移动存储设备安全管理技术的研究与实现

随着计算机技术的发展,移动存储设备的大量普遍使用,对企业敏感数据带来严重的安全隐患.本文提出一种移动存储设备的安全管理方法,通过提取移动存储设备的特征经加密处理后生成唯一的可信认证信息,当移动设备接入内网时,需通过可信认证才能按权限使用,并给出了方案的实现过程.     

基于TrustZone的可信移动终端云服务安全接入方案

可信云架构为云计算用户提供了安全可信的云服务执行环境,保护了用户私有数据的计算与存储安全. 然而在移动云计算高速发展的今天, 仍然没有移动终端接入可信云服务的安全解决方案. 针对上述问题, 提出了一种可信移动终端云服务安全接入方案, 方案充分考虑了移动云计算应用背景, 利用ARM TrustZone硬件隔离技术构建可信移动终端, 保护云服务客户端及安全敏感操作在移动终端的安全执行, 结合物理不可克隆函数技术, 给出了移动终端密钥与敏感数据管理机制. 在此基础之上, 借鉴可信计算技术思想, 设计了云服务安全接入协议, 协议兼容可信云架构, 提供云服务端与移动客户端间的端到端认证. 分析了方案具备的6种安全属性, 给出了基于方案的移动云存储应用实例, 实现了方案的原型系统. 实验结果表明, 可信移动终端TCB较小, 方案具有良好的可扩展性和安全可控性, 整体运行效率较高.     

基于PKI的无线异构网接入认证

利用PKI提出了一种新的公钥认证方案,该方案针对移动终端计算速度慢、存储量小的特点,本着尽量减少移动终端计算量、节省存储空间的原则,引入＂密钥短,安全性高＂的椭圆曲线密码体制进行加密和签名,并对加密和签名算法精心选择;采用归属方辅助证明的方法,使移动终端不传递和验证证书;移动终端和接入认证服务器之间以及各接入认证服务器间不需要预先存在安全关联;认证服务器间也不需要有相同的公钥参数,增强了系统的扩展性。     

一种基于IKE协议的移动VPN安全通信方案

实现移动终端的安全接入、移动通信的安全传输是智能移动终端普及和移动业务扩展的重要环节。以保证移动数据安全交换为目的,针对移动终端接入企业内网所面临的安全问题,提出了一种移动VPN(Virtual PrivateNetwork)通信方案。方案对IPSec VPN的IKE(Internet Key Exchange)协商流程进行了改进,能支持多因子认证和基于角色的访问控制。分析和实验测试证明了方案的安全性和可行性。     

基于TPM的移动终端接入可信网络体系结构

在介绍当前可信体系结构研究进展的基础上,提出一种基于TPM芯片的移动终端接入可信网络体系结构,给出其工作流程,并对此体系结构进行分析.分析结果表明,基于TPM的移动终端接入可信网络体系结构能够完成三元对等认证,将移动终端的可信扩展到了网络的可信,为可信移动网络的下一步研究提供了思路.     

内网终端安全检查与接入控制的设计与实现

针对信息化条件下内网安全建设的需求,从运行环境和可信接入两个层面入手,设计了终端安全检查与接入控制系统,该系统对终端计算机的运行环境进行检查和修复,直至其满足可信接入条件后才允许该终端通过802.1x认证接入内部网络,这种方法较好地实现了针对终端主机的可信接入控制。所提出的设计理念和实现方法是对内网安全防护领域很好的补充和完善,应用前景非常广泛。     

基于RFID智能卡的Android移动终端数据保护方案

针对当前Android移动终端数据加密保护方案中存在的密钥安全存储及使用问题,提出了一种基于RFID智能卡的机卡分离数据保护方案。方案使用具有密码计算功能的RFID智能卡作为密钥保护的重要组件,移动终端通过Android系统具备的NFC功能,实现对RFID智能卡的密码操作,和RFID智能卡共同配合实现对移动终端数据的双重加密保护。该方案对移动终端无特殊硬件要求,具有更好的易用性。对系统方案进行了分析、实现以及性能测试,分析及测试结果表明该方案具有较好的安全性与可行性。     

基于可信计算的移动终端身份认证方案的研究

该文针对当前移动终端的安全性问题,分析了可信计算的思想,提出了一种在可信移动平台上结合SIM卡将指纹与口令绑定的身份认证方案,并采用域隔离技术与访问控制策略,使终端安全得到了更好的保障。     

移动可信接入轻量级认证与评估协议

为增强移动终端可信网络接入认证与评估协议的可用性,降低网络通信负载及终端计算负载,提出一种轻量级的身份认证与平台鉴别评估协议。协议基于接入双方在首次接入时共享的认证密钥以及对方的可信平台配置信息,在不需要可信第三方参与的情况下,完成快速的身份认证与鉴别评估。协议减少了网络数据交换次数以及接入双方的计算工作量,在保证接入认证与评估所需的安全属性的同时,还增强了平台配置信息的机密性以及抵抗重放攻击的能力。安全性和性能分析表明,所提协议适合无线网络通信环境下的移动终端可信网络接入。     

