BBACIMA:A Trustworthy Integrity Measurement Architecture through Behavior-Based TPM Access Control

Two limitations of current integrity measurement architectures are pointed out： （1） a reference value is required for every measured entity to verify the system states, as is impractical however; （2） malicious user can forge proof of inexistent system states. This paper proposes a trustworthy integrity measurement architecture, BBACIMA, through enforcing behavior-based access control for trusted platform module （TPM）. BBACIMA introduces a TPM reference monitor （TPMRM） to ensure the trustworthiness of integrity measurement. TPMRM enforces behavior-based access control for the TPM and is isolated from other entities which may be malicious. TPMRM is the only entity manipulating TPM directly and all PCR （platform configuration register） operation requests must pass through the security check of it so that only trusted processes can do measurement and produce the proof of system states. Through these mechanisms malicious user can not enforce attack which is feasible in current measurement architectures.

基于TPCM的主动动态度量机制的研究与实现

为了实现对系统的主动度量和控制,国内研究人员提出了基于可信平台控制模块(TPCM)的双系统并行体系结构,但受限于硬件设计和制造能力,短期内难以完全实现。文章基于当前可信硬件基础,在保留主动度量能力的前提下对双系统体系结构进行了简化,基于可信平台控制模块设计并实现了系统运行中的主动动态度量机制,保障可信软件基(TSB)在完整运行周期中均能得到可信硬件的保护,有效解决了信息系统运行过程中可信软件基的自身安全保障问题。文章对主动动态度量机制的安全性进行了形式化证明,分析了各环节中可能受到的攻击及应对方案,并对核心技术进行了工程实现和测试分析。

TPCM可信平台度量及控制设计

提出一种可信平台控制模块(trusted platform control module,TPCM)平台度量及控制实现方法.该方法在保持主板原有设计的基础上,利用计算机主板已有的接口进行扩展设计,以TPCM为信任根对计算机平台进行可信度量.结合电源控制的实现,该方法可以从根本上解决计算机启动环境不可信问题.该方法在确保启动代码的可信性和完整性基础上,通过启动代码中植入的驱动及保护策略对启动环境进行检查确认.若检测到可信环境遭受破坏或设备固件代码被恶意篡改,则根据预先写在TPCM内部的安全策略进入非可信工作模式或阻止计算机继续启动等.该方法设计的TPCM对计算机有自主的、绝对的控制权.极端情况下可以采取关闭计算机、切断电源等绝对性保护措施.该方法不但可靠有效,而且实现成本低廉,安装简单.

基于TPCM可信根的可信网络连接设计与实现

可信连接作为可信计算理论的重要组成部分,是实现信任在网络上传递的核心技术,在不同的产品和应用场景中有不同的实现方案。设计并实现了一种基于TPCM可信根的可信连接技术架构,通过TPCM在系统运行过程中对系统环境进行主动度量,实现平台的基础可信环境,并将度量结果报告进行签名,标识平台当前环境的可信状态,由此实现对通信双方身份的识别和可信验证,减少非法网络连接,使整个系统具备主动免疫防御能力,实现对未知威胁的有效防护。

基于TPCM可信根的主动免疫控制系统防护设计

目前针对工业控制系统的安全风险与日俱增,传统“封堵查杀”的防护技术难以有效应对当前所面临的安全威胁,急需一套更适合工控系统环境的安全解决方案。结合我国自主创新的可信计算3.0关键技术,提出一种基于TPCM可信根的适用于工业控制系统的主动免疫防护方案,通过对关键节点的可信构建使工业控制系统防护更加透彻,安全处理融洽一致,为工业控制系统构建主动免疫防御能力,使之能够有效识别和防御未知威胁。

可信计算中信任链建立的形式化验证

为了对可信平台控制模块的信任链建立过程进行理论验证,在对基于可信平台控制模块(trusted platform control module,TPCM)的信任链建立过程进行抽象处理的基础上,给出了抽象模型中各个实体状态的进程代数描述,并利用进程代数的公理系统做了形式化验证.验证的结果表明系统具有期望的外部行为.

基于贝叶斯网络的可信平台控制模块风险评估模型

对可信平台控制模块(TPCM)的风险进行了分析,针对其特点和风险定量评估要求,提出了基于贝叶斯网络的TPCM风险评估模型。在对影响TPCM可信性的风险识别的基础上,根据风险之间的相关性,建立了贝叶斯风险评估网络模型;基于专家评价数据,进一步运用贝叶斯网络推理工具定量评估风险的发生概率及其影响,评估风险强度并对其进行排序,以确定整个TPCM中各风险的控制优先级。最后通过实例分析验证了该模型的有效性。

分布式环境下可信使用控制实施方案

当前分布式环境下,数据分发后产生了多种新的安全需求,传统的访问控制模型早已无法满足实际需要.因此,基于新型的使用控制模型UCON和可信计算技术,针对分布式环境下的信息安全需求,构建了一种通用的、可协商的可信使用控制架构TUC(trusted usage control).该架构利用硬件信任根TPM实施使用控制,引入策略和密钥协商机制,保证数据分发、传输、存储和使用控制过程中的机密性、完整性、可控性.此外,通过使用控制策略与分发数据的绑定,TUC的使用控制实施不会局限于特定的应用环境,增强了方案的通用性.针对原型系统的性能测试表明,TUC的表现达到了预期,为分布式环境下的访问控制实施提供了可行的解决方案.

