发送身份认证请求给认证服务器,通过身份安全证书公钥以及随机数加密得到密文信息,生成数字信封并发送至认证服务器。(3)认证服务器端开展身份认证,并对身份安全证书进行更新。首先,认证服务器对客户端平台数字信封进行解封装,使用相应客户端的PIK公钥来进行签名验证,然后使用身份安全证书私钥进行解密运算,恢复数字信封中的认证随机数。比对解密得到的认证随机数和数据库中存储的随机数,判断身份是否合法。如身份合法,认证服务器对身份安全证书中的随机数进行更新,并记录至数据库中,供下一次身份验证使用;如果身份非法,则禁止客户端平台入网,从而保护网络安全。(4)认证服务器端对新证书中的认证随机进行封装,通过身份安全证书的私钥进行数字签名,发送给客户端平台。(5)客户端平台收到数字信封数据,进行解密,得到数字信封中更新的认证随机数,供下一次认证使用。身份信息认证流程如图3所示。图3
身份信息认证流程5安全性分析基于UEFI的远程可信身份认证能够有效防护常见的恶意攻击。(1)针对重放攻击,采用身份安全证书更新机制,每次认证均会进行更新,攻击者无法利用以往的数据对认证服务器进行欺骗,可有效提高安全性。(2)针对中间人攻击,采用了TCM对认证数据进行加密,身份安全证书数据被中间人获取,但证书数据无法被攻击者破译,认证服务器不会被欺骗,可有效避免中间人攻击。(3)针对旁
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 【语文】《赤壁赋》课件+2024-2025学年统编版高中语文必修上册
- 玩具风车产业深度调研及未来发展现状趋势
- 消防泵产品入市调查研究报告
- LED照明装置市场洞察报告
- 测量用圆规市场发展预测和趋势分析
- 甘汞杀真菌剂市场发展现状调查及供需格局分析预测报告
- 治疗呼吸系统疾病的药物制剂市场需求与消费特点分析
- 珍珠层粉产业深度调研及未来发展现状趋势
- 汽车自行车上光蜡市场洞察报告
- 浴室凉鞋产业规划专项研究报告
- 广东省深圳市五年级上学期科学期中试卷三(含答案)
- 【核心素养】人音版三年级上册第2课《我是草原小牧民》教案
- 【核心素养目标】4.1 光的直线传播(教学设计)人教版八年级物理上册
- 《劳动创造幸福奋斗成就梦想》主题班会
- 牛津译林版英语2024七年级上册全册单元知识清单(记忆版)
- 2024小学道德与法治新教材培训:教材解读及教学建议
- 2024-2025学年山西省太原市数学高三上学期模拟试卷与参考答案
- 3.16谣言止于智者-正确处理同学关系班会解析
- 年产30万吨木薯燃料乙醇项目一期工程(年产15万吨)可行性研究报告
- 2024版全新劳动仲裁证据目录范本
- 2024年部编新改版语文小学三年级上册第六单元测试题附答案
评论
0/150
提交评论