移动网络可信匿名认证协议

针对终端接入移动网络缺乏可信性验证问题,提出一种移动网络可信匿名认证协议,移动终端在接入网络时进行身份验证和平台完整性认证。在可信网络连接架构下,给出了可信漫游认证和可信切换认证的具体步骤,在认证时利用移动终端中预存的假名和对应公私钥对实现了用户匿名隐私的保护。安全性分析表明,协议满足双向认证、强用户匿名性、不可追踪性和有条件隐私保护。协议中首次漫游认证需要2轮交互,切换认证需1轮即可完成,消息交换轮数和终端计算代价优于同类可信认证协议。     

可信移动平台身份管理框架

针对网络用户身份管理难题及现有的身份管理方案存在的不足,基于可信移动平台完整性校验、保护存储、域隔离和访问控制以及远程平台校验等安全特性,提出了可信移动平台身份管理方案和协议;构建了对应于口令、证书、指纹等认证方式的身份矩阵;实现了多种方式的身份认证、身份认证审计记录,主密钥、审计密钥、平台AIK私钥的加密存储,以及移动平台的可信验证、加密身份的还原和服务提供者身份标志的查找定位,并实现了身份信息和认证数据的加密传输;进行了安全性分析,结果表明该方案在保护用户身份信息安全的前提下,大大减轻了用户身份管理的     

针对 BYOD 的网络入口边界安全研究

近年来,云计算业务平台的广泛应用强化了研究人员对于移动设备的依赖性。员工携带自己的设备（Bring Your Own Devices, BYOD）已经成为当前移动办公的主要趋势。针对BYOD环境中的数据泄露和恶意代码等问题,提出了一种跨平台的安全解决方案。该方案应用无客户端网络准入控制方式获取终端属性,并在向量表示法的基础上,为CPU空闲率等特殊属性设计了一种动态数值型评估方式。因此,该方案能够对进入网络的移动智能终端进行准确地可信评估,将终端分别判入可信域、非可信域和隔离域,确保最终进入网络的BYOD设备处于可信状态,以实现网络入口边界安全。实验结果表明本文方案比现有方案在移动智能终端安全状态的评估和防止对数据的非法访问等方面具有更好的效果。     

基于动态策略的移动警务终端安全管控系统的设计与实现

对移动警务安全接入平台中的终端设备的安全防护问题进行了研究,提出并研制了一种基于动态策略的移动警务终端安全管控系统,整个系统由客户端、前置服务端和内网服务端组成,前置服务端和内网服务端分别部署在前置区和公安内网,客户端部署在移动终端设备上,确保在移动接入区和公安内网区有效进行物理隔离的前提下,将系统制定的各种安全策略规则下发到客户端执行,规范用户对移动终端的本地软硬件资源和网络资源的使用,实现安全威胁检测、防护及预警,对移动终端用户的违规访问、操作行为进行全面监测和上报,实现终端设备安全和行为的统一管理.     

可实现固定用户安全访问移动终端外包数据的非对称代理重加密系统

为实现固定用户安全共享移动终端的加密数据,提出了跨加密系统的非对称代理重加密系统。在该系统中,计算能力有限的移动终端使用相对简单的基于身份的加密系统,而服务器和固定用户使用较复杂的基于身份的广播加密系统。该系统基于密文转换机制,使移动终端简单的IBE密文被代理者转换成复杂的IBBE密文,同时代理者不会得知明文的任何信息。该方案的安全性可以归约到底层的IBE和IBBE方案的安全性。理论和实验分析表明,该方案可实现移动终端只需很少的资源便能让固定用户安全地共享其加密数据。     

基于数字签名和SM2算法的终端接入认证协商协议

为保证智能终端和企业内网数据中心的双向通信安全,以数字签名和国密算法SM2为基础,提出一种终端接入认证协商协议。给出安全风险和效率分析,并利用BAN逻辑进行形式化分析。结果表明,该协议在终端和企业内网数据中心实现双方身份认证,协商出一个用于后续加密通信的共享密钥,具有较高的安全性。     

泛在电力物联网可信安全接入方案

为全面提高全业务泛在电力物联网安全综合防御能力,解决目前全业务泛在电力物联网安全防护指导和终端认证机制的缺失和不足,本文提出一种泛在电力物联网可信安全接入方案。首先给电力物联网终端层设备确定一个唯一标识的指纹信息;然后结合该指纹信息,采用身份标识密码技术实现终端层设备的接入认证,阻断非法终端的接入;最后设计合法终端的身份信息安全传递机制,根据身份信息对合法终端的异常行为进行溯源。     

基于TPM的终端数据可信迁移研究

提出一种终端数据可信迁移方案以解决数据无防护地流入/流出终端所带来的安全问题。根据“全程BLP规则”对待流入/流出的数据进行安全检查,只允许符合安全策略的数据迁移,由TPM负责将其加密/解密。介绍实现框架并分析其安全性。该方案可以保证迁移数据的机密性和可控性。