CN104468610B - 一种适用于紧急救援平台的可信度量方法 - Google Patents

Abstract

本发明提供一种适用于紧急救援平台的可信度量方法，该方法通过集成身份可信度量、初始状态可信度量、实时可信度量等多种度量元素，该发明首先完成客户端部署应用程序的可信验证，然后以身份和初始状态度量为基础，以实时状态度量为核心完成对客户端的度量。该方法集成多种度量元素，是一种静态度量与动态度量相结合的度量方法，具有细粒度、动态性度量特点，为制定更加细粒度的安全策略提供了基础，弥补了当前可信度量机制主要基于身份认证和静态完整性度量的缺陷。

Description

一种适用于紧急救援平台的可信度量方法

技术领域

本发明属于信息安全技术领域，具体涉及一种适用于紧急救援平台的可信度量方法。

背景技术

随着互联网迅速发展，使得通信更为便捷，人与人之间的沟通更为通畅，为信息技术的繁荣发展做出了极大的贡献。当前基于网络的计算和存储逐渐成为主流，网络安全所面临的威胁、以及网络信任体系的构建都成为亟待解决的问题。为解决目前互联网所面临的严峻安全问题，国内外研究机构提出了各种解决方案，但是大部分解决方案已然是偏于被动防御以及事后处理。

业界为了解决目前互联网面临的各种安全威胁与安全风险，建立以主动度量为基础、源头可信网络，提出了可信网络连接技术。可信网络连接技术侧重于网络接入的问题，本质上是一种主动的网络访问控制技术。根据相关文献描述，可信网络连接技术统一了主动度量技术及传统终端安全技术(例如防病毒软件、主机入侵防护系统和脆弱性评估)、用户或系统认证和网络安全加固技术，是一种全新的计算机网络安全技术。

当前，国内外有多种可信网络连接架构，包括但不限于NAC架构、NAP架构；其中NAC架构是思科公司提出的网络接入解决方案，NAC只允许完全符合网络安全策略的可信终端访问内部网络，不符合安全策略的终端将被拒绝或受限地访问网络。NAP架构是微软提出的网络接入解决方案，NAP架构包括客户端与服务器端，网络访问限制、策略验证、修补和策略一致性等功能，便于网络管理员制定细粒度的安全策略。NAP架构最具技术创新性的是，引入了终端平台的健康证书，允许第三方进行健康状态验证，将不符合健康策略的客户端实行限制网络访问措施。TCG提出了可信网络连接架构及相关标准，Extreme Networks、HPProCureve、Juniper Networks、Meru Networks、Wave Systems、Patchlink、OpSwat、Q1Labs多家企业的产品已经支持TNC体系结构；TNC完成对可信网络访问控制，TNC是对可信平台应用的扩展，实现了可信计算机制与网络接入控制机制的结合。国内沈昌祥院士提出了出了三元三层可信网络连接架构TNCA，与TNC架构相比，可信网络连接架构TNCA采用了三元三层结构，使用访问控制器取代了策略执行点，采用网络请求者和访问控制器的双向用户身份鉴别和双向平台完整性评估的接入策略，确保TNCA体系结构的安全性。使用策略管理器简化了密钥的管理策略，与TNC相比，该架构有更好的可扩展性，完整性校验更加的简便，具有更高的安全性，同时该架构的完整性校验过程采用集中校验，具有较好的普适性。

但是上述各项研究目前仍然存在一些需要解决的理论与技术问题，具体总结如下：第一，上述各项研究均以静态完整性度量为核心，可信计算难以达到预期的目标，同时，当前可信网络连接架构对用户端的状态度量缺乏细粒度的度量，而且缺乏实时度量支持；第二，当前可信网络连接中身份鉴别机制还存在难于应用、易于造成泄露隐私等问题；可信网络连接架构虽然具有一定的扩展性，但很难根据网络需求配置细粒度的安全策略；第三，现有的可信网络连接机制仅仅在接入网络的时候对终端进行度量，具有一定的局限性。

发明内容

针对现有技术存在的缺陷，本发明提供一种适用于紧急救援平台的可信度量方法，可有效解决上述问题。

本发明采用的技术方案如下：

本发明还提供一种适用于紧急救援平台的可信度量方法，应用于由证明终端、验证终端和认证管理员构成的系统架构中，包括以下步骤：

S1，所述证明终端启动之后，所述证明终端向所述认证管理员发送身份认证请求；其中，所述身份认证请求携带有所述证明终端的身份ID；

所述认证管理员对所述证明终端的身份进行验证，如果验证通过，则执行S2；

S2，所述证明终端采集自身初始状态可信度量信息；其中，所述初始状态可信度量信息fc'＝{ω',λ',δ[1]'.........δ[n]'}，ω'为证明终端的操作系统加载器的哈希值；λ'为证明终端的操作系统内核的哈希值，δ[1]'.........δ[n]'为证明终端的n个关键部件的哈希值；

S3，所述证明终端采用环签名方案对所述初始状态可信度量信息进行签名后，将签名后的初始状态可信度量信息发送给所述认证管理员；

S4，所述认证管理员采用环签名验证方案验证所述签名是否有效，如果有效，则执行S5；否则，得到所述证明终端为非可信终端，并结束流程；

S5，所述认证管理员读取预存储的所述证明终端的初始状态标准可信度量信息fc＝{ω,λ,δ[1].........δ[n]}，计算R＝(ω∧ω')∧(λ∧λ')∧(δ[1]∧δ'[1])........(δ[n]∧δ'[n])；如果R取值为0，则得出所述证明终端状态不可信的结论，并将所述证明终端隔离；否则，得出所述证明终端初始状态度量通过的结论，然后执行S6；

S6，所述证明终端部署多个应用程序，每个所述应用程序在每次启动的过程中，所述证明终端采集所述应用程序的摘要值，然后，所述证明终端采用环签名方案对所述应用程序的摘要值进行签名后，将签名后的应用程序的摘要值发送给所述认证管理员；

