可信方案(精选11篇)
可信方案 篇1
0 引言
软件的可信运行在现代商业领域中显得尤为重要,软件被破解会给软件产商带来巨大的经济损失如一些操作系统被破解,软件被恶意篡改也会给最终用户带来安全隐患和使用不便。目前为止,软件可信运行的主要由软件产商本身负责,传统的做法包括在安装软件某个步骤中输入验证序列号或者导入授权Key,在一些对保密性要求更高的领域中,则利用加密硬件平台作为软件的运行环境。输入序列号和导入授权Key的优点是不需要硬件平台上做出任何的改动,用户购买序列号或者Key就可以获得软件的使用权,缺点是恶意攻击者可以很快破解软件和伪造Key;加密硬件平台把软件中的关键的代码段和数据段放入到加密硬件进行,运行于加密硬件中的代码段与主机的代码段具有不同的上下文,这使得恶意攻击者很难对加密硬件中数据进行攻击,但是主机中必须有一段决策代码判断是否继续执行,因此攻击者可以绕过该段决策段进行攻击。
针对以上问题,本文提出一种通过验证软件完整性的方法来提高软件的可信性,即在传统硬件平台上添加一个硬件认证模块,系统启动时认证模块首先拉住主机的复位信号,并用公钥对主机软件进行数字签名,认证模块接着读取事先存储于熔丝中的数字签名进行对比,最后如果签名一样则释放信号使得主机软件得以运行。该方案相对传统的做法主要有两个优点:一是方案中将软件的数字签名存放在硬件熔丝上,恶意攻击者无法获取数字签名,也就无法对软件进行篡改;第二,方案中的控制软件执行流程的决策代码存放于认证模块中,这样恶意攻击者就无法绕过决策代码进行攻击。下面将介绍方案中认证模块的硬件框架和软件的运行流程。
1 认证模块硬件框架
认证模块的硬件组成简单,只需在传统硬件平台上添加认证控制器、RAM、ROM各一个,其中ROM存放在认证处理器上运行的软件,称之为认证代理。认证代理的任务包括读取主机存储器(本文中假定为flash)上软件,用公钥对软件进行签名,并与事先存储好的数字签名进行比较,最后通过比较结构控制主机软件的启动。
认证模块和主机之间需要两个模块,分别是通信模块和控制模块。通信模块即图1中的IPC(Inter-processor communicate)模块,该模块用于主机处理器和认证控制器的通信,主机处理器可以发送命令驱动认证控制器进行认证,认证控制器可以通过IPC模块返回验证结果。文献中提到多核处理器之间IPC的多种方案,包括分时访问处理器、采用双口RAM、查询互斥硬核通信、访问邮箱内核和串口通信等方法,考虑到认证代理只是在软件启动和当需要认证时和主机有交互,并没有多核处理器之间的交互那么频繁,所以方案采用串行通信即SPI通信的方法来实现认证控制器和主机处理器之间的通信。
控制模块并没有在图中标出,控制模块的作用是控制主机处理器的指令运行,本文的方法是将主机的复位信号与认证控制器的I/O端口连接,系统启动后主机复位信号被认证处理器拉住,软件停止运行,当认证处理器认证通过后,释放信号使其继续运行。
图1描述了主机平台和认证模块的框架。
主机处理器和认证控制器需要从同一个存储介质读取数据,为了双方都能访问存储介质,需要复用存储介质。本方案并没有采用复用存储器的方式而是通过DMA控制器作为桥接。这种方式比与直接复用存储器更方便,不需要考虑各种存储器的之间的硬件差异,且DMA访问外设存储器的速度更快。
2 系统启动流程
本节描述了软件可信运行流程,包括系统在冷启动和热启动时的不同流程,同时还介绍了方案中涉及到的算法和数据结构。
2.1 软件完整性验证
软件的完整性验证是保护软件可信运行的关键步骤,数字签名可以很好的为软件的完整性提供保护,方案中利用数字签名验证软件的完整性。所谓的数字签名就是附加在数据单元或者是对数据单元所做的数据变换,这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如第三方)进行伪造。本方案采用数字签名验证存储器上软件的完整性。
数字签名依靠非对称加密算法来实现,每个使用者都有一对密钥,即公钥和私钥,私钥用于签名,公钥用于验证签名。数字签名使用过程:数据源发送方使用自己的私钥对要发送的数据进行加密处理,完成对数据的合法“签名”,数据接收方则利用对方的公钥来解读收到的“数字签名”,以确认签名的合法性。在本方案中,为了加快系统的启动,首先对读取出的软件进行哈希运算,再对哈希运算结果进行签名,算法部分伪代码如下:
2.2 启动流程
系统启动有冷启动和热启动两种情况,冷启动指的是系统上电后复位启动,热启动是指系统在运行过程软件执行复位指令而启动。下面首先阐述系统冷启动的流程:
(1)系统冷启动后认证处理器拉住主机处理器的复位信号,使其暂停在复位阶段。
(2)认证处理器加载ROM中存放的认证代理,认证代理初始化认证模块的内存和一些寄存器,并读取软件验证头部。
(3)认证代理分别读取熔丝中的公钥和存储器中的公钥,验证公钥的合法性。
(4)认证代理读取存储器上的软件,并对软件进行哈希运算。
(5)认证代理用公钥对哈希运算结果进行数字签名。
(6)认证代理读取存储器上存储的数字签名和上步的签名做比较,若相同则进入下一步,否则停止运行。
(7)记录认证寄存器,释放主机处理器复位信号,让其运行程序。
由于热启动是在软件运行起来后才可以执行的命令,在这之前已经软件已经认证过,所以在热重启的时候并不需要再对软件进行认证。为了热启动后直接运行软件,就需要复位的中断服务程序先要判断认证寄存器的内容,然后决定是否认证软件。
图2是具体的软件运行流程。
认证代理启动后首先要加载软件验证头部,该头部存放在flash固定偏移位置,在完整性验证过程中需要从软件验证头部获取各个部件的偏移地址和大小。软件验证头部的结构如表1所示。
表1中的next header pointer是为了链式认证而提供的一个空间。虽然上述方法可以有效的保护软件的可信运行,但也有一定局限性:一些上层软件如应用软件,它们运行在底层软件之上,调用底层软件提供的接口,这些上层软件并不能直接通过上述方法得到可信运行。在上述方案的基础上应用链式认证方法就可以为上层软件提供同样的可信运行保护。
链式认证方法首先将上层软件验证头部的位置填到Next header pointer中,这样在上层软件调用底层软件的API来启动时,底层软件通知认证代理进行认证,当认证通过释放启动接口。
3 分析
本节从安全和实用两个方面分析软件可信运行的方案设计,并针对方案设计进行总结。
安全性:首先恶意攻击者无法对软件进行篡改,因为认证代理在软件启动之前会对软件进行哈希运算并进行数字签名,一旦软件经过修改,哈希运算结果相应改变,签名结果也相应改变,导致软件的验证失败,这样主机上软件启动指令就会被相应锁定;其次用于软件验证的数字签名被存储在硬件熔丝上,这样可以避免了恶意攻击者读取存储设计进行分析,比较传统的输入序列号或导入Key的验证方式,这种存储密钥的方式更加安全有效。
实用性:首先认证模块硬件结构简单,简单的单片机就可以充当认证控制器,其次软件设计者并不用考虑硬件设计的细节,只需要把软件验证头部储存在固定的位置即可。因此该方案具有较大的实用性。
4 结束语
软件可信性是软件质量的重要组成部分,无论是软件厂商还是最终用户都需要软件的可信运行,本文提出了一种可以提高软件可信性的方案,即在传统硬件平台上添加一个硬件认证模块,认证模块通过非对称加密算法验证软件完整性,并控制软件的执行流程,与传统的方法比较,该方案在安全性和实用性两个方面具有相当的优势。
参考文献
[1]Dan Boneh,Matthew Franklin.Identity-Based Encryption from theWeil Pairing[J].SIAM J.of Computing,2003,32(3):586-615.
[2]魏强,金然,蔻晓蕤,等.基于安全协处理器保护软件可信运行框架[J].计算机工程与设计,2008,29(15):3846-3848.
[3]高兵,秦俭,陈莉平,等.NiosII多核处理器之间通信技术的研究[Z].
[4]文静,王怀民,应时,等.支持运行监控的可信软件体系结构设计方法[J].计算机学报,2010,33(12):2321-2334.
[5]陈楠,王震宇,窦增杰,等.可执行可信软件安全性分析技术研究[J]计算机工程与设计,2010,31(22).
[6]杨力,马建峰.可信的智能卡口令双向认证方案[J].电子科技大学学报,2011,40(1):128-133.
可信方案 篇2
关键词:可信性;改善;建议
中图分类号:G642 文献标识码:A 文章编号:1002-7661(2012)10-016-02
现今教师面临着各种各样的来自于他们的学生、家长、社会各界的评价。网上甚至有帖子讨论学生是否能够评价教师。笔者认为学生评价教师虽然不能做到绝对的公正,但还是能够反映出教师存在的一些问题。我们只有提高自己的素养才能够更好地对学生施加正确的影响。
教师必备的一项基本素养就是具有可信性。教学的过程就是师生交流的过程,在交流过程中教师可信性是一个非常重要的因素。早在公元前333年亚里士多德就写出了《辞令》,该书被认为是第一本公开演讲的教科书。辞令即说话的艺术和写作的艺术。亚里士多德对辞令的划分如下:可信性、情感诉诸(激发学生情感、回应的情感的运用)和理性诉诸(教师讲课应有一定的逻辑和理性,适当提供证据)。无论是在有意识还是无意识情况下,学生对教师可信性的看法都会对他如何对待教师和教师如何有效教学这方面产生巨大的影响。
一、国外研究
1、可信性的定义
在整个研究辞令学的2500多年的历史上,教师可信性一直占据着中心位置。亚里士多德认为教师可信性是说服别人最有力的手段,他的观点一直被许多当代的修辞学的学者所推崇(Lane Cooper,1932)。更多当代学者认为可信性主要是一个人对交流者或者他(她)的所说的话的可信性的看法(Hamilton, 1998; Johnson & Coolen, 1995; Booth-Butterfield & Gutowski, 1993; Burgoon, Birk & Pfau, 1990)。这些学者频繁地使用教师可信性来描述学生对教师可信性的看法。例如:一位教师在某一学科领域也许知识极其渊博,但是如果学生并不认为这名教师是知识渊博的,这位教师的专业知识的水平即使再高,也不会增强他或她的可信性(Redmond, 2000)。 同样地,教师可能认为自己是一个诚实的、性格好的人。可是,如果学生怀疑这一点,这位教师在他们心目中的可信性也会大打折扣(Redmond, 2000)。无疑的,教师与学生之间的动态交流起决定性作用的是学生对教师特征和教师可信性的最终判断(Trenholm, 1989)。我们要承认虽然教师可信性是影响师生关系的最重要的变量之一,它是学生对教师的看法,但有时却未必与事实相符。
2、可信性的测量标准
在二十世纪七十年代,五维的测量标准颇为盛行。即:能力、外向性、品德、镇定和善于交际。能力是教师被认为对所教课程知识渊博程度的标准。外向性是心理学用语,它指的是教师被认为的性格外向的程度,当然这一点是由遗传基因决定的。品德是教师被学生信任的程度,这里是指教师的伦理、道德上的品德,即:人品。镇定是指教师对自己情感的控制程度。教师不应该由于自己的不良情绪影响学生上课。善于交际是教师被认为应该是热情的、友善的(这一点可以通过后天培养而来)。
二十世纪八十年代,五维测量标准被简化为二维标准,即:能力和品德。到了二十世纪九十年代,三维测量标准取代了二维标准,即:能力、品德和关心他人。关心他人是指教师对学生的康乐的关注程度。教师是如何表示他对学生的关心呢?关心从教师的三种行为上有所体现:同情、理解和回应。同情是教师鉴别学生情感的能力。当教师是有同情心的,学生很可能课下找教师交流。理解侧重教师是否能够很好的鉴别学生的想法和需要(需要包括受尊重的需要、被公平对待的需要、被表扬、鼓励、归属感的需要和学习环境的安全感的需要等)。当学生感到被教师理解时,他们会说出对教师的喜爱、更被激发着学习,并且对学习经历更加满意。回应关注了教师是否留意和倾听学生的心声,这种心声可能是情感上的交流,也可能是对知识的理解并希望得到教师的回应。当学生认为老师能及时回应时,教师给学生以非言语亲近感,所教授的知识也易于接受。
二、改善可信性的建议
根据可信性的测量维度,我们应该从教师的能力、品德和关心三个维度提高自身的修养。
1、能力
教师的教学能力是教师进行高效教学的核心能力。具体的构成如下:(1)认识能力,主要表现为敏锐的观察力、丰富的想象力、良好的记忆力,尤其是逻辑思维能力和创造性能力等;(2)设计能力,主要表现为教学设计能力,包括确定教学目标、分析教材、选择与运用教学策略、实施教学评价的能力等;(3)传播能力,包括语言表达能力、非语言表达能力、运用现代教育技术能力等;(4)组织能力,主要包括组织教学能力、组织学生进行各种课外活动的能力、组织培养学生优秀集体的能力、思想教育的能力、协调内外部各方面教育力量的能力、组织管理自己的活动的能力等;(5)交往能力,主要包括在教育教学中的师生交往能力。有能力的教师可以做到深入浅出,能轻松地驾驭课堂、自如地解答学生提出的问题,并和学生有效沟通。能力是通过后天锻炼出来的,我们应该不断提高、改善我们各方面的能力。
2、品德
教师的品德,即师德:是教师和一切教育工作者在从事教育活动中必须遵守的道德规范、行为准则和情操品质。教师的合格与否不仅仅在于渊博的学识,更在于其高尚的人格。作为学生道德修养的楷模,教师的一言一行都具有重要的示范作用,会对学生产生深远的影响。然而近年来,某些教师的师德却出现了滑坡趋势,不遵守职业道德,造成了不良的社会影响。这就要求教师必须谨言慎行,严格遵守职业道德准则。
如何将“师德”细化成有较强操作性的行为规范?首先,必须明确师德的内涵是“师爱为魂,学高为师,身正为范”,并将其细化成具体的行为准则,尤其应针对某些特定情况规定教师的必尽义务,作为教师从业的基本标准;其次,依照准则制定内容详细、科学合理的师德考核办法,比如体罚、变相体罚造成严重影响、以权谋私问题、出现乱收费等现象如何考核并进行怎样的处罚。定期对教师的职业道德素养进行考察评估,并将考核结果作为职称评定、薪资待遇的重要依据;最后,树立正确的职业观与价值观,自觉牢固遵守“师德”,并将其作为教师工作的精髓。
3、关心学生
人是有情感动物,情感的好恶在认识方面所起的作用也是不容忽视的。教师应该爱学生,这种爱不是父母对子女的爱,而是教育爱。教育爱包含教育者对受教育者的爱和受教育者对教育者的爱。教育爱具有类似母爱的性质。或者说教育爱是一种“类母爱”。教师应该如何关爱学生?
