基于TCM的安全Windows平台设计与实现

为了解决Windows系统的完整性度量与证明问题,提出了一种基于可信密码模块TCM (trusted cryptography module)的安全Windows平台方案。通过扩展Windows内核实现了2种安全模式：在度量模式下,所有加载的可执行程序都会被度量,度量值由TCM提供保护和对外认证;在管控模式下,度量值会进一步与管理员定制的白名单进行匹配,禁止所有不在白名单中的程序执行。实验分析表明,该方案可以增强Windows系统的安全性,抵抗一些软件攻击行为;同时,系统平均性能消耗在20~30 ms之间,不会影响Windows的正常运行。     

软件可信度量中可信因子的选取方法

可信计算中,应用软件可信度量是信任链中重要的一环,由于现代软件规模过于复杂,要确保应用软件可信而不能仅仅依靠软件数据完整性度量。所以,在软件数据完整性的基础上,结合软件可靠性及可用性多个方面综合考虑可信因子的提取,为后续专家系统的分类识别提供可信量化依据,解决对未知软件可信程度进行预测的问题。     

浅析电子签章应用安全与技术

随着信息技术的快速发展,电子签章作为数字办公系统的一种重要工具,应用范围越来越大,涉及的行业越来越广。当前电子签章的规范性不够完善,安全性令人担忧,而云密码技术与电子签章技术的结合必将促使电子签章向云端迁移,推动密码泛在化和安全服务化的发展。因此,从电子签章的规范化、安全化和云密码技术下电子签章的应用3个层面分析电子签章应用的安全与技术发展,提出了当前电子签章产品的设计思路和方向,以期为电子签章应用产品的设计提供技术参考。     

一种面向远程证明的双向完整性报告方案

 国际可信计算组织（Trusted Computing Group,TCG）所定义的可信计算平台支持远程证明功能,即向一个远程实体证明本地平台的完整性信息,称为完整性报告。由于现有的完整性报告方案都是基于Client/Server模型,所以它们用于实现双向完整性报告时存在一些问题。为了克服这些问题,本文提出了一种面向远程证明的双向完整性报告方案。该双向完整性报告方案通过将平台身份证明密钥（Attestation Identity Key,AIK）证书的有效性验证功能和平台完整性的校验,及评估功能集中实现于网络中的可信中心,可有效地减小完整性报告双方的计算负荷和保护完整性报告双方的平台配置。此外,该双向完整性报告方案还通过设置平台组件隐私保护策略来防止完整性报告双方互相探询对方的平台配置。     

可信物联网的研究

针对物联网发展中安全体系尚不完善的问题,从物联网三层技术体系架构出发,分析了可信计算在物联网安全中的应用前景,并且以RFID协议为基础,利用可信计算技术,提出了一种基于平台完整性证明的可信接入方案,并对其进行了仿真,证明了通过本方案能够建立一个可信的数据交互环境。     

完整性条件下无干扰模型

以Rushby的无干扰工作为基础,对完整性条件下的无干扰模型进行了研究:指出了Rushby所定义的视图划分系统和基于引用监视器假设的系统在完整性条件下和机密性条件下一样,都是满足无干扰的;给出了Biba模型的无干扰解释;提出了动作等价关系,并利用动作等价关系研究了完整性条件下的信息流释放问题;提出了等价自动机和纯化等价自动机的观点,并说明了如何利用这2个图形化的工具帮助进行完整性无干扰推演。     

基于区块链的可信数据交换技术与应用

基于区块链的可信数据交换技术能实现去中心化网络中隐私数据的保护与流通,推动数字化时代打破“数据孤岛”壁垒。分析了可信数据交换的背景和需求,阐述了基于区块链可信数据交换及其关键技术,并结合区块链底层基础设施平台展示了应用情况。     

可信计算密码支撑平台完整性度量和密码机制的研究

国家密码管理局发布可信计算密码支撑平台功能与接口规范,用于指导我国可信计算平台的研究与应用。研究可信计算密码支撑平台和TCM（可信密码模块）的组成结构,分析密码算法的支撑作用和可信计算密码支撑平台的完整性度量机制。从而发现可信计算密码支撑平台和TCG（可信计算组织）的可信计算平台在完整性度量和密码机制方面的差异,得出可信计算密码支撑平台的优越性。     

可信计算平台可信计算基构建研究

对基于PC构建的可信计算平台中可信计算基的构建方式进行了分析,指出通过逻辑方式构建的可信计算基存在被篡改和绕过的可能性,并提出了一种基于密码技术构建可信计算基的方法。该方法以可信平台模块为信任根,验证可信计算基的完整性,防止可信计算基被篡改;将系统中受控可执行程序执行解释部分加密存放,密钥存放在可信平台模块,程序的执行必须通过可信计算基,防止了可信计算基被绕过。通过分析其基本原理,验证了基于密码技术可有效构建具备完整性和唯一性的可信计算基。     

区块链的安全风险评估模型

随着区块链技术在社会经济领域的应用不断扩大,区块链的安全问题受到越来越多的关注.本文提出了一种新的区块链安全风险评估方法,分别从技术架构和算力两方面量化区块链的安全风险.我们首先根据区块链技术体系架构建立了区块链可信计算基(Blockchain Trusted Computing Base,BTCB),进而设计了一种结...     

