-
公开(公告)号:CN101834852B
公开(公告)日:2013-01-30
申请号:CN201010140901.2
申请日:2010-04-02
Applicant: 北京交通大学
Abstract: 本发明提供了一种保护平台信息的可信OpenSSH的实现方法,方法的组件包括功能增强的会话密钥交换模块,方法的具体步骤如下,首先是可信客户端将自己的信息发送可信服务器端,然后可信服务器端根据收到的信息以及自己的信息生成会话密钥,同时将自己的信息、加密的可信服务器平台信息、包含有可信服务器平台信息的签名信息发送给可信客户端;可信客户端根据收到的信息生成会话密钥,同时验证服务器的签名信息,在验证通过后,将加密的可信客户平台信息以及包含有可信客户平台信息的签名信息发送给可信服务器端;最后可信服务器验证客户签名信息。本发明在实现可信信道的同时,保证了通信双方的平台信息在网络传输过程中的秘密性。
-
公开(公告)号:CN101950333A
公开(公告)日:2011-01-19
申请号:CN201010246036.X
申请日:2010-08-05
Applicant: 北京交通大学
IPC: G06F21/00
Abstract: 本发明涉及一种响应Xen客户硬件虚拟域可信计算TOCTOU攻击的方法,该方法在有效防范攻击的前提下充分考虑系统性能。方法中,Xen特权域与虚拟机监控器之间定义了1个超级调用和10个虚拟中断,用于虚拟机监控器与特权域之间传递与本发明相关的信息;响应方法的组件包括在特权域可信仿真设备模块中实现的转发模块和攻击信号处理模块、在特权域内核空间实现的转发模块以及在虚拟机监控器中实现的攻击管理模块。实施了本发明的系统能有效地响应硬件虚拟域的可信计算TOCTOU攻击;而且本发明的响应方法实用性强,在没有收到攻击信号的情况下,该响应方法对系统性能影响非常小;此外该方法对原有系统修改少,可扩展性强,适用于多个可信客户硬件虚拟域并行工作环境。
-
公开(公告)号:CN101741842B
公开(公告)日:2012-07-04
申请号:CN200910241782.7
申请日:2009-12-07
Applicant: 北京交通大学
Abstract: 本发明提供了一种基于可信计算实现可信SSH的方法。本方法通过将可信计算的远程证明与SSH协议的密钥交换这两个过程进行有机整合,实现了平台状态信息验证与会话密钥协商的紧密结合,在保证数据安全传输的前提下,加强了数据在通信端点的安全性。本方法要求服务器端和客户端都配有可信安全芯片,并且安装了度量模块和可信操作系统,能够对各自平台状态进行度量。本方法不但有效地防范了SSH协议中存在的利用安全通道与未知端点通信仍可能遭受各种攻击的安全威胁,同时有效地防范了重放攻击、假冒攻击和中间人攻击。
-
公开(公告)号:CN101789939A
公开(公告)日:2010-07-28
申请号:CN201010100818.2
申请日:2010-01-25
Applicant: 北京交通大学
Abstract: 本发明涉及一种有效的可信OpenSSH的实现方法,方法的组件包括功能增强的参数协商模块和功能增强的会话密钥交换模块,方法的具体步骤如下:步骤1,对身份认证算法协商串的形成过程进行修改,步骤2,对选择身份认证算法的过程进行修改,步骤3,在可信客户端增加两个变量,分别用客户类型和服务器类型表示,步骤4,在可信服务器端增加两个变量,分别用客户类型和服务器类型表示,步骤5,对可信客户端会话密钥交换处理模块进行修改,步骤6,对可信服务器端密钥交换处理模块进行修改。本发明在实现可信信道的同时充分考虑系统性能、可扩展性和功能向后兼容性。
-
公开(公告)号:CN101789939B
公开(公告)日:2013-10-30
申请号:CN201010100818.2
申请日:2010-01-25
Applicant: 北京交通大学
Abstract: 本发明涉及一种有效的可信OpenSSH的实现方法,方法的组件包括功能增强的参数协商模块和功能增强的会话密钥交换模块,方法的具体步骤如下:步骤1,对身份认证算法协商串的形成过程进行修改,步骤2,对选择身份认证算法的过程进行修改,步骤3,在可信客户端增加两个变量,分别用客户类型和服务器类型表示,步骤4,在可信服务器端增加两个变量,分别用客户类型和服务器类型表示,步骤5,对可信客户端会话密钥交换处理模块进行修改,步骤6,对可信服务器端密钥交换处理模块进行修改。本发明在实现可信信道的同时充分考虑系统性能、可扩展性和功能向后兼容性。
-
Patent Agency Ranking
公开(公告)号:CN101888383A
公开(公告)日:2010-11-17
