基于KVM的可信虚拟化架构模型

针对云计算安全中的虚拟化安全问题, 提出一种可改善虚拟化安全问题的可信虚拟化架构. 该架构通过在模拟处理器中添加虚拟可信平台模块, 在操作系统中添加可信平台模块驱动, 构造一个从底层基础架构到上层应用服务的可信架构. 该架构在虚拟化平台服务器中融合了可信平台模块, 可有效解决虚拟化平台服务器的安全性
问题.     

一种面向安全SOC的可信体系结构

提出了面向安全SOC的可信体系结构,以解决其面临的诸多安全问题,可信体系结构的核心是安全域划分和安全审核硬件单元.安全域包括可信基、安全OS、可信应用以及非可信应用,各不同安全域具有静态和动态隔离性;安全SOC中的安全规则最终由安全审核单元在硬件层面来保障.在可信体系结构基础上,讨论了怎样进行安全扩展以获得更全面的安全性,即抗旁路攻击、物理攻击、防止芯片被复制伪造以及因被盗而造成安全危害.     

基于可信BMC的服务器安全启动机制

服务器启动过程涉及到CPLD、BMC、BIOS等关键部件,任何一个环节没有保护,都将带来安全隐患。将服务器的启动过程纳入到可信计算体系中进行保护,能够防止关键硬件替换、软件篡改、服务器带外攻击等问题。服务器主板上的可信芯片在服务器启动阶段主动对可信BMC引导层进行验证,保证其处于正常工作状态。可信BMC能够根据用户既定策略,对BM C操作系统层进行完整性度量,并实现对BIOS的主动度量,确保BIOS镜像的完整无误。BIOS将对服务器关键软硬件进行度量,最终构建完整的信任链,为服务器提供可信计算环境的支撑平台。该机制已经基于昆仑BMC进行了相应验证。     

一种指纹特征识别的可信验证数字签名系统

针对云计算定制和交付两个出入口的安全问题,提出一种以可信云安全计算为支撑,基于传统密码学数字签名技术,设计了以生物指纹特征为可信计算的验证数字签名技术模型。首先利用二值化和细化算法生成1个像素宽度纹线的指纹图像数学模型框架,提取框架中的指纹特征点,进行数字指纹特征点的拓扑结构等价变换,并进行非对称加密,实现了基于指纹特征识别的可信验证数字签名信任根。结果表明该方法具备生物特征"零知识"验证特点,具有抗攻击性强、加解密运算速度快的优势,从而提高可信云-端的用户安全防御能力。     

可信云计算研究综述

云计算具有高性能、服务化、弹性伸缩、环境友好等优点,已经成为广泛采用的新型IT基础设施。资源外包与资源租赁的服务化本质,导致安全与隐私需求尤为突出,传统安全技术方案无法有效满足云计算的安全需求。为此,近年来学术界和工业界实现了一系列的安全改进和创新,试图用自底向上的思路解决云计算中的各类安全问题,构建可信云体系架构,以期实现云计算的安全可信。本文围绕云计算环境面临的安全威胁展开讨论,给出了当前主流的可信云计算实现思路与关键技术,讨论了相关工作的优势与不足,并对可信云计算的发展方向进行了探讨。     

数字资源交易可信计数系统的设计

客观可信的交易数据是数字资源交易系统应用的重要基础．文章设计了一种基于可信计算的数字资源交易计数系统，应用密码技术实现内容安全和通信安全，应用代码验证技术实现代码完整性，保证交易数据的完整、机密和不可篡改．文章描述了该系统的总体框架、功能模块和安全机制．     

一种支持多域访问的可信云终端设计

为了通过单台物理终端同时运行不同安全等级业务系统、多域访问不同安全等级云服务,综合利用虚拟机技术和可信计算技术,提出了一种可信云计算环境下的多域访问终端解决方案.该方案通过可信密码模块(TCM)虚拟化和信任链传递机制实现可信环境的构建,利用Hypervisor多级安全访问控制框架和多域通信管理保证多级安全云服务的隔离和多域并发访问.实验结果表明:该方案是可行和有效的,可以为多域访问提供基础平台的支撑,同时可信机制给系统带来的性能损耗相对较小,可以满足实际应用过程中的性能需求.     

