《数据安全项目解决方案》由会员分享,可在线阅读,更多相关《数据安全项目解决方案(18页珍藏版)》请在金锄头文库上搜索。
1、. . . . .数据安全解决方案目录数据安全解决方案11.数据安全与防泄密保护系统模型21.1.数据威胁模型22.数据安全与防泄密系统模型形式化描述43.数据加密与封装技术63.1.数据加密保护机制63.2.数据加密策略63.3.数据加密保护流程74.密钥管理技术104.1.密胡管理模型105.数字证书115.1.签名和加密115.2.一个加密通信过程的演化115.2.1.第一阶段125.2.2.第二阶段125.2.3.第三阶段135.2.4.第四阶段145.2.5.第五阶段165.2.6.完整过程165.3.数字证书原理176.内容安全181. 数据安全与防泄密保护系统模型1.1. 数据威
2、胁模型数据的安全技术主要建立在保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)三个安全原则基础之上。实际上,数据面临着严重的威胁(如下图所示),主要受到通信因素、存储因素、身份认证、访问控制、数据发布、审计因素、制度因素和人员问题八大因素,具体因素内容在图2-1中详细的列举出来。数据威胁模型(1)通信威胁通信威胁指数据在网络通信和传输过程中所面临的威胁因素,主要包括数据截获算改、盗窃和监听、蠕虫和拒绝服务攻击。(2)存储因素存储因素是指数据在存储过程中由于物理安全所面临的威胁,包括自然因素或者人为因素导致的数据破坏、盗窃或者丢失。(3)
3、身份认证身份认证因素是指数据面临的各种与身份认证有关的威胁,包括外部认证服务遭受攻击、通过非法方式(如使用特洛伊木马、网络 探等)获取用户认证信息、身份抵赖。(4)访问控制因素访问控制因素是指数据面临的所有对用户授权和访问控制的威胁因素,主要包括未经授权的数据访问、用户错误操作或滥用权限、通过推理通道获取一些无权获取的信息。(5)数据发布因素数据发布因素是指在开放式环境下,数据发布过程中所遭受的隐私侵犯、数据盗版等威胁因素。(6)审计因素审计因素是指在审计过程中所面临的威胁因素,如审计记录无法分析、审计记录不全面、审计攻能被攻击者或管理员恶意关闭。(7)法律制度因素法律制度因素是指由于法律制度
4、相关原因而使数据面临威胁,主要原因包括信息安全保障法律制度不健全、对攻击者的法律责任追究不够。(8)内部人员因素人员因素是指因为内部人士的疏忽或其它因素导致数据面临威胁,如管理员滥用权力、用户滥用权限、管理员的安全意识不强等。2. 数据安全与防泄密系统模型形式化描述一个安全的数据防泄密信任模型包括主体、客体、数据内容加密保护、权限许可状态管理等四部分。其中,数据内容瞬态加密保护是最为核心也最为基础的阶段,而权限许可状态决定了数据使用控制的安全许可粒度。数据安全与防泄密系统模型(1)主体数据安全与防泄密信任模型中主体是指数据使用主体、分发主体、创建主体、管理主体。其中,前两者是数据用户,而后两者
5、则是用于管理数据的主体。(2)客体客体是指授权主体执行权限的对象,包括一切形式的电子数据作品。(3)数据内容加密保护数据内容瞬态加密保护模型本质上是在内核态安全执行环境(Kemel environment, KE)下,对原始明文内容在特定的密钥管理组件控制下实施瞬态同步(SYN)加解密(Crypto),生成受保护内容C的一个复合模型。涉及到相关加解密(对称加解密、非对称加解密)、摘要和签名等基本操作,而对称加密涉及到ECB、CBC、OFB、CFB等加密模式 密钥包括密胡的生成、分发、吊销、更新等环节。(4)权限许可状态管理权限许可状态管理模型通过不同的授权方式(比如用户授权、使用时间、设备授权
