论文研究-基于安全局域网分级文件分发系统设计与实现.pdf

所需积分/C币:5 2019-07-22 20:41:06 2.09MB .PDF

通过分析安全局域网系统文件动态分级管理技术机制以及系统基于动态监控交换机的终端行为监控结构, 提出了一种基于安全局域网分级文件分发系统的设计与实现方案。该系统解决了原有安全局域网系统监控结构的网络化扩展问题, 实现了网络文件的分级可控管理, 除了能够防范来自系统外部的普通网络攻击行为外, 确保了对系统合法用户操作行为的控制, 有效阻止了内部人员信息泄露的基本途径, 能够提高各类共享数据的安全性。
4248· 计算机应用研究 第29卷 个部分组成,系统的总体安全设计包含以下几方面 FTIB按枚文 FTB接收文件| FTIBFT SK签署 Ts的RTs服|RTs a)系统的基本信任模型。根据网络存储系统基木威胁模 型,针对基于安全局域网分级文件分发系统数据安全的潜在威 图6系统F-MD文件结构 胁主要来自以下两个方面:(a)存在十网络传输坏境中的网络 a)具有文件所有者标志的文件名。由采用系统RTS服务 攻击;(b)分发系统内部用户不可控的操作行为。因此,在本器SK密钥签名的文件名实现,用丁实现F与F-MD文件间的 设计方案中假设网络传输服务器为不可信,文件分发所依托的紧密关联,防范文件反转攻击(wap)的威胁。 普通网链路为不可信网络环境,另外,系统内部用户由于其行 b)接收文件的RTS/NrS服务器列表。主要由能够接收文 为需要从系统的角度加以规范而也被假设为不可信实体。系件的服务器标志符组成,用于实现系统文件级的分发范围控 统的基本信任模型如图4所示。 制,出于效率考虑可采用明文方式实现。 c)文件传输信息基(HIB)组。每个FTIB对应于接收文 等级转换服务器 网络传输服务器 (不可信实体) 攻击行为 件服务器列表屮的一个服务器,采用密钥锁箱( lockbox)原理 不可信互联网络 实现,主要用于向各个服务器分发文件FE/DK密钥,指派文件 等级转换服务器 网路传输服务器 攻击行为 交全标签(上SI),实现文件网络分发阶段以RS/NIS服务器 (不可信实体 为节点的系统内部行为控制。 安仝局域网络 d)元文件版信息及F-ⅥD校验机制。版本信息为使用 用户终端 用户终端 用户终端 RTS服务器SsK密钥签名的系统元文件版木编号,用于实现 系统文件版本控制,确伓F-ⅥD能够防范来自文件回滚攻击 攻击行为 攻击行为 攻击行为 ( rollback)的威胁,而使用RTS服务器SSK密钥签署的元文什 图4系统的基本信任模型 校验和则是为了防止针对元文件的数据窜改和伪造 b)关于密钥分发的基本假设。不系统设计方案中服务器2.3系统文件传输信息基的设计 规模相对固定,不存在某服务器加入或者退出系统的持续性动 态变化过程,因此,系统设计中暂不考虑实现自动化的內络密 文件传输信息基FTIB是元数据FMD结构的一部分,主 钥分发机制。文中所涉及到的密钥交换过程都假设通过其他 要用于实现系统对接收文件的RTS/NⅣS服务器文件操作权限 非系统自带的安全机制加以实现。 的限制,其基本结构如图7所示。具体限制方式为:当FTT中 只具有F-ST标签韶分时,对应服务器山于无法获取FE/DK 2.2系统文件访问控制机制设计 无法实现文件数据解密而仅具有文件传输权限;如果FTIB同 基于安全局城网分级文件分发系统从系统的功能定位出时包含FST和FD部分,对应服务器则具有相应的文件处 发重点考虑了文件级的汸问控制机制、其实现方式主要是逦过理权限。系统通过设置HIB的方式实现了系统服务器文件传 为分发系统中的每份加密文件F建立相应的元数据文件F-输权限与处理杈限的有效分离。 M并在其中添加相应的系统控制结构,而且在文件网络分发 的过程中,文件F与对应的F-M同时在系统各服务器间进行 NTS/RTs服务器标志}釆用明文的方式存储 传送,以便在数据传输的各个阶段中能够连续地将系统网络安 使用MFK加密的 采用第一部分NTS/RTS F-ST部分 服务器标志所标定服务 全控制机制作用于分发文件实体。 器持有的MEK加密, 2.2.1系统加密文件的基本结构 使用ME加密的且仪能山该服务器所持 FE/DK部分 有的MDK密钥解密 加密文件F主要由采用某对称加密算法加密的文件数据 图7文件传输信息基FTIB基本结构 和带有持有文件的服务器数字签名的文件校验和组成,其基本 文件传输信息基FTIB中所涉及的密钥概念如下 结构如图5所示。 a)文件传输信息基加密密钥MEK。出系统RTS/NTS服 采用压EDK密的文件数据F采用SK答署的 务器根据非对称密码算法生成,为生成密钥对的公钥部分。 