基于SSH的可信信道建立方法研究

doi:10.3969/j.issn.1671-1122.2018.01.007

信息网络安全 ›› 2018, Vol. 18 ›› Issue (1): 45-51.doi: 10.3969/j.issn.1671-1122.2018.01.007

基于SSH的可信信道建立方法研究

范博¹(), 杨润垲², 黎琳²

1. 中国电子技术标准化研究院,北京 100007
2北京交通大学计算机与信息技术学院,北京 100044

收稿日期:2017-12-01 出版日期:2018-01-20 发布日期:2020-05-11
作者简介:
作者简介：范博（1978—）,女,吉林,硕士,主要研究方向为网络安全标准化;杨润垲（1993—）,男,山东,硕士研究生,主要研究方向为云计算中心;黎琳（1978—）,女,山东,副教授,博士,主要研究方向为密码学。
基金资助:
国家自然科学基金[61402035]

Research on Establish SSH-based Trusted Channels

Bo FAN¹(), Runkai YANG², Lin LI²

1.China Electronics Standardization Institute, Beijing 100007, China
2.Beijing Jiaotong University, Beijing 100044, China

Received:2017-12-01 Online:2018-01-20 Published:2020-05-11

摘要/Abstract

摘要：

现有安全信道技术与TCG远程证明技术集成后,其安全性得到提高。文章提出了一种构建基于SSH的可信信道的方法,称为“可信SSH”。可信SSH从安全的角度出发,不仅实现了平台状态信息与SSH安全信道的真实绑定,而且保护了平台状态信息的隐私。从功能角度看,可信SSH具有以下特点：证明灵活性、向后兼容、可扩展性,这些特性体现在SSH中使用的任何会话密钥交换算法都可以在可信 SSH中无缝使用。文章提供了可信SSH在open ssh的实现及其他功能评估。

关键词: SSH, 可信计算, 远程证明, 可信信道

Abstract:

The security of existing secure channel technologies can be improved when being integrated with TCG remote attestation techniques. This paper proposes a practical approach to establish SSH-based trusted channels, denoted as trusted SSH. From the security point of view, trusted SSH not only achieves the authentic binding of the platform state information to the SSH secure channel, but also retains the privacy of the platform state information. From the functionality point of view, trusted SSH has the following features: attestation flexibility, backward compatibility and scalability. It is reflected in the aspect that any session key exchange algorithm used in SSH can be seamlessly used in Trusted SSH. These characteristics of security, functionalities and scalability are achieved in an efficient way. We also implement trusted SSH based on open SSH for evaluating its other features.

Key words: SSH, trusted computing, remote attestation, trusted channel

中图分类号:

TP309

范博, 杨润垲, 黎琳. 基于SSH的可信信道建立方法研究[J]. 信息网络安全, 2018, 18(1): 45-51.

Bo FAN, Runkai YANG, Lin LI. Research on Establish SSH-based Trusted Channels[J]. Netinfo Security, 2018, 18(1): 45-51.

