当前位置: 首页 > news >正文

安全防御之可信计算技术

可信计算技术是一种计算机安全体系结构,旨在提高计算机系统在面临各种攻击和威胁时的安全性和保密性。它通过包括硬件加密、受限访问以及计算机系统本身的完整性验证等技术手段,确保计算机系统在各种攻击和威胁下保持高度安全和保密性。

一、可信计算基本概念

“可信”,这个概念由可信计算组织Trusted Computing Group(TCG)提出,旨在提出一种能够超越预设安全规则,执行特殊行为的运行实体。

操作系统中将这个实体运行的环境称为可信计算基,是计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。可信计算基建立了一个基本的保护环境,并提供一个可信计算系统所要求的附加用户服务,以防止不可信主体的干扰和篡改。

而可信计算(Trusted Computing)是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,保证系统运行环境的可信赖。可信计算平台为网络用户提供了一个更为宽广的安全环境,它从安全体系的角度来描述安全问题,确保用户的安全执行环境。

可信计算技术的核心思想是可信,即只有当系统是可信的情况下,才能够保证安全。这主要体现在两个方面:一是系统本身的可信,即系统的所有组件都没有被篡改或替换,系统的运行环境和操作过程是可预测和可靠的;二是系统的行为可信,即系统的行为是按照预期的方式进行的,没有受到非法的干预或干扰。

在可信计算的基础上,操作或过程的行为在任意操作条件下是可预测的,并能很好地抵抗不良代码和一定的物理干扰造成的破坏。可信计算是安全的基础,从可信根出发,解决PC机结构所引起的安全问题。

二、可信计算功能特征

可信计算技术通过多种手段提高计算机系统的安全性,包括硬件保护、加密技术、数字签名技术、安全协议和系统完整性保护等。这些技术手段可以相互配合,形成一个完整的安全防护体系,确保计算机系统的安全性和保密性。

  1. 硬件保护:可信计算技术使用安全芯片等硬件组件,在硬件层面对计算机进行保护,防止计算机系统被篡改或攻击。安全芯片可以验证计算机的识别序号,检测计算机是否被篡改,同时存储计算机的安全信息,保证用户、设备和数据的安全。
  2. 加密技术:可信计算技术使用加密技术对计算机系统中的数据进行加密,确保数据在传输和存储过程中的机密性和完整性。加密技术可以防止不良用户在通讯过程中截获加密的信息,保证数据的保密性。
  3. 数字签名技术:数字签名技术是可信计算技术的核心部分,用于在网络上进行身份验证和认证。数字签名可以验证消息的发件人是可信的,并且消息在传输过程中没有被篡改。这可以防止恶意用户伪造或篡改数据,提高系统的安全性。
  4. 安全协议:可信计算技术使用安全协议,如SSL/TLS协议等,保护在开放网络上进行的通信。这些安全协议可以防止恶意攻击者窃听或篡改通信内容,保证数据传输的安全性。
  5. 系统完整性保护:可信计算技术可以保护计算机系统的完整性,确保系统组件没有被篡改或替换。通过度量和验证等技术手段,可以检测系统组件的状态是否正常,及时发现并防止恶意代码的注入或攻击。

与传统的安全技术相比,可信计算具有以下三个显著的功能特征:

  1. 保护存储
    保护存储一方面通过嵌入的硬件设备保护用户特定的秘密信息(如终端平台身份信息、密钥等),防止通过硬件物理窥探等手段访问密钥等信息,另一方面完成硬件保护下的密钥生成、随机数生成、HASH运算、数字签名以及加解密操作,为用户提供受保护的密码处理过程。
  2. 认证启动
    可信计算技术利用完整性测量机制完成计算机终端从加电到操作系统装载运行过程中各个执行阶段(BIOS、操作系统装载程序、操作系统等)的认证。当级别低的节点认证到高一级的节点是可信时,低级别节点会把系统的运行控制权转交给高一级节点,基于这种信任链传递机制,可以保证终端始终处于可信的运行环境中。
  3. 证明
    证明是保证信息正确性的过程。网络通信中,计算机终端基于数字证书机制可以向要通信的双方证明终端当前处于一个可信的状态,同时说明本机的配置情况。如果通信双方都能证明彼此信息的有效性,则可以继续进行通信,否则服务中断。
    基于以上三个功能特性,可信计算技术可以对主机实施有效的安全防护,保护计算机及网络系统的安全运行,从而向用户提供一个可信的执行环境。

