1、去三亞旅遊,帶什麼防曬好呢,求推薦
去海邊度假。肯定是要帶SPF30。這個天氣不是海南炎熱天氣。所以紫外線沒有那麼強。這是我在網上搜的關於防曬比較好的牌子。http://lady.163.com/11/0222/11/6TGCK32900261IDC.html 作為我個人,因為是海南人。所以一般喜歡曬太陽,不太好愛擦防曬霜,帶個遮陽帽。。
2、大數據中心怎麼與企業合作一起收集數據
感測器是一種檢測裝置,能感受到被測量的信息,並能將感受到的信息,按一定規律變換成為電信號或其他所需形式的信息輸出,以滿足信息的傳輸、處理、存儲、顯示、記錄和控制等要求。
感測器的特點包括:微型化、數字化、智能化、多功能化、系統化、網路化。它是實現自動檢測和自動控制的首要環節。感測器的存在和發展,讓物體有了觸覺、味覺和嗅覺等感官,讓物體慢慢變得活了起來。通常根據其基本感知功能分為熱敏元件、光敏元件、氣敏元件、力敏元件、磁敏元件、濕敏元件、聲敏元件、放射線敏感元件、色敏元件和味敏元件等十大類。
3、新都中醫院
成都市新都區中醫醫院始建於1956年8月,於1998年被首批評為國家二級甲等中醫醫院,於2012年被評為國家三級乙等中醫醫院,為新都區全國農村中醫葯工作先進單位龍頭,中國人民解放軍總醫院、解放軍醫學院遠程會診和遠程教育成員單位,成都軍區總醫院、成都市中西醫結合醫院、成都市婦女兒童中心網路指揮協作醫院,四川中醫葯高等專科學校臨床實習基地,成都中醫葯大學附屬醫院針灸學校、雅安職業技術學院等大專院校的教學醫院,成都市急診急救指揮中心(120)網路醫院,城鎮職工和城鄉居民醫療保險、保險公司定點醫院。
成都市新都區香樟路120號
望採納哦!!!!
4、無輻射顯示屏是什麼?(激光技術應用)
早期的CRT顯示器因為電子槍的電子打在屏幕上會產生一些紫外線和X射線。。雖然顯示器有保護裝置但也有泄漏。。LCD顯示器因為沒有高壓電子槍所以(高壓燈管產生的很少)就沒有這樣的輻射。。還有現在的LED顯示器激光顯示器等 都沒有高能射線。。現在很多商家就搞些這樣的新名詞來忽悠顧客。。現在所謂的顯示器輻射大多是指的電磁波輻射。。就像手機輻射一樣。。
不要聽這些商家瞎忽悠 其實都一樣的 。。
5、求論文開題報告在線等
可信計算的技術基礎是公開密鑰技術,公鑰體制中密鑰管理體系的安全性直接關繫到整個可信計算平台的安全程度。其中EK、SRK、AIK等三類密鑰管理是重點。本文著重分析了密鑰的分類和結構,提出了密鑰管理系統模型,基於該模型對所涉及密鑰的生成、存儲和銷毀等重點環節進行了研究。
關鍵詞 可信計算;密鑰;密鑰管理
1 引言
傳統的安全保護基本上以軟體為基礎,附以密鑰技術,側重以防為主。事實證明這種保護並不是非常可靠而且存在著被篡改的可能性。因此,在我國目前硬體、操作系統、安全等許多關鍵技術還嚴重依賴國外的情況下,對可信計算的要求迫切地擺在用戶的面前。可信計算不同於傳統的安全的概念,它將加密、解密、認證等基本的安全功能寫入硬體晶元,並確保晶元中的信息不能在外部通過軟體隨意獲取。
在可信平台中,TPM等硬體是「信任根」,信任的建立是「鏈式展開」,從而實現身份證明、平台完整性度量、存儲保護、遠程證明等。這些功能的實現大多與各種密鑰密切相關。比如,EK實現平台惟一身份標識,是平台的可信匯報根;SRK實現對數據和密鑰的存儲保護,是平台的可信存儲根[1];AIK代替EK對運行環境測量信息進行簽名從而提供計算平台環境的證言等等。可以說可信計算的技術基礎就是公開密鑰技術,公鑰體制中密鑰管理體系的安全性直接關繫到整個應用系統的安全程度。因此,作為密碼系統基本要素之一的密鑰管理的好壞直接決定整個可信計算平台本身的安全性,是實現終端可信的核心環節,在整個可信計算體系中佔有舉足輕重的地位。
