收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

基于可信平台的数据泄漏防护关键技术研究

彭维平  
【摘要】:信息资源高度的数字化和网络化,进一步加剧了数据窃取、泄密和破坏等危害事件的发生,给企业和个人也造成了越来越严重的损失。为解决数据泄漏问题,信息安全业内从不同的技术角度出发,提出了基于访问控制类、数据加密类、内容监控和过滤类、虚拟化类以及多种技术相结合的混合类数据泄漏防护解决方案,但数据安全事件仍然屡禁不止,甚至愈演愈烈。究其原因,现有的终端平台采用开放的体系架构,无法从根本上避免和杜绝一切可能的安全威胁,并且现有的安全解决方案存在缺乏良好的平台可信及安全验证机制,缺乏高性能、高可靠性的可信网络域建立机制,缺乏满足可信性、自适应性和兼容异构性的安全策略管理机制,缺乏轻量级的密钥管理中心等问题。可信计算技术为解决上述问题提供了一种新的思路。可信计算的思想是要从终端、从平台根源解决现有的安全问题,通过基于硬件级的密钥管理中心、可信认证、可信度量、可信存储和可信网络连接等技术,为安全应用终端平台和可信网络域的建立提供了技术基础。但目前为止,可信计算技术在应用支持方面仍存在诸多值得深入研究的问题,本文所探讨的基于可信平台的数据泄漏防护就是其中的一个主要研究内容。 本文基于可信计算的思想和技术,对数据泄漏防护领域仍未解决的几个关键问题进行了分析,重点研究了如何解决终端平台的安全启动、终端数据的安全保护、终端平台的密钥管理以及内部可信网络域安全策略的管理等关键问题,并分别提出了相应的解决方案。本文的主要研究工作及贡献如下 (1)针对终端平台开放性体系架构存在的诸多安全缺陷以及可信、平台中基于标准度量参考值的启动方案存在的不足,提出了一种基于TPM封装机制的安全启动方案。该方案通过TPM提供的封装/解封装机制,自动验证平台状态的可信性来判决组件是否能继续执行,无需为各个启动组件生成标准度量参考值,也无需验证代理去验证组件的实时度量值。性能分析及比较表明,实施本方案无需通过额外措施来保证核心度量信任根的安全,且对可信平台系统只需要很小部分的变动,更加便捷、有效和安全。同时,在实现安全启动的基础上,提出了一种无重启模式下启动组件和操作系统核心组件的实时在线更新及再度量方案。最终,实现主机的安全启动及后安全启动阶段的实时更新及度量,保证主机核心部分的持续安全。 (2)针对现有密文数据保护中采用的角色访问控制机制存在的越权和绕过等安全隐患,提出了一种新的扩展角色的密文数据访问控制模型。该模型通过划分独立的密钥控制域,将传统的角色扩展为由角色、角色控制域和密钥控制域构成的具有偏序集继承关系和安全约束性质的三元组,保证信息即使被窃取或泄漏,获取信息者不能掌握密钥也无法解密密文。同时,在此模型的基础上采用主密钥及数据的特征信息产生元素级的加解密密钥的方式,提出了一种元素级的细粒度数据保护方案。性能分析表明,该模型能减少角色数量、降低访问控制的复杂度、提高权限分配的合理性,具备继承关系和非继承关系的扩展角色间均能防止权限域的泄漏,能较好的实施元素级的数据保护,且此方案能防伪造、防篡改。 (3)针对密文数据保护中TPM的分级密钥授权数据管理的复杂性缺陷,提出了采用派生方式的新的授权数据管理方案。在该方案中对TPM密钥树进行虚拟的等级划分,对同一密钥链上从上层到下层的密钥设定由低级到高级的密钥等级制,通过特殊的密钥授权值生成算法,实现在同一条密钥链上,拥有高等级密钥的授权值的用户可以通过授权值派生出低等级密钥的授权值,而只拥有低等级密钥授权值的用户不能反推出高等级密钥的授权值,即使多个拥有低等级密钥授权值的用户合谋也无法计算出高等级密钥的授权值。性能分析表明,每个授权用户只需要维护一个授权值,而且产生和派生授权数据仅需要进行模幂和Hash运算。 (4)针对异构环境下同一虚拟组织内多异构策略共存引发的策略兼容、可信验证、安全分发及自适应管理等问题,提出了一个既能兼容策略间的异构性,又能满足策略可信分发和策略自适应性更新的策略管理模型。该模型通过TNC建立可信网络域,并对申请访问请求的域外主机进行身份验证;将可信计算技术融入到策略管理的整个生命周期中,通过策略映射机制实现异构策略的兼容性处理,通过改进TCP握手协议和COPS传输协议及ESP封装实现策略的可信分发,通过修改策略参数以及对象重载实现策略的自适应。通过原型系统测试表明,本模型集中了现有模型的优点,更加完善,并具备安全策略的可信处理,有利于可信域内安全管理的实施。 综上所述,本文紧密围绕终端平台的安全启动、终端数据的安全保护、终端平台的密钥管理以及内部可信网络域安全策略的管理等关键问题展开研究,分别提出了相应的解决方案,为从根源上解决数据泄漏问题提供了一些新的途径。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 肖章平;密钥存放磁盘的加密软件的解密[J];微电脑世界;1995年01期
2 岳殿武,胡正名;关于(k,n)门限通信密钥分散管理系统[J];北京邮电大学学报;1996年03期
3 吴亚明;信息安全的核心──密码技术[J];中国金融电脑;1999年06期
4 刘盛波;潘武杰;;数字证书技术在IC卡密钥管理体系中应用[J];金融电子化;1999年06期
5 鲁林丽,周云,丁明跃;在VOD系统中实现有条件接收[J];电信快报;2000年04期
6 庄奕琪;亟待完善的DVD防拷贝技术[J];视听技术;2000年04期
7 荀殿栋;国外数字密码设备介绍[J];信息安全与通信保密;2000年01期
8 缪民;基于Internet的嵌入式系统安全策略(上)[J];电子产品世界;2002年23期
9 周师亮;广播电视有条件接收系统采用的密码算法[J];影视技术;2002年02期
10 屈劲,葛建华,蒋铭,王彩芬;付费电视系统的密钥管理[J];通信学报;2003年05期
11 王龙义,万健如;数据安全与加密算法[J];晋东南师范专科学校学报;2004年02期
12 宋磊,罗其亮,罗毅,涂光瑜;电力系统实时数据通信加密方案[J];电力系统自动化;2004年14期
13 刘渊,沈晓娟,孙亚民;拥有废止机制的签名及其应用[J];计算机应用研究;2004年10期
14 尹志军;网络安全与密钥的分配和管理[J];太原师范学院学报(自然科学版);2004年03期
15 董理文;数字签名技术在数字图书馆中的应用[J];图书馆论坛;2004年05期
16 张亚娟,祝跃飞,黄秋生;椭圆曲线密钥交换协议[J];信息工程大学学报;2004年04期
17 彭玉元;谭敏生;;SSL VPN服务器的签名/加密设计[J];网络安全技术与应用;2009年04期
18 陈东娅;;数字签名技术在电子商务中的应用研究[J];通信技术;2009年05期
19 冯敏;李敏;;浅谈密码技术与网络信息安全[J];硅谷;2009年11期
20 宋维平;;电子信息中的数字签名[J];现代情报;2009年07期
中国重要会议论文全文数据库 前10条
1 刘南;曾义芳;;TDMA中的变序加密[A];第十四届全国信号处理学术年会(CCSP-2009)论文集[C];2009年
2 官红子;董景波;童宏涛;;RSA数据加密算法对信息资源的防伪识伪控制[A];1998中国控制与决策学术年会论文集[C];1998年
3 卢志刚;刘宝旭;;基于BIOS的UKEY强认证系统的研究[A];第十三届全国核电子学与核探测技术学术年会论文集(下册)[C];2006年
4 蒋华;赵耿;郑德玲;;计算机密码学中的混沌研究[A];中国通信学会信息通信网络技术委员会2003年年会论文集[C];2003年
5 朱金修;吴纯青;王勇军;赵国鸿;;AES-CBC算法在安全路由器中硬件实现技术研究[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
