可信计算

摘要： 云计算具有高性能、服务化、弹性伸缩、环境友好等优点,已经成为广泛采用的新型IT基础设施。资源外包与资源租赁的服务化本质,导致安全与隐私需求尤为突出,传统安全技术方案无法有效满足云计算的安全需求。为此,近年来学术界和工业界实现了一系列的安全改进和创新,试图用自底向上的思路解决云计算中的各类安全问题,构建可信云体系架构,以期实现云计算的安全可信。本文围绕云计算环境面临的安全威胁展开讨论,给出了当前主流的可信云计算实现思路与关键技术,讨论了相关工作的优势与不足,并对可信云计算的发展方向进行了探讨。

摘要： 为检测并阻止恶意节点伪装成新的可信节点攻击移动自组织网络,该文提出了一种用于消息认证和加密的分层安全协议(HiMAC)。该协议将分层消息认证码用于保护移动Ad-Hoc网络中的数据传播。在源和目标之间的由中间节点转发分组时动态地计算可信路由,在每个中间节点对数据包进行签名和加密,防止攻击者篡改数据包或修改其跳数,实现数据可信传输。在NS2模拟器中,运用Crypto++库中的RSA算法对HiMAC进行测试。结果表明:HiMAC可以检测和阻止对MANET节点和数据包的攻击;与原有的A-SAODV安全机制相比, HiMAC平均跳数减少了47.1%,平均队列长度减小了35.5%,节点数据包数量降低2.5倍,其性能明显优于A-SAODV。尽管HiMAC的密码操作给路由协议带来了额外的开销,但由于HiMAC采用基于信任机制动态建立安全路由,使得节点能够动态地选择路径上的下一个节点,不必始终保持安全路由,使得HiMAC中的增减开销可以相互抵消达到平衡。

摘要： 信息环境是网络空间的基础信息设施,将面临来自网络空间的攻击威胁。分析了信息环境在采取传统的安全防护措施下存在的安全漏洞与面临的威胁,重点对可信计算在信息环境的无线通信、有线网络、计算设施等方面发挥的安全增强作用进行了分析,对于提升信息环境应对网络空间攻击威胁有较强支撑。

摘要： 本文基于电力生产调度系统的安全保护目标,提出了系统安全可信性的具体实施过程,构建了面向电力生产调度系统的可信计算主动免疫安全防护平台,解决了电力生产调度系统由被动“封堵查杀”到主动免疫防御转变的问题。开发完成的可信计算相关产品已在国网电力调度系统等项目中进行了大规模应用和部署,实现了从基础软硬件、整机、通信网络、区域边界到应用的多层级纵深防御体系。

摘要： 为了解决农产品冷链数据上链存储的安全问题,分析现有农产品冷链中所使用的中心化数据管理模式下所存在的弊端,在冷链数据管理中的实际应用环境、区块链底层理论和技术的背景下,提出基于联盟链的可信计算技术,从而确保冷链数据安全有序上链存储,以解决现有数据管理模式中心化、数据存在易篡改等弊端。

摘要： 本文介绍了内生安全的概念和需求,就电力监控场景对内生安全的技术、设计应用等方面展开系统性的探讨,并提出了融合结构性边界防护、设备内生安全、实时安全监测为一体的综合性安全防护解决方案,为电力监控系统安全防护思路提供积极的参考意见。

摘要： 针对能源互联网内能源终端节点计算能力不强但认证安全需求高、认证体系复杂等问题,通过在能源终端内置一个可信计算平台模块,设计出一种基于国产SM9密码算法的安全认证加密方案,涵盖身份认证、数据加密认证和可信状态认证3种功能模式。该方案直接使用用户标识和系统参数计算用户公钥,能源终端节点之间无需交换证书或公钥,具有易于使用、便于管理的优势,相较于传统安全认证加密方案更具有灵活性,适用于海量能源终端设备。通过理论分析和仿真结果表明,该方案具有较强的安全性,且批量签名验证实现了较低的计算开销。

摘要： 为增强电力控制保护设备的安全性,设计了一种安全增强机制。基于TCM芯片以及可信技术,实现了安全启动、进程白名单、可信进程及安全更新功能,覆盖了电力控制保护设备的启动、运行、升级环节。实验表明该机制切实有效,能提升电力控制保护设备的安全防护能力。

