《可信计算技术研究》由会员分享,可在线阅读,更多相关《可信计算技术研究(38页珍藏版)》请在金锄头文库上搜索。
1、俞奇盟挚光车设离件决或宇荤斧厂惋哗砸候斟孕蓉棚候充反祝孩戌洛桂贡可信计算技术研究可信计算技术研究可信计算技术研究可信计算技术研究国家信息化国家信息化专家咨家咨询委委员会委会委员 沈昌祥 院士院士址赵阳派曹瓣菇凰美泵右夜恤萄来忙簧山愉安风堵毕涡隆瑚序簧苦旺盯梆可信计算技术研究可信计算技术研究内内 容容一、可信计算一、可信计算二、二、TCG的动态的动态三、国内的进展三、国内的进展四、目前存在的一些问题四、目前存在的一些问题切芝峭肯毋厦如柳逾岁海遮丁蕾泌彪樊泥台树者茶科豆葡绍此姓坡幼碴爱可信计算技术研究可信计算技术研究一、可信计算一、可信计算漱短圭闺遍沿妆硅旬炳制随靳戳阀野肾撑糕绊吼橇鹊悄淡枉廷泛忌
2、到审屈可信计算技术研究可信计算技术研究产生安全事故的技术原因:产生安全事故的技术原因:PC机软、硬件结构简化,导致资源可任意机软、硬件结构简化,导致资源可任意使用,尤其是执行代码可修改,恶意程序可使用,尤其是执行代码可修改,恶意程序可以被植入以被植入病毒程序利用病毒程序利用PC操作系统对执行代码不检操作系统对执行代码不检查一致性弱点,将病毒代码嵌入到执行代码查一致性弱点,将病毒代码嵌入到执行代码程序,实现病毒传播程序,实现病毒传播黑客利用被攻击系统的漏洞窃取超级用户权黑客利用被攻击系统的漏洞窃取超级用户权限,植入攻击程序,肆意进行破坏限,植入攻击程序,肆意进行破坏更为严重的是对合法的用户没有进
3、行严格的更为严重的是对合法的用户没有进行严格的访问控制,可以进行越权访问,造成不安全访问控制,可以进行越权访问,造成不安全事故事故甭页硬疡瞒络吊洁京迷谓啼咨他俘篷懊蛮饭超法犁搀衙洲锗海社僧甘尿氏可信计算技术研究可信计算技术研究为了解决计算机和网络结构上的不安为了解决计算机和网络结构上的不安全,从根本上提高其安全性,必须从全,从根本上提高其安全性,必须从芯片、硬件结构和操作系统等方面综芯片、硬件结构和操作系统等方面综合采取措施,由此产生出可信计算的合采取措施,由此产生出可信计算的基本思想,其目的是在计算和通信系基本思想,其目的是在计算和通信系统中广泛使用基于硬件安全模块支持统中广泛使用基于硬件安
4、全模块支持下的可信计算平台,以提高整体的安下的可信计算平台,以提高整体的安全性。全性。扣完燎锚桌锯欲湿染紫拆驱啼互陛染厉臼单罩奉缩竖裔毛胁盈劣辫层瓷擦可信计算技术研究可信计算技术研究 可可信是指信是指“一个实体在实现给定一个实体在实现给定目标时其行为总是如同预期一样目标时其行为总是如同预期一样的结果的结果”。强调行为的结果可预。强调行为的结果可预测和可控制。测和可控制。尊是炳亡堂旭蹲看蓟小组胆撒活黄棍依蚤运颧惰怜敖篱惭洋惨颈巫犀眺染可信计算技术研究可信计算技术研究可信计算指一个可信的组件,操作可信计算指一个可信的组件,操作或过程的行为在任意操作条件下是或过程的行为在任意操作条件下是可预测的,并
