「可信计算」论文初步解读
可信计算组织(Ttrusted Computing Group,TCG)是一个非盈利的工业标准组织,它的宗旨是加强在相异计算机平台上的计算环境的安全性。TCG于2003年春成立,并采纳了由可信计算平台联盟(the Trusted Computing Platform Alliance,TCPA)所开发的规范。现在的规范都不是最终稿,都还在不断的更新中,比如:TPM的规范就从原来的v1.0更新到v1.2,现在还在不断的修订。
PLC控制系统可信架构及硬件技术研究
-
这个文章讲的是TPM在PLC中的应用研究
-
PLC广泛用于工控领域,随着接入网络,安全上受到挑战
-
PLC中引入了基于TPM的两阶段三区域的安全架构,提升内生安全
TPM技术在云计算可信平台建设中的应用研究
-
这篇文章主要讲的是云虚拟化环境下TPM的应用研究
-
云计算技术包括数据安全技术(加密、隔离、容灾)、接入认证技术、数据中心防护技术、安全审计技术
-
可信平台虚拟环境设计图如下:虚拟主机所在的物理主机集成TPM模块,对租户系统数据、文件数据和应用数据进行加密,保证应用服务器和存储服务器间传输时的安全
安全可信平台在巨型水电站监控系统中的设计及应用
- 这篇文章描述了利用可信计算3.0保护水电站安全的设计应用。
-
水电站监控系统是电站运行的中枢控制系统,是电力自动化的重要保障,同时也需要完善的防护体系,可信3.0可以保证系统各服务器的操作系统、基础软件以及上层业务程序的完整性,又能实现对恶意程序的主动免疫。
-
可信3.0技术的安全可信平台构建可信计算环境、可信边界、可信网络通信三重防护
- 由国家电网全球互联网能源研究院开发
-
可信计算平台的核心安全组件包括PCI-E硬件密码板卡和可信软件基
-
可信计算平台由可信策略管理端和可信计算安全模块客户端组成,实现安全策略定制、集中运维管理、系统资源监控、审计信息统一收集
-
可信计算平台软硬件完全国产:国产服务器(曙光&浪潮)、国产操作系统(凝思、麒麟)、国产商用数据库、国产电力中间件、国产网络及安全防护设备
-
水电站二次安全防护分区原则:生产控制大区(控制区-安全区I,非控制区-安全区II)、管理信息大区,安全区I是重中之重,部署了可信计算平台,架构如下图
安全可信终端设备与系统关键技术研发与应用
- 什么叫零信任SOC,动态调试和身份匹配
不可信内核环境下的系统安全技术研究
-
这边文章研究了在内核同层引入可信基的方法,较高权限可信基具有更好的性能,属于内核安全范畴
-
内核安全保护技术包括:1.内核监控 2.内核完整性保护 3.内核隔离 4.内核最小化 5.应用程序保护
-
内核监控的是数据、代码和控制流,技术包括:out of vm和in vm的监控、系统管理模式监控、改进硬件体系结构、协处理器监控、DRAM做系统监控、多核私有可信执行环境
-
内核完整性包括数据、代码和控制流的完整性,技术包括运行地址权限控制、指令随机化、权限隔离、内核签名;数据完整性技术包括:动态加载模块验证、软件错误隔离(编译器访问控制表和静态分析)、地址权限控制、libos结合地址空间随机化
-
控制流保护主要是对函数指针进行保护,包括:函数指针重定向到只读页面、编译期改变返回地址为索引,通过ret指令前增加索引到地址的转换来防止跳转攻击、编译期控制流数据索引化、KCoFI通过对系统所有间接控制流进行保护,通过形式化验证。
-
内核隔离主要针对不可信内核模块,虚拟化将内核和内核模块隔离,部署访问策略,对动态内核数据维护元数据,实现细粒度的内核模块隔离和审查、内核模块运行在用户空间、安全敏感和性能敏感拆解到用户和内核、不同功能模块放在不同虚拟机下、基于IOMMU/PCI-e和MSI用户空间模拟内核空间
- 内核最小化:libos技术将内核部分减少为资源管理和调度,提供受限的ABI,每个应用具有一个libos、内核裁剪技术静态或者动态分析系统中不必要的接口或逻辑,手动或者自动化裁剪,FACE-CHANGE为每个应用程序定制最小化内核,通过虚拟化技术实现最小化切换
- 应用程序保护技术,在不可信内核环境下,应用程序可以通过特定技术来保证应用程序安全,1)TPM late launch(DRTM,动态信任度量)技术动态构建安全隔离的、可验证的执行环境、运行程序的代码(TXT&AMD-V提供初始静态信任根),并向第三方机构远程验证 2)基于虚拟化的软件层TPM 3)软件状态连续性保护 4)将内核安全敏感调用引入到可信的VM中 5)更高特权层虚拟机监控器监控应用的系统调用、内核表操作、中断异常处理、IO操作,保证应用程序数据隔离、控制流完整性、文件数据完整性,AppSec、APPShield、shield execuation通过虚拟化技术、访问控制技术、设备隔离技术进一步提升安全性
-
内核不可信的解决思路:1)硬件定制 2)内核最小化 3)引入更高特权层可信基 4)同层可信基(本文)
-
同层可信基挑战:同样的隔离、虚拟、管理等能力,同样的安全性
基于RISC-V软核处理器的可信计算芯片设计
-
基于FPGA的Risc-v SOC设计,来实现飞腾D2000主板的BIOS主动度量启动
-
对于os和应用的主动度量未实现,后面可以通过PCIe接口进行(这个和hook有何关系?)
