基于可信计算基的主机可信安全体系结构研究

doi:10.3969/j.issn.1671-1122.2016.07.012

信息网络安全 ›› 2016, Vol. 16 ›› Issue (7): 78-84.doi: 10.3969/j.issn.1671-1122.2016.07.012

基于可信计算基的主机可信安全体系结构研究

黄强, 常乐, 张德华, 汪伦伟

信息保障技术重点实验室,北京 100072

收稿日期:2016-04-15 出版日期:2016-07-20 发布日期:2020-05-13
作者简介:
作者简介：黄强（1977—）,男,湖南,工程师,博士,主要研究方向为信息安全;常乐（1975—）,男,陕西,高级工程师,硕士,主要研究方向为信息技术与信息安全;张德华（1977—）,男,山东,高级工程师,博士,主要研究方向为信息安全;汪伦伟（1976—）,男,安徽,高级工程师,博士,主要研究方向为信息安全。
基金资助:
信息保障技术重点实验室开放基金[KJ-14-101]

Research on Trusted Security Host Architecture Based on Trusted Computing Base

Qiang HUANG, Le CHANG, Dehua ZHANG, Lunwei WANG

Information Assurance Technology Laboratory, Beijing 100072, China

Received:2016-04-15 Online:2016-07-20 Published:2020-05-13

摘要/Abstract

摘要：

可信计算技术的深入应用,必须要解决与传统认证、加密、访问控制等安全机制的融合问题。文章通过研究构建主机可信/安全统一的安全体系结构,从主机安全体系结构研究背景以及为安全增强主机的设计出发,通过研究传统安全体系结构与可信计算体系结构的关系,并对国内外具有代表性的可信计算体系结构进行比较,分析了保护数据完整性和系统完整性上的主要区别。最后文章指出可信计算机制可以提升可信计算基的安全结构和保障。文章阐述了构建可信计算增强的主机安全体系结构的几个重要机制：结合可信认证机制的认证体系;结合可信计算机制的数据安全机制;结合可信运行控制与强制访问控制的可执行程序安全控制流程。

关键词: 安全体系结构, 可信计算, 可信计算基

Abstract:

Starting from the host computer security architecture studying background and the requirement of designing actual high-security computer, we discuss trusted & security union architecture here to fuse trusted computing mechanism with legacy security mechanism like access control or authentication. First, the relationship between trusted computing and legacy security architecture is discussed. The TCG architecture and China trusted computing architecture is also compared with their differences in data integrity and system integrity. At last, we make the conclusion that trusted computing mechanism can enhance the security architecture and assurance the TCB’s characters. Several critical mechanisms are discussed to help for realizing and supporting this architecture: authentication with trusted computing devices and other legacy methods, data protecting mechanism supported by trusted computing and file execution control mechanism combining trusted validation control and mandatory access control.

Key words: security architecture, trusted computing, trusted computing base

中图分类号:

TP309

黄强, 常乐, 张德华, 汪伦伟. 基于可信计算基的主机可信安全体系结构研究[J]. 信息网络安全, 2016, 16(7): 78-84.

Qiang HUANG, Le CHANG, Dehua ZHANG, Lunwei WANG. Research on Trusted Security Host Architecture Based on Trusted Computing Base[J]. Netinfo Security, 2016, 16(7): 78-84.

