０引?言身份認證技術作為信息安全防護的常用技術手段，已廣泛應用于各類信息系統(tǒng)，確保接入用戶的數(shù)字與物理身份相符合，防止非法接入。隨著新技術的發(fā)展，各種攻擊手段呈現(xiàn)多元化，對于身份認證技術也帶來新的挑戰(zhàn)。１傳統(tǒng)身份認證技術的缺陷傳統(tǒng)身份認證技術大多基于操作系統(tǒng)在軟件層面實現(xiàn)，通過身份認證軟件和數(shù)字證書，實現(xiàn)用戶的身份認證。由于其依賴操作系統(tǒng)的特點，傳統(tǒng)身份認證技術存在以下局限和缺點：（1）傳統(tǒng)的身份認證技術缺乏在用戶客戶端平臺硬件啟動階段對客戶端進行身份認證，存在非授權客戶端平臺接入網(wǎng)絡的現(xiàn)象，為用戶網(wǎng)絡帶來潛在威脅。（2）傳統(tǒng)的身份認證技術依賴于操作系統(tǒng)，采用數(shù)字證書的軟件認證方式，容易受到病毒、木馬、身份仿冒等惡意攻擊，且存在被旁路繞過的風險。針對上述問題，將客戶端平臺身份認證進一步前置，在客戶端硬件平臺上電啟動伊始，通過網(wǎng)絡對其進行可信身份認證，只有身份合法的用戶平臺可以接入網(wǎng)絡，實現(xiàn)客戶端的安全準入控制，從而提高網(wǎng)絡的安全性。２UEFI與可信技術的結合應用分析UEFI技術是一種基于標準接口的計算機固件技術，具有跨平臺、功能擴展方便的特點。同時，UEFIBIOS內(nèi)置了完善的網(wǎng)絡協(xié)議棧，支持UDP、TCP、FTP等網(wǎng)絡協(xié)議，可以在啟動階段提供完善的網(wǎng)絡應用。除此之外，UEFIBIOS還支持啟動階段從硬盤等存儲器件中獲取相關文件資源，這就為身份認證在底層實現(xiàn)和在啟動階段實現(xiàn)提供了基礎。同時，利用可信計算的可信密碼模塊（TrustedCryptographyModule，TCM），能夠為平臺提供加密和認證功能。綜上所述，結合運用UEFI技術和可信技術，能夠在啟動階段，利用UEFIBIOS和操作系統(tǒng)之間的隔離性，在系統(tǒng)啟動操作系統(tǒng)前，與認證服務器相互配合，實現(xiàn)設備的遠程入網(wǎng)身份認證，同時利用TCM的加密功能，確保認證數(shù)據(jù)的傳輸安全。因此，研究基于UEFI的網(wǎng)絡可信身份認證，能有效確?？蛻舳似脚_的入網(wǎng)可控，同時擺脫認證過程對操作系統(tǒng)的依賴，避免木馬、病毒等惡意軟件的攻擊。３系統(tǒng)組成基于UEFI的遠程可信身份認證方案系統(tǒng)架構如圖1所示。圖1

