可信计算平台

摘要： 可信运行控制软件作为可信计算平台中提供可信度量服务的关键软件,其自身设计是否安全可信,是可信计算平台安全运行的基础。为保证该软件设计安全可信,基于形式化模型检验基本理论,提出了软件形式化设计框架,研究了抽象行为、安全属性和代码功能正确性建模验证方法,开展了可信运行控制软件形式化设计与验证。验证结果表明,采用形式化设计方法,能够有效地解决软件设计缺陷和安全漏洞,保证软件设计与实现的正确性、安全性与一致性。

摘要： 以增加高校科研管理系统安全性为目的,对现有高校科研管理系统存在的安全隐患进行了分析,探讨国内对计算机信息系统等级保护标准中各个等级所提出的要求,在此基础上,引入了可信计算平台,提出基于可信计算平台的高校科研管理系统等级保护方案,描述其具体的实施过程,分析结果表明:实施可信计算平台后的高校科研管理系统达到国家信息安全等级保护要求。

摘要： 以增加高校科研管理系统安全性为目的,对现有高校科研管理系统存在的安全隐患进行了分析,探讨国内对计算机信息系统等级保护标准中各个等级所提出的要求,在此基础上,引入了可信计算平台,提出基于可信计算平台的高校科研管理系统等级保护方案,描述其具体的实施过程,分析结果表明:实施可信计算平台后的高校科研管理系统达到国家信息安全等级保护要求.

摘要： 基于可信计算技术构建的抗恶意代码攻击安全结构框架以可信计算技术为基础,融合身份认证、授权访问控制、备份恢复以及审计等多种安全控制技术构成.可信安全模块是抗恶意代码攻击的根基,可信计算技术是抗恶意代码攻击的必要条件,各种安全控制技术使抗攻击效能最大化.该框架通过各种技术的配合,建立了抵抗恶意攻击的层层防线,并且在系统遭到破坏时能及时发现并进行恢复,不仅能防范已知恶意代码,而且能防范未知恶意代码.

摘要： 人生犹如一场旅行。最为难得的是,阅尽世间繁华之后仍能不忘初心,这是一种为人处世的优雅。

摘要： The existing specifications of trusted computing supporting software(TCSS)only defined the functional interface of software,but failed to provide explicit description of the security functional require-ments of the TCSS.The analysis and design of TCSS lacked definite security target.To solve this prob-lem,a design method of TCSS based on the idea of common criteria(CC)was proposed.The security functional requirements of TCSS were analyzed.And its security function according to the function class, function family and component level were divided.At last,the prototype of TCSS was implemented,and the security targets of cryptographic support and integrity protection were achieved.The experimental re-sults showed that the proposed software prototype could support the interface call of the TPM 2.0 and the SM4 cipher algorithm of China.%现有的可信计算支撑软件的规范只定义了软件的功能接口,对其要达到的安全功能需求没有明确的描述,这使得可信计算支撑软件的分析和设计没有明确的安全目标.针对这一问题,结合通用准则CC的思想,提出一种可信计算支撑软件的设计方法,通过分析可信计算支撑软件的安全功能需求,并按照功能类、功能族和组件的层次对其安全功能进行了划分,确定功能组件间的依赖关系,完成了可信计算支撑软件原型的设计,能实现密码支持和完整性保护等安全目标.实验结果表明,该软件支持TPM2.0的接口调用,并能够对中国密码算法SM4提供调用支持.

摘要： 恩智浦半导体宣布其Layerscape片上系统平台与微软Azure IoT Edge集成。如此一来,开发人员便能够借助可信计算平台,在Azure IoT Edge所提供的丰富框架内轻松创建各种即时可用的应用。若要在边缘设备上运行基于云的应用,需要一个安全的执行环境。Layerscape SoC能够保证Azure IoT Edge计算的安全执行,帮助运行网络、数据分析和计算密集型机器学习应用。

摘要： 本文主要结合了可信认证理论和思想,通过对终端可信认证协议从一般的可信认证协议到基于属性的认证协议的分析处理,对一般认证协议和属性认证协议作了优化改进,并在终端认证安全的基础上提出了基于模糊集合理论的可信认证模型评估方法.