(1)尊重学生的自尊心,尊重学生的人格,尊重学生的个性。
(2)把学生看作是与自己地位完全平等的人,把学生当成是有思想、有情感、有意志、不容别人忽视自己的人加以尊重。
(3)不挖苦、不歧视不体罚学生。
(4)理解学生、信任学生,相信每个学生都有自己的长处、优势和能力;信任学生的自主管理能力;信任全体学生。
(5)关心爱护学生:关心他们的生活冷暖,关注他们的学习、做事、为人等各方面的健康发展;爱护学生,爱护他们的身体与心灵。
(6)上课时,积极地回应学生。有的教师不喜欢学生打断自己,对学生提出的问题充耳不闻,结果是教学进度是得以按时完成,但学生学习的积极性、好奇心却被抹杀了。这一点也是值得注意的。
可信方案 篇3
随着科学技术的发展,嵌入式终端产品广泛地影响着人们的学习、工作和生活,给人类社会带来了极大的便利。在这种情况下,人们开始逐渐重视嵌入式产品的安全性。现有的嵌入式终端产品的安全方案大多是在软件上采取措施,如防火墙,杀毒软件等,但是单纯的软件上的措施难以保证嵌入式终端的安全性,因为安全软件自身就存在被攻击或者篡改的风险。对此,可信计算组织TCG(Trusted Computing Group)提出可信计算[1]的概念,并将其应用到PC计算平台上,获得一定的成果。受此启发,国内外学者提出将可信计算技术引入到嵌入式领域,利用TCG规范的可信平台模块TPM(Trusted Platform Module)与嵌入式CPU进行通信[2],调用TPM的硬件级密码学保护功能、平台完整性度量功能和身份认证功能,以改善嵌入式终端的安全水平。
由于TCG的可信计算思想源于PC平台,在嵌入式平台上还没有任何特定的理论和技术支持,缺乏具体的实现方案,而嵌入式终端设备具有自身体系结构和应用领域的特殊性,因此在嵌入式终端上实现TCG的可信计算思想还需考虑以下一些问题:嵌入式终端总体架构设计、TPM芯片接口扩展、核心可信度量根CRTM(Core Root for Trust Measurement)的实现、信任链和可信引导策略的设计、可信平台软件设计和网络安全等。
本文在TCG相关规范的基础上,针对上述嵌入式可信计算平台上存在的问题,提出一种嵌入式可信安全终端的设计方案,从安全芯片、终端硬件结构、操作系统和上层应用程序等方面着手,综合采取措施,实现嵌入式终端可信环境建立,提高嵌入式终端的安全性。
1 可信计算技术简介
根据TCG规范中的定义,可信计算的思想是首先建立一个计算机底层系统中的信任根,由物理安全、技术安全与管理安全共同确保信任根的可信性;然后再建立一条信任链,从信任根开始到硬件平台,到操作系统,再到上层应用,一级度量认证一级,一级信任一级,把这种信任扩展到整个计算机系统[1]。
对于可信计算平台而言,其可信环境是建立在信任根和信任链的基础上。信任根通常由可信平台模块TPM承担。TPM是符合TCG可信规范的一个小型片上系统,其内部含有密码部件、存储部件和IO接口等。主要功能包括:完整性度量、身份认证、敏感数据保护、内部资源授权访问、数据传输加密等[1,3]。这些功能的实现由TPM硬件内部完成,TPM向外部仅提供IO接口来完成数据的交互,这样最大限度的保护了敏感数据。信任链在TCG组织的规范下,呈一种链式结构,这种结构简单易于实现,在现有计算机结构中发挥较好的作用。
为了实现计算平台的安全可信,不仅在硬件上嵌入TPM芯片,还必须在软件上实现其驱动程序以及上层协议栈。为此TCG制定了相应规范,即可信软件协议栈TSS(TCG Software Stack)[4]。TSS具有多层次体系结构,从顶层到底层分别为TSP、TCS、TDDL和TDD,各个层次都定义了规范化的函数接口。设计目标包括:为上层应用提供调用TPM的接口函数,实现对TPM的访问,同时向应用程序隐藏TPM所建立的功能命令,对TPM进行统一管理,如对象管理、密钥管理、证书管理等,并与底层TPM芯片进行命令数据交互。
根据TCG相关规范,为了实现嵌入式终端可信,需要从硬件结构、操作系统和上层应用程序等方面综合采取措施,确保终端软硬件中每个组件都是可信安全的。
2 嵌入式可信安全终端的体系结构
2.1 可信安全终端总体架构
可信安全终端总体架构如图1所示,主要由嵌入式硬件层、操作系统层、应用层3部分组成。可以看出,可信安全终端是在通用嵌入式终端的基础上,硬件层增加了嵌入式TPM芯片,操作系统内核层和应用层增加了可信软件协议栈TSS,以及可信网络连接TNC(Trusted Network Connection)。
通用的嵌入式终端经过可信安全改造后,硬件上由CPU、外围设备和完成终端信息安全核心算法的TPM芯片构成;操作系统由设备驱动程序、可信操作系统内核和可信安全服务构成;应用层由可信应用程序和可信网络连接构成,并调用由可信软件协议栈TSS提供的统一的安全功能接口,即TSS中的API函数(可信服务提供层),提高上层应用程序和网络连接的可信度。
2.2 可信安全终端硬件平台
在可信PC平台上,TPM芯片通常集成在PC机的主板上,采用LPC(Low Pin Count)协议总线接口实现TPM功能命令和数据的传输。而在嵌入式平台上,硬件层并未扩展LPC接口。本文采用Atmel公司推出的一款专为嵌入式系统设计,以I2C总线为接口的TPM芯片———AT97SC3204T。
AT97SC3204T遵循TPM1.2规范,内置硬件随机数发生器、RSA非对称密钥引擎、SHA-1散列算法引擎、HMAC计算引擎等,通过TWI总线进行通信。TWI总线是对I2C总线的继承和发展,接口时序和I2C总线兼容,TWI传输的快速模式为400 Kbit/s。
本文研究的可信安全终端以SAMSUNG公司推出的S5PV210为核心。S5PV210采用了ARM Cortex TM-A8内核,ARMV7指令集,64/32位内部总线结构,主频可达1 GHz。其片内资源丰富,可以适应不同层次的开发,主要面向手持设备以及高性价比、低功耗的应用。S5PV210片上集成了I2C总线接口,可进行8位、双向串行数据传输,速率可达400 Kbit/s。S5PV210不仅支持One Nand、Nand、e SSD等板载存储介质启动,还支持MMC、SD卡、USB设备等可移动存储介质的启动方式。可信安全终端还拥有Wi-Fi、蓝牙、GPS、SD卡、摄像头、TFT触摸屏、USB等功能和输入输出设备,以及添加了可信平台模块TPM。可信安全终端的硬件结构如图2所示。
3 嵌入式可信安全终端的可信环境
可信计算的基本思路是伴随平台启动,信任状态逐步自下往上传递,平台各个部分只有通过可信验证,才能继续完成启动过程,这样保证了平台的自身完整性和可信性,系统安全性也得到了改善[5]。因此,根据可信计算基本思路,本文将具体从核心可信度量根、信任链、预计算摘要值法、可信引导策略、可信软件协议栈和可信网络连接机制六个方面展开对嵌入式终端可信环境的研究。
3.1 终端核心可信度量根CRTM
核心可信度量根CRTM是系统上电后执行的第一段代码,也是可信平台执行RTM时的初始执行代码,是信任传递的起点[6]。CRTM负责初始化系统的可信度量工作,并引导TPM开始工作,执行平台最开始的可信度量。在TCG规范中,CRTM并没有具体规定,大多数的实现方案是以BIOS的Boot Block或整个BIOS作为核心可信度量根CRTM。然而,目前许多PC生产商允许自由地给BIOS打补丁,因此攻击者可以通过刷写BI-OS对CRTM进行修改。这样在执行CRTM前,其完整性未得到验证,只能由其自身保证完整性。由于CRTM并未集成到TPM中,TPM在物理上的安全保护功能也就无法涵盖CRTM。因此如何实现可信的CRTM是解决安全问题的关键之一。
文献[7]将CRTM保存在板载Flash上,即将Bootloader本身假设为可信任元件,但是嵌入式系统的Bootloader轻易就能够被修改,难以保证自身的完整性。文献[8]将CRTM同TPM一起作为可信根,但并没有论证保障CRTM可信的方法。文献[2]将CRTM功能设计成ASIC芯片,并增加总线仲裁模块加以控制,该方案虽然解决了CRTM的安全性问题,但是增加了终端的硬件成本、系统功耗和设计难度。
本文提出一种设计方案,避免以上提到的CRTM可信问题。即同样把CRTM做为Bootloader的一部分,但是不再保存在板载Flash上,而是安装在可移动的启动存储介质里。实际上,嵌入式系统的启动方式多种多样,各个嵌入式CPU厂商提供的芯片手册中提供了多种启动方法,包括从可移动存储介质上启动,如SD卡、U盘、便携SPI/IIC存储设备等[9]。这些方法可根据具体的应用需求,适当选取。可移动存储介质的作用类似文献[10]提出的USB-KEY,作为平台信任链的起点,但是与该文献的方案不同,在实现方式上,须对可信终端进行软硬件改造。
首先在可移动存储介质中需实现包含CRTM代码的Bootloader。在平台启动之初,操作系统、总线驱动、访问接口API都未加载,因此须在软件上搭建TPM的最小运行环境,提供TPM的密码保护和读写存储单元的功能函数,来完成可信计算的工作。对此,需要在Bootloader程序中编写AT97SC3204T驱动,主要工作是编写I2C驱动程序,直接操作底层TPM硬件。
然后在终端硬件设计中通过配置CPU的OM引脚,设为从可移动存储介质启动。这样在上电之初将存储介质中的代码装入内存首先运行,获取CRTM代码。
最后CRTM完整性度量程序调用TPM_SHA1Start,TPM_SHA1Update与TPM_SHA1CompleteExtend等TPM数据与命令字的交互命令[11],度量平台可信性,保证平台最初上电后即开始建立信任链的过程。
与上述文献提出的CRTM实现方案相比,该方案具有以下优点:
(1)集成有可信计算根CRTM的Bootloader保存在可移动存储介质上,可由用户物理上自行保管,从而避免文献[8]中保存在终端Flash上的CRTM会被非法访问或篡改所导致信息泄露的问题,相较传统的软件实现RTM更安全可靠。
(2)CRTM的开发或定制具有良好的可扩展性与灵活性,当裁剪或添加终端上的组件,或是开发新的可信度量根时,只需要将重新开发好的带CRTM的Bootloader下载到可移动存储介质上。
(3)可以实现多次检验的功能,对于拥有多台同类型终端用户,只需要一个可移动存储介质即可验证所有同类型终端的可信性。
(4)比较于文献[2]在每一台终端上配备ASIC芯片和总线仲裁模块,本方案削减了硬件成本,降低了系统功耗。
本文以S5PV210终端的SD卡设备作为上述可移动的启动存储介质。当终端CPU的OM引脚设置为从SD卡启动,CRTM代码就作为平台启动之初就执行的可信初始验证代码,负责检验后续代码的完整性。
3.2 终端信任链传递设计
TCG的链式信任链模型结构简单,易于实现,但是该结构存在一些不足之处:
(1)基于Dempster-Shafer信任传递理论中的信任衰减原则[2],若节点A到节点B的信任值表示为T(A,B),节点B到节点C的信任值表示为T(B,C),则节点A到节点C的信任值与信任关系可表示为:T(A,C)=T(A,B)⊕T(B,C),其中⊕是两者中取最小信任值的运算符,即T(A,C)≤min(T(A,B),T(B,C))。由此可得出:在信任传递过程中存在信任损耗问题,链式信任链模型中信任根到节点路径较长,信任强度逐渐衰减。
(2)在信任链上增加或减少平台组件难度较大,任何一个信任关系的创建和损坏都会影响到整个信任链[12]。
文献[2]对可信启动过程中信任链的传递进行了总结和研究,并提出了一种星型信任链度量方案,即系统各部件均由可信度量根进行校验,通过后才让系统启动。星型信任链与链式信任链相比,根据Dempster-Shafer信任聚合原则[2],信任状态的传递不存在衰减问题,信任强度保持得较好。但是星型信任度量模型也存在缺点:(1)根节点须度量其余所有节点,对可信度量根节点的运算能力要求高;(2)在终端运行的不同阶段,其度量的对象并不相同。终端启动阶段度量的代码包括Bootloader和操作系统内核等,其代码存储在存储器中固定且连续的位置,可信度量根可以直接从存储器中读取并度量;而终端运行阶段的度量对象以脚本文件和应用程序为主,当这些文件动态运行时,度量这些文件较为困难。
本文提出一种结合链式和星型结构的信任链模型———带双启动模式的混合型信任链结构。如图3所示,终端启动模式分为一般启动和可信启动,由CPU的OM引脚控制,最终是由用户通过终端跳线帽或拨码开关决定。当一般启动时,终端与普通嵌入式设备上电启动过程一样,从Bootloader到上层应用程序依次获得CPU控制权,最终实现终端启动;当终端存在被篡改的风险时,可选择可信启动,在可信启动过程中由SD卡上Bootloader中的CRTM完成对板载的Bootloader、操作系统内核和根文件系统的度量;系统启动后,由专门用于可信度量的进程,对即将加载运行的内核模块或应用程序进行度量。
根据图3,采用基于Dempster-Shafer原理,计算信任链的信任值T:
其中,A表示CRTM节点,B表示度量进程节点,Ni(1≤i≤n,i≠m)表示CRTM所度量的节点,Nm表示度量进程和应用程序信任值等效节点,Mj(1≤j≤p)表示度量进程所度量的节点。由式(1)得出,该信任链模型信任值大于链式模型信任值,可有效改善链式模型信任衰减的问题,同时减轻了根节点运算负担。
3.3 预计算摘要值法
随着信息化技术的发展,终端设备更加智能化,其系统的数据量也越来越大。本文设计的智能终端采用Android 4.0操作系统,内核和文件系统的数据量可达数百兆字节。TPM度量平台完整性时采用SHA-1算法得到哈希值作为平台上各组件的摘要,而TPM执行该算法的数据计算和存储能力有限,经实验测试,AT97S3204T执行一次SHA-1仅计算960个字节,因此对于计算大数据量的摘要值的情况,效率较低。
本文针对上述情况,提出预计算摘要值方法,在TPM度量代码之前,先由计算能力强的嵌入式CPU对代码使用效率较高的SHA-256算法得到哈希值[13],再将输出结果加载到TPM中进行度量,其计算过程如下所示:
其中,X、Y分别表示CPU和TPM计算的Hash值,h1、h2表示SHA-256和SHA-1两种Hash函数,M表示代码与数据。根据Hash函数强无碰撞理论:对给定Hash函数h,找两个不同的信息M1和M2,使得h(M1)=h(M2),这在计算上是不可行的。因此,若代码或数据遭到篡改,通过hash函数计算后,式(2)的结果与标准结果有差异,进而式(3)的结果也与标准值有差异,可以判断出代码或数据遭到篡改。通过该方法,保证了检测终端代码和数据的可信性,也提高了可信启动的速度。
3.4 终端可信启动策略
根据上一节提出的混合型信任链,设计了相应的可信启动流程,如图4所示。终端上电时,S5PV210从片内ROM里的代码开始执行,代码包括关闭看门狗,初始化icache、堆栈、时钟等基本的硬件设备,接着检测OM引脚,选择从板载Flash还是SD卡启动,即选择一般启动或可信启动。当选择SD卡可信启动时,CRTM程序调用TPM的SHA-1算法引擎,并依次从Flash读取Bootloader、操作系统内核和文件系统发送到TPM。TPM对收到的数据计算摘要值,并将摘要值扩展到PCR内。根据PCR存储的摘要值和预存的标准摘要值做对比,便可以判断Bootloader、内核和文件系统是否被篡改过。若发现被篡改,认为其完整性已被破坏,则将SD卡中存储的相应映像恢复到对应的Flash分区。若检测出是可信的,则复制代码至内存,执行其余Bootloader,再进一步加载操作系统内核并转移控制权,同时保存度量结果和度量事件日志。当终端启动后,把信任链传递到可信度量的度量进程和平台身份验证模块[14]。
3.5 终端可信软件协议栈
当可信计算应用于PC上时,可以完全按照TSS规范来进行协议栈的设计与实现。但是当其应用于嵌入式环境中时,由于嵌入式环境的特点(资源受限,响应时间等),就需要对TSS进行一系列的修改,从而设计出一个适用于嵌入式终端的可信计算协议栈。本文设计的嵌入式可信软件协议栈如图5所示,它是在PC平台的可信软件协议栈的基础上做了部分裁减和改造:
(1)保留TSS对外提供的接口函数(API),从而方便上层应用的统一调用,同时可以使PC上的可信安全的应用更加容易地移植到嵌入式平台上。
(2)保留TDDL层和TDD层,遵守与底层TPM硬件的交互规范,从而屏蔽不同TPM芯片厂商生产的芯片在使用上的差异。
(3)与PC上的可信计算协议栈不同,嵌入式可信计算协议栈的用户单一、线程较少,因此可将TSS协议中的多用户、上下文管理、线程调度等部分进行删减,从而减少系统资源的开销。
(4)增强对象管理、密钥管理以及授权管理功能,并将其模块化,从而对上层应用交互的对象与下层TPM命令数据包之间的对应关系进行管理,维护密钥句柄、授权句柄等与TPM的交互信息。
3.6 终端可信网络连接机制
根据TPM可信度量机制,为构建终端完整可信环境,终端必须把信任延伸到网络中,可信网络连接机制正是使信任能够在网络环境下传递的方法[15,16]。本文依据TCG规范,裁剪修改了可信网络连接,采用双向性可信评估,设计了嵌入式终端可信网络连接机制。该机制建立在可信计算技术的可信度量和可信报告机制基础上,将自身平台的完整性经过数字签名,发送至其他终端,同时从网络中获得其他终端汇报的平台完整性信息并验证,若验证通过,则建立通信双方(或多方)信任网络,实现可信网络连接。根据上述方案,两个终端(假设终端1和终端2)建立网络连接过程如下:
1)终端1利用身份认证密钥AIK对其平台上自引导开始度量并存储在PCR中的摘要值进行数字签名后,附加上度量日志,平台所有模块信息和相关配置,以及可信网络服务器签发的AIK证书,调用TSS的Tspi_TPM_Quote函数生成证明信息,一起发送至终端2并质询终端2的可信度。
2)终端2获取到终端1提供的信息后,验证AIK证书的合法性,即验证是否为服务器所签发,并确认AIK证书仍在有效期内。再从可信网络服务器上获取终端1的PCR标准值并与接收的PCR值作比较。若匹配则向终端1发送自身平台的PCR的数字签名、平台完整信息和AIK证书,否则网络连接结束。
3)终端1同样向服务器获取相关标准值,求证终端2的可信度。若通过验证,则两者相互信任,否则网络连接结束。
通过上述过程,终端之间建立可信网络连接。同理,可继续验证其他终端,达到彼此相互信任,建立可信网络。
4 实验测试结果分析与展望
根据上文提出的设计方案,研制出具体相应的可信安全终端,并以Android 4.0作为目标操作系统,对终端核心可信度量根、信任链和可信引导策略的实现做了实验测试和结果分析。
4.1 可信启动检测
可信启动检测实验结果如图6所示。其中,(a)表示终端上电从SD卡启动,初始化TPM模块,使用TPM模块依次度量Bootloader、内核和根文件系统等组件,将度量值与标准值对比,若匹配相等,则移交控制权至内核,启动终端操作系统。(b)表示,当根文件系统遭到篡改后,验证不能通过,启动终止并询问是否将内核从SD卡中恢复。因此,该方案中实现了终端的可信启动,建立基本的可信环境。
4.2 启动效率分析
在终端启动过程中分别度量Bootloader、Kernel和根文件系统Rootfs,并测量各自度量时所消耗的时间(单位毫秒)。关于启动效率实验验证结果如表1所示,分别测试了在普通可信启动方式和采用了预计算摘要值法的可信启动方式下,各自度量不同组件所消耗的时间值。
对实验结果分析:
(1)相比一般嵌入式终端启动过程,可信启动过程由于度量各个组件的完整性,带来了额外的时间开销;
(2)采用了预计算摘要值法的可信启动过程,相比于普通可信启动过程,降低了度量时间开销,尤其是在度量代码量较多的根文件系统Rootfs时,时间开销减少约16.7%。合计时间开销减少约15.8%。
本文在核心可信度量根、信任链和可信引导策略的实验验证了可信启动度量完整性功能和启动过程的效率,实验测试达到了预期的效果。下阶段将对本文所设计的嵌入式软件协议栈和可信网络连接机制进行实验测试,并对终端软硬件整体可信安全进行研究与实现。
5 结语
济民可信企业文化大纲 篇4
一、核心理念
1、企业愿景:成为国内倍受尊重的企业。
2、企业目标:
做新、做特、做强、做大、做长、做乐。
人才精、产品精、品牌精、资产精、管理精、回报精。
3、核心价值观:济世惠民,信待天下。
4、企业精神:勇为人先,乐对挑战,团队协作,行动迅速。
二、战略定位
以医药产业发展为核心,以资产经营为平台,以资本经营为动力,以两大机制优化创新为保障,形成“多要素综合一体化”的主导产业核心竞争力,确保集团持续、快速、稳健发展。
三、管理定位
以“两核”机制不断优化为核心,以夯实基础管理为重点,以两级责任定位为主线,加强三个统一建设,实现资源共享,促进企业与员工协同发展。
四、经营方针:市场是根,营销是本,强根固本,永创辉煌。
五、经营策略:人无我有,人有我强,人强我特。
六、三个统一
统一战略、统一文化、统一管理理念。
七、济民可信创业机制模式
责任到人,执行到位,风险共担,利益共享。
八、人才观、成功、成长要素
1、人才观:
以业聚才,是济民可信的聚才方式。
以才兴业,是济民可信的人才态度。
唯贤是举,德才兼备是济民可信的选材标准。
事业留人,待遇留人,情感留人。
2、人才成长与成功的要素:
济民可信人成长的五要素:谦虚、好学、反省、总结、自律。
济民可信人成功的五要素:目标、计划、欲望、毅力、自信。
九、济民可信人的准则
理论适用、实效为重、岗位胜任、品格为先。
十、同仁誌
为了济民可信的光荣与梦想,我们共创人类健康,砺炼自我,挑战未来!
