0 引言

    遠程證明是可信計算的關鍵技術，是平臺信任進行擴展以及可信鏈接建立的重要過程。自從提出以來，遠程證明技術在TPM芯片基礎之上建立了相對完善的證明體系和眾多證明方法，但是移動平臺對成本、空間的限制等原因使其難以配置TPM芯片。針對這個問題，文獻[1，2]提出了以安全芯片、智能卡等作為可信依據的解決方案，但是這些解決方案必須在有限空間的移動平臺中增加一個智能卡，致使成本太高，不太可能被商業公司應用。為了保證移動平臺的安全，可信計算組織發布了移動可信模塊(Mobile Trusted Module，MTM)規范^[3]，一些可信移動平臺(Trusted Mobile Platform，TMP)結合MTM的研究也取得了一些進展，但由于同樣依賴額外的硬件芯片，設備生產商興趣不大，MTM并沒有得到廣泛的應用。針對這一問題，當前芯片生產商等處于基礎地位的參與方相繼提出了一些安全解決方案，包括Intel TXT(Trusted eXecution Technology)、AMD SVE(Secure Virtual Machine)、ARM TrustZone等，它們能夠更加方便地建立可信執行環境并提供新的思路。其中移動平臺使用最廣泛的ARM處理器在ARM 1176及以后的Cortex-A系列中均支持TrustZone技術，相比于MTM，使用TrustZone技術研究移動平臺的可信證明技術得到更廣泛的研究和支持。

    本文在討論移動平臺證明效率問題基礎上，提出了基于TrustZone的改進方案。

1 預備知識

    (1)雙線性對：設G₁和G₂是階為素數p的乘法循環群，g是G₁的一個生成元。雙線性對是滿足下列性質的一個映射e：G₁×G₁→G₂：

    ①雙線性性：對任意的a，b∈Z_p，有e(g^a，g^b)=e(g，g)^ab；

    ②非退化性：e(g，g)≠1；

    ③可計算性：對所有的u，v∈G₁，存在有效的算法計算e(u，v)。

    (2)CDH假設(計算性Diffie-Hellman假設)：給定(g，g^a，g^b)∈G₁，其中a，b∈Z_p為未知整數，沒有多項式，時間算法C至少以概率ε計算g^ab。

2 移動證明存在的問題

    現有的研究成果^[4，5]考慮到基于TrustZone技術提供的可信執行環境(TEE)無法單獨實現信任鏈的完整建立，需要在TrustZone中生成信任根。文獻[6]提出了使用PUF技術在ARM TrustZone中建立信任根的具體方法。本文方案使用PUF技術生成設備密鑰，使可信執行環境擁有身份標識的功能。

    基于屬性的證明隱私保護能力與配置-屬性映射有關^[7]。遠程證明通常使用群體簽名來構建映射關系，在經典的證明協議中，采用了CL簽名構建映射，之后又提出了基于雙線性對的證明方案^[8]。但是類似雙線性對的運算在移動平臺的運行效率將大大降低。圖1是對不同數量的組件使用環簽名方案^[9]進行屬性證明，在ARM平臺和x86平臺消耗時間的比較。

    實驗時ARM處理器主頻為553 MHz，Intel處理器主頻為2.3 GHz，相差4倍。而運算消耗時間相差遠不止4倍，這是ARM的設計結構決定的。當組件數量增加時，進行一次簽名所需要的時間為數秒，而且會隨組件數量增加而繼續增大，嚴重影響了系統的正常運行。

    針對多個組件在移動平臺證明效率低的問題，采用超遞增序列對多個組件屬性進行聚合，再對聚合結果進行證明的方法，提出了一種適用于移動平臺的多組件證明方案，提高移動平臺上大數量組件的證明效率。

3 證明方案描述

3.1 方案定義

    各參與方為權威機構CA、用戶平臺(證明平臺)、服務提供者。設服務提供者要求證明的安全屬性p由組件(c₁，c₂，…，c_d)組成，要求證明平臺證明其擁有相關安全組件。

    證明時，通過證明代理(Attestation Controller，AC)來確保只有證明相關的進程可以訪問證明服務。證明代理的工作類似于SeCReT^[10]，分為工作在REE內核中的REE證明代理(RAC)和工作在TEE中的TEE證明代理(TAC)兩部分。RAC通過TTBR(Translation Table Base Register)來標識證明進程并為通過Hash驗證的進程建立證明會話密鑰(Attestation Session Key，ASK)。持有ASK的證明進程向RAC提交證明報告后，RAC使用共享空間的方式傳遞待簽名組件、證明要求以及簽名消息M等信息組成的證明數據塊給TAC，TAC在TEE中計算簽名并返回結果。驗證時，首先由權威機構驗證其是否滿足安全要求，并將結果發送給服務提供者。若滿足要求，服務提供者驗證消息M的簽名，簽名正確，則消息M可信。

    證明平臺的證明過程如圖2。

3.2 方案建立

    系統加載時使用PUF建立系統ek，并使用ek生成AIK。認證中心對于屬性p，平臺參與證明組件集為CS，CS中元素個數為d。

3.3 證明流程

    (1)建立會話：建立會話是證明平臺在收到證明請求時，由證明進程建立與RAC的會話，并提交證明相關信息。RAC驗證證明進程后采用共享內存的方式向TAC提交相關信息。

    (4)平臺簽名：計算平臺簽名σ_p=(Sign_AIK(σ)，σ，C)，將簽名結果返回RCA。

    (5)RCA將簽名以及消息M提交給權威機構CA，CA驗證平臺簽名σ_p，并進行組件簽名與消息M的驗證，根據序列和算法C計算各個參與簽名組件，驗證是否滿足安全性要求。若不滿足，則終止驗證；若滿足，則計算c_p=H₂(C)，m=H₂(c_p||M)，驗證簽名：

