移动存储设备安全管理技术的研究与实现

随着计算机技术的发展,移动存储设备的大量普遍使用,对企业敏感数据带来严重的安全隐患.本文提出一种移动存储设备的安全管理方法,通过提取移动存储设备的特征经加密处理后生成唯一的可信认证信息,当移动设备接入内网时,需通过可信认证才能按权限使用,并给出了方案的实现过程.     

一种基于安全芯片的可信移动存储设备的双向认证机制

随着信息技术和存储技术的发展,移动存储设备的安全问题日益突出并亟待解决。针对目前移动存储设备安全措施薄弱,对身份认证的能力不足的现状,本文提出向移动存储设备引入安全芯片,由安全芯片生成密钥以及身份信息,建立可信移动存储设备与主机的双向身份认证机制,以增强移动存储设备的安全性。认证双方由安全芯片产生身份密钥和加密密钥,交换加密密钥的公钥和身份信息,建立初始的信任关系,当可信移动存储设备需要与主机交互数据前,必须以消息请求响应的方式进行双向的身份认证,消息的传输由加密密钥来保护,身份信息的验证由身份密钥来实现。本文使用形式化分析的方法,对双向身份认证机制的过程进行了分析,证明了双向认证机制符合安全性要求,增强了移动存储设备的安全性。将安全芯片引入移动存储设备和主机,在此基础上建立主机与可信移动存储设备的信任关系,在数据交互前进行双向的身份认证,对双方的身份进行验证与核实,防止了数据的非法访问,增强了移动存储设备的数据安全性。     

基于智能卡技术的移动存储安全管理研究

随着移动存储设备的广泛应用,由其引发的信息泄漏等安全问题日益受到关注。针对目前移动存储安全解决方案中利用用户名和密码进行身份认证的不足,本文提出了基于智能卡技术的安全管理方案。该方案将指纹特征作为判定移动存储设备持有者身份的依据,同时通过智能卡技术实现了移动存储设备与接入终端间的双向认证,从源头上杜绝了移动存储设备带来的安全隐患。     

移动可信接入轻量级认证与评估协议

为增强移动终端可信网络接入认证与评估协议的可用性,降低网络通信负载及终端计算负载,提出一种轻量级的身份认证与平台鉴别评估协议。协议基于接入双方在首次接入时共享的认证密钥以及对方的可信平台配置信息,在不需要可信第三方参与的情况下,完成快速的身份认证与鉴别评估。协议减少了网络数据交换次数以及接入双方的计算工作量,在保证接入认证与评估所需的安全属性的同时,还增强了平台配置信息的机密性以及抵抗重放攻击的能力。安全性和性能分析表明,所提协议适合无线网络通信环境下的移动终端可信网络接入。     

无线网络下可信移动节点接入认证方案

将基于属性且无可信第三方的平台验证协议以及基于身份的加密协议应用到无线网络环境下节点接入认证模型中,提出一个无线网络环境下的可信移动节点接入认证方案。与现有的认证方案相比,基于可信平台的移动节点接入认证方案主要有以下特点：1)在验证移动节点用户身份的同时也验证了移动节点的平台身份;2)不仅提供了移动节点和网络代理间的双向认证,还提供了移动节点间的双向认证。分析表明,改进后的方案满足接入节点身份的匿名性。     

基于TPM的移动终端接入可信网络体系结构

在介绍当前可信体系结构研究进展的基础上,提出一种基于TPM芯片的移动终端接入可信网络体系结构,给出其工作流程,并对此体系结构进行分析.分析结果表明,基于TPM的移动终端接入可信网络体系结构能够完成三元对等认证,将移动终端的可信扩展到了网络的可信,为可信移动网络的下一步研究提供了思路.     

便携式存储器安全管理平台的研究与实现

U盘、移动硬盘等移动存储设备由于携带方便,使它在实际应用中迅速得到普及,但同时给信息资源安全带来相当大的隐患。从移动存储设备认证和防止文件自动拷贝方面入手,综合考虑移动存储设备实际使用过程中的简便性和可操作性,强化对移动存储设备的安全管理,防止通过移动存储设备引起的信息泄漏。     

USB海量存储设备身份认证方法的实现

在政府和企业信息网中,对人员进行身份认证和控制USB海量存储设备接入是防止信息泄露所采取的有效安全措施。分析了USB海量存储设备的描述符,提出了USB海量存储设备身份字的概念,对USB海量存储设备采用设备身份字认证,实现了控制USB海量存储设备接入主机的方法。     

