1、数据安全解决方案目录数据安全解决方案 .11. 数据安全与防泄密保护系统模型 .21.1. 数据威胁模型 .22. 数据安全与防泄密系统模型形式化描述 .43. 数据加密与封装技术 .63.1. 数据加密保护机制 .63.2. 数据加密策略 .63.3. 数据加密保护流程 .74. 密钥管理技术 .104.1. 密胡管理模型 .105. 数字证书 .115.1. 签名和加密 .115.2. 一个加密通信过程的演化 .115.2.1. 第一阶段 .125.2.2. 第二阶段 .125.2.3. 第三阶段 .135.2.4. 第四阶段 .145.2.5. 第五阶段 .165.2.6. 完整过程 .
2、165.3. 数字证书原理 .176. 内容安全 .181. 数据安全与防泄密保护系统模型1.1.数据威胁模型数据的安全技术主要建立在保密性(Confidentiality)、完整性(Integrity) 和可用性(Availability)三个安全原则基础之上。实际上,数据面临着严重的威胁(如下图所示), 主要受到通信因素、存储因素、身份认证、访问控制、数据发布、审计因素、制度因素和人员问题八大因素,具体因素内容在图 2-1 中详细的列举出来。数据威胁模型(1)通信威胁通信威胁指数据在网络通信和传输过程中所面临的威胁因素,主要包括数据截获算改、盗窃和监听、蠕虫和拒绝服务攻击。(2)存储因素存
3、储因素是指数据在存储过程中由于物理安全所面临的威胁,包括自然因素或者人为因素导致的数据破坏、盗窃或者丢失。(3)身份认证身份认证因素是指数据面临的各种与身份认证有关的威胁,包括外部认证服务遭受攻击、通过非法方式(如使用特洛伊木马、网络 探等) 获取用户认证信息、身份抵赖。(4)访问控制因素访问控制因素是指数据面临的所有对用户授权和访问控制的威胁因素,主要包括未经授权的数据访问、用户错误操作或滥用权限、通过推理通道获取一些无权获取的信息。(5)数据发布因素数据发布因素是指在开放式环境下,数据发布过程中所遭受的隐私侵犯、数据盗版等威胁因素。(6)审计因素审计因素是指在审计过程中所面临的威胁因素,如
4、审计记录无法分析、审计记录不全面、审计攻能被攻击者或管理员恶意关闭。(7)法律制度因素法律制度因素是指由于法律制度相关原因而使数据面临威胁,主要原因包括信息安全保障法律制度不健全、对攻击者的法律责任追究不够。(8)内部人员因素人员因素是指因为内部人士的疏忽或其它因素导致数据面临威胁,如管理员滥用权力、用户滥用权限、管理员的安全意识不强等。2. 数据安全与防泄密系统模型形式化描述一个安全的数据防泄密信任模型包括主体、客体、数据内容加密保护、权限许可状态管理等四部分。其中,数据内容瞬态加密保护是最为核心也最为基础的阶段,而权限许可状态决定了数据使用控制的安全许可粒度。数据安全与防泄密系统模型(1)
5、主体数据安全与防泄密信任模型中主体是指数据使用主体、分发主体、创建主体、管理主体。其中, 前两者是数据用户, 而后两者则是用于管理数据的主体。(2)客体客体是指授权主体执行权限的对象,包括一切形式的电子数据作品。(3)数据内容加密保护数据内容瞬态加密保护模型本质上是在内核态安全执行环境(Kemel environment, KE)下,对原始明文内容在特定的密钥管理组件控制下实施瞬态同步(SYN)加解密(Crypto),生成受保护内容 C 的一个复合模型。涉及到相关加解密(对称加解密、非对称加解密 )、摘要和签名等基本操作,而对称加密涉及到 ECB、CBC、OFB 、CFB 等加密模式 密钥包括
6、密胡的生成、分发、吊销、更新等环节。(4)权限许可状态管理权限许可状态管理模型通过不同的授权方式(比如用户授权、使用时间、设备授权、环境授权、文件授权等)对文件设置不同的操作权限 ,细化到阅读次数、使用有效期限、使用地点等权限,防止用户非法拷贝、复制、打印、下载文件、通过电子邮件、移动硬盘等传输介质泄密。数据加密与封装技术3.1.数据加密保护机制数据加密保护基于如下机制:(1) 过滤驱动文件透明加解密:采用系统指定的加解密策略(如加解密算法、密钥和文件类型等 ),在数据创建、存储、传输的瞬态进行自动加密,整个过程完全不需要用户的参与, 用户无法干预数据在创建、存储、传输、分发过程中的安全状态和
7、安全属性。(2) 内容加密:系统对数据使用对称加密密钥加密,然后打包封装。数据可以在分发前预先加密打包存储,也可以在分发时即时加密打包。(3) 内容完整性:内容发送方向接收方发送数据时,数据包包含数据的 Hash 值,接收方收到数据包解密后获得数据明文,计算 Hash 值, 并与对应数据包中携带的 Hash 值作比较,两者相同表示该数据信息未在传输过程中被修改。(4) 身份认证:所有的用户都各自拥有自己唯一的数字证书和公私钥对,发送方和接收方通过 PKI 证书认证机制, 相互确认对方身份的合法性。(5) 可靠与完整性:为保证数据包的可靠性和完整性,数据包中携带的重要信息(如内容加密密钥) 采用
