CN105323074A

CN105323074A - 终端设备地理位置的可信验证方法

Info

Publication number: CN105323074A
Application number: CN201510790071.0A
Authority: CN
Inventors: 马爽; 张俊伟; 卢笛; 马建峰
Original assignee: Xidian University
Current assignee: Xidian University
Priority date: 2015-11-17
Filing date: 2015-11-17
Publication date: 2016-02-10
Anticipated expiration: 2035-11-17
Also published as: CN105323074B

Abstract

本发明公开了一种终端设备地理位置的可信验证方法。主要解决现有技术中不能对处于敏感位置的终端设备进行基于位置的安全验证问题。其实现方案是：1.证明者向可信第三方发起度量位置信息的请求；2.可信第三方将该请求广播至验证者，并将来自验证者的确认消息转发给证明者；3.证明者、验证者、可信第三方获取共享密钥；4.证明者生成度量报告并将其发送至可信第三方；5.可信第三方根据报告对位置信息进行度量并将结果发送至验证者；6.验证者根据度量结果判断证明者是否位于合法区域。本发明能有效抵御多个敌手共谋及中间人对终端设备的攻击，保证设备位置验证的安全性，可为位置敏感终端设备的访问控制提供支持。

Description

终端设备地理位置的可信验证方法

技术领域

本发明属于网络安全领域，具体涉及位置密码验证方法，可用于保护处于敏感位置的终端设备的安全。

背景技术

随着移动互联网、云计算、物联网等新兴IT技术的快速发展，计算资源通信交互的不断增加，信息技术已经极大地影响了社会的管理方式及人们的生活方式。信息环境的复杂，使信息系统不断面临不可预知的挑战。信息安全状况越来越严峻，安全保密已经成为信息系统建设的重要问题。

终端设备作为网络中最小的单元，对网络安全的影响至关重要。然而传统的网络安全防护手段如病毒防御、入侵检测和防火墙等一般都侧重于保护服务器的信息安全，相比之下，终端设备的安全保护就显得比较薄弱。而另一方面，对于一些处于敏感位置的终端设备，由于当今社会黑客技术的不断增强、新兴IT技术的发展，其位置信息的安全保密也面临着极大的威胁，从而也可能进一步导致其他信息的泄露。

因此，如何安全有效地验证终端设备的地理位置及其完整性显得尤为重要。

《TrustedGeolocation-AwareDataPlacementinInfrastructureClouds》一文提出了一种安全的数据保护机制。该机制通过密码协议，实现云服务端和用户端的交流，从而使用户可以控制云存储数据的存储位置。但是，该机制是从数据着手，并未解决终端设备的保护问题。

《UsingTrustedPlatformModulesforLocationAssuranceinCloudNetworking》一文通过提出一个协议来确定虚拟资源的物理存储位置。这种协议有效的确定了云存储服务器的位置信息，从而实现了云数据的保护。但是，一旦位置信息被多个敌手联合发起共谋攻击，该协议将失去其保护的作用。

发明内容

本发明的目的在于针对上述已有技术的不足，提出一种终端设备地理位置的可信验证方法，以确保对工作环境保密性要求较高且位置敏感终端的安全可信。

为实现上述目的，本发明采用的技术方案包括：

(1)可信第三方TTP对合法区域中的位置信息集合进行哈希计算，将计算得到的摘要值存入标准位置信息特征数据库；

(2)证明者AP的PC终端在开机过程中其内部各个部件和硬件按照信任链CRTM→BIOS→OSLoader→Position→OS→Application的顺序逐级进行自身度量开启，其中CRTM是一段开机执行代码，BIOS为基本输入输出系统，OSLoader是操作系统加载程序，Position是证明者的位置信息，OS是操作系统，Application为应用程序；

(3)当CRTM、BIOS、OSLoader开启完成后，证明者AP向可信第三方TTP发出度量位置信息P的请求，可信第三方TTP将该请求广播至三个验证者CP₁、CP₂、CP₃，并将来自CP₁、CP₂、CP₃的请求确认消息转发给证明者AP；

(4)证明者AP收到来自可信第三方TTP的确认消息之后，根据自身位置信息进行哈希计算，并将该计算结果写入寄存器PCR中；

(5)获取证明者、验证者、可信第三方的共享会话密钥K：

(5a)证明者AP将自身位置信息P发送给可信第三方TTP，TTP将P转发至三个验证者CP₁、CP₂、CP₃；

(5b)可信第三方TTP和三个验证者CP₁、CP₂、CP₃收到位置信息P后，分别计算从P点到自己所处位置的时间，以保证稍后发送的消息能在同一时刻到达P点，同时，TTP生成密钥K₁和信息串X₄，CP₁生成信息串X₁和X₅，CP₂生成信息串X₂，CP₃生成信息串X₃，并将密钥K₁和这些信息串在不同时刻发送至证明者，以确保信息能够在T时刻同时到达P点；