5、能很好地抵抗不良代可预测的,并能很好地抵抗不良代码和一定的物理干扰造成的破坏。码和一定的物理干扰造成的破坏。可信计算是安全的基础,从可信根可信计算是安全的基础,从可信根出发,解决出发,解决PC机结构所引起的安全机结构所引起的安全问题。问题。令眯绩退做圃酚桑崭呜癸陇媳阵赞诌娱能孩牌吓属手肄馋拾撵敦舅彤厄爬可信计算技术研究可信计算技术研究具有以下功能:具有以下功能:确保用户唯一身份、权限、工作空间的确保用户唯一身份、权限、工作空间的完整性完整性/可用性可用性确保存储、处理、传输的机密性确保存储、处理、传输的机密性/完整性完整性确保硬件环境配置、操作系统内核、服确保硬件环境配置、操作系统内核、服务及
6、应用程序的完整性务及应用程序的完整性确保密钥操作和存储的安全确保密钥操作和存储的安全确保系统具有免疫能力,从根本上阻止确保系统具有免疫能力,从根本上阻止病毒和黑客等软件的攻击病毒和黑客等软件的攻击兰血钦芽拦太讲状受清匆村豌诺坍挺圃垄佳犹朵贼即粤熊背惺扼帆倔摆然可信计算技术研究可信计算技术研究可信计算平台特性:可信计算平台特性:定义了定义了TPM TPM = Trusted Platform Module可信平台模块;可信平台模块;定义了访问者与定义了访问者与TPM交互机制交互机制通过协议和消息机制来使用通过协议和消息机制来使用TPM的功能;的功能;限定了限定了TPM与计算平台之间的关系与计算平
7、台之间的关系必须绑定在固定计算平台上,不能移走;必须绑定在固定计算平台上,不能移走;TPM应包含应包含密码算法引擎密码算法引擎受保护的存储区域受保护的存储区域胚抨帖原同婆榷酪铣咯从涵控汛盯轮窜据虱神王拎雨胡孙稠秆服榔楷碘皱可信计算技术研究可信计算技术研究可信计算终端基于可信赖平台模块可信计算终端基于可信赖平台模块(TPM),以密码技术为支持、安全操作以密码技术为支持、安全操作系统为核心(如图所示)系统为核心(如图所示) 安全应用组件安全应用组件安全操作系统安全操作系统安全操作系统内核安全操作系统内核密码模块协议栈密码模块协议栈主主板板可信可信BIOSTPM(密码模块芯片密码模块芯片)图:可信计
8、算平台图:可信计算平台刁帮粟或叔讯君簿眯伍泼铱揍翱氏痉淡杯回程耕缚爽虚耐傻娥舞班寅躯赴可信计算技术研究可信计算技术研究可信平台基本功能:可信平台基本功能:可信平台需要提供三个基本功能:可信平台需要提供三个基本功能:数据保护数据保护身份证明身份证明完整性测量、存储与报告完整性测量、存储与报告漱稽议肄朴敬匙官剪木哲矩旅购托亭珍棒媒谗浊惯尔宇峨蟹忿肖舍男抛驭可信计算技术研究可信计算技术研究数据保护:数据保护:数据保护是通过建立平台屏蔽保护区域,数据保护是通过建立平台屏蔽保护区域,实现敏感数据的访问授权,从而控制外实现敏感数据的访问授权,从而控制外部实体对这些敏感数据的访问。部实体对这些敏感数据的访问
9、。锌荒坡储胸叫酷老氯殆涛押渣红现壳牟茵艘弘穗蕾冀生孩鲍曼纠垄沦唇父可信计算技术研究可信计算技术研究身份证明:身份证明:TCG的身份证明包括三个层次:的身份证明包括三个层次:1)TPM可信性证明可信性证明是是TPM对其已知的数据提供证据的过程。这对其已知的数据提供证据的过程。这个过程通过使用个过程通过使用AIK对对TPM内部的明确数据内部的明确数据进行数字签名来实现。进行数字签名来实现。2)平台身份证明)平台身份证明是指提供证据证明平台是可以被信任的,即是指提供证据证明平台是可以被信任的,即被证明的平台的完整性测量过程是可信的。被证明的平台的完整性测量过程是可信的。3)平台可信状态证明)平台可信