基于PCIe接口的可信计算应用平台的设计
基于TPCM 的终端数据泄露防护技术研究
数据密封和平台状态绑定,enc(random||pcr,key),enc(data,random)
基于可信计算3.0的电力工业控制系统信息安全解决方案_王杨
基于可信计算的操作系统加固技术研究_李墨泚
-
以可信计算技术为基础、访问控制(BLP/BIBA)为核心、操作系统主动防御为抓手,打造完整的信息安全立体防护体系
-
安全管理平台+用户身份认证+系统内核增强
基于可信计算平台的作战数据保障体系结构_陈明宇
基于嵌入式系统的可信链构建技术研究_钱宇辉
-
TCG可信链的链式传播导致信任损失
-
各组件采用静态度量,只能反应启动状态,不能反应运行状态
-
Linux IMA对配置文件和执行文件进行度量,结合TPM PCR记录系统运行状态
皮格马利翁效应心理学指出,赞美、赞同能够产生奇迹,越具体,效果越好~
“收藏夹吃灰”是学“器”练“术”非常聪明的方法,帮助我们避免日常低效的勤奋~
相关文章:
「可信计算」论文初步解读
可信计算组织(Ttrusted Computing Group,TCG)是一个非盈利的工业标准组织,它的宗旨是加强在相异计算机平台上的计算环境的安全性。TCG于2003年春成立,并采纳了由可信计算平台联盟(the Trusted Computing Platform Alli…...
CSDN 算法技能树 蓝桥杯-基础 刷题+思考总结
切面条-蓝桥杯-基础-CSDN算法技能树https://edu.csdn.net/skill/algorithm/algorithm-530255df51be437b967cbc4524fe66ea?category188 目录 切面条 大衍数列 门牌制作 方阵转置 微生物增殖 成绩统计 星系炸弹 判断闰年的依据: 特别数的和 *日志统计*(双指…...
信小程序点击按钮绘制定制转发分享图
1. 说明 先上代码片断分享链接: https://developers.weixin.qq.com/s/vl3ws9mA72GG 使用 painter 画图 按钮传递定制化信息 效果如下: 2. 关键代码说明 文件列表如下: {"usingComponents": {"painter": "/com…...
Python自动化测试-使用Pandas来高效处理测试数据
Python自动化测试-使用Pandas来高效处理测试数据 目录:导读 一、思考 二、使用pandas来操作Excel文件 三、使用pandas来操作csv文件 四、总结 一、思考 1.Pandas是什么? 功能极其强大的数据分析库可以高效地操作各种数据集 csv格式的文件Excel文件H…...
语音增强学习路线图Roadmap
语音增强算是比较难的研究领域,从入门到精通有很多台阶,本文介绍一些有价值的书籍,值得反复阅读。主要分为基础类和进阶类书籍,大多都是理论和实践相结合的书籍,编程实践是抓手,让知识和基础理论变扎实。基础书籍《信号…...
nginx配置ssl实现https访问
文章目录一、介绍二、创建证书1、OpenSSL创建自签名密钥和证书三、nginx配置四、开放端口一、介绍 nginx配置ssl证书,实现https访问,可以使用自签名SSL证书或者购买机构颁发的证书两种方式参考链接 https://blog.csdn.net/weixin_39198406/article/deta…...
