基于TPM的可信文件系统CIVFS的研究和实现

本文提出一种利用可信计算技术增强文件系统可信性的方法，以Linux为基础，设计实现了一个可信文件系统原型CIVFS。CIVFS是一个结合加密和完整性校验两种保护措施的文件系统，它借助堆式文件系统技术，嵌入在Linux内核中，添加了文件加密和完整性校验模块，利用TPM芯片提供的可信计算和安全存储等功能，增强了对系统安全组件和数据的安全保护。

基于TPM的可信文件系统CIVFS的研究和实现

本文提出一种利用可信计算技术增强文件系统可信性的方法，以Linux为基础，设计实现了一个可信文件系统原型CIVFS。CIVFS是一个结合加密和完整性校验两种保护措施的文件系统，它借助堆式文件系统技术，嵌入在Linux内核中，添加了文件加密和完整性校验模块，利用TPM芯片提供的可信计算和安全存储等功能，增强了对系统安全组件和数据的安全保护。

一种基于TPM匿名证书的信任协商方案

为促进分布式网络环境中跨安全域的信息共享与协作，需要一种合理有效的信任协商敏感信息保护机制．可信计算组织(Trusted Computing Group，TCG)专注于从计算平台体系结构上增强其安全性．基于可信计算的匿名证书机制提出一种新的信任协商方案：匿名证书信任协商ACTN(anonymous credentials based trusted negotiation)，良好地解决了跨安全域的敏感信息保护的问题，可以有效地防止重放攻击、窜改攻击和替换攻击．使用一个硬件模块TPM进行隐私信息保护，并通过TPM模块提供可靠的匿名证书和平台认证．定义了ACTN的模型以及模型中的匿名证书，详细说明了匿名证书的基本参数以及匿名证书的创建方法，讨论了策略的安全性、委托机制以及证书链的发现机制，同时设计了 协商节点的框架以及协商过程．通过实验并与TrustBuilder和COTN协商系统进行比较，表明系统具有良好的稳定性和可用性．最后指出相关的一些未来研究方向．

基于TPM虚拟单调计数器的电子钱包方案的分析和扩展

针对一种基于虚拟单调计数器的电子钱包方案存在的不足,对其进行了扩展,原方案商品原子性无法得到满足,且不能够防止货币消失的问题,即其货币原子性只能得到部分满足。在原方案的基础上,将货物的交换过程考虑进来,扩展后的方案既满足货币原子性,又满足商品原子性,同时能够为顾客提供隐私保护。

国内外个牌号卷烟烟气有害生物效应的比较研究

采用测试终点不同的个短期生物学试验来检测国内外个牌号卷烟烟气的有害生物效应采用试验、转化人淋巴细 胞试验、小鼠嗜多染红细胞微核试验来检测烟气总粒相物的遗传毒性采用离体细胞培养的方法来检测烟气总粒相物的细胞 毒性采用动式被动吸烟小鼠急性毒性试验来检测烟气的急性毒性。从这个试验中确定了个生物学指标值、率、微核 率、细胞死亡率和小鼠死亡率并将这个试验的结果数据制成加权数值表, 统一起来评价卷烟烟气的有害生物效应。此外, 对个 生物学指标与的相关性分析结果表明, 值与有一定相关关系相关系数, 一。, 其余个指标与的 相关性未达到显著性水平, 说明这个牌号卷烟烟气有害生物活性与的关系不密切对个生物学指标之间的相 关性分析结果表明, 除了值与率和细胞死亡率的相关性达到显著水平外相关系数分别为。和。, , 其余均无相关性, 这与个生物试验的效应终点不一致有关系。总之这个生物学指标作为检测卷烟烟气有害生物效应的 一套短期测试系统是有用的和可靠的。

