以可信计算为基础的移动终端用户认证技术.docVIP

以可信计算为基础的移动终端用户认证技术 　　摘 要 　　随着时代的进步和社会经济的发展，无线通信技术和计算机技术不断革新，并且互相融合，移动终端在人们生活和工作中占据了越来越重要的位置；但是存储资源以及计算资源的丰富，逐渐出现了诸多的移动操作系统和无线应用，移动终端的安全威胁也需要引起人们足够的重视。针对这种情况，本文结合可信计算，提出了一种移动终端用户认证技术，希望可以提供一些有价值的参考意见。 　　【关键词】可信计算 移动终端 用户认证 　　1 前言 　　通过调查研究发现，如今的用户域安全保护方案逐渐暴露出来了一系列的安全问题，传统的身份认证方案是基于PIN实现的，因为只有较短的密钥长度，将用户的个人信息给包含了过来，那么就容易遭到攻击。在智能手机或者PDA等移动平台上，仅仅应用了基于生物特征的身份认证方法，也容易遭受到攻击。 　　在2004年10月，TCG在硬件资源紧张和电池容量有限的移动终端引入了可信计算的思想，并且提出了三个技术标准草案，涵盖了软件体系、硬件体系以及协议等方面，可以将端到端的安全移动计算环境给提供出来。在TMP标准中，已经分开了认证和授权，并且开始对用户权限进行考虑。本文结合移动终端的特性，在硬件方面采用了OMAP730，提出了一种新的移动终端用户认证技术。 　　2 基于OMAP730的可信移动平台 　　在某公司，采用的主流智能手机处理器就是OMAP730，它对GSM/GPRS数字基带单芯片处理器进行了集成，SRAM、SDRAM以及FLASH都是其携带的。另外，OMAP还对安全ROM以及安全RAM进行了集成，并且将硬件的安全算法加速器以及随机数产生器给配置了过来。虽然采用单纯的OMAP730无法促使可信计算的要求得到满足，因此，但是这些硬件资源可以有效的构建TMP；因此，为了促使TMP要求饿到满足，只需要将这些硬件配置于OMAP730之上即可。 　　（1）TPM的添加，结合TMP的标准以及TPM的标准，在构建TPM的时候，可以选取三种不同的方式。首先是封装整合OMAP730内部已配置的硬件安全算法模块、随机数产生器以及安全RAM等资源，以便对内置TPM进行构建。对独立的外置TPM芯片进行选择，在连接OMAP730的时候，利用的是总线SM Bus。为了促使硬件成本得到节约，就可以将OMAP730内部ARM9和存储器给应用起来，通过纯软件的方式，来促使TPM需要具备的功能得到实现。 　　（2）在安全ROM中固化CRTM，这样配合TPM就可以促使可信启动得到完成。TPM在对ROM中的代码进行读取时，利用的是DMA的方式。 　　（3）对于设备BR的读取，则是利用高速UART接口外接生物特征来读取的，在这个部分，通常将指纹采集仪应用过来，这可以对单纯口令认证方式的脆弱性进行有效的弥补，促使TMP安全等级3对认证方式的要求得到满足。 　　（4）将可信模式指示器添加于外围，这样可以对平台当前状态进行指示，判断是否可信。 　　3 基于口令、指纹和USIM的用户域认证方案 　　通过研究发现，相较于目前单纯口令或者指纹的用户域认证方案，本方案的总体工作流程具有一些不同的特点： 　　当需要对移动终端进行使用时，用户需要首先将USIM卡插入进来，以便对平台的合法性进行验证，平台当前状态得到确认之后，用户通过键盘将口令输入进来，并且将BR提供自己的指纹给充分利用起来，以便避免恶意终端窃取到用户的敏感信息。在本方案中，不是简单的比较口令或指纹与模板，而是借助于RSA0KEN体制和Hash算法，来有效融合指纹和口令，并且计算过程在TMP的可信边界内完成，促使TMP中安全等级要求得到满足。另外，用户、ME以及USIM制件的认证也可以分别实现。将用户的临时身份以及与网络的共享密钥给利用起来，借助于无线网络，USIM可以对TPM证书与签名的合法性进行在线校验，以便促使不同CA域中TPM和USIM的认证得到实现。 　　在本方案中，用户将自己的口令给脊柱，并且持有USIM卡，本卡是无线网络运营商所颁发的，本USIM卡除了可以将基本的密码运算完成之外，还可以对用户的数字证书以及敏感信息等进行存储，比如认证参数、指纹模板以及匹配软件等等。其中，认证参数包括两个方面的内容，分别是用户接入无线网络时需要的参与以及用户与终端进行认证的参数。 　　在安全性分析方面，通过研究发现，本方案借助于可信移动平台框架，促使用户、USIM和ME之间的双向认证得到实现，在认证过程中，用户口令以及指纹数据的安全性得到了保证，用户对ME或者USIM中数据的访问控制得到了强化，并且ME或者USIM丢失后造成的危害也可以得到减少。同时，将在线认证方式给应用过来，本方案还可以促使ME和其所有者之间的认证得到实现，也可以让合法用户将自己