冯伟
- 作品数:25 被引量:45H指数:3
- 供职机构:中国科学院软件研究所更多>>
- 发文基金:国家自然科学基金国家重点基础研究发展计划更多>>
- 相关领域:自动化与计算机技术电子电信更多>>
- 一种基于移动设备的可信模块及其可信服务方法
- 本发明公开了一种基于移动设备的可信模块及其可信服务方法。本发明的可信模块包括一移动设备和一可信平台模块;所述移动设备上构建有安全世界和正常世界,所述可信平台模块部署在所述移动设备的安全世界;所述可信平台模块包括可信服务进...
- 冯登国冯伟秦宇初晓博张倩颖奚瓅杨波
- 文献传递
- 基于TCM的安全Windows平台设计与实现被引量:3
- 2015年
- 为了解决Windows系统的完整性度量与证明问题,提出了一种基于可信密码模块TCM(trusted cryptography module)的安全Windows平台方案。通过扩展Windows内核实现了2种安全模式:在度量模式下,所有加载的可执行程序都会被度量,度量值由TCM提供保护和对外认证;在管控模式下,度量值会进一步与管理员定制的白名单进行匹配,禁止所有不在白名单中的程序执行。实验分析表明,该方案可以增强Windows系统的安全性,抵抗一些软件攻击行为;同时,系统平均性能消耗在20~30 ms之间,不会影响Windows的正常运行。
- 冯伟秦宇冯登国杨波张英骏
- 关键词:可信计算可信密码模块WINDOWS安全
- 面向物联网设备的安全集群证明及修复协议被引量:1
- 2022年
- 由于物联网设备本身缺少安全机制,物联网环境面临着严峻的安全挑战.而远程证明能够认证设备真实性和完整性,可以通过远程方式建立对物联网设备的信任.集群证明是远程证明技术的扩展,可以适用于大量设备构成的集群.相较于传统的远程证明,集群证明解放了验证设备,提高了验证的效率.目前,集群证明方法主要是针对静态网络,而且对于受损设备也缺乏高效的修复机制.针对这些问题,本文提出了一种基于信誉机制和Merkle树的安全集群证明及修复方法.首先,本文方法使用信誉机制实现了多对一的证明协议,能有效解决单点故障,从设备触发验证,并且能够适用于半动态网络.其次,本文引入Merkle树进行度量,能够快速地识别被感染的代码块,并进行高效地恢复;最后,本文对提出的集群证明方法进行了安全性分析和性能评估,结果表明,本文集群证明在提高了安全性的同时导致的性能开销是可以接受的.
- 林江南吴秋新冯伟
- 关键词:物联网安全可信计算远程证明
- 创新发展中的可信计算理论与技术被引量:24
- 2020年
- 可信计算以硬件安全机制为基础,建立可信赖计算环境,从体系结构上全面增强系统和网络信任,是当前学术界和产业界的关注热点.随着信息技术的深入发展,新应用场景的不断涌现,网络空间的安全威胁日益严峻,因此可信计算在重要信息系统的安全防护领域将发挥越来越重要的作用.本文从创新发展角度,围绕作者20年来在可信计算领域的研究成果,综述了可信计算理论的发展历程,提炼总结出涵盖两大方法基础、三大信任核心和四大关键技术的可信计算技术体系,阐述了移动可信计算、抗量子可信计算、可信物联网、可信云、可信区块链等方面的重要研究问题以及可信计算在这些领域的融合创新成果.在移动可信计算方面,软硬件结合的可信执行环境体系架构设计和实现是研究重点,其次,移动操作系统内核运行时安全隔离防护,以及基于可信执行环境(trusted execution environment,TEE)的移动应用安全防护也是两个重要研究问题.在可信物联网方面,由于嵌入式环境本身的特性以及资源的受限,轻量级的信任根构建、高效安全的软件证明、实用的安全代码更新机制、集群设备证明是该领域有待进一步研究的重要问题.在抗量子可信计算、可信云、可信区块链等新型场景中,可信计算技术也在不断地拓展其应用边界,发挥更加重要的作用.最后本文展望和讨论了可信计算未来的发展趋势.
