【摘要】：隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和日益融合,信息安全問題變得尤為突出。信息在存儲、處理和交換過程中,都存在泄密、竊取和破壞等危害事件的發(fā)生,為個人用戶和企業(yè)造成了嚴重的損失。為了解決數(shù)據(jù)泄漏問題,研究人員從不同技術(shù)角度出發(fā),提出了基于數(shù)據(jù)加密、訪問控制、內(nèi)容監(jiān)控、虛擬化技術(shù)以及多種技術(shù)相結(jié)合的數(shù)據(jù)泄漏防護解決方案。但是,數(shù)據(jù)泄漏事件仍然不斷發(fā)生。究其原因,現(xiàn)有平臺是一個開放的體系結(jié)構(gòu),從根本上無法避免安全威脅,而且傳統(tǒng)的安全防范手段不能充分保護數(shù)據(jù)的安全,并且缺乏良好的可信環(huán)境和安全的驗證機制�？尚庞嬎銥槠脚_提供了安全增強的硬件基礎(chǔ),并在這樣的平臺上通過軟硬件結(jié)合的方式構(gòu)建可信環(huán)境�？尚庞嬎悱h(huán)境確保在其上進行的計算具有真實性、機密性和可控性等特點,利用其提供的這些特性可以彌補僅依靠軟件防范方式帶來的不足,為數(shù)據(jù)泄漏防護技術(shù)提供了一個新的思路。并與虛擬化技術(shù)相結(jié)合,充分利用虛擬化優(yōu)秀的封裝性、隔離性、硬件無關(guān)性和特權(quán)功能,極大的提高了數(shù)據(jù)的安全性。本論文基于可信計算和虛擬化的思想和技術(shù),首先對現(xiàn)有的虛擬可信計算平臺系統(tǒng)結(jié)構(gòu)進行了改進以及提出在此平臺上信任鏈度量的方案,并通過分析操作系統(tǒng)的啟動流程、完整性度量因素和啟動流程需要度量的內(nèi)容,利用Trusted GRUB實現(xiàn)了此方案信任鏈的構(gòu)建過程。然后,在此平臺上利用可信平臺模塊的特點,將數(shù)據(jù)密封技術(shù)與傳統(tǒng)的加密方法結(jié)合,提出一個本地存儲的數(shù)據(jù)泄漏防護模型以及對其中的密封算法進行了改進。同時在網(wǎng)絡(luò)存儲中,利用以上提出的數(shù)據(jù)保護思想,構(gòu)造了客戶端數(shù)據(jù)保護模型和服務(wù)器端數(shù)據(jù)保護模型,保證了網(wǎng)絡(luò)存儲中數(shù)據(jù)的安全。主要研究成果及創(chuàng)新點如下:(1)改進了虛擬可信平臺系統(tǒng)結(jié)構(gòu)針對可信計算與虛擬化技術(shù)相結(jié)合對數(shù)據(jù)泄漏防護帶來的的優(yōu)勢,以及對平臺進行完整性驗證存在的缺點,對現(xiàn)有的虛擬可信平臺系統(tǒng)結(jié)構(gòu)進行了改進,為平臺中的敏感數(shù)據(jù)建立了可信的存儲環(huán)境。在這個平臺系統(tǒng)結(jié)構(gòu)中提出一個建立信任鏈的完整解決方案---TVP,對物理機的引導(dǎo)程序、VMM的引導(dǎo)程序,虛擬機特權(quán)域的引導(dǎo)程序和非特權(quán)域的引導(dǎo)程序進行度量。為了確保信任鏈的安全傳遞,設(shè)計了可信程序記錄管理算法—TPRTM,在算法中利用TPM中的非易失性存儲器存儲程序的基準度量值,并利用TPM的密封和解密封的功能保護信任鏈中的度量值。(2)提出虛擬可信平臺信任鏈度量算法針對目前虛擬可信平臺信任鏈的不完整,提出虛擬可信平臺信任鏈的構(gòu)建及度量算法。在前面構(gòu)建的虛擬可信平臺基礎(chǔ)上,根據(jù)系統(tǒng)完整性度量因素和系統(tǒng)在啟動過程中需要度量的關(guān)鍵內(nèi)容建立了完整的信任鏈,并設(shè)計了基準度量值計算算法,實現(xiàn)了對平臺的完整性驗證。利用Trusted GRUB擴展了原始的GRUB引導(dǎo)程序,完成了從硬件平臺啟動到虛擬客戶端啟動的信任鏈構(gòu)建過程。并在啟動過程中度量指定的關(guān)鍵文件并將完整性度量結(jié)果擴展到相應(yīng)的PCR中,實現(xiàn)對平臺的完整性驗證。通過實驗表明,如果平臺信任鏈遭到篡改或者破壞,系統(tǒng)在啟動時會發(fā)出警告,保證了平臺的可信。(3)提出本地存儲數(shù)據(jù)泄漏防護模型及密封算法針對目前數(shù)據(jù)泄漏防護技術(shù)在本地存儲中存在的問題,提出本地存儲數(shù)據(jù)泄漏防護數(shù)據(jù)保護模型。主要研究面向內(nèi)部威脅的本地存儲數(shù)據(jù)泄漏防護方案,方案中將可信計算中的數(shù)據(jù)密封技術(shù)與傳統(tǒng)的加密方法結(jié)合,構(gòu)建一個本地存儲的數(shù)據(jù)保護模型,模型中被加密數(shù)據(jù)與平臺狀態(tài)綁定,可以防止密鑰遭受惡意病毒或者木馬的破壞或盜取,還可以防止內(nèi)部用戶惡意泄漏系統(tǒng)中的重要數(shù)據(jù)而帶來的損失。并改進了模型中使用的數(shù)據(jù)密封方法,解決了由于平臺更新而導(dǎo)致對數(shù)據(jù)的解封和重新密封的問題。通過實驗分析表明,本方案比較傳統(tǒng)數(shù)據(jù)泄漏防護方法,本地存儲數(shù)據(jù)的安全性得到了增強,降低了由于內(nèi)部威脅而導(dǎo)致數(shù)據(jù)泄漏的風險。在密封數(shù)據(jù)過程中,改進后的算法雖然在首次密封時時間增長,但是二次密封時間優(yōu)于其它密封算法。(4)提出網(wǎng)絡(luò)存儲數(shù)據(jù)泄漏防護模型針對網(wǎng)絡(luò)存儲中數(shù)據(jù)安全的問題,提出網(wǎng)絡(luò)存儲數(shù)據(jù)泄漏防護模型。方案將可信計算、虛擬化技術(shù)和加密技術(shù)結(jié)合在一起,根據(jù)數(shù)據(jù)加密的位置不同分為客戶端數(shù)據(jù)保護模型和服務(wù)器端數(shù)據(jù)保護模型,在確保加密密鑰安全的同時,保證了網(wǎng)絡(luò)存儲數(shù)據(jù)的安全。通過安全性分析,本方案不僅提高了網(wǎng)絡(luò)存儲中數(shù)據(jù)的安全性,而且達到了惰性重加密的效果。綜上所述,通過對虛擬可信計算平臺信任鏈研究,從而構(gòu)建虛擬可信執(zhí)行環(huán)境,在此環(huán)境中研究數(shù)據(jù)泄漏防護技術(shù)可以達到良好的效果,確保平臺中數(shù)據(jù)及密鑰的安全可靠。
[Abstract]:......
【學(xué)位授予單位】：太原理工大學(xué)
【學(xué)位級別】：博士
【學(xué)位授予年份】：2016
【分類號】：TP309