JavaScript 语句
JavaScript 语句向浏览器发出的命令。语句的作用是告诉浏览器该做什么。JavaScript 语句JavaScript 语句是发给浏览器的命令。这些命令的作用是告诉浏览器要做的事情。下面的 JavaScript 语句向 id"demo" 的 HTML 元素输出文本 "Hello Dolly" :…...
将古老的ASP项目转换为PHP初探
ASP 是一种服务器端脚本语言,主要用于开发动态 Web 应用程序。ASP 可以在服务器上执行代码,并将结果返回给客户端浏览器,实现动态生成 Web 页面的功能。ASP 代码通常包含在 <% %> 标记中,以下是一个简单的 ASP 程序示例&…...
模板类封装实现不带头结点的单链表)
数据结构复习(七)模板类封装实现不带头结点的单链表
一、代码 二、总结 一、代码 #include<iostream> using namespace std;template<class T> struct ListNode {T _data;ListNode* next;ListNode(const T& data T()){_data data;next nullptr;}~ListNode(){next nullptr;} };template<class T> class…...
IDEA插件 RestfulTool插件——Restful服务开发辅助工具集
IDEA插件 RestfulTool插件——Restful服务开发辅助工具集 目录IDEA插件 RestfulTool插件——Restful服务开发辅助工具集1.插件介绍2.安装方式3.使用方法1.插件介绍 RestfulTool插件。一套 Restful 服务开发辅助工具集: 提供了一个 Services tree 的显示窗口 双击 …...
2023年全国最新会计专业技术资格精选真题及答案1
百分百题库提供会计专业技术资格考试试题、会计考试预测题、会计专业技术资格考试真题、会计证考试题库等,提供在线做题刷题,在线模拟考试,助你考试轻松过关。 11.下列各项中,影响企业利润表“利润总额”项目的是(&…...
Linux 配置RAID组
目录 配置RAID(软件RAID) 创建RAID组 RAID中出现坏盘如何操作 RAID 添加热备盘 删除RAID组 RAID所解决的问题 提升硬盘的I/O吞吐率 提高硬盘的读写能力 提高硬盘的安全性 进行备份 减少硬盘成本 RAID级别 存储RAID——RAID级别_静下心来敲木鱼的博…...
【2021/推荐/社交网络】Socially-Aware Self-Supervised Tri-Training for Recommendation
部分公式、图表和排版等显示可能异常,可在个人公众号(码农的科研笔记)进行全文免费阅读。 【2021/推荐/社交网络】Socially-Aware Self-Supervised Tri-Training for Recommendation 原文:https://dl.acm.org/doi/10.1145/3447548.3467340 源码:[伯乐 SEPT]、https://git…...
Django搭建个人博客Blog-Day06
展示所有文章Django提供的分页功能说明import os os.environ.setdefault(DJANGO_SETTINGS_MODULE, blog.settings.dev) import django django.setup() # 这个时候才有django的环境 所以导入django中的模块必须写在这句话的后面才有效 from articles.models import Articles #…...
DQL 多表查询
1、多表关系 一对多(多对一) 案例: 部门 与 员工的关系 关系: 一个部门对应多个员工,一个员工对应一个部门 实现: 在从表的一方建立外键,指向主表一方的主键 多对多 案例: 学生 与 课程的关系 关系: 一个学生可以选修多门课程&am…...
BUUCTF Reverse xor
题目:BUUCTF Reverse xor 一些犯傻后学到了新东西的记录 查壳,没壳,IDA打开 main函数很好理解,输入一个长度为33的字符串,1-32位与前一位异或后与global相等,则判定flag正确 找global 在strings window直…...
vite和esbuild/roolup的优缺点
esbuild 优点 基于go语言,go是纯机器码不使用 AST,优化了构建流程多线程并行 缺点 esbuild 没有提供 AST 的操作能力。所以一些通过 AST 处理代码的 babel-plugin 没有很好的方法过渡到 esbuild 中(比如babel-plugin-import)。…...
32-Golang中的map
Golang中的map基本介绍基本语法map声明的举例map使用的方式map的增删改查操作map的增加和更新map的删除map的查找map的遍历map切片基本介绍map排序map的使用细节基本介绍 map是key-value数据结构,又称为字段或者关联数组。类似其它编程语言的集合,在编程…...
