一种可信虚拟平台构建方法的研究和改进

为了减小虚拟环境下虚拟可信平台模块(v TPM)实例及系统软件可信计算基(TCB)的大小,同时进一步保护v TPM组件的机密性、完整性和安全性,解决传统虚拟可信计算平台下可信边界难以界定的问题,文章提出了一种新的构建可信虚拟平台的方法和模型。首先,将Xen特权域Domain 0用户空间中弱安全性的域管理工具、v TPM相关组件等放置于可信域Domain T中,以防止来自Domain 0中恶意软件的攻击及内存嗅探,同时作为Xen虚拟层上面的安全服务实施框架,Domain T可以给v TPM的相关组件提供更高级别的安全保护。其次,通过重构Domain 0中拥有特权的管理和控制应用软件,将特权域的用户空间从可信计算基中分离出来,进而减小虚拟可信平台可信计算基的大小。最后,设计并实现了新的基于可信虚拟平台的可信链构建模型。通过与传统可信虚拟平台比较,该系统可以有效实现将虚拟化技术和可信计算技术相融合,并实现在一个物理平台上同时运行多个不同可信级别的操作系统,且保证每个操作系统仍然拥有可信认证等功能。     

虚拟可信平台技术现状与发展趋势

将虚拟化技术与可信计算技术结合,构建支持可信平台模块TPM/可信加密模块TCM的虚拟化平台--虚拟可信平台,是目前业界实现可信计算最为有效的一种解决方案。本文针对可信计算技术、虚拟化技术以及二者结合的虚拟可信平台技术的现状和发展趋势展开讨论,重点分析了国内外在虚拟可信平台研究、标准规范和应用中亟待解决的一些关键技术问题。     

嵌入式终端远程可信升级设计

将可信计算技术应用到嵌入式系统中,是一条有效解决嵌入式终端设备安全问题的新思路。基于TPM构建嵌入式可信终端,采用TPM的身份鉴别、数字签名、完整性度量技术进行系统升级,核心模块的升级更新和应用程序的升级更新设计,并解决了升级过程意外中断、远程升级传输误码等关键性技术问题。     

产品

瑞达可信安全计算机—佑龙、强龙系列瑞达可信计算机是国内第一款具有自主知识产权的嵌入式密码计算机,它基于可信计算技术、密码技术、访问控制技术、智能IC卡技术,采用安全增强的BIOS、自主开发的嵌入式安全模块(ESM)和嵌入式操作系统JetOS以及WIN/Linux安全模块接口库,共同构成了软硬件相结合的计算机安全体系结构。瑞达可信域管理系统—天网系列可信域管理系统是瑞达公司结合可信计算技术,为在内部网络环境下实现可信安全管理而推出的可信安全产品。可信域管理系统从细化网络保护区域入手,集中管理可信域内可信终端(可信计算机/…     

新型可信计算平台体系结构研究

现行通用个人计算机基于开放架构,存在诸多攻击点,然而传统可信计算平台在解决个人PC安全问题的同时暴露出可信引导过程存在不可恢复的不足.针对这些安全问题,基于可信密码模块(TCM)提出一种新MJ可信计算平台体系结构.该结构具有可信引导失败时的自恢复机制,同时提供低于操作系统层的用户身份验证功能,通过基于TCM芯片的完整性度量、信任链的传递以及可信引导等技术,进而保证可信计算平台能够完成更安全的计算和存储工作,使可信计算平台达到更高的安全性、可信性和可靠性,同时该体系结构具有可信引导失败时的自恢复机制,可解决现有可信计算平台引导失败时无法正常启动的不足.     