图/表 5

参考文献 24

[1]	沈昌祥. 对当前信息安全系统的反思[C]//计算机学会计算机安全专委会.第18次全国计算机安全学术交流会,2003-08-16,哈尔滨,中国. 北京:计算机学会计算机安全专委会,2003:16-19.
[2]	Trusted Computing Group. TCG Specification Architecture Overview[EB/OL].,2006-01-15.
[3]	VIVEK H,DEEPAK C,MICHAEL F.Semantic Remote Attestation - A Virtual Machine Directed Approach to Trusted Computing[EB/OL]..
[4]	SADEHI. Bridging the Gap between TCPA/Palladium and Personal Security[EB/OL]. .
[5]	Trusted Computing Group. Cloud Computing and Security-A Natural Match[EB/OL]. .
[6]	Trusted Computing Group. TCG Guidance for Securing IoT[EB/OL]. .
[7]	沈昌祥. 可信计算的研究与发展[J].中国科学:信息科学, 2010,(4):139-166.
[8]	王冠. TPCM及可信平台主板标准[EB/OL]..
[9]	章睿. 基于可信计算技术的隐私保护研究[D]. 北京:北京交通大学, 2011.
[10]	周新,陶露菁. 可信计算及其在信息系统中的应用[J]. 指挥信息系统与技术,2011(2):28-31.
[11]	张焕国,李晶,潘丹铃,等.嵌入式系统可信平台模块研究[J]. 计算机研究与发展,2011(7):1269-1278.
[12]	尚京,徐开勇,杨启超. 一种面向集中管控系统的计算机可信启动架构[J]. 计算机工程与应用,2015,51(17):64-69.
[13]	刘传波,王催. 舰载指控系统可信计算构建技术研究[J]. 计算机与数字工程, 2014(12):2439-2442.
[14]	刘巍然,刘建伟. Android操作系统可信计算平台架构[J]. 武汉大学学报(理学版), 2013(4):159-164.
[15]	王东霞,赵刚. 安全体系结构与安全标准体系[J]. 计算机工程与应用,2005(8):149-152.
[16]	李柏松. 由Windows的安全实践看可信计算的价值和局限[J]. 信息安全与通信保密, 2014(9):100-107.
[17]	黄强,沈昌祥.可信计算技术对操作系统的安全服务支持[J]. 武汉大学学报(理学版), 2004, 50(S1):15-18.
[18]	ZHANG H G.Surrey on Cyberspace Security[J]. Science China Information Sciences, 2015, 58(11):143.
[19]	白云等. 信息系统安全体系结构发展研究[J]. 空军工程大学学报(自然科学版),2010,11(5):75-80.
[20]	李超,王红胜,陈军广,等. 加强计算机终端信息安全的两种解决方案[J].计算机技术与发展,2009,19(1):165-167.
[21]	聂晓伟, 冯登国. 基于可信平台的一种访问控制策略框架——TXACML[J].计算机研究与发展, 2008,45(10):1676-1686.
[22]	谭良, 周明天. 基于可信计算平台的静态客体可信验证系统的设计与实现[J]. 计算机科学, 2008,35(2):253-255.
[23]	李勇. 基于可信计算的应用环境安全研究[D]. 郑州:解放军信息工程大学, 2011.
[24]	Dod-Std. Department of Defense Standard. DoD Trusted Computer System Evaluation Criteria[EB/OL]. ,1999-05-15.

基于可信计算基的主机可信安全体系结构研究

Research on Trusted Security Host Architecture Based on Trusted Computing Base

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 5

参考文献 24

相关文章 15

编辑推荐

Metrics

本文评价

[1]	陈璐, 孙亚杰, 张立强, 陈云. 物联网环境下基于DICE的设备度量方案[J]. 信息网络安全, 2020, 20(4): 21-30.
[2]	王晓, 赵军, 张建标. 基于可信软件基的虚拟机动态监控机制研究[J]. 信息网络安全, 2020, 20(2): 7-13.
[3]	吴宏胜. 基于可信计算和UEBA的智慧政务系统[J]. 信息网络安全, 2020, 20(1): 89-93.
[4]	尚文利, 尹隆, 刘贤达, 赵剑明. 工业控制系统安全可信环境构建技术及应用[J]. 信息网络安全, 2019, 19(6): 1-10.
[5]	尚文利, 张修乐, 刘贤达, 尹隆. 工控网络局域可信计算环境构建方法与验证[J]. 信息网络安全, 2019, 19(4): 1-10.
[6]	王晋, 喻潇, 刘畅, 赵波. 智能电网环境下一种基于SDKey的智能移动终端远程证明方案[J]. 信息网络安全, 2018, 18(7): 1-6.
[7]	张建标, 杨石松, 涂山山, 王晓. 面向云计算环境的vTPCM可信管理方案[J]. 信息网络安全, 2018, 18(4): 9-14.
[8]	张建标, 赵子枭, 胡俊, 王晓. 云环境下可重构虚拟可信根的设计框架[J]. 信息网络安全, 2018, 18(1): 1-8.
[9]	范博, 杨润垲, 黎琳. 基于SSH的可信信道建立方法研究[J]. 信息网络安全, 2018, 18(1): 45-51.
[10]	张家伟, 张冬梅, 黄偲琪. 一种抗APT攻击的可信软件基设计与实现[J]. 信息网络安全, 2017, 17(6): 49-55.
[11]	黄强, 王高剑, 米文智, 汪伦伟. 集中统一的可信计算平台管理模型研究及其应用[J]. 信息网络安全, 2017, 17(4): 9-14.
[12]	黄强, 孔志印, 常乐, 张德华. 可信基线及其管理机制[J]. 信息网络安全, 2016, 16(9): 145-148.
[13]	邢彬, 刘吉强, 韩臻. 一种可信计算平台完整性度量的新模型[J]. 信息网络安全, 2016, 16(6): 8-14.
[14]	张亚奇, 何永忠, 于爱民. 一种基于第三方平台可信证明的SSH协议[J]. 信息网络安全, 2016, 16(12): 34-45.
[15]	黄强, 张德华, 汪伦伟. 可信计算硬件设备虚拟化关键保障机制研究[J]. 信息网络安全, 2015, 15(9): 70-73.