瑞达可信计算平台

传统计算机的安全隐患 信息安全必须从终端源头解决，必须解决计算机本身的安全隐患。     

对DSA和ECDSA的一种改进格攻击

利用格攻击DSA和ECDSA的方法,通过构造同余方程组可以将隐藏数字问题转化为格中最近向量问题,当同余方程组至多有一个解小于给定界限时,可通过求解格中最近向量获取签名私钥。给定界限越大,对解向量的大小要求越宽松,攻击的难度也越低。文章提出一种新的给定界限,其大小是原有界限的6.92倍,显著降低了格攻击的难度。利用从OpenSSL收集到的DSA和ECDSA的签名数据,设计验证新界限的格攻击实验。实验结果表明,新界限对已知解向量元素的要求由最高比特位6位降低到3位。对于DSA,当格的维度为350时,攻击成功率达80%;对于ECDSA,当格的维度为260时,攻击成功率达97%。通过解向量减去一个基准向量,可将对已知解向量元素的要求降低至1位,从而降低格攻击的难度。     

无线网格网络中基于非完全信息博弈的入侵检测模型

Wireless Mesh Networks (WMNs ) have many applications in homes, schools, enterprises, and public places because of their useful characteristics, such as high bandwidth, high speed, and wide coverage. However, the security of wireless mesh networks is a precondition for practical use. Intrusion detection is pivotal for increasing network security. Considering the energy limitations in wireless mesh networks, we adopt two types of nodes: Heavy Intrusion Detection Node (HIDN) and Light Intrusion Detection Node (LIDN). To conserve energy, the LIDN detects abnormal behavior according to probability, while the HIDN, which has sufficient energy, is always operational. In practice, it is very difficult to acquire accurate information regarding attackers. We propose an intrusion detection model based on the incomplete information game (ID-IIG). The ID-IIG utilizes the Harsanyi transformation and Bayesian Nash equilibrium to select the best strategies of defenders, although the exact attack probability is unknown. Thus, it can effectively direct the deployment of defenders. Through experiments, we analyze the performance of ID-IIG and verify the existence and attainability of the Bayesian Nash equilibrium.     

可信计算平台模块密码机制研究

可信计算已经成为世界信息安全领域的新潮流。介绍了可信计算平台模块(TPM)的基本体系,分析了它的密码机制,指出了其密码机制上的特色与不足。针对现有可信计算组织（TCG）规范中密钥管理授权机制比较复杂的缺点,结合OIAP与OSAP的思想,给出了一种授权复用的技术方案与授权协议,并给出了协议的安全性证明。     

虚拟可信平台模块动态信任扩展方法

将可信计算技术应用到虚拟计算系统中,可以在云计算、网络功能虚拟化（network function virtualization,简称NFV）等场景下,提供基于硬件的可信保护功能.软件实现的虚拟可信平台模块（virtual trused platform module,简称vTPM）基于一个物理TPM（physical TPM,简称pTPM）,可让每个虚拟机拥有自己专属的TPM,但需要将对pTPM的信任扩展到vTPM上.现有方法主要采用证书链来进行扩展,但在虚拟机及其vTPM被迁移后,需要重新申请vTPM的身份密钥证书,可能会存在大量的短命证书,成本较高,且不能及时撤销旧pTPM对vTPM的信任扩展,也不能提供前向安全保证.提出了一种vTPM动态信任扩展（dynamic trust extension,简称DTE）方法,以满足虚拟机频繁迁移的需求.DTE将vTPM看作是pTPM的一个代理,vTPM每次进行远程证明时,需从一个认证服务器（authenticaiton server,简称AS）处获得一个有效的时间令牌.DTE在vTPM和pTPM之间建立了紧密的安全绑定关系,同时又能明显区分两种不同安全强度的TPM.在DTE里,vTPM被迁移后,无需重新获取身份秘钥证书,旧pTPM可及时撤销对vTPM的信任扩展,而且DTE可提供前向安全性.从原型系统及其性能测试与分析来看,DTE是可行的.     

运用可信计算平台技术,打造我国信息系统的可信安全平台

一、介绍研究表明,绝大多数安全事故都源于计算平台。计算平台存在安全隐患的根本原因是软、硬件结构简化,缺乏对计算系统重要信息和资源的基础硬件保护支持:执行代码可以被修改、恶意程序容易植入、对重要信息的保护不完善、无法阻止攻击行为等。为了从根本上解决目前计算机系统存在的基础性安全缺陷,2000年前后出现了可信计算平台概念及其技术。     

可信计算平台应用研究

该文对可信计算平台的应用做了初步探讨,指出可信计算平台应用的基本目标就是要建立一个网络信任管理系统,并基于该网络信任管理系统结合信息保密网的应用给出可信计算平台的应用方案。该文还对可信计算平台的应用前景做了简要分析。     

电力物联网可信树形批量认证机制

电力物联网设备需要进行可信度量,然而现有数据处理架构存在云端压力过大的问题,现有可信度量架构也存在效率低下、消耗过大等问题。提出一种适用于云边协同电力物联网环境的基于树形结构的可信批量认证机制。该机制采用云边端协同的边缘计算架构缓解云平台压力,设备采用一种轻量级可信架构进行可信度量,获取度量信息;非平衡哈希树存储结构在设备认证时传递的认证信息较少并在一定程度上保障了隐私;采用稀疏哈希树多值证明方式生成认证信息,实现设备的批量认证。进行了安全威胁分析、原型实现和性能分析,实验表明该机制在树形结构的构造耗时上优于默克尔哈希树,在设备的可信认证耗时上优于IMA线性结构,在批量认证时,能大大减少认证信息的大小。