移动网络可信匿名认证协议

针对终端接入移动网络缺乏可信性验证问题,提出一种移动网络可信匿名认证协议,移动终端在接入网络时进行身份验证和平台完整性认证。在可信网络连接架构下,给出了可信漫游认证和可信切换认证的具体步骤,在认证时利用移动终端中预存的假名和对应公私钥对实现了用户匿名隐私的保护。安全性分析表明,协议满足双向认证、强用户匿名性、不可追踪性和有条件隐私保护。协议中首次漫游认证需要2轮交互,切换认证需1轮即可完成,消息交换轮数和终端计算代价优于同类可信认证协议。     

基于加密SD卡的内网移动终端可信接入方案

为了解决因不可信移动终端非法接入内网导致的信息安全问题,设计了一种基于加密SD卡的内网移动终端可信接入方案。通过可信计算技术,以加密SD卡作为可信硬件设备实现了移动终端设备的可信启动、完整性验证与内网可信接入,并对接入后移动终端与内网的数据交互过程提供了一种加密通信安全存储机制。实验结果表明,该方案在不改变移动终端基本架构的前提下,较为高效地对移动终端进行安全性认证,并在一定程度上保护内网环境的安全。     

基于DICE的证明存储方案

信息技术的不断发展和智能终端设备的普及导致全球数据存储总量持续增长,数据面临的威胁挑战也随着其重要性的凸显而日益增加,但目前部分计算设备和存储设备仍存在缺乏数据保护模块或数据保护能力较弱的问题.现有数据安全存储技术一般通过加密的方式实现对数据的保护,但是数据的加解密操作即数据保护过程通常都在应用设备上执行,导致应用设备遭受各类攻击时会对存储数据的安全造成威胁.针对以上问题,本文提出了一种基于DICE的物联网设备证明存储方案,利用基于轻量级信任根DICE构建的可信物联网设备为通用计算设备(统称为主机)提供安全存储服务,将数据的加解密操作移至可信物联网设备上执行,消除因主机遭受内存攻击等风险对存储数据造成的威胁.本文工作主要包括以下3方面:(1)利用信任根DICE构建可信物联网设备,为提供可信服务提供安全前提.(2)建立基于信任根DICE的远程证明机制和访问控制机制实现安全认证和安全通信信道的建立.(3)最终利用可信物联网设备为合法主机用户提供可信的安全存储服务,在实现数据安全存储的同时,兼顾隔离性和使用过程的灵活性.实验结果表明,本方案提供的安全存储服务具有较高的文件传输速率,并具备较高...     

基于NFS协议的存储加密代理设计与实现

文章在对NFS协议进行分析的基础上,针对于Linux用户设计并实现了基于NFS协议的存储加密代理——NFSA,以实现企业文件数据在网络存储设备上的加密存储。NFSA完成对于Linux用户数据文件的安全共享与存储,并提供多种访问控制规则相结合的访问控制机制、权限分离的安全审计机制,保证文件数据在网络存储设备上的安全。最后通过实验测试NFSA的基本功能,保证了NFSA自身功能的可用。     

基于TrustZone的可信移动终端云服务安全接入方案

可信云架构为云计算用户提供了安全可信的云服务执行环境,保护了用户私有数据的计算与存储安全. 然而在移动云计算高速发展的今天, 仍然没有移动终端接入可信云服务的安全解决方案. 针对上述问题, 提出了一种可信移动终端云服务安全接入方案, 方案充分考虑了移动云计算应用背景, 利用ARM TrustZone硬件隔离技术构建可信移动终端, 保护云服务客户端及安全敏感操作在移动终端的安全执行, 结合物理不可克隆函数技术, 给出了移动终端密钥与敏感数据管理机制. 在此基础之上, 借鉴可信计算技术思想, 设计了云服务安全接入协议, 协议兼容可信云架构, 提供云服务端与移动客户端间的端到端认证. 分析了方案具备的6种安全属性, 给出了基于方案的移动云存储应用实例, 实现了方案的原型系统. 实验结果表明, 可信移动终端TCB较小, 方案具有良好的可扩展性和安全可控性, 整体运行效率较高.     

