摘要：针对软件定义网络(SDN,software defined networking)中匹配域范围有限和缺乏有效的数据来源验证机制问题,提出基于密码标识的SDN安全控制转发方法。首先,根据用户身份、文件属性或业务内容等特征信息生成密码标识,为数据流打上密码标识并用基于密码标识的私钥签名。其次,在其进出网络时验证签名,确保数据的真实性,同时将密码标识设计为转发设备能识别的匹配项,基于密码标识定义网络转发行为,形成基于人、物、业务流等细粒度网络控管能力。最后,通过实验分析验证该方法的有效性。

摘要：可信计算规范要求可信计算平台上运行的所有组件均要保证可信,这一机制严重制约了可信计算平台的应用.本文提出一种容忍非信任组件的可信终端模型,与现有可信计算平台相比,该模型允许非信任组件的存在,但同时能保证安全结果可预测和可控性.模型分为可信域和容忍非信任组件的不可信域.基于信息流无干扰理论和域间无干扰思想,给出非信任组件容忍机制并推导出可信终端应满足的充分条件.在此基础上给出具体的物理模型设计,并证明该模型为可信终端模型.

摘要：针对现在大量遗留系统中存在的非信任组件会造成终端安全操作隐患这一问题,提出了一种基于嵌入式可信系统的可容忍非信任组件的计算平台,该平台在不改变现有终端硬件结构以及上层操作系统的前提下,允许非信任组件的存在,并采用虚拟机等技术保证非信任组件不会造成严重的安全威胁。另外,基于IMA与SB两种度量模型为该平台设计了新的完整性度量模型,该度量模型借鉴IMA对嵌入式系统进行度量,而对于上层平台则使用由虚拟机支持的SB模型,以保证平台的可信启动、进程的可信加载、程序的可信运行安全有效。

摘要：针对软件定义网络(SDN)中缺乏安全高效的数据来源验证机制问题,该文提出基于密码标识的报文转发验证机制。首先,建立基于密码标识的报文转发验证模型,将密码标识作为IP报文进出网络的通行证。其次,设计SDN批量匿名认证协议,将SDN控制器的验证功能下放给SDN交换机,由SDN交换机进行用户身份验证和密码标识验证,快速过滤伪造、篡改等非法报文,提高SDN控制器统一认证与管理效率,同时可为用户提供条件隐私保护。提出基于密码标识的任意节点报文抽样验证方案,任何攻击者无法通过推断采样来绕过报文检测,确保报文的真实性的同时降低其处理延迟。最后,进行安全性分析和性能评估。结果表明该机制能快速检测报文伪造和篡改及抵抗ID分析攻击,但同时引入了大约9.6%的转发延迟和低于10%的通信开销。

摘要：数字时间戳(DTS)技术被广泛用于数字签名、电子商务及各种软硬件产品的专利和产权保护。在一些网络状况差、网速变化大、时断时续的不可靠网络中,缺乏必要的技术手段来保证时间戳服务的正常、有效运行。根据不可靠网络的特点,设计了一个不实时依赖时间戳服务中心(TSA)的时间服务模型,每次进行时间戳服务时不再需要与远程TSA进行通信,而是通过本地可信平台来进行时间戳服务。还提出一种不可靠网络环境下基于可信平台模块(TPM)的数字时间戳服务协议,并对协议进行了安全性分析。结果表明,协议是安全的,协议产生的时间误差是可控的,对不可靠网络有很好的适应性。

摘要：为解决集群系统中安全机制被旁路、破坏的问题,提出一种基于可信连接的集群TCB构建技术。利用图的方法给出集群TCB的定义,利用密码技术,结合可信计算思想,给出集群节点TCB间可信连接管道构建机制,基于可信连接管道,提出一种集群TCB的构建方法。验证结果表明,该技术是安全可信的,可用于企业大型应用、云计算应用等集群计算模式系统中,为这些系统的安全奠定坚实基础。