摘　要

　　身份認證技術(shù)是依靠軟件進行身份認證，具有無法抵御旁路攻擊、容易被木馬/病毒攻擊、無權(quán)限的客戶端非法接入的問題?？删C合利用UEFI技術(shù)和可信計算技術(shù)，在用戶客戶端進入操作系統(tǒng)前，實現(xiàn)用戶客戶端可信身份認證和安全接入控制，提高網(wǎng)絡的安全性。

　?。?/p>

　　引言

　　身份認證技術(shù)作為信息安全防護的常用技術(shù)手段，已廣泛應用于各類信息系統(tǒng)，確保接入用戶的數(shù)字與物理身份相符合，防止非法接入。隨著新技術(shù)的發(fā)展，各種攻擊手段呈現(xiàn)多元化，對于身份認證技術(shù)也帶來新的挑戰(zhàn)。

　?。?/p>

　　傳統(tǒng)身份認證技術(shù)的缺陷

　　傳統(tǒng)身份認證技術(shù)大多基于操作系統(tǒng)在軟件層面實現(xiàn)，通過身份認證軟件和數(shù)字證書，實現(xiàn)用戶的身份認證。由于其依賴操作系統(tǒng)的特點，傳統(tǒng)身份認證技術(shù)存在以下局限和缺點：

　?。?）傳統(tǒng)的身份認證技術(shù)缺乏在用戶客戶端平臺硬件啟動階段對客戶端進行身份認證，存在非授權(quán)客戶端平臺接入網(wǎng)絡的現(xiàn)象，為用戶網(wǎng)絡帶來潛在威脅。

　?。?）傳統(tǒng)的身份認證技術(shù)依賴于操作系統(tǒng)，采用數(shù)字證書的軟件認證方式，容易受到病毒、木馬、身份仿冒等惡意攻擊，且存在被旁路繞過的風險。

　　針對上述問題，將客戶端平臺身份認證進一步前置，在客戶端硬件平臺上電啟動伊始，通過網(wǎng)絡對其進行可信身份認證，只有身份合法的用戶平臺可以接入網(wǎng)絡，實現(xiàn)客戶端的安全準入控制，從而提高網(wǎng)絡的安全性。

　　２

　　UEFI與可信技術(shù)的結(jié)合應用分析

　　UEFI技術(shù)是一種基于標準接口的計算機固件技術(shù)，具有跨平臺、功能擴展方便的特點。同時，UEFI BIOS內(nèi)置了完善的網(wǎng)絡協(xié)議棧，支持UDP、TCP、FTP等網(wǎng)絡協(xié)議，可以在啟動階段提供完善的網(wǎng)絡應用。除此之外，UEFI BIOS還支持啟動階段從硬盤等存儲器件中獲取相關文件資源，這就為身份認證在底層實現(xiàn)和在啟動階段實現(xiàn)提供了基礎。同時，利用可信計算的可信密碼模塊（Trusted Cryptography Module，TCM），能夠為平臺提供加密和認證功能。

　　綜上所述，結(jié)合運用UEFI技術(shù)和可信技術(shù)，能夠在啟動階段，利用UEFI BIOS和操作系統(tǒng)之間的隔離性，在系統(tǒng)啟動操作系統(tǒng)前，與認證服務器相互配合，實現(xiàn)設備的遠程入網(wǎng)身份認證，同時利用TCM的加密功能，確保認證數(shù)據(jù)的傳輸安全。因此，研究基于UEFI的網(wǎng)絡可信身份認證，能有效確保客戶端平臺的入網(wǎng)可控，同時擺脫認證過程對操作系統(tǒng)的依賴，避免木馬、病毒等惡意軟件的攻擊。

　　３

　　系統(tǒng)組成

　　基于UEFI的遠程可信身份認證方案系統(tǒng)架構(gòu)如圖1所示。

　　圖1  基于UEFI的遠程可信身份認證方案系統(tǒng)架構(gòu)

