基于可信计算技术的抗恶意代码攻击安全结构框架设计

基于可信计算技术构建的抗恶意代码攻击安全结构框架以可信计算技术为基础,融合身份认证、授权访问控制、备份恢复以及审计等多种安全控制技术构成。可信安全模块是抗恶意代码攻击的根基,可信计算技术是抗恶意代码攻击的必要条件,各种安全控制技术使抗攻击效能最大化。该框架通过各种技术的配合,建立了抵抗恶意攻击的层层防线,并且在系统遭到破坏时能及时发现并进行恢复,不仅能防范已知恶意代码,而且能防范未知恶意代码。     

可信计算平台可信计算基构建研究

对基于PC构建的可信计算平台中可信计算基的构建方式进行了分析,指出通过逻辑方式构建的可信计算基存在被篡改和绕过的可能性,并提出了一种基于密码技术构建可信计算基的方法。该方法以可信平台模块为信任根,验证可信计算基的完整性,防止可信计算基被篡改;将系统中受控可执行程序执行解释部分加密存放,密钥存放在可信平台模块,程序的执行必须通过可信计算基,防止了可信计算基被绕过。通过分析其基本原理,验证了基于密码技术可有效构建具备完整性和唯一性的可信计算基。     

基于USB接口密码模块的可信计算平台设计

针对普通个人计算机存在的安全风险,提出了基于USB接口密码模块建立信任链传递机制构建高安全等级PC终端计算平台的思路,梳理了基于USB接口密码模块的可信引导过程,对USB接口密码模块的软硬件体系结构设计和关键技术进行了分析。USB接口密码模块的可信计算平台的建立可以极大地降低重要应用系统的安全风险,提高通用计算机平台的安全计算等级。     

基于TCB子集的应用安全框架研究

提出了一种新的基于可信计算基(Trusted Computing Base,TCB)子集的应用安全框架。将TCB层次化分割为TCB子集,利用TCB子集之间的可信支撑关系在应用层和内核层分别建立访问监控器。内核层访问监控器和应用层访问监控器之间由安全管道联通,保证应用层访问控制机制不被篡改或旁路。分析了安全管道的特性和该安全框架下的访问控制流程,解决了应用层访问控制可靠性与有效性的矛盾。     

嵌入式可信平台构建技术研究

为了解决嵌入式终端缺乏完整性度量和应用软件任意执行的问题,在研究可信计算技术、嵌入式可信密码模块和服务模块的基础上,通过引入星形链可信传递模型和软件签名验证机制,设计了在内核空间软件签名验证的实现方案,构建了针对嵌入式设备的可信平台体系结构。该嵌入式可信平台可保证终端的完整性和应用软件的可信启动,可防止恶意代码的破坏,有效提高了嵌入式终端设备的安全性和可信性。     

基于TPM的可信集群系统设计与实现

集群系统既有分布式系统的特点,又有单一系统的特征。由于传统集群计算节点缺少可信计算平台的支持,集群作为一个单一的系统缺少可信安全技术的支持。作为一个分布式系统,其可信安全机制和信任链传递机制又很不同于单机系统。在TCG可信计算的规范和可信链的基础之上,提出了可信集群的构架,构建了基于TPM的可信集群,实现了基于可信集群架构的可信集群系统。针对集群中的应用,对所实现的可信集群系统如何解决集群中的可信安全问题作了探讨和研究。     

基于区块链技术的跨域认证方案

针对现有交互频繁的信息服务信任域（PKI域和IBC域）之间不能实现信息服务实体（ISE）安全高效的跨域认证的问题,提出一种基于区块链的跨异构域认证方案.在IBC域设置区块链域代理服务器参与SM9（国产标识密码）算法中密钥生成,并与PKI域区块链证书服务器等构成联盟链模型,利用区块链技术去中心化信任、数据不易篡改等优点保证模型内第三方服务器的可信性.基于此设计了跨域认证协议与重认证协议,并进行SOV逻辑证明.分析表明,与目前相关方案相比,协议在满足安全需求的前提下,降低了用户终端的计算量、通信量和存储负担,简化了重认证过程,实现域间安全通信,在信息服务跨异构域身份认证过程中具有良好的实用性.     

可信计算在分级保护建设中的应用研究

国家分等级保护系列标准规范中提到,涉密信息系统的建设需要明确安全域边界,实现不同等级的安全域间通信的安全可控,实现身份鉴别、密级标识等信息安全保密要求.针对这些涉密信息系统建设中的安全需求,文章应用基于可信计算的活性标签、安全隔离和不对等访问控制技术,从硬件底层着手,建立用户、平台与网络三者之间的信任关系,实现不同安全等级终端或网络区域之间的可信互连.     

