基于TCM标准的应用程序信任机制和实现探索

本文提出了一种基于可信密码模块的应用程序信任机制。这种信任机制基于可信密码平台服务模块。符合《可信计算密码支持平台功能与接口规范》要求。同时,本文为快速开发运行于Windows系统上的基于可信密码模块的可信应用程序提供了解决方案,为推广国产可信计算平台提供了有力的技术支撑。     

一种针对可信计算平台的分布式可信验证机制

可信计算技术在提高系统安全性的同时,也给用户使用计算机带来了诸多限制。为了解决自由软件等未授权程序的可信验证问题,提出了一种基于可信计算的分布式可信验证机制（DTVMTC）。该机制以庞大的Internet用户群为基础,通过网络数据统计的方法,实现对应用程序的可信验证,从而解决了对无可信来源但实际可信的应用程序进行可信验证的问题,保障了用户使用可信计算平台的自由。在Windows平台实现了DTVMTC的原型,实验结果表明DTVMTC能够实现预定目标且具有良好的性能。     

基于Java智能卡的可信度量模块设计

可信计算平台只执行被信任根担保的程序,可信度量技术是可信计算的核心和信任链传递的关键.但目前的复杂操作系统及应用程序仍无法被有效度量、信任链仍无法真正向上传递.本文提出了一种在不可信计算环境中直接确保应用程序可信的解决方案,构建一个基于Java智能卡虚拟机的、适于建立可信计算机制的计算环境,并设计出适合于Java智能卡环境的可信度量模块从而保证卡内从信任根到应用程序运行及结果的可信性.     

基于Windows系统的可信执行环境的研究与设计

根据可信计算的基本原理,在Windows系统环境下设计并实现了一个可信执行环境的原型系统.与传统的信息安全技术采用被动防御的策略不同,可信执行环境根据可信计算中的信任链传递的思想,采取主动防御的安全策略,通过拦截应用程序的启动执行.在应用程序运行之前,对应用程序的核心文件进行完整性度量和验证,可以有效地保护应用程序的核心文件免遭破坏,从而进一步增强计算机系统的安全性.     

基于Java智能卡的可信计算环境研究

操作系统可信是建立可信计算环境的关键环节,但还没有可行的度量操作系统的方案。针对该问题,基于现有计算环境(普通PC平台),提出一种基于Java智能卡的可信计算环境模型及实现方案。该方案以Java智能卡为基础,将可信计算机制扩展到操作系统和应用程序,在不改变现有计算平台结构的情况下构建了可信计算环境。     

基于可信度量机制的数字签名模型

随着数字签名技术的飞速发展,数字签名的应用越来越广泛.但是,与其他位于个人计算机系统中的应用程序一样,数字签名应用程序同样面临着如何在不可信的计算环境中保证自身完整性的技术难题.本文在对原有数字签名应用模型的安全性分析基础上,引入了"可信计算"的核心思想,建立了一个基于可信度量机制的安全数字签名模型.     

高安全需求的Web服务器群主动防御体系研究

针对金融、证券等行业对Web服务器高等级的安全需求,采用拟态防御、白名单、智能学习、可信计算等技术,构建一整套主动安全防御体系,有效提高Web服务器系统化服务器群的安全防护等级。     

“白”得有道理 瞧瞧瑞星的三种“白”

瑞星2010在对病毒的拦截和查杀方面,支持多种用户自定义白名单,用户可以根据自身需要,既使全力开启各种保护功能,也不影响正常工作。瑞星2010版有3种白名单。分别是文件监控和扫描白名单,木马行为防御和危险动作分析白名单,系统加固白名单。三种白名单机制相互独立,互不干涉,如果需要设置请注意区别,下面分别介绍三种白名单设置方法。     

嵌入式系统可信虚拟化技术的研究与应用

嵌入式系统在生活中的应用日益广泛,传统的安全增强手段已无法有效应对各种安全问题,增强嵌入式系统的安全性成为目前亟需解决的问题。为提高嵌入式系统及其应用程序的安全性,结合嵌入式系统的虚拟化技术与可信计算技术,设计并实现基于虚拟TCM的可信计算平台框架,实现了虚拟TCM和基于虚拟TCM的可信增强技术,提出并实现了一个基于虚拟TCM的会话认证方法,将信任链从硬件操作系统层扩展到了虚拟域的应用软件层。实验结果表明,虚拟TCM与物理TCM相结合能够有效保证嵌入式系统、虚拟域和应用程序的安全可信。     

使用SRP控制应用程序的执行-一个帮助你创建应用程序黑名单和白名单的组策略功能

组策略的软件限制策略（SRP）功能为管理员控制用户端应用程序的执行提供了一个强大的工具。本文教你如何通过散列规则和路径规则来设置应用程序白名单及黑名单,从而构建一个更加安全的应用程序执行环境。     

基于可信计算平台的体系结构研究与应用

介绍了可信计算平台的关键部件组成及其功能,描述了可信计算平台的特点和原理机制,以及目前可信计算平台的研究进展情况,分析了基于可信计算平台技术的应用前景和存在的问题,并对未来的趋势进行了展望。基于863项目“可信计算系统平台”的安全芯片研制成功,展现了可信计算的良好应用前景。     

