系统安全

基于可信Docker的嵌入式安全容器解决方案

本研究从嵌入式系统的核心安全问题入手,利用轻量级虚拟化容器Docker技术,通过结合信任基构建、静态及动态度量等手段,构建可信Docker管理器(DM),并在此基础上形成嵌入式安全执行环境。设计基于可信Docker的数据交互控制协议和容器资源安全调度算法,解决了运行应用程序的非法越权访问问题,同时保证实时性,最后设计实验系统验证上述方法的可行性。课题研究有助于解决嵌入式系统安全架构和数据保护问题,推动信息系统安全理论在嵌入式系统和工业控制方面的应用发展。

 

国家863项目“可信PDA计算平台关键技术与原型系统研究”。

该项目针对PDA系统的安全问题,运用可信计算实现了可信PDA计算平台关键技术与原型体统。提出了一种带数据恢复功能的星型信任结构,使用总线仲裁等技术构造了可信PDA的体系结构模型,实现了针对可信PDA嵌入式操作系统的安全增强、基于可信PDA平台的可信网络连接(TNC)以及SD卡全盘加密等新的安全技术与方法。提升PDA可信性有助于提高物联网终端设备可信性。

 

“可信嵌入式操作系统研究”。

该项目针对目前移动智能平台系统面临的安全威胁,利用可信计算技术解决嵌入式系统的安全问题,提出一种可行且高效的安全解决方案。在不改变现有移动设备硬件架构的前提下,提出了一种嵌入式平台系统的安全启动机制,将安全TF卡作为外置可信平台模块,构建了一条从Bootloader到上层应用程序的完整的信任链。移动智能平台能够帮助开发者轻松实现设备接入与设备连接,提供综合性的物联网解决方案,实现物联网设备安全管理。

 

“智慧武昌”

与信息中心合作,对某电子政务网络进行整体安全性分析,并做出相关安全性建议

 

网络安全

基于两级判定的物联网大数据可信化方法研究

本项目对如何确保物联网大数据的可信性进行了研究,提出一种基于两级判定的数据可信化方法。提出了一个面向物联网海量来源数据可信过滤框架,基于设备元数据特征的设备可信性判定方法以及基于应用数据时域与邻域特征的可信性判定方法。本课题的工作将物联网数据采集设备的可信性与数据的自身可信性有机结合,从源头保证数据可信,为物联网大数据分析处理系统提供未被污染的可信数据集。从而提高大数据分析与挖掘结果的真实性,为大数据应用提供安全保障。本课题的特色之处在于,创造性地将物联网数据采集设备的可信性与数据的可信性有机结合,从源头保证数据可信,从而可以显著提高物联网应用层大数据的可信性。

 

体系安全

国家863项目“面向第三方的云平台可信性在线评测及分析技术”

该项目通过引入独立于云提供商和用户的可信评测第三方,在一定程度上对云平台进行实时的可信证据收集和远程验证,能够对不同类型的云平台和不同的需求进行可信评测,为不同用户提供有针对性的可信查询服务,具有较高的可信度和较大的灵活性。目前很多物联网的服务器部署在云端,通过云计算提供应用层的各项服务,云计算不可信会导致物联网采集分析结果不可信,确保云平台可信有助于保障物联网中海量数据处理安全。

国家973计划项目 “云计算安全基础理论与方法研究”

该项目针对云计算体系结构与服务缺乏可信性验证的问题,从信任链传递、云系统构建与云服务可信三个层面提出了面向云计算体系结构的信任模型,实现了云基础设施可信基的构建、可信云环境集成验证;为远程云计算环境的可信构建与验证、隐私保护和外包服务提供有力支撑。

针对现有云基础设施可信基构建的问题,提出了基于TPM 2.0的虚拟可信根、基于SGXvTPM保护、vTPM可信迁移技术技术,实现了云基础设施可信基的构建。针对云计算可信执行环境的构建问题,提出了多样化可信执行环境构建方法安全服务外包计算方法以及计算资源非对称环境的密码概念和密钥协商协议,为远程云计算环境的可信构建、验证和外包服务提供有力支撑。提出了3种云计算安全监控及行为分析的检测防御控制机制。研发了励思可信云平台,实现了可信云环境集成验证,准备成果转化,与企业合作,实现产业化。

 

硬件安全

“移动终端安全加固技术”。

在移动终端安全加固技术研究中,为解决电网系统中移动终端接入智能电网系统的安全传输问题,主要在不改变现有硬件架构的前提下,引入加密SD卡,利用加密SD卡提供的安全加解密功能,通过增加中间件,实现移动终端的可信启动和移动终端接入智能电网系统的安全传输,结合可信网络连接的思想,建立安全的数据传输通道。物联网移动终端每一层都与网络侧的控制设备有着对应关系,实现移动终端安全加固对实现物联网安全有协同作用,有助于解决本项目中设备可信性判定问题。

 

应用安全

“移动终端令牌技术研究”。

在基于移动终端令牌技术研究中,通过对可信计算基本思想的研究以及云存储安全的分析,提出了一种基于用户手机令牌的安全云存储系统实现方案,实现用户云存储数据的安全可信。通过对手机所携带的唯一信息进行提取,生成保护数据的手机令牌,将数据安全性与手机进行绑定,实现对不同设备上的用户数据进行无差别的安全保护。将移动终端安全与云安全做结合,在该项目中研发了安全的交互协议,保证数据在手机与其他设备之间交互的安全性,保证认证信息与数据的安全,有助于提高物联网采集数据的安全性。

 

软件安全

城市坐标系统转换(转换软件加密开发)

本项目紧扣涉密软件新型防护技术的紧迫安全需求,开展基于涉密软件防护关键技术研究。主要应用了基于涉密软件安全执行环境构建技术、基于USBKey安全接入技术和基于网页程序的上传大文件技术;创新点在于提出了一种针对测绘保密参数加解密算法和提出了一套针对WHKC软件防护策略。

 

软件保护项目

该项目利用了软件加壳保护、时间戳与双进程、硬件加解密引擎和文件过滤驱动这些关键技术,研究了基于特定平台的软件保护关键技术,设计了具有可信计算特点的软件保护原型系统,开发了满足需求功能的软件平台及硬件保护板卡。实现目标软件加密后正常运行,不影响对时序和性能的要求;目标软件具有防反编译、抗静态分析、动态反跟踪和防调试功能;实现被保护信息防复制,防修改,防删除。该技术是一种结合可信计算技术的软件保护方法。