共查询到19条相似文献,搜索用时 140 毫秒
1.
通过对可信网络接入完整性度量的分析,结合本体的思想,建立了一个基于本体的可信网络完整性度量模型。该模型对终端接入可信网络的完整性参数进行本体化建模,确定对象关联规则,通过基于免疫的本体匹配算法实现了完整性度量策略的自适应选择分发。分析结果表明,该算法能够有效地对完整性度量参数进行策略的优化匹配。该模型的提出为可信网络下完整性度量的策略授权分发提供了一个新的研究思路 相似文献
2.
基于安全芯片的可信平台设计与实现 总被引:3,自引:0,他引:3
基于可信计算联盟的规范,设计并实现了一个能够进行系统完整性数据收集与度量的可信终端系统,在不明显降低系统效率的前提下,获得了更高的安全保障,为进一步建立可信网络环境提供了基础。 相似文献
3.
4.
终端计算机是网络空间活动的基本单元,其安全性直接关系着网络环境和信息系统的安全.提出了一种基于完整性保护的终端计算机安全防护方法,它将完整性度量和实时监控技术相结合,保证终端计算机运行过程的安全可信.建立了以TPM为硬件可信基、虚拟监控器为核心的防护框架,采用完整性度量方法建立从硬件平台到操作系统的基础可信链;在系统运行过程中监控内核代码、数据结构、关键寄存器和系统状态数据等完整性相关对象,发现并阻止恶意篡改行为,以保证系统的完整、安全和可靠.利用Intel VT硬件辅助虚拟化技术,采用半穿透结构设计实现了轻量级虚拟监控器,构建了原型系统.测试表明,该方法能够对终端计算机实施有效的保护,且对其性能的影响较小. 相似文献
5.
6.
根据可信计算的基本原理,在Windows系统环境下设计并实现了一个可信执行环境的原型系统.与传统的信息安全技术采用被动防御的策略不同,可信执行环境根据可信计算中的信任链传递的思想,采取主动防御的安全策略,通过拦截应用程序的启动执行.在应用程序运行之前,对应用程序的核心文件进行完整性度量和验证,可以有效地保护应用程序的核心文件免遭破坏,从而进一步增强计算机系统的安全性. 相似文献
7.
基于国产操作系统RT-Thread与国产开发板AB32VG1提出一种可信启动实现方法。可信启动框架从建立可信实体与完整性度量方向出发,将U-boot分割为两部分,与操作系统核心文件共同构成可信实体,发送至可信加密模块进行完整性度量,度量成功则返回控制信号至外部设备,并保存可信实体到非易失性存储器中;反之,则禁止启动,可信加密模块作为系统可信根,通过SM4与SM3双重加密完成。在AB32VG1开发板上进行验证,可正确输出控制信号,系统稳定运行、安全启动、多次加密结果正确、可快速完成完整性度量,与预期设计目标一致。 相似文献
8.
为满足嵌入式终端对信息安全的要求,设计了基于可信密码模块的SoC可信启动框架。该框架的特点在于对引导程序U-boot做功能上的分割,且存储在不同的非易失性存储器中,并增设了通信模块,使之在操作系统启动之前就具有发送和接收文件的功能。将引导程序的各部分与操作系统核心文件均作为可信实体,发送至可信密码模块进行完整性度量,若度量成功则可信密码模块返回下一阶段的启动信号并在其本地存储器中保存可信实体;若度量失败则禁止启动。实验结果表明,该框架是可行、有效的,可以满足现今嵌入式终端在信息安全方面的需要。 相似文献
9.
可信计算的链式度量机制不容易扩展到终端所有应用程序,因而可信终端要始终保证其动态运行环境的可信仍然较为困难.为了提供可信终端动态运行环境客观、真实、全面的可信证据,设计并实现了一个基于可信平台模块(trusted platform model,简称TPM)的终端动态运行环境可信证据收集代理.该代理的主要功能是收集可信终端内存、进程、磁盘文件、网络端口、策略数据等关键对象的状态信息和操作信息.首先,通过扩展TPM信任传递过程及其度量功能保证该代理的静态可信,利用可信虚拟机监视器(trusted virtual machine monitor,简称TVMM)提供的隔离技术保证该代理动态可信;然后,利用TPM的加密和签名功能保证收集的证据的来源和传输可信;最后,在Windows平台中实现了一个可信证据收集代理原型,并以一个开放的局域网为实验环境来分析可信证据收集代理所获取的终端动态运行环境可信证据以及可信证据收集代理在该应用实例中的性能开销.该应用实例验证了该方案的可行性. 相似文献
10.