基于TPM的嵌入式可信计算平台设计

增强工业嵌入式系统的安全性是当今工业信息安全领域研究的核心议题。只依靠软件的安全机制已经不能充分地保护信息安全,而现有的可信平台模块是专为个人计算机设计的,不能满足工业嵌入式系统的特殊需求。通过研究可信计算技术,设计了基于可信平台模块TPM的嵌入式可信计算平台,并从软件结构和硬件结构,分析了可信平台模块和信任链的传递机制。最后,在ZYNQ硬件平台上进行可信验证,通过内核伪造攻击测试,验证了设计的正确性,从而确保了工业嵌入式平台的安全可信。     

嵌入式系统可信启动机制设计与实现

嵌入式系统在生活中不可或缺,如何增强其安全性是急需解决的问题;现有解决办法局限于理论层面且不符合嵌入式系统实际需求;为实现嵌入式系统安全启动并满足其实际应用需求,设计并实现了嵌入式系统可信启动机制;该机制以可信计算理论为基础,提出一种适用于嵌入式环境的高效、透明的可信框架模型,设计完成嵌入式可信计算硬件模块(ETHM)以及其逻辑结构,构造可靠稳定的接口机制,实现了完整的可信链传递、操作系统高可信启动机制等技术的集成设计;通过实验验证,该可信机制对操作系统安全性可以进行准确判定,并做出正常启动或发出警告的正确指令;实验结果表明,该可信机制具备安全性、可靠性、高效性的特点,并满足嵌入式系统实际应用需求.     

基于国产平台的可信系统研究

设计了一套基于国产技术的可信计算系统。该系统采用了基于龙芯处理器的计算机硬件平台和国民技术LPC接口的可信密码模块(Trusted Cryptography Module,TCM),实现了符合UEFI标准的可信固件,完成了操作系统上的TCM驱动(TCM Device Driver,TDD)以及TCM服务模块(TCM Service Module,TSM),总体实现了基于国产龙芯平台的固件层和操作系统上层对国产可信密码模块及其服务模块的支持。完成了对TDD以及TSM接口的测试,提供了TCM管理工具以实现对TCM的基本管理功能。     

嵌入式可信终端的信任链模型研究

针对嵌入式终端的安全问题日益突出以及嵌入式终端信任链传递不完整等问题,结合可信计算的思想,提出了自底向上的和自顶向下的嵌入式可信终端信任链传递模型.基于该模型,以linux嵌入式系统平台为原型,设计了启动可信,操作系统加载可信以及应用程序的加载可信.可以较好地解决目前嵌入式终端面临的安全问题.     

基于TCM的可信签名系统设计

针对普通PC环境下的电子签名可能被恶意程序篡改、不能保证电子签名的真实性的问题,提出一种基于可信计算技术和嵌入式技术的嵌入式可信签名系统。该系统基于TCM设计了一个嵌入式可信电子签名终端,通过信任链的建立和平台完整性的证明构建了可信签名环境,并设计了可信环境下的签名和验签方案。由于系统设计的信任链基于嵌入式系统的核心可信度量根CRTM,信任链在终端启动时即开始建立,而非系统硬件启动后进行,保证了信任链的完整性和签名环境的可信性。     

基于TCM的嵌入式可信终端系统设计

针对目前各种嵌入式终端的安全需求,借鉴普通安全PC中TPM的应用情况,结合操作系统微内核技术,提出一种嵌入式可信终端设计方案,该方案基于可信根TCM,实现了自启动代码、操作系统到上层应用程序的"自下而上"的可信链传递,适用于嵌入式终端的安全应用.最后,通过设计一个试验系统,重点阐述了可信启动的具体实现步骤,并分析了因此带来的性能变化.     

基于可信计算的结构性安全模型设计与实现

鉴于可信计算可以弥补传统安全防护技术在构架设计和防护强度上存在的安全风险,提出一种可信计算安全模型,从信任链着手,将嵌入式可信安全模块、智能卡等模块引入可信计算平台,对关键技术的实现进行介绍,包括以J3210为核心的可信硬件平台、嵌入式操作系统JetOS、BIOS安全增强、操作系统的安全增强以及基于智能卡的用户身份认证.     