S7，所述认证管理员采用环签名验证方案验证所述签名是否有效，如果有效，则执行S8；否则，得到所述证明终端为非可信终端，并结束流程；

S8，所述认证管理员读取预存储的所述证明终端的所述应用程序的参考值，然后，比对所述应用程序的参考值是否与所述应用程序的摘要值一致，如果不一致，则表明所述应用程序遭到了篡改，禁止所述应用程序的启动；否则，允许所述应用程序的启动，并执行S9；

S9，在各个所述应用程序的运行过程中，所述证明终端在t时间内进行n次快照，每次得到的快照均采用环签名方案进行签名后，将签名后的快照发送给所述认证管理员；

S10，所述认证管理员采用环签名验证方案验证所述签名是否有效，如果有效，则执行S11；否则，得到所述证明终端为非可信终端，并结束流程；

S11，所述认证管理员得到n次快照，通过对所述n次快照进行解析，基于下述的终端状态度量函数，得到终端状态度量值Ve(x)；

终端状态度量函数表示为：

其中，a₁+a₂＝1，a₁,a₂为根据计算环境设定的权重系数，a₁,a₂的取值主要取决于终端之间交互的频度；

n代表进行的快照次数；T_i代表每次快照时，证明终端的未经过风险评估的信任值；T'代表每次快照时，对证明终端经过风险评估后的信任值；

设每次快照时，v_j,v_j+1......v_m是和证明终端v_i发生联系的周围用户终端，即：v_j,v_j+1......v_m是和证明终端v_i有过交互的终端；{T_j,T_j+1......T_m}代表v_j,v_j+1......v_m的信任值集合，为已知值；代表v_j,v_j+1......v_m的平均信任值；

S12，所述认证管理员设定可信界线值T₀,T₁,T₂，T₀,T₁,T₂满足0≤T₀≤T₁≤T₂≤1；

然后，如果0≤Ve(x)≤T₀，则得出证明终端不可信的结论；如果T₀≤Ve(x)<T₁，则得出证明终端临界可信的结论；如果T₁≤Ve(x)<T₂，则得出证明终端可信的结论。

优选的，S1中，所述认证管理员对所述证明终端的身份进行验证，具体为：

参数建立：设G_a,G_b为P阶的大素数乘法群，g为G_a的生成元，双线性映射为e(G_a,G_a)→G_b，其中，e(g,g)＝I，则公开参数为(G_a,G_b,g,P,e(g,g)＝I)；

密钥生成：证明终端随机选择终端私钥并且计算PK＝g^x，将PK作为终端的公开密钥，并向认证管理者申请证书Cert，其中，证书中包含终端身份ID和公开密钥PK；

身份验证：首先，证明终端将PK发送给认证管理者，然后，认证管理者随机选择发送给证明终端；证明终端计算并发送给认证管理者，认证管理者验证e(R,g^rPK)＝I是否成立而判定证明终端的身份是否合法。

优选的，所述环签名方案具体为：

首先选择G和G₁，其中，G是一个P阶的大素数循环群，G₁是乘法循环群，设g是群G的一个生成元，Z_p是一个整数域，定义其中，H为无碰撞的强单向函数；其中，lm代表消息长度；

假设准备进行签名的成员子集为η_s＝{S₁,S₂......S_l}，设η_s＝{S₁,S₂......S_l}属于群组φ＝{S₁,S₂......S_n}，其中n>l，每个成员S_i∈φ，S_i选择其自己的私有密钥为有限的整数素数域，S_i采用下式计算其自己的公开密钥p_i：

p_i＝g^xi mod p (1)

成员子集中各成员商量后，选择一个成员集合结构η'＝{η₁,η₂......η_d}，满足η_s∈η'而且η_i∈φ；其中，d代表成员的分级；

然后计算P_i：

P_i即为η_i的公钥，对应的私密为X_i，P_i的计算公式可表示为公式(3)：

P_i＝g^Xi mod p (3)

所以，有下式成立：

此处，成员子集η_i中的每个成员S_i都只知道自己的私钥X_i，而不知道成员子集η_i中其他成员的私钥，所以子集的私钥X_i对任意子集成员来说均是不可知的；

设待签名的消息为消息m，授权子集η_s＝{S₁,S₂......S_l}首先执行如下的步骤：

(1)S_i(i＝1,2....l)分别选择l-1次的多项式，

f_i(x)＝a_i,0+a_i,1x+......+a_i,l-1x^l-1 (5)

其中均为秘密参数，而且满足a_i,l-1≠0；

(2)对j＝1,......l，S_i(i＝1,2....l)，计算

t_i,j＝f_i(i)mod p (6)

然后将t_i,j秘密发送给S_i，其中i≠j；

(3)当S_i收到签名子集中其他所有成员发送的t_i,j后，S_i将会完成如下的计算：

θ_i＝g^μi mod p (9)

然后，S_i保留t_i，μ_i为秘密参数，同时在η_s＝{S₁,S₂......S_l}中广播θ_i；

(4)设m代表需要签名的信息；

对事先指定或临时商定的S_t，S_t首先计算

h_s+1＝H(P₁,P₂....P_d,m,y_s) (11)

然后对i＝s+1,......d,1.....,s-1，S_t随机选择然后计算

h_i+1＝H(P₁,P₂....P_d,m,y_i) (13)

最后，S_t在η_s＝{S₁,S₂......S_l}中广播h_s；

(5)S_i(i＝1,2....l)，分别计算：

σ_i＝a_i,₀-h_sx_i mod p (14)

