刘明达
- 作品数:14 被引量:137H指数:5
- 供职机构:江南计算技术研究所更多>>
- 发文基金:国家自然科学基金国家科技重大专项更多>>
- 相关领域:自动化与计算机技术电子电信更多>>
- 一种基于SR-IOV技术的虚拟环境安全隔离模型被引量:3
- 2016年
- 虚拟化技术的发展,带来了计算模式的变革,同时也带来了诸多安全问题。文章研究了虚拟环境安全问题和目前主流的安全防护方式,同时研究了I/O硬件虚拟化技术——SR-IOV,并针对虚拟计算环境安全隔离的问题提出了一种基于SR-IOV技术的虚拟环境安全隔离模型。该模型根据用户需求将虚拟域进行安全分级,安全等级高的虚拟域能够分配专门的物理网卡和加密卡,安全等级较低的虚拟域仍采用传统的软件模拟方法实现I/O设备。在SRIOV的结构设计中,采用了设备直连技术实现虚拟域和物理设备的通信,设备直连技术本身具备良好的隔离效果,这样就能够根据其安全等级实现网络数据隔离和数据加密隔离。实验结果表明,该模型能够提高虚拟计算环境的安全隔离特性,增强虚拟环境的安全,不仅具有可行性,而且具有良好的性能效率。
- 刘明达马龙宇
- 关键词:虚拟环境
- 一种分布式的隐私保护数据搜索方案
- 2022年
- 针对高敏数据上云后造成数据孤岛,从而导致数据无法互相搜索、互相发现,进而无法共享的问题,提出了一种分布式的隐私保护数据搜索方案,该方案实现了分布式场景下数据和搜索条件双向保密,并能够建立可信的搜索存证。首先对数据模型进行定义,明确了方案保护的目标和应用场景;其次提出了方案的设计框架和协议流程,重点对基于区块链的可信数据交互通道、可信密钥共享模块和密文搜索引擎3个部分的整体性流程进行描述;然后提出了一种基于可信执行环境的密文态下的全文搜索引擎Tantivy-SGX,重点对原理和实现方法进行详细分析;最后对整体流程和核心部分进行实现与验证。实验结果表明,该方案高效可行,能够有效增强分布式环境下的数据发现与搜索安全。
- 刘明达拾以娟饶翔范磊
- 关键词:分布式环境区块链
- 一种基于手机令牌的移动支付认证协议被引量:2
- 2016年
- 针对移动支付中身份和支付认证的安全问题,本文研究了手机令牌技术和无证书签密体制.结合Android系统安全策略和通信特点,利用身份和设备信息生成手机令牌并安全存储,基于手机令牌实现无证书签密,在SSL协议下层设计和实现安全认证协议.在不改变系统架构、设备硬件以及基础网络安全协议的基础上,实现了移动支付的安全增强.安全性分析表明该协议能有效抵抗伪造身份攻击、中间人攻击和重放攻击,保证移动支付的安全,并具有良好的计算效率.
- 刘明达拾以娟赵波李逸帆
- 关键词:手机令牌无证书签密
- 基于硬件虚拟化TCM的信任链扩展方法被引量:2
- 2019年
- 本文团队曾提出基于硬件虚拟化技术构建虚拟化TCM的方法,并设计了硬件虚拟化TCM支撑的可信虚拟环境,但是并未对信任链的扩展提出详细的方案.基于此研究成果,提出了硬件虚拟化TCM支撑下的虚拟环境信任链扩展的方法,对信任链扩展的详细过程进行描述,构建了从p TCM到虚拟机的完整信任关系,并提出虚拟机与可信计算基绑定的方案.实验分析表明,本文方案能够在新型可信虚拟环境中实现信任链的扩展,有效增强计算环境安全,系统开销可接受.
