磁盘加密模式分析

基于国内外磁盘加密产品的研究成果,通过跟踪IEEE存储安全工作组(SISWG)制定的块存储设备加密标准P1619,分析磁盘加密的特定需求,指出其在国内研究的欠缺。选取目前主流的加密模式进行安全性分析,根据其在应用中的优缺点,给出相应建议,并总结磁盘加密算法研究的发展方向。     

奇妙！虚拟、加密双剑合璧

Dekart Private Disk是一个强大，实时，易用的虚拟磁盘加密软件，可以在计算机上产生一个或几个虚拟磁盘，每个虚拟磁盘中可以存储一定的文件夹和文件，这些文件夹和文件在存储时会被自动实时加密。与一般的文件加密软件加密原理不同，Dekart Private Disk使用了美国政府标准加密算法AES和SHA-1算法技术，只有拥有正确的密码才能正常读取，凄取时自动实时解密。     

更奇妙的加密：虚拟硬盘加密

Dekart Private Disk是一个强大、实时、易用的虚拟磁盘加密软件。可以在计算机上产生一个或几个虚拟磁盘．每个虚拟磁盘中可以存储一定的文件夹和文件。这些文件夹和文件在存储时会被自动实时加密。与一般的文件加密软件加密原理完全不同．Dekart Private Disk使用了美国政府标准加密算法．AES和SHA-1算法技术。只有拥有正确的密码才能正常读取。读取时自动实时解密。     

基于BitLocker数据保护的研究与设计

针对数据存储的安全性,讨论了一种BitLocker磁盘加密功能,研究了加密原理、加密方法和密钥系统,在研究分析系统引导磁盘加密和数据磁盘加密的基础上,通过实验给出了应用BitLocker加密系统磁盘和逻辑磁盘的具体方法,更加可靠的保护个人数据安全。     

基于选择的存储区域网消息加密策略

存储区域网系统中存在大量的消息通信,使用传统对全部消息加密的策略会带来较大的开销,严重影响系统性能.提出了基于选择的消息加密策略,在分析存储区域网中消息构成的基础上,提出了消息分类算法和选择性加密算法,使用不同加密算法加密消息中的不同部分,降低安全系统的开销;提出了可变周期的密钥更新策略,动态优化安全系统的性能.并在开源存储区域网系统Lustre上实现了原型系统,测试了系统的读写性能,通过与对所有消息加密原型系统的比较,验证了基于选择的消息加密策略具有明显的效率优势,给存储区域网系统带来的性能下降在10%～20%之间,与对所有消息加密所带来的20%～30%的性能下降相比,基于选择的消息加密策略在保证消息安全性的同时,具有明显的效率优势.     

煤矿安全监控系统数据加密技术

针对《煤矿安全监控系统升级改造技术方案(征求意见稿)》对安全监控系统数据加密存储的要求,研究了数据库加密技术,测试并对比了DES、RSA、同态、二进制序列化4种加密算法的性能,提出了一种适用于煤矿安全监控系统、针对不同字段类型采用不同加密算法的数据加密方案,实现了对安全监控系统数据的安全、快速加密存储。     

基于全同态加密算法的高校数据安全存储方法

目前，高校数据安全存储结构多为单一模式，存储效率较低，导致数据安全存储写入速率下降，为此提出对基于全同态加密算法的高校数据安全存储方法的设计与验证分析。采用多层级的方式，设计多层级数据存储加密结构，从而构建全同态加密测算数据存储模型，采用HBase并发索引加密实现数据安全存储。最终测试结果表明：设计的全同态加密测算数据安全存储测试组最终得出的数据安全存储写入速率可以达到6.5MB/s以上，说明此种数据存储方法的针对性和稳定性较强，存储速度更快。     

应用于数据库安全保护的加解密引擎系统

针对系统业务数据安全存储问题,采用加解密引擎服务对应用端发送数据进行加密,根据用户ID来识别不同用户的传输命令,利用用户私有的KEY进行加密存储。该方案在云计算平台下具有保护用户数据存储安全、隔离数据的功能。当应用端用户查询已加密数据时,加解密引擎服务端根据用户ID读取缓存区用户密钥,解密数据返回给应用端明文数据。当加解密系统和第三方应用进行集成时,加解密引擎将载人用户定义的加密算法、加密矢量等信息,按照用户自身的密钥加密敏感数据,可保证用户敏感数据存储安全并隔离不同用户的业务数据。以某市人口库系统集成为例,验证了方案的可行性。     

通用高效的数据库存储加密研究

文章提出了一种不同于目前所有数据库存储加密方式的通用高效的存储加密模式.这种加密模式适用于绝大多数的关系型数据库系统.作者以一种开源数据库管理系统为例描述了存储加解密的实现,并对性能进行了分析.     

基于逻辑口令锁的整盘加密新方案

随着可调加密模式的引入,整盘加密相对于文件级加密提供了更优化的抗攻击能力,既能保持加密数据的机密性,还能实现对磁盘结构元数据的隐蔽。然而,现有的磁盘加密方式在拓宽机密数据覆盖的同时也加深了对磁盘主密钥的依赖。被单个密钥所加密的数据量提高后,就引出了密钥管理的难题:怎样使密钥的获取便利与如何减小计算和存储负荷。为解决这类问题,提出一个基于逻辑口令锁的整盘加密方案,并对其进行安全性和性能分析。分析发现,该方案具有比现有磁盘加密方式更高的安全性与效率。     

Secure storage—Confidentiality and authentication

Secure disk storage is a rich and complex topic and its study is challenging in theory as well as in practice. In case of loss or theft of mobile devices (such as laptops and smartphones), the threat of data exposure is important and a natural security objective is to guarantee the confidentiality of the data-at-rest stored in such devices (e.g. on disks or solid-state drives). Classical approaches to encrypt data may have a severe impact on performance if the underlying architectural specificities are not considered. In particular, it is usually assumed that an encryption scheme suitable for the application of disk encryption must be length preserving. This so-called “full disk encryption” method provides confidentiality but does not provide cryptographic data integrity protection. It indeed rules out the use of authenticated encryption where an authentication tag is concatenated to the ciphertext. Moreover, authenticated encryption requires storing tags, and latency is added due to extra read/write accesses and tag computations. We present a comprehensive study of full disk encryption solutions and compare their features from a security perspective. We additionally present threat models for authenticated disk encryption and present a systematized analysis of the techniques usable in these settings (which has, up to now, received little attention from the research community). We finally review the current state-of-the-art of incremental cryptography and provide new insights for its use in secure disk storage contexts.     