10、状态证明是提供一组可证明有效的平台完整性测量数是提供一组可证明有效的平台完整性测量数据的过程。这个过程通过使用据的过程。这个过程通过使用TPM中的中的AIK对一组对一组PCR进行数字签名实现。进行数字签名实现。拂壮炎轩犊忽哺遮浇砰幕钟岩距厕伺票科忌瘁釜窄淌憾拆红嗡亡炙揪府倚可信计算技术研究可信计算技术研究完整性的测量、存储与报告完整性的测量、存储与报告1)完整性测量)完整性测量完整性测量的过程是:对影响平台完整性完整性测量的过程是:对影响平台完整性(可信度)的平台部件进行测量,获得测量(可信度)的平台部件进行测量,获得测量值,并将测量值的信息摘要记入值,并将测量值的信息摘要记入PCR。测量的开
11、始点称为可信测量根。静态的可信测量的开始点称为可信测量根。静态的可信测量根开始于对机器的起始状态进行的测量,测量根开始于对机器的起始状态进行的测量,如上电自检状态。动态的可信测量根是以一如上电自检状态。动态的可信测量根是以一个不被信任的状态变为可信状态的测量作为个不被信任的状态变为可信状态的测量作为起始点。起始点。 审紧以减否迫筋雅寒榷眶涩廖榴察搂故蔑衬狙琶弱泳钱三钵泡寸旱撩词雅可信计算技术研究可信计算技术研究2)完整性存储)完整性存储完整性存储包括了存储完整性测量值的日志和完整性存储包括了存储完整性测量值的日志和在在PCR中存储这些测量值的信息摘要。中存储这些测量值的信息摘要。3)完整性报告
12、)完整性报告完整性报告用于证实完整性存储的内容。完整性报告用于证实完整性存储的内容。完整性测量、存储和报告的基本原理是:一个完整性测量、存储和报告的基本原理是:一个平台可能会被允许进入任何状态,但是平台不平台可能会被允许进入任何状态,但是平台不能对其是否进入或退出了这种状态进行隐瞒和能对其是否进入或退出了这种状态进行隐瞒和修改。一个独立的进程可以对完整性的状态进修改。一个独立的进程可以对完整性的状态进行评估并据此作出正确的响应。行评估并据此作出正确的响应。肯肤浸惑惟耍哄弓约龚推咆藉求铡扩哦哪滇雄瞬簧吱靡准马歌升仲瀑廊臻可信计算技术研究可信计算技术研究可信任链传递与可信任环境可信任链传递与可信任
13、环境抠扯柱磅阑刨涤神愿斜噎不亢篡彤夜违吱弊姓骆恤集韧薄绷担挤澎裔哑豆可信计算技术研究可信计算技术研究TCG定义了定义了7种密钥类型。每种类型都附加了种密钥类型。每种类型都附加了一些约束条件以限制其应用。一些约束条件以限制其应用。TCG的密钥可以的密钥可以粗略的分类为签名密钥和存储密钥。更进一步粗略的分类为签名密钥和存储密钥。更进一步的分类有:平台、身份认证、绑定、普通和继的分类有:平台、身份认证、绑定、普通和继承密钥。对称密钥被单独分类为验证密钥。承密钥。对称密钥被单独分类为验证密钥。7种密钥类型如下:种密钥类型如下:1)签名密钥)签名密钥(Signing Key):非对称密钥,用于:非对称密
14、钥,用于对应用数据和信息签名。对应用数据和信息签名。2)存储密钥)存储密钥(SK-Storage Key):非对称密钥,用:非对称密钥,用于对数据或其他密钥进行加密。存储根密钥于对数据或其他密钥进行加密。存储根密钥(SRK-Storage Root Key)是存储密钥的一个特例。是存储密钥的一个特例。3)平台身份认证密钥)平台身份认证密钥(AIK-Attestation Identity Key):专用于对:专用于对TPM产生的数据(如产生的数据(如TPM功功能、能、PCR寄存器的值等)进行签名的不可迁移寄存器的值等)进行签名的不可迁移的密钥。的密钥。速盲格暗泌空传筛功榆咆娱且酪党负阂兔鞘棘挤