11.
12.
PXE 启动机制通过网络下载操作系统文件并启动操作系统,广泛应用于服务器网络启动。通过可信计算技术保障PXE启动过程的安全可信,防止PXE启动文件被恶意篡改,确保服务器的安全可信运行。网络安全等级保护标准要求基于可信根对服务器设备的系统引导程序、系统程序等进行可信验证。根据等级保护标准要求,提出一种基于TPCM的服务器可信PXE启动方法,保障服务器的BIOS固件、PXE启动文件、Linux系统文件的安全可信。在服务器进行PXE启动时,由TPCM度量BIOS固件,由BIOS启动环境度量PXE启动文件,由PXE启动环境度量Linux系统文件。以TPCM为信任根逐级度量、逐级信任,建立信任链,建立可信的服务器运行环境。所提方法在国产自主可控申威服务器上进行了实验,实验结果表明所提方法是可行的。 相似文献
13.
Linux下的Rootkit通常使用修改系统内核关键位置数据的手段破坏系统内核完整性。可信计算是保护系统内核完整性的重要方法,可以使用它对Rootkit攻击进行监测。相较传统的被动可信计算体系,主动可信计算体系因其对上层应用透明、安全机制与计算功能充分隔离、可信根完全受硬件保护等特点,可以更有效地进行系统内核完整性保护。但目前的主动可信监测度量方法存在监测结果粒度较粗的问题,不能为防御者进行攻击对抗提供更详细的信息。针对这一问题,本文提出了一种基于安全优先架构的细粒度可信监测度量方法,安全域通过解析计算域内存语义信息,实现符号级别的细粒度可信度量,得到可用来对攻击进行分析的监测结果。实验表明,该方法可以在计算域受到Rootkit攻击时检测到全部被篡改的.text和.rodata段的符号,使用该方法得到的细粒度监测结果可以用来分析Rootkit的攻击手段和攻击目的,同时该方法对计算域的性能几乎没有影响。 相似文献
14.
15.
刘安战 《网络安全技术与应用》2011,(5):39-41
本文在TCG可信计算的规范和可信链的基础之上,提出了自治网络环境下的可信保护机制的网络拓扑结构,设计了自治网络系统中应用的完整性的可信保护机制,实现了一个基于TPM的可信自治网络系统。针对自治网络中的应用,对所实现的系统如何解决自治网络系统中的可信安全问题作了探讨和研究。 相似文献
16.
开放网络环境完整性按需度量模型 总被引:1,自引:0,他引:1
完整性度量是可信计算的关键问题之一.首先分析了目前研究成果在开放网络环境下存在的问题及其原因.提出了一种开放网络环境下完整性按需度量模型.该模型由度量请求者根据具体要求定制完整性度量策略,完整性度量策略由程序指令度量策略和数据流度量策略组成,度量响应者根据度量策略来度量自身组件的完整性,并为每个度量请求构造相应的可信链实例.该模型动态地度量完整性,改善了度量结果的新鲜性,兼顾软件代码和用户数据的完整性度量,克服了度量目标的片面性.在该模型的基础上实现了远程证明及其原型系统.并在流媒体服务网络中进行实验测试,实验结果表明该模型以较低的资源开销解决了存在的问题,能够适应开放网络环境下完整性度量的要求. 相似文献
17.
18.
19.
根据Kerberos协议基本原理和可信计算的特点,提出把TPM(可信平台模块)加入到Kerberos认证系统中,在用户请求认证的过程中对终端平台的完整性进行测量,并分析此平台的可信性,从而确保加入该Kerberos域的终端平台安全可靠.通过在Kerberos认证中心加入TPM增强Kerberos认证协议所信赖的可信第三方的安全性.这样,确保整个Kerberos认证系统安全可靠,并通过Kerberos的跨域认证实现基于Kerberos认证的可信网络. 相似文献