论文摘要
随着移动终端计算和存储资源的不断丰富,以及嵌入式操作系统和各种无线应用的问世,移动终端正面临着越来越多的安全威胁。如何保护移动终端的机密性和完整性,防止非法使用、篡改和拷贝已成为无线通信安全的研究重点。本文围绕此问题展开研究,根据移动终端存储和运算有限等特点,设计了一种适用于移动终端的可信授权协议和用户域认证方案。具体工作主要包括以下几个方面:(1)研究了可信计算的软硬件体系结构,重点分析了可信平台模块及信任链的工作原理,为实现移动终端的可信引导提供了理论依据。(2)将域隔离技术及基于角色的访问控制策略运用于移动终端,完成了相关的数据结构及系统调用,实现了终端多用户的访问控制并保证了进程间的安全通信。(3)研究了可信计算平台规范中的OIAP(Object-Independent Authorization Protocol)和OSAP(Obiect-Specific Authorization Protocol)协议,由于这两种协议是以明文的方式进行通信,容易造成替换攻击。因而本文设计了一种适用于移动终端的授权协议,利用ECC算法代替RSA算法提高安全强度和运算速度,用隐蔽序列数防重放攻击并在会话中建立了认证机制。(4)提出了移动终端用户域的基于口令、生物特征及SIM卡的三因素认证方案。该方案采用了WPKI(Wireless Public Key Infrastructure)的公钥密码体系,并将口令与人脸图像数据通过Hash算法进行绑定以完成对用户身份的认证,满足了可信计算标准中安全等级3的要求。(5)以Motorola A1200为实验终端,修改Bootloader源代码并移植到PXA270处理器中,实现了移动终端的完整性度量。将该终端和带有ESAM认证模块的USB-Key与PC机连接,在Linux环境下测试用户域认证方案的可行性。
论文目录
摘要Abstract第一章 引言1.1 课题研究背景及意义1.2 可信计算的发展1.2.1 国外的研究现状1.2.2 国内的研究现状1.3 论文的内容与结构第二章 可信计算理论的研究2.1 可信移动平台的结构概述2.1.1 可信平台模块TPM2.1.2 可信I/O与可信用户接口2.1.3 可信软件栈TSS2.2 可信移动平台的工作原理2.2.1 信任链的建立2.2.2 实时完整性度量2.2.3 完整性报告2.3 安全存储2.4 可信平台的身份标识机制2.4.1 平台密钥2.4.2 平台身份证书2.5 本章小结第三章 移动终端认证的关键技术3.1 无线公钥密码体系3.2 域隔离技术及访问控制策略3.2.1 域隔离技术3.2.2 访问控制策略3.2.3 移动终端的访问控制模型3.2.4 域隔离及角色访问控制的实现3.3 身份认证技术3.3.1 身份认证技术的发展概况3.3.2 人脸识别技术3.4 本章小结第四章 一个可信移动终端的授权协议4.1 可信计算相关授权协议的研究4.1.1 对象无关授权协议(OIAP)4.1.2 特定对象授权协议(OSAP)4.2 移动终端的授权协议4.2.1 授权数据4.2.2 协议流程4.3 本章小结第五章 终端用户三因素认证方案5.1 概述5.2 可信移动平台的认证方案5.2.1 工作流程的特点5.2.2 终端用户的三因素认证方案5.3 安全性能分析5.3.1 安全性分析5.3.2 效率分析5.4 本章小结第六章 系统设计与实现6.1 嵌入式可信移动平台的设计6.2 Blob及实验平台简介6.2.1 启动流程分析6.3 Blob中增加TPM度量6.3.1 代码文件6.3.2 代码示例6.4 Blob的编译6.4.1 编译环境6.4.2 配置blob6.4.3 编译blob6.4.4 刷机6.5 平台测试6.5.1 SIM卡6.5.2 ESAM认证模块6.5.3 实验结果6.6 本章小结第七章 总结与展望参考文献作者简历 攻读硕士学位期间完成的主要工作致谢
相关论文文献
标签:可信计算论文; 可信移动平台论文; 域隔离论文; 访问控制论文; 认证论文;
