基于過濾機制的Web服務遠程可信認證.pdf

1、計算機網絡的飛速發(fā)展給人們的生活帶來了極大的便利，電子商務的發(fā)展更是改變了人們傳統(tǒng)的生活方式。在網絡給人們引來巨大便利和商機的同時，網絡安全問題也越來越成為威脅計算機發(fā)展的主要因素?？尚庞嬎阏窃谶@個大背景下發(fā)展起來的，可信計算能從計算機內部保證數(shù)據(jù)和配置的安全，提高了計算機的安全性。
　　 可信計算的遠程認證是為了解決遠程實體間的認證問題，可信計算小組TCG先后發(fā)布的可信認證方案是Privacy CA和直接匿名認證DAA。這兩

2、種方案都是基于遠程平臺的可信平臺模塊TPM中的平臺配置信息PCR值和身份認證密鑰AIK，不同的是DAA引入了時間戳標示。但這種基于二進制的認證過多的暴露了遠程平臺的信息，在開放的分布式應用中系統(tǒng)更新、備份等很難實現(xiàn)，基于屬性的認證克服了二進制認證的缺陷，但也存在一次認證，靜態(tài)認證等固定缺陷。
　　 虛擬技術引入到可信遠程認證中，提高了認證的易實現(xiàn)性和認證結果的可信性。但現(xiàn)存的認證方案在認證效率和具體的應用上都顯現(xiàn)出不足。本文正是

3、從認證效率和具體的應用上入手，提出了基于過濾機制的認證方案，并提出了適用于Web服務的認證方案和具體的過濾策略。本文主要作了以下三方面的工作：
　　 (1)分析了現(xiàn)存的虛擬可信認證方案，把虛擬可信認證方案分為兩類：基于語言的虛擬認證和基于虛擬機的認證；并分析了這兩種認證策略各自的優(yōu)、缺點。這兩種認證方案是本文的研究的基礎，本文的主要工作正在對這兩種方案的改進。
　　 (2)提出了引入過濾機制的認證方案?；谡Z言的虛擬可信

4、認證，采用語言虛擬機從程序的語義層認證程序的具體行為，提高了認證可信性，但程序的語義的定義是很困難的，客戶和服務器都需要語言虛擬機才能進行認證，并且加重了服務器的通信負擔；基于虛擬機的認證本質還是二進制認證。本文結合兩種認證方案的優(yōu)點，把進行認證服務的語言虛擬機，改為一個服務器的真實的“虛擬”，通過把未認證過的程序在虛擬服務器上運行，并把程序運行的結果作為認證的標準。認證過濾器專門負責對程序認證的過濾，它的設計是該方案的核心內容，關乎認

5、證的成敗。為認證通過的程序建立程序信任列表，認證過的程序下次則不用再進行認證，提高了認證的效率。并針對Web服務器并結合程序分類思想，提出了具體的認證和過濾策略。最后結合基于虛擬機認證的優(yōu)點，提出了適用于大型服務器的過濾認證機制。
　　 (3)通過開源的TPM Emulator和IAIK jTSS在Linux之上搭建了可信認證環(huán)境。Web服務器選用Tomcat，通過認證信任表的動態(tài)改變，實現(xiàn)了程序的認證過濾，驗證了本文提出的基于