可信计算环境构建机制研究进展

可信计算环境构建是通过软硬件结合的方式构建满足可信计算定义的系统,使其上进行的计算具有真实性、机密性、可控性等特性,并利用这些特性来弥补仅依靠传统安全防护方式的不足,从而更好地解决计算机安全面临的挑战和问题。介绍了可信计算环境构建的硬件基础,归纳了近年来基于静态可信度量根、动态可信度量根以及轻量虚拟机监控器的可信计算环境的构建机制,分析了现有可信计算环境构建机制的优势和不足;通过对可信计算环境中信任链的分析,指明了今后的研究方向。     

基于白名单的煤矿网络“白环境”构建研究

为保障煤矿智能化建设,做好煤矿网络安全防护,以国能北电胜利能源有限公司为例,通过鱼骨图剖析了煤矿企业被动式防御的网络安全现状、问题及其原因,提出基于白名单构建煤矿网络“白环境”,实现主动防御。首先,在区分黑名单和白名单机制的基础上,基于白名单化繁为简的可靠技术特性,采用沙漏模型分析了将白名单机制转变白名单理念贯穿于网络安全架构中的必要性;其次,基于白名单理念,参考网络安全等级保护2.0的防护标准,设计了基于白名单技术的网络“白环境”架构,实现纵深防御、监测预警与协同防御的目标。最后,采用PDCA理论开展网络“白环境”安全运营闭环管理,为企业发展持续提供可靠的网络安全防护。     

可信计算:不再雾里看花

早在1995年,法国的Jean-Claude Laprie和美国Algirdas Avizienis就提出可信计算(Dependable Computing)的概念。其思路是:在PC机硬件平台上引入安全芯片架构,通过安全特性来提高终端系统的安全性。可信计算平台基于可信平台模块(TPM),以密码技术为支持、安全操作系统为核心,涉及到身份认证、软硬件配置、应用程序、平台间验证     

可信计算软件构架的检测研究

介绍了TSS体系结构和TSP对象及其对象之间的关系,通过一个基于可信计算的数据密封程序,分析如何调用TPM驱动程序,如何使用驱动程序中各个对象,纵向说明了可信计算软件运行架构和过程;实验以tpm_emulator0.7.1模拟TPM芯片,验证了文件密封的过程和TSS的工作原理,展示了TPM芯片模拟、核心驱动程序、应用程序的三者之间的相互调用关系;对基于可信计算的软件编程起到很好的指导作用。     

一种可信计算平台的安全实现机制的FPGA实现

文章介绍了以可信计算技术为背景以可信计算芯片为核心的一种计算机系统安全实现方法。根据最新的TCG规范,对可信链的建立、用户身份的识别验证、完整性度量以及应用程序的授权等提出了具体可行的实施手段。最后给出了一种用FPGA实现TPM的手段。     

操作系统的可信平台安全性分析

为了增强系统核心文件检测的安全机制,提出了可信计算平台对系统保障资源的保密性、完整性和可用性。分析了Vista操作系统可信计算模块的结构和组织关系的基础,并给出了典型可信计算平台的总体结构。对该体系中的主要功能模块进行分析,其中重点以可信计算平台模块(TPM)为对象,详细阐述了可信计算平台模块(TPM)的内部结构和对系统安全性的支持。通过对可信计算内部安全属性的分析,验证了可信计算平台的安全性保障,表明了一套完整、可靠的信任传递机制,是实现这一安全特性的基础。     

嵌入式系统的安全启动机制研究与实现

针对目前移动智能平台系统面临的安全威胁,利用可信计算技术解决嵌入式系统的安全问题,是一种可行且高效的安全解决方案。在不改变现有移动设备硬件架构的前提下,提出了一种嵌入式平台系统的安全启动机制,将安全TF卡作为外置可信平台模块,构建了一条从Bootloader到上层应用程序的完整的信任链,该信任链的起点保护在安全TF卡的安全区域内,启动过程中各个组件的度量标准值由安全TF卡中的密钥签名存放。描述了该机制的实现过程,并对其安全性、效率进行了详细的分析测试。实验结果显示,该机制能够抵御针对嵌入式平台的多种攻击,有效保护嵌入式系统安全。     

基于多余度自治软构件的可信计算机制

随着网络技术的不断发展和信息化的普及,应用软件系统的可信需求越来越迫切.概括了可信计算研究的现状,针对可信应用系统在开发实施效率以及可信性控制灵活性等方面的问题,提出了构件级别的可信计算机制与评估方法,并介绍了实现该机制需要解决的关键技术,最后讨论了基于构件的可信应用系统的运行效率.该机制能够提高应用系统的开发实施效率及可信性控制的灵活性,提高系统可信性测评的效率,并且能够满足一般应用系统的效率要求.     

基于可信计算的跨网数据安全交换技术

为解决不同网络之间数据安全交换的问题,提出一种基于可信计算的跨网数据安全交换技术.分析现有数据交换方式在保护数据安全传输方面的不足,提出一种采用可信计算对系统进程、系统数据资源进行加固防护的方案.对跨网数据交换方案设计的过程进行认知和分解,基于国产化平台进行设计和实现.设计对数据文件、应用程序的保护方法和数据交换行为的审计措施,通过测试验证了该方法的可行性,验证了在跨网数据交换过程中对数据安全性保护的有效性.