摘要： 新产品STSAFE可信计算平台模块（TPM）在不可访问和不可修改的硬件上存放系统鉴权数据，例如密钥和软件测量值，为保护硬件设备上的数据安全提供一个工业标准化方法，适用于PC和服务器，以及打印机、复印机、家庭网关、网络路由器和交换机等办公设备。

摘要： 为了使可信计算平台之间的身份能够安全并高效地验证，通过对可信计算平台和PKI技术的研究与分析，设计一种基于PKI技术的可信计算平台之间的相互验证的协议。该协议通过引入可信第三方CA，用可信第三方向相互认证的可信平台颁发AIK证书，可信计算平台通过可信第三方验证对方AIK证书的真实性和AIK私钥加密AIK证书，验证平台的身份和完整性以及可信计算平台的状态。%In order to verify the identity safely and efficiently on the dependable computing platform,a mutual authentica⁃tion protocol among the dependable computing platforms was designed based on the research and analysis of the dependable com⁃puting platform and PKI technology,in which a trusted third party CA is introduced to issue AIK certificates to the dependable computing platforms identified mutually. The identity and integrity of the platform,the status of dependable computing plat⁃form, as well as the authenticity of the opposite side’s AIK certificate and AIK private key encryption are verified through the dependable third party.

摘要： 本文针对TCG可信计算规范中X86架构的可信计算平台存在被动可信度量、操作系统安全增强机制不完备和认证体制复杂等问题,提出一种基于国产处理器和国产操作系统的自主可控可信计算平台解决方案,设计了国产操作系统可信安全增强策略和框架,给出了基于可信平台控制模块的主动可信度量和基于身份标识平台身份认证等关键技术实现途径.

摘要： 为了解决认证系统终端安全问题,在认证系统中引入可信计算平台,虽然安全性有显著的增加,但是随之而来的认证效率不高限制了可信计算平台的推广使用.本文设计了基于可信计算平台的动态认证协议,认证服务器通过对用户访问实行灵活的认证,可以在保证安全性的前提下有效缓解认证服务器的认证负担,提高认证的时间效率.特别是在用户需要频繁向认证服务器申请认证的认证系统中,此改进对认证效率和认证服务器的吞吐量会有明显的提升.

摘要： 针对传统计算机系统存在的安全隐患，从计算机底层硬件和操作系统本身进行改造，采用可信计算技术解决系统的安全问题，已经得到了业界普遍认同和支持。文章结合可信计算技术的基本原理，提出了基于国产处理器的可信计算平台的设计方案，重点分析了基于国产处理器可信计算平台的信任根构建和信任链设计，给出了基于国产处理器的可信计算平台在信息系统中的部署与应用形式。

摘要： 针对现有计算机系统的安全问题，可信计算平台被认为是比较有前景的发展方向。本文首先提出可信计算机所要实现的基本功能要求，然后给出了可信计算机的一种具体实现的系统结构，最后详细阐明了可信计算机的关键技术，主要包括：可信安全控制模块设计、BIOS的可信改造设计及可信链传递设计。

摘要： 基于可信计算技术,构建一种能够可信的描述终端身份及其状态信息的身份标识方法,作为实现用户及应用系统认证终端身份和状态的基础手段.它采用权威部门颁发的平台身份证书,将公私钥与平台标识符相绑定,并提供开机启动后信任链构建过程采集的平台完整性证据及可信密码模块内部私钥对其签名.适用于对终端有身份认证需求和完整性保护需求的各类信息系统,能够满足用户信任终端和应用系统信任终端的安全需求,从而有效遏制基于终端发起的仿冒、窃密、恶意破坏等攻击.

摘要： 通过分析指挥控制系统的信息安全威胁,对可信计算技术在武器指挥控制系统中的应用进行研究,提出了适合防空导弹武器系统网络化作战特点的可信终端,对防空网络化作战和指挥的终端安全防护具有一定的指导意义.

