LUCA:Lightweight Ubiquitous Computing Architecture

Lightweight ubiquitous computing security architecture was presented. Lots of our recent researches have been integrated in this architecture. And the main current researches in the related area have also been absorbed. The main attention of this paper was providing a compact and realizable method to apply ubiquitous computing into our daily lives under sufficient secure guarantee. At last,the personal intelligent assistant system was presented to show that this architecture was a suitable and realizable security mechanism in solving the ubiquitous computing problems.

基于可信计算的终端设备安全预警技术

针对现阶段终端设备安全认证和风险预测缺乏主动机制问题,引入动态白名单可信认证技术、异构化接口集成技术和智能化告警技术等关键技术,对终端设备和数据进行评估,提出粒子群优化的径向基函数神经网络预测模型对终端设备风险进行预测。最后验证该模型的有效性和可行性,为信息安全管理者提供数据参考和决策支持。

基于能源枢纽的综合能源信息物理系统安全防护架构研究

为了提高综合能源系统(IES)中设备间和能源节点间的能源和信息交互效率,降低能源生产和传输成本,实现多种能源的高效转化与灵活分配,构建了一种基于能源枢纽(EH)的集中-分布式IES架构。基于该IES模型,定义了基于子信息物理系统集群的信息物理系统,在信息侧提出了能源枢纽节点内部每个子信息物理系统运行模型以及基于子信息系统服务器的信息交互模型。计及IES中信息安全问题对系统可靠性的影响,结合不同类型能源互补、能源网络传输分配、储能和清洁能源动态接入等系统运行特性,分析了综合能源信息物理系统安全需求,并基于可信计算技术构建了一种三元三层可信安全防护架构。从各能源节点为入手点,该防护体系形成了基于节点可信、网络连接可信和应用可信的防护机制,以确保IES安全可靠运行。

基于零信任的“一机多网”云桌面设计

企事业单位内通常使用传统PC作为办公桌面终端,安全性难以保证,容易发生文件泄露、网络攻击等安全事件,同时,系统间被要求网络隔离,导致办公桌需要放置多台PC,严重占用办公桌空间,浪费成本。针对上述问题,以云桌面作为桌面终端,融合零信任的安全理念,提出一种基于零信任的“一机多网”云桌面架构,此架构在传统云桌面的基础上,使用网络隔离切换器保证网络的传输安全以及强逻辑隔离,并将公网访问端口匿名化,进一步提升桌面终端安全性,同时有效减少传统办公PC的冗余。

基于零信任架构的铁路移动智能终端互联网安全接入平台设计

基于零信任架构,设计了铁路移动智能终端互联网安全接入平台,旨在减少智能互联网终端接入铁路网络的安全隐患,提高铁路行业的网络安全水平。

6G网络架构研究进展及建议

6G网络架构的研究包括组网生态、面向高性能和能效的软硬件联合设计通信架构、云原生/算力网络和服务架构、新能力(可信安全内生和智能内生)架构4个维度。这4个维度与ITU-R IMT-2030(6G)框架文件中的场景和指导原则密切相关。对中国、欧盟、美国三方的主要研究进展分别做了介绍和对比分析,并给出了一些关于中国6G网络架构研究的建议。

物联网场景下算力网络终端安全接入研究

物联网算力网络中终端节点泛在分布,大规模泛在异构终端面临多种安全威胁。为解决泛在异构终端的安全接入问题并构建物联网算力网络终端安全保障体系,本文基于IPK轻量级标识公钥体系和零信任动态访问控制,提出了一种物联网算力网络终端安全接入方案,实现终端轻量级标识身份认证,通过最小化业务权限动态访问控制,确保只有通过严格认证和授权的终端接入物联网算力网络,保证终端业务安全访问。该方案满足了物联网算力网络终端的安全可信接入需求,可应对海量终端节点泛在分布和业务场景复杂等挑战。

基于TrustZone的可信移动终端云服务安全接入方案

可信云架构为云计算用户提供了安全可信的云服务执行环境,保护了用户私有数据的计算与存储安全.然而在移动云计算高速发展的今天,仍然没有移动终端接入可信云服务的安全解决方案.针对上述问题,提出了一种可信移动终端云服务安全接入方案.方案充分考虑了移动云计算应用背景,利用ARM Trust Zone硬件隔离技术构建可信移动终端,保护云服务客户端及安全敏感操作在移动终端的安全执行.结合物理不可克隆函数技术,给出了移动终端密钥与敏感数据管理机制.在此基础上,借鉴可信计算技术思想设计了云服务安全接入协议.协议兼容可信云架构,提供云服务端与移动客户端间的端到端认证.分析了方案具备的6种安全属性,给出了基于方案的移动云存储应用实例,实现了方案的原型系统.实验结果表明:可信移动终端TCB较小,方案具有良好的可扩展性和安全可控性,整体运行效率较高.