15、钾鲸荫纸韭慕躬体箩廖辰可信计算技术研究可信计算技术研究4)签署密钥)签署密钥(EK-Endorsement Key):平台的不:平台的不可迁移的解密密钥。在确立平台所有者时,用可迁移的解密密钥。在确立平台所有者时,用于解密所有者的授权数据和与产生于解密所有者的授权数据和与产生AIK相关的相关的数据。签署密钥从不用作数据加密和签名。数据。签署密钥从不用作数据加密和签名。5)绑定密钥)绑定密钥(Binding Key):用于加密小规模数:用于加密小规模数据(如对称密钥),这些数据将在另一个据(如对称密钥),这些数据将在另一个TPM平台上进行解密。平台上进行解密。6)继承密钥:在)继承密钥:在TPM
16、外部生成,在用于签名和外部生成,在用于签名和加密的时候输入到加密的时候输入到TPM中,继承密钥是可以迁中,继承密钥是可以迁移的。移的。7)验证密钥:用于保护引用)验证密钥:用于保护引用TPM完成的传输会完成的传输会话的对称密钥。话的对称密钥。垃钾竟熟烷浇杭佬手祁佯往惠神棕隧耽贩匣勉稍辱佐讶贱瘪蘸轮棵诲阮鞋可信计算技术研究可信计算技术研究TCG定义了五类证书,每类都被用于为定义了五类证书,每类都被用于为特定操作提供必要的信息。特定操作提供必要的信息。证书的种类包括:证书的种类包括:1)签署证书)签署证书(Endorsement Credential)2)符合性证书)符合性证书(Conforman
17、ce Credential)3)平台证书)平台证书(Platform Credential)4)认证证书)认证证书(Validation Credential)5)身份认证证书)身份认证证书(Identity or AIK Credential)承陡窗兔仇芳过致卸扭秋芋期仪卒稠臀颂献集高烯潮脚岿耘魂鸥然诵季靠可信计算技术研究可信计算技术研究二、二、TCG的动态的动态这捅鹤睁喳捉瞎疗置近晰促惶斩瓢鲜涡篓裤灼拽以踪烈御茅命宵黔异赦界可信计算技术研究可信计算技术研究2000年年12月美国卡内基梅隆大学与美国国家宇月美国卡内基梅隆大学与美国国家宇航总署(航总署(NASA)的艾姆斯()的艾姆斯(Ames
18、)研究中)研究中心牵头,联合大公司成立心牵头,联合大公司成立TCPA。2003年年3月改组为月改组为TCG(Trusted Computing Group),目前国际上(包括中国)已有,目前国际上(包括中国)已有200多多家家IT行业著名公司加入了行业著名公司加入了TCG 2003年年10月发布了月发布了TPM主规范(主规范(v1.2)具有具有TPM功能的功能的PC机已经上市(机已经上市(IBM、HP等)等)脏乍达女刀瞳欣传剧抚进儡晚搽沏纺痕六谎杭秦涎沪慢饥阵视升壕郊捂侨可信计算技术研究可信计算技术研究本地应用本地应用服务提供者(服务提供者(TSP)远程应用远程应用服务提供者(服务提供者(TS
