公开(公告)号：CN101888383A

公开(公告)日：2010-11-17

申请号：CN201010222556.7

申请日：2010-06-30

Applicant: 北京交通大学

Inventor： 常晓林 ,  王绍创 ,  藤莎 ,  左向晖 ,  韩臻 ,  刘吉强

IPC: H04L29/06 ,  H04L9/32

Abstract: 本发明涉及一种可扩展的可信SSH的实现方法。本方法要求服务器端和客户端都配有可信安全芯片，并且安装了度量模块和可信操作系统，能够对各自平台状态进行度量。本方法通过在SSH传输子协议层定义三个新消息编码，并将SSH传输子协议层中密钥交换算法所计算的会话密钥作为可信计算远程证明的参数，来实现可信SSH通道。本方法实现的可信通道具有以下两个特性，一个是远程证明过程对密钥交换算法的透明性，另一个是通信双方的平台信息在网络传输过程中的秘密性。

公开(公告)号：CN101888383B

公开(公告)日：2013-07-31

申请号：CN201010222556.7

申请日：2010-06-30

Applicant: 北京交通大学

Inventor： 常晓林 ,  王绍创 ,  藤莎 ,  左向晖 ,  韩臻 ,  刘吉强

IPC: H04L29/06 ,  H04L9/32

Abstract: 本发明涉及一种可扩展的可信SSH的实现方法。本方法要求服务器端和客户端都配有可信安全芯片，并且安装了度量模块和可信操作系统，能够对各自平台状态进行度量。本方法通过在SSH传输子协议层定义三个新消息编码，并将SSH传输子协议层中密钥交换算法所计算的会话密钥作为可信计算远程证明的参数，来实现可信SSH通道。本方法实现的可信通道具有以下两个特性，一个是远程证明过程对密钥交换算法的透明性，另一个是通信双方的平台信息在网络传输过程中的秘密性。

公开(公告)号：CN101834860B

公开(公告)日：2013-01-30

申请号：CN201010152836.5

申请日：2010-04-22

Applicant: 北京交通大学

Inventor： 常晓林 ,  崇信毅 ,  王绍创 ,  左向晖 ,  韩臻 ,  刘吉强 ,  鞠颂

IPC: H04L29/06

Abstract: 本发明提供了一种远程动态验证客户端软件完整性的方法。本方法利用TCG远程证明方法、Xen虚拟机安全隔离性质以及可信平台模块(TPM)时间戳功能，实现了网络服务器对网络客户端不可信客户虚拟域的自包含可执行软件(Self-contained executables)的远程动态验证。本方法中，网络客户端配备安全芯片TPM，并安装了Xen虚拟机系统。本方法所采用的远程动态验证架构由完整性度量机制、报告机制和验证机制三部分组成，其中完整性度量机制由安装在网络客户端特权虚拟域的后端验证代理模块和安装在网络客户端虚拟机监控器的内存度量模块来完成，报告机制由安装在网络客户端客户虚拟域的前端验证代理模块来完成，验证机制由安装在网络服务器的验证模块来完成。

公开(公告)号：CN101834860A

公开(公告)日：2010-09-15

申请号：CN201010152836.5

申请日：2010-04-22

Applicant: 北京交通大学

Inventor： 常晓林 ,  崇信毅 ,  王绍创 ,  左向晖 ,  韩臻 ,  刘吉强 ,  鞠颂

IPC: H04L29/06

Abstract: 本发明提供了一种远程动态验证客户端软件完整性的方法。本方法利用TCG远程证明方法、Xen虚拟机安全隔离性质以及可信平台模块(TPM)时间戳功能，实现了网络服务器对网络客户端不可信客户虚拟域的自包含可执行软件(Self-contained？executables)的远程动态验证。本方法中，网络客户端配备安全芯片TPM，并安装了Xen虚拟机系统。本方法所采用的远程动态验证架构由完整性度量机制、报告机制和验证机制三部分组成，其中完整性度量机制由安装在网络客户端特权虚拟域的后端验证代理模块和安装在网络客户端虚拟机监控器的内存度量模块来完成，报告机制由安装在网络客户端客户虚拟域的前端验证代理模块来完成，验证机制由安装在网络服务器的验证模块来完成。

公开(公告)号：CN101834852A

公开(公告)日：2010-09-15

申请号：CN201010140901.2

申请日：2010-04-02

Applicant: 北京交通大学

Inventor： 常晓林 ,  韩臻 ,  刘吉强 ,  王绍创 ,  左向晖 ,  黄珊

IPC: H04L29/06 ,  H04L9/32 ,  H04L9/30

Abstract: 本发明提供了一种保护平台信息的可信OpenSSH的实现方法，方法的组件包括功能增强的会话密钥交换模块，方法的具体步骤如下，首先是可信客户端将自己的信息发送可信服务器端，然后可信服务器端根据收到的信息以及自己的信息生成会话密钥，同时将自己的信息、加密的可信服务器平台信息、包含有可信服务器平台信息的签名信息发送给可信客户端；可信客户端根据收到的信息生成会话密钥，同时验证服务器的签名信息，在验证通过后，将加密的可信客户平台信息以及包含有可信客户平台信息的签名信息发送给可信服务器端；最后可信服务器验证客户签名信息。本发明在实现可信信道的同时，保证了通信双方的平台信息在网络传输过程中的秘密性。

公开(公告)号：CN101834852B

公开(公告)日：2013-01-30

申请号：CN201010140901.2

申请日：2010-04-02

Applicant: 北京交通大学

Inventor： 常晓林 ,  韩臻 ,  刘吉强 ,  王绍创 ,  左向晖 ,  黄珊

IPC: H04L29/06 ,  H04L9/32 ,  H04L9/30

Abstract: 本发明提供了一种保护平台信息的可信OpenSSH的实现方法，方法的组件包括功能增强的会话密钥交换模块，方法的具体步骤如下，首先是可信客户端将自己的信息发送可信服务器端，然后可信服务器端根据收到的信息以及自己的信息生成会话密钥，同时将自己的信息、加密的可信服务器平台信息、包含有可信服务器平台信息的签名信息发送给可信客户端；可信客户端根据收到的信息生成会话密钥，同时验证服务器的签名信息，在验证通过后，将加密的可信客户平台信息以及包含有可信客户平台信息的签名信息发送给可信服务器端；最后可信服务器验证客户签名信息。本发明在实现可信信道的同时，保证了通信双方的平台信息在网络传输过程中的秘密性。