可信计算远程证明与应用.pdf 作者-闫建红175页
减小字体
增大字体 内容简介:
可信计算是信息安全的一种新技术和新体系结构。远程证明是可信计算平台的重要功能之一。本书在海内外学者部分研究成果的基础上,介绍了作者在可信计算中的远程证明及其应用方面多年的研究成果。本书分为8章,主要包含了信息安全概述、可信计算、基于混合加密的可信软件栈数据封装、动态属性证明协议、度量行为信息基的可信证明、可信远程证明在DRM中的应用、基于TPM的物联网安全等内容。本书可作为信息安全及相关专业高年级本科生和研究生教材,也可供从事信息和网络安全、可信计算相关研
目录菜单:
扉页,内容 提 要,前言,关于作者,致谢,目录,第 1 章 信息安全概述,1.1 信息安全现状,1.2 信息攻击手段和防备措施,1.3 信息安全技术,1.4 传统技术的局限,第 2 章 可信计算,2.1 海内外可信计算的发展,2.2 安全基础设施,2.3 可信计算平台架构,2.4 可信计算平台的核心机制,2.5 可信平台远程证明,2.6 本章小结,第 3 章 基于混合加密的可信软件栈数据封装,3.1 可信软件栈的数据安全研究现状,3.2 可信计算软件服务,3.3 可信计算数据封装,3.4 改进原理和方法,3.5 数据密封应用,3.6 本章小结,第 4 章 动态属性证明协议,4.1 远程证明的相关协议研究,4.2 证明协议的表示,4.3 基于属性证明的协议,4.4 动态属性证明,4.5 动态属性远程证明模型,4.6 实验验证,4.7 安全性分析,4.8 本章小结,第 5 章 度量行为信息基的可信证明,5.1 可信计算行为证明的研究现状,5.2 软件行为和证明信息基,5.3 可信平台的行为信息基验证模型设计,5.4 实验与分析,5.5 本章小结,第 6 章 可信远程证明在 DRM中的应用,6.1 可信计算平台的DRM的研究现状,6.2 数字版权管理,6.3 基于可信计算的DRM的设计,6.4 安全性分析,6.5 本章小结,第 7 章 基于 TPM的物联网安全,7.1 物联网网络安全面临的问题,7.2 物联网网络安全问题的解决步骤,7.3 基于TPM物联网具有的功能,7.4 基于TPM的物联网设计,7.5 本章小结,第 8 章 总结与展望,8.1 本书总结,8.2 进一步研究展望,8.3 可信计算的研究领域和发展方向,8.4 下一步信息安全的热点问题,附录 术语解释,参考文献
文本摘要:厺上异步图书间建红著可信计算远程证明与应用6中国工信出版集团人民邮电出版社POSTSSTELECOMPRES前信息技术(InformationTechnology,是当今社会中最具活力的生产要索和战略资源。淘宝、微信、支付宝等技术和工具深入应用在社会的方方面面.信息技术的迅速发展给人们的生活带来更大便利的同时,危害信息安全的事件也不断发生,,如敌对势力恶意软件、黑客的攻击。信息安全关乎我们的生活,,也关系到国家和社会的安全。如2013年爆发的“棱镜门”事件,世界各地的网民之前绝不会想到他们在使用谷歌、Facebook.苹果等知名公司的网络产品进行社交、办公或存储信息时.他们屏幕的背后正隐藏着美国情报部门的身影。2014年12月12306官网逍受撞库攻击,,10多万用户数据遭泄露2015年7月,意大利专业黑客公司HackingTeam被黑,,400GB内部资料以及攻击工具被泄露。2016年夏季,美国民主党全国委员会、筹款委员会、竟选团队被黑客组织入侵,近2万封邮件被维基解密披露,邮件显示希拉里涉嫌抹黑竟争对于并可能涉嫌洗钱等财务问题。2017年5月中句出现的勒索病毒WannaCyy席卷全球网络等。鉴于此,信息安全在当今社会中的位置将越来越重要网络和信息安全技术也在不断变化和发展中.传统的安全技术-防火墙、杀毒软件、入侵检测已不能保证信息的安全。面对各种各样的恶意攻击和病毒,我们往往通过加大病毒库、砌高防火墙、增加入侵检测的复杂度等手段防备,但问题依然层出不穷,尤其对于在计算机硬盘上驻存的一些恶意程序更显得无能为力.这这些恶意程序会破坏系统,并在网络肆意传播。整个信息安全状况令人担忧:误报率多、安全投人增加、维护与管理成本高且更加复杂,使得使用信息系统的效率降低;尤其对一些新的病毒攻击入侵检测毫无防备能力针对这些问题,我们需要改变过去的思维方式,改变被动防备的局面。在用户终端倘若每个用户每次进入网络时都要授权和证明,操作需要验证,就会防患于未然,攻击性事故就会减少。只有将绝大多数不安全因素从终端源头进行控制,并从芯片、主板BIOS、操作系统入手,综合采取措施才能提高网络的安全性。