文件校验和 b)文件传输信息基解密密钥MDK。由系统HIS/NIS服 图5系统加密文件F基本结构 务器根据非对称密码算法牛成,为牛成密钥对的私钥部分」 其中,文件校验和采用数据散列算法实现,系统加密文件2.4系统文件安全标签的设计 结构中所涉及的密钥概念如下: 文件安全标笭FST是进行文件分发的RTS服务器为接 a)文件加/解密密钥FE/DK。由系统RT服务器根据对文件的每个服务器所设定的操作权限信息,主要用来实现安 称密码算法为每个文件单独生成。 全局域网文件级别的远程设定,从系统设计的角度来说应该满 b)服务器签署密钥Sk。由系统HIS/NS服务器根据非足三方面的设计需要a)文件安全标签应包含安全局域网系 对称密码算法生成,为算法生成密钥对的私钥部分,用于实现 统服务器所制定的文件访问策略信息;b)FST标签应具有可 服务器级的身份验证及访问控制。 验证的设定服务器身份信息以防止标签伪造;c)F-ST标签应 e)服务器殓证密钥SAK。由系统RIs/NrS服务器根据非该能够与文件数据紧密匹配,实现系统文件级的权限设定机 对称密码算法生成,为算法生成密钥对的公钥部分,用于实现制。综合以上设计需求文件安全标签基本结构如图8所示。 服务器缴的身份验证及访间控制 RTS_sid: F_fid(signed hy RTS s SSK): 781a325f640ha573eh22196d337df53 2.2.2系统元数据文件的基本结构 文件级别 加密文件F所对应的文件元数据FMD是系统实施访问 器标”使用FTS服务器SKRT务器所在安全局城网系统服务器 控制的主要数据结构,主要由文件接收服务器列表、文件传输 *W/rts server/files_ f/rank01 信息基组以及相关校验部分组成,其结构如图6所示。 图8文件安全标签结构 第11期 许肖威,等:基亍安全局域网分级文件分发系统设计与实现 4249 2.5系统文件级别转换机制设计 换机以及部署在用户终端的终端行为监控器组成,依托局域网 系统文件等级转换机制主要用来实现系统文件安全标签络实现木地配置木把管理。而在木文实现方案中,文件分发系 的设定与识别,其功能主要是通过系统维护的文件级别转换表统的文件等级转换机制处于安全局域网系统服务器的动态监 来实现。文什级别转换表的结构如图9所示,十要山安全局域控之下,通过文件安全标签的网络传递,实现了安全局域网系 网文件级别标志、文件级别码、安全局域网同级别文件RTS服统服务器监控功能的网络化传递,确保了网络文件分发过程中 务器本地存储路径信息组成。其中,文件存储路径信息是出安系统安全策略的一致性以及连续性,对原有监控结构的本地化 全局域网系统服务器根据安全局域网文件安全访问策略为方案进行了改进,增加了原有系统的网络功能,提高了系统的 RTS服务器中的同级别文件数据所指派的本地存储路径,而文 适用范违。 件级别码是同级别文件HS服务器的本地存储路径信息的散 b)实现了具有动态分缴机制的安全网络存储方案。目前 列值。安全局域网系统服务器通过对文件分发系统文件级别流的安全网络存储系统实现方案中,并未涉及任何文件分级 转换表的动态设定和维护,实现了对文件分发系统文件等级转 机制,对系统內用户行为缺乏控制。本文系统实现方案屮的文 换行为基于安全局域网系统安全策略的有效监控。 件分级概念主要体现在两个方面:(a)通过在现有的安仝局域 文件级 閃系统监控结构中添加內络化的文件等级转换机制,系统实现 别标志 文件级别码部分 存储路径信息部分 了系统共享文件的全网络化分缴管理,远程用广终端对文件的 D1 781a3256640ba5753cb22196d337df53 /rts_server/files_f/ranko1 访问行为同样需要受到系统安全策略的限制,而不仅仅局限于 0216000本地局域网用户终端(b)在文件网络分发过程中通过基于 03 043f5396a9a0926c5775e7444e2f858e /rts_ server/files_f/rank03 元数据F-MD结构的文件访问控制机制的设计,实现了系统以 RTs/NTS服务器为节点的传输过程控制,系统可以对每份文 件的分发范围以及接收文件服务器的相关权限进行动态设定, 图9系统文件级别转换表基本结构 对系统服务器的网络传输权限以及文作处理权限进行了分离, 3基于安全局域网分级文件分发原型系统实现 能够有效提高系统的数据安全性。 根据基于安全局域网分级文件分发系统的基本结构以及 4结束语 所描述的系统功能机制设计方案,木文提出了文件分发原型系 本文提出了一种基于安全局域网的可分级网络文件分发 统的实现方案并在其基础⊥进行了系统实现,其中,系统实现系统的技术框架,并在此基础之上描述了该网络文件分发系统 方案的基本结构如图10所示。 