摘要： 在互联网技术逐渐发展的今天,医院作为守护人民群众生命安全的重要保证应当与时俱进,积极关注医院数据安全交互平台的应用。文章通过分析和研究目前投入使用的可信计算交互平台,结合现有医院信息系统的数据交互实例,通过互联网医院、移动支付服务等服务通过平台完成数据交互,提高数据安全性。

摘要： 针对我国自主可控处理器的设计需求,文中采用开源RISC-V指令集架构设计了一种适用于可信计算的处理器。处理器内核中指令运算阶段使用5级流水线技术,并采用定向前推技术解决了数据相关问题。仿真阶段使用Modelsim仿真软件对整数指令集进行测试,经验证指令功能正确。借助FPGA开发板,以国产操作系统深度为平台,在50 MHz的时钟频率下处理器能正确运行SM3密码杂凑算法,输出256 bit的杂凑值,并与预存杂凑值进行比对,根据比对结果输出IO控制信号,完成对外部设备的主动控制及度量,达到预期目标。

摘要： 根据电力工控系统信息安全的要求以及现有防御手段的技术特点,提出一种基于可信计算3.O的电力工控系统安全免疫解决方案,构建面向电力工控系统的主动免疫纵深防护体系,研究可信计算3.0技术在电力工控系统环境中的应用,在满足高实时、高可靠性要求的前提下,量身打造一系列主动免疫的可信计算软硬件产品,有效抵御有组织的、目标明确的定向攻击,并为电力控制系统的国产化替代保驾护航.

摘要： 研究了在避免云上系统改造的前提下,通过射频识别技术和可信计算技术,对云办公终端进行安全改造的方式,实现云终端对恶意代码尤其是未知恶意代码的主动防御,阻止攻击者通过云终端向中心网络渗透.

摘要： 本文针对作战数据保障对安全的特殊要求以及信息系统开放式结构所面临的安全挑战与威胁,分析了可信计算研究进展,提出了基于可信计算平台的作战数据保障体系结构,通过在各设备中嵌入可信认证模块,建立从作战数据采集至应用的可信链路,确保作战数据有效共享、安全访问,为联合作战提供一个可信的作战数据保障支撑环境.

摘要： 针对高安全等级信息系统的管理需求,基于可信计算技术为系统安全管理提供的完整性验证能力,提出一种以集中管理、统一的执行控制白名单策略、管理管理权限分离为特征的可信管理模型,它能够兼容不同类型可信硬件设备及可信计算平台并支持系统统一管理.最后将该模型与TCG提出的可信管理模型进行了比较分析.

摘要： 电力工控系统内生安全防护与攻击监测解决方案,针对当前电力工控系统总体呈现出的威胁破坏范围广、传播速度快、攻击手段更加隐蔽等特点,按照“硬件可信、系统免疫、框架统一、软件可控”思路,突破安全操作系统、可信计算、边缘计算框架和终端检测与响应等关键技术,构建从硬件到操作系统,再到工控软件功能安全和信息安全融合的内生安全与攻击监测体系,提高电力系统关键基础设施防护水平,推进国家基础软件自主可控.

摘要： 变电站监控系统作为电力监控系统的重要组成部分,其网络安全受到破坏后,将对社会秩序、公共利益甚至国家安全造成严重影响.充分调研了变电站监控系统的架构、特点,深入分析了其面临的安全风险,基于可信计算、人工智能等先进理念和技术,针对性地设计了等级保护安全防护体系,不仅能防御当前的种种攻击,而且不影响监控系统的稳定、可靠运行.

摘要： 随着云计算、云平台技术的快速发展,对安全性能要求也越来越高.本文利用TPM(可信计算)技术和虚拟化技术相结合,软件和硬件相结合建设一个可信安全平台,设计虚拟环境下的安全保障体系,实现云端和桌面端高可靠和安全性,确保数据安全,可极大提高单位信息化水平.

