基于ARM平台的可信计算软件栈的实现及应用

引言随着计算机应用的不断发展,安全威胁问题越来越严重,传统的单纯依靠软件来抵抗安全威胁往往不能解决问题。可信计算的基本思想是从芯片、硬件结构和操作系统等方面制定安全规范保证计算机和网络结构的安全。可信计算平台基于可信平台模块(TPM),以密码算法技术作为基础、安全操作系统作为核心,通过信任域的不断扩展形成安全的平台。目前市场上的TPM芯片主要应用在PC终端上,但是随着嵌入式系统的不断发展,TPM在嵌入式系统上的应用也越来越广,程序员在编写可信计算应用程序的时候,其切入点应     

两种可信计算芯片的研究与分析

可信计算芯片是可信计算的核心部件,承担着对可信计算平台软硬件系统的完整性度量、完整性报告和可信存储等任务。目前,国外可信计算芯片大多采用国际可信计算组织的可信平台模块TPM规范,而国内可信计算芯片依据的是可信平台控制模块规范。文中从芯片的主要功能、组成结构、接入方式和工作模式等方面,研究和分析了两类常见可信计算芯片,最后讨论了可信计算芯片面临的各种挑战。     

可信终端动态运行环境的可信证据收集机制

可信计算的链式度量机制不容易扩展到终端所有应用程序,因而可信终端要始终保证其动态运行环境的可信仍然困难.为了提供可信终端动态运行环境客观、真实、全面的可信证据,提出了可信终端动态运行环境的可信证据收集机制.首先,在可信终端的应用层引入一个可信证据收集代理,并将该代理作为可信平台模块(trusted platform module,简称TPM)链式度量机制的重要一环,利用TPM提供的度量功能保证该代理可信;然后通过该代理收集可信终端的内存、CPU、网络端口、磁盘文件、策略配置数据和进程等的运行时状态信息,并利用TPM提供的可信存储功能,保存这些状态信息作为终端运行环境的可信证据,并保障可信证据本身的可信性.该可信证据收集机制具有良好的可扩展性,为支持面向不同应用的信任评估模型提供基础.在Windows平台中实现了一个可信证据收集代理的原型,并以一个开放的局域网为实验环境来分析可信证据收集代理所获取的终端动态运行环境可信证据以及可信证据收集代理在该应用实例中的性能开销.该应用实例验证了该方案的可行性.     

基于可信计算平台的统一身份认证系统研究

统一身份认证将用户在不同应用中所使用的用户ID、口令等一些信息进行集中存储和管理,使用户方便、高效地使用各个应用系统。针对一般的统一身份认证系统的不足,例如未考虑到终端可信性等问题,引入可信计算技术来提供终端可信性的支持。依据可信计算技术的核心——可信平台模块(TPM)来实现计算平台的可信。它是具备密码运算和存储功能的一个小型的片上系统。通过提供密钥管理和配置管理等技术,实现计算平台的可信。     

英飞凌TPM安全芯片率先通过全球TCG和通用准则认证及英国政府的审批

英飞凌科技近日宣布。作为TPM（可信平台模块）安全芯片半导体供应商,该公司率先通过了当今最为严格的Pc安全测试。非盈利的中立标准组织TCG（可信计算组织）证实．英飞凌的TPM成功通过“TCG认证”。TCG认证是以国际安全标准“通用准则”和TCG合规测试为基础。英飞凌TPM获得的通用准则评估保证级别EAL 4＋．被认为是芯片供应商持续在Pc安全应用领域取得成功不可或缺的条件。     

基于TCM的国产可信计算机的设计

当前可信计算机研究大多是基于国外TCG的TPM技术,使用国产关键软硬件研制自主可信计算机成为必要.提出基于国产可信芯片、采用龙芯处理器、支持中标麒麟操作系统的可信计算机的设计,并从软件、硬件和BIOS设计三个方面具体阐述了设计方法.IC卡密钥加载、基于USB-Key的用户身份认证以及系统的完整性度量,共同保证了系统资源的安全可信.     