基于Xen的可信计算环境构建关键技术研究

在以Xen为代表的虚拟平台上，引入可信计算技术可以为其构建可信计算环境，有效增强其安全。然而由于虚拟平台支持多个虚拟机系统运行的特点，致使可信计算技术无法直接为其可信计算环境构建提供支持。本文在引入TPM的Xen可信虚拟平台上研究其可信计算环境构建，首先分析了TCG信任链模型的不足，在其基础上提出了基于信任度的信任链模型，完善了原有模型的信任表述能力；紧接着将该模型扩展至可信虚拟平台，对其信任构建问题进行了探讨提出了一种信任树的信任构建方法；然后分析了可信虚拟平台数据封装存在的问题，并给出了可行的封装解决方案；最后实现了可信虚拟平台信任系统建立Xen平台可信计算环境。本文主要取得了以下几个方面的成果： 1、针对TCG信任链模型中完整性度量无法全面反映实体运行状况和无法表述信任传递损失的缺陷，提出了一种基于信任度的信任链模型，该模型丰富了可信计算的信任链理论知识，对信任链模型扩展研究具有一定的指导价值。 2、在基于信任度的信任链模型基础上，针对可信虚拟平台多系统运行的特点，提出了基于信任树的可信虚拟平台信任构建方法，该方法符合可信虚拟平台运行的安全需求，为可信虚拟平台可信计算环境构建奠定了基础。 3、提出了一种TPM支持的多级属性封装方案，该方案实现了TPM对所有虚拟机系统数据的属性封装，同时还对属性进行了分级扩展，基于属性的安全级别实施解封，增强了属性封装的灵活性，更有效的保证了可信虚拟平台上的数据安全。 4、针对可信虚拟平台上的数据使用需求，提出了一种按需属性封装方案，该方案不仅实现了数据与任意组件属性的封装，还保障了封装数据在不同虚拟机中的正常解封，增强了封装数据的可用性，充分满足了可信虚拟平台上敏感数据封装和共享的安全要求。 总的说来，本文的研究成果为虚拟技术的应用提供了安全支撑，并且为可信计算的相关研究提供了借鉴。

可信信道技术研究

随着互联网的高速发展，人们的许多行为由现实生活中转移到了互联网世界，比如电子商务、网上银行、电子政务等。当前互联网上的许多安全敏感的客户端-服务端应用都使用SSL/TLS或IPSec来建立安全信道，以保护客户端与服务端之间的通信。这些协议实现了客户端与服务端之间的双向认证和数据的安全传输。但是，使用SSL/TLS或IPSec建立的安全信道并没有确保终端本身的安全性。可信计算（TrustedComputing）中的远程证明机制可用于证明终端本身的完整性和可靠性，但不能直接提供安全信道。 可信信道是在安全信道的基础上，利用TPM的远程证明技术，将终端的完整性密码地绑定到安全信道，并且保护双方终端配置的隐私性。因此，研究可信信道技术对互联网安全有着重要的意义，有助于解决网络安全中的基本信任问题，以及互联网数字服务的安全问题等。目前，国内外已有一些可信信道的设计方案，大体分为两类：（1）将基于证书的SSL/TLS与TPM远程证明相结合以建立可信信道；（2）将Diffie-Hellman密钥交换协议和TPM远程证明相结合以建立可信信道。基于口令的认证密钥交换协议（PAKE）是实现安全信道的另一种有趣的技术，因为其具有易于记忆、使用方便、不需额外的密码设备来存储高熵的密钥。 然而，将PAKE与TPM远程证明结合以建立可信信道的研究工作很少。 本文主要从可信信道的安全需求出发，分析已有的两类可信信道设计方案的安全性，指出已有的方案容易遭受一种新的合谋攻击。针对上述合谋攻击和传统的中间人攻击，我们利用口令认证密钥交换协议，提出了一种新的协议来建立基于口令的可信信道。我们的方案不同于基于证书的可信信道实现方法，使用了一种新的绑定方法来抵抗上述攻击。同时，我们还将该方法应用到已有的基于证书SSL和TPM远程证明的可信信道方案中。 另外，考虑到电子商务、电子政务等安全应用中用户对匿名性的需求，而现有的可信信道方案未曾考虑到用户的匿名性，本文引入了匿名可信信道的概念，并提出了匿名可信信道的设计方法，给出了一个具体的协议用以建立匿名可信信道， 并证明了该协议满足匿名可信信道的安全需求。

验证方主导的远程证明方案

可信计算组织(TCG)提出了以可信平台模块(TPM)为核心的可信计算安全体系框架．远程证明是可信计算领域重要的研究问题之一．现有的远程证明方案都是由证明方发起，度量和证明缺乏一致性和可扩展性，不能保证平台的隐私性．针对这些缺陷，引入颁发度量和证明属性证书的权威机构，提出了一种由验证方根据安全需求发起证明的远程证明方案．而证明方则按照度量属性证书和证明属性证书进行平台的度量，TPM保证平台的度量真实可信．同时对平台配置进行了抽象，对度量过程进行了形式化分析和性能测试；而且采用签名和加密实现远程证明的真实性和平台的隐私性．该远程证明方案不仅能够用于向远程方证明平台运行环境是可信的，而且还用于平台运行环境的自身检测．

基于可信虚拟平台的数据封装方案

可信计算平台的封装存储功能将数据的加密存储与平台配置结合起来,可提供更为强有力的数据安全服务.然而,平台配置的频繁变动如硬件更替、软件更新及系统补丁等又极大地限制了封装存储功能的使用.针对这个问题,提出了一种基于可信虚拟平台的数据封装存储方案.方案引入了虚拟PCR(vPCR)和安全属性的概念,利用可信平台模块(TPM)将数据与系统安全属性封装起来保护.该方案除能适应平台配置频繁变更的问题外,还能同时保护多个虚拟机系统中数据的安全,不受虚拟机系统配置变化的影响.该方案执行操作简单,实验结果表明与原有方案相比,TPM的负担较小,性能无显著差别.