　　系統(tǒng)由用戶客戶端平臺和服務器端平臺構(gòu)成?？蛻舳似脚_在啟動過程中，由UEFI固件收集平臺信息，通過TCM模塊，結(jié)合加密、認證功能，請求進行身份認證。服務器端平臺對認證數(shù)據(jù)進行合法性判別，并將身份認證結(jié)果反饋給客戶端，在啟動階段完成遠程身份認證、入網(wǎng)控制。

　　客戶端平臺UEFI可信增強設計包括四個部分。

　?。?）認證發(fā)起。

　　當客戶端平臺開機啟動時，UEFI主動向認證服務器發(fā)出請求，包含證書和認證兩部分，將用戶身份、設備身份等認證信息發(fā)送給認證服務器進行認證。

　?。?）TCM調(diào)用。

　　調(diào)用TCM密碼模塊，進行對稱密碼運算和非對稱密碼運算，實現(xiàn)簽名、驗簽、數(shù)據(jù)加密等密碼功能。

　?。?）信息幀處理。

　　實現(xiàn)數(shù)字信封的封裝和解封裝。數(shù)字信封使用的數(shù)字簽名驗簽算法由TCM模塊提供。

　　（4）證書管理。

　　對認證服務器頒發(fā)的身份安全證書進行加密存儲和本地管理，其中TCM模塊完成加密存儲。

　　服務器端平臺對客戶端平臺進行遠程注冊、認證，為各客戶端平臺生成對應的身份安全證書并頒發(fā)給對應客戶端。服務器端平臺將針對身份認證數(shù)據(jù)開展合法性比對，并對客戶端平臺進行遠程身份認證。服務器端平臺包括五個部分。

　?。?）網(wǎng)絡通信協(xié)議棧。

　　通過網(wǎng)絡接收認證請求，與客戶端平臺通信。

　?。?）信息幀處理。

　　實現(xiàn)數(shù)字信封的封裝和解封裝。數(shù)字信封使用的數(shù)字簽名驗簽算法可以由軟件算法實現(xiàn)也可以由專門的密碼卡實現(xiàn)。

　?。?）身份安全證書生成。

　　對客戶端平臺進行注冊審核，為通過審核的客戶端平臺生成安全的身份證書，并對身份證書中的隨機數(shù)進行更新，確保安全、可靠。同時實現(xiàn)身份證書的存儲與銷毀操作。

　　（4）身份認證模塊。

　　對客戶端進行身份認證，將接收數(shù)字信封形式的身份認證信息通過解封裝解密恢復出的原始數(shù)據(jù)，并與存儲的客戶端身份認證數(shù)據(jù)進行比對，完成用戶身份合法性校驗，將認證結(jié)果回復給用戶。

　　（5）用戶數(shù)據(jù)管理。

　　對客戶端的信息進行存儲和管理，支持增減、修改、查詢身份信息。

　?。?/p>

　　遠程身份認證流程

　　身份認證流程包括了身份信息注冊和身份認證兩個步驟。

　　在身份注冊步驟，客戶端平臺利用數(shù)字簽名保護身份信息，確保信息正確及完整?？蛻舳说钠脚_身份密鑰（Platform identity key，PIK）由TCM模塊生成，其本質(zhì)是一個公鑰密鑰算法密鑰組合，客戶端的身份信息可通過PIK私鑰完成數(shù)字簽名，將簽名、身份信息發(fā)送給認證服務器。認證服務器存儲有客戶端平臺相應的PIK證書（及用戶PIK公鑰），服務器端利用PIK公鑰驗證客戶端發(fā)送的數(shù)字簽名信息，核準平臺身份并頒發(fā)身份安全證書（安全證書中包含服務器公鑰信息）。

　　身份信息注冊階段流程如下：

　?。?）客戶端平臺發(fā)送設備注冊信息，客戶端平臺對設備信息使用自身的PIK私鑰進行數(shù)字簽名，通過網(wǎng)絡將數(shù)字簽名、設備信息的組合數(shù)據(jù)發(fā)送給認證服務器。