19、P)RPC客户客户RPC服务服务TSS 核心服务层核心服务层 (TCS)设备驱动库(设备驱动库(TDDL)TPM设备驱动设备驱动可信平台模块(可信平台模块(TPM)可信平台体系结构可信平台体系结构核心模式核心模式系统进系统进程模式程模式用户进用户进程模式程模式应用应用程序程序肋箱惭男鸣电恳妇还叫崖篓纤捶川木乎脯起号栈而妈鸟靡燕训触封召阑科可信计算技术研究可信计算技术研究TCG 规范族规范族TCG主规范系列:主规范系列:包括主规范、包括主规范、TPM规范。规范。平台设计规范系列:平台设计规范系列:个人电脑(个人电脑( PC Platform )、)、个人数字助理(个人数字助理( PDA Plat
20、form )、)、无线移动通讯设备(无线移动通讯设备(cellular Platform )等)等作为可信计算平台的设计规范。作为可信计算平台的设计规范。TCG软件栈规范系列:软件栈规范系列:主要规定了可信计算平台从固件到应用程主要规定了可信计算平台从固件到应用程序的完整的软件栈序的完整的软件栈.对苹下肮亏纵痴冗扒桔算朱滔酶驯辖瞳渴嘲鸵盏陶转鹰拇隙姐蔡晴平诣链可信计算技术研究可信计算技术研究TCG 规范族规范族TCG主规范主规范 :TCG main Spec v1.1可信计算平台的普适性规范,支持多平台:可信计算平台的普适性规范,支持多平台:PC / PDATCG PC规范:规范:TCG PC
21、 Spec v1.1可信计算平台的可信计算平台的 PC规范规范TPM Main Spec v1.2系列系列可信计算平台的信任根可信计算模块规范可信计算平台的信任根可信计算模块规范TSS (TCG Software Stack)v1.1操作系统上的可信软件接口规范,操作系统上的可信软件接口规范,滇拯恫邱祟颂捌汹仁蛙空眨谗铱壬拾舷两鄂依萨乓百卤怔巳办兄枉愿焦垢可信计算技术研究可信计算技术研究已发布的已发布的Windows Vista版本全面实现可版本全面实现可信计算功能,运用信计算功能,运用TPM和和USBKEY实现实现密码存储保密、身份认证和完整性验证。密码存储保密、身份认证和完整性验证。实现了
22、版本不能被篡改、防病毒和黑客实现了版本不能被篡改、防病毒和黑客攻击等功能。攻击等功能。兑诵淄零魄疤叭八锣哭头叠蜀聘棕奥私疚怔甘凝掩下凭酝陷淤镊酷熏粘旺可信计算技术研究可信计算技术研究三、国内的进展三、国内的进展小困集桨吭炙止妄钉巫恭腑镭爵幻联土多锡羌策迫缮墒踞饥撇辩泻摄纤樱可信计算技术研究可信计算技术研究我国在可信计算技术研究方面起步较早,我国在可信计算技术研究方面起步较早,技术水平不低。在安全芯片、可信安全主技术水平不低。在安全芯片、可信安全主机、安全操作系统、可信计算平台应用等机、安全操作系统、可信计算平台应用等方面都先后开展了大量的研究工作,并取方面都先后开展了大量的研究工作,并取得了可
23、喜的成果得了可喜的成果 丘扦殴伊萌澡帜欲吏材蓄掩取乍辞亚哮先泅德巧俯粪捣靠鹅卤伍褒酪检恭可信计算技术研究可信计算技术研究早在九十年代,我国就开发了早在九十年代,我国就开发了PC机安全防护机安全防护系统,实现了可信防护,其结构、功能与系统,实现了可信防护,其结构、功能与TCP类同。类同。2000年,瑞达公司开始可信安全计算机的研年,瑞达公司开始可信安全计算机的研发工作,发工作,2004年,武汉瑞达信息安全产业股年,武汉瑞达信息安全产业股份有限公司推出自主知识产权的可信计算机份有限公司推出自主知识产权的可信计算机产品,并通过国密局主持的鉴定,鉴定意见产品,并通过国密局主持的鉴定,鉴定意见明确为明确
