基于可信计算平台的可信动态客体监管系统的设计与实现

大部分安全操作系统在处理客体时,没有区分具体的客体类型,均采用统一的方法进标识,而且多数安全操作系统中采用传统访问控制方法保护的客体均是静态客体,忽略了对动态客体的保护,使得黑客或攻击者可以进行欺骗和中间人攻击,因此,安全操作系统中的动态客体并不可信.首先分析了操作系统中客体的类型,提出了可信动态客体的概念,并分析了其特点.为了防止动态客体泄露信息,提出了基于TPM的可信动态客体监管系统.一方面,该系统要求主体必须在TPM中注册,确保主体身份合法性,才能利用可信动态客体进行信息传递;另一方面,在TPM中必须存储创建该可信动态客体的属主的身份信息,以确保可信动态客体身份的合法性.最后进行了安全和性能分析,分析表明该可信动态客体监管系统可以阻止黑客利用动态客体进行欺骗和中间人攻击,防止信息泄露,为进一步建立可信计算环境提供了基础.     

可信操作系统中可信客体的研究

分析了操作系统中客体的类型,将客体分为静态客体和动态客体,然后总结了安全操作系统中对客体的处理存在的问题。在此基础路上,提出可信静态客体、可信动态客体和可信客体的概念,并分析了可信客体的特点以及与安全客体的关系。最后提出了在可信操作系统客体的可信需求。为下一步将要开展的工作奠定基础。     

基于TCM的嵌入式可信终端系统设计

针对目前各种嵌入式终端的安全需求,借鉴普通安全PC中TPM的应用情况,结合操作系统微内核技术,提出一种嵌入式可信终端设计方案,该方案基于可信根TCM,实现了自启动代码、操作系统到上层应用程序的"自下而上"的可信链传递,适用于嵌入式终端的安全应用.最后,通过设计一个试验系统,重点阐述了可信启动的具体实现步骤,并分析了因此带来的性能变化.     

可信终端动态运行环境的可信证据收集代理

可信计算的链式度量机制不容易扩展到终端所有应用程序,因而可信终端要始终保证其动态运行环境的可信仍然较为困难.为了提供可信终端动态运行环境客观、真实、全面的可信证据,设计并实现了一个基于可信平台模块(trusted platform model,简称TPM)的终端动态运行环境可信证据收集代理.该代理的主要功能是收集可信终端内存、进程、磁盘文件、网络端口、策略数据等关键对象的状态信息和操作信息.首先,通过扩展TPM信任传递过程及其度量功能保证该代理的静态可信,利用可信虚拟机监视器(trusted virtual machine monitor,简称TVMM)提供的隔离技术保证该代理动态可信;然后,利用TPM的加密和签名功能保证收集的证据的来源和传输可信;最后,在Windows平台中实现了一个可信证据收集代理原型,并以一个开放的局域网为实验环境来分析可信证据收集代理所获取的终端动态运行环境可信证据以及可信证据收集代理在该应用实例中的性能开销.该应用实例验证了该方案的可行性.     

嵌入式TPM及信任链的研究与实现

为将可信计算技术更有效应用于嵌入式系统,结合链式与星型信任结构,提出了一种带数据恢复功能的混合式信任结构,可降低链式结构的信任损失,减轻星型结构中可信平台模块(TPM)的计算负担.在此基础上构建并实现了一种嵌入式可信平台,以内置可信度量核心根(CRTM)的嵌入式TPM作为信任根,并在其内部设计了双端口内存作为与嵌入式处理器间的通信接口.该平台在启动过程中通过CRTM验证启动程序及操作系统的完整性,利用操作系统动态拦截和验证应用程序的完整性,并在发现完整性度量值被修改时启动数据恢复功能,从而有效保证了嵌入式系统软件组件的完整性和可信启动.     