基于文件系统数据结构互补的NTFS引导扇区智能修复系统

近年来对NTFS引导扇区的研究越来越受到数据恢复、计算机取证从业人员的重视,一个重要原因是因为NTFS引导扇区故障在数据故障中占有率居高不下,许多文献报告了NTFS引导扇区易被病毒感染的特性。然而,对NTFS引导扇区出现实质性损坏后的补救与修复研究却停滞不前。文章通过分析引导扇区相关的文件系统参数,采用借鉴、填补的方法,在其它文件系统参数中寻找有用信息,搜寻范围包括引导扇区备份、主控文件表、分区表。文章提出的修复系统不仅可以快速准确判断NTFS引导扇区故障,还能根据故障判断结果自动修复故障。相比同类系统,该系统不仅智能化程度更高,修复速度也大幅提升,为广大数据丢失者节约了宝贵精力和时间。     

一种基于虚拟隔离的数据可信存储技术研究与实现

针对数据在开放式网络环境中存储和使用过程中存在的信息泄露风险,本文提出了一种基于虚拟隔离的数据可信存储体系结构。该结构借鉴可信计算技术中的信任根源的设计思想,通过可信存储根来验证用户身份合法性和管理数据访问权限,并将数据集中加密存储在服务器中;在终端用户对数据的使用过程中,利用本地内存和磁盘虚拟隔离技术保证数据在使用过程中的安全性,防止非授权用户和进程将数据泄漏到非保护区域。对本文所设计实现的基于虚拟隔离的数据可信存储系统的测试和安全性分析表明:该结构能够很好地保障开放网络环境中数据的存储、使用、流转和销毁的全生命周期的安全。     

A model for multilevel security in computer networks

A model is presented that precisely describes the mechanism that enforces the security policy and requirements for a multilevel secure network. The mechanism attempts to ensure secure flow of information between entities assigned to different security classes in different computer systems connected to the network. The mechanism also controls the access to the network devices by the subjects (users and processes executed on behalf of the users) with different security clearances. The model integrates the notions of nondiscretionary access control and information flow control to provide a trusted network base that imposes appropriate restrictions on the flow of information among the various devices. Utilizing simple set-theoretic concepts, a procedure is given to verify the security of a network that implements the model     

基于TCM的全盘加密系统的研究与实现

基于可信计算技术中的可信根、信任链和可信存储的概念,设计并实现了一种基于TCM (trusted cryptography module)的全盘加密系统(full disk encryption system,FDES).FDES系统具有加密和认证功能,利用device-mapper(DM)提供的从逻辑设备到物理设备的映射框架机制,嵌入在Linux内核中,利用TCM芯片提供的加密、认证和存储等功能,实现对全部硬盘的透明加解密功能,从而确保了安全机制的不可旁路性和可靠性.     

关于IMC/IMV的网络设备可信认证方法研究

近年来，网络设备的安全问题日益凸显。如果网络设备不可信，网内所有计算机都可能面临被攻击的危险，所有数据也都可能面临被窃取的危险。所以网络设备是否安全地接入网络直接影响到整个网络的安全。提出了一种基于IMC/IMV的网络设备可信认证方法，在完成传统的平台身份认证的同时，进行平台可信状态验证，通过设计的完整性收集器（Integrity Measurement Collector，IMC）收集网络设备的可信状态信息，通过协议的多轮交互提交给完整性验证器（Integrity Measurement Verifier，IMV）进行验证，完成平台的完整性认证。实验表明，这种认证方式在实现网络设备的可信认证的同时，对系统性能的影响不大。     

Incremental proxy re-encryption scheme for mobile cloud computing environment

Due to the limited computational capability of mobile devices, the research organization and academia are working on computationally secure schemes that have capability for offloading the computational intensive data access operations on the cloud/trusted entity for execution. Most of the existing security schemes, such as proxy re-encryption, manager-based re-encryption, and cloud-based re-encryption, are based on El-Gamal cryptosystem for offloading the computational intensive data access operation on the cloud/trusted entity. However, the resource hungry pairing-based cryptographic operations, such as encryption and decryption, are executed using the limited computational power of mobile device. Similarly, if the data owner wants to modify the encrypted file uploaded on the cloud storage, after modification the data owner must encrypt and upload the entire file on the cloud storage without considering the altered portion(s) of the file. In this paper, we have proposed an incremental version of proxy re-encryption scheme for improving the file modification operation and compared with the original version of the proxy re-encryption scheme on the basis of turnaround time, energy consumption, CPU utilization, and memory consumption while executing the security operations on mobile device. The incremental version of proxy re-encryption scheme shows significant improvement in results while performing file modification operations using limited processing capability of mobile devices.