-
题名基于无干扰理论的虚拟机可信启动研究
- 1
-
-
作者
黄浩翔
张建标
袁艺林
王晓
-
机构
北京工业大学信息学部
可信计算北京市重点实验室
天津财经大学理工学院
-
出处
《软件学报》
EI
CSCD
北大核心
2023年第6期2959-2978,共20页
-
基金
北京市自然科学基金(M21039)
国防科研试验信息安全实验室基础研究项目(2017XXAQ09)。
-
文摘
云计算作为一种新型高价值计算系统,目前被广泛应用于各行业领域;等保2.0中也提出了对其应用主动免疫可信计算技术进行动态可信验证的要求.云计算模式下,虚拟机作为用户使用云服务的直接载体,其可信启动是虚拟机运行环境可信的基础.但由于虚拟机以进程的形式运行在物理节点上,其启动过程呈现出高动态性,且多虚拟机域间存在非预期干扰等特点;而现有的虚拟机可信启动方案存在虚拟机启动过程的动态防护性不足、缺乏多虚拟域间非预期干扰性排除等问题.针对上述问题,提出一种基于无干扰理论的虚拟机可信启动研究方案.首先,基于无干扰理论,提出了虚拟机进程的运行时可信定理;进一步地,给出了虚拟机可信启动的定义并证明了虚拟机可信启动判定定理.其次,依据虚拟机可信启动判定定理,基于系统调用设计监测控制逻辑,对虚拟机启动过程进行主动动态度量与主动控制.实验结果表明所提方案能够有效排除复杂云环境下多虚拟机间非预期干扰,保证虚拟机启动过程的动态可信性,且性能开销较小.
-
关键词
无干扰理论
虚拟机进程
可信启动
动态可信
主动度量
主动控制
-
Keywords
non-interference theory
virtual machine process
trusted startup
dynamic trusted
active measurement
active control
-
分类号
TP316
[自动化与计算机技术—计算机软件与理论]
-
-
题名基于BMC的服务器可信启动方法研究
被引量:5
- 2
-
-
作者
徐万山
张建标
袁艺林
李铮
-
机构
北京工业大学信息学部计算机学院
-
出处
《信息网络安全》
CSCD
北大核心
2021年第5期67-73,共7页
-
基金
国家自然科学基金[61971014]。
-
文摘
可信计算技术以硬件安全为基础,通过信任链、远程证明等技术能够有效实现本地和远程计算系统的安全,在系统安全启动、度量证明等方面得到了广泛应用。当前,终端设备的安全启动技术已经比较成熟,但是对服务器可信启动技术的研究仍然较少。针对服务器BIOS固件、操作系统内核镜像可能被篡改,服务器启动过程中由于信任链过长而导致信任丢失、效率较低等问题,文章提出基于BMC(Baseboard Manager Controller,基板管理控制器)的服务器可信启动方法。该方法以BMC为可信根,利用星型信任链结构构建信任链,实现服务器可信启动;同时文章结合信息流无干扰理论模型,对服务器可信启动进行了形式化描述。BMC是服务器上的通用部件,文章提出的可信启动方法以BMC为可信根,不需要额外硬件,具有更好的通用性;同时由于采用星型结构,减少了服务器启动过程中信任的传递,能够有效提高服务器启动过程的安全性和启动效率。
-
关键词
BMC
可信启动
主动度量
星型链
-
Keywords
BMC
trusted startup
active measurement
star chain
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名基于TPCM的服务器可信PXE启动方法
被引量:4
- 3
-
-
作者
刘国杰
张建标
-
机构
北京工业大学信息学部
可信计算北京市重点实验室
-
出处
《网络与信息安全学报》
2020年第6期105-111,共7页
-
基金
国家自然科学基金(61971014)
国防科技实验信息安全实验室对外开放项目(2015XXAQ08)。
-
文摘
PXE启动机制通过网络下载操作系统文件并启动操作系统,广泛应用于服务器网络启动。通过可信计算技术保障PXE启动过程的安全可信,防止PXE启动文件被恶意篡改,确保服务器的安全可信运行。网络安全等级保护标准要求基于可信根对服务器设备的系统引导程序、系统程序等进行可信验证。根据等级保护标准要求,提出一种基于TPCM的服务器可信PXE启动方法,保障服务器的BIOS固件、PXE启动文件、Linux系统文件的安全可信。在服务器进行PXE启动时,由TPCM度量BIOS固件,由BIOS启动环境度量PXE启动文件,由PXE启动环境度量Linux系统文件。以TPCM为信任根逐级度量、逐级信任,建立信任链,建立可信的服务器运行环境。所提方法在国产自主可控申威服务器上进行了实验,实验结果表明所提方法是可行的。