(6)当S_i(i＝1,2....l)收到σ_i＝a_i,0-h_sx_i mod p之后计算：

授权子集η_s＝{S₁,S₂......S_l}对消息m的最后签名为Ω＝(η,m,h_l,ω₁,.......ω_d)；

验证过程：

(1)当验证者收到Ω＝(η,m,h_l,ω₁,.......ω_d)，验证者首先计算随后计算h_i+1'＝H(P₁,P₂....P_d,m,y_i')；

(2)验证者验证如果该等式成立，则接受签名，否则拒绝签名。

优选的，S11中：

(1)T_i的计算方法为：

采用相似度计算方法进行证明终端实际输出与预期输出的度量，得到信任值T_i；

(2)T'的计算方法为：

T'＝T'(v_i,t)，计算过程描述如下：

T'＝T'(v_i,t)，分为两部分:实时状态度量值和风险值；其中，风险值是对已度量可信的证明终端的风险估计，证明终端是否可信需要考虑潜在的威胁和分析，T'(v_i,t)描述如下：

其中，Γ(v_i)是对证明终端v_i的实时状态度量值，是在t时间内对v_i进行了n次度量，n是对周围终端v_j,v_j+1......v_m在t内的n次快照；

R(v_i)是对证明终端v_i的实时度量值Γ(v_i)的风险分析值计算结果，是对v_i在t时间内的风险分析值；

ω₁,ω₂为根据不同的网络环境设定的权重值；

其中，Γ(v_i)的计算方法为：

由于对证明终端的实时状态度量值是随时间衰退的,设{e₁,e₂.......e_n}是对证明终端n个快照的实时状态度量值，e₁是距离当前最近的实时状态度量值，Γ(v_i)描述如下：

其中，e_i根据证明终端运行进程的恶意指数计算，其计算过程描述如下：

设Malice[i]是一个四元组，Malice[i]＝{ep,p_u,np,obn}，其中ep表示进程试图获取的权限，pr_i为用户本来的权限，np表示进程试图扫描其没有权限访问端口的次数，obn表示进程试图越权访问的主客体对象集的个数；

定义MP为进程度量函数，其描述如下：

定义:则：e_i＝1-MR_real；

g(i)为衰减函数，g(i)∈[0,1]，g(i)的计算方法为：对不同时刻的可信度量合理加权，根据行为随时间衰减的规律，新发生的行为应该具有更多的权重，因此，衰减函数定义如下：

其中，R(v_i)的计算方法为：

依据经济学中风险投资的原理，使用以下公式计算R(v_i)的大小：

本发明的有益效果如下：

本发明提供一种适用于紧急救援平台的可信度量方法，该方法通过集成身份可信度量、初始状态可信度量、实时可信度量等多种度量元素，该发明首先完成客户端部署应用程序的可信验证，然后以身份和初始状态度量为基础，以实时状态度量为核心完成对客户端的度量。该方法集成多种度量元素，是一种静态度量与动态度量相结合的度量方法，具有细粒度、动态性度量特点，为制定更加细粒度的安全策略提供了基础，弥补了当前可信度量机制主要基于身份认证和静态完整性度量的缺陷。

附图说明

图1为本发明提供的适用于紧急救援平台的可信度量方法的整体流程示意图；

图2为本发明提供的终端动态度量示意图。

具体实施方式

以下结合附图对本发明进行详细说明：

本发明提供的适用于紧急救援平台的可信度量方法，主要包括如下创新点：1、适用于紧急救援平台中终端的可信程序部署方案；2、适用于紧急救援平台中终端身份认证方案；3、适用于紧急救援平台的终端的初始状态度量方案；4、适用于紧急救援平台中终端的动态度量方案；

如图1所示，本发明提供一种适用于紧急救援平台的可信度量方法，应用于由证明终端、验证终端和认证管理员构成的系统架构中，包括以下步骤：

S1，所述证明终端启动之后，所述证明终端向所述认证管理员发送身份认证请求；其中，所述身份认证请求携带有所述证明终端的身份ID；

所述认证管理员对所述证明终端的身份进行验证，如果验证通过，则执行S2；

本步骤中，认证管理员对所述证明终端的身份进行验证，具体为：

参数建立：设G_a,G_b为P阶的大素数乘法群，g为G_a的生成元，双线性映射为e(G_a,G_a)→G_b，其中，e(g,g)＝I，则公开参数为(G_a,G_b,g,P,e(g,g)＝I)；

密钥生成：证明终端随机选择终端私钥并且计算PK＝g^x，将PK作为终端的公开密钥，并向认证管理者申请证书Cert，其中，证书中包含终端身份ID和公开密钥PK；

身份验证：首先，证明终端将PK发送给认证管理者，然后，认证管理者随机选择发送给证明终端；证明终端计算并发送给认证管理者，认证管理者验证e(R,g^rPK)＝I是否成立而判定证明终端的身份是否合法。

S2，当证明终端启动之后，需要度量该证明终端的关键组件是否被篡改，这即是初始状态可信度量：

所述证明终端采集自身初始状态可信度量信息；其中，所述初始状态可信度量信息fc'＝{ω',λ',δ[1]'.........δ[n]'}，ω'为证明终端的操作系统加载器的哈希值；λ'为证明终端的操作系统内核的哈希值，δ[1]'.........δ[n]'为证明终端的n个关键部件的哈希值；

S3，所述证明终端采用环签名方案对所述初始状态可信度量信息进行签名后，将签名后的初始状态可信度量信息发送给所述认证管理员；

S4，所述认证管理员采用环签名验证方案验证所述签名是否有效，如果有效，则执行S5；否则，得到所述证明终端为非可信终端，并结束流程；

S5，所述认证管理员读取预存储的所述证明终端的初始状态标准可信度量信息fc＝{ω,λ,δ[1].........δ[n]}，计算R＝(ω∧ω')∧(λ∧λ')∧(δ[1]∧δ'[1])........(δ[n]∧δ'[n])；如果R取值为0，则得出所述证明终端状态不可信的结论，并将所述证明终端隔离；否则，得出所述证明终端初始状态度量通过的结论，然后执行S6；

