移动终端高安全可信计算平台架构

针对移动终端日益增长的高安全等级业务需求,提出一种基于可信赖平台模块(TPM)芯片的面向移动终端的高安全、高可信计算平台架构。基于当前多种移动终端可信功能拓展架构,提出了TPM芯片在移动终端可信链路中发挥核心作用的软硬件集成方案;进一步设计了集成TPM芯片的原型平台,对移动终端的高安全可信属性进行原理验证,并对此可信计算平台进行了要点分析。     

一种基于行为的可信计算动态度量方法

针对恶意软件泛滥而现行杀毒软件无法检测未知恶意软件的情况,同时经分析恶意软件,发现虽然其形式多样,但是表现出的恶意行为却存在一定的规律性。由此提出一种实现可信计算动态度量的方法,通过拦截程序运行期间产生的行为,构建决策树模型,以此为依据来判定程序行为是否符合预期。实验证明,此方法可以检测出未知恶意软件,之后通过改进数据预处理模块可以进一步降低误报率以及漏报率。     

可信计算环境下的WLAN Mesh安全关联方案

针对第3版WLAN鉴别基础设施（WAI）协议用于建立WLAN Mesh安全关联时所存在的问题,提出了一种基于改进WAI协议的WLAN Mesh安全关联方案。通过性能对比分析,该方案提高了WLAN Mesh安全关联的性能,特别是降低了认证服务器（AS）的负载。为了适用于可信计算环境,继而在该方案的基础上提出了一种可信计算环境下的WLAN Mesh安全关联方案。此外,利用串空间模型（SSM）证明了这2个WLAN Mesh安全关联方案是安全的。     

应对信息安全挑战,国产基础软件责无旁贷

正信息系统的核心软件,尤其是操作系统,对系统的整体安全性关系极大。目前包括我国政府在内的大量重要信息系统普遍采用的是微软的Windows操作系统,系统底层的信息安全存在重大隐患。当前,微软提出停止Windows XP的服务,对于广大用户是一个重大的信息安全挑战,对于信息系统的国产化进程则是一个重要契机。为了从根本上增强系统信息安全,当前亟需对原有使用Windows的系统进行国产化替代。     

以可信计算为基础的移动终端用户认证技术

随着时代的进步和社会经济的发展,无线通信技术和计算机技术不断革新,并且互相融合,移动终端在人们生活和工作中占据了越来越重要的位置;但是存储资源以及计算资源的丰富,逐渐出现了诸多的移动操作系统和无线应用,移动终端的安全威胁也需要引起人们足够的重视。针对这种情况,本文结合可信计算,提出了一种移动终端用户认证技术,希望可以提供一些有价值的参考意见。     

基于可信计算的配电自动化终端安全防护方法研究

点多面广、户外运行的配电终端因安全防护措施薄弱,存在被恶意入侵以及业务交互数据被非法截获、篡改的风险。文章提出一种融合可信计算和数字证书技术的配电终端安全防护方法,通过内嵌一颗可信芯片,实现终端的安全启动以及终端接入过程中与主站的双向身份鉴别和数据机密性、完整性保护,有效防止配电终端硬件软件被非法篡改、病毒/恶意代码植入以及以配电终端为跳板导致的配电自动化系统被恶意渗透和破坏,提高配电终端的主动防御能力。     

一种云计算适用的虚拟可信报告根构建机制

可信计算技术能够为云计算基础设施提供可信赖的状态及其验证手段,而可信报告这一可信平台基础功能在云环境的实现与普通主机有较大差异,如何构建虚拟可信报告根还没有通用和成熟的方案,将影响远程证明等可信技术在云环境的应用。为构建云计算适用的可信计算体系结构,解决为虚拟机提供唯一性身份标志和反映虚拟机与物理宿主机统一的完整性状态问题,明确了虚拟机应拥有各自独立的基于秘钥的身份标志以及虚拟机所属平台配置寄存器（PCR）类敏感信息必须是受保护的、可迁移的以适应虚拟机迁移需求。由进一步分析可知虚拟机完整性状态应包含以PCR值表示的虚拟机完整性状态和物理平台完整性状态。由此,在集中管理虚拟化/非虚拟化可信计算平台的模型预设条件下,基于国际可信计算组织（TCG）规范提出的身份证明秘钥（AIK）概念进行扩展,提出一种使用虚拟AIK作为虚拟机身份标志,并为每个虚拟机生成由其实际物理平台启动PCR值和虚拟机启动虚拟PCR值连接而成的PCR值的可信报告模型。设计了对应的虚拟PCR值复制机制、完整性报告机制、虚拟机敏感数据管理机制,并与TCG规范中方法进行了对比。该机制在兼容传统AIK验证机制的基础上,能够为每个虚拟机产生独立身份标识,向验证者证明自身完整性状态的同时简化了对虚拟机的验证流程。     

基于改进可信计算的Docker容器安全防护技术研究

随着云计算和容器技术的发展,Docker容器在众多领域得到了广泛应用。然而,容器安全问题日益凸显,成为制约容器技术发展的关键因素。文章针对现有可信计算技术在Docker容器安全防护方面的不足,提出了一种基于改进可信计算的Docker容器安全防护技术。     

抗量子可信计算安全支撑平台技术

随着科技的发展,量子计算机大规模部署逐渐变为可能,基于部分计算困难问题的公钥密码算法将被量子算法有效求解.传统的可信硬件芯片如TCM/TPM等由于广泛使用了RSA、SM3、ECC等公钥密码体制,其安全性将受到严重影响;而绝大部分具有抗量子能力的密码算法并不适配现有TCM/TPM芯片有限的计算能力,因此需要对抗量子可信计...     

CPK的ID证书

在CPK认证体系统中,ID证书以CPK built-in芯片实现,作为各种标识的凭证。CPK ID证书采用多标识域,满足一卡通和分系统使用的需求,采用多作用域,满足分割使用的目的;ID证书的用户属性包括等级划分和角色划分,同时适应专网和公网需求。在CPK芯片中已包括CPK等各种算法、数字签名协议、密钥交换协议。以及相关私钥和公钥矩阵,因此以芯片化实现了认证系统,不再需要第三方证明和数据库等远程或外部设备的支持。CPK的ID证书实现实体标识的认证,将交易的全程认证化、私密化。交易的全程包括用户级可信交易、通信级可信连接、操作级可信计算、物理级可信物流等,不言而喻,CPK的ID证书应用领域将是非常广泛的。