面向可信移动平台具有用户可控关联性的匿名证明方案

针对可信移动平台(Trusted Mobile Platform,TMP)远程认证方式中直接匿名证明方案存在的性能瓶颈、R攻击以及跨信任域问题,提出了一种新型的具有用户可控关联性的匿名证明(Anonymous Attestation with User-controlled-linkability,TMP-UAA)方案.通过引入可信第三方CA构建了方案的模型,该模型可以有效解决传统直接匿名证明设计中存在的R攻击和跨信任域问题,且易于部署实现.根据提出的方案模型,首先利用Paillier加密系统及可验证加密技术设计了一个安全两方计算协议,该协议用于实现TPM-UAA方案中的Join协议;其次运用该协议并结合提出的l-MSDH假设和XDH假设给出了方案的具体设计;然后在随机预言模型下对方案的安全性进行了证明,证明表明该方案满足用户可控匿名性以及用户可控可追踪性;此外在性能方面与现有直接匿名证明方案相比,该方案具有更短的签名长度以及更高的计算效率;最后阐述了TPM-UAA方案在可信移动环境下的跨域证明,该证明避免了传统直接匿名证明存在的跨信任域及R攻击问题.

基于函数级控制流监控的软件防篡改

软件防篡改是软件保护的重要手段。针对由缓冲区溢出等攻击导致的控制流篡改,提出一种基于函数级控制流监控的软件防篡改方法。以函数级控制流描述软件正常行为,利用二进制重写技术在软件函数入口处植入哨兵,由监控模块实时获取哨兵发送的软件运行状态,通过对比运行状态和预期值判断程序是否被篡改。实现了原型系统并对其进行了性能分析,实验结果表明,基于函数级控制流监控的软件防篡改方法能有效检测对控制流的篡改攻击,无误报且开销较低,其实现不依赖程序源码,无需修改底层硬件和操作系统,监控机制与被保护软件隔离,提高了安全性。

基于TPM的资源共享模型及访问机制

传统的资源共享模式存在资源本身的不安全和过于简单的访问控制等问题,从而造成共享资源的恶意泄露.基于此,本文在传统资源共享模型的基础上,引入了可信平台模块(trusted platform module),利用TPM的安全数据存储功能对共享资源进行密封存储,并利用(usage control)模型对共享资源进行访问控制,从而构建了基于可信平台模块TPM的高度安全的层次化资源共享模型.

CSCW系统访问控制模型及其基于可信计算技术的实现

现有的CSCW访问控制策略模型缺少时间和约束特性,在实现上也未能较好地解决开放网络下的身份伪装和欺骗问题,以及影响安全策略完整性实施的软硬件平台可信问题。本文基于角色一活动概念提出了一种具有时间依赖和约束特征的CSCW访问控制模型Fine-grained Access Control for CSCW,从而能够定义更为精确细致的安全策略;在模型实现中给出了Trusted Computing-enabled Access Control架构以及关键的策略分发和实施协议等。该方法通过建立完整的协作实体-CSCW平台-应用信任链,构建了可信的访问控制平台,增强了协作实体的身份鉴别,并通过角色相关策略的分发和在本地协作站点上的完整性实施,减轻了服务器端集中式执行安全策略的负担。

基于可信根的计算机终端免疫模型

人工免疫系统方法中的否定选择(NS)算法已广泛应用于病毒防护、入侵检测、垃圾邮件检测等.然而,由于当前的计算机中不存在类似"免疫器官"的硬件部件,无法对NS算法的运行提供保护,可能造成其运行过程遭受恶意干扰,成熟检测器和中间变量遭受篡改,进而导致其检测结果不可信.借鉴自然免疫系统的组成和原理,提出一种基于可信根的计算机终端免疫模型(TRBCTIM),引入可信计算技术中的可信根作为"免疫器官",对NS算法实施保护.采用无干扰可信模型理论对新模型进行分析,并通过构建新模型的原型系统来进行性能实验.理论分析及实验结果表明,新模型能够确保NS算法的运行过程和检测结果可信.