S6，所述证明终端部署多个应用程序，每个所述应用程序在每次启动的过程中，所述证明终端采集所述应用程序的摘要值，然后，所述证明终端采用环签名方案对所述应用程序的摘要值进行签名后，将签名后的应用程序的摘要值发送给所述认证管理员；

S7，所述认证管理员采用环签名验证方案验证所述签名是否有效，如果有效，则执行S8；否则，得到所述证明终端为非可信终端，并结束流程；

S8，所述认证管理员读取预存储的所述证明终端的所述应用程序的参考值，然后，比对所述应用程序的参考值是否与所述应用程序的摘要值一致，如果不一致，则表明所述应用程序遭到了篡改，禁止所述应用程序的启动；否则，允许所述应用程序的启动，并执行S9；

具体的，可信程序验证过程可以如下描述如下：

输入:Vq，实际采集得到的应用程序摘要值

Vh，认证管理员中的应用程序参考值

输出:Sim(q,h)，Vq和Vh比对

Define:

BEGIN

//将终端的应用程序摘要值和对应用程序摘要值的签名发送至认证管理员

Send(V_q,sign(V_q))；

//匹配度计算

D(V_q,V_h)←0

For each ti in R do

D(V_q,V_h)←D(V_q,V_h)+V_q[t_i]×V_h[t_i]

End For

Sim(q,h)←D(V_q,V_h)

END

可信应用程序验证过程中，应用程序的摘要值需要做签名验证，防止在途中被修改。

S9，终端实时状态度量：

终端实时状态度量是对运行着的应用程序的单体终端的可信度量。本发明中，终端实时状态度量依靠对终端输出预期判断和实际输出的相似度比较得出。对证明终端可信等级可分为3个评价等级：不可信、临界可信和可信，每一个终端实时状态度量都能映射到对应的评价等级。

具体的，在一个终端群体中，通过定义实时状态度量函数，并可以设定信任等级参数。

设V＝{v₁,v₂......v_n}为一个终端群体集合，v_i为终端群体中的一个实体，定义函数Ve:x→[0,1]为终端状态实时度量函数，则Ve:x→[0,1]有三个评价等级定义如下：

1.不可信：此种条件下0≤Ve(x)≤T₀；

2.临界可信：满足T₀≤Ve(x)<T₁；

3.可信：此时T₁≤Ve(x)<T₂

其中T₀,T₁,T₂满足0≤T₀≤T₁≤T₂≤1。

考虑到证明终端不是一个孤立的个体，因此对证明终端的度量需要参考周边与其相联系的其他终端的可信等级综合得出信任值。

具体的，由于证明终端处在动态变化群体中，对单个证明终端的度量值并不能作为证明终端的可信值。在终端的实时状态度量中，终端群体的实时快照起着重要作用。对于终端群体任何一个时刻的快照都包含不可信终端、临界可信终端和可信终端。从社会学角度考虑，类比于近朱者赤，近墨者黑，一个成员周围都是可信成员和一个成员周围都是非可信成员，对其信任的评价将会有较大的差异。因此评价一个终端的即时状态是否可信，要参照与其相联系的其他用户的可信等级。

参考图2，为终端实时状态度量快照示意图，在各个所述应用程序的运行过程中，所述证明终端在t时间内进行n次快照，每次得到的快照均采用环签名方案进行签名后，将签名后的快照发送给所述认证管理员；

S10，所述认证管理员采用环签名验证方案验证所述签名是否有效，如果有效，则执行S11；否则，得到所述证明终端为非可信终端，并结束流程；

S11，所述认证管理员得到n次快照，通过对所述n次快照进行解析，基于下述的终端状态度量函数，得到终端状态度量值Ve(x)；

终端状态度量函数表示为：

其中，a₁+a₂＝1，a₁,a₂为根据计算环境设定的权重系数，a₁,a₂的取值主要取决于终端之间交互的频度；

n代表进行的快照次数；T_i代表每次快照时，证明终端的未经过风险评估的信任值；T'代表每次快照时，对证明终端经过风险评估后的信任值；

设每次快照时，v_j,v_j+1......v_m是和证明终端v_i发生联系的周围用户终端，即：v_j,v_j+1......v_m是和证明终端v_i有过交互的终端；{T_j,T_j+1......T_m}代表v_j,v_j+1......v_m的信任值集合，为已知值；代表v_j,v_j+1......v_m的平均信任值；

(1)T_i的计算方法为：

采用相似度计算方法进行证明终端实际输出与预期输出的度量，得到信任值T_i；

(2)T'的计算方法为：

T'＝T'(v_i,t)，计算过程描述如下：

T'＝T'(v_i,t)，分为两部分:实时状态度量值和风险值；因为风险和信任相互依存的，因此，风险值是对已度量可信的证明终端的风险估计，证明终端是否可信需要考虑潜在的威胁和分析，T'(v_i,t)描述如下：

其中，Γ(v_i)是对证明终端v_i的实时状态度量值，是在t时间内对v_i进行了n次度量，n是对周围终端v_j,v_j+1......v_m在t内的n次快照；

R(v_i)是对证明终端v_i的实时度量值Γ(v_i)的风险分析值计算结果，是对v_i在t时间内的风险分析值；

ω₁,ω₂为根据不同的网络环境设定的权重值；

其中，Γ(v_i)的计算方法为：

由于对证明终端的实时状态度量值是随时间衰退的,设{e₁,e₂.......e_n}是对证明终端n个快照的实时状态度量值，e₁是距离当前最近的实时状态度量值，Γ(v_i)描述如下：

其中，e_i根据证明终端运行进程的恶意指数计算，其计算过程描述如下：

设Malice[i]是一个四元组，Malice[i]＝{ep,p_u,np,obn}，其中ep表示进程试图获取的权限，pr_i为用户本来的权限，np表示进程试图扫描其没有权限访问端口的次数，obn表示进程试图越权访问的主客体对象集的个数；

