具有主动免疫能力的电力终端内嵌入式组件解决方案

智能电网发展迅速,现有的通过物理隔离来保护电力系统终端的防护手段已经不足以应对一些新的威胁。本文提出了一种具有主动免疫能力的电力终端内嵌入式组件解决方案,为用户提供可信身份认证、可信存储、可信度量和可信报告的完整可信的计算环境。以信任链为核心,以高安全国密算法模块作为可信根,构建了覆盖安全启动、安全分区隔离、信任链传递机制和动态度量机制的主动免疫可信计算技术方案,并对该方案进行了原型实现。实验证明了该方案可以抵御恶意软件注入及破坏安全启动的攻击,并且具有良好的效率。     

移动网络安全防护技术

移动网络向着高速率、全IP方向发展,承载的业务种类也越来越多,这就对移动网络的安全提出了新的要求。传统的安全方案并不能适应新的安全需要。文章分析了3G/4G移动网络的安全威胁和需求,从移动网络的整体架构出发,提出了基于安全服务的安全防护方案。该方案在移动终端上构建可信计算环境,将软件合法性验证与访问控制相结合,在服务管理中心对移动终端提供完整性检查和软件合法性验证等安全服务,从而在很大程度上保护了移动终端以及移动网络的安全。进一步,文章给出了未来需研究的问题及发展方向。     

软件可信度量中可信因子的选取方法

可信计算中,应用软件可信度量是信任链中重要的一环,由于现代软件规模过于复杂,要确保应用软件可信而不能仅仅依靠软件数据完整性度量。所以,在软件数据完整性的基础上,结合软件可靠性及可用性多个方面综合考虑可信因子的提取,为后续专家系统的分类识别提供可信量化依据,解决对未知软件可信程度进行预测的问题。     

电子审批系统安全防护技术框架研究

电子审批系统是一种近年来发展迅速且作用日益重要的应用系统,这种系统在开放互联环境中为公众提供服务,因此面临诸多安全威胁。这里在分析各种安全威胁的基础上,提出一种＂底层安全增强,上层安全过滤,统一安全管理＂的系统安全防护技术框架,并以可信计算为基础,以访问控制为核心,提供安全审计的先进技术体系,确保框架的合理可行和高安全性。对安全防护效果的分析表明,这里提出的安全防护技术框架能够主动防御各种安全威胁,全面保护系统的安全,满足了电子审批系统的实际安全需求。     

基于USB接口密码模块的可信计算平台设计

针对普通个人计算机存在的安全风险,提出了基于USB接口密码模块建立信任链传递机制构建高安全等级PC终端计算平台的思路,梳理了基于USB接口密码模块的可信引导过程,对USB接口密码模块的软硬件体系结构设计和关键技术进行了分析。USB接口密码模块的可信计算平台的建立可以极大地降低重要应用系统的安全风险,提高通用计算机平台的安全计算等级。     

基于可信包装的可信软件构造模型

Since the guarantee of trustiness is considered inadequate in traditional software development methods, software developed using these methods lacks effective measures for ensuring its trustiness. Combining agent technique with the support of trusted computing provided by TPM, a trust shell based constitution model of trusted software (TSCMTS) is demonstrated, trust shell ensures the trustiness of software logically. The concept of Trust Engine is proposed, which extends the “chain of trust” of TCG into application, and cooperates with TPM to perform integrity measurement for software entity to ensure the static trustiness; Data Structure called trust view is defined to represent the characteristic of software behavior. For the purpose of improving the accuracy of trustiness constraints, a strategy for determining the weights of characteristic attributes based on information entropy is proposed. Simulation experiments illustrate that the trustiness of software developed by the TSCMTS is improved effectively without performance degradation.     

基于TCM的安全Windows平台设计与实现

为了解决Windows系统的完整性度量与证明问题,提出了一种基于可信密码模块TCM (trusted cryptography module)的安全Windows平台方案。通过扩展Windows内核实现了2种安全模式：在度量模式下,所有加载的可执行程序都会被度量,度量值由TCM提供保护和对外认证;在管控模式下,度量值会进一步与管理员定制的白名单进行匹配,禁止所有不在白名单中的程序执行。实验分析表明,该方案可以增强Windows系统的安全性,抵抗一些软件攻击行为;同时,系统平均性能消耗在20~30 ms之间,不会影响Windows的正常运行。     

一个基于shell script的网络层防火墙设计与实现

提出了一种基于Linux内建的Netfilter/Iptables标准框架设计网络层防火墙的思路,分析了关键技术,给出了一个非常接近实际应用的基于shell脚本的企业安全网关解决方案。此网关对信任区域网络提供了基本安全防护,并且通过地址伪装和目标网络地址转换技术,定制和实现了企业内外网之间的互通互访。     

显式和隐式质量属性分离的可信服务质量评估模型

针对目前服务质量(QoS)评估方法中忽视对服务隐式质量的评估而导致结果不准确的问题,提出了一种综合考虑显式和隐式质量属性的服务评价方法。首先,显式质量属性以向量形式表达,采用服务质量评估模型,经过量化、归一化,计算出评估值;然后,隐式质量属性以用户评价间接表达,根据评价相似用户的推荐而完成对隐式服务质量的评价,评估过程考虑推荐用户的可信性和新老用户的区别;最后综合显式和隐式质量评价作为服务质量评价结果。使用100万条Web服务的QoS数据与其他3类算法进行了对比实验。仿真实验证明了所提方法的可行性与准确性。