可信计算环境安全技术研究
【摘要】:可信计算(Trusted Computing, TC)是一种基于安全芯片(Trusted Platform Module, TPM)的信息安全技术,提高系统整体的安全性。平台状态证明(Attestation of the platform)是可信计算平台必须提供的功能之一,其主要技术手段是完整性度量(Integrity Measurement)。在可信计算逐步进入人们的日常生产、生活并展开大规模应用之时,如何提高与完善可信计算平台的平台状态证明能力是一个必须妥善解决的关键性问题之一。
本论文针对上述问题,以基于可信计算的完整性度量为主要研究对象,研究和总结了可信计算相关安全技术的发展现状和未来趋势,在借鉴现有研究成果的基础上,对基于可信计算的完整性度量技术与方法及其应用、可信网络以及可信链模型进行了创新性和探索性研究,主要包括以下若干研究内容。
(1)详细研究了可信计算平台仿真环境的构建方法,提出了一种新的硬件、软件相结合的可信计算平台仿真实验环境ESW-TPM (Extended Software-TPM),用于本论文后继研究工作的实验平台;
(2)详细研究了基于可信计算的完整性度量方法,针对不同的应用环境,分别提出了基于主机的完整性度量方法和基于网络的完整性按需度量方法,以ESW-TPM为实验平台进行仿真实验及分析;
(3)详细研究了本论文的完整性度量方法的若干应用,分别提出了基于可信计算的数据封装方法、Android手机轻量级访问控制方法以及在Linux服务器通信安全方面的应用;
(4)研究了用户网络行为可信性评估技术,提出了一种无监督的用户网络行为可信性评估方法,用于评估局域网的用户网络行为的可信性;
(5)研究了基于可信计算的信任传递理论,建立了基于随机进程代数的可信链语义模型,提出了完整性度量粒度的概念,用于刻画完整性度量粒度与计算平台完整可信之间的关系以及与完整性度量性能消耗之间的关系;
(6)研究了基于可信计算的信任传递的行为特性,建立了基于Petri网的可信链模型,论证了可信链的若干行为特性。
本论文采取了从技术实践到理论研究的技术路线,对可信计算平台仿真实验环境、完整性度量及其应用、可信网络以及可信链模型进行了较深入的研究。通过硬件仿真和软件模拟的方式构建了可信计算平台仿真实验环境,在此基础上研究并提出了新的基于可信计算的完整性度量方法,研究了可信网络用户行为的可信性评估方法,提出了完整性度量粒度的概念,建立了两种可信链模型,认证了完整性度量粒度与计算平台完整可信间的关系以及基于可信计算的信任传递行为的若干特性。