摘要： 文章在分析云计算安全风险的基础上,阐述了云计算中的密码应用模式,包括密码应用模式框架和云计算中用户数据的加密方式,重点针对云计算中动态数据的机密性,从可信计算平台、安全虚拟机、密码协处理器和虚拟桌面技术等四方面,讨论了密码应用的新模式。

摘要： 目前的可信计算平台只验证应用程序的静态散列值，不能防止恶意代码对应用程序的动态攻击。本文提出了一个基于静态分析的可信计算动态验证行为建模方法，并且设计了一种修改后的Floyd查找算法，用于找出并删除FSA中所有的空循环路径，优化模型。经过实验证明，算法无论是在时间效率上，还是在空间复杂度上都优于目前常用的基于图论的算法。

摘要： 参考基于桥CA的交叉认证模型,提出一种混合交叉认证方案,引入复合证书和第三方可信验证机构TVA,为采用不同证书体制的信任域映射证书策略,为基于不同公钥算法的可信计算平台验证证书链,建立信任关系.仿真实验表明,该方案可实现平台兼容且易于实现.

摘要： 提出将标准模型下基于l-MOMSDH假设的短群签名方案作用于DAA协议,该协议基于Fiat-shamir启发式设计思想,完成了协议知识签名的数学构造,实现了非交互式零知识证明到知识签名的转化.具有签名长度短、运行效率高及标准模型下可证安全等特性,提高了现有协议的安全性,同时兼顾协议执行效率.

摘要： 本申请公开了一种可信计算系统构建方法、装置、可信计算系统及处理器。该方法包括：建立目标芯片与外接持久化存储区之间的连接，以构建可信计算模块，其中，持久化存储区用于存储可信平台控制模块固件、可信软件基以及可信密码模块固件，目标芯片读取可信平台控制模块固件、可信软件基以及可信密码模块固件；通过PCIE接口和预置接口建立可信计算模块与计算机主板之间的连接，以构建可信计算系统，通过本申请，解决了相关技术中以TPM方式所实现的可信计算系统难以提升计算机系统的防御能力的问题。

摘要： 本发明公开了一种可信计算系统及基于可信计算系统的资源处理方法，所述可信计算系统包括：加解密模块、内存单元和计算单元；所述可信计算系统通过主机总线接口进行数据输入和输出；所述加解密模块用于接收加密的资源，并将加密的资源进行解密后发送给所述内存单元；所述内存单元用于存储所述加解密模块发送的解密后的资源；所述计算单元用于根据计算指令对所述内存单元中解密的资源进行计算，并将计算后的资源发送给所述加解密模块；所述加解密模块还用于对所述计算单元发送的计算后的资源进行加密，并将加密后的资源通过所述主机总线接口输出。本发明实现了数据和算法各方互相无法访问未被授权的其他方的数据，实现了数据的隐私保护。

摘要： 本发明公开了一种可信计算系统及基于可信计算系统的资源处理方法，所述可信计算系统包括：加解密模块、内存单元和计算单元；所述可信计算系统通过主机总线接口进行数据输入和输出；所述加解密模块用于接收加密的资源，并将加密的资源进行解密后发送给所述内存单元；所述内存单元用于存储所述加解密模块发送的解密后的资源；所述计算单元用于根据计算指令对所述内存单元中解密的资源进行计算，并将计算后的资源发送给所述加解密模块；所述加解密模块还用于对所述计算单元发送的计算后的资源进行加密，并将加密后的资源通过所述主机总线接口输出。本发明实现了数据和算法各方互相无法访问未被授权的其他方的数据，实现了数据的隐私保护。

摘要： 本申请公开了一种可信计算任务执行方法以及可信计算系统，该方法包括：获取目标可信计算任务对应于领域特定语言的文本表述信息，对该文本表述信息进行数据结构化处理，获得用于表征目标可信计算任务的执行逻辑的任务节点图，基于任务节点图执行目标可信计算任务，获得可信执行结果。该方法基于目标可信计算任务对应于领域特定语言的文本表述信息、执行目标可信计算任务，该文本表述信息可基于用户的配置获得，用户无需面对复杂晦涩的底层接口，使得用户配置可信计算任务的方式更加灵活多变，能够有效降低构建可信计算任务的难度、降低执行可信计算任务的门槛。

