基于机载嵌入式可信计算平台的安全配置管理系统

机载嵌入式计算机作为航空领域技术含量极高的关键单元,占有极为重要的地位。为了提升机载嵌入式计算机的安全防护能力,在将可信计算平台引入到机载计算机的基础上,设计并实现了基于机载嵌入式可信计算平台的安全配置管理系统,达到对机载嵌入式可信计算机中的背书密钥、背书证书、安全策略信息、设备信息、应用证书、可信日志进行配置管理的目的,可用于解决目前飞机在维护过程中效率低、对维护人员要求高、容易引入安全威胁等问题。

轻量级身份认证及安全通信技术研究

针对资源受限且通信不稳定的嵌入式设备网络信息安全传输问题,提出了一种基于国密算法的轻量级身份认证及基于认证技术的加密传输技术。首先,对嵌入式节点进行安全度量并生成SM2数字证书。然后,通信双方可以基于生成的数字证书进行身份认证,节点认证成功后协商出通信使用的会话密钥。最后,合法节点可以使用协商出的会话密钥,使用SM4-CTR模式完成信息传输,在保障信息安全传输的同时,也保障了通信过程的健壮性。实验结果表明,技术可以防止恶意节点的非法接入,在认证完成后能够生成可用的会话密钥,以密文形式进行信息安全交互,且能以较高速率实现加解密传输。

基于VTCM的分布式可信度量方法

为实现多台协同工作的嵌入式计算机安全启动,需在每台计算机内嵌入可信计算模块,但会给资源受限的嵌入式系统带来较大的能耗与管理开销。为此,提出一种结合可信密码模块(TCM)和虚拟可信密码模块(VTCM)的分布式可信度量方法。将已安装TCM模块的嵌入式计算机作为可信基础,在其他计算机上运行VTCM与TCM模块验证配置信息以完成分布式可信度量,从而实现工作域内可信扩展。实验结果表明,该方法满足嵌入式计算机可信启动过程中的机密性和完整性要求,在嵌入式环境下具有安全并行启动的可行性。

基于远程可信度量的VTCM插件设计与实现

为了实现多台嵌入式计算机的可信启动,需要在每台计算机内都嵌入TPM或TCM芯片,但是对于资源受限的嵌入式系统而言,这会带来功耗、体积、成本的增加以及密钥和证书的管理开销。因此,提出了一种嵌入在boot中的VTCM插件。插件包含通信、验证、密码算法以及密钥和日志管理4个功能模块,通过与包含TCM硬件模块的可信嵌入式平台进行配置信息验证完成本平台的可信启动和管理密钥的生成。实验结果证明,所设计实现的VTCM插件可以有效实现嵌入式计算机的远程可信度量,同时满足嵌入式系统下的可行性需求。

机载嵌入式计算机多级安全防护体系架构研究

在体系化作战模式下,机载嵌入式计算机内部所有计算节点均面临底层硬件环境、平台运行系统、上层作战任务等各类安全威胁。同时,由于上层不同安全等级的作战任务在进行协同作战时会存在信息交互需求,这就会产生跨节点的多安全等级信息安全交互、隔离以及访问控制等问题。为了解决上述安全威胁,利用可信计算技术构建物理安全基础,以MILS架构作为软件运行环境框架,提出和设计机载嵌入式计算机多级安全防护体系架构,并对关键功能模块进行描述。