基于USB KEY和BIOS的TPM故障解决方案

目前的可信计算研究方案,比较多地强调应用TPM模块,但对TPM模块自身的可靠性和稳定性等考虑的较少,若TPM发生故障,则整个系统就无法正常工作,同时用户的一些重要信息也不能恢复。文中提出了一种基于USB KEY和BIOS的安全解决方案,当TPM故障时,调用禁用TPM模块,使TPM进入功能禁用状态,不进行度量操作,计算机进入非可信工作模式;在启动过程中,利用USB KEY和访问控制模块,实现在BIOS层的身份认证;利用保存在USB KEY里的相关密钥,恢复用户的一些重要信息。

云环境下可信服务器平台关键技术研究

云环境中的安全威胁依旧严峻,可信平台控制模块(trusted platfom control module,TPCM)技术为建立安全、主动可控的服务器平台提供了有效途径.为了解决基于TPCM的可信服务器实现中存在的两大完备性问题,构建了基于TPCM与可信软件基(trusted software base,TSB)的服务器平台体系结构.在服务器硬件层面,提出了结合带外管理系统(out-of-band management module,OMM)的上电时序控制及信任链设计方案.同时,对虚拟可信根的基本实现要求与思路进行阐述,并给出了虚拟可信度量根的设计方案.此外,对包括可信迁移在内的其他关键技术进行了探讨.将为云环境下基于TPCM的可信服务器平台提供具有实践意义的设计参考.

可信软件基技术研究及应用

随着信息科学和技术的发展,作为网络空间安全的关键技术——可信计算技术——已经成为国际网络空间安全斗争的焦点,我国正在大力发展推进其在各领域的应用.可信软件基(trusted software base,TSB)在可信计算体系中处于承上启下的核心地位,对上保护应用,对下管理可信平台控制模块(trusted platform control module,TPCM).通过对可信软件基的核心技术的研究,阐明其功能结构、工作流程、保障能力和交互接口,并介绍其在实际工程中的成功应用,为进一步完善可信计算体系打下坚实的软件基础.

基于可信平台控制模块的可信虚拟执行环境构建方法

针对云计算环境中单个计算节点可信性问题以及虚拟机迁移过程中多个节点间信任关系保持问题,基于我国可信计算技术的可信平台控制模块(trusted platform control module,TPCM)提出了一种可信虚拟执行环境构建方法.该方法通过将国产可信根TPCM虚拟化为云中的每个虚拟机生成了虚拟可信根,并将云信任链从物理层传递到虚拟层,实现了单个计算节点可信执行环境的构造;针对云虚拟机的动态迁移特性,基于多级认证中心设计了适合虚拟可信根迁移的证书生成及管理机制,并提出了一种虚拟可信根动态可信迁移方案,保障了迁移过程中信任关系在多个节点间的保持.实验结果表明:该方案能构造虚拟可信执行环境,实现虚拟可信根的动态可信迁移.

可信技术在国产化嵌入式平台的应用研究

国产化嵌入式平台的安全威胁依旧严峻,为了提高国产化平台的安全性与可控性,可信技术的应用十分关键。在基于龙芯2K-1000CPU的国产化嵌入式平台上,采用可信平台控制模块(Trusted Platform Control Module,TPCM),应用可信启动、可信软件基、可信文件存储和I/O口的可信访问等技术,实现了国产化嵌入式平台的可信运行。TPCM可信模块基于CCP903T密码芯片实现。此平台已在某安全项目中通过测试投入使用,对可信技术在国产化平台的应用以及标准化形成留下参考性意义。

一种基于Xen的TPM访问控制改进方法

针对可信平台模块(TPM)访问受重放攻击和替换攻击威胁的问题,提出一种改进的TPM访问控制方法.首先建立TPM长期访问控制功能,通过创建额外授权数据以保证进程结束后继续授权会话,同时将TPM地址与Domain U的身份标识号相关联,以保护其地址免受替换攻击.其次,建立TPM所有权共享功能,允许多个DomainU使用相同的TPM地址并防止死锁,因共享地址不能被重写,可保护敏感数据免受攻击.最后基于Xen实现了该方法并评估了其性能.实验结果证明了该方法的可行性和有效性,TPM访问性能开销在可接受的范围内.

一种高性能可信平台控制模块的设计和实现

针对可信平台控制模块主要技术主动度量的实现过程中改造工作量大,不易适配,启动时间长、性能偏低等问题,提出了一种优化设计方法,将可信BIOS与TPCM进行一体化设计,增强了BIOS固件的安全性,提升了BIOS固件代码认证速度,减少了主板修改工作量。同时在实现中使用了基于PCIe总线接口的可信安全芯片,具备较高的运算性能。经过测试一体化TPCM的功能和性能有较大的提升,达到了优化设计的目的和要求,具有性能高、适配快、改动小等优点。