2 密鑰的分類和結構
可信計算平台中用到的密鑰分成以下幾類:
1) 背書密鑰EK(Endorement Key)
對應公鑰、私鑰分別表示為PUBEK、PRIVEK。其中私鑰只存在於TPM中,且一個TPM對應惟一的EK。EK可以用來表明TPM屬主身份和申請「證言身份證書 」時使用,並不直接提供身份證明。
2) 存儲密鑰SK(Storage Keys)
用來提供數據和其它密鑰的安全存儲。其根密鑰為SRK(Storage Root Key), 每個可信計算平台只對應一個惟一的SRK。
3) 簽名密鑰(Signing Keys)
非對稱密鑰,用來對普通數據和消息進行數字簽名。
4) 證言身份密鑰AIK ( Attestation Identity Key)
對應一組公私密鑰對,專門對來源於TPM的數據進行簽名,實現對運行環境測量信息進行簽名從而提供計算平台環境的證言。每個可信計算平台沒有限制AIK密鑰的數量,但必須保證AIK密鑰不會重復使用。
5) 會話密鑰:加密傳輸TPM之間的會話。
在信息處理系統中,密鑰的某些信息必須放在機器中,總有一些特權用戶有機會存取密鑰,這對密碼系統的安全是十分不利的。解決這一問題的方法之一是研製多級密鑰管理體制。在可信計算平台中,密鑰分層體系如圖1所示[2]。
圖1 密鑰分層體系結構
SRK作為一級密鑰(也稱主密鑰),存儲在安全區域,用它對二級密鑰信息加密生成二級密鑰。依次類推,父節點加密保護子節點,構成整個分層密鑰樹結構。在密鑰分層樹中,葉子節點都是各種數據加密密鑰和實現數據簽名密鑰。這些動作都應該是連貫的密箱操作。相比之下,純軟體的加密系統難以做到密箱操作。但如果把主密鑰、加密演算法等關鍵數據、程序固化在硬體設備TPM中,就能解決密箱操作的難題。
在整個密鑰體系中,每個密鑰在開始創建的時候都指定了固定的密鑰屬性。密鑰按照屬性不同分為:可移動密鑰(Migratable Key)、不可移動密鑰( Non- Migratable )[2]。可移動存儲密鑰並不局限於某個特定平台,可以由平台用戶在平台之間互換而不影響信息交互。不可移動密鑰則永久與某個指定平台關聯,任何此類密鑰泄漏到其它平台都將導致平台身份被假冒。不可移動密鑰能夠用來加密保護可移動密鑰,反之則不行。
3 密鑰管理系統(KMS)模型
密鑰管理是可信計算實現技術中的重要一環,密鑰管理的目的是確保密鑰的真實性和有效性。一個好的密鑰管理系統應該做到:
(1) 密鑰難以被竊取。
(2) 在一定條件下竊取了密鑰也沒有用,密鑰有使用范圍和時間的限制。
(3) 密鑰的分配和更換過程對用戶透明,用戶不一定要親自掌管密鑰。
在可信計算平台中,密鑰管理基於安全PC平台和PKI/CA。其中CA由證書生成和管理兩部分組成。證書生成包括用戶公鑰證書和私鑰證書的生成模塊。證書管理主要響應公鑰證書請求,CA為證書用戶生成密鑰對,請求作廢一個證書,查看CRL,直接從證書伺服器中接收有關CA密鑰或證書的更新、CRL刷新和用戶廢棄證書通告等信息。CA可以是平台製造商、組件生產廠商或者可信第三方。在可信計算平台中所產生的密鑰對有些永久存在於TPM之中,有些可以存儲於外部存儲設備中。為了保證可信計算平台中不同類型密鑰生成、管理、存儲等過程中的安全性,加強對各種密鑰的系統管理,提高可信計算平台自身的安全性,本文依據可信計算平台自身安全需求,針對可信計算平台中分層密鑰管理體系結構,提出了一種系統化密鑰管理模型,結構如圖2所示[3] [4]。
圖2 基於CA的密鑰管理系統
1) 密鑰生成伺服器
由三部分組成,密鑰發生器、密鑰檢測控制器和密鑰製作設備。負責各種密鑰的產生、檢測、選取和製作。密鑰的製作是按照一定格式和規定,將密鑰寫入載體。根據密鑰類型不同,密鑰生成伺服器產生密鑰的方式也不相同,但必須保證密鑰生成伺服器與可信計算平台緊密相關,共同負責密鑰安全。
