系统可信赖安全增强关键技术的研究与实现

论文摘要

计算机系统安全的研究是一个渐进的过程,人们不可能追求绝对的安全,而只能期望越来越可靠的安全。随着计算机系统、尤其是端系统中安全问题的日益突出,网络环境下的计算机系统正面临严重的信任危机。在现有条件下,从技术和实施两方面考虑,研究计算机系统的可信赖安全增强方法,达到系统可信可控使用的目的,具有重大的理论意义和实用价值。实现系统可信和可控目标的基本途径是寻找一种可验证的系统使用方式,即不仅实现系统的权限合理分配,而且保证系统在授权范围内被正确执行。实现系统可信,首先需要研究可信性验证的基本方法,因为只有通过一种可验证的方式让系统执行,人们才可能确切地了解计算机的行为,达到可信使用系统的目的。其次需要研究可信验证条件下权限的合理分配方法,使得系统执行各种任务时满足最小特权原则。国际TCG提出的可信计算平台技术通过在系统中增加硬件形态的信任根源,并借助信任根源实现平台中软硬件实体的相互认证,实现了系统上层应用被底层信任根源所担保;获取-授权（Take-Grant）安全模型能够辨别系统中主体获得访问客体权限的条件,为系统权限分配和检查提供了很好参考。借鉴上述两方面的研究成果,本文深入研究了计算机系统的可信性验证方法,并将其应用到获取-授权模型中,提出了可信赖获取-授权模型（Trusted Take-Grant Model）,使得基于该安全模型进行设计的系统不仅能够在权限范围内正确执行,而且能够确保系统安全机制自身的安全。根据可信赖获取-授权安全模型,本文以满足安全应用需要,降低安全增强成本,确保安全控制灵活等为目标,提出了通用计算机系统的安全增强体系结构,并对其中的一系列关键技术进行了研究,最后设计并实现了原型验证系统。本文在对这些基本理论和关键技术进行研究的过程中,取得了以下主要研究成果:1.深入研究了系统可信性验证的一般方法,提出了可信赖获取-授权模型。本文从身份、行为、内容和计算环境四个方面对系统可信性验证的基本方法进行了深入研究。并将可信性验证方法与传统Take-Grant模型相结合,通过在模型中引入可信主体,限制获取和授权操作只为可信主体使用,增加模型的可信性验证规则,进而提出了新的可信赖获取-授权模型。新提出的模型具有更精简的结构和更直观的解释,增强了系统访问控制的效果,避免了不可信主体合谋窃取权限的现象。2.提出了端系统和分布式系统的可信赖安全增强的体系结构。本文充分发挥安全核心芯片在系统安全控制中的关键作用,在借鉴现有安全操作系统体系结构研究成果的基础上,提出了端系统的可信赖安全增强的体系结构;并基于安全增强的端系统,提出了两种典型的分布式系统可信赖安全增强的体系结构。提出的安全体系结构不仅实现了可信赖的访问控制,支持灵活的安全策略,而且能够保证安全机制自身的安全。3.提出了一种算法灵活的安全核心芯片的体系结构,设计并实现了一款安全核心芯片SUP320。不同的系统在安全增强中使用的密码算法有所不同。为了支持多种密码算法,又不过多影响芯片成本和密码算法的运行效率,本文研究了通过软硬件协同加速密码算法运行的关键技术,提出了一种由RISC核和多个密码算法协处理器组成的SOC安全核心芯片体系结构。并基于该体系结构设计实现了一款符合TPM规范的安全核心芯片SUP320。4.深入研究了系统可信赖安全增强实施的系列关键技术,提出了基于USBKey的信任链建立方案和进程可信赖保护方案,以及基于生物击键特征的用户身份识别算法。在安全模型、体系结构和安全芯片研究的基础上,针对通用计算机系统的安全增强实施,深入研究了系统可信赖安全增强实施的系列关键技术。包括信任链建立技术、身份认证技术、进程可信保护技术、存储安全增强技术、网络接入认证技术和分布式系统多级认证技术等。提出了基于USBKey的信任链建立方案和进程可信赖保护方案,以及基于生物击键特征的用户身份识别算法。5.设计并实现了一个原型验证系统。在上述研究成果的基础上,设计实现了一个具有实用价值的原型验证系统EISMS（Enterprise Inner Security Management System）,并对原型系统进行了多项测试。结果表明各项关键技术的研究达到了预期目标。以上研究成果都以增强系统的可信性和可控性为目标,充分发挥安全核心芯片在整个系统安全控制中的核心作用,将权限控制和可信验证相结合,弥补了传统安全增强方法不能保证安全机制自身安全的不足。实际的测试表明,以上安全增强方法能够在降低软硬件代价,保证系统平滑升级的前提下实现更多更强的安全控制,满足了现有安全应用的需要。

