(国防科学技术大学计算机学院 湖南 长沙 410073)
摘 要:现有的文档保护技术大都是依赖于系统中特定的安全保护机制实施边界防御。电子文档作为静态客体,本身只能携带属性权限,而没有任何防护能力,难以同时满足“防外”和“防内”的双重需求。本文以可信计算为基础,借鉴主动存储的思想,将数据的使用隔离与数据存储绑定,提出了一种文档主动防护模型。通过构建从底层硬件到上层应用环境的信任链,确保数据以满足预期的方式被使用,授权用户可以正常使用文档,而不能将其泄露出保护区域。基于该主动模型在Windows系统平台下实现了一个主动安全U盘,可以广泛应用于数字版权保护以及企业和个人敏感数据保护。
关 键 词: 数据安全;主动防护;可信计算;隔离环境;信任链;访问控制;数字版权保护
中图分类号: T309.2 文献标识码:A
Active Defense Model for Document Protection Based on Trust-computing
MA Jun, WU Jiang-Jiang, CHENG Yong, MEI Song-Zhu, WANG Zhi-Ying, REN Jiang-Chun
(School of Computer, National University of Defense Technology, Changsha 410073)
Abstract: The existing document protection technologies were implemented depending on specific mechanisms on the boundary. As static objects, electronic documents could only have data content and attributes without any active protection capability on themselves. It is insufficient to defense threats from both outsider and insider in the open network environment. This paper proposed an active defense model for document protection based on trust-computing which band special isolation mechanism to data storage. The trust chain from hardware to usage environment in operation system confines even authorized users to access the document in expected manners. A kind of active USB disk device is designed and implemented based on the model, which is effective for DRM as well as sensitive data protection for enterprises and personals.
Key words: data security; active defense; trust-computing; isolation environment; trust chain; access control; Digital Rights Management (DRM)
0 引 言
数据安全问题在信息安全的研究中一直占有非常重要的地位[1][2]。电子文档作为各种重要信息的载体,其安全问题对整个信息系统的安全至关重要。长期以来,电子文档的安全主要都是通过设备和系统的安全来保障,安全研究的重点都是放在边界上,借助于加密技术以及防火墙和入侵检测等访问控制技术来实现信息的加密、防泄露、防篡改和防攻击等。这些措施在一定程度上可以抵御来自企业外部的威胁,但难以应对来自内部授权用户的威胁[3]。而随着网络和分布式应用的发展以及各种移动存储设备的普遍使用,由内部威胁造成的电子文档泄漏损失日益严重。2007年E-Crime Watch Survey的统计显示,超过31%的电子犯罪来自于内部威胁,而且这一比例在逐年上升。因此,当前开放式网络环境下的数据保护,需要同时考虑应对外部威胁和内部威胁。