TPM安全芯片测试中FLASH数据下载方法

本文概述了TPM（可信平台模块）安全芯片在信息安全建设中的重要作用,以及TPM安全芯片的特点及测试难点,重点介绍一款TPM安全芯片在测试时FLASH数据下载的方法。     

兆日科技、握奇数据携手凤凰科技共保终端安全

日前,国内知名安全芯片厂商兆日科技以及商业安全解决方案领导厂商握奇数据与全球计算核心系统软件领导厂商美国凤凰科技(PhoenixTechnologies)达成协议,三方将与结合各自在安全市场的领先优势,共同搭建终端安全平台以应对日益严重的终端安全威胁,为用户提供切实有效的终端安全解决方案。兆日TPM安全芯片结合凤凰科技可信技术最底层的TrustedCore解决方案,可以搭建从BIOS到TPM底层固件完整的安全信任链。而握奇数据借助凤凰科技的安全软件开发工具SecuritySDK,可实现无缝集成专人专机的强大认证支持,提供国内首个同时囊括身份认证和…     

DAA 协议中平台隐私数据的保护方案﹡

针对当前可信计算平台身份证明最好的理论解决方案——直接匿名认证（DAA ,Direct Anonymous Attestation）协议中平台隐私数据（,A e ）是以明文方式直接存储在平台上很容易受到攻击的问题,基于 TPM 的安全存储功能,提出了平台隐私数据（,A e ）的保护方案。该方案根据用户的身份生成隐私数据（,A e ）的保护密钥和授权数据,利用 TPM 的安全存储功能对该保护后的隐私数据进行存储,并通过理论分析和实验验证,表明了所提方案在保护隐私数据（,A e ）的同时,对直接匿名认证协议的性能影响也不大,增强了 DAA 协议的身份认证可信。     

可信计算水有多深

可信 TCG的定义:如果网络中的行为与行为的结果总是预期和可控的,那么网络是可信的。 香港会议的定义:一个系统所提供的服务可以论证其是可信赖的。 可信计算 法国的Jean-Claude Laprie和美国Algirdas Avizienis1995年提出可信计算(Dependable Computing)的概念。其思路是:在PC机硬件平台上引入安全芯片架构,通过提供的安全特 性来提高终端系统的安全性,简单地说就是可靠性加安全性。可信计算平台基于可信平台模 块(TPM),以密码技术为支持、安全操作系统为核心,涉及到身份认证、软硬件配置、应用 程序、平台间验证和管理等内存。     

基于密码卡的虚拟化可信平台设计

虚拟化技术实现了云中硬件资源的共享,但也给主机安全带来了新的挑战。从虚拟化环境中主机系统的可信性需求出发,针对传统设计的TPM模块在虚拟化环境中性能和资源的不足,提出利用性能更高、易于灵活扩展的PCI-E接口密码卡替代传统TPM的方法。结合密码卡、虚拟化技术和可信服务功能构建一个高性能的虚拟可信平台,为虚拟平台上的应用提供可信度量、可信存储服务,从而有效地解决云端服务器的安全、可信问题。     

信息安全芯片测试中测试图形实时生成的方法

本文概述了TPM(可信平台模块)安全芯片在信息安全建设中的重要作用,以及TPM安全芯片的特点及测试难点,在测试TPM安全芯片过程中,自动下载密码时,可以根据密码算法的具体情况,采用不同的方法实时生成密码测试图形.本文重点介绍2种在测试TPM安全芯片中测试图形实时生成的方法,这2种方法从生成特定的安全算法密码到对芯片进行密码写入都是自动的、连续的、实时的.经在泰瑞达J750测试平台上实现一款信息安全芯片量产测试,证明了这2种方法是可行性的,高效的.     