    驗證成功，則平臺滿足安全性要求，消息M可信。

4 方案分析

4.1 安全性證明

    (1)簽名正確性

    式(1)成立條件主要基于雙線性映射的性質：

    (2)不可偽造性

    定理 如果CDH問題在G₁上成立，則在隨機預言機模型下，本文方案在選擇消息攻擊下是不可偽造的。

    證明：假設存在敵手找到算法C能夠以概率ε攻擊本文方案，可以偽造出能夠通過驗證的組件簽名，則可通過下列模擬過程來使用算法C解決CDH問題。

    方案建立模擬：選擇隨機的(g，g^x，g^y)，系統建立時，令g₁=g^x，g₂=g^y。

    H₃模擬：輸入詢問的度量值χ，若為重復詢問，則返回之前結果；否則，若滿足安全性要求的χ，隨機選擇i∈Z_k，返回a_i∈Q；不滿足安全性要求的χ，隨機選擇i，j∈Z_k，返回|a_i-a_j|。

    H₁模擬：對于輸入的a_i，若為重復詢問，則返回之前結果，否則，若a_i∈Q，隨機選擇β∈Z_p，回答H₁(a_i)=g^β；若a_iQ，隨機選擇β，γ∈Zp，回答H₁(a_i)=g^-βg^γ。

4.2 性能分析

    與同樣基于雙線性對的證明方案^[8]以及使用基于屬性的環簽名ABRS-1^[9]構建遠程證明方案進行性能比較，當G₁上元素長度為512 bit、G₂上元素長度為1 024 bit、Z_p元素長度為160 bit、Q中元素長度為160 bit、平臺簽名長度512 bit時，分別對d個數量的組件進行簽名驗證，其運算量以及簽名長度如表1。

    本文方案結合遠程證明中組件屬性證明的特點，對簽名的組件首先映射到超遞增序列上，再計算其序列和，并對序列和進行屬性簽名，大大簡化了簽名過程。由于組件的度量以及轉化被設計成與次序無關的，在實際應用時可以并行運算，實現快速度量，更加適合移動平臺。超遞增序列可由貪心算法快速計算出唯一解，所以可以在驗證時完整地恢復出簽名組件，在對多個組件進行證明的同時使證明效率明顯提升。

5 實現與分析

    對本方案的關鍵步驟進行了實現，并與ABRS-1進行了對比，發現在遠程證明的應用場景下，本文方案具有更高的效率。主要在配置Samsung S3C6410 CPU的海天雄CES-EDU6410教學平臺以及QEMU提供的具有TrustZone功能的ARM模擬器下進行實驗。實現中選擇的雙線運算為PBC庫中的Type A、l_q(512)、l_r(160)曲線，基于OP-TEE系統進行開發，分別對各階段可行性及效率進行驗證，在ARM平臺實現了關鍵步驟，并對其執行情況進行了對比，實驗環境如表2。

    實現中，分別假設構成所證明的安全屬性的組件數量為2、5、8、11，對方案進行測試對比。圖3顯示了ARM平臺上簽名過程與ABRS-1的簽名所用時間對比。

    實驗結果表明，本文方案在組件數量較多時，相比于屬性環簽名方案，效率提升明顯。

6 總結

    本文結合當前應用廣泛的ARM移動設備及其TrustZone技術，提出一種基于可信移動設備的多組件證明方案，并在隨機預言機模型下證明了安全性。采用證明代理處理TEE與REE的通信，建立安全信道防止惡意進程訪問TEE資源。在OP-TEE基礎上實現了方案的主要步驟，并進行了分析。實驗結果表明，方案能夠在具有TrustZone功能的通用ARM處理器上正常運行，驗證效率高，簽名效率與組件數量無關，組件數量較多時簽名效率提升尤為明顯。

    本文只討論了隨機預言機模型下的證明方案，下一步研究內容是標準模型下的證明方法。

參考文獻

[1] 趙波，張煥國，李晶，等.可信PDA計算平臺系統結構與安全機制[J].計算機學報，2010，33(1)：82-91.

[2] DIETRICH K.An integrated architecture for trusted computing for java enabled embedded devices[C].Proceedings of the 2007 ACM Workshop on Scalable Trusted Computing.New York：ACM Press，2007：2-6.

[3] Trusted Computing Group.TCG mobile trusted module specification version 1.0[EB/OL].(2007)[2016].https：//www.trustedcomputinggroup.org.

[4] 楊波，馮登國，秦宇，等.基于可信移動平臺的直接匿名證明方案研究[J].計算機研究與發展，2014，51(7)：1436-1445.

[5] 張倩穎，馮登國，趙世軍.基于可信芯片的平臺身份證明方案研究[J].通信學報，2014，35(8)：95-106.

[6] ZHAO S J，ZHANG Q Y，HU G Y，et al.Providing root of trust for arm trustzone using on-chip sram[C].Proceedings of the 4th International Workshop on Trustworthy Embedded Devices.ACM，2014：25-36.

[7] 李尚杰，賀也平，劉冬梅，等.基于屬性的遠程證明的隱私性分析[J].通信學報，2009，30(11A)：146-152.

[8] 馮登國，秦宇.一種基于TCM的屬性證明協議[J].中國科學：F輯信息科學，2010，40(2)：189-199.

[9] 陳少真，王文強，彭書娟.高效的基于屬性的環簽名方案[J].計算機研究與發展，2010，47(12)：2075-2082.

[10] JANG J，KONG S，KIM M，et al.SeCReT：Secure channel between rich execution environment and trusted execution environment[C].Proc.of 2015 Network and Distributed System Security Symposium(NDSS′15).Internet Society，2015.