可信环境下的WLAN接入认证方案

在第3版WLAN鉴别基础设施(WAI)协议的基础上,提出了基于预共享密钥模式和基于证书模式的可信环境下的WLAN接入认证方案.实现了站(STA)和接入点(AP)之间的双向用户认证和平台认证,且与第3版WAI协议后向兼容,其中鉴别服务器(AS)负责STA和AP的用户证书验证、平台证明身份密钥(AIK)证书验证和平台完整性评估,STA和AP的存储完整性度量日志(SML)是利用数字信封技术加密传输给AS的,从而有效地解决了可信WAI(TWAI)所存在的问题.此外,利用针对于可信接入认证协议的串空间模型,证明了它们是安全的.     

TPCM主动防御可信服务器平台设计

提出一种基于服务器的三阶三路主动防御方法.该方法在保持原有设计的基础上,利用服务器主板已有的接口进行扩展设计,达到服务器基础平台防篡改和防攻击的目的.该方法确保可信平台控制模块(trusted platform control module,TPCM)可信根首先上电,度量启动代码及环境的可信性和完整性,并在服务器启动过程中进行可信链的传递.若检测到启动程序和配置数据或平台环境遭受攻击,则根据预先写在TPCM内部的安全策略让服务器进入受控非可信工作模式或阻止其上电等.操作系统加载后,运行应用软件过程中,实时动态保持计算机的可信运行环境,直至系统关机.实现服务器基础平台的全生命周期主动防御.     

可信DRM中直接匿名认证的应用研究

数字版权管理(DRM)技术一直致力于数字内容的保护,特别是防止售后非法使用.而所依靠的密码学保护措施很容易被攻击和破解.为了在硬件方面加入保护,可信DRM引入了TPM安全芯片,借助TPM在身份认证、许可授权等方面加强保护.为了解决身份认证时用户隐私泄露的问题,可信DRM采用了直接匿名认证协议.在此基础上提出了基于零知识认证和ElGamal算法的双随机数签名的改进方案,并介绍了该方案在可信DRM中是如何应用的.最后经过分析得出该方案在安全性和匿名性方面都有所提高.     

云计算安全认证与可信接入协议研究进展

随着云计算技术的蓬勃发展,越来越多的终端用户在云端使用计算资源、存储资源和其他网络资源,产生了大量的云服务访问认证请求.通过对用户及终端的可信认证保障云接入安全,已成为解决云计算安全问题的重要途径.文章综述了云计算环境下的主要安全问题,以及终端用户认证和可信接入方法、机制和安全协议等,展望了未来在云接入和认证安全方面的主要研究方向.     

基于可信计算的移动平台设计方案

在深入研究现有可信移动平台设计方案和TCG移动可信模块相关技术的基础上,提出了带有移动可信模块的可信移动平台设计方案.平台采用基带处理器和应用处理器分离的结构,利用移动可信模块构建了以应用处理器为中心的可信区域,为移动平台提供受保护的计算和存储空间,提高了移动平台的安全性、灵活性和可靠性.分析了现有可信移动平台安全引导过程安全漏洞,提出了改进的安全引导过程,并通过谓词逻辑对改进的引导过程进行了正确性验证.     

面向老人迟滞性特征的可信情感计算

根据老人认知心理特征中的迟滞性特征,结合基于Gross认知重评的情感计算模型,考虑迟滞性特征对个体情感状态转移的影响,在认知重评参数的基础上,建立迟滞性因子,对当前情感状态下的认知重评能力进行修正,从而对情感计算模型进行有效的修正,使人机交互更加自然和谐.为了实现情感计算模型的可信,结合现场可编程门阵列硬件平台和高级加密标准密码算法对情感计算模型中的老人情感信息进行加密处理,实现情感计算过程中的数据可信.采用可编程片上系统技术在现场可编程门阵列芯片EP4CE115F29C7中搭建功能实现所需的所有硬件组件,结合硬件组件编写逻辑程序并实现高级加密标准密码算法,在情感计算过程中实现数据的实时传输和安全处理,实现可信的情感计算.最后实验结果表明受到迟滞性特征影响下的情感计算模型与老人的真实情感具有高度一致性,且可信计算有助于提升老人的正向情感状态.     