可信计算(TrstcdComputng,TC)正是以此为出发点,包括硬件层面、操作系统层面、应用程序层面,通过在平台内部引入可信硬件设备作为可信根,采用软硬件相结合的技术,建立一条信任链,-级认证一级,-级信任一级,把信任关系扩大到整个计算机系统,这样就能确保计算机系统是可信的。可信计算的主要思想是在计算机中的主板上嵌入一个安全芯片,通过其提供的度量、身份证明和密钥功能来提高系统的安全性。可信计算组织(TrustedComputingGroup,『CG)已经对可信计算的相关技术和规范做了详细的定义,其核心是称为可信平台模块k(TrustedPlatformModule,TPM)的安全芯前言片。每个TCG平台都拥有一个TPM,以密码技术为支持,以安全操作系统为核心,从而提供了一种对终端平台运行环境、配置进行可信评估的技术。PC平台上的体系结构主要分为3层:TPM、TSS(TCGSoftwareStaek,TCG软件栈)和应用软件。。可信计算技术可以用在各种不同的设备上.包括安全协处理器密码加速器个人今牌:、软件狗以及增强型CPU、安全设备和多功能设备等,可以有效地解决因不安全终端接入网络而引螨虫等各类攻击真正拒绝-干网络之外起的安全威胁事件,将病毒可信计算技术在未来的网络安全领域将有广泛的应用前景远程证明是指一个节点将自已平台的某些信息各式和协议向另个节点报告使得另-节点能够获得这些信息美目的是保证两个节点的身份和安全属性符合对方的要求其平台状态是可靠的而在可信计算平台上的“远程证明”是是指在平台上使用身份认证密钥对当前存储的PCR值进行签名然后报告给远程挑战者其平台的状态,这是建立在可信度量、可信报告基础之上的技术,也是实现可信网络的重要基石。远程证明对于实现高可信网络服务环境加固信息安全纵深防移动设备御体系有极其重力大的理论和应用价值数字版权管理对云计筒物联网等安全网络应用系统领域的可信也具有较好的技术参考价值和应用前景。为了提高加密效率远程证明中的相关对象需要加密存储.必须对可信计算的软件架构进行研究,尤其是对其中的密封、,绑定等关键技术进行分析,这样不仅能方便用户还还能为其安全性提供分析基础,使用,从而降低安全风险。倘若改进其中制约性能的密码算法,也能提高远程证明中对象的加密存储效率远程证明建立在TSS和应用软件之间,而行为证明是在应用软件安装之后,对对远程行为进行度量。为了解决这个问题,首先要进行远程证明目前有二进制证明和属性证明两种方法。属性证明能隐藏平台软件和硬件的配置信息是静态的,不能动态验证现在正在运行的平台实时信息。因此需要设计能动态验证运行平台的实时信息且不会暴露平台配置信息的方法以保证协议的可行牛和保密性为了确认验证之后应用程序是否有恶意行为是否已经被恶意攻击有必要对验证之后的行为进行控制和度量.是建立在范畸论等数学基础上的类型描述语言它作为描述软件行为语义范畴的方法是建立数学方法与程序设计的桥梁。件行为的可信判断方法通过动态度量对平台软件行为进行可信判断。根据可信计算动态度量的实际需求,车软件行为可以作为平台的行为证明模型基于行为的验证保证在平台验证安今后,对远程的行为进行监控。经过组合之后的度量,可确保平台应用软件运行时的可信可信计算的远程证明可以应用到数字版权管理CDigitalRightsManagement,,DRM)中。DRM技术所面临的问题之是如何确保数字内容的使用是安全的,,确保可信的用户不会得到受保护的数字产品的非法拷贝。这就要求必须建立某种机制保证设备是可信的,而仅仅靠传统上的密钥保护显然是不够的。目目前,DRM系统的安全瓶颈在于用户端软件和数字内容许可证的保护。可信计算技术的产生和发展为DRM的安全使用提供了前前言很好的技术支持。授权用户可以得到数字内容的解密密钥,,而密钥又被硬件芯片所保护加密技术绑定硬件,从而防止了非法烤贝。在DRM中,数字内容的解密使用、权利的解析验证由客户端负责,,需要使用各种技术手段保证数字内容的可信使用。通过将DRM系统和可信计算的新技术结合起来用户可!和更可丁靠地使用数字产品可信计算可以严格地进行身信任启动台认证和加密传输。份识别物联网可以利用这些功能,解决过去只依赖软件机制进行安全保护所带来的软件漏洞问题防止恶意软件利用漏洞攻击。感知层进行身份认证和加密存储,网络层进行可信网络连接,应用层防止数据泄密,这样利用TPM进行层层保护可以保证物联网系统安全可靠地运行。