【相似文獻】

相關(guān)期刊論文 前10條

1 沈晴霓;;虛擬可信平臺技術(shù)現(xiàn)狀與發(fā)展趨勢[J];信息網(wǎng)絡(luò)安全;2010年04期

2 王海峰;程廣河;郝惠娟;王尚斌;;云計算模式下可信平臺設(shè)計[J];山東科學(xué);2010年04期

3 平震宇;;網(wǎng)絡(luò)可信平臺的設(shè)計與實現(xiàn)[J];成都大學(xué)學(xué)報(自然科學(xué)版);2010年02期

4 郭靈兒;蔣志翔;;可信硬件平臺的設(shè)計與實現(xiàn)[J];計算機工程與設(shè)計;2011年02期

5 楊健;汪海航;Fui Fui Wong;于皓;;一個面向智能電話的移動可信平臺設(shè)計[J];計算機科學(xué);2012年08期

6 張興;沈昌祥;;一種新的可信平臺控制模塊設(shè)計方案[J];武漢大學(xué)學(xué)報(信息科學(xué)版);2008年10期

7 陳南洋;;嵌入式可信平臺構(gòu)建技術(shù)研究[J];信息安全與通信保密;2010年11期

8 李秉璋;景征駿;潘瑜;羅燁;柳益君;;數(shù)據(jù)可信平臺關(guān)鍵技術(shù)研究[J];計算機工程與設(shè)計;2011年03期

9 譚良;朱貴瓊;孟偉明;陳菊;;基于直接匿名證言的可信平臺身份證明協(xié)議的設(shè)計[J];四川師范大學(xué)學(xué)報(自然科學(xué)版);2012年02期

10 郭穎;毛軍捷;張辣，

本文編號：2434812