6、、环境授权、文件授权等)对文件设置不同的操作权限,细化到阅读次数、使用有效期限、使用地点等权限,防止用户非法拷贝、复制、打印、下载文件、通过电子邮件、移动硬盘等传输介质泄密。1.2.3. 数据加密与封装技术3.1. 数据加密保护机制数据加密保护基于如下机制:(1) 过滤驱动文件透明加解密:采用系统指定的加解密策略(如加解密算法、密钥和文件类型等),在数据创建、存储、传输的瞬态进行自动加密,整个过程完全不需要用户的参与,用户无法干预数据在创建、存储、传输、分发过程中的安全状态和安全属性。(2) 内容加密:系统对数据使用对称加密密钥加密,然后打包封装。数据可以在分发前预先加密打包存储,也可以在分发
7、时即时加密打包。(3) 内容完整性:内容发送方向接收方发送数据时,数据包包含数据的Hash值,接收方收到数据包解密后获得数据明文,计算Hash值,并与对应数据包中携带的Hash值作比较,两者相同表示该数据信息未在传输过程中被修改。(4) 身份认证:所有的用户都各自拥有自己唯一的数字证书和公私钥对,发送方和接收方通过PKI证书认证机制,相互确认对方身份的合法性。(5) 可靠与完整性:为保证数据包的可靠性和完整性,数据包中携带的重要信息(如内容加密密钥)采用接收方的公钢进行加密封装,从而将数据包绑定到该接收方,确保仅有指定的接收方才能正确解密该数据包,使用其私钥提取内容加密密钢。另外,发送方向接收
8、方发送数据包前,先用其私钥对封装后的数据包进行数字签名。接收方对收到的数据包采用发送方的公朗对数字签名进行验证,从而确认数据包是否来自于发送方,且在传输过程中未被修改。3.2. 数据加密策略数据加解密系统采用系统指定的加解密策略(如加解密算法、密钥和文件类型等)自动的对数据进行加解密操作,从而对数据安全方便有效的进行保护。针对不同的文件类型,系统将自动采用不同的密钥以及算法对数据文件进行加密,实时动态的对数据进行保护。数据加密策略主要包括加解密算法、密钥生成算法、密钥保护算法、密钥类型以及文件类型等。本模型主要采用的密码学算法列表如下:数据加解密策略列表3.3. 数据加密保护流程开放络环境下数
9、据加密保护流程包括:开放网络环境下数据加密保护流程图l 数据创建者创建电子文档,客户端采用过滤驱动透明加解密技术对电子文档进行加密,数据以密文形式存储在终端中l 创建者设置数据消息安全属性Leve/(如密级)以及相关权限信息Metedata.不同的等级对应不同的权限操作l 创建者将内容加密密钥以服务端的公钥进行加密l 创建者将数据明文作Hash计算,并将数据密文、明文Hash值、密钥加密密钥以及权限信息进行打包封装l 创建者通过私钥对数据包进行签名以保证数据包的可靠性和完整性,发送给服务端备份存储l 服务端收到数据包后,用创建者的公钥验证数据签名以确认数据包的可靠性和完整性,并利用自己的私钥提
10、取内容加密密钥以及数据的相关安全属性l 服务端通过提取出来的内容加密密钥对数据密文进行解密后,将得到的数据明文做Hash计算与数据包中提取出来的Hash值做比较,若比较一致,则根据相关安全属性对数据进行备份存储场景描述:A:发送方B:接收方A要发送一段消息给B,但是又不想以明文发送,所以就需要对消息进行加密.如果采用对称加密技术,那么加密与解密用的是同一把秘钥.除非B事先就知道A的秘钥,并且保存好.这样才可以解密A发来的消息.由于对称技术只有一把秘钥,所以秘钥的管理是一个很麻烦的问题.而非对称技术的诞生就解决了这个问题.非对称加密与解密使用的是不同的秘钥,并且秘钥对是一一对应的,即用A的私钥加