-
关键词
信息安全
可信计算
可信平台控制模块
可信启动
-
Keywords
information security
trusted computing
TPCM
trusted startup
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名基于虚拟化的多网安全办公系统研究与设计
被引量:5
- 4
-
-
作者
杨启超
徐开勇
尚京
何宙阳
-
机构
解放军信息工程大学
-
出处
《科学技术与工程》
北大核心
2014年第22期240-244,274,共6页
-
基金
国家自然科学基金项目(61072047)资助
-
文摘
信息化程度的不断提高,使得各部门在完成正常办公业务时通常都需要访问多个不同安全域网络,如内部办公网、外部办公网、互联网等。针对用户多网办公存在的安全问题,提出基于虚拟化的多网安全办公技术研究。通过引入受控策略、安全策略、可信策略等关键策略,实现信息单向导入、外设管控、虚拟机间信息受控拷贝、可信启动、透明存储加密等功能。最后给出安全办公原型系统,结果表明该系统在保证系统正常运行效率的同时能有效满足用户多网办公的安全需求。
-
关键词
虚拟化
多网办公
可信启动
信息受控
-
Keywords
virtualization
multiple network office
trusted startup
controlled information
-
分类号
TP316
[自动化与计算机技术—计算机软件与理论]
-
-
题名无校验值比对的可信链建立方法
- 5
-
-
作者
刘涛
董亚楠
-
机构
四川大学计算机学院
-
出处
《现代计算机》
2016年第22期9-13,共5页
-
文摘
可信平台模块(TPM)具有对度量校验值进行硬件级保护等特点,在可信引导过程中起到至关重要的作用,进而有力保障用户计算环境的安全性。然而目前尚有大量不具备TPM硬件的计算机,如何实现其可信引导从而建立安全的计算环境仍然亟待解决。针对在没有TPM硬件的环境中度量校验值安全性难以保证的问题,提出一种无校验值比对的可信链建立方法。这种方法采用在操作系统引导时输入密钥来动态解码二进制指令流的模式,充分利用在操作系统引导这一特殊时期软硬件环境尚不完整,尝试破解密钥代价高昂的特点。通过实验验证这种方法的有效性。
-
关键词
可信链
可信度量
可信引导
-
Keywords
trusted Chain
trusted Measurement
trusted startup
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名基于物联网技术的数字化校园网络安全防御系统设计
- 6
-
-
作者
解晓盈
-
机构
杨凌职业技术学院
-
出处
《自动化与仪器仪表》
2023年第9期151-155,共5页
-
基金
《“双高”背景下高职院校融媒体对外宣传思想教育策略研究与实践》(SK22-77)。
-
文摘
针对校园网络设备易受木马病毒攻击,导致网络安全防御效果降低的问题。提出设计一个基于物联网技术的数字化校园网络安全防御系统。首先,基于可信物联网设备和i.MX6q开发板,搭建基础可信物联网设备原型系统;然后在原型系统的基础上搭建一个基于TrustZone的可信物联网设备系统,通过TrustZone的安全和可信混合启动技术保证系统启动阶段的完整性。实验结果表明,设计的原型系统功能完善,具备可行性。且Flash Bootloader的安全启动模块运行时间占Bootloader启动时间的比例为0.89%,OP-TEE OS的可信启动模块运行时间占OP-TEE OS启动时间的比例为37.79%,对比于OP-TEE OS的可信启动模块,Flash Bootloader的安全启动模块对系统产生的性能影响较小。进一步验证提出的基于安全和可信混合启动技术可有效保证系统的完整性,从而增强系统安全性。
-
关键词
物联网
安全防御
trustZONE
安全和可信混合启动
完整性度量
-
Keywords
internet of things
security defense
trustZone
security and trusted hybrid startup
integrity measure
-
分类号
TP392
[自动化与计算机技术—计算机应用技术]
-