本书聚焦于可信计算和远程证明为了提高证的加密存储效率,本书介绍了对软件栈进行的研究,,对远程证明中的静态和暴露隐私的问题进行的改进,对平台安全属性证明之后的行为证明进行的研究对对可信计算的远程证明在DRM中的应用进行的设计,对基于TPM的物联网在可信启动、平台认证和在传输数据中的远程认证进行的设计.本书内容共分8章,详细如下第1章,“信息安全概述":主要介绍信息安全的现状,以及各种攻击于段和防备措施还介绍了传统信息安全技术存在的局限性第2章,“可信计算":综述了可信计算在海内外的发展状况和安全基础设施的基本概念,对可信计算进行了简要介绍,,对可信计算的研究方向进行了说明;接着对可信计算平台体系结构做了详细描述;然后对可信计算平台的核心机制进行分析;最后详细对TCG提出的两种远程证明方案进行了探讨,为后面章节做了知识上的铺垫第3章,“基于混合加密的可信软件栈数据封装":介绍了可信计算软件栈的结构详细说明密封和解封的过程,分析并指出可信计算的RSA密钥机制是制约速度的原因。为此,本章提出将混合密钥机制的思想引入可信计算的设计,改进可信密码模块功能雨数对对证明协议的表示进行了定义,“动态属性证明协议":第4章并对属性证明协议进行形式化表示。本章提出了动态属性证明方案在基于证书的属性证明的基础上加入二进制验证机制,增加了对系统实时状态的验证;;还从证明协议证明模型和实验3个方面对动态属性证明协议进行了详细的介绍并对其安全性进行了分析。第5章,“度量行为信息基的可信证明":在软件行为学理论的基础上,)根据可信计算动态度量的实际需求,定义了基于软件行为证明的动态度量相关概念,将Merkle散列树引人行为树中,,对行为进行动态度量本章还设计了证明度量行为信息基模型,并通过实验进行分析。第6章,"可信远程证明在DRM中的应用":介绍了DRM系统的基本原理,,详细讨论DRM内容的完整性机制,指出其存在的技术问题。本章在可信计算的平台上对DRM系统的模型进行了设计,详细分析其过程,对用户的身份证明、许可证服务器和用户的前言远程证明、RS对DRM控制器的安全属性证明协议进行了设计。本章对内容下载、权利协商和权利包的相关协议进行了整体设计,最后对该设计进行了安全性分析。第7章,,“基于「PM的物联网安全":分析了物联网安全所面临的问题,指出基于TPM的物联网系统解决步骠,设计了利用JTPM的密钥系统进行身份认证:利用平台度量功能进行平台认证和加密存储,利利用绑定功能进行远程传输和远程认证;最后使用基于TPM的软件栈进行实现.第8章,“总结与展望":对本书做了总结,对下一步的研究进行了展望,并指出可信计算的研究领域和发展方向,最后探讨了下一步信息安全的热点问题。本书论述的可信计算远程证明的观点有以下特点。(1)基于混合加密的可信软件栈数据封装无其对密封和解封过程进行研究。分析可信计算软件栈的结构TSS层与数据密封有关的功能接口两数是TspiDataSeal和TspiDataUnseal,,用Sealing方法加密数据,并且用解封方法对其进行解密。随着数据块的增大,解封时间基本以线性增加,对更大数据的密封将需要更长的时间。指出可信计售算的RSAA密钥机制是制约速度的原因,为此提出将混合密钥机制的思想引入到可信计算的设计中,改进可信密码模块功能函数。改进后的方法能有效地减少加密时间,比较适合对较大的数据量进行密封,从而以较小的性能代价保障了用户数据的安全。(2)动态属性证明协议二进制方法和基于属性证书的证明是可信远程证明的两种证明方法。属性证明能隐藏平台软件和硬件的配置信息,是静态的不能动态验证正在运行的平台的实时信本书结合这两种方法的长处,提出了一-种基于动态属性的证明协议息。,并将二进制证明、属性证明结合到该协议中。在获得属性证书的过程中依赖于第三方,第三方提供了加解密服务。在第二阶段的动态属性证明中,其不再是静态的而是示证者和验证者的一次二进制证明,-阶段所得到的证书在后面可以多次使用。而可信第三方作为属性配置证书的颁发者可以离线;第二阶段是建立在示证者和验证者之间的证明通过比较证书中的平台配置寄存器(PlatformConfigurationnRegister,PCR)值和实时得到的PCR值,检验当前示证者是否满意-一定的属性要求,,以便验证者允许示证者使用它的服务(3)度量行为信息基的可信证明提出将Merkle散列树应用到TPM的行为证明中利用其灵活性和计算时间短的特性完成对行为的动态验证。给出创建证明度量行为信息基AM_AIB的过程,,根据当前行为的度量值,得到该时刻的roothash值,并且将roothash用于远程证明。