(5c)位于P点的证明者AP根据上述5个信息串X₁、X₂、X₃、X₄、X₅和密钥K₁利用公式K_i+1＝PRG(X_i，K_i)，1≤i≤5计算得到K₆，则K₆就是证明者AP和验证者CP、可信第三方TTP的共享会话密钥K；

(6)证明者AP在获得会话密钥K后，从存储位置信息哈希扩展值的寄存器PCR中读取当前状态下位置信息的度量值PV，并从硬盘中读取与此度量事件相应的度量日志信息ML；

(7)证明者AP先用平台身份证明密钥AIK对度量值PV进行签名，得到签名值SIG(AIK，PV)，接着再用会话密钥K对度量值PV进行消息认证码MAC计算，得到散列值MAC(K，PV)；

(8)证明者AP将签名值SIG(AIK，PV)、散列值MAC(K，PV)和度量日志信息ML打包生成完整性度量报告，并将该完整性度量报告发送至可信第三方TTP；

(9)可信第三方TTP收到完整性度量报告后，从完整性度量报告中提取签名值SIG(AIK，PV)、散列值MAC(K，PV)和度量日志信息ML进行完整性度量验证，并将度量结果发送至第一个验证者CP₁；

(10)第一个验证者CP₁根据度量结果向证明者AP发送指令：若度量结果通过，则通知证明者AP的PC终端继续执行开机过程；否则，通知证明者AP的PC终端开机过程终止。

(11)证明者AP系统开启成功后，第一个验证者CP₁发起验证证明者位置信息的挑战申请，将该挑战申请通过可信第三方TTP转发至证明者，证明者AP接收挑战申请重复上述步骤(4)～(9)，由可信第三方TTP进行完整性度量验证，验证者CP₁根据TTP发送的度量结果判断证明者是否依旧位于合法区域：如果证明者在合法区域，则证明者的PC终端系统仍然继续运行；否则，证明者的PC终端关机。

本发明有以下优点：

第一，本发明使用位置密码协议实现对设备位置的安全验证，该协议可以抵御多个敌手针对位置验证的共谋攻击，安全性高。

第二，本发明将位置密码协议与可信计算相结合，有效抵御了中间人攻击，保证了设备位置验证的可靠性和真实性。

第三，本发明将位置验证结果加入到可信计算技术的信任链中，实现了设备完整性校验与位置验证的安全绑定，具有较好的扩展性和较高的可行性。

附图说明

图1是本发明的实现示意流程图；

图2是本发明中的信任链传递流程图；

图3是本发明中度量位置信息时的通信模型图；

图4是本发明中位置信息完整性度量验证示意图；

图5是本发明中PC终端开机后的简易通信模型图。

具体实施方式

下面结合附图，对本发明作进一步详细的描述。

参照图1，本发明的实现步骤如下：

步骤1、建立标准位置信息特征数据库。

在本发明中，证明者AP是需要验证其位置信息真伪性的实体；可信第三方TTP是对证明者位置信息进行完整性验证的可信实体，存储有标准位置信息特征数据库；验证者CP与可信第三方TTP共同计算生成共享会话密钥K；

在本发明中，可信第三方TTP和证明者AP的PC终端都装载有可信芯片TPM。

在假设合法位置区域集合已知的条件下，可信第三方通过反向地理位置编码将位置集合中的位置信息先转化成成坐标形式，再对坐标形式的位置信息进行哈希计算得到长度为160bit的摘要值，然后计算得到的位置信息摘要值存入标准位置信息特征数据库。

步骤2、逐级开启证明者AP的PC终端。

参照图2，证明者AP的PC终端在开机过程中其内部各个部件和硬件按照信任链CRTM→BIOS→OSLoader→Position→OS→Application的顺序逐级进行自身度量开启，其中CRTM是一段开机执行代码，BIOS为基本输入输出系统，OSLoader是操作系统加载程序，Position是证明者的位置信息，OS是操作系统，Application为应用程序；

在传统的装载有TPM芯片的PC中，计算机内各个部件和硬件通常是按照信任链CRTM→BIOS→OSLoader→OS→Application的顺序逐级获得控制权，通过将每一级的配置信息扩展至所对应的寄存器PCR中，从而进行完整性度量验证使得系统启动过程得以进行。