移动自组网中基于动态第三方的可信公平非抵赖协议

由于移动自组网Manet(Mobile Ad-hoc Networks)是一个无中心的网络且不存在值得信任的结点,传统的公平非抵赖协议因需要一个固定可信第三方TTP(Trusted Third Party)而不足以保证Manet的高效性和安全性.本文在可信平台模块TPM(Trusted Platform Module)的安全体系结构基础上提出了一种Manet中基于动态第三方的可信公平非抵赖协议,以取代固定TTP,提高协议效率,并运用TPM完整性度量技术和DAA(Direct Anonymous Attestation)远程认证技术,保证证据可信.最后利用Event B对该协议进行形式化建模,证明其有效性和公平性.     

移动终端高安全可信计算平台架构

针对移动终端日益增长的高安全等级业务需求,提出一种基于可信赖平台模块(TPM)芯片的面向移动终端的高安全、高可信计算平台架构。基于当前多种移动终端可信功能拓展架构,提出了TPM芯片在移动终端可信链路中发挥核心作用的软硬件集成方案;进一步设计了集成TPM芯片的原型平台,对移动终端的高安全可信属性进行原理验证,并对此可信计算平台进行了要点分析。     

TPM安全芯片设计与实现

随着互连网的迅猛发展,对信息安全的要求越来越高,TCG组织提出了基于TPM安全芯片的可信计算平台概念。文章描述了基于TCG规范所设计的TPM安全芯片的体系结构及其核心固件功能模块,包括平台安全信任链的建立、平台身份认证实现及安全权限管理。     

基于TPM的CPK信息安全认证研究

针对当前信息安全认证中存在的终端可信问题,提出基于TPM的CPK信息安全认证技术,从而实现从终端平台到上层应用的环境可信。首先介绍TPM及其功能和CPK认证技术,然后为基于TPM的CPK认证技术体系构建了总体技术架构,通过对TPM的结构进行改进,使其功能得到了增强和封装,并为该认证技术设计了相应的认证流程,最后以飞行器应用程序的升级为例,对该认证技术的认证过程进行了具体说明。     

基于TPM的可信集群系统设计与实现

集群系统既有分布式系统的特点,又有单一系统的特征。由于传统集群计算节点缺少可信计算平台的支持,集群作为一个单一的系统缺少可信安全技术的支持。作为一个分布式系统,其可信安全机制和信任链传递机制又很不同于单机系统。在TCG可信计算的规范和可信链的基础之上,提出了可信集群的构架,构建了基于TPM的可信集群,实现了基于可信集群架构的可信集群系统。针对集群中的应用,对所实现的可信集群系统如何解决集群中的可信安全问题作了探讨和研究。     

增强可信计算平台模块的可信度

为建立安全的计算环境,TCG提出了可信计算系统,目前已经逐步得到广泛的认可和应用。TPM作为TCG组织推出的可信计算平台的可信“根”和核心,起着最重要的作用。文章通过分析现有TPM存在的一些安全隐患,可以找到一些办法并增强TPM的可信度。     

一种可信计算平台及信任链传递验证方法

信任链是可信计算机系统的重要部分,它保证计算机系统从可信源头至系统各组件的可信,但存在信任链建立过程的信任度逐层衰减问题。文中通过可信平台控制模块授权CPU进行链式度量,同时TPCM尾随CPU对信任链进行实时的、随机的和分块的度量,然后在平台信任链中嵌入检查点,统计并检查各块运行时间,从而判断各信任节点是否被篡改。该方法提高了信任链建立和验证的实时性,尤其可以防御针对信任链的时间差攻击。     

计算机、外设、网络设备

Densitron集成TPM的嵌入式单板机 Densitron公司选用Atmel的TPM(可信赖平台模块)来 提高其新产品线中硬件的安 全性。DPX - 114 和 DPX - 1 1 5 产品采用A t m e l 的 AT97SC3201　TPM 芯片。这 一安全模块可以提供RSA 加 密 / 解密、安全密钥存储和SHA(安全扰乱算法)等存储。这些功能可以服务于多种不同的与安全相关的任务,包括将软件与硬件平台实现连锁、防止软件篡改以及盗版、管理数字化版权和证书执照,从内部以及在网络上保证数据交换的安全性。据称DPX-114和DPX-115 是首批采用集成TPM 的嵌入式…