8、接收方的公钢进行加密封装,从而将数据包绑定到该接收方, 确保仅有指定的接收方才能正确解密该数据包, 使用其私钥提取内容加密密钢。另外, 发送方向接收方发送数据包前,先用其私钥对封装后的数据包进行数字签名。接收方对收到的数据包采用发送方的公朗对数字签名进行验证,从而确认数据包是否来自于发送方, 且在传输过程中未被修改。3.2.数据加密策略数据加解密系统采用系统指定的加解密策略(如加解密算法、密钥和文件类型等 )自动的对数据进行加解密操作,从而对数据安全方便有效的进行保护。针对不同的文件类型,系统将自动采用不同的密钥以及算法对数据文件进行加密,实时动态的对数据进行保护。数据加密策略主要包括加解密算
9、法、密钥生成算法、密钥保护算法、密钥类型以及文件类型等。本模型主要采用的密码学算法列表如下:数据加解密策略列表3.3.数据加密保护流程开放络环境下数据加密保护流程包括:开放网络环境下数据加密保护流程图 数据创建者创建电子文档,客户端采用过滤驱动透明加解密技术对电子文档进行加密,数据以密文形式存储在终端中 创建者设置数据消息安全属性 Leve/ (如密级) 以及相关权限信息 Metedata.不同的等级对应不同的权限操作 创建者将内容加密密钥以服务端的公钥进行加密 创建者将数据明文作 Hash 计算,并将数据密文、明文 Hash 值、密钥加密密钥以及权限信息进行打包封装 创建者通过私钥对数据包进
10、行签名以保证数据包的可靠性和完整性,发送给服务端备份存储 服务端收到数据包后,用创建者的公钥验证数据签名以确认数据包的可靠性和完整性,并利用自己的私钥提取内容加密密钥以及数据的相关安全属性 服务端通过提取出来的内容加密密钥对数据密文进行解密后,将得到的数据明文做 Hash计算与数据包中提取出来的 Hash 值做比较,若比较一致,则根据相关安全属性对数据进行备份存储场景描述:A:发送方 B:接收方A 要发送一段消息给 B,但是又不想以明文发送,所以就需要对消息进行加密.如果采用对称加密技术,那么加密与解密用的是同一把秘钥.除非 B 事先就知道 A 的秘钥,并且保存好.这样才可以解密 A 发来的消
11、息.由于对称技术只有一把秘钥,所以秘钥的管理是一个很麻烦的问题.而非对称技术的诞生就解决了这个问题.非对称加密与解密使用的是不同的秘钥,并且秘钥对是一一对应的,即用A 的私钥加密的密文只有用 A 的公钥才能解密.这样的话,每个人都有两把秘钥, 私钥和公钥,私钥是只有自己才知道的, 不能告诉别人,而公钥是公开的, 大家都可以知道 .这样, 当 A 想要发送消息给 B 的时候,只需要用 B 的公钥对消息进行加密就可以了,由于 B 的私钥只有 B 才拥有,所以 A 用 B 的公钥加密的消息只有 B 才能解开. 而 B 想更换自己的密钥时也很方 便,只须把公钥告诉大家就可以了.那么, 既然非对称加密如
12、此之好, 对称加密就没有存在的必要了啊,其实不然, 由于非对称加密算法的开销很大,所以如果直接以非对称技术来加密发送的消息效率会很差.那么怎么办呢?解决的办法也很简单,就是把对称加密技术与非对称加密技术结合起来使用.A 要发送一个消息给 B A 先生成一个对称秘钥,这个秘钥可以是随机生成的, A 用 B 的公钥加密第一步生成的这个对称秘钥 A 把加密过的对称秘钥发给 B A 用第一步生成的这个对称秘钥加密实际要发的消息 A 把用对称秘钥加密的消息发给 B对于 B 他先收到 A 发来的对称秘钥, 这个秘钥是用 B 的公钥加密过的,所以 B 需要用自己的私钥来解密这个秘钥然后 B 又收到 A 发来
13、的密文, 这时候用刚才解密出来的秘钥来解密密文这样子的整个过程既保证了安全,又保证了效率.4. 密钥管理技术4.1.密胡管理模型在一个安全系统中,总体安全性依赖于许多不同的因素, 例如算法的强度、密钥的大小、口令的选择、协议的安全性等,其中对密钥或口令的保护是尤其重要的。根据柯克霍夫假设(KerckhoffsAssumption),密码系统的安全完全取决于可随时改变的密钥。即使密码算法公开,也不会危及密码体制的安全性,但是, 当密钥丢失时,非法用户将有可能窃取保密信息。另外,有预谋的修改密钥和对密钥进行其他形式的非法操作,将涉及到整个安全系统的安全性。因此,密钥管理在整个密码系统中是极其重要的。密钥管理包括密钥的产生、装入、存储、备份、分配、更新、吊销和销毁等环节,是提供数据保密性、数据完整性、可用性、可审查性和不可抵赖性等安全技术的基础。