二、济民可信的特色文化
1、执行力文化
对于企业来讲,战略是重要的,它意味着全新的飞跃,远景规划是重要的,它指明了奋斗的方向,制度是重要的,它保证了企业正常的运转,但是要想战略和远景规划变成现实,要想制度发挥应有的作用,就得靠执行力!执行力决定着企业的兴衰成败。
所谓执行就是实现既定目标的具体过程,执行力是按质、按量、按时完成执行任务的能力和手段,而执行力文化就是把“执行力”作为所有行为的最高准则和终极目标的文化。济民可信集团倡导的执行文化体现在:
①制度第一,领导第二,在制度面前人人平等。
对待上级——敢于坚持真理、善于沟通。
面对自己——以身作则,勇于批评与自我批评。
教育下级——当好教练,耐心引导。
影响其他员工——以企业利益为重。
②没有任何借口,是工作中最重要的行为准则
③纪律是敬业的基石,对企业而言,没有纪律,就没有了一切.④视服从为美德,学习军人的作风,不管叫我们做什么,都照做不误。
⑤执行重于细节,贵在坚持。
2、团队文化
所谓团队,是指一群互助互利、团结一致为统一目标和标准而坚毅奋斗到底的一群人。团队不仅强调个人的业务成果,更强调团队的整体业绩。团队的核心是共同奉献。这种共同奉献需要每一个队员能够为之信服的目标。
济民可信集团历来秉承“人心齐,泰山移”的团队精髓。个人成就团队,团队造就个人。个人与团队,密切联系,互相依存,共生共荣。有了团队的成功,才有个人的成功;没有团队的平台与助力,个人就如同失去土壤的花朵。同样,有了成员的协同作战,才有团队的发展壮大;所以“团队”,在于“团”,而非“散”;在于“归队成团”,而非“执意孤行”。济民可信团队理念就是“成就鹰一样的个人,打造狼一样的团队”。
(1)鹰一样的个人品质:
①勇敢前进——我们需要直面挫折,攻克难题,走出逆境,勇敢前进。从普通变得优秀,从优秀走向卓越,把握机遇,乘势发展。
②自强不息——我们需要重塑自我,不懈地向上努力、不断学习,不断创新,不断完善自我,不断打造个人核心竞争力,做到无不可为。
③永不放弃——“水滴石穿,绳锯木断”,放弃就是失败,坚持就是胜利。
(2)狼一样的团队的特性:
①目标一致——目标即方向,奋斗方向统一,团队才有合力,才会与日俱增。
②同舟共济——团结协作,万众一心,共同克服困难。
③合力致胜——“众人合力,其利断金”,合则盛,分则衰;合者势大,分者力弱。大家要团结在一起,同心同德,相互配合,相互支持地推动共同进步。
④注重和谐——低调做人,高调做事;严于律己,宽以待人。
⑤同进同退——不抛不弃。
⑥纪律严明——分工明确、各司其责。
3、PK文化
PK就是一对一单挑,PK意味着没有退路的殊死一战,PK意味着你死我活,没有好好先生,PK意味着勇气信心,不当懦夫,PK意味着敢于亮剑,勇于挑战。济民可信不仅倡导健康向上的PK竞争文化,更注重通过在“竞争中学习,在竞争中成长”的方式来形成比学赶帮的氛围。
4、标杆文化
“标杆”就是一个值得学习、效仿的榜样,就是一个具体的标准。“标杆文化”就是倡导大家以其为榜样,对其进行学习和仿效并且进行超越。通过学习标杆,掀起企业内部竞争、创新热潮,开发人性的潜能,深化岗位、班组竞争氛围,直至全员岗位创新。处方药公司年终表彰大会受表彰人员就是大家学习的标杆人物,将优秀员工树为标杆人物供大家学习、赶超,这是一种很好的标杆示范作用。
5、人文关怀文化
企业就是家,就是员工停靠的最好港湾。
济民可信不断改善工作、生活环境,让员工快乐生活,快乐工作,公司也坚持优化薪酬福利来
凝聚员工的归属感。通过举办形式多样的文体活动来丰富员工的业余生活,同时公司正积极研究和推广职能员工的激励机制,为员工不断提供更大的成长成功平台。
6、学习文化„„
7、创新文化„„
三、济民可信的文化精髓
1、一个目标
短期目标:2010年,实现百亿企业
长期目标:成为国内倍受尊重的企业
2、二种机制
业务员的创业激励机制:责任到人,执行到位,风险共担,利益共享
职能人员的市场化激励机制:推行市场化模式,实现目标、利益一体化
3、三大纪律
统一思想,服从指挥。
不得侵占公司财产。
不得在公司内有不正当的两性关系。
4、四大核心竞争力
1、核心竞争力之一:一种既适应市场又有特色的市场模式
2、核心竞争力之二:一套与时俱进,不断创新,符合企业及市场发展的机制
3、核心竞争力之三:围绕核心业务保障体系的建设(运营体系、人力资源体系、财务体系、审计法务体系)
4、核心竞争力之四:产品的研发与创新
5、五种转变
思维方式的转变--不断创新,善于思考
管理理念的转变--粗放式管理向精细化管理转变
工作方式的转变--向自动自发转变,勇于承担责任
服务意识的转变--向高效快捷转变
干部作风的转变--向廉洁自律转变
6、六精管理
人才精:
产品精:
品牌精:
资产精:
管理精:
回报精:
7、七大亚文化
①经营文化:
做新、做特、做强、做大、做长、做乐
人无我有、人有我强、人强我转
②营销文化:营销是本,一切以营销为中心;
③竞争文化:
对外倡导强强联合,坚持协同竞争;在竞争中发展,在合作中双赢;
对内崇尚PK文化,坚持良性竞争,在竞争中学习,在PK中成长;
④人才文化:
以业聚才,是济民可信的聚才方式。
以才兴业,是济民可信的人才态度。
唯贤是举,德才兼备是济民可信选材标准。
三留原则:事业留人、待遇留人、情感留人
人才成长与成功的要素
济民可信人成长的五要素:谦虚、好学、反省、总结、自律。
济民可信人成功的五要素:目标、计划、欲望、毅力、自信。
⑤市场文化:市场是根、一切向市场要利润
⑥产品文化:以品质取得信任,以品牌提升价值;以创新制造差异,以成本赢得竞争。⑦领导文化:
带好队、管好事、精业务、强执行
抓大事、理重点、重实效、三不能、三不放过
服务、协调、激励; 管理、监督、控制
8、八项坚持
坚持价值认同,事业为先;反对打工心态,不思进取。
坚持团队协作,顾全大局;反对本位主义,各自为政。
坚持创新思维,精益求精;反对经验主义,甩手掌柜。
坚持反省总结,勇担责任;反对强调理由,推卸责任。
坚持公平公正,以身作则;反对阳奉阴违,严人宽己。
坚持知人善任,德才兼备;反对任人唯亲,论资排辈。
坚持纪律严明,执行坚决;反对松懈散漫,讨价还价。
可用与可信 篇5
去岁江南。那一天是4月1日,出差湖北的仲总顺便速览了武当山,傍晚就餐一淮扬菜馆。对桌有食客正在点菜,服务员问他要不要点太极湖白鱼,“那当然,必须的!”
“你说的是东北话,唠唠嗑吧,兄弟?”
“做企业的吧,我也是,干脆,整两口!”
湖光山色,美好时光彩排。求才若渴的仲总欣逢据说做过两家公司CEO的刘利。曾国藩不是讲品酒性亦为面试法之一吗?刘利一会儿阿米巴落地,一会儿O2O升级,自信堪比满杯的酒,令仲总叹赏不已。微醺间听刘利高声说“你是创业者,我是创变者”,他顿感虽没有五百年前频频回眸,也可酒光中举杯为号:“就这么着了,来,为你成为我公司的合伙人,干杯!”
“妥妥的吗?”
“无信义不兄弟,你主管经营,妥妥的!”