利用Merkle散列树计算时间短的特性,在在验证过程中只验证客户端的rooLhash,以保护客户端的隐私。roothash由TPM签名,1传递给服务器端验证倘若和服务器端的roothash一致:表明该行为是可信的。还可根据行为特性设计不同粒度的行为信息基。该模型验证方式前言灵活,能提高时间性能保护平台隐私,还克服了基于属性验证的静态特点保了平台应用软件运行时可信(4)基于可信远程证明的数字版权管理在基于可信计算的平台上对」系统的模型进行了设计.DRM提出内容服务器(ContentServer,CS)对用户的身份证明1从而保护“了用户的隐私,方法IDAA,防止了DoS在许可证服务器(Right攻击;RS)和用户的远禾程证明中Server,提出将密钥协议引入可信计算,在TPM内部产生相应的RSA密钥,用RSA密钥产生用来加密的会话密钥.对数字内容权限加密,并通过生成的随机数防止重放攻击防止恶意程序攻击。RS对DRM控制器的安全属性证明使用动证明方法通过度量行为信息基对系统的行为进行实时的监控。。对内容下载权利协商和权利包的相关协议进行了一个整体的设计、通过安全性分析,指出其能保证DRM内容和RO(RightsObiect)的完整性和机密性,,防止对CS和RS的攻击,具有不可否认性,并保证了DRM控制器的安全性(5)基于TPM的物联网安全传统的物联网使用软件机制进行保护但恶意软件常常利用软件漏洞算改环境和数据,使平台在一个不可靠、不安全的环境下运行。基于FTPM的物联网就是利用其特有的软硬件机制,利用TPM严格的平台度量功能和密钥体系,保障物联网在感知层、、网络层和应用层的平台存储和传输的安全本书提到的实验使用TPMEmulator模仿TPM芯片。对可信软件栈的改进TSS采用的是开源软件Trousers0.3.6。应用程序首先通过TSPI接口调用相关的函数,再通过TCS使用TDDL,tTDDLI接口使用TPM。,对于远程证明,通过先进行远程平台的属性对于验证平台的安全属性是否达到远程的安全要求,证明,根据本书提出的思想,,可不然后载入应用程序;之后,断地进行远程的属性验证,验证应用程序的行为是否可信,即本书的度量行为信息基的可信证明,验证行为的动态特性。本书中,,动态属性证明和度量行为信息基的可信证明使用的是可信协议栈IAIK订SS.安装OpenJDK1.6.0,拟机JDK进行程序设计,采用Eclipse:3.2开发工具.使用TPM的相关接口两数,借度量行为信息基理论在Java虚拟平台上验证客户端品和服务器端:间的远程证明,对基于行为的远程证明进行验证通过在理论上对可信协议栈可信计算的远程证明,可信计算的应用模型的建立分析其安全性、性能,然后通过可信计算实验平台进行验证。证时先进行理论研究再通过实验证明。在可信计算平台下,设计了基于可信计算的DRM系统模型。对数字版权管理的相关协议进行了讨论和设计。在已建立的可信平台可信软件栈的基础上,嵌人一个媒体播放软件,对数字内容的加密许可证的发放等技术进行了研究。在物联网系统的每个节点中嵌人TPM芯片,在此基础上进行安全策略的研究。在感知层利用密钥进行身份识别,利用平台寄存器状态进行平台安全认证和密封;在网络层利用可信计算网络协议进行网络连接:在应用层绑定数据不被泄露,使用基于TPM的软件栈进行编前言程。总的来说,在理论方面,进行模型的抽象、形式化的表示安全性的证明;在实验方面,搭建可信计算平台,通过实验进行验证和分析。本书对外部内容和观点的引用按原始出处列入了参考文献,在此向所引内容和观点的作者表示感谢。如有因各种原因造成的引注错误和疏漏,请广大读者指出本书主要内容是围绕山西省自然科学基金项目《可信虚拟语义认证研究》No.2009011022-2)、山西省留学基金项目《虚拟可信安全服务研究》(No.2009-28)、山西省高校创新项目《基于可信网络连接的动态远程认证》(No.20101115)部分工作展开的,且受到了山西省自然科学基金项目《不平衡数据流重抽样和学习算法研究》(No.2015011039)资助作者一直对可信计算和远程认证进行理论和应用的研究,本书是作者多年工作成果的总结。限于作者的学识水平和时间仓促书中难免存在错误及不妥之处,悬请广大读者和业界同仁不音赐教。希望本书能对可信计算与远程证明的理论和应用起到一定参考作用。叜
艋可信计算远程证明与应用.pdf下载链接:点此立刻下载