论文目录

摘要

ABSTRACT

第一章绪论

1.1 研究背景

1.1.1 系统安全的概念

1.1.2 当前的安全形势

1.1.3 系统可信赖安全增强的意义

1.2 研究现状

1.2.1 系统安全评估标准

1.2.2 传统安全增强方法

1.2.3 操作系统安全增强现状

1.2.4 可信计算平台技术

1.2.5 可信网络和可信网格

1.3 研究内容

1.4 论文结构

第二章系统可信性验证方法研究

2.1 可信的定义和属性

2.1.1 可信的定义

2.1.2 可信的基本属性

2.2 可信性验证方法

2.2.1 身份可信验证方法

2.2.2 行为可信验证方法

2.2.3 内容可信验证方法

2.2.4 环境可信验证方法

2.3 可信性验证类别

2.3.1 自保验证与他保验证

2.3.2 直接验证与间接验证

2.4 可信性验证对安全增强的作用

2.4.1 增强TCB自身的可信性

2.4.2 增强访问控制的可信性

2.5 小结

第三章可信赖安全增强模型

3.1 Take-Grant模型

3.1.1 基本模型

3.1.2 扩展模型

3.2 可信赖安全增强的需求分析

3.3 Trusted Take-Grant安全模型

3.3.1 模型思想

3.3.2 模型描述

3.3.3 改写规则

3.4 相关引理与证明

3.5 模型解释

3.6 小结

第四章端系统安全增强体系结构

4.1 现有安全操作系统体系结构

4.1.1 GFAC框架

4.1.2 Flask结构

4.1.3 Linux安全模块

4.1.4 Java沙盒

4.2 端系统安全增强的需求分析

4.3 端系统安全增强体系结构

4.4 端系统安全增强体系结构的建立

4.4.1 信任根源与信任链

4.4.2 可信赖安全子系统

4.4.3 监控代理程序

4.4.4 安全服务器

4.5 小结

第五章安全核心芯片SUP320 的设计与实现

5.1 安全核心芯片的需求分析

5.1.1 功能需求

5.1.2 性能需求

5.1.3 接口需求

5.1.4 其他需求

5.2 SUP320 安全核心芯片体系结构

5.2.1 芯片软硬件设计考虑

5.2.2 SUP320 芯片体系结构

5.3 SPU320 硬件设计关键技术

5.3.1 扩展公钥密码协处理器设计

5.3.2 CryptoPro协处理器设计

5.3.3 真随机数产生器设计

5.3.4 芯片的VLSI设计与实现

5.4 软件设计关键技术

5.4.1 统一接口描述

5.4.2 片内密钥管理

5.4.3 实时会话管理

5.4.4 安全通讯协议

5.5 芯片低功耗技术

5.6 芯片安全防护技术

5.7 小结

第六章端系统可信赖安全增强关键技术

6.1 信任链建立技术

6.1.1 信任根源的建立

6.1.2 信任链的备份恢复机制

6.1.3 操作系统和关键应用的检测方法

6.2 身份可信认证技术

6.2.1 基于生物击键特性的身份认证方法

6.2.2 基于USBKey的身份认证方法

6.3 进程可信保护技术

6.3.1 进程的静态完整性保护

6.3.2 进程的动态完整性保护

6.3.3 进程与文件的关联

6.3.4 进程保护的实现与测试

6.4 存储安全增强技术

6.5 网络接入认证技术

6.6 小结

第七章分布式系统安全增强技术

7.1 分布式系统安全增强的需求分析

7.2 分布式系统安全增强的体系结构

7.2.1 基于P2P的安全增强体系结构

7.2.2 基于C/S的安全增强体系结构

7.3 分布式系统的多级可信认证技术

7.3.1 平台可信认证

7.3.2 应用可信认证

7.3.3 资源可信认证

7.3.4 用户可信认证

7.4 多级可信认证在分布式系统的作用

7.4.1 支持网络信任评估

7.4.2 支持多级访问控制

7.5 小结

第八章安全增强原型系统的设计与实现

8.1 原型系统应用背景

8.2 原型系统总体结构

8.2.1 安全增强的端系统

8.2.2 系统可信赖控制路径

8.3 原型系统实现技术

8.3.1 BIOS安全增强的实现

8.3.2 档案加密的实现

8.3.3 网络封包的实现

8.3.4 其他监控手段的实现

8.3.5 系统权限分发的实现

8.4 原型系统的测试与分析

8.5 小结

第九章结束语

9.1 所做的工作与创新

9.2 未来的研究方向

致谢

参考文献

作者在学期间取得的学术成果

发表的学术论文

获得的科研成果奖

附录A 作者主要参与的科研课题

系统可信赖安全增强关键技术的研究与实现

论文摘要

论文目录

相关论文文献

猜你喜欢