通用计算平台的密钥保护技术研究

基本信息
批准号:61772518
项目类别:面上项目
资助金额:65.00
负责人:林璟锵
学科分类:
依托单位:中国科学院信息工程研究所
批准年份:2017
结题年份:2021
起止时间:2018-01-01 - 2021-12-31
项目状态: 已结题
项目参与者:王琼霄,潘无穷,马原,江芳杰,马自强,张如,贾东征,成娟娟
关键词:
数据机密性密码算法实现内存信息泄露攻击系统安全密钥保护
结项摘要

Cryptographic algorithms play an important role in information security. In order to apply cryptographic algorithms in information systems, we must ensure the confidentiality of cryptographic keys; otherwise, the algorithms cannot produce security effects as expected. In general computing platforms without dedicated cryptographic devices, attackers could steal the cryptographic keys through various methods, including memory disclosure attacks exploiting software vulnerabilities, cold-boot attacks, DMA attacks and key recovery attacks from memory dumps of virtual machines..This project focuses on cryptographic key protection technologies. Firstly, we will conclude the threat model of cryptographic keys, based on the analyses on phases of the cryptographic key lifecycle, locations of cryptographic keys, and launch points of attacks. Then, against the threats in different phases of the cryptographic key lifecycle, we will evaluate the strengths/weaknesses and compatibility of existing technical ideas, to assemble them into a comprehensive technical architecture of cryptographic key protections. Finally, we will implement prototype systems for typical applications..Compared with existing key protection schemes, this project integrates the technologies of software only root of trust (SWORT) and full memory encryption, and utilizes the CPU hardware features in the user space. We will produce innovative techniques in secure cryptographic key initialization/input, secure cryptographic computation result output, and application-layer cryptographic key protection, which promote the security of cryptographic key protection technologies.

密码算法在信息安全中发挥着重要的基础性作用。在信息系统中应用密码算法,必须保证密钥数据的机密性;否则密码算法就不能发挥应有的安全效果。在不带有专用密码器件的通用计算平台上,攻击者可以通过各种手段读取密钥数据,包括利用软件漏洞的内存信息泄露攻击、冷启动攻击、DMA攻击、虚拟机镜像转存攻击等。.本项目研究通用计算平台的密钥保护技术。首先,从密钥生命周期不同阶段、密钥数据所在位置和攻击起源等3个维度来进行分析,总结密钥数据的安全威胁模型。然后,针对不同阶段的各种攻击威胁,分析比较各种技术思路的优缺点和兼容性,组合形成全面的密钥保护技术体系。最后,针对典型应用系统、实现密钥保护技术方案。.相比已有公开技术方案,本项目借鉴软件可信根和全内存加密技术、结合用户态CPU硬件特性,分别在安全的密钥初始化/密钥输入、安全的密码计算结果输出和应用层密钥保护等三方面完成技术创新,提升密钥保护技术方案的安全性。

项目摘要

密码算法和密码协议是多种网络空间安全技术的基础,密钥安全是密码算法和密码协议发挥安全作用的前提:如果攻击者能够获得密钥,则密码应用安全方案形同虚设。本项目针对通用计算平台,研究密钥保护的安全威胁模型、完成密钥保护技术体系、并形成典型应用系统的技术方案。.至项目结束时间,项目组分别针对Intel CPU平台、移动智能终端和虚拟化平台,成了多种密钥保护技术方案,能够用于不同的应用场景,在各种不同类型的攻击威胁情况下,保护正在执行密码计算的密钥数据,包括如下:(1)基于ARM TrustZone机制、基于Intel SGX机制、基于Intel TSX机制、基于片上内存iRAM、基于向量寄存器、基于虚拟机监控器内存空间、基于虚拟机自省、基于门限密码方案、基于GPU虚拟化的多种方案,抵抗各种内存信息泄露攻击;上述系列方案,分别适用于不同的平台和服务模式,提供安全的密码计算;(2)基于延迟和预操作、基于Dummy线程的多种方案,抵抗Cache侧信道攻击。上述研究成果,从系统安全的角度来考虑密码方案的实现和应用,使得密码学理论方案的前提假设——“攻击者不能获取和访问密钥数据”在现实计算机系统中能够成为有效的假设。.进一步,针对用于分发密钥的PKI数字证书服务,分析了现有证书透明化Certificate Transparency机制的安全性,首次揭示了Monitor可靠性对证书透明化机制的影响。我们深入地研究了现有Internet网络上的Monitor服务,发现所有的Monitor都不能提供完全可靠的服务、进而会影响到CT安全目标(即,不能及时地发现虚假数字证书)。

项目成果
{{index+1}}

{{i.achievement_title}}

{{i.achievement_title}}

DOI:{{i.doi}}
发表时间:{{i.publish_year}}

暂无此项成果

数据更新时间:2023-05-31

其他相关文献

1

论大数据环境对情报学发展的影响

论大数据环境对情报学发展的影响

DOI:
发表时间:2017
2

惯性约束聚变内爆中基于多块结构网格的高效辐射扩散并行算法

惯性约束聚变内爆中基于多块结构网格的高效辐射扩散并行算法

DOI:10.19596/j.cnki.1001-246x.8419
发表时间:2022
3

物联网中区块链技术的应用与挑战

物联网中区块链技术的应用与挑战

DOI:10.3969/j.issn.0255-8297.2020.01.002
发表时间:2020
4

适用于带中段并联电抗器的电缆线路的参数识别纵联保护新原理

适用于带中段并联电抗器的电缆线路的参数识别纵联保护新原理

DOI:10.19783/j.cnki.pspc.200521
发表时间:2021
5

一种改进的多目标正余弦优化算法

一种改进的多目标正余弦优化算法

DOI:
发表时间:2019

林璟锵的其他基金

相似国自然基金

1

安全协同计算中群密钥的同态提取与通用构造

批准号:61202388
批准年份:2012
负责人:吕锡香
学科分类:F0206
资助金额:25.00
项目类别:青年科学基金项目
2

面向云计算平台的数据安全与隐私保护关键技术研究

批准号:61472433
批准年份:2014
负责人:李爱平
学科分类:F0204
资助金额:80.00
项目类别:面上项目
3

面向云计算的新型生物密钥技术研究

批准号:61772162
批准年份:2017
负责人:吴震东
学科分类:F06
资助金额:64.00
项目类别:面上项目
4

多种路况下基于车载平台的通用视觉感知模块技术研究

批准号:90820007
批准年份:2008
负责人:张波
学科分类:F0302
资助金额:50.00
项目类别:重大研究计划