一种在不可信操作系统内核中高效保护应用程序的方法

在现代操作系统中,内核运行在最高特权层,管理底层硬件并向上层应用程序提供系统服务,因而安全敏感的应用程序很容易受到来自底层不可信内核的攻击.提出了一种在不可信操作系统内核中保护应用程序的方法AppFort.针对现有方法的高开销问题,AppFort结合x86硬件机制(操作数地址长度)、内核代码完整性保护和内核控制流完整性保护,对不可信内核的硬件操作和软件行为进行截获和验证,从而高效地保证应用程序的内存、控制流和文件I/O安全.实验结果表明:AppFort的开销极小,与现有工作相比明显提高了性能.     

一种可信虚拟平台构建方法的研究和改进

为了减小虚拟环境下虚拟可信平台模块(v TPM)实例及系统软件可信计算基(TCB)的大小,同时进一步保护v TPM组件的机密性、完整性和安全性,解决传统虚拟可信计算平台下可信边界难以界定的问题,文章提出了一种新的构建可信虚拟平台的方法和模型。首先,将Xen特权域Domain 0用户空间中弱安全性的域管理工具、v TPM相关组件等放置于可信域Domain T中,以防止来自Domain 0中恶意软件的攻击及内存嗅探,同时作为Xen虚拟层上面的安全服务实施框架,Domain T可以给v TPM的相关组件提供更高级别的安全保护。其次,通过重构Domain 0中拥有特权的管理和控制应用软件,将特权域的用户空间从可信计算基中分离出来,进而减小虚拟可信平台可信计算基的大小。最后,设计并实现了新的基于可信虚拟平台的可信链构建模型。通过与传统可信虚拟平台比较,该系统可以有效实现将虚拟化技术和可信计算技术相融合,并实现在一个物理平台上同时运行多个不同可信级别的操作系统,且保证每个操作系统仍然拥有可信认证等功能。     

嵌入式可信终端TPM接口的研究与实现

针对当前嵌入式系统中存在的安全问题,提出带有可信机制的安全解决方案.给出了嵌入式可信终端的总体架构,然后分析了TPM的访问接口,最后讨论了在通用嵌入式开发平台上通过SMBus总线扩展TPM的方法,并介绍了嵌入式系统TPM设备驱动程序的设计.     

基于TPM的一种扩展结构

TCG规范了TPM结构,并据此提出了可信链的传递过程,但在实际应用中,存在着两个问题:一是BIOS先于TPM启动,TPM验证BIOS可信困难;二是可信状态二元化,只是简单地把可信状态分为可信与不可信.通过分析TCG规范中的TPM及可信链传递过程,针对可信链传递过程中的TPM难以校验BIOS和可信二元性的不足,扩展TPM形成E-TPM.通过E-TPM与BIOS的相互验证及提出可信分级来解决TPM与BIOS的相互验证和可信评估问题.     

太行安全BIOS可信体系结构与实现研究

分析了可信BIOS的安全需求,提出一种可信BIOS体系结构。使用消息摘要和数字签名技术验证系统引导阶段实体的完整性和真实性,构建了操作系统运行前的信任链。介绍了太行安全BIOS的可信部件、执行流程及其实现方法,讨论了可信测量对BIOS引导过程的性能影响。     

一个安全标记公共框架的设计与实现

标记是实现多级安全系统的基础,实施强制访问控制的前提.如何确定和实现标记功能并使其支持多种安全政策是研究的目的.提出了一个安全标记公共框架,该框架基于静态客体标记和动态主体标记,引入了访问历史的概念,并给出了一个完备的标记函数集合.基于此框架,既可以实施多等级保密性安全政策,又可以实施多等级完整性安全政策.该框架在一个基于Linux的安全操作系统中的实现结果表明,基于该框架的安全系统在保证安全性的同时,还具有相当的灵活性和实用性.     

