软件实时可信度量:一种无干扰行为可信性分析方法

可信度量作为可信计算"度量、存储、报告"三大核心功能的基础，到目前为止仍未有有效的数学理论以及运行时（runtime）度量方法.其困难在于3点：一是如何建立涵盖不同主流"可信"定义的通用数学模型；二是如何依托数学模型构建运行时可信度量理论；三是如何将上述模型和理论映射到真实信息系统以形成可实践的实时度量方法.提出了一种基于无干扰的软件实时可信度量方法.首先，利用无干扰模型解释了各类主流的可信定义，表明无干扰模型可以作为可信计算通用数学模型的一个选择.其次，基于无干扰模型提出了一种软件实时可信度量理论，其基本思想是将系统调用视作原子动作，将软件真实行为α看做系统调用的序列，并基于α中所有系统调用所属安全域之间的无干扰关系计算软件理论上的预期行为β，得到α和β之后，利用无干扰等式判定两者之间是否存在偏差，从而实现对软件可信性的实时度量.最后，给出了实时可信度量算法，算法的时间复杂性为O（1）.原型实验结果表明了所提出的方法的有效性.     

一种软件可信分级模型

软件可信评估是软件可信研究中的一个新方向,相关的理论和方法还处在研究阶段。在分析软件可信内涵的基础上,提出了一种分层的软件可信分级模型。该模型定义了软件可信属性模型与软件可信等级,建立了软件可信证据参考模型,并描述了可信属性、可信等级、可信证据以及可信评价指标之间的内在联系。软件可信分级模型为建立软件可信评估机制提供了一种有效的方法。     

一种基于可信度量的路由器在线升级系统

本文研究了一种基于可信度量的路由器在线升级系统，由网管设备与多个路由器组成，网管设备，用于提供路由器所需的可信软件包与远程下发指令，内置有可信模块；每个路由器包括主控板与多个单板，均设有独立的可信模块与存储设备，主控板设置有设备软件管理模块，下载可信软件包并进行软件包校验；将软件升级指示下达到各单板，并收集各单板升级结果进行上报；每个单板设置有单板软件管理模块，实现单板的可信软件更新及激活；可信模块，用于可信计算以及校验；存储设备，划分为两个分区，当前软件运行的分区为主区，另一分区为备区。本文保证了全网路由器在线升级的高安全性和高可靠性要求，适用于内生安全通信网络的演进维护需求场景。     

马尔科夫可信工业控制网络可信测度研究

可信理论和技术是当前研究的一个热点,然而在针对可信系统本身的可信度测量方面的研究还比较少。针对这一问题,根据MSS通用模型,对传统工业控制网络的运行状态进行分析,建立可信工业控制网络的可用性模型;从系统的可用性方面出发,提出了对工业控制系统的可信度进行度量的一种计算方法,并通过实例进行仿真,分析结果证明了算法的可行性。     

基于证据的软件过程可信度模型及评估方法

软件可信已经是一个迫在眉睫的重要问题,但对软件可信性的评估却一直没有一个系统并且客观的标准.一些研究工作从可信证据的采集渠道入手,譬如认为有第三方测试的证据,其可信级别就高一些,而若有用户的使用反馈则可信级别就更高.这些工作在可信的客观性方面做了很好的贡献.但我们知道可信其实是一个系统性的问题,而且质量形成于过程,其证据的充分必要程度,以及对必要开发过程的覆盖程度等非常关键.本文基于软件开发过程,从过程的实体、行为以及制品三个方面提取软件可信的证据,建立了由37个可信原则,182个过程可信证据和108个制品可信证据组成的软件过程可信度模型,并给出基于本模型证据的软件过程可信评估方法,试图从开发过程的可信来建立软件产品的可信的信心.     

软件可信评估综述

软件可信评估是近年来计算机科学的一个新的研究热点和难点,对软件可信评估的研究有助于促进软件产业的振兴与发展。首先分析了软件可信评估的必要性;然后对可信评估的研究现状进行综述,主要包括体现可信的属性特征和软件可信等级的定义、软件可信评估模型、软件可信评估实现方案四个方面;同时分析了目前可信评估中存在的不足以及造成这些不足的根本原因;最后指出了可信评估的未来发展趋势。     

软件可信评估研究综述:标准、模型与工具

安全攸关软件的可信性关乎生命安全和财产保全,因此,分析评价软件可信性是否符合用户的预期(即软件可信评估)至关重要.软件可信评估从主观和客观两个方面度量软件的质量,对软件生产和应用有着重要的意义.综述了可信评估管理中涉及到的标准、模型和工具,而非关注软件度量本身.首先分析对比了软件可信性、可信评估的定义,并在研究了与可信性密切相关的软件质量的联系与区别之后,从相关国际标准、评估涉及的模型(包括质量属性模型、证据模型、分级规范等)以及软件工具支持等方面综述了软件可信评估研究工作.并且区分了这些方面中领域相关、领域无关的不同之处.目前软件可信评估已取得了一定的理论成果,并开发了若干工具辅助进行可信评估,但仍需在通用性、可伸缩性等方面有所加强.     