半年后,酒醒了。查一下日历,喝嗨那天是愚人节。
我问仲总为什么把刘利辞了。他回答得高冷:“撒谎!”公司HR总监不无遗憾地跟我讲,没办法,老板出面那是“终试”,秒杀的事有几个不走眼的。
我无意了解享受专车、高薪待遇的刘利因何事撒谎而露馅的,只是觉得在高人力成本条件下的人才猎取当审慎,看起来可用而不可信的牛人真真是多乎哉也。在人才竞争战不断演进的当下,仅靠猎头或挖墙脚已OUT了。一些企业在“抢人”中又滋生了捡漏心理,窃喜逮住藏在深山人未识的孔明;掷骰子心理,就当赌上一把;蒙着打心理,一相面如找到多年失散的兄弟……
性情所致也罢,醉眼迷离也好,造成看走眼的本质是急功近利心理,或弃HR核心员工培养规划于不顾,或将X射线般的测评技术抛之一边。心急吃不了热豆腐,一些有“资质”的牛人专为心急者设计了“备胎计划”,在“人信”环境未成气候之时,正可沐猴而冠,勇当行走江湖的“空降兵”。
可信电子文件与电子文件可信管理 篇6
关键词:电子文件,可信管理,审计认证
电子文件本质上是档案,只是载体形式不同于传统档案,因此其本质属性必然也是原始记录性。从电子文件内容上看,是形成者在社会活动中直接形成的,原始地记录和反映着形成者从事某一社会实践活动的实际内容与客观过程;从电子文件形式看,是其形成者当时当事使用的原始文件的直接转化物,原样地保留着形成者当时的工作痕迹以及当时的照片、录音录像等,是形成者的原稿、原作、原声、原貌。因此,电子文件同传统档案一样,都是历史活动的最真实可信的原始记录,是后人查考历史事实的最确凿可靠的原始凭证。
从电子文件出现直到现在,虽然其研究取得了很多进展,得到了社会的广泛认可,然而还有许多档案人员甚至包括一些档案专家在内对电子文件依然不认可。问题的根本在于电子文件的真实性是否得到了保障,档案管理人员是否能提供电子文件真实的充足证明。
一、可信电子文件
可信的电子文件是指真实性、完整性与长期可用性得到确认的电子文件[1]。这里使用了“确认”一词,而非常见的“保障”。二者的区别在于“确认”不仅表明电子文件真实性得到了保障,还能对其真实性提供证明,从而满足社会对电子文件真实性要求的主观认知,电子文件是可信的,也就具有了法律效力。因此,可信电子文件是真实性、完整性、长期可用性得到保障并能进行真实性证明的电子文件。
二、电子文件可信管理工作内容
1. 档案管理工作的本质。根据档案的本质属性———原始记录性,可以明确档案管理的本质是保障其真实性、完整性,维护其长期可用性,档案管理的所有作用工作都应该围绕这个“保障”、“维护”来开展。只有真实性得到了保障,长期可用性才有意义。离开了真实性,长期可用性就是无源之水、无本之木。因此,档案管理的首要任务是保障档案的真实性并证明其真实性,其次是维护其完整性与长期可用性。
首先对传统档案管理进行简单分析。传统档案管理工作主要内容大体为八项:收集、鉴定、整理、保管、检索、提供利用、统计、编研。这八项内容从理论上划分为两个基本方面:即档案实体管理与档案信息内容的开发利用[2]。
这两大方面主要考虑的是档案的完整、齐全与可用性,基本没有涉及档案的真实性问题。内容信息的开发利用自不必说,实体管理依然没有考虑档案的真实属性问题。如收集工作主要是保证归档和进馆档案的齐全完整,维护全宗和全宗群的相对完整性。保管工作是指对已经整理好并排架入库存放的档案进行日常维护,一是维护档案实体的管理秩序,使档案在库房存放与使用时始终有序;二是保护档案实体不受损害,尽量延长档案实体的“自然寿命”。前者实际上是为了下次的查找利用方便,后者则是为了档案的长期可用。鉴定工作是指对档案价值的鉴定判别,以此来决定档案的存毁。
整理工作基本任务是建立档案实体的管理秩序,使档案实体有序化、条理化,最终目的是方便查找、方便利用,整理中的逻辑方法或历史方法均指的是如何实施实体档案有序化管理,即库房中档案的排列问题,实质上是档案分类方案的确定问题。可以说,整理工作关注的是实体的排列,而非档案信息的真实性问题。实际上,由于信息与载体的分离以及计算机强大的处理能力,电子文件可以同时有多个分类方案,当然,历史方法的分类方案应是最基本的方案,但完全可以同时具有逻辑方法的分类方案。从这个意义上,电子文件实体排列的重要性急剧降低,也就是说,其整理工作主要是制定分类方案。
从以上分析可以看出,传统档案工作关注档案的完整性与可用性,但基本没有考虑档案的最本质属性——真实性。这应该不是档案学者的疏忽。由于载体与信息不可分离的特性造成了纸质档案真实性不言自明。很可能正是这种不言自明、所见即所得的明显感觉, 使得档案学者没有考虑纸质档案的真实性管理问题,纸质档案管理工作也就忽略了真实性保障与真实性证明方面。但由于在档案工作没有做到真实性保障与真实性证明的同时,社会却依然认可了纸质档案的真实性,这种忽略并没有影响纸质档案的法律效力。因此传统档案管理可以不涉及真实性保障与证明工作,从管理理论到实践几乎都没有这方面的思考与行动。但电子文件呢?信息与载体分离的电子文件其管理工作是否还可以不考虑真实性问题呢?电子文件管理还按照传统档案管理的工作内容来进行就能满足需求吗?答案是否定的。
2.电子文件可信管理。
(1)电子文件管理的常规性工作。电子文件的本质是档案,必然遵循档案管理的规律。其工作也应该包含档案管理的八项内容,但有一定的变化。
收集,同纸质档案收集工作一样,其基本任务是将电子文件集中到档案机构中。不一样的是,后者除了收集电子文件本身,还要收集其元数据,这些元数据对以后的长期保存有着重要作用。考虑到电子文件对软硬件的依赖性,常用“捕获”一词来替代“收集”,以表明元数据收集、实时归档等方面的主动性与必要性。该项工作对电子文件全程管理具有重要意义,也是本课题重点分析的内容之一。
整理工作的重心不再是实体的排列上架,而是多种分类方案的制定与相关元数据的补充,并将这多种分类方案固化在管理系统中。
与传统档案保管工作极为重视载体不同,电子文件保管工作则将实体与信息本身均作为其管理对象,即不仅对载体进行保管、保护,更重要的是对信息内容进行保管、保护。实际上由于载体的容灾备份与可以在其寿命终结前将信息迁移到新的载体上,载体保管的重要性在电子文件长期保存中急剧降低。
鉴定工作除了对电子文件价值进行鉴定判别外,还需要实施技术鉴定,即“双重鉴定”。对于检索工作而言,最重要的是进行著录、标引工作。需要注意的是,该工作需对元数据与传统档案著录项进行区别、区分。
(2)电子文件可信管理必须包含的两个内容。除了传统档案工作的八环节外,电子文件管理还应包括两方面的工作:一是保障电子文件的自然属性——真实性、完整性与长期可用性,二是证明其真实性。相对于纸质档案管理工作而言,这两方面工作是全新的,也是至为关键的。
1对电子文件实施全生命周期管理。电子文件从生成开始,除了文件属性,还具有自己特有的文件类型、格式、生成环境等技术属性;在流转过程中,可能还会有数字签名、电子签章、流转的流程记录等;转化为档案后,可能还有保存位置、存储介质等属性;在长期保存过程中,还会有格式迁移、介质迁移等。这些因素都会对电子文件的真实性、完整性与长期可用性产生影响,必须用全生命周期管理来解决这三性的保障问题。
前述常规工作实际上就是全生命周期管理中的工作环节与工作内容。除了这些常规工作,至少还应有文件捕获、格式管理、元数据管理(非著录工作)、跟踪审计等和可信保障密切相关的工作。可信的收集与归档、可信OAIS电子文件库、可信保存流程等是电子文件生命周期管理中的关键环节与关键问题。
2对电子文件管理实施审计认证。前述分析,电子文件具有法律效力,要证明其真实性,就要对电子文件的真实性进行确认,常见方法是对电子文件管理过程进行审计跟踪,施加数字签名、水印、电子签章等技术手段,进行认证。电子文件管理依赖于软硬件系统,数字签名、水印、电子签章以及审计跟踪的信息也全部保存在电子文件管理系统中,为了确保这些信息能够产生并能被正确保存,电子文件管理系统就必须满足相应标准。证明系统满足管理标准, 首先需要有认证机构(可以是政府机构,最好是中立的第三方)对系统进行认证。如果使用了未经认证的系统,很有可能满足不了对电子文件的审计跟踪,这种系统产生与保管的电子文件其真实性就难以得到证明。只有满足了认证的系统,才可以实现对电子文件真实性的管理保障。
档案管理中需要档案管理人员大量的智力劳动,因此电子文件管理系统需要人机交互,不能完全自动运行。人机交互的程度、不同档案人员的操作能力不同,系统运行的结果存在不一样的可能。因此,满足认证的系统是电子文件真实性的必要条件,但不是充分条件,还需要对电子文件管理过程进行认证,也就是对电子文件管理系统运行进行认证。
最后一个认证是保管机构的文件保管能力认证,包括管理人员的职业能力、规章制度、软硬件条件、管理规范、运行维护等的投入资金等等。只有经过认证的机构才有资质、有能力管理电子文件。
可信方案 篇7
随着云计算技术的不断发展,云计算在电力行业中的应用逐渐展现。很多电力公司和部门都提出了各自的云计划,提出了各种云的应用,如调度云、电力私有云、灾备云等。电力云可以最大限度地整合现有的数据资源和处理器资源,为电力系统应用提供资源复用,以降低成本和提高效率。基于云计算的电力私有云可以实现运营信息云储存和计算资源的私有控制,并且可以实现信息资源的物理隔离,保证信息数据安全。
通常云计算采用类似通用计算机网络接入的方式来确认用户的身份信息、访问和审核权限。然而,这些手段无法可靠保障云终端自身及其接入云系统的安全。一旦电力云终端被恶意代码侵入,被攻击者控制,后台的电力云系统将面临极大的安全风险。考虑到电力云已整合的众多业务系统,对电力云系统的攻击造成的风险将远远超过对独立系统的攻击。如何保障电力云终端自身的安全以及电力云终端接入电力私有云的安全,目前尚没有很好的解决方法。
文章提出一种基于可信计算思想构建的安全云终端—可信云终端。可信云终端从硬件底层开始,由可信芯片引导,采用完整性度量、信任链传递等方式,层层保护终端安全,实现云终端的安全可信,保障电力云终端接入安全。
1 电力私有云及电力云终端
目前,国家电网公司正在大力建设电力信息化SG-ERP项目,涵盖人资、财务、物资、项目、设备等多个核心业务,以支撑智能电网发展。电力灾备系统已计划按照云计算的原理搭建。电力调度系统构建调度云,将调度资源放入云端,实现调度系统资源共享,提高电力调度的效率。电力用户可以采用移动终端,利用虚拟化技术接入电力私有云。电力云能够根据应用切换资源,根据需求访问计算机和储存资源,为电力系统各种复杂计算问题的解决提供新途径。这些都是电力私有云构建的基础。电力私有云的接入模型如图1所示。
电力云终端是一种应用于电力私有云的云终端形式。电力云终端应当是一种瘦客户端形式,也可以是嵌入式系统,用户通过电力云终端访问电力私有云系统,完成相应的工作。如员工通过电力云终端访问云端SG-ERP系统,实现物资、财务管理;电力巡检人员通过嵌入式的云终端设备远程访问巡检作业系统。电力云终端应支持通过多种通信方式与云端建立通信链接,支持的通信方式主要包括有线网络、无线网络以及有保护的无线公网方式。
2 电力云终端安全问题分析
从安全角度考虑,电力私有云由于将重要数据保存在云端,避免了重要数据被窃取。但是对于电力云终端而言,终端将面临多种安全性风险。这些安全性问题仍未有效解决,主要表现在以下4个方面。
1)云终端用户登录系统、访问数据的权限控制仍然依赖传统的口令鉴别机制,口令鉴别容易被攻击者破解,缺乏强有力的认证手段,导致终端可能被他人非法利用。
2)电力云终端接入网络的多样性加大了云端通信信息被恶意窃取的可能性,攻击者可能伪造、篡改关键信息,使得云端系统产生安全性风险。
3)接入网络与用户终端的异构性、云端系统的虚拟化、存储空间的复用以及资源共享等特性,降低了对用户行为的审查能力。
4)云端系统被攻击者非法接入、蓄意攻击,会严重威胁电力私有云的运行安全,影响电力系统安全稳定运行。
3 可信云终端
当前,传统的安全防御措施主是在终端安装杀毒软件、更新补丁,并不能完全阻止各类攻击。杀毒软件和补丁是在发现病毒攻击或者发现漏洞后的事后的防范措施,只能避免更多的终端被攻击。而针对电网系统的攻击往往带有很强的目的性,一次攻击就可能造成无法估计的损失,不会给系统修补漏洞的机会。如果攻击者在攻击开始就有目的性地对电力云终端进行入侵,则传统的安全防御措施很难阻止。
可信计算是一种利用软硬件结合的方式实现计算机和网络安全防护的方法。在云终端硬件主板上嵌入可信计算芯片,结合安全芯片软件协议栈等软件接口,架设新的安全体系结构。可信计算是一种主动安全防御技术,可以防止恶意程序攻击、恶意代码植入攻击、物理数据窃取、网络窃听及嗅探等多种攻击方式。将可信计算原理应用于电力云计算,研究可以应用于电力的可信云终端,可以解决电力云终端接入电力私有云的安全性问题,实现对攻击的主动防御。
3.1 可信电力私有云
电力私有云本质上是一种终端与服务器之间的连接方式,构建可信的电力私有云必须将可信网络和电力私有云结合起来,需要在云端层面建立策略执行服务器、策略决策服务器和元数据接入服务器,可信电力云接入模型如图2所示。
1)策略执行服务器:建立在云端接入点,实现对电力云终端接入电力私有云的接入控制,是否接入云终端依据策略决策服务器的判断。
2)策略决策服务器:决策申请接入的云终端如果是系统认可的可信云终端,则通知策略执行服务器接入云终端,否则通知策略执行服务器拒绝云终端接入。
3)元数据接入服务器:实现可信计算设备与现有系统的有效结合。
4)可信电力云终端:可信电力云终端实现对自身的安全性度量,将度量数据和自身的身份信息发送给策略决策服务器,由策略决策服务器判断可信电力云终端是否为系统认可的可信终端。构建可信电力私有云的关键在于可信电力云终端对自身的安全性度量,以及策略决策服务器对云终端安全性的判断。
3.2 可信电力云终端
可信电力云终端从硬件底层开始,增加可信芯片,对云终端进行完整性度量,并实现信任链的传递。对云终端的完整性度量从云终端启动的第一步开始,对每一步都进行度量,保证云终端按照预期的结果进行,可以防止云终端在运行过程中被恶意软件攻击。信任链传递则是保证每2次度量之间都相互关联,第2次度量是基于第1次度量安全确认后而进行的,确保了云终端启动和运行过程中的安全性始终如一。