为了对位置信息进行度量验证，本发明将位置信息加入信任链中。

之所以将位置信息的度量置于OSLoader和OS之间，是因为在此时操作系统的配置检测、硬件、服务都已经启动完毕，方便在位置验证过程中调用服务。

步骤3、度量证明者AP的位置信息。

参照图3，本步骤的实现如下：

(3.1)证明者AP向可信第三方TTP发出度量位置信息P的请求。

当执行代码CRTM、基本输入输出系统BIOS、操作系统加载程序OSLoader开启完成后，证明者AP向可信第三方TTP发出度量位置信息P的请求，可信第三方TTP将该请求广播至三个验证者CP₁、CP₂、CP₃，并将来自CP₁、CP₂、CP₃的请求确认消息转发给证明者AP，此时会话建立；

(3.2)证明者AP收到来自可信第三方TTP的请求确认消息之后，根据自身位置信息进行哈希计算，并将该计算结果写入寄存器PCR中：

3.2a)证明者通过反向地理位置编码将自身位置信息转化成成坐标形式；

3.2b)证明者自身装载的TPM芯片对坐标形式的位置信息进行哈希计算得到160bit摘要值；

3.2c)证明者将该摘要值以扩展更新的方式写入寄存器PCR中，即将原来存储于寄存器PCR中的旧值和该摘要值再次进行哈希计算得到新值，存储于PCR中。

(3.3)获取证明者、验证者、可信第三方的共享会话密钥K：

3.3a)证明者AP向可信第三方TTP发送位置信息P，并由TTP将位置信息广播至三个验证者CP₁、CP₂、CP₃。

3.3b)可信第三方TTP和三个验证者CP₁、CP₂、CP₃收到位置信息P后，分别计算从P点到自己所处位置的时间，以保证稍后发送的消息能在同一时刻到达P点，同时，TTP生成密钥K₁和信息串X₄，CP₁生成信息串X₁和X₅，CP₂生成信息串X₂，CP₃生成信息串X₃，并将密钥K₁和这些信息串在不同时刻发送至证明者，以确保信息能够在T时刻同时到达P点；

3.3c)位于P点的证明者AP根据上述5个信息串X₁、X₂、X₃、X₄、X₅和密钥K₁利用公式K_i+1＝PRG(X_i，K_i)，1≤i≤5计算得到K₆，则K₆就是证明者和验证者、可信第三方的共享会话密钥K；

(3.4)证明者AP在获得共享会话密钥K后，其自身装载的TPM芯片通过执行函数Tspi_TPM_PcrRead()从存储位置信息哈希扩展值的寄存器PCR中读取当前状态下位置信息的度量值PV，并从硬盘中读取与此度量事件相应的度量日志信息ML，该函数是由TPM芯片提供的PCR读取函数。

(3.5)证明者AP先用平台身份证明密钥AIK对度量值PV进行签名，得到签名值SIG(AIK，PV)，接着再用会话密钥K对度量值PV进行消息认证码MAC计算，得到散列值MAC(K，PV)；

(3.6)证明者AP将签名值SIG(AIK，PV)、散列值MAC(K，PV)和度量日志信息ML打包生成完整性度量报告，并将该完整性度量报告发送至可信第三方TTP；

(3.7)可信第三方TTP收到完整性度量报告后，从完整性度量报告中提取签名值SIG(AIK，PV)、散列值MAC(K，PV)和度量日志信息ML进行完整性度量验证，并将度量结果发送至第一个验证者CP₁，参照图4，本步骤实现如下：

3.7a)可信第三方TTP对签名值SIG(AIK，PV)进行解密得到寄存器PCR的值PV，并根据度量日志ML重新计算寄存器PCR的值，将该值与PV进行比较；若比较结果相同，说明证明者的完整性度量计算过程未受到篡改或攻击，继续执行3.7b)，否则，度量结果为不通过；

3.7b)可信第三方TTP利用共享会话密钥K对寄存器PCR的值PV进行消息验证码MAC计算，将计算得到的MAC值与完整性度量报告里的MAC(K，PV)进行比较，如果比较结果相同，则说明证明者发送的位置信息是真实的，未经过篡改或伪造，继续执行3.7c)，否则，度量结果为不通过；

3.7c)可信第三方TTP从度量日志ML中提取位置信息的特征值，将该特征值与标准位置信息特征数据库进行比对，判断该位置是否处于合法区域。如果该位置处于合法区域，则度量结果通过，否则，度量结果为不通过。至此，完整性度量验证过程结束。

步骤4、第一个验证者CP₁根据度量结果向证明者AP发送指令。

(4.1)若验证结果通过，则通知证明者AP的PC终端继续执行开机过程；

(4.2)若验证结果不通过，则通知证明者AP的PC终端开机过程终止。

步骤5、证明者AP的PC终端系统开启完成后，可信第三方TTP通过中断机制对证明者每隔一段时间进行位置信息的完整性度量验证。

假设证明者PC在系统启动过程中处于合法区域，即在合法区域通过了位置信息的完整性度量验证。当PC系统开启正常运行时，攻击者将证明者的PC移出合法区域，系统仍然会继续正常运行，从而使攻击者可以对PC进行操作，进而可能导致证明者PC终端信息的泄露。