可信计算是信息安全的一种新技术和新体系结构。远程证明是可信计算平台的重要功能之一。本书在海内外学者部分研究成果的基础上,介绍了作者在可信计算中的远程证明及其应用方面多年的研究成果。本书分为8章,主要包含了信息安全概述、可信计算、基于混合加密的可信软件栈数据封装、动态属性证明协议、度量行为信息基的可信证明、可信远程证明在DRM中的应用、基于TPM的物联网安全等内容。本书可作为信息安全及相关专业高年级本科生和研究生教材,也可供从事信息和网络安全、可信计算相关研
目录菜单:
扉页,内容 提 要,前言,关于作者,致谢,目录,第 1 章 信息安全概述,1.1 信息安全现状,1.2 信息攻击手段和防备措施,1.3 信息安全技术,1.4 传统技术的局限,第 2 章 可信计算,2.1 海内外可信计算的发展,2.2 安全基础设施,2.3 可信计算平台架构,2.4 可信计算平台的核心机制,2.5 可信平台远程证明,2.6 本章小结,第 3 章 基于混合加密的可信软件栈数据封装,3.1 可信软件栈的数据安全研究现状,3.2 可信计算软件服务,3.3 可信计算数据封装,3.4 改进原理和方法,3.5 数据密封应用,3.6 本章小结,第 4 章 动态属性证明协议,4.1 远程证明的相关协议研究,4.2 证明协议的表示,4.3 基于属性证明的协议,4.4 动态属性证明,4.5 动态属性远程证明模型,4.6 实验验证,4.7 安全性分析,4.8 本章小结,第 5 章 度量行为信息基的可信证明,5.1 可信计算行为证明的研究现状,5.2 软件行为和证明信息基,5.3 可信平台的行为信息基验证模型设计,5.4 实验与分析,5.5 本章小结,第 6 章 可信远程证明在 DRM中的应用,6.1 可信计算平台的DRM的研究现状,6.2 数字版权管理,6.3 基于可信计算的DRM的设计,6.4 安全性分析,6.5 本章小结,第 7 章 基于 TPM的物联网安全,7.1 物联网网络安全面临的问题,7.2 物联网网络安全问题的解决步骤,7.3 基于TPM物联网具有的功能,7.4 基于TPM的物联网设计,7.5 本章小结,第 8 章 总结与展望,8.1 本书总结,8.2 进一步研究展望,8.3 可信计算的研究领域和发展方向,8.4 下一步信息安全的热点问题,附录 术语解释,参考文献
文本摘要:厺上异步图书间建红著可信计算远程证明与应用6中国工信出版集团人民邮电出版社POSTSSTELECOMPRES前信息技术(InformationTechnology,是当今社会中最具活力的生产要索和战略资源。淘宝、微信、支付宝等技术和工具深入应用在社会的方方面面.信息技术的迅速发展给人们的生活带来更大便利的同时,危害信息安全的事件也不断发生,,如敌对势力恶意软件、黑客的攻击。信息安全关乎我们的生活,,也关系到国家和社会的安全。如2013年爆发的“棱镜门”事件,世界各地的网民之前绝不会想到他们在使用谷歌、Facebook.苹果等知名公司的网络产品进行社交、办公或存储信息时.他们屏幕的背后正隐藏着美国情报部门的身影。2014年12月12306官网逍受撞库攻击,,10多万用户数据遭泄露2015年7月,意大利专业黑客公司HackingTeam被黑,,400GB内部资料以及攻击工具被泄露。2016年夏季,美国民主党全国委员会、筹款委员会、竟选团队被黑客组织入侵,近2万封邮件被维基解密披露,邮件显示希拉里涉嫌抹黑竟争对于并可能涉嫌洗钱等财务问题。2017年5月中句出现的勒索病毒WannaCyy席卷全球网络等。鉴于此,信息安全在当今社会中的位置将越来越重要网络和信息安全技术也在不断变化和发展中.传统的安全技术-防火墙、杀毒软件、入侵检测已不能保证信息的安全。面对各种各样的恶意攻击和病毒,我们往往通过加大病毒库、砌高防火墙、增加入侵检测的复杂度等手段防备,但问题依然层出不穷,尤其对于在计算机硬盘上驻存的一些恶意程序更显得无能为力.这这些恶意程序会破坏系统,并在网络肆意传播。整个信息安全状况令人担忧:误报率多、安全投人增加、维护与管理成本高且更加复杂,使得使用信息系统的效率降低;尤其对一些新的病毒攻击入侵检测毫无防备能力针对这些问题,我们需要改变过去的思维方式,改变被动防备的局面。在用户终端倘若每个用户每次进入网络时都要授权和证明,操作需要验证,就会防患于未然,攻击性事故就会减少。只有将绝大多数不安全因素从终端源头进行控制,并从芯片、主板BIOS、操作系统入手,综合采取措施才能提高网络的安全性。可信计算(TrstcdComputng,TC)正是以此为出发点,包括硬件层面、操作系统层面、应用程序层面,通过在平台内部引入可信硬件设备作为可信根,采用软硬件相结合的技术,建立一条信任链,-级认证一级,-级信任一级,把信任关系扩大到整个计算机系统,这样就能确保计算机系统是可信的。