浅谈基于CPK的可信认证

文章讨论了认证的相关技术,介绍了CPK（Combination of Public Key,组合公钥）原理,分析了CPK标识认证算法应用于可信计算、可信连接和可信交易这3个可信世界中需要提供可信认证的主要环节的技术优势。分析表明,CPK在提供高可信基础的同时,也提供高效安全的可信控制和服务。     

基于USBkey的可信平台模块的研究与仿真设计

本文在介绍TPM的结构和功能基础上,重点分析了TPM的密钥管理和认证机制,针对目前我国政府部门可信计算机改造的现状提出一种在USBkey上仿真实现外挂可信平台模块的设计思路,并给出了仿真实现可信平台认证的设计方案,对我国实现自主可控的可信终端改造进行了探索.     

操作系统可信增强技术研究

可信计算是当前信息安全技术的一个研究热点。通过描述可信性的定义,分析可信计算的发展与现状,全面阐述了操作系统的可信体系结构设计技术、可信链设计技术、远程升级与更新设计技术及故障检测与处理设计技术等可信增强技术,较好地解决了当前计算机系统存在的安全问题。     

复杂路由环境下的集中式双栈可信认证模型研究

研究了构建面向复杂网络环境下的IPv4/IPv6双栈的可信安全认证机制,以构建一个适用于有线无线的统一的双栈可信接入控制平台,用以提供统一的身份认证、授权及记账等安全服务,使得IPv6应用推广与部署更具可扩展性及安全性,也为运营商的IPv4/IPv6双栈服务提供可信接入控制手段,并实现与现有运营系统的松散耦合对接,以完善其运营体制.     

一种混合交叉认证的平台兼容性方案

参考基于桥CA的交叉认证模型,提出一种混合交叉认证方案,引入复合证书和第三方可信验证机构TVA,为采用不同证书体制的信任域映射证书策略,为基于不同公钥算法的可信计算平台验证证书链,建立信任关系.仿真实验表明,该方案可实现平台兼容且易于实现.     

基于ProVerif的可信平台模块安全分析

可信平台模块是可信计算技术的关键部件,其安全性直接影响可信评估的结果。使用演算对可信平台模块进行了形式化建模,并利用该模型对模块中的密钥签署命令进行安全性分析。最后,经模型自动化分析工具ProVerif的验证发现了该命令存在的安全漏洞。     

可信云服务

针对云计算环境中单个计算节点可信性问题以及虚拟机迁移过程中多个节点间信任关系保持问题,基于我国可信计算技术的可信平台控制模块（trusted platform control module,TPCM）提出了一种可信虚拟执行环境构建方法.该方法通过将国产可信根TPCM虚拟化为云中的每个虚拟机生成了虚拟可信根,并将云信任链从物理层传递到虚拟层,实现了单个计算节点可信执行环境的构造;针对云虚拟机的动态迁移特性,基于多级认证中心设计了适合虚拟可信根迁移的证书生成及管理机制,并提出了一种虚拟可信根动态可信迁移方案,保障了迁移过程中信任关系在多个节点间的保持.实验结果表明：该方案能构造虚拟可信执行环境,实现虚拟可信根的动态可信迁移.

     

嵌入式可信终端认证原型的研究与实现

针对目前终端面临的安全隐患,利用可信计算思想,提出了嵌入式可信终端认证原型的设计方案。该方案将口令、生物特征、证书机制和可信认证机制相互融合,构建出用户、终端和应用三层次嵌入式可信终端认证原型,并对可信终端的硬件环境构成、可信引导和可信认证等问题进行了深入分析。该原型对TCG定义的TPM功能进行了扩展和应用,可为嵌入式终端平台提供可信的计算环境。     

一种可信局域网计算环境原型系统的实现

局域网作为网络拓扑的基本构成单位,其安全问题显得尤为重要。可信计算相关研究的兴起,为可信局域网理论与实践的探索提供了新的契机。本文提出一种可信计算环境的研究框架,将实体、行为及可信规则作为可信计算环境的三要素,以研究可信的单机计算环境及可信的局域网计算环境;提出一种可信的局域网计算环境架构,设计并实现此架构的一个原型系统。     

可信的智能卡口令双向认证方案

提出一种基于智能卡的可信双向认证方案,使用散列函数认证身份,采用远程证明方法验证平台可信性.该方案支持安全会话密钥协商,支持用户身份匿名及口令自由更换,服务器平台证书可更新.分析表明,该方案可以抵抗针对智能卡口令认证方案的常见攻击,安全高效,满足安全设计目标.     

可信计算环境证书机制中SKAE扩展项的分析

当前普遍使用的公钥证书无法证明密钥的安全性与有效性。利用主题密钥证言证据SKAE(Subject Key Attestation Evidence)X.509 v.3证书扩展项可以向校验方声明密钥受到可信平台模块TPM(Trusted Platform Module)的管理,从而保证了密钥的安全性与有效性。文章首先分析了SKAE扩展项的主要数据结构并指出了含有SKAE扩展项的公钥证书与其它TCG证书的异同点,然后给出了申请一张带有SKAE扩展项证书的详细流程,最后基于安全套接字层SSL(Secure Socket Layer)协议说明带有SKAE扩展项的证书的校验过程。     

构建可信计算网络的研究

本文重点分析了可信计算和可信计算网络的体系结构,并在此基础上提出了构建可信计算网络的几点思路.     

无可信中心的门限身份认证方案及其博弈分析

提出了一种在无可信中心的情况下由组中成员共同颁发证书的安全门限身份认证方案.该方案利用门限的思想,从n个认证参与者中选取七个参与者依次对待验证者颁发子证书,当待验证者接到七个子证书时可以合成最终的证书.该方案还提出了惩罚机制,并将该机制运用到协议中.该方案将认证过程分为初始化阶段、密钥生成阶段、子证书生成阶段、证书合成阶段和证书验证阶段,并在标准模型下对各个阶段进行了安全性的博弈分析,表明该方案是健壮、安全的.     

可信计算平台关键机制研究

在可信计算平台的概念和技术的基础上,文章对可信计算平台的几个关键机制进行了深入分析,给出了这些关键机制的基本原理,最后,提出了基于上述可信机制的可信软件保护模型,并对模型进行了实例分析。     

基于FPGA的可信平台模块攻击方法

为测试可信计算平台的安全性,提出了一种使用现场可编程门阵列(field program gate array,FPGA)搭建监控平台,针对可信平台模块被动工作模式的特点,采用监听、篡改和伪造输入数据等手段对可信平台模块进行攻击,达到攻击可信计算平台的目的.实验结果证明,现有可信计算平台存在中间人攻击的安全隐患.     

基于可信计算的口令管理方案

针对现有口令管理方案抗攻击能力和易用性方面的不足,提出了基于可信计算的口令管理方案. 该方案借助可信平台模块的密钥管理、安全存储和授权访问控制等关键技术实现了口令管理中敏感数据的安全保护,增强了口令计算过程的安全性. 通过与现有方案的对比,分析了该方案的安全性和易用性. 分析结果表明,本文的方案提高了口令的强度和易用性,并且能够抵抗网络钓鱼攻击.     

基于可信计算的网络信任管理系统

对可信计算平台的应用和实施作了初步探讨,指出可信计算平台应用的基本目标就是要把信任链延伸到网络上,并构建网络信任管理系统.基于网络信任管理系统结合信息保密网的应用给出可信计算平台的应用方案.在研究整体信任解决方案后,使用信任延伸模型计算信任值.此方案在广东工业大学研究生管理系统中得到了应用. 更多还原