安全操作系统中基于安全性损害分析的可信恢复

安全操作系统可能因为内部或外部的原因发生失效或中断，进而导致其安全性损害。本文首先描述了一个通用的安全模型，然后扩展此模型以描述安全操作系统中的安全性损害，并提出依据安全策略从安全审计日志中分析计算安全性损害的方法，最后给出了安全性损害相应的可信恢复算法。在消极的安全防御外，本文的研究主动保证安全操作系统的安全性，增强了安全操作系统的可靠性和可恢复性。     

Novel access and remediation scheme in hierarchical trusted network

Trusted computing technology is expected to guarantee security for network and terminal in future communication environment. In this work, we introduce the concept of trusted attribute to build a novel framework for hierarchical trusted access and feasible remediation. The categorization of trusted attribute is justified primarily in terms of the point in the boot cycle of a system at which the respective attributes are measured. The concept of trusted attribute is extended to the notion of a “trusted grade” that is granted by a new added module so-called trusted level division function. Also we give a reasonable example of dividing trusted grades. We discuss the promising applications of our presented framework and the access procedure of terminal. The simulations show that by the proposed framework, not only the security and reliability of network can be ensured, but also the flexibility of terminal to access network is improved. And that the presented framework can provide necessary supports for interoperability of different equipment manufacturers. It also can be concluded that the presented remediation framework is easy to be deployed, by which the convenient and reliable remediation services are able to be offered to those terminals without achieving the security standards of local network.     

基于操作系统安全的恶意代码防御研究述评

总结了安全操作系统实现恶意代码防御的典型理论模型,分析了它们的基本思想、实现方法和不足之处,指出提高访问控制类模型的恶意代码全面防御能力和安全保证级别、从操作系统安全体系结构的高度构建宏病毒防御机制以及应用可信计算技术建立操作系统的恶意代码免疫机制将是该领域的研究方向.     

操作系统可信增强框架研究与实现

操作系统安全增强技术是解决系统安全问题的有效手段，但无法保证系统基础可信。文章从分析可信和安全关系入手，提出可信增强概念。设计了操作系统可信增强框架，将可信机制和安全功能有机结合进安全体系结构设计中，并对实施和应用进行了研究。     

面向移动Web操作系统的BLP改进模型及应用

作为重要的机密性策略经典模型,BLP模型通过对主体和客体进行分级和标记,并引入高安全等级的引用监视器,实现信息系统的强制访问。随着移动智能终端的普及,Web操作系统因其具有移动性、移植性、高扩展性和跨平台性等优点,成为移动政务系统的主要解决方案之一,并越来越受到研究人员的重视。但现有的Web操作系统对机密性要求不高,无法满足移动政务系统对安全保密的需求。本文从安全模型构建入手,对智能终端的Web操作系统进行抽象建模,并重定义BLP模型的元素,增强主客体的访问控制以提高其机密性。鉴于BLP模型缺乏可信主体的最小权限原则和完整性约束,本文在改进的BLP模型当中重新划分主体、客体的安全级,增加可信级别标记和角色映射函数,并针对现有的Web操作系统进行模型映射,实现了最小权限原则、主体完整性约束和域间隔离机制,可有效提高Web操作系统机密性等级。     

操作系统安全增强技术中访问控制的研究

介绍了访问控制领域的研究现状,详细分析了Linux操作系统原有的访问控制机制.分析和比较了一些常用访问控制,对其存在的缺点举例说明并进行了讨论.在操作系统现有的访问控制基础上,结合基于角色的访问控制和基于进程的访问控制这两种机制的优点,提出了新型的基于角色-进程的访问控制机制,并对其进行形式化描述,从静态和动态两方面使操作系统的安全性得到加强,并指出下一步工作的任务.     

增强的无线TNC证实模型及协议设计

可信计算技术为解决无线安全问题提供了一个新的思路,无线可信接入是无线网络安全领域的研究热点。目前的可信网络连接（TNC）架构并不能够很好适应无线接入环境。通过分析TNC架构的不足,提出一种增强的无线TNC证实模型并设计模型下的相关协议。通过分析,该模型有较高安全性和效率,具有一定的匿名性,适合于无线接入环境,同时能够兼容不含可信芯片的无线终端接入。