基于口令锁生成动态组密钥的整盘加密方案

针对整盘加密模式在实际应用中系统较难维护和密钥管理困难的问题,采用基于口令锁的双层密钥获取结构,应用动态组密钥和安全参数的秘密拆分与门限接入等技术,提出一个基于逻辑口令锁生成组密钥的整盘加密方案。该方案可以实现多用户独立接入,且无需保存磁盘密钥。理论分析和实验结果证明其具有较高的安全性,性能优于同类方案。     

自安全磁盘的研究与设计

提出一个自安全磁盘原型,结合自安全存储技术和密码保护技术对磁盘进行有效的保护。自安全存储技术主要用到安全边界、访问控制,密码保护技术主要涉及加/解密等。由于自安全磁盘原型在普通磁盘的体系结构上进行了扩充,因此更具有智能安全性的特点。     

基于TCM的全盘加密系统的研究与实现

基于可信计算技术中的可信根、信任链和可信存储的概念,设计并实现了一种基于TCM (trusted cryptography module)的全盘加密系统(full disk encryption system,FDES).FDES系统具有加密和认证功能,利用device-mapper(DM)提供的从逻辑设备到物理设备的映射框架机制,嵌入在Linux内核中,利用TCM芯片提供的加密、认证和存储等功能,实现对全部硬盘的透明加解密功能,从而确保了安全机制的不可旁路性和可靠性.     

基于QEMU的Xen文件系统加解密设计

针对Xen虚拟机磁盘镜像文件以明文方式存储的问题,提出了一种Xen镜像文件实时加解密方案。采用了透明加解密方法,在Xen的模拟处理器QEMU(Quick EMUlator)中加入了加解密模块,对虚拟机磁盘镜像进行了实时加解密,解决了Xen虚拟机用户的磁盘数据安全威胁问题。通过对比测试未加密和加密的虚拟机,验证了该方法的有效性和性能可靠性。     

基于加密中间件的iSCSI远程镜像方法的研究与实现

现有的iSCSI安全机制对于基于IP网络的远程镜像不能提供足够的安全保护,为此提出了基于加密中间件的iSCSI远程镜像方法.通过加密中间件内嵌的加密机制,解决了现有算法基于应用主机进行加密运算导致的客户端和服务器端CPU资源占用率过高的问题.该方法能够在保证数据传输和存储安全性的同时,提高了系统的性能.实验表明,采用基...     

基于区块链的多关键字属性基可搜索加密方案

云存储服务的出现可将文件上传至云服务器, 节约了本地的信息存储空间以及管理开销。文件以明文的形式存储显然无法满足隐私保护和安全需求, 但若将加密后的文件上传至云服务器, 将失去搜索原文件的能力。因此, 可搜索加密技术的出现解决了用户如何在文件不解密的情况下搜索加密数据。目前现有的单关键字可搜索加密方案会产生许多与检索内容不符合的信息,没有考虑数据用户细粒度搜索权限和搜索效率, 以及因云存储的集中化带来的数据安全和隐私保护等问题。针对以上问题, 该文提出了基于区块链的多关键字属性基可搜索加密方案。该方案使用多关键字可搜索加密技术实现了加密数据的有效搜索; 利用基于属性的加密技术实现加密数据的细粒度访问控制; 结合区块链的智能合约技术, 经过多笔交易获得搜索结果。并且利用区块链的不可篡改性, 满足了方案中相关性质的公平性, 保证了在方案中三方的公平性和安全性并进行了相关分析。在随机预言机模型下, 基于困难问题假设证明了方案的关键字安全及陷门安全, 即所提方案满足在选择关键字攻击下的关键字密文不可区分性安全和陷门不可区分性安全。最后通过数值分析表明该方案在关键字密文生成阶段和关键字搜索阶段具有较高的效率。并展望了在未来的工作中考虑将其应用于电子病历数据共享等场景中, 以获得更实用的价值。     

对称可搜索加密的安全性研究进展

为节约本地存储空间以及管理开销,文件可通过云存储服务被上传到云服务器。云存储服务作为一项重要的云技术已得到了广泛的研究和应用。文件以明文的形式存储显然无法满足隐私保护和安全需求,但若以传统的加密方式将加密后的文件上传服务器又使服务器失去检索原文件的能力。可搜索加密(Searchable Encryption,SE)是近年来发展的一种支持用户在密文上进行关键字查找的密码学原语,它将用户的文件进行特殊的加密后上传到云服务器上,实现服务器可以根据关键字进行安全检索文件的功能,在方便用户使用的同时,也保护了文件的隐私安全。本文介绍了可搜索加密的基本概念,从对称可搜索加密的构建方法和加密手段出发,归纳总结了已有的对称可搜索加密的安全性结果。我们重点梳理了对称可搜索加密的适应性安全模型的发展历程,分析了推理攻击,文件注入攻击,以及新的安全模型与对抗手段,并指出目前可搜索加密安全性研究所面临的主要问题以及未来的发展方向。