11、密的密文只有用A的公钥才能解密.这样的话,每个人都有两把秘钥,私钥和公钥,私钥是只有自己才知道的,不能告诉别人,而公钥是公开的,大家都可以知道.这样,当A想要发送消息给B 的时候,只需要用B的公钥对消息进行加密就可以了,由于B的私钥只有B才拥有,所以A用B的公钥加密的消息只有B才能解开.而B想更换自己的密钥时也很方 便,只须把公钥告诉大家就可以了.那么,既然非对称加密如此之好,对称加密就没有存在的必要了啊,其实不然,由于非对称加密算法的开销很大,所以如果直接以非对称技术来加密发送的消息效率会很差.那么怎么办呢?解决的办法也很简单,就是把对称加密技术与非对称加密技术结合起来使用.A要发送一个消息
12、给Bl A先生成一个对称秘钥,这个秘钥可以是随机生成的,l A用B的公钥加密第一步生成的这个对称秘钥l A把加密过的对称秘钥发给Bl A用第一步生成的这个对称秘钥加密实际要发的消息l A把用对称秘钥加密的消息发给B对于Bl 他先收到A发来的对称秘钥,这个秘钥是用B的公钥加密过的,所以B需要用自己的私钥来解密这个秘钥然后B又收到A发来的密文,这时候用刚才解密出来的秘钥来解密密文这样子的整个过程既保证了安全,又保证了效率.4. 密钥管理技术4.1. 密胡管理模型在一个安全系统中,总体安全性依赖于许多不同的因素,例如算法的强度、密钥的大小、口令的选择、协议的安全性等,其中对密钥或口令的保护是尤其重要
13、的。根据柯克霍夫假设(KerckhoffsAssumption),密码系统的安全完全取决于可随时改变的密钥。即使密码算法公开,也不会危及密码体制的安全性,但是,当密钥丢失时,非法用户将有可能窃取保密信息。另外,有预谋的修改密钥和对密钥进行其他形式的非法操作,将涉及到整个安全系统的安全性。因此,密钥管理在整个密码系统中是极其重要的。密钥管理包括密钥的产生、装入、存储、备份、分配、更新、吊销和销毁等环节,是提供数据保密性、数据完整性、可用性、可审查性和不可抵赖性等安全技术的基础。5. 数字证书5.1. 签名和加密我们说加密,是指对某个内容加密,加密后的内容还可以通过解密进行还原。 比如我们把一封邮
14、件进行加密,加密后的内容在网络上进行传输,接收者在收到后,通过解密可以还原邮件的真实内容。这里主要解释一下签名,签名就是在信息的后面再加上一段内容,可以证明信息没有被修改过,怎么样可以达到这个效果呢?一般是对信息做一个hash计算得到一个hash值,注意,这个过程是不可逆的,也就是说无法通过hash值得出原来的信息内容。在把信息发送出去时,把这个hash值加密后做为一个签名和信息一起发出去。 接收方在收到信息后,会重新计算信息的hash值,并和信息所附带的hash值(解密后)进行对比,如果一致,就说明信息的内容没有被修改过,因为这里hash计算可以保证不同的内容一定会得到不同的hash值,所以
15、只要内容一被修改,根据信息内容计算的hash值就会变化。当然,不怀好意的人也可以修改信息内容的同时也修改hash值,从而让它们可以相匹配,为了防止这种情况,hash值一般都会加密后(也就是签名)再和信息一起发送,以保证这个hash值不被修改。至于如何让别人可以解密这个签名,这个过程涉及到数字证书等概念,我们后面在说到数字证书时再详细说明,这里您先只需先理解签名的这个概念。5.2. 一个加密通信过程的演化我们来看一个例子,现在假设“服务器”和“客户”要在网络上通信,并且他们打算使用RSA(参看前面的RSA简介)来对通信进行加密以保证谈话内容的安全。由于是使用RSA这种公钥密码体制,“服务器”需要对外发布公钥(算法不需要公布,RSA的算法大家都知道),自己留着私钥。“客户”通过某些途径拿到了“服务器”发布的公钥,客户并不知道私钥。“客户”具体是通过什么途径获取公钥的,我们后面再来说明,下面看一下双方如何进行保密的通信。5.2.1. 第一阶段l “客户”-“服务器”:你好