基于ARM平台的可信计算软件栈的实现及应用

引言随着计算机应用的不断发展,安全威胁问题越来越严重,传统的单纯依靠软件来抵抗安全威胁往往不能解决问题。可信计算的基本思想是从芯片、硬件结构和操作系统等方面制定安全规范保证计算机和网络结构的安全。可信计算平台基于可信平台模块(TPM),以密码算法技术作为基础、安全操作系统作为核心,通过信任域的不断扩展形成安全的平台。目前市场上的TPM芯片主要应用在PC终端上,但是随着嵌入式系统的不断发展,TPM在嵌入式系统上的应用也越来越广,程序员在编写可信计算应用程序的时候,其切入点应     

基于可信状态的多级安全模型及其应用研究

本文提出了一种基于可信状态的多级安全模型,它以BLP模型为基础,引入可信度和可信状态测量函数,利用可信计算平台的完整性测量、存储和报告功能,检测进程和被访问对象的可信状态,并针对不同类型访问对象,动态调节进程访问范围,提高模型的抗攻击能力.文中说明了模型的基本设计思想,形式化描述和可信状态转换过程,证明执行新规则后系统仍然处于安全状态.最后,本文还介绍了模型在操作系统内核的实施框架,及其实现性能分析.     

涉密内部网用户终端安全防护研究

目前涉密内部网用户终端安全防护是整个网络安全防护的薄弱环节,存在着终端本身不安全、终端入网无安全审查、用户行为无安全管控等问题,造成病毒、蠕虫、木马等恶意代码能通过终端攻击整个网络.要解决这些问题,应做好终端"堵漏、防毒、筑墙"工作,部署终端安全管理系统,研制并配置可信终端.     

一种SD卡用户身份认证方案的设计与实现

通过分析当前云计算中基于口令与证书的模式身份认证,发现存在口令泄露、证书劫持、恶意攻击等导致信息泄密的安全隐患。结合安全卡携带方便、认证效率高、安全度强的特性,基于椭圆算法设计实现了用户与云计算服务器安全认证、密钥协商以及数据密文传输,有效地解决了终端用户身份认证存在的安全问题,并增强了云计算服务的安全性。     

基于簇的分布式认知无线电网络安全体系结构

针对认知无线电网络中出现的模仿主用户攻击和自私行为攻击问题,提出一种基于簇的分布式认知无线电网络安全体系结构.这种安全体系结构通过采用数据加密和认证等安全技术解决无线网络中原有的安全问题,通过在主用户基站与认知用户间使用Hash匹配技术可解决模仿主用户攻击问题,通过簇头向目的节点发送转发节点的可用频谱信息可解决自私行为攻击问题.由分析可知该安全体系结构是安全、高效和可行的.     

基于信任节点辅助的安全协同频谱感知策略

在认知无线电网络中,多个用户相互协作进行频谱感知能有效地提高系统感知性能。然而这种协同方式也带来了新的安全隐患:当恶意用户出现时,现有协同感知方法无法确保感知结果的鲁棒性。本文针对这一问题,提出了一种基于信任节点辅助的安全协同感知策略。该策略通过借助网络中信任节点的感知结果,在用户域和时间域两个维度上消除恶意用户的影响,确保了算法在较多恶意用户环境中的稳定性。仿真结果表明,新算法的性能优于Kaligineedi所提算法,在恶意用户数目为网络用户总数一半时,仍能有效地进行协同感知,具有良好的鲁棒性。      

虚拟机监控器的安全威胁及规避措施

云计算通过使用虚拟化技术,将大规模数据中心的设备分成独立的小型资源按需租用给用户。这种多租户环境建立的前提是虚拟化平台是安全可靠的,以确保位于同一台物理主机上的不同用户之间的独立性不被破坏。然而现有虚拟机控制器都拥有一个规模较大的可信计算基,使得其管理的虚拟机存在较大安全风险。文中提出一种方法,将传统的控制虚拟机分解为各个组件组成,每个组件执行单一的功能。这样可以带来一些好处：客户共享的服务组件是可配置和可审计的;限制每个组件以所需的最小权限接入Hypervisor,这使得风险明确化;通过配置组件的微重置的频率,可减小单个组件的时间攻击面。     

可信计算技术研究与应用

在网络信息技术高速发展和信息安全威胁肆虐的今天,各类信息环境均要面临如何保障其自身运行环境的安全可信问题.文中通过对可信计算技术,这一结合安全软硬件信息技术的研究与分析,通过其自身的安全机制与物理防御能力,以及信任链验证体系,为信息系统环境与身份识别环境提供一种有效的可信环境实现方法.