论文部分内容阅读
信息资源高度的数字化和网络化,进一步加剧了数据窃取、泄密和破坏等危害事件的发生,给企业和个人也造成了越来越严重的损失。为解决数据泄漏问题,信息安全业内从不同的技术角度出发,提出了基于访问控制类、数据加密类、内容监控和过滤类、虚拟化类以及多种技术相结合的混合类数据泄漏防护解决方案,但数据安全事件仍然屡禁不止,甚至愈演愈烈。究其原因,现有的终端平台采用开放的体系架构,无法从根本上避免和杜绝一切可能的安全威胁,并且现有的安全解决方案存在缺乏良好的平台可信及安全验证机制,缺乏高性能、高可靠性的可信网络域建立机制,缺乏满足可信性、自适应性和兼容异构性的安全策略管理机制,缺乏轻量级的密钥管理中心等问题。可信计算技术为解决上述问题提供了一种新的思路。可信计算的思想是要从终端、从平台根源解决现有的安全问题,通过基于硬件级的密钥管理中心、可信认证、可信度量、可信存储和可信网络连接等技术,为安全应用终端平台和可信网络域的建立提供了技术基础。但目前为止,可信计算技术在应用支持方面仍存在诸多值得深入研究的问题,本文所探讨的基于可信平台的数据泄漏防护就是其中的一个主要研究内容。本文基于可信计算的思想和技术,对数据泄漏防护领域仍未解决的几个关键问题进行了分析,重点研究了如何解决终端平台的安全启动、终端数据的安全保护、终端平台的密钥管理以及内部可信网络域安全策略的管理等关键问题,并分别提出了相应的解决方案。本文的主要研究工作及贡献如下(1)针对终端平台开放性体系架构存在的诸多安全缺陷以及可信、平台中基于标准度量参考值的启动方案存在的不足,提出了一种基于TPM封装机制的安全启动方案。该方案通过TPM提供的封装/解封装机制,自动验证平台状态的可信性来判决组件是否能继续执行,无需为各个启动组件生成标准度量参考值,也无需验证代理去验证组件的实时度量值。性能分析及比较表明,实施本方案无需通过额外措施来保证核心度量信任根的安全,且对可信平台系统只需要很小部分的变动,更加便捷、有效和安全。同时,在实现安全启动的基础上,提出了一种无重启模式下启动组件和操作系统核心组件的实时在线更新及再度量方案。最终,实现主机的安全启动及后安全启动阶段的实时更新及度量,保证主机核心部分的持续安全。(2)针对现有密文数据保护中采用的角色访问控制机制存在的越权和绕过等安全隐患,提出了一种新的扩展角色的密文数据访问控制模型。该模型通过划分独立的密钥控制域,将传统的角色扩展为由角色、角色控制域和密钥控制域构成的具有偏序集继承关系和安全约束性质的三元组,保证信息即使被窃取或泄漏,获取信息者不能掌握密钥也无法解密密文。同时,在此模型的基础上采用主密钥及数据的特征信息产生元素级的加解密密钥的方式,提出了一种元素级的细粒度数据保护方案。性能分析表明,该模型能减少角色数量、降低访问控制的复杂度、提高权限分配的合理性,具备继承关系和非继承关系的扩展角色间均能防止权限域的泄漏,能较好的实施元素级的数据保护,且此方案能防伪造、防篡改。(3)针对密文数据保护中TPM的分级密钥授权数据管理的复杂性缺陷,提出了采用派生方式的新的授权数据管理方案。在该方案中对TPM密钥树进行虚拟的等级划分,对同一密钥链上从上层到下层的密钥设定由低级到高级的密钥等级制,通过特殊的密钥授权值生成算法,实现在同一条密钥链上,拥有高等级密钥的授权值的用户可以通过授权值派生出低等级密钥的授权值,而只拥有低等级密钥授权值的用户不能反推出高等级密钥的授权值,即使多个拥有低等级密钥授权值的用户合谋也无法计算出高等级密钥的授权值。性能分析表明,每个授权用户只需要维护一个授权值,而且产生和派生授权数据仅需要进行模幂和Hash运算。(4)针对异构环境下同一虚拟组织内多异构策略共存引发的策略兼容、可信验证、安全分发及自适应管理等问题,提出了一个既能兼容策略间的异构性,又能满足策略可信分发和策略自适应性更新的策略管理模型。该模型通过TNC建立可信网络域,并对申请访问请求的域外主机进行身份验证;将可信计算技术融入到策略管理的整个生命周期中,通过策略映射机制实现异构策略的兼容性处理,通过改进TCP握手协议和COPS传输协议及ESP封装实现策略的可信分发,通过修改策略参数以及对象重载实现策略的自适应。通过原型系统测试表明,本模型集中了现有模型的优点,更加完善,并具备安全策略的可信处理,有利于可信域内安全管理的实施。综上所述,本文紧密围绕终端平台的安全启动、终端数据的安全保护、终端平台的密钥管理以及内部可信网络域安全策略的管理等关键问题展开研究,分别提出了相应的解决方案,为从根源上解决数据泄漏问题提供了一些新的途径。