基于信息流的可信操作系统度量架构

将信息流和可信计算技术结合,可以更好地保护操作系统完整性.但现有的可信计算度量机制存在动态性和效率方面的不足,而描述信息流的Biba完整性模型在应用时又存在单调性缺陷.本文将两者结合起来,基于Biba模型,以可信计算平台模块TPM为硬件信任根,引入信息流完整性,并提出了可信操作系统度量架构:BIFI.实验表明,BIFI不仅能很好地保护信息流完整性,而且对现有系统的改动很少,保证了效率.

一种面向网格计算的分布式匿名协作算法

基于TCG提出的可信计算技术为网格协作安全性提出一种匿名分组身份验证算法,该算法可以非常可靠地解决网格计算平台之间的身份匿名验证问题.算法使用一个硬件模块TPM解决远程的身份验证,并通过TPM机制可以提供可靠的匿名验证和平台认证功能.算法中所有涉及的验证过程都是基于匿名机制实现的,除了实现匿名验证机制以外,算法还提供一套完整标记恶意网络实体的方法.提出了网格计算中虚拟分组的匿名认证平台架构,并在此架构基础上分成5步实现匿名验证算法,然后说明了算法在一种对等计算平台的应用实例,与GT2,GT3,GT4以及信任管理进行安全性的比较,并设计一个实验评价其性能.

可信平台模块的形式化分析和测试

可信平台模块(Trusted Platform Module,TPM)是可信计算平台的核心和基础,可信平台模块的功能测试和验证是保证可信平台模块的实现正确性以及规范一致性的重要手段,但是目前尚不存在一种有效严格的可信平台模块测试和功能验证方法,同时可信计算组织给出的TPM规范是描述性的,不利于产品的开发和测试.文中在分析可信平台模块目前存在的一些问题的基础上,以TPM密码子系统为例给出了该子系统的形式化规格说明,并且基于该规格说明,给出了扩展有限状态机模型,最后,将该有限状态机模型应用于测试用例的自动生成,并通过实验验证了形式化测试的有效性.

可信虚拟平台安全机制研究

本文主要研究可信虚拟平台上远程证明安全机制的模型和特殊问题，为此我们首先从普通可信计算平台远程证明出发，从证明粒度上扩展和改进了属性远程证明方法，确立了远程证明设计和实现的基本安全要求；然后根据可信虚拟平台上TPM的应用体系结构，提出兼顾动态信任根DRTM和虚拟机并发使用的TPM实用模型，为可信虚拟平台远程证明建立基础；紧接着讨论了虚拟机配置改变导致原有远程证明失效的问题，给出了可信虚拟平台更新证明方法；最后从远程证明实际应用需求出发，考虑可信虚拟平台复杂的动态性和并发性，给出了完整的可信虚拟平台并发远程证明模型和设计原则，提出了多虚拟机、多应用程序并发远程证明方法。 本文丰富了可信计算特色功能远程证明安全机制的研究内容，一方面完善了基于属性的远程证明方法，另一方面扩大远程证明的平台类型，拓展了远程证明的研究内容。分析了现有远程证明问题，结合可信虚拟平台自身特色，解决可信虚拟平台上远程证明动态性、并发性等特殊问题。在远程证明动态性方面采用配置杂凑树的方法表示出配置更新增量，提高了更新证明的效率；在远程证明并发性方面采用证明凭证链的方法实现多实例并发证明，据我们所知，对远程证明的并发性方面的讨论和研究尚属首次。本文提出了可信虚拟平台动态并发远程证明安全模型，并总结远程证明八项设计原则：真实性、动态性、一致性、并发性、隐私性、属性可撤销、抗伪装和重放攻击，对于设计实用的远程证明应用具有一定的指导价值。 本文侧重于可信虚拟平台远程证明的实用性研究，没有过多的关注于具体的证明类型和证明协议，从全新的角度来研究远程证明的动态性和并发性问题，扩大了远程证明研究的外延，对于后续相关研究具有一定的启发意义。