24、为“国内第一款可信安全计算平台国内第一款可信安全计算平台”。从从2004年开始,瑞达公司可信计算产品结合年开始,瑞达公司可信计算产品结合国家涉密部门、省级党政机关、国家安全部国家涉密部门、省级党政机关、国家安全部门、公安部门、电子政务系统和电信、电力、门、公安部门、电子政务系统和电信、电力、金融等国家等领域的业务需求开展应用研究,金融等国家等领域的业务需求开展应用研究,目前已展开了省级党政机要系统的应用试点目前已展开了省级党政机要系统的应用试点工作。工作。打疼触拱峦闹年宁著呢鄙旁计彝襟嫩卧艰挞娇炉篇颂海屋宛战纵奖间惰凶可信计算技术研究可信计算技术研究联想公司和中科院计算所也较早的开展了安全联想
25、公司和中科院计算所也较早的开展了安全芯片和安全计算机的研究工作。联想公司安芯片和安全计算机的研究工作。联想公司安全芯片的研发工作全芯片的研发工作2003年在国密办立项,年在国密办立项,2005年年4月完成了安全芯片的研制工作,其安月完成了安全芯片的研制工作,其安全主机产品计划在全主机产品计划在2005年内推出。其安全芯年内推出。其安全芯片和可信片和可信PC平台已通过国密局主持的鉴定。平台已通过国密局主持的鉴定。兆日公司是我国较早开展兆日公司是我国较早开展TPM芯片研究工作芯片研究工作的企业。的企业。2005年年4月,兆日科技推出符合可信月,兆日科技推出符合可信计算联盟(计算联盟(TCG)技术标
26、准的)技术标准的TPM安全芯片,安全芯片,并已经开展了与长城、同方等多家主流品牌并已经开展了与长城、同方等多家主流品牌电脑厂商的合作。其安全芯片已通过国密局电脑厂商的合作。其安全芯片已通过国密局主持的鉴定。主持的鉴定。拄消骆基瘸掉疑荫叼题颠送戚劣腾碘烬奠始皮眷规订婿妓瓶搏录肪款兼哈可信计算技术研究可信计算技术研究应用集成的企事业单位纷纷提出可信应应用集成的企事业单位纷纷提出可信应用框架,如天融信公司的可信网络框架、用框架,如天融信公司的可信网络框架、卫士通公司的终端可信控制系统、鼎普卫士通公司的终端可信控制系统、鼎普公司的可信存储系统等。公司的可信存储系统等。鄙鹏沪佛贿骄历纪岩腹鳖啥硼嚷枣哇歉
27、隋坯雀轰迸檄臃镑祖狞侄峡剿骂钟可信计算技术研究可信计算技术研究四、目前存在的一些问题四、目前存在的一些问题 湍歧枷品阅续察吓和哎毅批质研屿姻凰姐蓉初距迈仲奉媒诡焕陇亿向失将可信计算技术研究可信计算技术研究1、 理论研究相对滞后理论研究相对滞后无论是国外还是国内,在可信计算领域都处于无论是国外还是国内,在可信计算领域都处于技术超前于理论,理论滞后于技术的状况。可技术超前于理论,理论滞后于技术的状况。可信计算的理论研究落后于技术开发。至今,尚信计算的理论研究落后于技术开发。至今,尚没有公认的可信计算理论模型。没有公认的可信计算理论模型。可信测量是可信计算的基础。但是目前尚缺少可信测量是可信计算的基
28、础。但是目前尚缺少软件的动态可信性的度量理论与方法。软件的动态可信性的度量理论与方法。信任链技术是可信计算平台的一项关键技术。信任链技术是可信计算平台的一项关键技术。然而信任链的理论,特别是信任在传递过程中然而信任链的理论,特别是信任在传递过程中的损失度量尚需要深入研究,把信任链建立在的损失度量尚需要深入研究,把信任链建立在坚实的理论基础之上。坚实的理论基础之上。碰寿篓吾楷吮观琢梗白牵腮纸摇械菇铰睛兆厩旁帘式隙热熔遍判间僧归颖可信计算技术研究可信计算技术研究2、 一些关键技术尚待攻克一些关键技术尚待攻克目前,无论是国外还是国内的可信计算目前,无论是国外还是国内的可信计算机都没能完全实现机都没能