基于可信计算的终端安全体系结构研究与进展

基于可信计算的终端安全体系结构研究是当前信息安全领域研究的新方向。本文首先对可信计算的关键模块TPM以及若干关键技术进行了深入的分析,而后概述了几个典型的基于可信计算的终端安全体系结构,最后讨论了当前体系结构研究存在的问题和今后的研究方向。

网络环境下重要信息系统安全体系结构的研究

在阐述信息系统安全、信息系统安全体系结构的基本概念后,主要介绍信息系统安全研究内容,并对目前主流的几类安全体系结构进行对比分析;着重分析重要信息系统的特点和基于可信计算的终端安全体系结构优缺点,并在此基础上提出可信计算与安全机制相结合的方案,同时给出信息安全评估系统的安全体系结构的设计思路,为网络环境下重要信息系统的安全架构提供了一些新的思路。

加强计算机终端信息安全的两种解决方案

目前,各种信息安全问题的不断发生,证实了操作系统和信息安全管理已不能适应信息私密性与完整性的要求,并且大多数安全问题发生在单位内部。因此,人们越来越意识到终端信息安全的重要性。针对计算机终端安全问题,总结并提出了两种主要的解决方案:一是基于可信平台模块的终端信息安全体系结构;二是操作系统安全信息防护体系的设计。这两种解决方案根据各自特点,满足不同用户的需求,共同构建计算机终端安全防护体系。

操作系统可信增强框架研究与实现

操作系统安全增强技术是解决系统安全问题的有效手段,但无法保证系统基础可信。文章从分析可信和安全关系入手,提出可信增强概念。设计了操作系统可信增强框架,将可信机制和安全功能有机结合进安全体系结构设计中,并对实施和应用进行了研究。

一种基于TPM芯片的计算机安全体系结构

针对现行通用个人计算机基于开放架构、存在诸多攻击点等安全问题,提出了一种基于TPM安全芯片的新型计算机体系结构。设计并实现了基于安全芯片的软件协议栈TSS,在安全芯片中使用软件协议栈,通过核心服务API来调用核心服务模块,解决远程通信的平台信任问题。设计并实现了基于多协议的授权和认证管理,实现上层应用和TPM之间的授权会话及授权认证,从而保证计算机能够完成安全计算和安全存储的工作,使计算平台达到更高的安全性。

一种面向安全SOC的可信体系结构

提出了面向安全SOC的可信体系结构,以解决其面临的诸多安全问题,可信体系结构的核心是安全域划分和安全审核硬件单元.安全域包括可信基、安全OS、可信应用以及非可信应用,各不同安全域具有静态和动态隔离性;安全SOC中的安全规则最终由安全审核单元在硬件层面来保障.在可信体系结构基础上,讨论了怎样进行安全扩展以获得更全面的安全性,即抗旁路攻击、物理攻击、防止芯片被复制伪造以及因被盗而造成安全危害.

可信移动终端完整信任链模型的研究与设计

分析目前移动平台信任传递存在的诸多缺陷,针对移动终端的特点及安全需求,提出了一种完整信任链模型,不仅能确保系统启动时的静态可信性,而且也能保障应用程序运行中的动态可信性。通过Dempster-Shafer原理计算信任值的方法验证分析,该模型能够有效解决信任度降低的问题,能增强平台可靠性,并且采用ARM微处理器对方案进行了实验验证。

一种基于完整性度量架构的数据封装方法

封装存储是可信计算平台的一项重要功能,它能将数据的加密存储与平台状态结合起来,提供了更强的安全存储保证.但现代操作系统结构越来越复杂,各种启动项的加载顺序也相对随机;平台配置的频繁改变、软件更新及系统补丁等都限制了封装存储的应用.而操作系统级的完整性度量架构(IMA)能将信任链扩展到整个计算平台,为封装存储提供了支持.为此,基于IMA提出一种新的数据封装方法,采用相对固定的标准状态来封装,结合易变IMA度量列表和结果以及经过签名的名单策略来评估平台状态,解决了操作系统复杂性带来的配置寄存器(PCR)的值不确定性和软件更新及系统补丁带来的频繁封装问题.

安全可信智能移动终端研究

从软件方案、基于可信执行环境(TEE)方案和基于典型安全元件(SE)方案3个方面对智能移动终端安全技术进行了探讨。软件层面探讨了一般运行环境中的安全技术,基于TEE的方案探讨了TEE的系统架构、隔离技术和安全执行技术,基于SE的方案探讨了基于本地SE和云端SE的安全增强技术。认为只有将可信硬件平台和可信软件加以结合,才能为智能移动终端提供完整的安全保障。

虚拟可信平台层次化安全体系结构设计

针对虚拟化技术给计算平台带来的一些新的安全问题,提出一种以虚拟机应用安全为核心的虚拟可信计算平台安全体系结构,为计算平台建立一种层次化的可信计算基(TCB):由硬件信任根TPM/TCM支持、可信虚拟机监控器(TVMM)以及安全管理器(SM)由底至上3个层次共同组成.基于开源XEN,设计了一种可保证虚拟机(VM s)及其应用安全的虚拟可信平台实例,它支持远程证实、信息流控制、安全迁移和私密性保护等安全机制.分析结果表明,实例系统可灵活支持其上虚拟机应用实现不同安全目标.

可信计算平台安全体系及应用研究

针对终端存在的诸多安全问题,可信计算可以从系统体系结构上对终端进行根本的安全防护。文章分析了一种可信计算平台的终端安全体系,并讨论了可信计算平台的可能应用模式,对终端的安全防护能够起到一定的指导意义。

基于可信计算的终端数据分类保护

根据当前的终端数据保护面临的问题,提出一种基于可信计算和DBLP模型的终端数据分类保护方案。给出在DBLP模型下主体对客体的读、写规则,以及迁移到移动介质上的客体保密原则,避免因无法实现进程隔离而带来的信息泄露。密文集客体的安全由TPM支撑的TSS接口实现密封存储保护。