- 冯登国刘敬彬秦宇冯伟
- 关键词:可信计算
- 一种基于可信执行环境的系统配置属性证明方法及系统
- 本发明是一种基于可信执行环境的系统配置属性证明方法。该方法包括:1)在证明方的计算机系统启动时,利用可信执行环境技术将内存和外设配置划分为安全区域和非安全区域;2)在安全区域内部署密码学服务程序、非易失性存储设备的驱动程...
- 初晓博冯伟秦宇赵世军
- 文献传递
- 基于MQTT协议扩展的IoT设备完整性监控被引量:3
- 2022年
- 随着物联网飞速发展,设备数量呈指数级增长,随之而来的IoT安全问题也受到了越来越多的关注.通常IoT设备完整性认证采用软件证明方法实现设备完整性校验,以便及时检测出设备中恶意软件执行所导致的系统完整性篡改.但现有IoT软件证明存在海量设备同步证明性能低、通用IoT通信协议难以扩展等问题.针对这些问题,本文提供一种轻量级的异步完整性监控方案,在通用MQTT协议上扩展软件证明安全认证消息,异步推送设备完整性信息,在保障IoT系统高安全性的同时,提高了设备完整性证明验证效率.我们的方案实现了以下3方面安全功能:以内核模块方式实现设备完整性度量功能,基于MQTT的设备身份和完整性轻量级认证扩展,基于MQTT扩展协议的异步完整性监控.本方案能够抵抗常见的软件证明和MQTT协议攻击,具有轻量级异步软件证明、通用MQTT安全扩展等特点.最后在基于MQTT的IoT认证原型系统的实验结果表明,IoT节点的完整性度量、MQTT协议连接认证、PUBLISH报文消息认证性能较高,都能满足海量IoT设备完整性监控的应用需求.
- 齐兵秦宇李敏虹谢宏尚科彤冯伟李为
- 关键词:物联网安全可信计算
- 一种可信虚拟平台及其构建方法、平台之间数据迁移方法
- 本发明公开了一种可信虚拟平台及其构建方法、平台之间数据迁移方法。本可信虚拟平台包括硬件安全芯片、虚拟机监控器VMM、管理域、用户域,可信服务域TSD;TSD利用扩展信任链为用户域建立可信运行环境。本方法为:构建可信服务域...
- 常德显冯伟邵建雄杨波
- 文献传递
- 一种可信虚拟平台及其构建方法、平台之间数据迁移方法
- 本发明公开了一种可信虚拟平台及其构建方法、平台之间数据迁移方法。本可信虚拟平台包括硬件安全芯片、虚拟机监控器VMM、管理域、用户域,可信服务域TSD;TSD利用扩展信任链为用户域建立可信运行环境。本方法为:构建可信服务域...
- 常德显冯伟邵建雄杨波
- 文献传递
- 一种保护终端配置隐私的可信网络接入方法及系统
- 本发明涉及一种保护终端配置隐私的可信网络接入方法及系统,可信网络接入系统由以下的实体组成:接入终端、策略执行点、策略判定点和网络服务,方法为:1)接入终端获取平台身份后接入网络,建立安全信道;没有平台身份的接入终端需要申...
- 赵世军初晓博张倩颖秦宇冯伟
- 基于椭圆曲线和双线性对密码体制的直接匿名证明方法
- 本发明公开一种基于椭圆曲线和双线性对密码体制的直接匿名证明方法,包括如下步骤:1)证书颁发方系统初始化,将公共参数发送给证明方和验证方;2)颁发匿名凭证;3)证明方匿名证明DAACert;4)验证方匿名验证证明方的匿名凭...
- 冯登国秦宇初晓博张倩颖冯伟
- 文献传递