图/表 3

参考文献 16

[1]	ARMKNECHT F, GASMI Y, SADEGHI A R, et al.An Efficient Implementation of Trusted Channels Based on Openssl[C]// ACM. STC '08 Proceedings of the 3rd ACM workshop on Scalable trusted computing,October 31, 2008,Alexandria, Virginia, USA. New York:ACM, 2008:41-50.
[2]	SADEGHI A R, SCHULZ S.Extending IPsec for Efficient Remote Attestation[C]// Springer. Financial Cryptography and Data Security, FC 2010 Workshops, RLCPS, WECSR, and WLC 2010, January 25-28, 2010,Tenerife, Canary Islands, Spain.Berlin:Springer, 2010:150-165.
[3]	GOLDMAN K, PEREZ R, SAILER R.Linking Remote Attestation to Secure Tunnel End Points[C]// ACM. STC '06 Proceedings of the first ACM workshop on Scalable trusted computing, November 3, 2006,Alexandria, Virginia, USA. New York:ACM, 2006:21-24.
[4]	STUMPF F, TAFRESCHI O, RODER P, et al.A Robust Integrity Reporting Protocol for Remote Attestation[J]. Journal of Radioanalytical & Nuclear Chemistry, 2006, 134(s1):869-875.
[5]	黄强,孔志印,常乐,等. 可信基线及其管理机制[J]. 信息网络安全,2016(9):145-148.
[6]	YLONEN T. The Secure Shell (SSH) Transport Layer Protocol [EB/OL]. ,2017-6-15.
[7]	DIERKS T,RESCORLA E. The Transport Layer Security (TLS) Protocol Version 1.2[EB/OL]. ,2017-6-15.
[8]	KENT S, SEO K. Security Architecture for the Internet Protocol [EB/OL]. ,2017-6-15.
[9]	GODDARD T.Using the NETCONF Configuration Protocol over Secure SHell (SSH) [EB/OL]. ,2017-6-15.
[10]	HARRINGTON D, SCHONWALDER J. Transport Subsystem for the Simple Network Management Protocol (SNMP) [EB/OL].,2017-6-15.
[11]	CHARBONNEAU A, TERSKIKH V.Spectro Grid: Providing Simple Secure Remote Access to Scientific Instruments[C]// IEEE. HPCS '08 Proceedings of the 2008 22nd International Symposium on High Performance Computing Systems and Applications,June 9 - 11, 2008,Washington. New York:IEEE, 2008:76-82.
[12]	KAUFMAN E C. Internet Key Exchange (IKEv2) Protocol[EB/OL]. ,2017-6-15.
[13]	王冠,袁华浩. 基于可信根服务器的虚拟TCM密钥管理功能研究[J]. 信息网络安全,2016(4):17-22.
[14]	NAGARAJAN A, VAARADHARAJAN V, HITCHENS M, et al.Property Based Attestation and Trusted Computing: Analysis and Challenges[C]// IEEE. NSS '09 Proceedings of the 2009 Third International Conference on Network and System Security,October 19-21, 2009 ,Gold Coast, Queensland, Australia. New York:IEEE, 2009:278-285.
[15]	DOLEV D, YAO A.On the Security of Public Key Protocols[J]. Information Theory IEEE Transactions on, 1983, 29(2):198-208.
	DOLEV D, YAO A.On the Security of Public Key Protocols[J]. Information Theory IEEE Transactions on, 1983, 29(2):198-208.
[16]	张亚奇,何永忠,于爱民. 一种基于第三方平台可信证明的SSH协议[J]. 信息网络安全,2016(12):34-45.

基于SSH的可信信道建立方法研究

Research on Establish SSH-based Trusted Channels

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 3

参考文献 16

相关文章 15

编辑推荐

Metrics

本文评价

[1]	陈璐, 孙亚杰, 张立强, 陈云. 物联网环境下基于DICE的设备度量方案[J]. 信息网络安全, 2020, 20(4): 21-30.
[2]	王晓, 赵军, 张建标. 基于可信软件基的虚拟机动态监控机制研究[J]. 信息网络安全, 2020, 20(2): 7-13.
[3]	吴宏胜. 基于可信计算和UEBA的智慧政务系统[J]. 信息网络安全, 2020, 20(1): 89-93.
[4]	尚文利, 尹隆, 刘贤达, 赵剑明. 工业控制系统安全可信环境构建技术及应用[J]. 信息网络安全, 2019, 19(6): 1-10.
[5]	尚文利, 张修乐, 刘贤达, 尹隆. 工控网络局域可信计算环境构建方法与验证[J]. 信息网络安全, 2019, 19(4): 1-10.
[6]	王晋, 喻潇, 刘畅, 赵波. 智能电网环境下一种基于SDKey的智能移动终端远程证明方案[J]. 信息网络安全, 2018, 18(7): 1-6.
[7]	张建标, 杨石松, 涂山山, 王晓. 面向云计算环境的vTPCM可信管理方案[J]. 信息网络安全, 2018, 0(4): 9-14.
[8]	张建标, 赵子枭, 胡俊, 王晓. 云环境下可重构虚拟可信根的设计框架[J]. 信息网络安全, 2018, 18(1): 1-8.
[9]	张家伟, 张冬梅, 黄偲琪. 一种抗APT攻击的可信软件基设计与实现[J]. 信息网络安全, 2017, 17(6): 49-55.
[10]	黄强, 王高剑, 米文智, 汪伦伟. 集中统一的可信计算平台管理模型研究及其应用[J]. 信息网络安全, 2017, 17(4): 9-14.
[11]	黄强, 孔志印, 常乐, 张德华. 可信基线及其管理机制[J]. 信息网络安全, 2016, 16(9): 145-148.
[12]	黄强, 常乐, 张德华, 汪伦伟. 基于可信计算基的主机可信安全体系结构研究[J]. 信息网络安全, 2016, 16(7): 78-84.
[13]	邢彬, 刘吉强, 韩臻. 一种可信计算平台完整性度量的新模型[J]. 信息网络安全, 2016, 16(6): 8-14.
[14]	张亚奇, 何永忠, 于爱民. 一种基于第三方平台可信证明的SSH协议[J]. 信息网络安全, 2016, 16(12): 34-45.
[15]	黄强, 张德华, 汪伦伟. 可信计算硬件设备虚拟化关键保障机制研究[J]. 信息网络安全, 2015, 15(9): 70-73.