可信计算的主要思想是在计算机中的主板上嵌入一个安全芯片,通过其提供的度量、身份证明和密钥功能来提高系统的安全性。可信计算组织(TrustedComputingGroup,『CG)已经对可信计算的相关技术和规范做了详细的定义,其核心是称为可信平台模块k(TrustedPlatformModule,TPM)的安全芯前言片。每个TCG平台都拥有一个TPM,以密码技术为支持,以安全操作系统为核心,从而提供了一种对终端平台运行环境、配置进行可信评估的技术。PC平台上的体系结构主要分为3层:TPM、TSS(TCGSoftwareStaek,TCG软件栈)和应用软件。。可信计算技术可以用在各种不同的设备上.包括安全协处理器密码加速器个人今牌:、软件狗以及增强型CPU、安全设备和多功能设备等,可以有效地解决因不安全终端接入网络而引螨虫等各类攻击真正拒绝-干网络之外起的安全威胁事件,将病毒可信计算技术在未来的网络安全领域将有广泛的应用前景远程证明是指一个节点将自已平台的某些信息各式和协议向另个节点报告使得另-节点能够获得这些信息美目的是保证两个节点的身份和安全属性符合对方的要求其平台状态是可靠的而在可信计算平台上的“远程证明”是是指在平台上使用身份认证密钥对当前存储的PCR值进行签名然后报告给远程挑战者其平台的状态,这是建立在可信度量、可信报告基础之上的技术,也是实现可信网络的重要基石。远程证明对于实现高可信网络服务环境加固信息安全纵深防移动设备御体系有极其重力大的理论和应用价值数字版权管理对云计筒物联网等安全网络应用系统领域的可信也具有较好的技术参考价值和应用前景。为了提高加密效率远程证明中的相关对象需要加密存储.必须对可信计算的软件架构进行研究,尤其是对其中的密封、,绑定等关键技术进行分析,这样不仅能方便用户还还能为其安全性提供分析基础,使用,从而降低安全风险。倘若改进其中制约性能的密码算法,也能提高远程证明中对象的加密存储效率远程证明建立在TSS和应用软件之间,而行为证明是在应用软件安装之后,对对远程行为进行度量。为了解决这个问题,首先要进行远程证明目前有二进制证明和属性证明两种方法。属性证明能隐藏平台软件和硬件的配置信息是静态的,不能动态验证现在正在运行的平台实时信息。因此需要设计能动态验证运行平台的实时信息且不会暴露平台配置信息的方法以保证协议的可行牛和保密性为了确认验证之后应用程序是否有恶意行为是否已经被恶意攻击有必要对验证之后的行为进行控制和度量.是建立在范畸论等数学基础上的类型描述语言它作为描述软件行为语义范畴的方法是建立数学方法与程序设计的桥梁。件行为的可信判断方法通过动态度量对平台软件行为进行可信判断。根据可信计算动态度量的实际需求,车软件行为可以作为平台的行为证明模型基于行为的验证保证在平台验证安今后,对远程的行为进行监控。经过组合之后的度量,可确保平台应用软件运行时的可信可信计算的远程证明可以应用到数字版权管理CDigitalRightsManagement,,DRM)中。DRM技术所面临的问题之是如何确保数字内容的使用是安全的,,确保可信的用户不会得到受保护的数字产品的非法拷贝。这就要求必须建立某种机制保证设备是可信的,而仅仅靠传统上的密钥保护显然是不够的。目目前,DRM系统的安全瓶颈在于用户端软件和数字内容许可证的保护。可信计算技术的产生和发展为DRM的安全使用提供了前前言很好的技术支持。授权用户可以得到数字内容的解密密钥,,而密钥又被硬件芯片所保护加密技术绑定硬件,从而防止了非法烤贝。在DRM中,数字内容的解密使用、权利的解析验证由客户端负责,,需要使用各种技术手段保证数字内容的可信使用。通过将DRM系统和可信计算的新技术结合起来用户可!和更可丁靠地使用数字产品可信计算可以严格地进行身信任启动台认证和加密传输。份识别物联网可以利用这些功能,解决过去只依赖软件机制进行安全保护所带来的软件漏洞问题防止恶意软件利用漏洞攻击。感知层进行身份认证和加密存储,网络层进行可信网络连接,应用层防止数据泄密,这样利用TPM进行层层保护可以保证物联网系统安全可靠地运行。本书聚焦于可信计算和远程证明为了提高证的加密存储效率,本书介绍了对软件栈进行的研究,,对远程证明中的静态和暴露隐私的问题进行的改进,对平台安全属性证明之后的行为证明进行的研究对对可信计算的远程证明在DRM中的应用进行的设计,对基于TPM的物联网在可信启动、平台认证和在传输数据中的远程认证进行的设计.