三、可信计算的应用

可信计算技术的应用范围非常广泛,它可以应用于各种计算机系统和网络设备中,提供从硬件到软件的各种安全保障。例如,可信计算技术可以用于保护计算机系统的关键组件,防止恶意代码篡改BIOS、操作系统和应用软件;还可以用于实现网络连接的安全控制,防止终端的安全状态伪造、接入后配置修改以及设备假冒接入等问题。此外,可信计算技术还可以用于构建等级保护的核心技术体系,对通信设备、边界设备、计算设备等保护对象进行系统引导程序、系统程序、重要配置参数等的验证。

可信计算为系统运行提供了一个可信赖的环境,具体来说可在以下方面得到应用:

  1. 云环境:云环境需要更高的安全性,可信计算技术可以帮助提供更安全、更可信赖的云服务环境。通过可信计算技术,可以保护云服务中数据的机密性和完整性,防止数据被篡改或泄露。同时,可信计算技术还可以帮助实现虚拟专用网络(VPN)的安全传输,保证远程用户访问云服务时的身份验证和数据加密。
  2. 物联网:在物联网环境中,可信计算技术可以帮助保护各种设备和传感器的数据安全,以及确保数据的完整性和真实性。通过可信计算技术,可以防止物联网设备被攻击或篡改,保证设备的合法性和安全性。同时,可信计算技术还可以用于实现物联网设备的远程身份验证和授权控制,确保只有合法的设备可以接入网络并访问相应的数据。
  3. 数字版权管理:可信计算技术可以用于创建安全的数字版权管理系统,以防止数字内容被非法复制和分发。通过可信计算技术,可以确保数字内容的完整性和真实性,同时防止未经授权的访问和复制。这可以保护版权所有者的合法权益,防止盗版内容的传播。
  4. 金融交易:通过可信计算技术,可以保护金融交易中的数据完整性和机密性,防止交易被篡改或泄露。同时,可信计算技术还可以用于实现金融系统的远程身份验证和授权控制,保证金融交易的安全性和合法性。以网上银行为例,当用户接入到银行服务器时使用远程认证,之后如果服务器能产生正确的认证证书那么银行服务器就将只对该页面进行服务。随后用户通过该页面发送他的加密账号和PIN和一些对用户和银行都为私有的(不看见)保证信息。
  5. 身份认证和访问控制:可信计算技术可以用于实现身份认证和访问控制,保证只有合法的用户可以访问相应的数据或资源。通过可信计算技术,可以验证用户的身份和权限,防止身份假冒和非法访问。这可以提高系统的安全性,保护敏感数据不被泄露或滥用。
  6. 保护系统不受病毒和间谍软件危害:软件的数字签名将使得用户识别出经过第三方修改可能加入间谍软件的应用程序。例如,一个网站提供一个修改过的流行即时通讯程序版本,该程序包含间谍软件。操作系统可以发现这些版本里缺失有效的签名并通知用户该程序已经被修改,然而这也带来一个问题:谁来决定签名是否有效。
  7. 保护生物识别身份验证数据:用于身份认证的生物鉴别设备可以使用可信计算技术(存储器屏蔽,安全I/O)来确保没有间谍软件安装在电脑上窃取敏感的生物识别信息。
  8. 核查远程网格计算的计算结果:可信计算可以确保网格计算系统的参与者返回的结果不是伪造的。这样大型模拟运算(例如天气系统模拟)不需要繁重的冗余运算来保证结果不被伪造,从而得到想要的(正确)结论。