可信云终端可以分为物理层、软件层和网络层3个层次,可信云终端的结构如图3所示。
1)在物理层增加可信芯片,通过本地总线接口与控制器连接。控制器可以直接控制可信芯片进行度量、加密等操作,由可信芯片在物理层提供安全可信支持,实现从硬件保证安全。
2)软件层提供可信微内核和可信软件栈。可信微内核实现操作系统内核的安全可信,可信软件栈为系统提供了度量应用程序的工具。系统可以通过可信软件栈调用可信芯片,实现对应用程序的度量。
3)网络层构建可信网络连接和可信云接入。可信网络连接为电力私有云建立可信接入网络环境,通过可信云接入,实现电力云终端安全可信接入电力私有云。
4 完整性度量
完整性度量是可信计算的一大特点。电力可信云终端的完整性度量是获取影响电力可信云终端可信度的特征值,并将这些值的摘要存入电力可信云终端的芯片中。计算某个模块的摘要,并将其与期望值进行比较,便可以维护该模块的完整性。
图4表示恶意程序对目标程序的攻击方法,恶意程序伪装成目标程序,对目标程序进程空间里的代码进行修改,嵌入恶意代码。因此,如果恶意程序攻击具有可信计算能力的电力可信云终端,终端的任意模块被恶意感染,通过比较摘要值的变化可以检测出被感染的模块,进而可以进行相应的处理,如使用备份的模块修复被感染的模块。
5 信任链传递
可信计算的基本思想是建立一个信任根,根的可信由物理安全和管理安全来确保。建立一条信任链,从信任根开始到引导程序、操作系统、应用和网络,逐级进行认证和信任,从而把这种信任扩展到整个计算机网络,以达到增强安全性和可靠性的目的,这就是可信计算的信任链传递机制(见图5)。可信根包括完整性度量可信根(Roots of Trust for Measurement,RTM)、完整性度量值存储可信根(Roots of Trust for Storage,RTS)和完整性度量值报告可信根(Roots of Trust for Reporting,RTR),其中RTM是完成完整性度量的计算引擎,通常由核心度量可信根所控制,它同时也是信任传递的起点;RTS是维护完整性摘要的值和摘要序列的计算引擎;RTR是一个能够可靠地报告其所持数据的计算引擎。这3个可信根都被认定为绝对可信。
系统的启动由可信根开始,可信芯片验证操作系统引导程序完整性,验证通过后启动引导程序;引导程序继续调用可信芯片的功能函数验证操作系统完整性。操作系统和应用程序之间、应用程序与应用程序之间、终端与主站之间按照安全规则,调用可信芯片的安全功能,实现各种可信应用。系统的运行流程保证了引导程序、操作系统、应用程序的可信启动及可信运行。
6 结语
文章提出了一种实现可信电力云终端的方法。通过分析普通云终端接入电力私有云存在的安全性风险,揭示需要利用安全工具加强云终端接入电力私有云的安全。通过在电力云终端嵌入可信计算芯片,利用完整性度量和信任链传递实现电力云终端的自身安全可信,通过构建可信电力私有云,实现可信电力云终端安全接入,为解决电力云计算终端安全接入提供一种思路。
参考文献
[1]辛耀中.电力信息化几个问题的探讨[J].电力信息化,2003,1(3):20–23.
[2]张吉生.云计算技术在电力系统中的应用[J].现代建筑电气,2011,4(2):8–11.ZHANG Ji-sheng.Application of cloud computing in electric power system[J].Moder Architecture Electric,2011,4(2):8–11.
[3]刘孜文,冯登国.基于可信计算的动态完整性度量架构[J].电子与信息学报,2010,32(4):875–879.LIU Zi-wen,FENG Deng-guo.TPM-Based dynamic integrity measurement architecture[J].Journal of Electronics&Information Technology,2010,32(4):875–879.
[4]张兴,黄强,沈昌祥.一种基于无干扰模型的信任链传递分析方法[J].计算机学报,2010,33(1):960–971.ZHANG Xing,HUANG Qiang,SHEN Chang-xiang.A formal method based on noninterference for analyzing trust chain of trusted computing platform[J].Chinese Journalof Computers,2010,33(1):960–971.
[5]GARFINKEL T,PFAFF B,CHOW J,et al.Terra:A Virtual Machinebased Platform for Trusted Computing[C]//SOSP’03.Bolton Landing,New York,USA,2003.
[6]石勇.Windows环境下信任链传递的研究与实现[D].北京:北京交通大学,2007.
[7]李晓勇,沈昌祥.一个动态可信应用传递模型的研究[J].华中科技大学学报(自然科学版),2005,33:310–312.LI Xiao-yong,SHEN Chang-xiang.Research to a dynamic application transitive trust model[J].Journal of Huazhong University of Science and Technology(Nature Science),2005,33:310–312.
可信方案 篇8
关键词:可信网络,可信网络框架,可信身份识别,访问管理方法,可信认证
0 引言
可信网络具有表现性、适应性、规模性、实用性等特点, 可信网络的需求是网络级基本的安全服务、隐私性、问责机制、安全通信能力、奖励制度和用户友好, 正是基于这些特点和需求, 设计一个可信网络的基础就是构建一个安全可信的网络框架。
1 可信网络认证系统的框架
在信任管理技术方面, 很多相关理论和技术性问题都没有形成共识, 缺乏系统明确的方法论指导, 还无法完全解决互联网发展过程中对于信任关系准确度量与预测的需求, 大部分模型对于信任值的决定因素考虑的不够全面, 无法很好的描述信任的动态性和不确定性等属性。因此, 研究的目标是把信任管理与可信网络连接有效整合的过程中解决跨域可信度问题, 具体包括域间身份认证和管理, 域内身份识别和控制等方面的问题。
本文提出一种跨管理域的安全可信网络体系架构, 具体体系架构如图1所示。
本文假设有3个管理域需要进行安全可信保护, 分别为管理域A/B/C。其中, 各管理域之间互相通信采用跨域身份认证机制进行安全保障, 而域内数据通信则采用基于链接假名和模糊身份加密机制完成可信认证。
2 跨域身份认证关键技术
(1) 基于信任度的实体属性映射技术:每个管理域都有其自身的权限定义规则, 这样造成用户无法按照其固有属性来进行跨域的权限判定, 必须通过协商定义出一种权限映射机制来实现不同管理域实体的访问权限变化策略。通过用户在其它域中的访问权限按照一种映射规则转换为本域中的访问权限成为一种可行的方法, 这种方法基于管理域之间可信度和相互协商的结果来实现, 重点需要解决以下几个问题:一是各管理域实体、策略的定义和统一描述。二是基于信任度对跨域实体之间的信任度映射机制进行定义, 具有高信任度的实体之间可以尽可能的保留原有实体的控制权限, 否则就必须对原有实体的访问控制策略进行进一步的控制。三是针对大量的管理域以及管理策略, 研究大规模数据下高效的属性映射存储、查询、修改技术, 提供跨域身份认证的准确性和效率。
(2) 可信的跨域互操作技术:互操作是提高跨域身份认证系统部署和应用的关键性指标, 跨域的互操作技术可以集成现有的身份认证机制, 使得用户的身份和权限能够在不同的管理域之间传递。为了实现可信的跨域身份认证互操作功能, 规范了一种可以在不同管理域之间进行身份和鉴别信息交换的协议, 用来屏蔽异构性带来的问题。在该交换协议中重点解决以下几个方面的关键技术:一是对主体身份、属性和权限信息规范描述, 通过该规范性的描述可以明确该实体的认证机构, 认证的有效期, 实体的属性以及该实体在目标机构的权限。二是对跨域身份认证中出现的关于身份认证的请求查询和响应消息进行抽象, 定义出针对不同类型消息的标准格式, 使得不同域之间传递的身份信息可理解。三是通过高可靠的加密传输机制来保证消息传递的机密性、完整性、可靠性和可鉴别性, 保证用户认证信息不被窃听、篡改等。
3 域内可信认证算法
本部分将介绍在域内的相应安全保障机制。如图2描述典型的管理域之内的网络通信示意图模型:图中假设用户拥有的终端设备, 简称为ME (可以是PC或智能手机终端等) 。通过ME, 用户可以安全地登录网络以广播的方式进行通讯, 或撤销网络访问。
3.1 可信通信过程
(1) 通过语义安全加密, 建立连接请求签名
在终端用户准备通信并建立连接请求时, 通过一个语义安全加密机制产生全局惟一的链接请求签名。具体来讲, 本文采用ELGamal加密系统, 在乘法群Zq的一个q阶子群Gq中, 求得一个大素数p=2q+1;本文把素数p, q和Gq的本原g作为系统参数。由此, 通过分布式密钥生成协议产生了一个ElGamal私钥s∈RZq, 因此所有的n个通信参与者共同享有s。因此, 所有的参与者都有解密的能力, 这n个参与者中只有极少数的t个必须执行私钥相关的操作。所有的参与者共享一个公钥, h=g∧s (mod p) , h和系统参数一起都是可用的。在本文的方法中, 用户Ui的基本链接签名为PUi, B最初被作为一个代表性的基本标识符ID的加密。因此, ID∈Gq是通过选择r∈RZq和计算 (g′, h′ID) 的不确定性加密。
接下来, 链接假名可以通过对基本假名的迭代重加密得到 (k∈N指第k个交易, ⊗表示乘法) PUi, k+1=PUi, k⊗grk+1= (gr+rk+1, hr+rk+1ID) 。
(2) 通过PRNGs实现链接签名全局惟一性
为了保障根据上面给出的结构所建立的链接签名具有全局惟一性, 本文采用一个通过本地安全加密的伪随机数发生器 (PRNG) , 对链接签名生的成作进一步的控制。伪随机数发生器 (PRNG) 是一个通过使用信息熵资源产生输出随机数序列的工具, 只有种子的拥有者可以生成随机数链。
(3) 基于Expressive Encryption的匿名接收器通实现端到端安全通信
对于链接签名的接收方, 本文通过密文规则的属性基加密 (CP-ABE) 技术来得到与数字身份的静态特征文件有关的属性和凭证。通过广义的基于位置的加密 (LBE) 来处理动态的与上下文有关的凭证。把这两种方法有效地结合, 本文实现了一种新的表达策略混合加解密技术, 具体如图3所示。
3.2 可信认证算法
在网络中, 用户的访问控制通常需要经历4个步骤, 首先是生成系统参数, 然后系统提取私钥, 其次通过公钥进行加密, 从而获取密文, 最后通过访问控制树, 用户通过私钥进行解密, 从而获取明文。现在对这四个步骤主要完成的功能进行分析:
首先是系统初始化, 通过服务器产生公钥PK以及主密钥MK。
其次是加密步骤, 将服务器端的信息M (通常是一份文件) 通过密钥进行加密, 从而得到密文CT, 同时生成访问控制树r, 并嵌入CT中。该步骤的详细过程分为三步:
(1) 在访问控制树r中, 所有的节点x都通过一个多项式qx进行标示, 该树通过层次顺序进行遍历。
(2) 根节点R随机选取属性s, 使s=q R (0) , 然后选取另外各点, 从而完整定义控制数中的所有节点x的多项式qx。
(3) 通过加密公式将M形成密文。
再次就是提取过程, 由客户端用户将自己的属性集S输入到服务器端, 从而生成得到自己的私钥SK。
最后一步是解密, 也就是利用递归算法, 从r的叶子节点开始, 一直递归到根节点R, 直至计算出s, 然后根据s通过对称加密算法来解密密文。
4 可信认证仿真实验
4.1 实验环境
为了验证本文提出的可信网络框架的技术可行性, 本文在实验室环境下搭建了基于异构无线网络环境的移动数据服务网络平台, 对前述可信认证进行效果验证分析。
如图4所示, 骨干网设备采用Cisco公司的无线Mesh路由器来充当, 选用这款路由器的理由是该路由器具有双频段。由此, 无线Mesh骨干网络可以由无线Mesh路由器来组成, 而同时WLAN的无线接入设备也可由Mesh路由器本身担任。Internet接入端则采用无线Mesh网络通过一台路由器以有线的方式互联。另一方面, 本文还在某些终端设备上分别装上了无线传感器网络 (WSN) sink节点和GPRS网关, 以此来实现网络功能的异构性和多样性。在此实验平台基础上, 通过GPRS网关, 通过手机发送短信指令的方式, 网络用户可以从终端上获取采集到sink节点的传感数据。
在上述实验环境中, 本文将其划分为两个网络域, 分别为网络管理域A和B, 并通过认证服务器和访问管理服务器根据前面描述的域间身份认证和域内身份识别和访问管理技术实现了消息加密及访问链接签名的全局惟一管理和认证, 并实现了Dolev-Yao模型的原型攻击程序, 由此对上述网络的可信度和可靠性进行了相应测试。
4.2 实验结果
测试从成功接收的消息数量以及接收到的消息正确性校验两个方面进行, 测试结果如图5和图6所示。从图中可以看出一共发送了13组数据, 每组数据分别有十条链接签名, 接收端分别对上述数据进行接收, 从两个图示不难看出, 无论是接收的数量和接收到消息的正确性, 都与发送端的数量相吻合, 由此, 可以间接证明本文提出的可信网络框架在安全可靠的层面具有一定效果。
5 结束语
网络不仅关注本身系统和数据的安全, 更要关注系统的内容和行为的可信, 可信网络模型和算法设计作为可信网络研究的重要内容之一。本文针对目前可信网络的特点和需求, 提出通过一种能够进行可信身份识别与访问控制的可信认证框架, 将来的工作在认证可信度方面将会做更细致的研究, 使得本文提出的可信网络框架更具有实用意义。
参考文献
[1]王功明, 关永, 赵春江, 吴华瑞.可信网络框架及研究[J].计算机工程与设计.2007.
