基于可信计算技术的抗恶意代码攻击模型

通过对恶意代码攻击过程的分析,针对恶意代码攻击的类型手段,研究信任链传递技术、基于密码的安全隔离技术、多级安全访问控制技术以及安全管道域技术。信任链传递技术解决可信计算基不能被篡改的问题,基于密码的安全隔离技术解决可信计算基不能被绕过的问题,多级安全访问控制技术解决普通用户信息交互的完整性和保密性问题,安全管道域技术解决特权用户使用资源的范围问题。最后,在此基础上构建基于可信计算技术的抗恶意代码攻击模型,并分析该模型的效能。     

动态代码的实时可信传递研究

 基于可信计算技术的恶意代码防范机制可以弥补传统杀毒方式对未知恶意代码防范能力的不足,但是软件自动在线升级和补丁安装会生成和调用未知的动态代码,对这些动态代码的实时可信判定问题阻碍了可信计算技术的应用普及.动态代码实时可信判定和可信传递方法(Trust Determination and Transitivity Method of Dynamic codes,TDTMD)从代码的调用环境和调用方式出发,对动态代码的来源是否可信进行判定,进而对动态代码是否可信进行判断.TDTMD可以在保证应用软件和系统的运行连续性前提下,提供对各种已知或未知恶意代码攻击的有效防范能力.TDTMD的原型系统及其实验结果表明,它对系统的运行性能影响较小,并且安全有效.     

信息系统的可信计算体系

随着安全防护技术的发展,可信计算技术成为研究的热点,已制定了一些可信计算标准,而且有些产品已得到应用,但信息系统的可信计算体系结构却未建立。在这种情况下,作者研究了可信计算的典型架构,包括TCG框架、NGSCB框架、LT框架等,在此基础上,结合信息系统和可信计算的特点,提出了信息系统的可信计算体系结构。该结构将信息系统的可信分为五个方面:可信认证、可信评测、基本单元可信、信息网络可信和信息系统可信。该体系结构有利于指导可信计算技术的研究和可信产品的研制,使信息系统真正做到可信。     

《可信计算体系结构》标准产业化应用

可信计算是一种计算运算与安全防护同时进行的新计算模式,通过对计算过程的可管可测,为通用计算平台提供对恶意代码或非法操作的主动免疫能力。可信计算体系结构的脉络是,将国产密码体系作为可信基础,将可信平台控制模块作为可信计算的信任根,并以可信主板为可信计算的平台,将可信网络作为可信过程交互的纽带,对上层业务应用进行透明支撑,保障应用执行环境和网络环境安全。本文介绍了《可信计算体系结构》标准的相关内容,包括可信计算体系结构的原理及功能、核心组件及其在多种平台环境中产业化落地的应用等。《可信计算体系结构》标准为可信计算产业化过程在设计实现和部署应用方面提供规范和指南,促进了可信计算技术及其产业化更快更好地有序发展。     

基于Win32 API调用监控的恶意代码检测技术研究

论文首先分析了现有动态检测恶意代码技术的不足,指出其受恶意代码的旁路攻击和拟态攻击的可能。然后,提出了防范此类攻击的API陷阱技术和调用地址混淆技术。最后由此实现了一个基于Win32API调用监控的恶意代码检测系统,经实验证明,该系统能检测出已知和未知的恶意代码的攻击。     

智能手机恶意代码防范技术综述

随着智能手机的普及,手机恶意代码也接踵而至。针对手机恶意代码的防范,国内外已经开展过一些研究。首先通过对比手机与PC机的不同应用背景来说明手机端恶意代码的特点,随后针对恶意代码的传播途径与攻击目标进行各种现有防范技术的详细介绍,最后对智能手机恶意代码防范的发展趋势做出了展望。     

电子审批系统安全防护技术框架研究

电子审批系统是一种近年来发展迅速且作用日益重要的应用系统,这种系统在开放互联环境中为公众提供服务,因此面临诸多安全威胁。这里在分析各种安全威胁的基础上,提出一种＂底层安全增强,上层安全过滤,统一安全管理＂的系统安全防护技术框架,并以可信计算为基础,以访问控制为核心,提供安全审计的先进技术体系,确保框架的合理可行和高安全性。对安全防护效果的分析表明,这里提出的安全防护技术框架能够主动防御各种安全威胁,全面保护系统的安全,满足了电子审批系统的实际安全需求。     

基于系统行为的计算平台可信证明

计算平台可信证明是可信计算研究的热点问题.但是目前一些计算平台可信证明方案存在隐私保护和可行性等方面的缺陷.基于系统行为的计算平台可信证明模型(BTAM)在可信计算环境下,根据可信行为期望策略,将平台状态证明转化为对平台历史行为序列的可信证明,有效地避免了在准确描述计算平台状态方面的难题,保证了模型实现的可行性和可扩展性,并且不会暴露证明平台的配置信息.BTAM的原型实现和实验性能分析证明了它在防范诸如计算机病毒、木马类恶意软件攻击以及避免安全策略冲突行为等方面的安全能力,以及良好的实际安全运行效率.     