针对上述攻击，需要通过中断机制对证明者每隔一段时间进行位置信息的完整性度量验证，以确定证明者在系统启动后仍然处于合法区域。证明者PC终端设备启动完成后，进入正常运行阶段的位置信息度量验证。

参照图5，此时，第一个验证者CP₁发起验证证明者位置信息的挑战申请，将该挑战申请通过可信第三方TTP转发至证明者，证明者AP接收挑战申请重复上述步骤(3)，由可信第三方TTP进行完整性度量验证，验证者CP₁根据TTP发送的验证结果判断证明者是否依旧位于合法区域：如果证明者在合法区域，则证明者的PC终端系统仍然继续运行；否则，证明者的PC终端执行关机。

以上描述仅是本发明的一个具体实例，不构成对本发明的任何限制，显然对于本领域的专业人员来说，在了解本发明内容和原理后，都可能在不背离本发明原理、结构的情况下，进行形式和细节上的各种修正和改变，但是这些基于本发明思想的修正和改变在本发明的权利要求保护范围之内。

Claims

1.一种终端设备地理位置的可信验证方法，包括如下步骤：

(2)证明者AP的PC终端在开机过程中其内部各个部件和硬件按照信任链CRTM→BIOS→OSLoader→Position→OS→Application的顺序逐级进行自身度量开启,其中CRTM是一段开机执行代码，BIOS为基本输入输出系统，OSLoader是操作系统加载程序，Position是证明者的位置信息，OS是操作系统，Application为应用程序；

(5)获取证明者、验证者、可信第三方的共享会话密钥K：

(5c)位于P点的证明者AP根据上述5个信息串X₁、X₂、X₃、X₄、X₅和密钥K₁利用公式K_i+1＝PRG(X_i,K_i),1≤i≤5计算得到K₆，则K₆就是证明者AP和验证者CP、可信第三方TTP的共享会话密钥K；

(7)证明者AP先用平台身份证明密钥AIK对度量值PV进行签名，得到签名值SIG(AIK,PV),接着再用会话密钥K对度量值PV进行消息认证码MAC计算，得到散列值MAC(K,PV)；

(8)证明者AP将签名值SIG(AIK,PV)、散列值MAC(K,PV)和度量日志信息ML打包生成完整性度量报告，并将该完整性度量报告发送至可信第三方TTP；

(9)可信第三方TTP收到完整性度量报告后，从完整性度量报告中提取签名值SIG(AIK,PV)、散列值MAC(K,PV)和度量日志信息ML进行完整性度量验证，并将度量结果发送至第一个验证者CP₁；

2.根据权利要求1所述的终端设备地理位置的可信验证方法，其中步骤(1)中可信第三方TTP对合法区域中的位置信息集合进行哈希计算，是在假设合法区域位置集合为已知的条件下，通过反向地理位置编码将位置集合中的位置信息先转化成成坐标形式，再对坐标形式的位置信息进行哈希计算得到长度为160bit的摘要值。

3.根据权利要求1所述的终端设备地理位置的可信验证方法，其中所述步骤(4)是在假设证明者AP自身位置信息已知的条件下按如下步骤进行：

4a)证明者通过反向地理位置编码将自身位置信息转化成成坐标形式；

4b)证明者自身装载的TPM芯片对坐标形式的位置信息进行哈希计算得到160bit摘要值；

4c)证明者将该摘要值以扩展更新的方式写入寄存器PCR中，即将原来存储于寄存器PCR中的旧值和该摘要值再次进行哈希计算得到新值，存储于PCR中。

4.根据权利要求1所述的终端设备地理位置的可信验证方法，其中步骤(9)中可信第三方TTP收到完整性报告进行完整性度量验证，按如下步骤进行：

9a)可信第三方TTP对签名值SIG(AIK,PV)进行解密得到寄存器PCR的值PV，并根据度量日志ML重新计算寄存器PCR的值，将该值与PV进行比较；若比较结果相同，说明证明者的完整性度量计算过程未受到篡改或攻击，继续执行9b)，否则，度量结果为不通过；

9b)可信第三方TTP利用共享会话密钥K对寄存器PCR的值PV进行消息验证码MAC计算，将计算得到的MAC值与完整性度量报告里的MAC(K,PV)进行比较，如果比较结果相同，则说明证明者发送的位置信息是真实的，未经过篡改或伪造，进行9c)，否则，度量结果为不通过；

9c)可信第三方TTP从度量日志ML中提取位置信息的特征值，将该特征值与标准位置信息特征数据库进行比对，判断该位置是否处于合法区域。如果该位置处于合法区域，则度量结果通过，否则，度量结果为不通过。至此，完整性度量验证过程结束。