随着互联网的高速发展和计算机的高度普及,网络环境下的资源共享与协作计算在生产生活中发挥着越来越重要的作用。在协作之前需要确信远程平台硬件和软件配置的真实可信性,以确保远程主机的行为在期望的范围内。然而,现在采用的基于密码和PKI技术的访问控制和身份验证等安全机制没有考虑上述目标;而TCG组织定义的简单远程证明机制虽然尝试解决此类问题,但是以度量值为基础,存在管理和版本强行控制的缺陷,不易实际应用。针对上述问题,可信平台中基于属性的远程证明系统PRAS(Property-based Remote Attestation System on Trusted Platform)将属性与策略机制引入到远程证明中。对于远程主机,用户不仅关心是否具有某种硬件或者软件配置和度量值,更在乎能否提供某种与安全相关的属性。为了证实属性的合法性,PRAS系统还引入了属性证书、属性权威中心和平台身份权威中心。属性证书用于标识合法的属性集合;平台身份权威中心负责签发平台身份证书;属性权威中心负责签发平台或者应用程序的属性证书。为了及时检测平台或者应用程序的改动(合法的或者非法的),PRAS系统采用信号异步处理技术设计了属性集的动态监听机制,以保证签发的属性证书反映平台或者应用程序的最新状态。签发的属性证书采用可信平台的Seal/UnSeal加密机制与平台状态绑定在一起,以保证其安全性。用户在证明平台或者应用程序的可信性之前,以可信判定策略的形式定义对目标的安全需求,然后依据自定义的策略评定属性证书的可信性,从而确认被证明目标的可信性。此外,PRAS系统以可信平台模块TPM芯片为基础设计数据传输协议,增强了数据在网络环境下传输的安全性。基于Linux操作系统的可信平台,采取C、Java、JSP等编程语言实现了PRAS系统,并且对系统进行了测试。测试结果表明,PRAS系统能够检测网格服务非法篡改、合法升级/回滚以及可信评定策略在证明中发挥作用。PRAS系统在检测网格服务被篡改、升级/回滚的准确率为0.97~0.99,客户端的平均服务时间趋近于14.8s。压力测试表明,PRAS服务端每秒能够处理的最大请求数为16~18,具有较强的处理能力。