基于可信計(jì)算的內(nèi)網(wǎng)信息安全研究.pdf

1、內(nèi)網(wǎng)信息安全的實(shí)質(zhì)是要對(duì)內(nèi)網(wǎng)信息流和數(shù)據(jù)流進(jìn)行全生命周期的有效管理，構(gòu)建安全的信息應(yīng)用、存儲(chǔ)和交互環(huán)境，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)信息數(shù)據(jù)的全面安全保護(hù)。
　　本文結(jié)合我國(guó)信息化發(fā)展進(jìn)程中內(nèi)網(wǎng)信息安全的需求，針對(duì)當(dāng)前內(nèi)部網(wǎng)絡(luò)中日益嚴(yán)重的涉密信息外泄和流失問(wèn)題，基于可信計(jì)算理論，通過(guò)增強(qiáng)終端平臺(tái)的安全性，對(duì)內(nèi)網(wǎng)信息進(jìn)程監(jiān)控、加密存儲(chǔ)和傳輸保護(hù)，實(shí)現(xiàn)可信計(jì)算支持的內(nèi)網(wǎng)接入、內(nèi)網(wǎng)信息安全保護(hù)和信息安全管理，使內(nèi)部網(wǎng)絡(luò)的信息資源、計(jì)算機(jī)、服務(wù)提供者和用戶(hù)

2、有機(jī)連接在一起，構(gòu)建計(jì)算機(jī)、文件、用戶(hù)三位一體的可信內(nèi)網(wǎng)信息安全體系，防止內(nèi)網(wǎng)中的重要信息從各種途徑被非法泄漏和破壞，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)數(shù)據(jù)資源的有效控制和保護(hù)。具體內(nèi)容包括：
　　1.內(nèi)網(wǎng)信息安全的可信計(jì)算體系
　　針對(duì)內(nèi)網(wǎng)信息傳輸和存儲(chǔ)的安全性要求，結(jié)合可信計(jì)算的特點(diǎn)，將可信平臺(tái)模塊和可信軟件協(xié)議棧集成，構(gòu)建了面向內(nèi)網(wǎng)信息安全保護(hù)的可信計(jì)算體系結(jié)構(gòu)。通過(guò)建立從信任根-硬件平臺(tái)-操作系統(tǒng)-應(yīng)用程序的信任鏈，實(shí)現(xiàn)級(jí)與級(jí)之間的認(rèn)證和信

3、任，并擴(kuò)展到整個(gè)內(nèi)網(wǎng)計(jì)算環(huán)境中，從而確保整個(gè)內(nèi)網(wǎng)信息傳輸和存儲(chǔ)的可信性。
　　2.可信內(nèi)網(wǎng)信息安全模型
　　將可信計(jì)算理論與傳統(tǒng)獲取-授權(quán)安全模型相結(jié)合，在獲取-授權(quán)安全模型中引入可信主體，限制獲取和授權(quán)操作只能被可信主體使用，并為模型增加可信驗(yàn)證規(guī)則，從而簡(jiǎn)化了模型控制，防止了不誠(chéng)實(shí)主體間合謀竊取非授權(quán)信息。通過(guò)定義各實(shí)體的數(shù)據(jù)共享安全策略和通信機(jī)制，形成一個(gè)比較完整的安全策略體系，增強(qiáng)了內(nèi)網(wǎng)信息安全機(jī)制自身的安全性和可信

4、性。
　　3.內(nèi)網(wǎng)信息的安全保護(hù)機(jī)制
　　通過(guò)對(duì)內(nèi)網(wǎng)信息安全需求的討論，根據(jù)內(nèi)網(wǎng)信息安全模型，圍繞實(shí)現(xiàn)內(nèi)網(wǎng)信息的安全傳輸、安全存儲(chǔ)和安全控制，研究了可信內(nèi)網(wǎng)環(huán)境下信息安全的保護(hù)機(jī)制，包括信任鏈建立、進(jìn)程可信保護(hù)、用戶(hù)終端接入認(rèn)證、動(dòng)態(tài)加解密、數(shù)據(jù)信息的安全存儲(chǔ)等技術(shù)。
　　4.內(nèi)網(wǎng)信息安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)
　　基于可信計(jì)算體系和內(nèi)網(wǎng)信息安全模型，綜合利用信任鏈建立技術(shù)、進(jìn)程可信保護(hù)技術(shù)、存儲(chǔ)安全技術(shù)和網(wǎng)絡(luò)接入認(rèn)證