《基于可信密码模块的数据安全管理系统关键技术研究》由会员分享,可在线阅读,更多相关《基于可信密码模块的数据安全管理系统关键技术研究(66页珍藏版)》请在金锄头文库上搜索。
1、国防科学技术大学硕士学位论文基于可信密码模块的数据安全管理系统关键技术研究姓名:陈治良申请学位级别:硕士专业:信息与通信工程指导教师:张权副2010-11国防科学技术大学研究生院硕士学位论文 第 i 页 摘 要 随着数字化、信息化进程的发展,计算机中数据的安全性问题越来越得到人们的重视。信息化程度越高,业务对信息系统的依赖性就越强,数据的重要性也越高。能否有效保存、读取、保护好这些数据,越来越成为业务稳定和发展的关键因素。传统的信息安全系统主要由防火墙、反病毒软件和入侵检测系统构成,虽然能在一定程度上阻止病毒、木马的入侵,防止数据泄漏,但传统的信息安全系统是以防外为重点,缺乏对数据本身的保护。
2、 可信计算的研究兴起为我们解决重要数据的安全管理提供了好的解决思路。可信计算指一个可信的组件,操作或过程的行为在任意操作条件下是可预测的,并能很好地抵抗不良代码和一定的物理干扰造成的破坏。可信计算提供的安全功能有:终端设备认证、数据完整性校验、用户身份认证、用户权限合法性、端口控制和管理、数据的加密存储、重要信息的硬件保护等。在数据安全管理系统中引入可信计算的思想,能够从源头上保护重要数据的安全,最大程度的防止失泄密事件的发生。 本课题在可信硬件(可信密码模块)的支持上,通过设计相关软件系统(数据安全管理系统),确保整个内网系统的数据安全。通过服务端可信启动,确保服务端可信;通过基于过滤驱动的
3、文件系统保护模块,实现客户端可信登陆、应用程序运行可信,确保客户端重要数据的安全;通过可信磁盘模块,实现内外磁盘划分,确保移动存储介质可信。 关键词:数据安全,可信计算,过滤驱动,磁盘保护。 国防科学技术大学研究生院硕士学位论文 第 ii 页 ABSTRACT With the development of process of digital and information, the security issues of data in computer have been paid more and more attention. The more the degree of inform
4、atinization, the more that business rely on information system and therefore the higher the importance of data. Whether these data can be effectively saved, read, and protected become the key factor of business stability and development. Traditional information security system mainly consists of fir
5、ewall, anti-virus software and intrusion detection system. Although traditional information security system can prevent the invasions of virus and Trojan in some condition, it is to prevent threaten outside and lack of the protection of data itself. Rise of the research of trusted computing provides
6、 a good idea to solve security management of critical data. Trusted Computing refers to a trusted component, which means behavior of operation and process is predictable in any condition and can very well resist damage caused by bad code or some physical disturbance. The security features that Trust
7、ed Computing provides are: Terminal Authentication, Data Integrity Verification, User Authentication, User Rights Legitimacy, Port Control and Management, Data Encrypted Storage, and Hardware Protection of Critical Information. Trusted Computing embeded in data security management system can protect
8、 critical data from the original source and prevent the loss of leakage incidents in the greatest degree. This subject, based on trusted hardware (Trusted cryptography module), through the design of associated software (Data Security Management System), ensure the data security of entire intranets s
9、ystem. Through trusted server startup, it ensures the server trusted. Through the file system protection module based on filter driver, it achieve client landing trusted and applications running trusted, so as to ensure the security of important data on the client. Through trusted disk module, it ac
10、hieve the partition of internal disk and external disk, whick ensure removable storage media trusted. Key words: Tursted Computing; Data security; Filter driver; Disk protection. 国防科学技术大学研究生院硕士学位论文 第 III 页 表 目 录 表 1 磁盘状态权限表. 50 国防科学技术大学研究生院硕士学位论文 第 IV 页 图 目 录 8 图 2-1 可信计算平台框架图. 8 图 2-2 可信密码模块结构图. 10
11、 图 3-1 SupperFloppy分区格式. 16 图 3-2 单分区MBR形式. 16 图 3-3 多分区MBR形式. 16 图 3-4 设备栈形成过程示意图. 18 图 3-5 USB磁盘过滤驱动挂接层次图. 21 图 3-6 Windows NT操作系统结构图. 22 图 3-7 应用程序读文件过程示意图. 27 图 3-8 文件系统过滤原理图. 29 图 4-1 系统硬件结构图. 31 图 4-2 客户端登陆登出过程示意图. 32 图 4-3 可信引导信任链. 35 图 4-4 客户端可信登陆示意图. 37 图 4-5 客户端处理应用程序示意图. 39 图 5-1 系统总体结构图. 40 图 5-2 透明文件加解密示意图. 41 图 5-3 隐藏文件头加密标识. 43