本书内容共分8章,详细如下第1章,“信息安全概述":主要介绍信息安全的现状,以及各种攻击于段和防备措施还介绍了传统信息安全技术存在的局限性第2章,“可信计算":综述了可信计算在海内外的发展状况和安全基础设施的基本概念,对可信计算进行了简要介绍,,对可信计算的研究方向进行了说明;接着对可信计算平台体系结构做了详细描述;然后对可信计算平台的核心机制进行分析;最后详细对TCG提出的两种远程证明方案进行了探讨,为后面章节做了知识上的铺垫第3章,“基于混合加密的可信软件栈数据封装":介绍了可信计算软件栈的结构详细说明密封和解封的过程,分析并指出可信计算的RSA密钥机制是制约速度的原因。为此,本章提出将混合密钥机制的思想引入可信计算的设计,改进可信密码模块功能雨数对对证明协议的表示进行了定义,“动态属性证明协议":第4章并对属性证明协议进行形式化表示。本章提出了动态属性证明方案在基于证书的属性证明的基础上加入二进制验证机制,增加了对系统实时状态的验证;;还从证明协议证明模型和实验3个方面对动态属性证明协议进行了详细的介绍并对其安全性进行了分析。第5章,“度量行为信息基的可信证明":在软件行为学理论的基础上,)根据可信计算动态度量的实际需求,定义了基于软件行为证明的动态度量相关概念,将Merkle散列树引人行为树中,,对行为进行动态度量本章还设计了证明度量行为信息基模型,并通过实验进行分析。第6章,"可信远程证明在DRM中的应用":介绍了DRM系统的基本原理,,详细讨论DRM内容的完整性机制,指出其存在的技术问题。本章在可信计算的平台上对DRM系统的模型进行了设计,详细分析其过程,对用户的身份证明、许可证服务器和用户的前言远程证明、RS对DRM控制器的安全属性证明协议进行了设计。本章对内容下载、权利协商和权利包的相关协议进行了整体设计,最后对该设计进行了安全性分析。第7章,,“基于「PM的物联网安全":分析了物联网安全所面临的问题,指出基于TPM的物联网系统解决步骠,设计了利用JTPM的密钥系统进行身份认证:利用平台度量功能进行平台认证和加密存储,利利用绑定功能进行远程传输和远程认证;最后使用基于TPM的软件栈进行实现.第8章,“总结与展望":对本书做了总结,对下一步的研究进行了展望,并指出可信计算的研究领域和发展方向,最后探讨了下一步信息安全的热点问题。本书论述的可信计算远程证明的观点有以下特点。(1)基于混合加密的可信软件栈数据封装无其对密封和解封过程进行研究。分析可信计算软件栈的结构TSS层与数据密封有关的功能接口两数是TspiDataSeal和TspiDataUnseal,,用Sealing方法加密数据,并且用解封方法对其进行解密。随着数据块的增大,解封时间基本以线性增加,对更大数据的密封将需要更长的时间。指出可信计售算的RSAA密钥机制是制约速度的原因,为此提出将混合密钥机制的思想引入到可信计算的设计中,改进可信密码模块功能函数。改进后的方法能有效地减少加密时间,比较适合对较大的数据量进行密封,从而以较小的性能代价保障了用户数据的安全。(2)动态属性证明协议二进制方法和基于属性证书的证明是可信远程证明的两种证明方法。属性证明能隐藏平台软件和硬件的配置信息,是静态的不能动态验证正在运行的平台的实时信本书结合这两种方法的长处,提出了一-种基于动态属性的证明协议息。,并将二进制证明、属性证明结合到该协议中。在获得属性证书的过程中依赖于第三方,第三方提供了加解密服务。在第二阶段的动态属性证明中,其不再是静态的而是示证者和验证者的一次二进制证明,-阶段所得到的证书在后面可以多次使用。而可信第三方作为属性配置证书的颁发者可以离线;第二阶段是建立在示证者和验证者之间的证明通过比较证书中的平台配置寄存器(PlatformConfigurationnRegister,PCR)值和实时得到的PCR值,检验当前示证者是否满意-一定的属性要求,,以便验证者允许示证者使用它的服务(3)度量行为信息基的可信证明提出将Merkle散列树应用到TPM的行为证明中利用其灵活性和计算时间短的特性完成对行为的动态验证。给出创建证明度量行为信息基AM_AIB的过程,,根据当前行为的度量值,得到该时刻的roothash值,并且将roothash用于远程证明。利用Merkle散列树计算时间短的特性,在在验证过程中只验证客户端的rooLhash,以保护客户端的隐私。roothash由TPM签名,1传递给服务器端验证倘若和服务器端的roothash一致:表明该行为是可信的。还可根据行为特性设计不同粒度的行为信息基。