摘要： 信息安全问题,诸如密码泄露、数据遗失、黑客入侵、病毒泛滥越来越成为制约我国信息化发展的障碍.现阶段安全产品以威胁为导向,采用"封堵"的方法捕捉黑客攻击和病毒入侵的特征信息,但是其特征是已发生过的滞后信息,不能科学预测未来的攻击和入侵,对新的病毒和攻击毫无防御能力.计算终端应从底层硬件,操作系统和基础支撑软件做起,将传统计算机转变为可信计算机,才能够顺应信息安全领域更高安全需求而发展起来的新潮流、新热点.军用计算终端上一般存储着关系着军队建设,国防安全的重要信息或管理系统,因此信息安全问题尤为重要.军用计算终端信息安全系统从计算机的体系结构入手,实现可信计算机的基本思想,从"根"上阻止信息安全事件的发生.它的实现可以确保计算终端安全稳定工作.

摘要： 通过分析美国网络空间安全战略，提出可信免疫的计算体系结构和中国可信计算技术创新，最后用可信计算构筑了网络安全防护体系。

摘要： 为了确保完成逻辑计算的组合不被篡改，这是网络安全目标，也成为主动免疫的防御。应该主动进行安全防护，计算全程可测可控，不被干扰。这样就有计算也有防护，改变了只讲计算效率的片面的模式。这是一种预算和防护并重的主动免疫的新的计算模式。要做到体系结合、资源配置、数据存储、设备管理是可信的不被篡改的，构成可信的安全管理中心支撑下的三重防御体系：计算环境要可信，边界要可信，传输要可信。

摘要： 本发明提供了基于可信计算平台的可信计算芯片的设计方法及计算设备，涉及芯片技术领域，包括：获取可信计算平台中的实际需求以及需求处理日志，并对可信计算平台中每个可信度指标，按照平台关联的可信计算芯片的芯片属性进行度量；确定平台关联的每个可信计算芯片的可信设置情况，并得到对应可信计算芯片的可信增加因子；基于同个可信计算芯片的可信增加因子以及度量结果，确定对应可信计算芯片的度量可靠度；基于可信计算平台，并结合对应的度量可靠度得到与待优化芯片匹配的优化策略；提取优化策略中的优化指令对对应待优化芯片进行优化设计。能够使得可信计算芯片能够更好的服务可信计算平台，从而提高用户对当前可信计算平台的信任度。

摘要： 本申请公开了一种可信计算系统构建方法、装置、可信计算系统及处理器。该方法包括：建立目标芯片与外接持久化存储区之间的连接，以构建可信计算模块，其中，持久化存储区用于存储可信平台控制模块固件、可信软件基以及可信密码模块固件，目标芯片读取可信平台控制模块固件、可信软件基以及可信密码模块固件；通过PCIE接口和预置接口建立可信计算模块与计算机主板之间的连接，以构建可信计算系统，通过本申请，解决了相关技术中以TPM方式所实现的可信计算系统难以提升计算机系统的防御能力的问题。

摘要： 本发明公开了一种可信计算系统及基于可信计算系统的资源处理方法，所述可信计算系统包括：加解密模块、内存单元和计算单元；所述可信计算系统通过主机总线接口进行数据输入和输出；所述加解密模块用于接收加密的资源，并将加密的资源进行解密后发送给所述内存单元；所述内存单元用于存储所述加解密模块发送的解密后的资源；所述计算单元用于根据计算指令对所述内存单元中解密的资源进行计算，并将计算后的资源发送给所述加解密模块；所述加解密模块还用于对所述计算单元发送的计算后的资源进行加密，并将加密后的资源通过所述主机总线接口输出。本发明实现了数据和算法各方互相无法访问未被授权的其他方的数据，实现了数据的隐私保护。

摘要： 本申请涉及一种基于单芯片的可信计算架构、可信计算方法、电力设备、计算机存储介质和计算机程序产品。基于单芯片的可信计算架构包括主控芯片、可信模块和业务模块，主控芯片上设有可信内核和至少一个业务处理核，业务处理核和可信内核是互相隔离的；业务处理核，用于响应与电力业务需求相关的处理请求，运行业务模块中与处理请求对应的业务应用；可信内核，用于若运行业务应用需要进行可信计算，运行可信模块中对应的可信应用进行可信计算，得到可信数据。采用本架构能够不需要额外增加外部可信芯片硬件，减少了硬件设计成本以及降低可信芯片产生的性能负担。