四、可信路径

可信路径是一种安全机制,旨在确保只有经过授权和验证的实体能够访问特定的资源或数据。可信路径的实现通常依赖于可信计算技术,通过在系统中建立一条可信任的路径来保护数据的完整性和机密性。

可信通信机制主要应用在用户登录或注册时,能够保证用户确实是和安全核心通信,防止不可信进程如特洛伊木马等模拟系统的登录过程而窃取口令。
在计算机系统中,可信路径可以用于保护操作系统的引导程序、核心程序以及系统的关键配置参数等。通过建立可信路径,可以确保只有合法的实体能够修改或破坏这些关键组件,从而防止系统被篡改或攻击。

此外,在物联网环境中,可信路径可以用于确保只有经过授权的设备能够接入网络并访问相应的数据。通过建立可信路径,可以防止非法设备接入网络,从而保护物联网系统的安全性和可靠性。
可信路径是一种重要的安全机制,它可以建立一条可信任的路径来保护数据的完整性和机密性,防止系统被篡改或攻击。通过可信计算技术,可以有效地实现可信路径,提高计算机系统和物联网系统的安全性。


博客:http://xiejava.ishareread.com/

相关文章:

安全防御之可信计算技术

可信计算技术是一种计算机安全体系结构,旨在提高计算机系统在面临各种攻击和威胁时的安全性和保密性。它通过包括硬件加密、受限访问以及计算机系统本身的完整性验证等技术手段,确保计算机系统在各种攻击和威胁下保持高度安全和保密性。 一、可信计算基…...

FPGA引脚物理电平(内部资源,Select IO)-认知2

引脚电平 The SelectIO pins can be configured to various I/O standards, both single-ended and differential. • Single-ended I/O standards (e.g., LVCMOS, LVTTL, HSTL, PCI, and SSTL) • Differential I/O standards (e.g., LVDS, Mini_LVDS, RSDS, PPDS, BLVDS, and…...

PBR材质纹理下载

03:10 按照视频里的顺序 我们从第6个网站开始倒数 点击本行文字或下方链接 进入查看 6大网站地址 网址查看链接: http://www.uzing.net/community_show-1962-48-48-35.html 06 Tectures Wood Fence 001 | 3D TEXTURES 简介:最大的纹理网站之一&#x…...

mac PyCharm 使用conda环境

1 使用conda创建虚拟环境 conda create -n test6 python3.9 -y conda activate test62 选择conda环境 本地 选择已经存在的conda环境 右下角会显示现在的环境。...

10个常用的正则表达式

1 电话号码 let r1 /^1[3-9]\d{9}$/g console.log(r1.exec(18596932371)) 2 qq号 let r2 /^[1-9][0-9]{4,9}$/g console.log(r2.exec(123456)) 3 十六进制的方式表示颜色 let r3 /^#([0-9a-fA-F]{6}|[0-9a-fA-F]{3})$/g // # 可能可有可无,如果不需要#&a…...

对一手游的自定义 luajit 字节码的研究

对一手游的自定义 luajit 字节码的研究 前言 最近闲下来之后无聊研究起了一个unity手游 大量使用了 lua (或者说就是 lua 写的 ) 看到网上已有的一些针对方案 都觉得太不方便 于是深入研究了一下 他自定义的 luajit 情况研究 首先 这是一个 unity的 传…...

1125. 牛的旅行 (Floyd算法,最短路)

1125. 牛的旅行 - AcWing题库 农民John的农场里有很多牧区,有的路径连接一些特定的牧区。 一片所有连通的牧区称为一个牧场。 但是就目前而言,你能看到至少有两个牧区不连通。 现在,John想在农场里添加一条路径(注意&#xff…...

oracle “Interested Transaction List”(ITL)的概念

“Interested Transaction List”(ITL)的概念。让我们逐点理解: 块头和ITL: 每个数据库段块的块头都包含一个Interested Transaction List(ITL)。ITL用于确定数据库开始修改块时某个事务是否未提交。 ITL的…...

kali下-MSF-ftp_login模块破解FTP账号及密码

一、环境准备 两台设备在同一个网络内 一台kali系统:192.168.10.128 一台winserver2016:192.168.10.132 二、MSF介绍 metasploit 全称是The Metasploit Framework,又称MSF,是Kali 内置的一款渗透测试框架,也是全球…...

