摘要：可信网络连接是信任关系从终端扩展到网络的关键技术.但是,TCG的TNC架构和中国的TCA架构均面向有中心的强身份网络,在实际部署中存在访问控制单点化、策略决策中心化的问题.此外,信任扩展使用二值化的信任链传递模型,与复杂网络环境的安全模型并不吻合,对网络可信状态的刻画不够准确.针对上述问题,在充分分析安全世界信任关系的基础上,提出一种基于区块链的分布式可信网络连接架构——B-TNC,其本质是对传统可信网络连接进行分布式改造.B-TNC充分融合了区块链去中心化、防篡改、可追溯的安全特性,实现了更强的网络信任模型.首先描述B-TNC的总体架构设计,概括其信任关系.然后,针对核心问题展开描述:(1)提出了面向访问控制、数据保护和身份认证的3种区块链系统;(2)提出了基于区块链技术构建分布式的可信验证者;(3)提出了基于DPoS共识的的远程证明协议.最后,对B-TNC进行正确性、安全性和效率分析.分析结果表明,B-TNC能够实现面向分布式网络的可信网络连接,具有去中心化、可追溯、匿名、不可篡改的安全特性,能够对抗常见的攻击,并且具备良好的效率.

摘要：本文团队曾提出基于硬件虚拟化技术构建虚拟化TCM的方法,并设计了硬件虚拟化TCM支撑的可信虚拟环境,但是并未对信任链的扩展提出详细的方案.基于此研究成果,提出了硬件虚拟化TCM支撑下的虚拟环境信任链扩展的方法,对信任链扩展的详细过程进行描述,构建了从p TCM到虚拟机的完整信任关系,并提出虚拟机与可信计算基绑定的方案.实验分析表明,本文方案能够在新型可信虚拟环境中实现信任链的扩展,有效增强计算环境安全,系统开销可接受.

摘要：针对高敏数据上云后造成数据孤岛,从而导致数据无法互相搜索、互相发现,进而无法共享的问题,提出了一种分布式的隐私保护数据搜索方案,该方案实现了分布式场景下数据和搜索条件双向保密,并能够建立可信的搜索存证。首先对数据模型进行定义,明确了方案保护的目标和应用场景;其次提出了方案的设计框架和协议流程,重点对基于区块链的可信数据交互通道、可信密钥共享模块和密文搜索引擎3个部分的整体性流程进行描述;然后提出了一种基于可信执行环境的密文态下的全文搜索引擎Tantivy-SGX,重点对原理和实现方法进行详细分析;最后对整体流程和核心部分进行实现与验证。实验结果表明,该方案高效可行,能够有效增强分布式环境下的数据发现与搜索安全。

摘要：虚拟可信密码模块(vTCM)架构在安全和性能上均存在缺陷,不满足特殊应用场景下高安全性的需求.本文基于设备虚拟化技术提出了一种TCM硬件虚拟化的实现架构,利用该架构设计密钥结构,得到构建高安全可信虚拟环境的方法,为虚拟机提供硬件级的可信密码服务.可行性验证分析表明,本系统能够增强可信虚拟环境安全性,提高系统效率.

摘要：针对移动支付中身份和支付认证的安全问题,本文研究了手机令牌技术和无证书签密体制.结合Android系统安全策略和通信特点,利用身份和设备信息生成手机令牌并安全存储,基于手机令牌实现无证书签密,在SSL协议下层设计和实现安全认证协议.在不改变系统架构、设备硬件以及基础网络安全协议的基础上,实现了移动支付的安全增强.安全性分析表明该协议能有效抵抗伪造身份攻击、中间人攻击和重放攻击,保证移动支付的安全,并具有良好的计算效率.

摘要：在大数据时代,不管是数据密集型的应用,还是以数据为驱动的AI应用,对算力的要求越来越高。随着超大规模集成电路和可重构计算技术的快速发展,对可重构密码芯片设计技术进行了研究,报告了当前可重构密码芯片的发展现状,针对可重构密码芯片的高性能与高灵活性应用需求,结合细粒度FPGA和粗粒度ASIC两种硬件架构的优势,提出了异构紧耦合的可重构密码芯片架构。基于该架构,给出了异构紧耦合的可重构密码芯片设计模型,利用FPGA实现灵活的控制逻辑,利用ASIC实现高速的密码运算,通过紧耦合的接口设计提高整体的处理性能。仿真结果表明,基于FPGA+ASIC的异构紧耦合可重构密码芯片,既可以实现较高的处理性能,又能灵活实现多种密码算法,可提供不同级别的数据安全保护能力。