可信密码支撑平台的功能及原理

可信计算是信息安全领域的一支新潮流。可信平台模块是可信计算的重要部分,自从中国研发的TCM芯片问世之后中国的信息安全就有了更坚实的基础,可信密码模块是可信计算的重中之重。文中根据国家密码管理局正式颁布（《可信计算密码支撑平台功能与接口规范》详细介绍了可信密码支撑平台的功能及原理,并且对TCM支撑平台作了简要分析。     

嵌入式可信平台构建技术研究

为了解决嵌入式终端缺乏完整性度量和应用软件任意执行的问题,在研究可信计算技术、嵌入式可信密码模块和服务模块的基础上,通过引入星形链可信传递模型和软件签名验证机制,设计了在内核空间软件签名验证的实现方案,构建了针对嵌入式设备的可信平台体系结构。该嵌入式可信平台可保证终端的完整性和应用软件的可信启动,可防止恶意代码的破坏,有效提高了嵌入式终端设备的安全性和可信性。     

可信计算平台可信计算基构建研究

对基于PC构建的可信计算平台中可信计算基的构建方式进行了分析,指出通过逻辑方式构建的可信计算基存在被篡改和绕过的可能性,并提出了一种基于密码技术构建可信计算基的方法。该方法以可信平台模块为信任根,验证可信计算基的完整性,防止可信计算基被篡改;将系统中受控可执行程序执行解释部分加密存放,密钥存放在可信平台模块,程序的执行必须通过可信计算基,防止了可信计算基被绕过。通过分析其基本原理,验证了基于密码技术可有效构建具备完整性和唯一性的可信计算基。     

基于统一密码服务支撑平台的密码应用建设

统一密码支撑服务平台面向各行业云平台业务应用,利用国密SM系列算法和密码协议,保障系统在身份识别、安全隔离、信息加密、完整性保护、抗抵赖性等方面的密码防护,实现密码应用的合规性、正确性和有效性.     

可信密码模块中SM2引擎的系统设计

可信密码模块（TCM）是可信计算密码支撑平台的关键基础部件。给出了一种TCM中SM2引擎的设计架构,完成了模运算和椭圆曲线点乘运算的IP设计与高效实现,定义了固件应用接口,并以ELGamal体制为例完成了固件程序开发。基于两种器件工艺完成了IP设计的优化综合,结果表明与同类设计相比,在牺牲不多硬件资源的前提下,该设计运算性能有较大的提高,可集成于TCM中发挥SM2引擎的功效。     

基于USB接口密码模块的可信计算平台设计

针对普通个人计算机存在的安全风险,提出了基于USB接口密码模块建立信任链传递机制构建高安全等级PC终端计算平台的思路,梳理了基于USB接口密码模块的可信引导过程,对USB接口密码模块的软硬件体系结构设计和关键技术进行了分析。USB接口密码模块的可信计算平台的建立可以极大地降低重要应用系统的安全风险,提高通用计算机平台的安全计算等级。     

融合媒体云平台密码应用研究

随着信息化的高速发展,网络安全形势愈加严峻,融合媒体云平台面临的安全威胁日益凸显,其安全与否关系到融合媒体是否能快速健康发展。密码技术可以实现信息的机密性、完整性、真实性和不可否认性保护,是网络安全的核心支撑技术。本文分析了融合媒体云平台密码应用需求,提出了密码应用技术框架及产品部署思路。     

混合密码算法在水利信息传输中的应用

对称密码和非对称密码相结合的混合密码算法以其较快的速度和较高的强度提供了信息的完整性和保密性等功能,在基于VPN的网络安全中起着重要的作用.研究讨论该混合加密算法的实现机制,并在VC+ +6.0平台下进行编程已实现该算法.通过系统安全性分析和工程实践检验,基于AES和ECC的混和加密算法比传统的DES算法和RSA 算法具有更高的安全性,可有效地满足VPN网络对数据传输的安全需求.     