- 刘明达周懿拾以娟
- 关键词:可信计算
- 一种改进的基于认证测试的形式化分析方法
- 2019年
- 近年来,认证测试定理得到了改进,并应用于各种安全协议的分析。但是这些改进定理在应用范围和准确性方面存在一定的缺陷。针对这些缺陷,文章提出了一种改进的输入测试定理及加密测试定理,并给出了改进定理的证明。通过分析认证测试中常规节点的判定、证明过程中的错误、参数一致性证明过程中的不准确性和错误,指出了认证测试在使用过程中的缺陷。基于这些缺陷,文章提出了一种改进的基于认证测试的形式化分析方法——递归测试,并通过该方法证明了BAN-Yahalom协议。分析结果表明,该方法扩大了认证测试使用范围,且可以有效地、准确地分析安全协议。
- 姚萌萌朱正超刘明达
- 关键词:串空间形式化分析方法安全协议
- 一种基于属性的去中心化访问控制模型被引量:5
- 2018年
- 随着网络规模与开放程度的不断加大,传统的基于属性的访问控制模型(attribute-based access control,ABAC)在实际应用中存在着中心节点负担过大,决策过程安全风险较高等问题。为了更好地提升基于属性的访问控制模型的安全性,且满足大规模分布式网络环境下的应用条件,提出了一种基于属性的去中心化访问控制模型(decentralized attributebased access control,DABAC)。在基于属性的访问控制模型的基础上对访问控制模型进行扩展,通过权益证明和证据链条的方式,实现了去中心化的决策方式,进一步提升了决策支持库和访问记录的安全性,增加了访问决策的可信性。相比于传统的访问控制模型,DABAC模型具有更高的安全性、灵活性和容错性,通过更加安全的访问请求决策和更加详细的访问过程记录,更好地保护了客体资源。
- 马星晨朱建涛邵婧刘明达
- 关键词:访问控制去中心化
- 大数据环境下密码资源池多租户安全隔离研究被引量:2
- 2018年
- 大数据与云计算的快速发展,共同创造了一种数据规模极大、计算存储高效、资源共享的大数据环境。大数据环境下隐私数据保护、多租户模式等对密码服务的需求发生改变,促使密码技术向"密码资源池化"发展。在研究了大数据环境下密码资源池组成结构与应用场景的基础上,分析了大数据环境下多租户密码服务整个生命周期的安全隔离需求,同时研究了OpenFlow软件定义网络技术以及VxLAN网络虚拟化技术。针对大数据环境下密码资源池多租户密码服务安全隔离问题,提出一种将密码服务请求与密码任务执行相分离的服务机制,基于VxLAN技术实现网络隔离的密码资源池多租户安全隔离模型,实现租户密码资源与租户业务环境同属于一个安全域,从而确保大数据环境下密码资源池多租户密码服务的安全隔离。
- 高秀武刘文丽高恒振刘明达
- 一种改进的基于认证测试的形式化分析方法
- 基于串空间的认证测试是一种有效的证明安全协议的形式化方法,其简洁、直观的特性在安全协议分析验证领域得到了广泛的应用。针对认证测试应用范围和准确性,本文提出了改进的输入测试定理和加密测试定理,并提出了一种改进的基于认证测试...
- 姚萌萌朱正超刘明达
- 关键词:串空间形式化分析方法安全协议
- 基于硬件虚拟化TCM的私有云远程证明协议
- 结合基于硬件虚拟化技术构建虚拟化TCM的方法以及硬件虚拟化TCM支撑的可信虚拟环境,文章提出了硬件虚拟化TCM支撑下的私有云远程证明协议。虚拟机拥有硬件化的信任根,虚拟机的远程证明才具有实际意义。文章首先介绍远程证明的基...
- 刘明达王宇濮小川
- 关键词:可信计算远程证明
- 文献传递
- 基于区块链的分布式可信网络连接架构被引量:28
- 2019年
- 可信网络连接是信任关系从终端扩展到网络的关键技术.但是,TCG的TNC架构和中国的TCA架构均面向有中心的强身份网络,在实际部署中存在访问控制单点化、策略决策中心化的问题.此外,信任扩展使用二值化的信任链传递模型,与复杂网络环境的安全模型并不吻合,对网络可信状态的刻画不够准确.针对上述问题,在充分分析安全世界信任关系的基础上,提出一种基于区块链的分布式可信网络连接架构——B-TNC,其本质是对传统可信网络连接进行分布式改造.B-TNC充分融合了区块链去中心化、防篡改、可追溯的安全特性,实现了更强的网络信任模型.首先描述B-TNC的总体架构设计,概括其信任关系.然后,针对核心问题展开描述:(1)提出了面向访问控制、数据保护和身份认证的3种区块链系统;(2)提出了基于区块链技术构建分布式的可信验证者;(3)提出了基于DPoS共识的的远程证明协议.最后,对B-TNC进行正确性、安全性和效率分析.分析结果表明,B-TNC能够实现面向分布式网络的可信网络连接,具有去中心化、可追溯、匿名、不可篡改的安全特性,能够对抗常见的攻击,并且具备良好的效率.
- 刘明达拾以娟陈左宁
- 关键词:区块链可信网络连接信任模型分布式网络