支持软件过程可信评估的可信证据

近年来,软件可信一直是人们争论的焦点.一种比较共识的观点认为,软件可信是软件行为符合预期的程度.质量形成于过程,显然,建立质量信心的证据也散布于过程.软件开发过程中,主体、行为和各种保障手段则是建立软件可信的基本依据.基于证据的决策和管理是现代质量理论的核心,基于证据、数据驱动的软件工程都是试图从客观数据的角度去解决问题.在国家自然科学基金等计划的支持下,从过程保障的角度提出了软件过程可信度模型,其中,证据作为建立软件可信、支持可信评估的基础要素,是模型非常重要且基础的组成部分.主要研究该模型中的证据体系,遵循完整性、必要性、兼容性和可持续性这4项原则,基于过程管理的基本要素,通过调研以及与CMMI等软件过程参考模型的对接来提炼、定义和质证模型中的可信证据,使证据具备良好的公信力和可比性;同时,增加了部分目前其他模型都没有涉及的证据来刻画对软件过程的可信增强,从而建立了一个从可信实体、可信行为、可信制品这3个目标进行可信保障、并覆盖软件过程全生命周期的证据体系.该证据体系科学、客观并具有良好的公信力,结合可信度模型的其他部分,可以实现基于证据的、自底向上的软件过程可信评估,可供软件组织广泛采用.     

操作系统内核的动态可信度量模型

动态可信度量是可信计算的研究热点和难点,针对由操作系统内核动态性所引起的可信度量困难问题,提出一种操作系统内核的动态可信度量模型,使用动态度量变量描述和构建系统动态数据对象及其关系,对内核内存进行实时数据采集,采用语义约束描述内核动态数据的动态完整性,通过语义约束检查验证内核动态数据是否维持其动态完整性。给出了模型的动态度量性质分析与证明,模型能够有效地对操作系统内核的动态数据进行可信度量,识别对内核动态数据的非法篡改。     

基于交互式马尔可夫链的可信动态度量研究

可信动态度量为保障可信计算平台的可靠运行提供了重要支撑.根据系统的可靠性、可用性、信息和行为安全性,提出了可信度量要达到的目标.当前的可信度量集中在可信功能度量上,基于交互式马尔可夫链增加性能特征指标度量,即在预期行为描述模型中,运用变迁系统模型描述功能预期,通过将体现在可靠性上的路径概率与预期的关联,获取完成特定行为...     

可信编译理论及其核心实现技术:研究综述

编译器是重要的系统软件之一,高级语言编写的软件都必须经过编译器的编译才能成为可执行程序。编译器的可信性对于整个计算机系统而言具有非常关键的意义,如果编译器不可信,则很难保证系统所运行软件的可信性。可信编译是指编译器在保证编译正确的同时提供相应的机制保证编译对象的可信性,对可信编译理论和技术的研究具有重要理论意义和实用前景。阐述了可信编译器的概念,介绍了编译过程正确性的形式化定义,对可信编译的主要研究进行了概括。在全面分析可信编译研究现状的基础上,从编译器自身可信性和确保编译对象可信性两个方面,对可信编译器设计和实现的相关理论和方法进行了分类和总结。最后,讨论了可信编译有待解决的问题和未来的研究方向。     

嵌入式TPM及信任链的研究与实现

为将可信计算技术更有效应用于嵌入式系统,结合链式与星型信任结构,提出了一种带数据恢复功能的混合式信任结构,可降低链式结构的信任损失,减轻星型结构中可信平台模块(TPM)的计算负担.在此基础上构建并实现了一种嵌入式可信平台,以内置可信度量核心根(CRTM)的嵌入式TPM作为信任根,并在其内部设计了双端口内存作为与嵌入式处理器间的通信接口.该平台在启动过程中通过CRTM验证启动程序及操作系统的完整性,利用操作系统动态拦截和验证应用程序的完整性,并在发现完整性度量值被修改时启动数据恢复功能,从而有效保证了嵌入式系统软件组件的完整性和可信启动.     

动态演化环境中可信软件行为监控研究与进展*

提出了一个软件行为监控框架,在此基础上,从软件行为描述、软件行为监测、软件行为可信管理和软件行为控制四个方面,阐述了可信软件行为监控的研究进展,分析了目前研究中存在的问题,并探讨了其未来的发展趋势。     

基于TPCM的服务器可信PXE启动方法

PXE 启动机制通过网络下载操作系统文件并启动操作系统,广泛应用于服务器网络启动。通过可信计算技术保障PXE启动过程的安全可信,防止PXE启动文件被恶意篡改,确保服务器的安全可信运行。网络安全等级保护标准要求基于可信根对服务器设备的系统引导程序、系统程序等进行可信验证。根据等级保护标准要求,提出一种基于TPCM的服务器可信PXE启动方法,保障服务器的BIOS固件、PXE启动文件、Linux系统文件的安全可信。在服务器进行PXE启动时,由TPCM度量BIOS固件,由BIOS启动环境度量PXE启动文件,由PXE启动环境度量Linux系统文件。以TPCM为信任根逐级度量、逐级信任,建立信任链,建立可信的服务器运行环境。所提方法在国产自主可控申威服务器上进行了实验,实验结果表明所提方法是可行的。     