申请号:CN201010222556.7
申请日:2010-06-30
Applicant: 北京交通大学
Abstract: 本发明涉及一种可扩展的可信SSH的实现方法。本方法要求服务器端和客户端都配有可信安全芯片,并且安装了度量模块和可信操作系统,能够对各自平台状态进行度量。本方法通过在SSH传输子协议层定义三个新消息编码,并将SSH传输子协议层中密钥交换算法所计算的会话密钥作为可信计算远程证明的参数,来实现可信SSH通道。本方法实现的可信通道具有以下两个特性,一个是远程证明过程对密钥交换算法的透明性,另一个是通信双方的平台信息在网络传输过程中的秘密性。
-
公开(公告)号:CN101888383B
公开(公告)日:2013-07-31
申请号:CN201010222556.7
申请日:2010-06-30
Applicant: 北京交通大学
Abstract: 本发明涉及一种可扩展的可信SSH的实现方法。本方法要求服务器端和客户端都配有可信安全芯片,并且安装了度量模块和可信操作系统,能够对各自平台状态进行度量。本方法通过在SSH传输子协议层定义三个新消息编码,并将SSH传输子协议层中密钥交换算法所计算的会话密钥作为可信计算远程证明的参数,来实现可信SSH通道。本方法实现的可信通道具有以下两个特性,一个是远程证明过程对密钥交换算法的透明性,另一个是通信双方的平台信息在网络传输过程中的秘密性。
-
公开(公告)号:CN101950333B
公开(公告)日:2013-04-10
申请号:CN201010246036.X
申请日:2010-08-05
Applicant: 北京交通大学
Abstract: 本发明涉及一种响应Xen客户硬件虚拟域可信计算TOCTOU攻击的方法,该方法在有效防范攻击的前提下充分考虑系统性能。方法中,Xen特权域与虚拟机监控器之间定义了1个超级调用和10个虚拟中断,用于虚拟机监控器与特权域之间传递与本发明相关的信息;响应方法的组件包括在特权域可信仿真设备模块中实现的转发模块和攻击信号处理模块、在特权域内核空间实现的转发模块以及在虚拟机监控器中实现的攻击管理模块。实施了本发明的系统能有效地响应硬件虚拟域的可信计算TOCTOU攻击;而且本发明的响应方法实用性强,在没有收到攻击信号的情况下,该响应方法对系统性能影响非常小;此外该方法对原有系统修改少,可扩展性强,适用于多个可信客户硬件虚拟域并行工作环境。
-
公开(公告)号:CN101834860B
公开(公告)日:2013-01-30
申请号:CN201010152836.5
申请日:2010-04-22
Applicant: 北京交通大学
IPC: H04L29/06
Abstract: 本发明提供了一种远程动态验证客户端软件完整性的方法。本方法利用TCG远程证明方法、Xen虚拟机安全隔离性质以及可信平台模块(TPM)时间戳功能,实现了网络服务器对网络客户端不可信客户虚拟域的自包含可执行软件(Self-contained executables)的远程动态验证。本方法中,网络客户端配备安全芯片TPM,并安装了Xen虚拟机系统。本方法所采用的远程动态验证架构由完整性度量机制、报告机制和验证机制三部分组成,其中完整性度量机制由安装在网络客户端特权虚拟域的后端验证代理模块和安装在网络客户端虚拟机监控器的内存度量模块来完成,报告机制由安装在网络客户端客户虚拟域的前端验证代理模块来完成,验证机制由安装在网络服务器的验证模块来完成。
-
公开(公告)号:CN101834860A
公开(公告)日:2010-09-15
申请号:CN201010152836.5
申请日:2010-04-22
Applicant: 北京交通大学
IPC: H04L29/06
Abstract: 本发明提供了一种远程动态验证客户端软件完整性的方法。本方法利用TCG远程证明方法、Xen虚拟机安全隔离性质以及可信平台模块(TPM)时间戳功能,实现了网络服务器对网络客户端不可信客户虚拟域的自包含可执行软件(Self-contained?executables)的远程动态验证。本方法中,网络客户端配备安全芯片TPM,并安装了Xen虚拟机系统。本方法所采用的远程动态验证架构由完整性度量机制、报告机制和验证机制三部分组成,其中完整性度量机制由安装在网络客户端特权虚拟域的后端验证代理模块和安装在网络客户端虚拟机监控器的内存度量模块来完成,报告机制由安装在网络客户端客户虚拟域的前端验证代理模块来完成,验证机制由安装在网络服务器的验证模块来完成。
-
-
-
-
-
-
-
-
-
Search Results
12
records
(took 0.021 seconds)