该模型验证方式前言灵活,能提高时间性能保护平台隐私,还克服了基于属性验证的静态特点保了平台应用软件运行时可信(4)基于可信远程证明的数字版权管理在基于可信计算的平台上对」系统的模型进行了设计.DRM提出内容服务器(ContentServer,CS)对用户的身份证明1从而保护“了用户的隐私,方法IDAA,防止了DoS在许可证服务器(Right攻击;RS)和用户的远禾程证明中Server,提出将密钥协议引入可信计算,在TPM内部产生相应的RSA密钥,用RSA密钥产生用来加密的会话密钥.对数字内容权限加密,并通过生成的随机数防止重放攻击防止恶意程序攻击。RS对DRM控制器的安全属性证明使用动证明方法通过度量行为信息基对系统的行为进行实时的监控。。对内容下载权利协商和权利包的相关协议进行了一个整体的设计、通过安全性分析,指出其能保证DRM内容和RO(RightsObiect)的完整性和机密性,,防止对CS和RS的攻击,具有不可否认性,并保证了DRM控制器的安全性(5)基于TPM的物联网安全传统的物联网使用软件机制进行保护但恶意软件常常利用软件漏洞算改环境和数据,使平台在一个不可靠、不安全的环境下运行。基于FTPM的物联网就是利用其特有的软硬件机制,利用TPM严格的平台度量功能和密钥体系,保障物联网在感知层、、网络层和应用层的平台存储和传输的安全本书提到的实验使用TPMEmulator模仿TPM芯片。对可信软件栈的改进TSS采用的是开源软件Trousers0.3.6。应用程序首先通过TSPI接口调用相关的函数,再通过TCS使用TDDL,tTDDLI接口使用TPM。,对于远程证明,通过先进行远程平台的属性对于验证平台的安全属性是否达到远程的安全要求,证明,根据本书提出的思想,,可不然后载入应用程序;之后,断地进行远程的属性验证,验证应用程序的行为是否可信,即本书的度量行为信息基的可信证明,验证行为的动态特性。本书中,,动态属性证明和度量行为信息基的可信证明使用的是可信协议栈IAIK订SS.安装OpenJDK1.6.0,拟机JDK进行程序设计,采用Eclipse:3.2开发工具.使用TPM的相关接口两数,借度量行为信息基理论在Java虚拟平台上验证客户端品和服务器端:间的远程证明,对基于行为的远程证明进行验证通过在理论上对可信协议栈可信计算的远程证明,可信计算的应用模型的建立分析其安全性、性能,然后通过可信计算实验平台进行验证。证时先进行理论研究再通过实验证明。在可信计算平台下,设计了基于可信计算的DRM系统模型。对数字版权管理的相关协议进行了讨论和设计。在已建立的可信平台可信软件栈的基础上,嵌人一个媒体播放软件,对数字内容的加密许可证的发放等技术进行了研究。在物联网系统的每个节点中嵌人TPM芯片,在此基础上进行安全策略的研究。在感知层利用密钥进行身份识别,利用平台寄存器状态进行平台安全认证和密封;在网络层利用可信计算网络协议进行网络连接:在应用层绑定数据不被泄露,使用基于TPM的软件栈进行编前言程。总的来说,在理论方面,进行模型的抽象、形式化的表示安全性的证明;在实验方面,搭建可信计算平台,通过实验进行验证和分析。本书对外部内容和观点的引用按原始出处列入了参考文献,在此向所引内容和观点的作者表示感谢。如有因各种原因造成的引注错误和疏漏,请广大读者指出本书主要内容是围绕山西省自然科学基金项目《可信虚拟语义认证研究》No.2009011022-2)、山西省留学基金项目《虚拟可信安全服务研究》(No.2009-28)、山西省高校创新项目《基于可信网络连接的动态远程认证》(No.20101115)部分工作展开的,且受到了山西省自然科学基金项目《不平衡数据流重抽样和学习算法研究》(No.2015011039)资助作者一直对可信计算和远程认证进行理论和应用的研究,本书是作者多年工作成果的总结。限于作者的学识水平和时间仓促书中难免存在错误及不妥之处,悬请广大读者和业界同仁不音赐教。希望本书能对可信计算与远程证明的理论和应用起到一定参考作用。叜
艋可信计算远程证明与应用.pdf下载链接:点此立刻下载Tags:
作者:佚名
- 好的评价 此文章真真棒!就请您
0%(0) 
- 差的评价 此文章真差劲!就请您
0%(0) 
中查找“可信计算远程证明与应用.pdf 作者-闫建红175页”更多相关内容
中查找“可信计算远程证明与应用.pdf 作者-闫建红175页”更多相关内容评论内容只代表网友观点,与本站立场无关!
评论摘要(共 0 条,得分 0 分,平均 0 分)
查看完整评论