两种可信计算芯片的研究与分析

可信计算芯片是可信计算的核心部件,承担着对可信计算平台软硬件系统的完整性度量、完整性报告和可信存储等任务。目前,国外可信计算芯片大多采用国际可信计算组织的可信平台模块TPM规范,而国内可信计算芯片依据的是可信平台控制模块规范。文中从芯片的主要功能、组成结构、接入方式和工作模式等方面,研究和分析了两类常见可信计算芯片,最后讨论了可信计算芯片面临的各种挑战。     

后量子密码迁移研究

量子计算技术对传统密码算法安全性的威胁非常大。在量子计算模型下,公钥密码将被破解,对称密码和杂凑密码的安全性将减半。研究和应用抵抗量子计算攻击的密码技术日趋紧迫,美国国家标准与技术研究所（National Institute of Standards and Technology,NIST）于2022年7月遴选出4种拟标准化的候选算法。随着算法标准化进程接近尾声,后量子密码迁移活动被提上日程。就该领域展开系统性研究,归纳总结主流的后量子密码迁移问题、方案、技术和方法等,并以政务云平台系统进行后量子密码迁移为例进行阐述,为后续的密码应用迁移提供参考。     

一种面向远程证明的双向完整性报告方案

 国际可信计算组织（Trusted Computing Group,TCG）所定义的可信计算平台支持远程证明功能,即向一个远程实体证明本地平台的完整性信息,称为完整性报告。由于现有的完整性报告方案都是基于Client/Server模型,所以它们用于实现双向完整性报告时存在一些问题。为了克服这些问题,本文提出了一种面向远程证明的双向完整性报告方案。该双向完整性报告方案通过将平台身份证明密钥（Attestation Identity Key,AIK）证书的有效性验证功能和平台完整性的校验,及评估功能集中实现于网络中的可信中心,可有效地减小完整性报告双方的计算负荷和保护完整性报告双方的平台配置。此外,该双向完整性报告方案还通过设置平台组件隐私保护策略来防止完整性报告双方互相探询对方的平台配置。     

Using mobile phones to enhance computing platform trust

This paper presents a new method to enhance the trust of traditional computing device by using the popular mobile phone. We first propose a formal method to analyze the platform trust establishment process based on trusted computing technology, and the formal results reveal possible attack and suggest potential solutions. Then, we design an improved solution, in which the mobile phone is extended to support three trusted computing functions: using mobile phone as a root of trust instead of Trusted Platform Module, as a local investigator to obtain evidences from the local computing platform, and as a trusted agent to build a secure communication channel with an external entity in the remote attestation applications. Finally, to describe the feasibility and efficiency, a prototype of the trusted mobile phone is implemented and evaluated based on an ARM development board.     

一种可信计算环境下DAA协议实现方案

证明是可信计算从体系结构上保障网络服务安全的重要功能。文中介绍了TCG可信计算环境下的认证策略和以TPM为基础的直接匿名认证协议（Direct Anonymous Attestation,DAA）,分析了其特点,提出为了获得更好的应用性,对DAA协议进行基于ECC算法的扩展方案。经安全性分析证明,该方案在可信计算环境下只需有限的系统资源,可以有效提高可信网络接入的安全性与可管可控性。     

TPM安全芯片设计与实现

随着互连网的迅猛发展,对信息安全的要求越来越高,TCG组织提出了基于TPM安全芯片的可信计算平台概念。文章描述了基于TCG规范所设计的TPM安全芯片的体系结构及其核心固件功能模块,包括平台安全信任链的建立、平台身份认证实现及安全权限管理。     

可信物联网的研究

针对物联网发展中安全体系尚不完善的问题,从物联网三层技术体系架构出发,分析了可信计算在物联网安全中的应用前景,并且以RFID协议为基础,利用可信计算技术,提出了一种基于平台完整性证明的可信接入方案,并对其进行了仿真,证明了通过本方案能够建立一个可信的数据交互环境。     

基于系统行为的计算平台可信证明

计算平台可信证明是可信计算研究的热点问题.但是目前一些计算平台可信证明方案存在隐私保护和可行性等方面的缺陷.基于系统行为的计算平台可信证明模型(BTAM)在可信计算环境下,根据可信行为期望策略,将平台状态证明转化为对平台历史行为序列的可信证明,有效地避免了在准确描述计算平台状态方面的难题,保证了模型实现的可行性和可扩展性,并且不会暴露证明平台的配置信息.BTAM的原型实现和实验性能分析证明了它在防范诸如计算机病毒、木马类恶意软件攻击以及避免安全策略冲突行为等方面的安全能力,以及良好的实际安全运行效率.     

可信网络的平台认证与接入

文中首先分析出了传统网络面临的安全威胁,介绍了与传统网络不同的可信网络平台认证模型,给出了可信平台模块TPM在平台认证中的作用,提出了用可信网络模块TNM来加强接入的安全性。