[2]王莹.网络隔离技术[J].微计算机应用.2003.
[3]江为强, 陈波.PKI/CA技术综述[J].兵工自动化.2003.
[4]宫新保, 周希朗.一种新型的网络安全技术——人工免疫系统[J].电气电子教学学报.2003.
[5]李小勇, 张少刚.多属性动态信任关系量化模型[J].计算机应用.2008.
可信方案 篇9
关键词:云会计,可信性评价,AIS,复杂网络,结构洞
云会计[1]的产生与发展是会计信息化的里程碑,云会计下会计信息系统( Accounting Informa-tion System,以下简称AIS) 的可信性[2]令人关注。目前,采用合理有效的方法,针对云会计环境下AIS进行可信性评估[3],是云会计发展中亟待解决的关键问题,可信性评估必须充分考虑存在勾稽影响的服务之间乃至功能组件之间的相互作用关系。本文提出了一种基于可信性影响关系网络的云会计下AIS可信性评估方法,以期对云会计环境下AIS得出可信性评估结论。
一、云会计下AIS可信性评估方法
云会计下的AIS作为商品化软件的一种新兴服务方式,可信性水平如何直接关系到用户根据自身业务需求选择云会计产品、云会计厂商的产品质量控制和定价、行业可信性标准的制定[4]等方面的问题,使云会计可信性评价的相关研究在其推广发展中起到重要作用。在考虑云会计各个模块、服务以及细化的业务单元之间存在复杂的相互依存关系,以及协作完成AIS的各项功能,本文构建可信性影响关系网络,以描述这种复杂相互依存影响关系对可信性的影响,并运用复杂网络[5]原理对云会计下AIS进行科学合理的可信性评价。
( 一) 构建可信性影响关系网络TAN
云会计下AIS可信性评估应充分考虑模块之间存在复杂的相互调用、数据勾稽处理关系情况下模块可信性的相互影响关系,这种模块之间可信性影响关系可以用模块可信性影响关系网络( Trustworthiness Affecting Network,以下简称TAN )来表示,可将这种复杂的控制影响、调用关系抽象化为复杂有向网络。TAN不是传统意义上模拟内部调用结构的调用网络,而是综合考虑技术层面和功能层面模块之间可信性影响因素,构建的是可信性影响关系网络。
由节点和边组成的图G = ( V,E) 可以表示一个具体的网络,其中V代表网络中节点的集合{ v1,v2,…,vn} ,E代表网络中边的集合{ ( vi,vj) } ,i,j ∈ { 1,2,…,n} 。依据云会计下AIS的主要业务流程建立功能模块可信性影响关系的复杂网络,复杂网络中的节点V代表云会计服务中各个功能模块的可信性,有向边E代表所连接的两个功能模块之间的可信性影响关系。
( 二) 可信性水平的度量
由于云会计下AIS业务处理的协作性、复杂性和灵活性,用户所需的复杂业务难以由单个功能模块完成,往往需要多个模块协作处理,模块之间具有复杂的业务勾稽关系,并产生大量的指令和数据交互。因此,TAN拓扑结构构建的优良程度极大程度地决定了在AIS关键模块失效时引起整个系统瘫痪的可能性。本文利用复杂网络及其相关理论,基于TAN对云会计AIS的可信性进行评估,从度、介数、结构洞等方面进行分析,提出了度量可信性水平的标度和节点失效策略,以度量云会计下AIS可信性水平。
1. 度。云会计下AIS中模块、功能组件乃至细化的最小功能单元的可信性即为复杂网络节点,节点的度可以代表该节点与其他相连节点的可信性影响程度,能够从一定程度上反映该节点可信性水平受到其相连节点影响的复杂程度,节点的度越大则与该节点发生可信性联系和相互作用的节点就越多,其所面临的可信性评价就越复杂。对于有向加权网络来说,节点的出度反映了该节点对其他节点施加可信性影响的程度,入度反映了该节点受其他节点可信性影响的程度。
2. 介数。在网络的所有最短路径中,通过节点i的最短路径的条数占最短路径总数的比例称之为节点i的介数。节点v ∈ V的介数CB( v) ,定义如下:
其中 σww'表示w和w' 之间的最短路径数,σww'( v) 表示经过点v ,w和w' 之间的所有最短路径的个数。可以看出介数高的节点在网络中的集中性比较高,在网络中的影响就越明显。移除高集中性的节点会比移除度大的节点更易破坏网络的性能。在一些情况下,低度节点可能会有高的集中性。因此,移除高集中性节点来攻击网络可能导致与度攻击不同的效果。
3. 结构洞。 社会网络中结构洞( Structural Holes) 指某些个体之间存在无直接联系或关系间断的现象,从网络整体来看,好像网络结构中出现了洞穴,其中将无直接联系的两者连接起来的第三者( 即结构洞位置占据者) 将拥有信息优势和控制优势[6]。将结构洞理论引入可信性评价的TAN分析中,可以作为节点间存在结构洞情况下分析可信性影响程度的手段。作为 “桥梁”作用的第三方节点占据了其他网络成员进行相互联系的关键路径,即网络中存在结构洞,使得被结构洞联系的节点间可信性影响关系出现缓冲效应———可信性的正向和负向影响都一定程度的减弱。作为 “桥梁”的第三方节点占据可信性影响关系的关键通路,受到两方以及多方的直接影响,能控制可信性影响是否传递以及传递的影响程度。
( 1) 可信性影响pij,结点i与j的可信性影响关系概率值,同i的所有可信性影响关系值之比。这里aij指i ,j两点间的边的属性值。
( 2) 二值约束cij,它表示围绕节点j和i的初始 “结构洞”的缺失约束,节点j通过以下方式约束节点i的 “桥梁” 作用,以节点对其他节点的依赖程度作为评价标准,数值越大,约束性越强; 依赖性越强则能力越小,跨越结构洞的可能性就小[7]:
( a) 节点i要经过较长的时间与较重程度的影响,才能改变节点j的可信性;
( b) 节点j被很少的结构洞包围着,通过这些结构洞,节点i可以发起支持,促进AIS整体的可信性。
由上式可以看出当j是i的惟一连接节点时,cij取最大值1,当j不通过其他节点与j间接相连时,cij取最小值P2ij。
(3)节点约束Ci:
求得的节点约束可以作为衡量TAN内部可信性影响关系传播范围与能力的标度。
4. 可信性系数。云会计下AIS可信性评估着重关注在AIS关键模块失效时引起整个系统瘫痪的可能性,即TAN在关键节点失效后网络的完整程度。AIS可信性评估可以转化为对AIS的TAN研究,即在网络部分节点失效后,该网络的连通程度。因此,定义云会计环境下AIS可信性系数V来衡量可信性水平,其定义为:
即某个或某些节点失效后TAN的最大弱连通图所包含的节点个数和原TAN节点个数的比值,该度量指标描述了当TAN在某个或某些节点失效后其连通程度,用某个或某些组件失效对AIS正常运行实现原预期功能的影响来衡量可信性。在网络中没有节点失效的情况下,可信性系数为1,而出现若干失效节点的网络其可信性系数的取值范围为[0,1) ,可信性系数越大代表AIS的可信性水平越高。当网络中出现失效节点时,可信性系数大的AIS的TAN中最大联通子图中节点个数相对于未失效的情况并未出现大比例损失,整个网络的连通性变化不大,即这个网络所代表的大部分AIS组件仍能够正常运行,并能实现原AIS绝大部分预期功能,该AIS的可信性水平较高。
5. 节点失效策略。本文在模拟失效的情境中采用的节点失效策略,是按照节点介数由高到低依次失效,逐步观察每次节点失效后对AIS可信性系数的影响。之所以根据节点介数制定失效策略而不是依据节点度数失效,是因为介数高的节点在TAN中的集中度高,相对于代表着可信性影响关系复杂的业务模块度高的节点,无论是从用户关注的程度来看,还是从对TAN的影响来看都更具有代表性和说服力。在案例分析中采用此种节点失效策略实现了节点失效情境模拟: 对每个待评估的AIS中的节点的介数进行排序,依次去除TAN的最大联通子图中介数最高的节点及与其直接相连的边,得到存在部分失效模块的AIS,逐步记录可信性系数及其变化趋势,对比采用节点度的高低制定失效策略,引入结构洞理论分析二者的优劣,进而可以得到可信性评估结论。
( 三) 可信性评估流程
基于可信性影响关系网络的云会计下AIS可信性评估,先基于AIS提取出模块的可信性影响关系,在Pajek中构建TAN,结合复杂网络原理分析TAN并制定相应的节点失效策略,模拟节点失效,综合分析后得出可信性评估结论,可以通过以下五个步骤实现( 以金蝶K/3 为例) :
步骤一: 根据购买的会计云服务获取模块的可信性影响关系。
以金蝶K/3 总账系统为核心提取出22 个相关模块,作为企业购买的会计云服务。依据业务流程勾稽关系和服务中数据接口反映出的云会计服务之间调用关系,得出云会计下AIS功能模块的可信性影响关系,如图1 所示。
步骤二: 将可信性影响关系导入复杂网络计算工具Pajek中。
将22 项会计云服务作为TAN的节点,将各项会计云服务之间的可信性影响关系作为TAN的有向边,构建出云会计下AIS的TAN,将节点和边的信息导入复杂网络计算工具Pajek中,得到的TAN如图2 所示。
步骤三: 分析TAN,制定节点失效策略。
TAN的识别和构建是对云会计下AIS进行可信性评估的基础,而各个节点介数是识别TAN中节点及其可信性影响关系重要程度的主要依据。在Pajek中计算出TAN中各节点的入度、出度以及入度出度和,即节点的度,以及介数、结构洞等指标,以备对比分析,如表1 所示。从表1 可以发现在22 个节点中,总账、销售管理、固定资产、内控管理、存货核算、项目管理等节点的介数和度数均较高,在网络中起到决定性的支配作用。
步骤四: 模拟节点失效。