摘要： 本申请涉及双体系结构的可信计算平台的构建方法及可信计算平台，属于计算机安全技术领域。本申请方法包括：构建计算资源，计算资源用于完成计算任务；构建可信计算资源，可信计算资源用于对计算资源进行主动度量，以及根据主动度量的结果进行相应主动控制，主动度量包括静态度量和动态度量；将计算资源和可信计算资源配置到计算机中央处理器中，得到双体系结构的可信计算平台，可信计算平台包括：计算机中央处理器及其外部的其他资源。本申请通过在计算机中央处理器中构建计算资源和可信计算资源，得到双体系结构的可信计算平台，有助于提升安全防护能力。

摘要： 本发明提供了基于可信计算平台的可信计算芯片的设计方法及计算设备，涉及芯片技术领域，包括：获取可信计算平台中的实际需求以及需求处理日志，并对可信计算平台中每个可信度指标，按照平台关联的可信计算芯片的芯片属性进行度量；确定平台关联的每个可信计算芯片的可信设置情况，并得到对应可信计算芯片的可信增加因子；基于同个可信计算芯片的可信增加因子以及度量结果，确定对应可信计算芯片的度量可靠度；基于可信计算平台，并结合对应的度量可靠度得到与待优化芯片匹配的优化策略；提取优化策略中的优化指令对对应待优化芯片进行优化设计。能够使得可信计算芯片能够更好的服务可信计算平台，从而提高用户对当前可信计算平台的信任度。

摘要： 本发明公开了一种可信计算系统及基于可信计算系统的资源处理方法，所述可信计算系统包括：加解密模块、内存单元和计算单元；所述可信计算系统通过主机总线接口进行数据输入和输出；所述加解密模块用于接收加密的资源，并将加密的资源进行解密后发送给所述内存单元；所述内存单元用于存储所述加解密模块发送的解密后的资源；所述计算单元用于根据计算指令对所述内存单元中解密的资源进行计算，并将计算后的资源发送给所述加解密模块；所述加解密模块还用于对所述计算单元发送的计算后的资源进行加密，并将加密后的资源通过所述主机总线接口输出。本发明实现了数据和算法各方互相无法访问未被授权的其他方的数据，实现了数据的隐私保护。

摘要： 本申请公开了一种可信计算任务执行方法以及可信计算系统，该方法包括：获取目标可信计算任务对应于领域特定语言的文本表述信息，对该文本表述信息进行数据结构化处理，获得用于表征目标可信计算任务的执行逻辑的任务节点图，基于任务节点图执行目标可信计算任务，获得可信执行结果。该方法基于目标可信计算任务对应于领域特定语言的文本表述信息、执行目标可信计算任务，该文本表述信息可基于用户的配置获得，用户无需面对复杂晦涩的底层接口，使得用户配置可信计算任务的方式更加灵活多变，能够有效降低构建可信计算任务的难度、降低执行可信计算任务的门槛。

摘要： 本发明提供一种基于可信计算环境的可信计算系统及方法，该系统包括：可信硬件层，包括CPU和RPMB安全存储区；TEE环境，包括Trusted OS层和可信根TA层；安全通讯层，用于通过CPU提供的安全消息指令，实现REE环境和TEE环境之间的状态切换和数据交换；REE环境，从下至上包括可信固件UEFI‑BIOS模块、可信引导程序TrustedGrub模块、可信内核Trusted Kernel模块以及可信客户端模块；REE中每个模块中均包含一个可信基；应用层，包括各类业务应用。根据本发明示例性实施例的基于可信计算环境的可信计算系统及方法，可以节省主机的生产制造成本，简化系统的物理结构，提高运算能力和通讯速率，且便于维护升级。

摘要： 本申请涉及一种基于单芯片的可信计算架构、可信计算方法、电力设备、计算机存储介质和计算机程序产品。基于单芯片的可信计算架构包括主控芯片、可信模块和业务模块，主控芯片上设有可信内核和至少一个业务处理核，业务处理核和可信内核是互相隔离的；业务处理核，用于响应与电力业务需求相关的处理请求，运行业务模块中与处理请求对应的业务应用；可信内核，用于若运行业务应用需要进行可信计算，运行可信模块中对应的可信应用进行可信计算，得到可信数据。采用本架构能够不需要额外增加外部可信芯片硬件，减少了硬件设计成本以及降低可信芯片产生的性能负担。