率…………………………………. n坦 第iv贞 第1章绪言 机密性和完整性是维护计算机系统中数据安全的两个最基本属性。
本章首先阐述了研究的对象、目标与意义;然后,对当前的研究背景与相关技术作了简要描述与评价。
在此基础上,总体性地归纳了实施数据机密性与完整性保护要解决的关键问题,并概括了本文的主要工作。
最后,说明了本文后续部分的组织结构。
§1.1存储系统数据安全 随着信息系统已成为整个社会中最为关键的资源,作为信息具体表现形式的数据,更是这一关键资源中最有价值的组成要素。
个人、团体、企业、政府、军队等对数据的依赖越来越多,数据本身蕴涵的价值越来越大。
比如,一个关键技术文档的恶意泄漏将可能带给一个企业无法挽回的损失;一个作战情报被恶意篡改会给战争带来失败的后果。
因此,数据相关的安全保护技术,对于信息系统的有效使用是必不可少的。
然而,伴随着数据日益显著的作用和意义。
数据本身的数量越来越庞大、流动性越来越高、结构与应用越来越复杂、管理与维护代价越来越高,从而对其实施安全保护也面临更多的困难和新的问题。
因此,有必要深入研究数据安全的保护方法和实现技术。
维护计算过程中的数据安全涉及非常广泛的领域,比如社会、法律、技术、管理、人员等各方面的因素111”。
从技术角度上,又涉及如访问控制、审计、病毒和蠕虫、入侵检测、数据加密解密、认证、分布式系统安全、生物测定,等等。
为集中问题,本文选择存储系统作为研究的对象;以维护存储系统中数据安全的两个最基本要素,即维护数据机密性和完整性,作为研究的目标;以探讨有效的基础性保护方法作为研究的内容。
1.1.1研究对象:存储系统 在计算机系统中,存储系统作为代码执行和数据存放的重要场合,对于实现计算安全具有突出重要的作用;同时,存储系统往往又是最容易遭受攻击威胁的脆弱所在。
从存储系统的构成层次来看,包括: ·处理器片内(On-chip)高速缓冲存储器-/Cache,通常具有两级,即L1-Cache 第1页 和L2.Cache。
本文以后常简称其为Cache。
·处理器片外(Off-chip)随机访问存储器RAM;又称系统存储器(System memory),或存储器(Memory),或内存,或主存。
本文以后常简称其为存 储器。
·外围存储设备(Peripheral storage device);典型地,是指磁盘设备,可简称 为硬盘(Hard disk)或磁盘。
本文以后就以磁搞作为外围存储设备的代表。
·考虑到网络存储体系结构(Network storage architecture,如SAN等口,4,51), 存储系统的外延还可以扩展到经由网络连接的远程存储服务。
远程存储可表 现为不同的具体形态,并因而具有不同的应用结构与安全问题。
本文以后以 块服务器(Block server)的概念来抽象远程存储服务。
从攻击者的角度来看,攻击处理器是困难的(通常,物理攻击处理器芯片对于绝大多数攻击行为是不可行的);然而,攻击处理器的片外部分则是容易实施的。
比如,存储总线以及存储器芯片的接口逻辑是简洁的(相对于处理器而言),因而窥探或篡改其内容是易于实施的(比如,借助特定的仪器装置颠覆总线信号)。
相对应地,从保护的角度来看,安全措施主要应考虑处理器的片外部分。
本文所考虑的,也正是存储系统中位于处理器片外的存储器、外围存储设备以及远程存储服务;并且,主要针对的是如何为这些存储部分提供抗拒硬件或物理攻击的手段。
1.1.2研究目标:维护数据机密性与完整性 所谓数据的机密性(Confidentiality),是指必须限定能够观看数据的合法对象,或者说,数据的内容不是容易理解的。
机密性反映了非授权的信息泄漏所带来的危害。
比如,机密性保护措施应当能够防范攻击者通过截获总线信号而理解总线数据所表达的具体信息。
通常,机密性保护是一种“阻断”措施;即,阻止攻击者对数据的非法获得与理解。
所谓数据的完整性(Integrity),是指防止数据的讹误或者对信息非授权的改动。
在本文中,保护完整性不是出于防止计算设备自身的偶发错误(比如,存储器电路受噪声干扰而产生的信号错误),而是出于防范攻击者对数据所实施的主动的非授权的修改,且这种恶意修改包括借助特殊硬件手段所实施的行为。
…般地,完整性保护既可以是一种“阻断”措施,也可以是一种“探测”措施。
“阻断”措施是在修改行为(包括合法的与恶意的)发生之前对使用者的合法性进行验证,并拒绝非法的修改行为。
但是,从抗拒硬件攻击的角度而言,由于无法物理地阻止攻击者的主动篡改行为,“阻断”对于硬件攻击行为是难于施行的。
或者说,对攻击者而言, 第2页恶意的物理篡改总可以得手,冈为它既不需要理解数据的本义,也不存在阻止行为实施的措施。
从这一点考虑,本文所研究的是为完整性提供“探测”l生质的保护措施。
换言之,完整性保护的目的就是为系统提供一个抗硬件攻击的篡改证明环境 (Tamper-proofenvironment)。
1.1.3研究意义:实施安全,可信计算的必备要素 维护数据的机密性和完整性对于实现安全(Secure)或者可信(Trusted)的计算是必不可少的。
没有机密性保护,攻击者将更容易理解代码行为和结果的含义。
举例来说,攻击者可以直接窥探被存储数据的含义而不必依赖系统显现数据。
再比如,证明一个程序在远程节点上被真实地执行必须依赖系统存储器的完整性校验。
远程节点上的处理器本身可以签名程序结果以表明程序的确在该处理器被执行(如果该处理器有这样的安全功能,包括内置的私钥和签名部件);但是,处理器的签名不能确证程序在远程节点被真实地执行。
如果代码需要访问处理器外部的存储器,比如,读取某个存储器变量以判断是否应该结束执行;那么,攻击者通过修改存储器单元就可以使得该分布程序得出错误结果(例如,修改循环控制变量的值,使得该分布程序提前结束或迟后结束)。
由于远程节点处于本地使用者的物理可控(或可视)范围之外,在没有完整性校验机制的情况下,这样的攻击行为不但是程序本身无法探测到的(返回的错误结果会被误认为是正确的结果),也是使用者无法意识到的。
类似地,交换到磁盘中的存储器页面也存在被恶意篡改的可能。
即使对于当前的可信计算(Trusted Computing)平台,如TCPA/NGSCB 16,7,8,9,10,”,12,1 31,这样的保护措施也具有显著的安全增强作用。
目前,基于TCPA/NGSCB的系统只能维持一个安全的上下文环境以对抗软件攻击,并不能阻止对存储器的物理篡改行为。
为方便叙述,在后续内容中,数据(Data)一词将泛指代码(Code)以及数据 (Data)。
另外,有些名词常直接使用其英文表示;典墼4地,如Hash(哈希,或称散列)等。
还有,在本文中我们混用安全与可信两个术语:并会不加严格定义与区分地使用可靠、信赖、私有等名词。
第3页 §1.2研究现状1.2.1安全存储器 实现安全存储器一直是计算安全的基础性研究问题。
特别是近年来,有许多研究项目致力于借助特殊的硬件方法来保护存储器的机密性和完整性,表现出相当活跃的研究现状。
相关的研究情况及技术主要有: 1)XOM 出于解决数字版权保护的设计目的,斯坦福大学
上一篇:
轻型龙门铣床XKQ2010×30毕业设计说明书
下一篇:
英语论文网([网学网]):英语专业本科生毕业论文写作