基于进化理论的可信计算环境实现

文中对可信计算环境进行分析,提出了可信计算环境的公理系统。在综合研究了生物科学中的进化理论后给出了可信计算环境的进化方式：提出了基于用进废退的信任输入模型、基于人的选择的信任收敛模型、基于点断平衡论的信任模型;实现了基于进化理论的可信计算环境。仿真结果表明,可信计算环境的进化为可信计算的发展提供了理论依据,可以使可信计算环境适应变化的输入,并且收敛其信任值,对所有用户进行公正处理,进而高效率低代价就可以构建可信计算环境。     

具有瀑布特征的可信虚拟平台信任链模型

将虚拟化技术与可信计算相结合构建的可信虚拟平台及其信任链模型是目前的一个研究热点。目前大部分的研究成果采用在虚拟平台上扩展传统信任链的构建方法,不仅模型过粗且逻辑不完全合理,而且还存在底层虚拟化平台和顶层用户虚拟机两条分离的信任链问题。为此,提出一种具有瀑布特征的信任链模型——TVP-QT,该模型以硬件可信平台模块（TPM）为起点,在底层虚拟化平台和顶层用户虚拟机信任链之间加入可信衔接点。当信任链从底层虚拟化平台传递到可信衔接点时,由可信衔接点负责对用户虚拟机的可信虚拟平台模块（vTPM）进行度量,之后将控制权交给vTPM,由vTPM负责对用户虚拟机启动的组件及应用进行度量。该模型中可信衔接点具有承上启下的瀑布特征,能满足虚拟化环境的层次性和动态性特征,保证了整个可信虚拟平台的可信性。不仅从理论上证明了该模型的正确性,而且对实例系统的分析和讨论也表明了该模型的通用性与可行性;在Xen中对该模型进行了仿真实验,实验结果表明该信任链传递理论可以保证可信虚拟化环境在整个运行过程是安全可信的。     

基于TCM的全盘加密系统的研究与实现

基于可信计算技术中的可信根、信任链和可信存储的概念,设计并实现了一种基于TCM (trusted cryptography module)的全盘加密系统(full disk encryption system,FDES).FDES系统具有加密和认证功能,利用device-mapper(DM)提供的从逻辑设备到物理设备的映射框架机制,嵌入在Linux内核中,利用TCM芯片提供的加密、认证和存储等功能,实现对全部硬盘的透明加解密功能,从而确保了安全机制的不可旁路性和可靠性.     

可信移动终端完整信任链模型的研究与设计

分析目前移动平台信任传递存在的诸多缺陷,针对移动终端的特点及安全需求,提出了一种完整信任链模型,不仅能确保系统启动时的静态可信性,而且也能保障应用程序运行中的动态可信性.通过Dempster-Shafer原理计算信任值的方法验证分析,该模型能够有效解决信任度降低的问题,能增强平台可靠性,并且采用ARM微处理器对方案进行了实验验证.     

基于行为轨迹的软件动态可信度量

针对软件动态可信度量方法中准确性和效率较低的问题,提出了一种以编译器插桩获取软件行为轨迹的软件动态可信SDTBT模型。通过分析包含函数调用和基本块调用的C程序控制流,在GCC编译预处理过程中设计软件插桩算法,提取软件行为轨迹;模型运行时可选择基本块或函数调用作为动态可信验证的对象,提高了软件度量的灵活性和效率,同时降低了度量资源消耗。实验分析表明,该模型能够准确提取软件行为轨迹信息,有效检测基于控制流的攻击行为,相较于已有模型有较高的准确性和较低的时间消耗。     

云环境中可信虚拟平台的远程证明方案研究

云环境中如何证明虚拟平台的可信,是值得研究的问题.由于云环境中虚拟平台包括运行于物理平台上的虚拟机管理器和虚拟机,它们是不同的逻辑运行实体,具有层次性和动态性,因此,现有的可信终端远程证明方案,包括隐私CA （privacy certification authority,简称PCA）方案和直接匿名证明（direct anonymous attestation,简称DAA）方案,都并不能直接用于可信虚拟平台.而TCG发布的Virtualized Trusted Platform Architecture Specification 1.0版中,可信虚拟平台的远程证明方案仅仅是个框架,并没有具体实施方案.为此,提出了一种自顶向下的可信虚拟平台远程证明实施方案——TVP-PCA.该方案是在虚拟机中设置一个认证代理,在虚拟机管理器中新增一个认证服务,挑战方首先通过顶层的认证代理证明虚拟机环境可信,然后通过底层的认证服务证明运行于物理平台上的虚拟机管理器可信,顶层和底层证明合起来确保了整个虚拟平台的可信,有效解决了顶层证明和底层证明的同一性问题.实验结果表明,该方案不仅能够证明虚拟机的可信,而且还能证明虚拟机管理器和物理平台的可信,因而证明了云环境中的虚拟平台是真正可信的.