内嵌TPM的视频监控服务器安全方案

可信计算技术是目前计算机安全的研究热点之一。采用可信计算技术。可大大提高终端和网络通信的可信性。本方案通过视频监控服务器内嵌可信计算平台模块TPM，将可信计算技术引入到视频监控系统中。利用TPM的密码运算引擎和存储保护功能，结合可信计算的相关思想，能够使视频监控服务器的安全性有一定的提高，而且这种基于硬件的安全技术，相对于基于软件的安全技术来说效率更高。     

面向虚拟化技术的可信计算平台研究

虚拟化技术的广泛运用为新型计算环境带来了新的安全威胁和挑战,如何通过增强虚拟机的安全性保障云服务的安全,是目前亟需解决的问题。文章一方面研究虚拟化技术如何对可信计算平台提供支撑,另一方面研究可信计算平台如何为虚拟化技术提供安全保障服务。通过构建基于可信计算的虚拟化安全架构,对面向虚拟化的可信计算平台关键技术进行分析和研究,能够较好地解决虚拟化带来的新安全问题。     

基于虚拟机的可信计算

当前,虚拟机技术和可信计算技术是两大热门技术,可信计算技术是实现信息系统安全的重要手段。是否可以在虚拟机的环境下,通过结合虚拟机和可信计算的技术优势,来实现终端系统与网络的可信,提高整个信息系统的安全？研究了如何设计一个基于虚拟机的可信计算平台安全架构,并进一步研究了虚拟化TPM的问题。同时,分析并总结了TCG定义的可信链技术。在此基础上,提出了虚拟机环境下可信链的实现方法,加强终端系统与网络的安全性。     

基于TPM的可信集群系统设计与实现

集群系统既有分布式系统的特点,又有单一系统的特征。由于传统集群计算节点缺少可信计算平台的支持,集群作为一个单一的系统缺少可信安全技术的支持。作为一个分布式系统,其可信安全机制和信任链传递机制又很不同于单机系统。在TCG可信计算的规范和可信链的基础之上,提出了可信集群的构架,构建了基于TPM的可信集群,实现了基于可信集群架构的可信集群系统。针对集群中的应用,对所实现的可信集群系统如何解决集群中的可信安全问题作了探讨和研究。     

利用可信计算技术增强MEC的安全性

介绍了MEC安全问题的特征,分析了可信计算技术增强MEC安全的可行性,提出了MEC物理安全可信设计、MEC能力开放可信设计、软件版本完整性可信设计等关键技术,最后结合MEC部署的特点提出了安全防护的建设建议。     

基于可信计算的终端安全防护系统

文中重点讨论了C2安全级别的可信计算改造,以可信计算机中的信任根为基础,利用参考监视器模型可信增强内核概念,采用安全控制、密码保护和可信计算等安全技术对Windows操作系统进行可信计算改造。通过构建操作系统安全内核,并有效结合现有内网安全监控与管理系统,针对应用定制安全策略,从而构建可信的终端安全环境。     

Survey on trusted cloud platform technology

Information security technology confronts severe challenges because of the safety demands of cloud computing.The trustworthiness and self-safety of cloud computing platform are the foundation of cloud computing security.The confidence of cloud users is the key issue the deep development and popularization for cloud computing.The trusted cloud computing technology provides a feasible solution.From the standpoint of guaranteeing the trustworthiness of cloud computing platform,related research progresses on trusted virtualization,construction of trusted cloud platform and trusted virtual machine were introduced.Additionally,the characteristics,application scopes and effectiveness of typical schemes were analyzed and compared.Finally,current limitations and possible directions for future research were discussed.     

可信计算平台可信计算基构建研究

对基于PC构建的可信计算平台中可信计算基的构建方式进行了分析,指出通过逻辑方式构建的可信计算基存在被篡改和绕过的可能性,并提出了一种基于密码技术构建可信计算基的方法。该方法以可信平台模块为信任根,验证可信计算基的完整性,防止可信计算基被篡改;将系统中受控可执行程序执行解释部分加密存放,密钥存放在可信平台模块,程序的执行必须通过可信计算基,防止了可信计算基被绕过。通过分析其基本原理,验证了基于密码技术可有效构建具备完整性和唯一性的可信计算基。     

基于可信计算和主动防御的等级保护在电厂的应用

针对广州蓄能发电厂相关信息系统的现状,结合信息安全等级保护测评存在问题,依据国家等级保护的有关标准和规范,进行重新规划和合规性整改,提出了基于可信计算和主动防御的等级保护体系模型,在可信计算技术和主动防御技术理念的指引下,利用密码、代码验证、可信接入控制等核心技术,在“一个中心三重防御”的框架下实现对信息系统的全面防护,旨在建立一个完整的安全保障体系,有效保障其系统业务的正常开展,保护敏感数据信息的安全.     

嵌入式可信平台构建技术研究

为了解决嵌入式终端缺乏完整性度量和应用软件任意执行的问题,在研究可信计算技术、嵌入式可信密码模块和服务模块的基础上,通过引入星形链可信传递模型和软件签名验证机制,设计了在内核空间软件签名验证的实现方案,构建了针对嵌入式设备的可信平台体系结构。该嵌入式可信平台可保证终端的完整性和应用软件的可信启动,可防止恶意代码的破坏,有效提高了嵌入式终端设备的安全性和可信性。