的原型设计方案。对具有文件分级管理特征的网络文件共亨 身份认证与数 身份认证与数 系统的安全性进行了研究,为系统后续的数据采集以及性能实 据校验模块 据校验模块 验提供了相应的平台支撑,从而为今后开展相关的研究作打 网络传输 network 网络传输 下了一定的基础 控制模块 控制模块 参考文献: 安全标签设定 识别模块 [1舒继武.奖型安全存储系统分美[冂].中国教育网络,2007(11) 个地数据地数据 文件等级 转换模块 系统RTS服务器 [2 STANTON P. Security dala in storage: a review of current research 数据加解 0409034[R]. Urbana: University of Illinois at Urbana-Champaign 安全局域网动安全局域网 LAN态监控交换机系统服务 3 BLAZE M. A cryptographic file system for Unix[C//Proc of ACM Conference on Computer and Communications Security. New York 本地数据本地数据 安全局域网用户终端集合 ACM Press. 1993: 9-16 系统RTS服务器 [4 FU K, KAASHOEK M F, MAZIERES D Fast and secure distributed 图10原型系统实现方案 read only file system[ C]//Proc of the 4th USENIX Symposium on 在系统实现方案中,NTS服务器作为系统文件分发的中继 Operating Systems Design and Implementation. 2000: 181-196 [5 KALLAHALLA M, RIEDEL E, SWAMINATHAN R, et al. Plutus 节点实现并未考虑相关的文件处理功能,RTS服务器作为整个 scalable sccure file sharing on untrusted storage[C]//Proc of the 2nd 系统文件分发的发起节点以及接收节点同时具有文作传输与 USENIX File and Storage Technologies. 2003: 29-42 处理的功能,系统功能机制主要实现五个系统功能模块。其[6]GoHE, SHACHAM H, MODADUGU N,eta.sits: securing re- 中,网络传输控制模块、身份认证与数据校验模块主要实现系 note untrusted storage[ C//Proc of the 10th Network and Distributed Systems Security Symposium. 2003: 131-146 统设计方案中2.2节和2.3节所描述的文件访问控制机制;安7」 HIASAN R, MYAGMAR S,LEAJ,tal. Toward a threat model for 全标签设定识别模块、文件等级转换模块以及数据加解密模块 storage systcms[C//Proc of ACM Workshop on Storage Security and 主要用于实现系统设计方案中2.4节和2.5节所描述的系统 Survivability. New York: ACM Press, 2005: 94-102. 文件等级转换机制;并且,系统文件级别转换表由安全局域网 [8]程磊,司天歌,戴一奇,基于动态监控器的安全局堿网[J.计算 机工程,2008,34(6):158-160 系统服务器根据系统安策略进行生成和维护。该实现方案[9]周鯕麟,司天歌,戴一奇用于安全局域网络的动态监控器[J清 对现有安全网络冇储系统及安全局域网系统都进行了改进,主 华大学学报:自然科学版,2009,49(1):123-126 要休现在以下两个方面 [10]司夭歌,张尧学,戴-奇.局城网络中的L-BIP安全模型[J].电 子学报,2007,35(5):1005-1008 a)实现了安全局或网系统监控结构的网络化扩展。原有[11薛海,徐长醒,林劼,等,局城同中的卫LBLP安全模型[门.清 安全局域网系统中,系统监控主要由系统服务器、动态监控交 华大学学报:自然科学版,2009,49(S2):2228-2232

...展开详情
img

关注 私信 TA的资源

上传资源赚积分,得勋章
    最新推荐