基于虚拟机的可信计算

当前,虚拟机技术和可信计算技术是两大热门技术,可信计算技术是实现信息系统安全的重要手段。是否可以在虚拟机的环境下,通过结合虚拟机和可信计算的技术优势,来实现终端系统与网络的可信,提高整个信息系统的安全？研究了如何设计一个基于虚拟机的可信计算平台安全架构,并进一步研究了虚拟化TPM的问题。同时,分析并总结了TCG定义的可信链技术。在此基础上,提出了虚拟机环境下可信链的实现方法,加强终端系统与网络的安全性。     

基于区块链技术的电子数据证据共享平台研究

针对现有电子数据证据在公检法部门、司法鉴定机构线下流转过程中易丢失、难查询、难以保证唯一性和完整性等问题,提出一种基于区块链技术的电子数据证据共享平台技术实现方案.该平台融合了区块链技术、网络可信身份认证、可信时间、加密电子数据证据存取证管理等技术,解决了电子数据证据使用过程中因易伪造、易篡改难以保证真实性,司法鉴定中...     

联盟链技术测试观察与分析

对可信区块链推进计划2019年度开展的功能测试、性能测试、BaaS测试、垂直行业(供应链金融)测试的测试情况进行整理披露,提出十大测试观察,涵盖联盟链的底层架构、共识算法、账本数据库、加密算法、智能合约、治理、隐私保护、跨链、性能测试观察以及供应链金融测试观察,以供业界参考。     

云计算中抗共谋攻击的数据位置验证协议

针对云计算中数据位置验证存在的共谋攻击,本文提出了抗共谋攻击的数据位置验证协议.首先给出了数据位置验证的系统模型,分析了安全威胁,并给出了数据位置验证的安全定义.随后,将安全定位协议与数据持有性证明协议相结合,设计了一维空间下的数据位置验证协议,并证明了所提协议满足安全定义且能抵御共谋攻击.在一维协议基础之上,构建了三维空间下的数据位置验证协议.最后,在三维空间下将本文所提协议与Lost协议和Geoproof协议进行了性能的测试和比较.结果表明所提协议能够验证服务器具体位置且能抵御共谋攻击.     

可信密码支撑平台的功能及原理

可信计算是信息安全领域的一支新潮流。可信平台模块是可信计算的重要部分,自从中国研发的TCM芯片问世之后中国的信息安全就有了更坚实的基础,可信密码模块是可信计算的重中之重。文中根据国家密码管理局正式颁布（《可信计算密码支撑平台功能与接口规范》详细介绍了可信密码支撑平台的功能及原理,并且对TCM支撑平台作了简要分析。     

基于可信计算的可信应用研究

探讨了基于可信计算的可信应用目前缺乏的主要原因,深入剖析了基于虚拟机的可信平台和基于可信计算的可信Web服务体系结构、工作机制和应用流程,以及简要介绍了可信计算在AdHoc、传感器网络、网格计算、数字版权管理和RFID中的可信应用。通过对可信计算应用的研究,为推动可信计算技术的广泛应用具有重要的意义,最后对可信计算技术的应用进行了展望。     

可信计算的安全防护机制及其在高可信网络中的应用

从因特网架构的安全困境引出可信计算,介绍了可信计算产生的背景与发展现状、深入分析了可信计算的安全防护机制,并结合通信网络和信息系统安全防护的需求特点,指出了可信计算作为高可信网络解决方案之一的应用前景及其可能对安全防护体系产生的影响.     

DAA 协议中平台隐私数据的保护方案﹡

针对当前可信计算平台身份证明最好的理论解决方案——直接匿名认证（DAA ,Direct Anonymous Attestation）协议中平台隐私数据（,A e ）是以明文方式直接存储在平台上很容易受到攻击的问题,基于 TPM 的安全存储功能,提出了平台隐私数据（,A e ）的保护方案。该方案根据用户的身份生成隐私数据（,A e ）的保护密钥和授权数据,利用 TPM 的安全存储功能对该保护后的隐私数据进行存储,并通过理论分析和实验验证,表明了所提方案在保护隐私数据（,A e ）的同时,对直接匿名认证协议的性能影响也不大,增强了 DAA 协议的身份认证可信。     

可信计算与可信网络

论文对主流的可信计算技术——TCPA和NGSCB进行了分析,并对可信计算平台(TCP)进行了研究,对基于可信计算的可信网络的三个基本属性进行了分析和研究,最后介绍了可信网络的发展现状。