2) 密鑰庫伺服器
密鑰庫伺服器是密鑰管理服務系統的重要基礎設施,密鑰庫中的數據應加密存放。可與緩存管理器配合,在密鑰管理伺服器的管理下實現數據保護密鑰在TPM存儲載體中的調入調出。
3) 密鑰管理伺服器
它是密鑰管理系統的核心,是密鑰管理系統所有操作的出入口包括密鑰管理和密鑰發送,接收CA的密鑰管理請求,發送相應的密鑰信息。
4) 密鑰緩存管理器
實現對數據保護密鑰中的Key Blob以及由SRK分級保護的層次密鑰的管理,管理TPM中有限的存儲資源。
4 基於KMS的密鑰管理方案
可信計算平台中密鑰包括多種類型,不同類型密鑰具有不同的安全需求,特別是密鑰的產生、傳輸、存儲、備份、銷毀等主要環節。為了便於管理,增強可信計算平台中各種密鑰的安全性,圍繞密鑰管理系統模型,本節深入研究了各類密鑰的管理方案。
4.1 背書密鑰EK
EK是TPM中最核心的密鑰,它是TPM的惟一性密碼身份標識。基於EK本身的重要性,在產生EK時基於以下幾個前提:
(1) EK在最初創建時就必須是保密的。
(2) EK創建時,設備必須是真實的並且是沒有被篡改的。
(3) 密碼演算法的弱點不會危及該秘密信息的安全。
(4) 設備的各項操作不會導致EK的泄露。
EK可以通過密鑰生成伺服器,採用兩種方法來產生:一是使用TPM命令,TCG規范定義了一組背書密鑰操作命令[5],其中創建背書密鑰對的命令為:TPM_ CreateEndorsement KeyPair,產生密鑰長度要求至少2048位;另一種方法是密鑰「注入」技術,在信任製造商的前提下,由TPM製造商產生背書密鑰對,然後採用人工方式注入,注入的方法有:鍵盤輸入、軟盤輸入、專用密鑰槍輸入等。對比這兩種方法,前者必須依賴硬體中提供受保護的功能(Protected Capability)和被隔離的位置(Shielded Location)[6],從而保證在設備內部產生密鑰對,而且密鑰對是在篡改保護的環境下產生,能夠很好地減少密鑰對泄露的風險;後者則對環境、管理和操作方法要求較高,首先密鑰的裝入過程應當在一個封閉的環境下進行,不存在可能被竊聽裝置接收的電磁泄露或其它輻射,所有接近密鑰注入工作的人員應該絕對可靠。採用密鑰槍或密鑰軟盤應與鍵盤輸入的口令相結合,並建立一定的介面規范,只有在輸入了合法的加密操作口令後,才能激活密鑰槍或軟盤里的密鑰信息。在密鑰裝入後,應將使用過的存儲區清零,防止一切可能導出密鑰殘留信息的事件發生。
在TPM中,可以採用篡改檢測電路和篡改檢測協議技術[7],確保當攻擊者試圖採用物理攻擊時TPM內的秘密信息(包括EK)將自動銷毀。同時採用硬體鎖機制,建立受保護頁面來防止特權軟體盜取或者修改秘密信息,保證秘密信息的隱私性和完整性。這樣,EK從開始生成之後,一直到銷毀的整個生命周期內都能夠安全存儲在TPM的非易失性存儲設備中,永遠不會泄露給外界。
4.2 證言身份密鑰AIK
出於安全和隱私保護方面的考慮,並不直接使用EK來進行數據加密和身份證明。而是採用一種「間接」證明的方式,由EK通過隱私CA生成身份證明密鑰AIK用來證明平台身份。AIK是一個簽名密鑰,TPM使用AIK來證明自己的身份,凡是經過AIK簽名的實體,都表明已經經過TPM的處理。
1) AIK密鑰的產生
在AIK密鑰產生過程中,需要可信第三方PCA(Privacy CA)的支持。在具體應用過程中,為使遠程依賴方信任,平台必須想辦法將這些簽過名的聲明和Hash值與PCA信任的某些東西綁定。TCPA/TCG體系結構通過一組證書來達到這個目標[6][8]:
■ TPM背書證書(Endorsement Credential)
由TPM製造商簽發的X.509屬性證書,用於證明一個TPM模塊正確實現了TCG的TPM規范所規定的各種功能。
■ 平台證書(Platform Credential)
用來聲明、證言一個集成有TPM和RTM的計算平台符合TCG規范,一般由計算機平台製造商簽發,X.509屬性證書。
■ 符合性證書(Conformance Credential)
用來聲明、證實一類計算平台的實現符合TCG的哪些規范,符合哪些安全要求,X.509屬性證書;它與平台證書的區別在於,平台證書是針對一個具體、特定平台的,而符合性證書是針對一類平台。
圖3是AIK密鑰通過安全PC平台和CA交互的產生過程。過程描述如下:
(1) TP→PCA:IdPub,EndCred,PlaCred,ConCred,Sign(IdPri,Hash);
(2) TP←PCA:Enc(EndPub,IdCred)
首先由TPM在密鑰生成伺服器產生一對身份密鑰(IdPub,IdPri),把公鑰IdPub和證書EndCred、PlatCred、ConCred一起綁定發送給PCA。為了把請求與身份密鑰對綁定,由TPM運算得到PCA公鑰的哈希值Hash,再使用AIK的私鑰IdPri對剛產生的Hash加密,產生數字簽名Sign也一起發送給PCA。PCA接收到所有請求,驗證簽名和證書是否正確,若正確則根據AIK公鑰生成一個AIK證書,並由PCA私鑰對該證書進行簽名,再由EndCred證書得到EK的公鑰對AIK證書進行加密,從而保證只有特定的TPM才能解密。AIK證書被發送回平台,通過EK解密證書。至此,一個完整的AIK的產生過程就完成了,這個AIK就可以開始使用了。但是PCA很容易遭受Dos攻擊,文獻[7]提出了有選擇地接收AIK申請請求的解決方案。
圖3 AIK密鑰創建過程
2) AIK密鑰的存儲
AIK在整個身份證明過程中不能重復,而且每次證明過程中都需要重新生成新的AIK密鑰,所以AIK私鑰不需要常駐TPM,可以保存到密鑰庫伺服器中。當需要AIK時,使之並行載入到TPM的易失性存儲設備中。
3) AIK密鑰的銷毀
當出現AIK私鑰泄露,TPM EK私鑰遭受攻擊安全性受到威脅,或者AIK證書泄露與相關EK證書的關系(實際上AIK不應暴露EK的任何信息)等情況時,AIK應該被銷毀,同時相應證書應該被撤銷。PCA應該被告知該AIK私鑰已經不再安全,CA必須採取措施,撤銷用戶證書或者使它無效,並警告證書使用者,該證書不再代表一個可信身份。同時更新證書CRL服務中的撤銷證書列表。但與PKI不同的是,AIK證書與背書證書的關系密切,在AIK證書撤銷時要決定相關證書的處理,情況比較復雜。文獻[10]對可信平台中的證書撤銷機制有比較深入的討論。
4.3 數據保護密鑰
由於TPM本身存儲能力有限,可信計算平台中處理的數據必須能夠存儲在TPM之外的存儲媒介中,這樣使得數據不但可以在不同的計算機設備之間交互,同時還能夠實現數據備份。但必須為存儲在TPM之外的這類數據提供數據保護,這里數據保護包括數據傳輸保護和存儲保護。在TPM中,當數據量小於2048位時,直接利用TPM中的RSA演算法實現加解密;當數據量大於2048位時有以下兩種解決方案[11]:
(1) 平台生成一次一密的對稱加密密鑰(小於2048位)加密數據,然後利用TPM保護該對稱密鑰。
(2) 把數據分成一些小的數據塊(最大不超過2048位),然後直接由TPM加密。
通常採用第一種方法,特點是方便、迅速。所以數據加密保護的重點就是該加密密鑰的存儲保護。密鑰存儲時必須保證密鑰的機密性、認證性、完整性,防止泄露和修改。加密設備還應做到:無論通過直觀的方法還是自動的方法(如X射線、電子等)都不能從密碼設備中讀出信息。對當前使用的密鑰應有密鑰合法性驗證措施,防止被篡改。密鑰保護實現方案如圖4。