LeetCode-384-打乱数组
1、列表随机 为了能够初始化数组,我们使用nums保存当前的数组,利用orignal保存初始化数组。为了实现等可能随机打乱,考虑到随机数本质上是基于随机数种子的伪随机,我们采用如下的方式实现等可能随机:我们将所有元素压…...
九龙证券|重大利好!期货公司打新再“解绑”:可直接参与首发网下配售!
时隔近7年,期货公司及其财物办理子公司参加首发证券网下询价和配售事务再次“解绑”。 2月17日,为适应全面实行股票发行注册制变革需求,中国证券业协会(以下简称中证协)发布《初次公开发行证券网下出资者办理规矩》&am…...
web vue 项目 Docker化部署
Web 项目 Docker 化部署详细教程 目录 Web 项目 Docker 化部署概述Dockerfile 详解 构建阶段生产阶段 构建和运行 Docker 镜像 1. Web 项目 Docker 化部署概述 Docker 化部署的主要步骤分为以下几个阶段: 构建阶段(Build Stage):…...
springboot 百货中心供应链管理系统小程序
一、前言 随着我国经济迅速发展,人们对手机的需求越来越大,各种手机软件也都在被广泛应用,但是对于手机进行数据信息管理,对于手机的各种软件也是备受用户的喜爱,百货中心供应链管理系统被用户普遍使用,为方…...
以下是对华为 HarmonyOS NETX 5属性动画(ArkTS)文档的结构化整理,通过层级标题、表格和代码块提升可读性:
一、属性动画概述NETX 作用:实现组件通用属性的渐变过渡效果,提升用户体验。支持属性:width、height、backgroundColor、opacity、scale、rotate、translate等。注意事项: 布局类属性(如宽高)变化时&#…...
CMake基础:构建流程详解
目录 1.CMake构建过程的基本流程 2.CMake构建的具体步骤 2.1.创建构建目录 2.2.使用 CMake 生成构建文件 2.3.编译和构建 2.4.清理构建文件 2.5.重新配置和构建 3.跨平台构建示例 4.工具链与交叉编译 5.CMake构建后的项目结构解析 5.1.CMake构建后的目录结构 5.2.构…...
java调用dll出现unsatisfiedLinkError以及JNA和JNI的区别
UnsatisfiedLinkError 在对接硬件设备中,我们会遇到使用 java 调用 dll文件 的情况,此时大概率出现UnsatisfiedLinkError链接错误,原因可能有如下几种 类名错误包名错误方法名参数错误使用 JNI 协议调用,结果 dll 未实现 JNI 协…...
linux 错误码总结
1,错误码的概念与作用 在Linux系统中,错误码是系统调用或库函数在执行失败时返回的特定数值,用于指示具体的错误类型。这些错误码通过全局变量errno来存储和传递,errno由操作系统维护,保存最近一次发生的错误信息。值得注意的是,errno的值在每次系统调用或函数调用失败时…...
python如何将word的doc另存为docx
将 DOCX 文件另存为 DOCX 格式(Python 实现) 在 Python 中,你可以使用 python-docx 库来操作 Word 文档。不过需要注意的是,.doc 是旧的 Word 格式,而 .docx 是新的基于 XML 的格式。python-docx 只能处理 .docx 格式…...
BCS 2025|百度副总裁陈洋:智能体在安全领域的应用实践
6月5日,2025全球数字经济大会数字安全主论坛暨北京网络安全大会在国家会议中心隆重开幕。百度副总裁陈洋受邀出席,并作《智能体在安全领域的应用实践》主题演讲,分享了在智能体在安全领域的突破性实践。他指出,百度通过将安全能力…...
day36-多路IO复用
一、基本概念 (服务器多客户端模型) 定义:单线程或单进程同时监测若干个文件描述符是否可以执行IO操作的能力 作用:应用程序通常需要处理来自多条事件流中的事件,比如我现在用的电脑,需要同时处理键盘鼠标…...
通过 Ansible 在 Windows 2022 上安装 IIS Web 服务器
拓扑结构 这是一个用于通过 Ansible 部署 IIS Web 服务器的实验室拓扑。 前提条件: 在被管理的节点上安装WinRm 准备一张自签名的证书 开放防火墙入站tcp 5985 5986端口 准备自签名证书 PS C:\Users\azureuser> $cert New-SelfSignedCertificate -DnsName &…...