摘要：操作系统可信性的建立是从整个计算机系统加电引导开始直至操作系统运行环境最终的创建,对任意一可能降低操作系统可信性的执行代码操作都要进行一致性度量。本文基于可信计算联盟的规范,分析了基于T■的可信引导过程,提出了一种新的可信引导过程:并行可复原可信引导过程一在主机CPU与TPM之间采用并行作方式,并支持被验证组件代码的备份和恢复。然后利用通道技术设计和实现了这一引导过程。最后对该引导过进行了安全和性能分析,分析表明该引导过程可以使计算机获得更高的安全保障,为进一步建立可信计算环境提供基础。

摘要：基于可信计算联盟的规范,设计了基于TPM的可信引导过程,并指出了该可信引导过程中亟待解决的问题。安全性分析表明,该可信引导过程可以使计算机获得更高的安全保障,为进一步建立可信计算环境提供了基础。

摘要：针对目前国产自主平台对应用程序执行缺乏有效安全管控的问题,根据可信计算基本原理,提出了一种国产自主平台下构建可信执行环境的方法。设计并实现了国产自主平台下的可信执行环境,在应用程序启动之前,完成对应用程序启动的可信验证,主动保护应用程序执行的安全性。实验表明该方法切实可行,具备执行效率高的优点,为国产自主平台下应用程序的安全执行提供了一种有效的安全管控措施。

摘要：Android手机、平板电脑等智能移动终端的快速普及,使得对Android系统安全性能的需求也在不断提高.当前比较普遍的做法是在终端上安装监控软件来检测病毒和恶意软件等,但这种方式并不能保证监控软件不被旁路、欺骗和篡改.针对这个问题,本文设计并实现了基于上下文的Android移动终端可信运行控制系统,通过对Android OS安全启动信任链的构建,保证了系统的安全,同时支持基于地理位置的Android应用程序的完整性远程验证.

摘要：提出一种用TPM实现可信Hash树的方法.Hash树具有保护少量信息即可度量大量数据的性质,而TPM为保护Hash树的少量信息提供了基础.在TPM和访问TPM的进程不被攻击的前提下,基于TPM的完整性度量机制,可以保证Hash树的可信.本文称这种基于TPM实现的Hash树为T_Hash树.以T_Hash树为基础,针对完整性度量请求集中于待度量数据某个局部的应用场景,我们设计了TF_Hash树和TFC_Hash树.分析证明:这三种Hash树能够发现对它们的非法篡改行为,是可信的Hash树.实验表明:在特定的应用环境,TF_Hash树有比T_Hash树更好的效率,而TFC_Hash树的性能较TF_Hash树也有进一步的提升.

摘要：为了解决因不可信移动终端非法接入内网导致的信息安全问题,设计了一种基于加密SD卡的内网移动终端可信接入方案。通过可信计算技术,以加密SD卡作为可信硬件设备实现了移动终端设备的可信启动、完整性验证与内网可信接入,并对接入后移动终端与内网的数据交互过程提供了一种加密通信安全存储机制。实验结果表明,该方案在不改变移动终端基本架构的前提下,较为高效地对移动终端进行安全性认证,并在一定程度上保护内网环境的安全。

摘要：大多数可信网络系统使用的完整性度量技术仅能度量可执行文件而忽略了脚本文件,造成安全隐患。针对该问题,设计实现一种基于流量特征的可信网络系统,不仅对终端进行完整性度量,还利用终端网络流量的周期统计信息判断终端的完整性状态,由此保证脚本文件的可信性。在Linux上实现该系统,结果证明其能够快速检测出特定的脚本病毒。

摘要：为了解决Kerberos协议缺乏对计算机网络终端的保护的问题,引入可信计算技术对协议进行安全加固,加入对客户端完整性的验证,将数字签名引入传统的票据中,以保证客户端的完整性和密钥的安全性;在Linux下搭建可信计算平台,通过调用TPM功能,实现Kerberos协议的可信安全加固方案。验证平台表明,使用可信计算平台技术对Kerberos协议进行安全加固是切实可行的。

摘要：当前可信计算机研究大多是基于国外TCG的TPM技术,使用国产关键软硬件研制自主可信计算机成为必要。提出基于国产可信芯片、采用龙芯处理器、支持中标麒麟操作系统的可信计算机的设计,并从软件、硬件和BIOS设计三个方面具体阐述了设计方法。IC卡密钥加载、基于USB-Key的用户身份认证以及系统的完整性度量,共同保证了系统资源的安全可信。

摘要：针对校园网络设备易受木马病毒攻击,导致网络安全防御效果降低的问题。提出设计一个基于物联网技术的数字化校园网络安全防御系统。首先,基于可信物联网设备和***6q开发板,搭建基础可信物联网设备原型系统;然后在原型系统的基础上搭建一个基于TrustZone的可信物联网设备系统,通过TrustZone的安全和可信混合启动技术保证系统启动阶段的完整性。实验结果表明,设计的原型系统功能完善,具备可行性。且Flash Bootloader的安全启动模块运行时间占Bootloader启动时间的比例为0.89%,OP-TEE OS的可信启动模块运行时间占OP-TEE OS启动时间的比例为37.79%,对比于OP-TEE OS的可信启动模块,Flash Bootloader的安全启动模块对系统产生的性能影响较小。进一步验证提出的基于安全和可信混合启动技术可有效保证系统的完整性,从而增强系统安全性。