6 卢文锋;张永胜;;XML加密及其实现工具研究[A];山东省计算机学会2005年信息技术与信息化研讨会论文集(二)[C];2005年
7 刘桂明;刘晓云;;DCT域基于模糊自适应共振理论分类的水印[A];2006中国控制与决策学术年会论文集[C];2006年
8 唐培丽;卓新建;辛阳;钮心忻;;非接触IC卡的应用及安全机制[A];第一届中国高校通信类院系学术研讨会论文集[C];2007年
9 王承君;;基于USB Key技术网络身份安全认证方案的设计[A];2008'中国信息技术与应用学术论坛论文集(一)[C];2008年
10 何敏;王衍波;朱勇;王荣;关宇;王晓;;基于QKD的“准一次一密”安全通信[A];全国光电子与量子电子学技术大会论文集[C];2011年
中国博士学位论文全文数据库 前10条
1 彭维平;基于可信平台的数据泄漏防护关键技术研究[D];北京邮电大学;2011年
2 余鹏飞;可信移动计算环境体系结构及关键技术研究[D];华中科技大学;2010年
3 马俊;面向内部威胁的数据泄漏防护关键技术研究[D];国防科学技术大学;2011年
4 邓子健;WiiSE网络应用安全技术研究[D];西南交通大学;2009年
5 常光辉;大规模分布式可信监控系统研究[D];重庆大学;2011年
6 张晓琴;网络计算系统的可信监测及信任模型研究[D];重庆大学;2012年
7 闫玺玺;开放网络环境下敏感数据安全与防泄密关键技术研究[D];北京邮电大学;2012年
8 吴庆波;基于虚拟机的可信操作系统关键技术及应用研究[D];国防科学技术大学;2010年
9 马林;基于可信评估的服务组合方法研究[D];中国科学技术大学;2012年
10 李新社;群签名安全性分析与改进研究[D];西安电子科技大学;2009年
中国硕士学位论文全文数据库 前10条
1 陈建勋;可信终端接入认证技术研究[D];国防科学技术大学;2010年
2 原亚东;可信电子商务体系研究[D];重庆大学;2010年
3 朱峰;可信服务器的设计与实现[D];北京交通大学;2011年
4 陈治良;基于可信密码模块的数据安全管理系统关键技术研究[D];国防科学技术大学;2010年
5 宋涛;网络环境下服务可信建模与方法的研究[D];北京科技大学;2011年
6 古懋佳;基于场景描述的终端网络连接评估可信技术研究[D];重庆大学;2011年
7 夏凌;号码回呼验证技术在电子商务可信交易中的应用研究[D];复旦大学;2010年
8 王长辉;可信应用软件管理机制研究[D];浙江工业大学;2011年
9 张启明;无线局域网可信接入模型研究[D];哈尔滨工程大学;2012年
10 袁红伟;基于可信平台模块的军用可信终端设计[D];中国科学技术大学;2010年
中国重要报纸全文数据库 前10条
1 张戈;金雅拓可信服务管理解决方案获万事达认证[N];电脑商报;2009年
2 商报记者 张绪旺;“可信”建设能够破解电商诚信瓶颈[N];北京商报;2011年
3 记者 毛晶慧;第三方网站可信服务行业首次发布规范[N];中国经济时报;2011年
4 曹华云;WPA:WLAN的安全过客[N];计算机世界;2004年
5 ;靠什么保障GT800安全无忧[N];通信产业报;2005年
6 阮津霍洪林;天津开发区为外商找回“密钥”[N];检察日报;2008年
7 立冬;硬方法解决WLAN安全[N];中国计算机报;2002年
8 郑千里;寻找爱因斯坦未解之谜的“密钥”[N];科技日报;2003年
9 山东省信息产业厅 韩旭东;WEP: 最初的保护神[N];计算机世界;2004年
10 小方;寻找丢失的密钥[N];中国计算机报;2004年
中国知网广告投放
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978