ELK之Filebeat输出日志格式设置及输出字段过滤和修改

一、Filebeat输出日志格式设置 1.1 编辑vim filebeat.yml文件,修改输出格式设置 # output to console output.console:codec.format: string: %{[@timestamp]} %{[message]}pretty: true### 1.2 测试 执行 ./filebeat -e 可以看到/tmp/access.log(目前文件里只有140.77.188…...

【开源】基于JAVA的河南软件客服系统

目录 一、摘要1.1 项目介绍1.2 项目录屏 二、功能模块2.1 系统管理人员2.2 业务操作人员 三、系统展示四、核心代码4.1 查询客户4.2 新增客户跟进情况4.3 查询客户历史4.4 新增服务派单4.5 新增客户服务费 五、免责说明 一、摘要 1.1 项目介绍 基于JAVAVueSpringBootMySQL的河…...

基于SpringBoot的社区帮扶对象管理系统

文章目录 项目介绍主要功能截图:部分代码展示设计总结项目获取方式 🍅 作者主页:超级无敌暴龙战士塔塔开 🍅 简介:Java领域优质创作者🏆、 简历模板、学习资料、面试题库【关注我,都给你】 &…...

uniapp踩坑之项目:canvas第一次保存是空白图片

在ctx.draw()回调生成图片,参考canvasToTempFilePath接口文档 // data imgFilePath: null,// 缓存二维码图片canvas路径//js // 首先在draw()里进行本地存储 ...... ctx.draw(false, () >{uni.canvasToTempFilePath({ // 把画布转化成临时…...

es-删除字段-实测

es字段一旦创建是无法删除的,本案的方案是复制新老索引的方法 一、背景 现有索引 index1,待删除字段field1和extendMap.field2,es版本6.3.2 二、步骤 1、删除index1中的filed1和extendMap.field2两个字段的数据 POST index1/_update_by_query {&qu…...

24秋招,百度测试开发工程师三面

前言 大家好,我是chowley,今天来回顾一下,我当时参加百度秋招补录,测试开发工程师的第三面-leader面 到面试开始的时间,面试官打电话表示让我等十分钟,随后跳过自我介绍,直接开面 时间&#…...

YOLOv8改进 | 主干篇 | 低照度增强网络PE-YOLO改进主干(改进暗光条件下的物体检测模型)

一、本文介绍 本文给大家带来的改进机制是低照度图像增强网络PE-YOLO中的PENet,PENet通过拉普拉斯金字塔将图像分解成多个分辨率的组件,增强图像细节和低频信息。它包括一个细节处理模块(DPM),用于通过上下文分支和边缘分支增强图像细节,以及一个低频增强滤波器(LEF),…...

【VUE】记录一次 VUE中配置生产环境和开发环境方法

前言 我这里 使用Vue CLI(Vue Command Line Interface)创建Vue.js项目是一种简单的方式,它提供了一个交互式的命令行工具来帮助你初始化和管理Vue.js项目。 并且我这个项目需要区分生产环境和开发环境。这里具体完整记录下,整个…...

tessreact训练字库

tessreact主要用于字符识别,除了使用软件自带的中英文识别库,还可以使用Tesseract OCR训练属于自己的字库。 一、软件环境搭建 使用Tesseract OCR训练自己的字库,需要安装Tesseract OCR和jTessBoxEditor(配套训练工具)。jTessBoxEditor需要…...

超时配置(OpenFeign)

默认值 连接超时,默认2s读取超时,默认5s单位: 毫秒 全局配置 package com.learning.springcloud.order.feign.config;import feign.Contract; import feign.Logger; import feign.Request; import org.springframework.context.annotation…...