圖4 密鑰存儲保護結構
通常採用密鑰分層保護的思想,由TPM屬主生成存儲根密鑰SRK,使用SRK來加密存儲其它密鑰。從方案可以看出,外部數據(VPN Key,FEK等)採用密鑰K加密,而密鑰K利用上層密鑰K-1加密保護,最後SRK加密保護K-1。被加密的數據構成Data Blob直接存儲在外部存儲設備中,而Key Blob以及由SRK分級保護的層次密鑰由密鑰緩存管理器KCM(Key Cache Manager)進行管理[12],把某段時間內不活動的密鑰調度到外部存儲設備中。
整個密鑰存儲保護過程中最重要的是保護SRK的安全,它和EK密鑰一樣永久駐留在TPM中,由TPM保護SRK,能夠抵抗各種物理攻擊和軟體攻擊。
5 小結
EK、SRK和AIK等各類密鑰在可信計算平台身份證明、平台完整性測量、存儲和報告中起著非常重要的作用,保證其安全性是實現可信計算的重要環節。本文對可信計算所涉及到的各類密鑰的產生、管理、存儲和保護措施等相關技術進行了研究,提出了一種密鑰管理系統模型,結合模型詳述了密鑰管理的整體方案,依據該方案能夠更好地保證可信計算平台的安全,使得可信計算平台在計算機世界裡發揮更加重要的使用。
參考文獻
[1] TPM Main Part1 Design Principles [EB/OL]. http://www.trustedcomputing.org. 2003.10
[2] David Grawrock..TCG101[R].ICICS2005.2005
[3] 韋衛,杜煒等.構造基於X.509公鑰證書的密鑰管理系統[J].計算機工程.1999.10:133-135
[4] 邢啟亮,陳曉蘇.密鑰管理服務及其在PKI中的設計與實現[J].通信技術.2003.4:93-94.
[5] TPM Main Part3 Commands [EB/OL]. http://www. trustedcomputing.org. 2003.10
[6] TCG Credential Profiles Specification Version 1.0 [EB/ OL]. http://www.Trustedcomputing.org. 2006.1
[7] Sean W.Smith 著,馮登國,徐震等譯.可信計算平台:設計與應用[M]. 北京:清華大學出版社.2006.10: 61-71
[8] 龍毅宏.可信計算中的數字證書[J].信息網路安全.2004.10:35-38
[9] 郭煜.TPM中身份證明密鑰的管理[J].信息安全與通信保密,2006,(4):76-78
[10] Jason Reid,juan M.Gonzalez Nieto,Ed Dawson. Privacy and Trusted Computing. Proceedings of the 14th International Workshop on Database and Expert Systems Applications (DEXA』03). IEEE. 2003:1-6
[11] Sundeep Bajikar.Trusted Platform Mole (TPM) based security on Notebook PCs-white Paper[J].Intel Corporation. 2002.6
[12] TCG Specification Architecture Overview [EB/OL]. http://www.trustedcomputing.org .2003. 04