定义MP为进程度量函数，其描述如下：

定义:则：e_i＝1-MR_real；

g(i)为衰减函数，g(i)∈[0,1]，g(i)的计算方法为：对不同时刻的可信度量合理加权，根据行为随时间衰减的规律，新发生的行为应该具有更多的权重，因此，衰减函数定义如下：

其中，R(v_i)的计算方法为：

依据经济学中风险投资的原理，使用以下公式计算R(v_i)的大小：

S12，所述认证管理员设定可信界线值T₀,T₁,T₂，T₀,T₁,T₂满足0≤T₀≤T₁≤T₂≤1；

然后，如果0≤Ve(x)≤T₀，则得出证明终端不可信的结论；如果T₀≤Ve(x)<T₁，则得出证明终端临界可信的结论；如果T₁≤Ve(x)<T₂，则得出证明终端可信的结论。

在上述过程中，在多处涉及到环签名方案，并且，各处的环签名方案均相同，具体为：

首先选择G和G₁，其中，G是一个P阶的大素数循环群，G₁是乘法循环群，设g是群G的一个生成元，Z_p是一个整数域，定义H:{0,1}^lm→Z_p，其中，H为无碰撞的强单向函数；其中，lm代表消息长度；

假设准备进行签名的成员子集为η_s＝{S₁,S₂......S_l}，设η_s＝{S₁,S₂......S_l}属于群组φ＝{S₁,S₂......S_n}，其中n>l，每个成员S_i∈φ，S_i选择其自己的私有密钥为有限的整数素数域，S_i采用下式计算其自己的公开密钥p_i：

p_i＝g^xi mod p (1)

成员子集中各成员商量后，选择一个成员集合结构η'＝{η₁,η₂......η_d}，满足η_s∈η'而且η_i∈φ；其中，d代表成员的分级；

然后计算P_i：

P_i即为η_i的公钥，对应的私密为X_i，P_i的计算公式可表示为公式(3)：

P_i＝g^Xi mod p (3)

所以，有下式成立：

此处，成员子集η_i中的每个成员S_i都只知道自己的私钥X_i，而不知道成员子集η_i中其他成员的私钥，所以子集的私钥X_i对任意子集成员来说均是不可知的；

设待签名的消息为消息m，授权子集η_s＝{S₁,S₂......S_l}首先执行如下的步骤：

(1)S_i(i＝1,2....l)分别选择l-1次的多项式，

f_i(x)＝a_i,0+a_i,1x+......+a_i,l-1x^l-1 (5)

其中均为秘密参数，而且满足a_i,l-1≠0；

(2)对j＝1,......l，S_i(i＝1,2....l)，计算

t_i,j＝f_i(i)mod p (6)

然后将t_i,j秘密发送给S_i，其中i≠j；

(3)当S_i收到签名子集中其他所有成员发送的t_i,j后，S_i将会完成如下的计算：

θ_i＝g^μi mod p (9)

然后，S_i保留t_i，μ_i为秘密参数，同时在η_s＝{S₁,S₂......S_l}中广播θ_i；

(4)设m代表需要签名的信息；

对事先指定或临时商定的S_t，S_t首先计算

h_s+1＝H(P₁,P₂....P_d,m,y_s) (11)

然后对i＝s+1,......d,1.....,s-1，S_t随机选择然后计算

h_i+1＝H(P₁,P₂....P_d,m,y_i) (13)

最后，S_t在η_s＝{S₁,S₂......S_l}中广播h_s；

(5)S_i(i＝1,2....l)，分别计算：

σ_i＝a_i,0-h_sx_i mod p (14)

(6)当S_i(i＝1,2....l)收到σ_i＝a_i,0-h_sx_i mod p之后计算：

授权子集η_s＝{S₁,S₂......S_l}对消息m的最后签名为Ω＝(η,m,h_l,ω₁,.......ω_d)；

验证过程：

(1)当验证者收到Ω＝(η,m,h_l,ω₁,.......ω_d)，验证者首先计算y_i'＝g^ωiP_i ^himod p，随后计算h_i+1'＝H(P₁,P₂....P_d,m,y_i')；

(2)验证者验证如果该等式成立，则接受签名，否则拒绝签名。

由此可见，本发明提供一种适用于紧急救援平台的可信度量方法，该方法通过集成身份可信度量、初始状态可信度量、实时可信度量等多种度量元素，该发明首先完成客户端部署应用程序的可信验证，然后以身份和初始状态度量为基础，以实时状态度量为核心完成对客户端的度量。该方法集成多种度量元素，是一种静态度量与动态度量相结合的度量方法，具有细粒度、动态性度量特点，为制定更加细粒度的安全策略提供了基础，弥补了当前可信度量机制主要基于身份认证和静态完整性度量的缺陷。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视本发明的保护范围。

Claims (4)

1.一种适用于紧急救援平台的可信度量方法，其特征在于，应用于由证明终端、验证终端和认证管理员构成的系统架构中，包括以下步骤：

S1，所述证明终端启动之后，所述证明终端向所述认证管理员发送身份认证请求；其中，所述身份认证请求携带有所述证明终端的身份ID；

所述认证管理员对所述证明终端的身份进行验证，如果验证通过，则执行S2；

S2，所述证明终端采集自身初始状态可信度量信息；其中，所述初始状态可信度量信息fc'＝{ω',λ',δ[1]'.........δ[n]'}，ω'为证明终端的操作系统加载器的哈希值；λ'为证明终端的操作系统内核的哈希值，δ[1]'.........δ[n]'为证明终端的n个关键部件的哈希值；