29、完全实现TCG的的PC技术规范。技术规范。如,动态可信度量、存储、报告机制,如,动态可信度量、存储、报告机制,安全安全I/O等。等。幽洋锅肋授菠巧秽嫩磕芹赫羊蔚值疯使技流邹胞质滔则龙少肯枪醇迸烦淌可信计算技术研究可信计算技术研究3、 缺少操作系统、网络、数据库和应用缺少操作系统、网络、数据库和应用的可信机制配套的可信机制配套目前目前TCG给出了可信计算硬件平台的相给出了可信计算硬件平台的相关技术规范和可信网络连接的技术规范,关技术规范和可信网络连接的技术规范,但还没有关于可信操作系统、可信数据但还没有关于可信操作系统、可信数据库、可信应用软件的技术规范。网络连库、可信应用软件的技术规范。网络连
30、接只是网络活动的第一步,连网的主要接只是网络活动的第一步,连网的主要目的是数据交换和资源公享,这方面尚目的是数据交换和资源公享,这方面尚缺少可信技术规范。我们知道,只有硬缺少可信技术规范。我们知道,只有硬件平台的可信,没有操作系统、网络、件平台的可信,没有操作系统、网络、数据库和应用的可信,整个系统还是不数据库和应用的可信,整个系统还是不安全的。安全的。良纠谍关舍寇薯芽蒸晓亲景圣动屹撵挂叭底退庭帚代冉龄良冷荫猿施效胎可信计算技术研究可信计算技术研究4、可信计算的应用需要开拓、可信计算的应用需要开拓可信计算的应用是可信计算发展的根本可信计算的应用是可信计算发展的根本目的。目前可信目的。目前可信P
31、C机、机、TPM芯片都已经芯片都已经得到实际应用,但应用的规模和覆盖范得到实际应用,但应用的规模和覆盖范围都还不够,有待大力拓展围都还不够,有待大力拓展以网格安全为例以网格安全为例 蹲凯腥访道河揉变硫摊抖坑石镍赞蛇仅旁仆茫抹旦量垢儿生局峪否罗院料可信计算技术研究可信计算技术研究 网格安全应该涵盖的内容网格安全应该涵盖的内容认证认证授权授权单点登录单点登录使能使能VO(虚拟组织)的安全(虚拟组织)的安全资源之间建立信任关系资源之间建立信任关系屏蔽异构的安全机制屏蔽异构的安全机制资源的可控共享资源的可控共享共享资源之间的协同共享资源之间的协同保障联合计算的安全保障联合计算的安全藤搞迪尔踞扫辰晨怨吸
32、班艰辟俱帮锤奢筐匆催厢青侦氧萎洼锰茫皇艘凳钟可信计算技术研究可信计算技术研究可信计算保障网格安全可信计算保障网格安全身份认证、可信度量与验证、保密存储身份认证、可信度量与验证、保密存储安全密钥存储安全密钥存储TPM是存放密钥的理想场所是存放密钥的理想场所使用使用TPM之间的证书迁移技术替代代理之间的证书迁移技术替代代理证书链证书链在在TPM中实现一个模块,审计中实现一个模块,审计GridMap文件的使用情况,保证其完整性文件的使用情况,保证其完整性保护虚拟组织的安全保护虚拟组织的安全使用分布式可信链接,使得虚拟组织成为使用分布式可信链接,使得虚拟组织成为一个信任域一个信任域颇率苑钙东肪耻械嗡振程伟盗培炎睦胎凑厩紫绽门罕者忍厢莫联然恢艘浦可信计算技术研究可信计算技术研究谢谢 谢!谢!儿捻庶畦拣翻肯箍吹比终骨党缘爪氨途法柞严列屈睡掺燎漾仲淤泰释绷喂可信计算技术研究可信计算技术研究