　?。?）認證服務器接收注冊信息后，將客戶端設備信息、數(shù)字簽名解析出來后，使用數(shù)據(jù)庫中匹配的客戶端設備PIK公鑰，完成數(shù)字簽名驗簽，通過校驗設備信息完成驗證。若客戶端平臺合法，則通過驗證，給出合法客戶的身份安全證書，并將其數(shù)據(jù)信息存儲在數(shù)據(jù)庫中。

　?。?）認證服務器頒發(fā)證書，將身份安全證書通過客戶端平臺PIK公鑰進行加密，發(fā)送給客戶端。

　?。?）客戶端平臺通過PIK私鑰對收到的身份安全證書進行解密。通過身份安全證書中攜帶的認證服務器公鑰，驗證證書簽名合法性，并獲取證書中的隨機數(shù)。

　　身份信息注冊階段流程如圖2所示。

　　圖2  身份信息注冊階段流程

　　在身份認證階段，由于客戶端平臺和認證服務器相互獲取了對方的公鑰，在客戶端和服務器端利用數(shù)字信封的方式對傳輸?shù)男畔⑦M行加密，提高認證的安全性。身份認證的流程如下：

　?。?）客戶端平臺上電開機，可信UEFI固件程序啟動，在進入操作系統(tǒng)之前，UEFI固件通過證書管理模塊對身份安全證書中的認證隨機數(shù)和身份安全證書公鑰信息進行查詢。

　?。?）客戶端平臺發(fā)送身份認證請求給認證服務器，通過身份安全證書公鑰以及隨機數(shù)加密得到密文信息，生成數(shù)字信封并發(fā)送至認證服務器。

　　（3）認證服務器端開展身份認證，并對身份安全證書進行更新。首先，認證服務器對客戶端平臺數(shù)字信封進行解封裝，使用相應客戶端的PIK公鑰來進行簽名驗證，然后使用身份安全證書私鑰進行解密運算，恢復數(shù)字信封中的認證隨機數(shù)。比對解密得到的認證隨機數(shù)和數(shù)據(jù)庫中存儲的隨機數(shù)，判斷身份是否合法。如身份合法，認證服務器對身份安全證書中的隨機數(shù)進行更新，并記錄至數(shù)據(jù)庫中，供下一次身份驗證使用；如果身份非法，則禁止客戶端平臺入網(wǎng)，從而保護網(wǎng)絡安全。

　?。?）認證服務器端對新證書中的認證隨機進行封裝，通過身份安全證書的私鑰進行數(shù)字簽名，發(fā)送給客戶端平臺。

　　（5）客戶端平臺收到數(shù)字信封數(shù)據(jù)，進行解密，得到數(shù)字信封中更新的認證隨機數(shù)，供下一次認證使用。

　　身份信息認證流程如圖3所示。

　　圖3  身份信息認證流程

　?。?/p>

　　安全性分析

　　基于UEFI的遠程可信身份認證能夠有效防護常見的惡意攻擊。

　?。?）針對重放攻擊，采用身份安全證書更新機制，每次認證均會進行更新，攻擊者無法利用以往的數(shù)據(jù)對認證服務器進行欺騙，可有效提高安全性。

　?。?）針對中間人攻擊，采用了TCM對認證數(shù)據(jù)進行加密，身份安全證書數(shù)據(jù)被中間人獲取，但證書數(shù)據(jù)無法被攻擊者破譯，認證服務器不會被欺騙，可有效避免中間人攻擊。

　?。?）針對旁路攻擊，TCM對密碼運算和身份認證數(shù)據(jù)進行加密存儲，可有效抵御旁路攻擊。

　?。?/p>

　　結(jié)語

　　基于UEFI固件的可信身份認證，能在固件層實現(xiàn)載入操作系統(tǒng)前對接入終端平臺進行身份認證，通過UEFI BIOS與操作系統(tǒng)具有隔離性，確保身份認證過程安全性，抵抗操作系統(tǒng)中的惡意代碼攻擊。同時，利用TCM等技術(shù)提高安全性，保證認證數(shù)據(jù)的安全性。