摘要： 本发明提供一种基于可信计算环境的可信计算系统及方法，该系统包括：可信硬件层，包括CPU和RPMB安全存储区；TEE环境，包括Trusted OS层和可信根TA层；安全通讯层，用于通过CPU提供的安全消息指令，实现REE环境和TEE环境之间的状态切换和数据交换；REE环境，从下至上包括可信固件UEFI‑BIOS模块、可信引导程序TrustedGrub模块、可信内核Trusted Kernel模块以及可信客户端模块；REE中每个模块中均包含一个可信基；应用层，包括各类业务应用。根据本发明示例性实施例的基于可信计算环境的可信计算系统及方法，可以节省主机的生产制造成本，简化系统的物理结构，提高运算能力和通讯速率，且便于维护升级。

摘要： 本申请涉及一种基于单芯片的可信计算架构、可信计算方法、电力设备、计算机存储介质和计算机程序产品。基于单芯片的可信计算架构包括主控芯片、可信模块和业务模块，主控芯片上设有可信内核和至少一个业务处理核，业务处理核和可信内核是互相隔离的；业务处理核，用于响应与电力业务需求相关的处理请求，运行业务模块中与处理请求对应的业务应用；可信内核，用于若运行业务应用需要进行可信计算，运行可信模块中对应的可信应用进行可信计算，得到可信数据。采用本架构能够不需要额外增加外部可信芯片硬件，减少了硬件设计成本以及降低可信芯片产生的性能负担。

摘要： 本申请涉及双体系结构的可信计算平台的构建方法及可信计算平台，属于计算机安全技术领域。本申请方法包括：构建计算资源，计算资源用于完成计算任务；构建可信计算资源，可信计算资源用于对计算资源进行主动度量，以及根据主动度量的结果进行相应主动控制，主动度量包括静态度量和动态度量；将计算资源和可信计算资源配置到计算机中央处理器中，得到双体系结构的可信计算平台，可信计算平台包括：计算机中央处理器及其外部的其他资源。本申请通过在计算机中央处理器中构建计算资源和可信计算资源，得到双体系结构的可信计算平台，有助于提升安全防护能力。

摘要： 本发明提供了基于可信计算平台的可信计算芯片的设计方法及计算设备，涉及芯片技术领域，包括：获取可信计算平台中的实际需求以及需求处理日志，并对可信计算平台中每个可信度指标，按照平台关联的可信计算芯片的芯片属性进行度量；确定平台关联的每个可信计算芯片的可信设置情况，并得到对应可信计算芯片的可信增加因子；基于同个可信计算芯片的可信增加因子以及度量结果，确定对应可信计算芯片的度量可靠度；基于可信计算平台，并结合对应的度量可靠度得到与待优化芯片匹配的优化策略；提取优化策略中的优化指令对对应待优化芯片进行优化设计。能够使得可信计算芯片能够更好的服务可信计算平台，从而提高用户对当前可信计算平台的信任度。

摘要： 本申请涉及双体系结构的可信计算平台的构建方法及可信计算平台，属于计算机安全技术领域。本申请方法包括：构建计算资源，计算资源用于完成计算任务；构建可信计算资源，可信计算资源用于对计算资源进行主动度量，以及根据主动度量的结果进行相应主动控制，主动度量包括静态度量和动态度量；将计算资源和可信计算资源配置到计算机中央处理器中，得到双体系结构的可信计算平台，可信计算平台包括：计算机中央处理器及其外部的其他资源。本申请通过在计算机中央处理器中构建计算资源和可信计算资源，得到双体系结构的可信计算平台，有助于提升安全防护能力。

摘要： 本发明提供了基于可信计算平台的可信计算芯片的设计方法及计算设备，涉及芯片技术领域，包括：获取可信计算平台中的实际需求以及需求处理日志，并对可信计算平台中每个可信度指标，按照平台关联的可信计算芯片的芯片属性进行度量；确定平台关联的每个可信计算芯片的可信设置情况，并得到对应可信计算芯片的可信增加因子；基于同个可信计算芯片的可信增加因子以及度量结果，确定对应可信计算芯片的度量可靠度；基于可信计算平台，并结合对应的度量可靠度得到与待优化芯片匹配的优化策略；提取优化策略中的优化指令对对应待优化芯片进行优化设计。能够使得可信计算芯片能够更好的服务可信计算平台，从而提高用户对当前可信计算平台的信任度。