基于UEFI的遠程可信身份認證方案系統(tǒng)架構系統(tǒng)由用戶客戶端平臺和服務器端平臺構成?？蛻舳似脚_在啟動過程中，由UEFI固件收集平臺信息，通過TCM模塊，結合加密、認證功能，請求進行身份認證。服務器端平臺對認證數(shù)據(jù)進行合法性判別，并將身份認證結果反饋給客戶端，在啟動階段完成遠程身份認證、入網(wǎng)控制。客戶端平臺UEFI可信增強設計包括四個部分。（1）認證發(fā)起。當客戶端平臺開機啟動時，UEFI主動向認證服務器發(fā)出請求，包含證書和認證兩部分，將用戶身份、設備身份等認證信息發(fā)送給認證服務器進行認證。（2）TCM調(diào)用。調(diào)用TCM密碼模塊，進行對稱密碼運算和非對稱密碼運算，實現(xiàn)簽名、驗簽、數(shù)據(jù)加密等密碼功能。（3）信息幀處理。實現(xiàn)數(shù)字信封的封裝和解封裝。數(shù)字信封使用的數(shù)字簽名驗簽算法由TCM模塊提供。（4）證書管理。對認證服務器頒發(fā)的身份安全證書進行加密存儲和本地管理，其中TCM模塊完成加密存儲。服務器端平臺對客戶端平臺進行遠程注冊、認證，為各客戶端平臺生成對應的身份安全證書并頒發(fā)給對應客戶端。服務器端平臺將針對身份認證數(shù)據(jù)開展合法性比對，并對客戶端平臺進行遠程身份認證。服務器端平臺包括五個部分。（1）網(wǎng)絡通信協(xié)議棧。通過網(wǎng)絡接收認證請求，與客戶端平臺通信。（2）信息幀處理。實現(xiàn)數(shù)字信封的封裝和解封裝。數(shù)字信封使用的數(shù)字簽名驗簽算法可以由軟件算法實現(xiàn)也可以由專門的密碼卡實現(xiàn)。（3）身份安全證書生成。對客戶端平臺進行注冊審核，為通過審核的客戶端平臺生成安全的身份證書，并對身份證書中的隨機數(shù)進行更新，確保安全、可靠。同時實現(xiàn)身份證書的存儲與銷毀操作。（4）身份認證模塊。對客戶端進行身份認證，將接收數(shù)字信封形式的身份認證信息通過解封裝解密恢復出的原始數(shù)據(jù)，并與存儲的客戶端身份認證數(shù)據(jù)進行比對，完成用戶身份合法性校驗，將認證結果回復給用戶。（5）用戶數(shù)據(jù)管理。對客戶端的信息進行存儲和管理，支持增減、修改、查詢身份信息。４遠程身份認證流程身份認證流程包括了身份信息注冊和身份認證兩個步驟。在身份注冊步驟，客戶端平臺利用數(shù)字簽名保護身份信息，確保信息正確及完整?？蛻舳说钠脚_身份密鑰（Platformidentitykey，PIK）由TCM模塊生成，其本質(zhì)是一個公鑰密鑰算法密鑰組合，客戶端的身份信息可通過PIK私鑰完成數(shù)字簽名，將簽名、身份信息發(fā)送給認證服務器。認證服務器存儲有客戶端平臺相應的PIK證書（及用戶PIK公鑰），服務器端利用PIK公鑰驗證客戶端發(fā)送的數(shù)字簽名信息，核準平臺身份并頒發(fā)身份安全證書（安全證書中包含服務器公鑰信息）。身份信息注冊階段流程如下：（1）客戶端平臺發(fā)送設備注冊信息，客戶端平臺對設備信息使用自身的PIK私鑰進行數(shù)字簽名，通過網(wǎng)絡將數(shù)字簽名、設備信息的組合數(shù)據(jù)發(fā)送給認證服務器。（2）認證服務器接收注冊信息后，將客戶端設備信息、數(shù)字簽名解析出來后，使用數(shù)據(jù)庫中匹配的客戶端設備PIK公鑰，完成數(shù)字簽名驗簽，通過校驗設備信息完成驗證。若客戶端平臺合法，則通過驗證，給出合法客戶的身份安全證書，并將其數(shù)據(jù)信息存儲在數(shù)據(jù)庫中。（3）認證服務器頒發(fā)證書，將身份安全證書通過客戶端平臺PIK公鑰進行加密，發(fā)送給客戶端。（4）客戶端平臺通過PIK私鑰對收到的身份安全證書進行解密。通過身份安全證書中攜帶的認證服務器公鑰，驗證證書簽名合法性，并獲取證書中的隨機數(shù)。身份信息注冊階段流程如圖2所示。圖2

身份信息注冊階段流程在身份認證階段，由于客戶端平臺和認證服務器相互獲取了對方的公鑰，在客戶端和服務器端利用數(shù)字信封的方式對傳輸?shù)男畔⑦M行加密，提高認證的安全性。身份認證的流程如下：（1）客戶端平臺上電開機，可信UEFI固件程序啟動，在進入操作系統(tǒng)之前，UEFI固件通過證書管理模塊對身份安全證書中的認證隨機數(shù)和身份安全證書公鑰信息進行查詢。（2）客戶端平臺發(fā)送身份認證請求給認證服務器，通過身份安全證書公鑰以及隨機數(shù)加密得到密文信息，生成數(shù)字信封并發(fā)送至認證服務器。（3）認證服務器端開展身份認證，并對身份安全證書進行更新。首先，認證服務器對客戶端平臺數(shù)字信封進行解封裝，使用相應客戶端的PIK公鑰來進行簽名驗證，然后使用身份安全證書私鑰進行解密運算，恢復數(shù)字信封中的認證隨機數(shù)。比對解密得到的認證隨機數(shù)和數(shù)據(jù)庫中存儲的隨機數(shù)，判斷身份是否合法。如身份合法，認證服務器對身份安全證書中的隨機數(shù)進行更新，并記錄至數(shù)據(jù)庫中，供下一次身份驗證使用；如果身份非法，則禁止客戶端平臺入網(wǎng)，從而保護網(wǎng)絡安全。（4）認證服務器端對新證書中的認證隨機進行封裝，通過身份安全證書的私鑰進行數(shù)字簽名，發(fā)送給客戶端平臺。（5）客戶端平臺收到數(shù)字信封數(shù)據(jù)，進行解密，得到數(shù)字信封中更新的認證隨機數(shù)，供下一次認證使用。身份信息認證流程如圖3所示。圖3

身份信息認證流程５安全性分析基于UEFI的遠程可信身份認證能夠有效防護常見的惡意攻擊。（1）針對重放攻擊，采用身份安全證書更新機制，每次認證均會進行更新，攻擊者無法利用以往的數(shù)據(jù)對認證服務器進行欺騙，可有效提高安全性。（2）針對中間人攻擊，采用了TCM對認證數(shù)據(jù)進行加密，身份安全證書數(shù)據(jù)被中間人獲取，但證書數(shù)據(jù)無法被攻擊者破譯，認證服務器不會被欺騙，可有效避免中間人攻擊。（3）針對旁