随着面向对象文件系统、主动存储技术、特别是可信计算平台技术的深入发展,很多学者提出了主动防御的思想,为文档安全防护技术的发展提供了新的思路。很多系统也改变文档静态和被动防护的观念,开始以文档为中心,将文档安全管理的边界逐步向文档数据本身压缩,使得各种安全控制机制与文档内容的关联更加紧密,增强了文档安全防护的自主性和灵活性。本文以可信计算为基础,提出了一种文档主动防护模型,通过引入安全数据容器(Security Data Container, SDC)的概念,为文档使用构造一个可信的隔离环境。由于数据容器是与文档存储绑定,并由可信机制提供保证,从而可以使文档自身具有主动防护能力。
1 相关工作
为适应新的开放式环境下文档和数据安全保护的需求,许多学者从不同的角度和层次提出了许多新的思路和方法。
1) 数字版权保护技术
数字版权保护技术(Digital Rights Management, DRM)是现在应用最广泛的数字内容保技术,其目的是通过技术手段在整个生命周期内对数字内容的知识产权进行保护,确保数字内容的合法使用和传播[4]。目前,许多著名的计算机公司和国内外的研究机构都推出了各自的产品和系统,如InterTrust DigiBox[5],瑞士Geneva大学的Hep[6]和北大方正的Apabi 等。这些产品和系统在很大程度上为数字内容版权所有者的版权和收入提供了安全保障。但也存在不少难点问题没有完全解决,比如权利转移必须借助于可信第三方的参与[4],可信执行过程也必须依赖于特定的应用来实现等。2002年J.Park和R.Sandhu在分析现有数字版权保护技术的基础上提出了使用控制模型(Usage Control, UCON)[7],为数字版权的保护提供了统一的访问控制框架,被很多专家和学者认为是下一代的访问控制模型的发展方向。但UCON模型中数据仍然是只具有内容和属性的静态实体,需要借助于引用监控机制来实现访问控制,因此还是解决不了权利的转移和应用的通用性问题。本文认为,解决这两个问题的一种思路是为数据增加可信根和主动防护能力。
2) 面向对象文件系统和主动存储技术
为了提高存储设备接口的性能,Mesnier等人将面向对象思想引入到数据存储中,提出了对象存储系统[8],使数据本身不再是静态的二进制串,而是具有数据、用户访问控制属性和存储管理元数据等信息的统一体。另一方面,人们开始考虑重新划分存储设备与应用程序的界面问题,提出了主动存储技术[9][10] [11]的概念,即把应用程序的部分计算功能和管理任务向存储设备迁移,由存储设备完成数据的原始处理。谢雨来等人将二者进行了很好的结合[12],将方法对象引入到主动存储中,使存储对象具有了一定的主动性,对于充分发挥存储设备的智能性和读写性能具有很好的效果,同时也为数据安全保护提供了很好的方向启发。如果将这种结合应用到数据对象上,为数据对象增加安全保护的方法,就可以使数据对象自身具有自主安全防护的能力。
3)可信计算平台技术
近年来,随着可信计算平台技术研究的深入,不少研究者开始借助可信计算平台的硬件存储保护机制和信任度量机制来实现电子文档的保护。在可信计算平台(TCP)中,硬件形态的信任根源TPM(Trusted Platform Module)具备数据的加解密能力、签名与认证能力、密钥生成能力,以及关键信息的存储能力,这便使得电子文档的加密保护、签名保护和完整性保护机制都可以借助TPM和建立在TPM上的信任链软件栈来实现。同时,由于TCP具有数据封装存储机制[13][14],即TCP将关键数据和平台配置信息(包括硬件和软件)进行绑定,并通过TPM内置的加密机制进行加密。这些关键数据解密时TPM需要验证平台的配置信息,从而使得封装数据只能在特定的机器和配置下才能被解密。除此之外,可信计算平台还可以验证用户和进程是否可信,从而拒绝文档非授权使用,减少了病毒、木马和黑客对文档进行篡改攻击的可能。
事实上,可信计算平台对系统中各种软硬件保护的主要思想是系统主动对各种软硬实体进行可信认证,从而确保了各种实体身份、行为和内容的可信性,并确保了计算环境的可信性。但是没有考虑可信用户可能造成的文档泄漏威胁。随着业界对电子文档安全管理的不断重视,借鉴可信计算平台技术的思想研究电子文档安全防护技术和数字版权保护正逐渐成为新的发展趋势。本文就是借鉴TCP的安全机制,并结合主动存储技术实现电子文档自身的主动防护。
2 基于可信计算的文档主动防护模型
2.1 文档主动防护模型
本文借鉴可信计算平台的数据封装技术和主动存储技术的思想,通过电子文档的安全属性扩展,在文档存储中绑定能够提供自主保护能力的安全监控组件,该组件与文档的保护需求相对应,并为使用文档的进程自动构建一个可信的隔离运行环境,本文称之为安全数据容器SDC。基于SDC构建的文档主动防护模型如图1所示。
(责任编辑:)