S3，所述证明终端采用环签名方案对所述初始状态可信度量信息进行签名后，将签名后的初始状态可信度量信息发送给所述认证管理员；

S4，所述认证管理员采用环签名验证方案验证所述签名是否有效，如果有效，则执行S5；否则，得到所述证明终端为非可信终端，并结束流程；

S5，所述认证管理员读取预存储的所述证明终端的初始状态标准可信度量信息fc＝{ω,λ,δ[1].........δ[n]}，计算R＝(ω∧ω')∧(λ∧λ')∧(δ[1]∧δ'[1])........(δ[n]∧δ'[n])；如果R取值为0，则得出所述证明终端状态不可信的结论，并将所述证明终端隔离；否则，得出所述证明终端初始状态度量通过的结论，然后执行S6；

S6，所述证明终端部署多个应用程序，每个所述应用程序在每次启动的过程中，所述证明终端采集所述应用程序的摘要值，然后，所述证明终端采用环签名方案对所述应用程序的摘要值进行签名后，将签名后的应用程序的摘要值发送给所述认证管理员；

S7，所述认证管理员采用环签名验证方案验证所述签名是否有效，如果有效，则执行S8；否则，得到所述证明终端为非可信终端，并结束流程；

S8，所述认证管理员读取预存储的所述证明终端的所述应用程序的参考值，然后，比对所述应用程序的参考值是否与所述应用程序的摘要值一致，如果不一致，则表明所述应用程序遭到了篡改，禁止所述应用程序的启动；否则，允许所述应用程序的启动，并执行S9；

S9，在各个所述应用程序的运行过程中，所述证明终端在t时间内进行n次快照，每次得到的快照均采用环签名方案进行签名后，将签名后的快照发送给所述认证管理员；

S10，所述认证管理员采用环签名验证方案验证所述签名是否有效，如果有效，则执行S11；否则，得到所述证明终端为非可信终端，并结束流程；

S11，所述认证管理员得到n次快照，通过对所述n次快照进行解析，基于下述的终端状态度量函数，得到终端状态度量值Ve(x)；

终端状态度量函数表示为：

<mrow> <mi>V</mi> <mi>e</mi> <mrow> <mo>(</mo> <mi>x</mi> <mo>)</mo> </mrow> <mo>=</mo> <msub> <mi>a</mi> <mn>1</mn> </msub> <mfrac> <mrow> <mn>2</mn> <munderover> <mi>&amp;Sigma;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <msub> <mi>T</mi> <mi>i</mi> </msub> <mo>&amp;times;</mo> <msup> <mi>T</mi> <mo>&amp;prime;</mo> </msup> </mrow> <mrow> <munderover> <mi>&amp;Sigma;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <msubsup> <mi>T</mi> <mi>i</mi> <mn>2</mn> </msubsup> <mo>+</mo> <munderover> <mi>&amp;Sigma;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <msup> <mi>T</mi> <mrow> <mo>&amp;prime;</mo> <mn>2</mn> </mrow> </msup> </mrow> </mfrac> <mo>+</mo> <msub> <mi>a</mi> <mn>2</mn> </msub> <mfrac> <mrow> <mn>2</mn> <munderover> <mi>&amp;Sigma;</mi> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>m</mi> </munderover> <mover> <mi>T</mi> <mo>&amp;OverBar;</mo> </mover> <mo>&amp;times;</mo> <msub> <mi>T</mi> <mi>j</mi> </msub> </mrow> <mrow> <munderover> <mi>&amp;Sigma;</mi> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>m</mi> </munderover> <msup> <mover> <mi>T</mi> <mo>&amp;OverBar;</mo> </mover> <mn>2</mn> </msup> <mo>+</mo> <munderover> <mi>&amp;Sigma;</mi> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>m</mi> </munderover> <msubsup> <mi>T</mi> <mi>j</mi> <mn>2</mn> </msubsup> </mrow> </mfrac> </mrow>

其中，a₁+a₂＝1，a₁,a₂为根据计算环境设定的权重系数，a₁,a₂的取值主要取决于终端之间交互的频度；

n代表进行的快照次数；T_i代表每次快照时，证明终端的未经过风险评估的信任值；T'代表每次快照时，对证明终端经过风险评估后的信任值；

设每次快照时，v_j,v_j+1......v_m是和证明终端v_i发生联系的周围用户终端，即：v_j,v_j+1......v_m是和证明终端v_i有过交互的终端；{T_j,T_j+1......T_m}代表v_j,v_j+1......v_m的信任值集合，为已知值；代表v_j,v_j+1......v_m的平均信任值；

S12，所述认证管理员设定可信界线值T₀,T₁,T₂，T₀,T₁,T₂满足0≤T₀≤T₁≤T₂≤1；

然后，如果0≤Ve(x)≤T₀，则得出证明终端不可信的结论；如果T₀≤Ve(x)<T₁，则得出证明终端临界可信的结论；如果T₁≤Ve(x)<T₂，则得出证明终端可信的结论。

2.根据权利要求1所述的适用于紧急救援平台的可信度量方法，其特征在于，S1中，所述认证管理员对所述证明终端的身份进行验证，具体为：

参数建立：设G_a,G_b为P阶的大素数乘法群，g为G_a的生成元，双线性映射为e(G_a,G_a)→G_b，其中，e(g,g)＝I，则公开参数为(G_a,G_b,g,P,e(g,g)＝I)；

密钥生成：证明终端随机选择终端私钥并且计算PK＝g^x，将PK作为终端的公开密钥，并向认证管理者申请证书Cert，其中，证书中包含终端身份ID和公开密钥PK；

身份验证：首先，证明终端将PK发送给认证管理者，然后，认证管理者随机选择发送给证明终端；证明终端计算并发送给认证管理者，认证管理者验证e(R,g^rPK)＝I是否成立而判定证明终端的身份是否合法。

3.根据权利要求1所述的适用于紧急救援平台的可信度量方法，其特征在于，所述环签名方案具体为：

首先选择G和G₁，其中，G是一个P阶的大素数循环群，G₁是乘法循环群，设g是群G的一个生成元，Z_p是一个整数域，定义其中，H为无碰撞的强单向函数；其中，lm代表消息长度；