安全可信的电子印章体系与关键技术研究

电子印章作为法定物理印章在网络空间中的延伸,具有同等的法律效力。进入"互联网+政务服务"的新时代,电子印章在政务管理和社会治理中的作用已得到国家的高度认可。然而,当前电子印章还面临缺少权威根节点、互信互验以及统一监管的需求和挑战,亟需顶层设计。基于对电子印章的系统性分析,首次提出了信息化电子印章和法定安全可信印章分类,完善了具有兼容性的电子印章数据格式和协议设计,创新性地设计了"公安体系化制章,社会服务化用章"的电子印章新架构,提出了印章载体USB-Key签章模式、印章集中服务签章模式、骑缝章技术、批量签章技术、移动终端云签技术、信息化印章升级技术等应用模式与关键技术,对国家电子印章体系的规划建设及相关产品的研制具有重要的参考价值。     

为国产软件打上“安全可信”标签

正科技进步奖特等奖:"面向重大工业装备核心控制软件的安全可信保障技术及应用"从神舟七号到风云四号,仅空天领域,该项目技术就已在50余个航天任务中成功应用。5月19日,由华东师范大学牵头,华东师范大学软件工程学院创院院长、中国科学院院士何积丰作为第一完成人的"面向重大工业装备核心控制软件的安全可信保障技术及应用"项目获得2019年度上海市科技进步特等奖。如今,我们正处在一个万物互联的时代,电力运     

基于过滤机制的Web服务可信远程认证

针对目前可信认证方案在认证效率和具体应用上的不足,提出了基于虚拟机的可信认证方案,并对Web服务器提出具体的认证策略,通过实验证明这种策略是可行和有效的。     

大数据场景下基于可信社团的服务推荐

为实现大数据场景下高效、可信的服务推荐,将社交网络理论和信任理论的研究成果有机融合,提出了大数据场景下基于可信社团的服务推荐方法.首先,利用现有的信任模型理论研究成果建立用户间的信任关系,计算用户对服务提供者的信任度;其次,在大数据场景下利用信任关系构建用户可信社团,确定社团中新用户的加入、甄别并删除恶意用户的方法;最后,在构建的可信社团基础上,利用MapReduce框架提出大数据场景下的基于可信社团的服务推荐方法.仿真实验结果表明:提出的方法适用于大数据场景,与传统的服务推荐方法相比,具有更好的性能.     

Web环境下对可信网络连接的扩展研究

0引言可信网络连接(TNC)是近年来出现的一种网络访问控制(NAC)技术.传统的NAC系统主要集中于鉴别机制,也就是说,禁止非授权的设备接入局域网.然而,当安全状态比较可疑的网络设备请求连接入网时,它们却做不到禁止其连接.当网络设备处于不合适的安全状态,如没有安全更新、没有合适的防病毒软件或个人防火墙软件,它们就会威胁服务器和同一网络中其他工作站的安全.     

基于可信密码模块的远程证明协议

可信密码模块是以我国研发的密码算法为基础,结合国内安全需求与产业市场,借鉴国际先进的可信计算技术框架与技术理念自主创新研发的.本文中首先对可信计算平台密码技术方案和国际可信计算组织规范在密码算法、授权协议和密钥管理等几方面进行了比较.基于可信密码模块,提出的基于隐藏属性证书的远程证明方案,用属性证书代替平台配置信息,不仅能有效防止隐私性的暴露,而且可以在系统升级和备份过程中完成可信检测,提高了实现的效率.     

GENI、FIND和CNGI、高可信网络的关系与发展

在探讨分析当前Internet网络体系结构面临的主要问题及其局限性的基础上,展示了变革现有网络架构的部分主要目标,介绍了GENI、NeTS-FIND和我国CNGI、高可信网络重大项目,最后分析论述了GENI、FIND和CNGI、高可信网络的关系,同时对我国发展未来网络技术的前景进行了展望.