基于可信平台模块的虚拟机安全协议

为了保证虚拟机间通信的安全,存取控制是经常采用的手段。但是存取控制的灵活性和扩展性都有一定的限制。为了克服这一局限性,本文提出了一套针对虚拟机系统的安全协议。安全协议以可信平台模块作为可信根,建立起从底层硬件到虚拟机中应用的信任路径,从而有效并安全地实现了密钥及证书的发放、身份认证、虚拟机间保密通信和密钥及证书更新的功能。此外,本文在Xen中成功实现了这套安全协议。     

微处理器内安全子系统的安全增强技术

在信息技术快速发展的同时,信息安全变得尤为重要。处理器作为信息系统的核心部件,其安全性对系统安全起到至关重要的决定性作用。在处理器中构建安全可信的执行环境是提升处理器安全性的重要方法,然而很多核心安全技术仍然由片外安全TPM/TCM芯片保证。近年来,作为计算机系统安全基础的安全原点逐渐往处理器中转移。对处理器内安全子系统的安全增强技术展开研究,首先研究安全处理器体系结构;然后对处理器核、互连网络、存储和密码模块等处理器核心模块进行安全增强,同时从系统级角度实现了密钥管理、生命周期、安全启动和抗物理攻击等系统安全防护技术;最后,在一款桌面处理器中实现了一个安全子系统,并进行了分析。     

基于微内核的虚拟机I/O安全机制

NOVA等微内核虚拟化架构解决了宏内核平台可信计算基体积和攻击面过大的问题, 但其仍缺乏虚拟机分等级保护和I/O资源访问控制等安全机制. 本文提出了安全域的概念, 并将虚拟机划分至不同的安全域, 进而建立可定制的I/O资源访问控制机制. 通过将访问控制模块添加至I/O资源访问的关键代码路径, 实现了不同安全域的I/O资源访问控制. 实验表明, 该机制提高了数据的隔离性与安全性, 仅对计算密集型、I/O密集型任务造成了较小的性能损耗.     

结合生物特征识别技术的网络安全认证系统设计

随着信息技术的飞速发展,生物特征识别技术正在被越来越广泛地应用到数据库和商业系统的访问控制中。这些应用需要采用一定的措施来抵御对安全的威胁。在涉及到一个开放的网络环境下的认证问题时,例如非面对面的交易中,加密技术(公钥加密术和数字签名技术)被采用来防止对生物认证信息的无授权的使用,同时保证数据的完整性。该文提出了一种包含可信任的第三方的网络认证结构,其结合了手形认证技术和加密技术。并开发了一种应用于基于网络环境的原型系统。对此模型的初步评估结果是令人满意的。类似的技术可以被应用到更加灵活的应用中。     

基于可信密码模块的SoC可信启动框架模型

为满足嵌入式终端对信息安全的要求,设计了基于可信密码模块的SoC可信启动框架。该框架的特点在于对引导程序U-boot做功能上的分割,且存储在不同的非易失性存储器中,并增设了通信模块,使之在操作系统启动之前就具有发送和接收文件的功能。将引导程序的各部分与操作系统核心文件均作为可信实体,发送至可信密码模块进行完整性度量,若度量成功则可信密码模块返回下一阶段的启动信号并在其本地存储器中保存可信实体;若度量失败则禁止启动。实验结果表明,该框架是可行、有效的,可以满足现今嵌入式终端在信息安全方面的需要。     

Docker可信镜像源检测模型

Docker镜像是Docker容器运行的基础,目前缺少完善的镜像安全检测方法,导致容器运行时易受到容器逃逸、拒绝服务攻击等各种安全威胁.为避免有毒镜像使用,本文提出一种Docker可信镜像源检测模型DTDIS(detect trusted Docker image source),该模型使用可信密码模块vTCM (virtual trusted cryptography module)构建镜像基准值数据库,检测本地镜像文件是否被篡改;使用父镜像漏洞数据库扩展Clair镜像扫描器避免重复扫描;结合文件度量信息、漏洞扫描信息判别Docker镜像源是否可信.经云环境下实验证明,该模型能够有效对Docker镜像进行安全评估,保证用户使用可信镜像.