假设准备进行签名的成员子集为η_s＝{S₁,S₂......S_l}，设η_s＝{S₁,S₂......S_l}属于群组φ＝{S₁,S₂......S_n}，其中n>l，每个成员S_i∈φ，S_i选择其自己的私有密钥 为有限的整数素数域，S_i采用下式计算其自己的公开密钥p_i：

p_i＝g^xi mod p (1)

成员子集中各成员商量后，选择一个成员集合结构η'＝{η₁,η₂......η_d}，满足η_s∈η'而且η_i∈φ；其中，d代表成员的分级；

然后计算P_i：

<mrow> <msub> <mi>P</mi> <mi>i</mi> </msub> <mo>=</mo> <munder> <mo>&amp;Pi;</mo> <mrow> <mi>S</mi> <mi>i</mi> <mo>&amp;Element;</mo> <mi>&amp;phi;</mi> </mrow> </munder> <msub> <mi>p</mi> <mi>i</mi> </msub> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>2</mn> <mo>)</mo> </mrow> </mrow>

P_i即为η_i的公钥，对应的私密为X_i，P_i的计算公式可表示为公式(3)：

P_i＝g^Xi mod p (3)

所以，有下式成立：

<mrow> <msub> <mi>X</mi> <mi>i</mi> </msub> <mo>=</mo> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>S</mi> <mi>i</mi> <mo>&amp;Element;</mo> <mi>&amp;phi;</mi> </mrow> </munder> <msub> <mi>x</mi> <mi>i</mi> </msub> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>4</mn> <mo>)</mo> </mrow> </mrow>

此处，成员子集η_i中的每个成员S_i都只知道自己的私钥X_i，而不知道成员子集η_i中其他成员的私钥，所以子集的私钥X_i对任意子集成员来说均是不可知的；

设待签名的消息为消息m，授权子集η_s＝{S₁,S₂......S_l}首先执行如下的步骤：

(1)S_i(i＝1,2....l)分别选择l-1次的多项式，

f_i(x)＝a_i,0+a_i,1x+......+a_i,l-1x^l-1 (5)

其中均为秘密参数，而且满足a_i,l-1≠0；

(2)对j＝1,......l，S_i(i＝1,2....l)，计算

t_i,j＝f_i(i)mod p (6)

然后将t_i,j秘密发送给S_i，其中i≠j；

(3)当S_i收到签名子集中其他所有成员发送的t_i,j后，S_i将会完成如下的计算：

<mrow> <msub> <mi>t</mi> <mi>i</mi> </msub> <mo>=</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>=</mo> <mi>i</mi> </mrow> <mi>l</mi> </munderover> <msub> <mi>t</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>j</mi> </mrow> </msub> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>7</mn> <mo>)</mo> </mrow> </mrow>

<mrow> <msub> <mi>&amp;mu;</mi> <mi>i</mi> </msub> <mo>=</mo> <msub> <mi>t</mi> <mi>i</mi> </msub> <munderover> <munder> <mi>&amp;Pi;</mi> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> </munder> <mrow> <mi>j</mi> <mo>&amp;NotEqual;</mo> <mi>i</mi> </mrow> <mi>l</mi> </munderover> <mfrac> <mrow> <mo>-</mo> <mi>j</mi> </mrow> <mrow> <mi>i</mi> <mo>-</mo> <mi>j</mi> </mrow> </mfrac> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>8</mn> <mo>)</mo> </mrow> </mrow>

θ_i＝g^μi mod p (9)

然后，S_i保留t_i，μ_i为秘密参数，同时在η_s＝{S₁,S₂......S_l}中广播θ_i；

(4)设m代表需要签名的信息；

对事先指定或临时商定的S_t，S_t首先计算

<mrow> <msub> <mi>y</mi> <mi>s</mi> </msub> <mo>=</mo> <munderover> <mo>&amp;Pi;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>l</mi> </munderover> <msub> <mi>&amp;theta;</mi> <mi>i</mi> </msub> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>10</mn> <mo>)</mo> </mrow> </mrow>

h_s+1＝H(P₁,P₂....P_d,m,y_s) (11)

然后对i＝s+1,......d,1.....,s-1，S_t随机选择然后计算

<mrow> <msub> <mi>y</mi> <mi>i</mi> </msub> <mo>=</mo> <msup> <mi>g</mi> <msub> <mi>r</mi> <mi>i</mi> </msub> </msup> <msubsup> <mi>P</mi> <mi>i</mi> <msub> <mi>h</mi> <mi>i</mi> </msub> </msubsup> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>12</mn> <mo>)</mo> </mrow> </mrow>

h_i+1＝H(P₁,P₂....P_d,m,y_i) (13)

最后，S_t在η_s＝{S₁,S₂......S_l}中广播h_s；

(5)S_i(i＝1,2....l)，分别计算：

σ_i＝a_i,0-h_sx_imod p (14)

(6)当S_i(i＝1,2....l)收到σ_i＝a_i,0-h_sx_imodp之后计算：

<mrow> <msub> <mi>&amp;omega;</mi> <mi>s</mi> </msub> <mo>=</mo> <munderover> <munder> <mi>&amp;Pi;</mi> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> </munder> <mrow> <mi>j</mi> <mo>&amp;NotEqual;</mo> <mi>i</mi> </mrow> <mi>l</mi> </munderover> <msub> <mi>&amp;sigma;</mi> <mi>i</mi> </msub> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>15</mn> <mo>)</mo> </mrow> </mrow>