C++设计模式(李建忠)笔记2

C设计模式(李建忠) 本文是学习笔记,如有侵权,请联系删除。 参考链接 Youtube: C设计模式 Gtihub源码与PPT:https://github.com/ZachL1/Bilibili-plus 豆瓣: 设计模式–可复用面向对象软件的基础 文章目录 C设计模…...

测试微信模版消息推送

进入“开发接口管理”--“公众平台测试账号”,无需申请公众账号、可在测试账号中体验并测试微信公众平台所有高级接口。 获取access_token: 自定义模版消息: 关注测试号:扫二维码关注测试号。 发送模版消息: import requests da…...

大话软工笔记—需求分析概述

需求分析,就是要对需求调研收集到的资料信息逐个地进行拆分、研究,从大量的不确定“需求”中确定出哪些需求最终要转换为确定的“功能需求”。 需求分析的作用非常重要,后续设计的依据主要来自于需求分析的成果,包括: 项目的目的…...

Cloudflare 从 Nginx 到 Pingora:性能、效率与安全的全面升级

在互联网的快速发展中,高性能、高效率和高安全性的网络服务成为了各大互联网基础设施提供商的核心追求。Cloudflare 作为全球领先的互联网安全和基础设施公司,近期做出了一个重大技术决策:弃用长期使用的 Nginx,转而采用其内部开发…...

unix/linux,sudo,其发展历程详细时间线、由来、历史背景

sudo 的诞生和演化,本身就是一部 Unix/Linux 系统管理哲学变迁的微缩史。来,让我们拨开时间的迷雾,一同探寻 sudo 那波澜壮阔(也颇为实用主义)的发展历程。 历史背景:su的时代与困境 ( 20 世纪 70 年代 - 80 年代初) 在 sudo 出现之前,Unix 系统管理员和需要特权操作的…...

Java入门学习详细版(一)

大家好,Java 学习是一个系统学习的过程,核心原则就是“理论 实践 坚持”,并且需循序渐进,不可过于着急,本篇文章推出的这份详细入门学习资料将带大家从零基础开始,逐步掌握 Java 的核心概念和编程技能。 …...

使用 Streamlit 构建支持主流大模型与 Ollama 的轻量级统一平台

🎯 使用 Streamlit 构建支持主流大模型与 Ollama 的轻量级统一平台 📌 项目背景 随着大语言模型(LLM)的广泛应用,开发者常面临多个挑战: 各大模型(OpenAI、Claude、Gemini、Ollama)接口风格不统一;缺乏一个统一平台进行模型调用与测试;本地模型 Ollama 的集成与前…...

Go 语言并发编程基础:无缓冲与有缓冲通道

在上一章节中,我们了解了 Channel 的基本用法。本章将重点分析 Go 中通道的两种类型 —— 无缓冲通道与有缓冲通道,它们在并发编程中各具特点和应用场景。 一、通道的基本分类 类型定义形式特点无缓冲通道make(chan T)发送和接收都必须准备好&#xff0…...

Selenium常用函数介绍

目录 一,元素定位 1.1 cssSeector 1.2 xpath 二,操作测试对象 三,窗口 3.1 案例 3.2 窗口切换 3.3 窗口大小 3.4 屏幕截图 3.5 关闭窗口 四,弹窗 五,等待 六,导航 七,文件上传 …...

Razor编程中@Html的方法使用大全

文章目录 1. 基础HTML辅助方法1.1 Html.ActionLink()1.2 Html.RouteLink()1.3 Html.Display() / Html.DisplayFor()1.4 Html.Editor() / Html.EditorFor()1.5 Html.Label() / Html.LabelFor()1.6 Html.TextBox() / Html.TextBoxFor() 2. 表单相关辅助方法2.1 Html.BeginForm() …...

jmeter聚合报告中参数详解

sample、average、min、max、90%line、95%line,99%line、Error错误率、吞吐量Thoughput、KB/sec每秒传输的数据量 sample(样本数) 表示测试中发送的请求数量,即测试执行了多少次请求。 单位,以个或者次数表示。 示例:…...