通过移除一部分介数高的节点以及与这些节点直接相连的边( 包括入边和出边) 模拟AIS功能模块失效,记录每次节点失效对TAN的影响,并相应计算可信性系数V。图3 例举了部分节点失效前和失效后的网络。
步骤五: 得出可信性评估结论。
分析关键节点失效后对AIS可信性的影响,如果没有超出可接受的阈值就可选择该云会计服务购买方案。在存在多种备选方案时,针对每套方案进行以上四步可信性评估,并采用一致的节点失效策略,得到各自可信性系数,对比选出最优方案。
二、案例分析
本文以下以A公司欲购买的云会计供应商XYZ提供的云会计产品为例,说明基于可信性影响关系网络的AIS可信性评估方法的应用。A公司为小型制造型企业,主营业务为制造型机械的金属外壳设计与生产,业务流程复杂度不高,与财务相关的业务流程涵盖设备管理、生产管理、财务管理、采购及销售管理等,业务量与年销售额均处于较低水平。现为节约财务信息处理与信息化维护成本,提高财务核算与业务处理的规范性,拟从XYZ云会计供应商处购买若干云会计服务组成的云会计产品,A公司对其云会计产品的可信性水平了解程度不高,现需可靠的第三方评估机构对其购买的云会计产品进行可信性评估,以确定是否购买。
根据A公司的财务业务需求,欲从XYZ云会计供应商处购买的云会计服务有设备管理、在建工程、固定资产、工资、网上报销、销售管理、应收款管理、采购管理、应付款管理、库存、总账、报表、生产管理、预算管理、现金管理、存货核算、成本管理、项目管理、目标管理、费用管理、内控管理、内控分析共22 项云会计服务,由这些服务集成的AIS可信性水平如何是A公司决策是否购买XYZ公司云会计产品的关键因素。
假设本案例中建立的TAN与前文述及的功能模块可信性影响关系( 图1) 和TAN ( 图2) 一致。由于该云会计产品TAN的节点数目较少,网络复杂度不高,因而将节点的失效策略定义为按节点依次按介数的高低失效,每次出现节点失效时,记录并分析其对TAN的影响并求出相应的可信性系数,用以观测关键节点失效给云会计下AIS可信性带来的影响,从而反映出该云会计产品的可信性水平。
在无节点失效的情况下,“总账”节点的介数最高,对网络作用明显,将该节点及与其相连的有向边移除后,求出新TAN的最大弱连通子图,以模拟 “总账”节点失效后的系统状况,如图4 所示。当 “总账”节点失效后,TAN中 “销售管理”节点介数最高,将其以及与其相连的边在网络中移除,观察对网络的影响。再移除介数最高的“存货核算” 节点及其相连边,观察对网络的影响。移除三个介数最高的节点后云会计可信性影响关系网络最大弱连通子图,如图5 所示。记录每次移除节点后对TAN中各个节点介数的影响,并求得相应的可信性系数,如表2 所示。
关键节点失效对云会计环境下AIS可信性具有制约性和级联性的影响,按照定义的节点失效策略,节点的失效顺序为 “总账”、 “销售管理”、“存货核算”。然而,由于在调用结构网络中介数较高的节点失效对网络连通性的影响较大,在模拟第三批节点失效时,当 “存货核算” 失效,调用结构网络中一并删去与 “存货核算”直接相连的边。此时 “工资”成为孤立节点,TAN的最大联通子图一次性减少2 个节点,出现了关键节点失效对整个网络连通性的级联影响,从而影响可信性系数的数值。由此可见以TAN中移除节点及其相连边的方法反映出可信性影响关系的复杂性和动态性,有效模拟云会计环境下AIS业务模块失效时对可信性的影响。
由于结构洞可以反映TAN中节点可信性影响关系传播的范围与能力,现使用节点度为标度的节点失效策略( 简称度方案) 与上文采用的以介数为标度的节点失效策略( 简称介数方案) 三批失效后的结构洞节点约束进行对比,检验介数方案在失效策略上的有效性。度方案与介数方案在前三批失效中失效节点数相同,也就是对可信性系数的影响相同,然而具体失效的节点不完全一致: “总账”节点第一批失效, “销售管理”节点第二批失效,“内控管理”、“内控分析”节点第三批失效。可以看出两个方案下前两批失效节点相同,在对比结构洞节点约束时不再考虑这两个节点,结构洞节点约束对比结果如表3 所示。
通过对比介数方案与度方案结构洞节点约束的均值和方差,发现介数方案无论是均值还是方差均低于度方案,即相对于度方案,介数方案网络中剩余节点具有整体上更低水平的节点约束,说明在可信性系数相同的情况下,以介数为标度的节点失效策略能够移除TAN中更加重要的节点,这些节点移除后,TAN的结构更加松散、节点之间的可信性相互影响程度更低,由此说明了以介数为标度的节点失效策略的有效性和高效性。
三、结论
肢体语言可信吗 篇10
我们是如此执着于肢体语言,尤其对他人的肢体语言感兴趣,甚至全然不顾其背后存在着巨大的文化差异和个体差异这一事实。一个微笑、一个眼神、一个随意的动作,真的有那么深刻的意义吗?
从迷恋到迷信
社会科学家将肢体行为视为一种方式,沟通信息,形成互动。我们会根据肢体语言中的信息来做出很多推论和决定,比如该雇佣哪个应聘者,是否邀请心仪的人出去约会等等。
对肢体语言的分析在生活中比比皆是,从狗仔队偷拍明星隐私到大国首脑问的明争暗斗,从邻居们的家长里短到亲密爱人的行为举止毕竟猜测他人的内心是件有意思的事,我们在有意无意中乐此不疲。我们很容易就觉得自己能够解读别人发送的“加了密”的信息。然而,任何有点怀疑精神或者逻辑头脑的人都该明白,所谓观察一个人的肢体就能看穿池的心思和情绪,这样的假说是有问题的。
这方面的迷信层出不穷,最经常被提及的一种说法是:我们的交流中有93%是非语言的,只有7%依赖于说出口的内容。这个数据来自上世纪60年代未美国加利福尼亚大学洛杉矶分校社会心理学家梅拉宾的一项研究。梅拉宾发现,当人的语气和表情传达的情绪信号跟语言传达的信息不同(比如面带微笑,用积极的口吻说出“残酷”二字)时,人们往往会更相信非语言表达。通过这些实验,梅拉宾计算出,大约只有7%的情绪信号来自于我们使用的言词,38%来自于语调,另有55%来自于非语言表达。
但就连梅拉宾本人都希望大家别再把这些数字挂在嘴边了。在过去40多年的大部分时间里,他一直在向人澄清,这个结论并不是金科玉律,它只在特定情况下才适用。毕竟,如果我们不听人说话就明白他们93%的意思,就没有必要学习外语,也不会有人说得成谎了。
眼神泄露谎言?
显然,人都是会说谎的,有些人尤其擅长此道。这也正是许多人对肢体语言感兴趣的原因一一我们希望借助它来识别谎言。据说撒谎的人会被一些下意识的“小动作”所出卖一一比如眼神飘忽、坐立不安、握自己的手、摸鼻子等。这些“小窍门”有多少是真的呢?通過解读人的肢体语言,真能像前几年流行的那部美剧里那样,准确判断一个人有没有撒谎吗?
一份针对100多项研究所做的整合分析发现,说谎的人身上只有少数几种身体迹象明显超常,那就是瞳孔放大和某些由于紧张所导致的多余动作(也就是所谓的“手脚没处放”)。这项分析还发现,识破谎言的最好办法不是观察其肢体语言,而是分析他所说的话一一说谎的人一般音调较高,叙事时较少提到细节,语气更消极,还喜欢重复自己的话。
所以说,不要一看到别人的某些动作就指摘对方说谎。我们对许多肢体语言的成见不但错误,还会使人完全陷入歧途。即便了解了上面提到的识破谎言的方法,也不代表人人都是测谎专家。
研究者最后得出了这样的结论:直觉,可能比现有的任何科学手段更有效。事实上,美国心理学家保罗·埃克曼指出,大多数人辨别谎言来并不比随机猜测准多少,法官、警察的成功率,也只是比普通人略高一点而已。由外及内的改变
我们可以确定,一个人的肢体语言会影响他人对他的想法和感受,那么会不会也影响他自己呢?
在动物世界里,权力和支配与扩张领土有关,表现为张牙舞爪,向外伸展,让自己尽可能地占据更大空间。人类其实也是如此。在长期掌权或是在某个时刻感到自己非常有力,人们也会舒展自己的肢体。即使从未见过其他人类似举止的盲人运动员,在获胜时也会大张双臂、抬头挺胸。与之相反,无助、害怕的时候人常常会蜷缩起来,形成保护性的姿态,让自己变得更小。
哈佛商学院的卡迪教授曾经进行过一项对比研究。将一些志愿者带进实验室,留下每个人的唾液样本,然后把他们分成两组,一组人保持舒展、昂扬、有力的姿势,另一组则摆出蜷缩、抱肘、低头等无力的姿势,两分钟后再次对其唾液进行取样,并给他们一次输赢对半的赌博机会,来测试他们的冒险精神。
研究者分析的对象是唾液中的睾酮和可的松。前者令人好动、好竞争、敢冒险,有提神和提高体能的作用,后者则是人处于压力下时产生的应急荷尔蒙。实验结果发现,“有力组”被试者的睾酮较之前平均提高了20%,可的松下降25%;而“无力组”的睾酮则下降10%,可的松上升15%。面对同样的赌局,“有力组”比“无力组”更敢于冒险。
谁的忠诚更可信 篇11
贾迪却不赞成, 他认为应该向木材商夫·本内特求助。波德默家族的人是跟着本内特起家的, 虽然现在很少联系, 但全家人对他的感激之情从未减少。最后贾迪决定, 让两个儿子第二天去找本内特求助。
第二天一早, 两个儿子就出发了。走到半路, 小儿子说:“我不能去本内特那儿, 要去就你去吧, 我去求奥尼尔。”最后他们决定, 大儿子埃森去木材商本内特那儿, 小儿子则去找银行家奥尼尔。
从此, 他们便再无对方的消息了。
1948年7月, 埃森辗转回到德国, 他从纳粹档案中查到这么一条记录:银行家金·奥尼尔来电, 家中闯入一年轻男子, 疑是犹太人。一年后, 埃森又从奥斯维辛集中营的死亡档案中查到他父亲、母亲、妻子、弟媳以及弟弟6个孩子的名字, 他们是在埃森和弟弟分手后第四天被捕的。