授权子集η_s＝{S₁,S₂......S_l}对消息m的最后签名为Ω＝(η,m,h_l,ω₁,.......ω_d)；

验证过程：

(1)当验证者收到Ω＝(η,m,h_l,ω₁,.......ω_d)，验证者首先计算随后计算h_i+1'＝H(P₁,P₂....P_d,m,y_i')；

(2)验证者验证如果该等式成立，则接受签名，否则拒绝签名。

4.根据权利要求3所述的适用于紧急救援平台的可信度量方法，其特征在于，S11中：

(1)T_i的计算方法为：

采用相似度计算方法进行证明终端实际输出与预期输出的度量，得到信任值T_i；

(2)T'的计算方法为：

T'＝T'(v_i,t)，计算过程描述如下：

T'＝T'(v_i,t)，分为两部分:实时状态度量值和风险值；其中，风险值是对已度量可信的证明终端的风险估计，证明终端是否可信需要考虑潜在的威胁和分析，T'(v_i,t)描述如下：

<mrow> <msup> <mi>T</mi> <mo>&amp;prime;</mo> </msup> <mrow> <mo>(</mo> <msub> <mi>v</mi> <mi>i</mi> </msub> <mo>,</mo> <mi>t</mi> <mo>)</mo> </mrow> <mo>=</mo> <mfrac> <msub> <mi>&amp;omega;</mi> <mn>1</mn> </msub> <mi>n</mi> </mfrac> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <mi>&amp;Gamma;</mi> <mrow> <mo>(</mo> <msub> <mi>v</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> <mo>+</mo> <mfrac> <msub> <mi>&amp;omega;</mi> <mn>2</mn> </msub> <mi>n</mi> </mfrac> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <mi>R</mi> <mrow> <mo>(</mo> <msub> <mi>v</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> </mrow>

其中，Γ(v_i)是对证明终端v_i的实时状态度量值，是在t时间内对v_i进行了n次度量，n是对周围终端v_j,v_j+1......v_m在t内的n次快照；

R(v_i)是对证明终端v_i的实时度量值Γ(v_i)的风险分析值计算结果，是对v_i在t时间内的风险分析值；

ω₁,ω₂为根据不同的网络环境设定的权重值；

其中，Γ(v_i)的计算方法为：

由于对证明终端的实时状态度量值是随时间衰退的,设{e₁,e₂.......e_n}是对证明终端n个快照的实时状态度量值，e₁是距离当前最近的实时状态度量值，Γ(v_i)描述如下：

<mrow> <mi>&amp;Gamma;</mi> <mrow> <mo>(</mo> <msub> <mi>v</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> <mo>=</mo> <mfenced open = "{" close = ""> <mtable> <mtr> <mtd> <mrow> <msub> <mi>e</mi> <mi>i</mi> </msub> <mi>g</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> <mo>/</mo> <mi>i</mi> </mrow> </mtd> <mtd> <mrow> <mi>i</mi> <mo>&amp;NotEqual;</mo> <mn>0</mn> </mrow> </mtd> </mtr> <mtr> <mtd> <mn>0</mn> </mtd> <mtd> <mrow> <mi>i</mi> <mo>=</mo> <mn>0</mn> </mrow> </mtd> </mtr> </mtable> </mfenced> </mrow>

其中，e_i根据证明终端运行进程的恶意指数计算，其计算过程描述如下：

设Malice[i]是一个四元组，Malice[i]＝{ep,p_u,np,obn}，其中ep表示进程试图获取的权限，pr_i为用户本来的权限，np表示进程试图扫描其没有权限访问端口的次数，obn表示进程试图越权访问的主客体对象集的个数；

定义MP为进程度量函数，其描述如下：

<mrow> <mi>M</mi> <mi>P</mi> <mrow> <mo>(</mo> <mi>P</mi> <mi>R</mi> <mo>)</mo> </mrow> <mo>=</mo> <mo>|</mo> <mo>|</mo> <mi>m</mi> <mi>a</mi> <mi>l</mi> <mi>i</mi> <mi>c</mi> <mi>e</mi> <mo>&amp;lsqb;</mo> <mi>i</mi> <mo>&amp;rsqb;</mo> <mo>|</mo> <mo>|</mo> <mo>=</mo> <msqrt> <mrow> <msup> <mrow> <mo>(</mo> <mi>e</mi> <mi>p</mi> <mo>-</mo> <msub> <mi>pr</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> <mn>2</mn> </msup> <mo>+</mo> <msup> <mi>np</mi> <mn>2</mn> </msup> <mo>+</mo> <msup> <mi>obn</mi> <mn>2</mn> </msup> </mrow> </msqrt> </mrow>

定义:则：e_i＝1-MR_real；

g(i)为衰减函数，g(i)∈[0,1]，g(i)的计算方法为：对不同时刻的可信度量合理加权，根据行为随时间衰减的规律，新发生的行为应该具有更多的权重，因此，衰减函数定义如下：

<mrow> <mi>g</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> <mo>=</mo> <mfenced open = "{" close = ""> <mtable> <mtr> <mtd> <mn>1</mn> </mtd> <mtd> <mrow> <mi>i</mi> <mo>=</mo> <mi>n</mi> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mi>g</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>-</mo> <mn>1</mn> <mo>)</mo> </mrow> <mo>=</mo> <mi>g</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> <mo>-</mo> <mfrac> <mn>1</mn> <mi>n</mi> </mfrac> <mo>,</mo> </mrow> </mtd> <mtd> <mrow> <mn>1</mn> <mo>&amp;le;</mo> <mi>i</mi> <mo>&amp;le;</mo> <mi>n</mi> </mrow> </mtd> </mtr> </mtable> </mfenced> <mo>;</mo> </mrow>

其中，R(v_i)的计算方法为：

依据经济学中风险投资的原理，使用以下公式计算R(v_i)的大小：

<mrow> <mi>R</mi> <mrow> <mo>(</mo> <msub> <mi>v</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> <mo>=</mo> <mrow> <mo>(</mo> <mn>1</mn> <mo>-</mo> <mi>T</mi> <mo>(</mo> <msub> <mi>v</mi> <mi>i</mi> </msub> <mo>)</mo> <mo>)</mo> </mrow> <mover> <mi>T</mi> <mo>&amp;OverBar;</mo> </mover> <mo>.</mo> </mrow> 4