基于可信平台模块的外包数据安全访问方案 - 电子与信息学报201307
一个基于可信密码模块的数字版权管理方案
储和可信网络连接等一 系列技术规范 ,C T G首次提出可信计算机平台的概念 , 且提出了具体 的可信计算平 台的体系结构和技术路线 , 不仅考虑信息的秘密性 , 更强调 了信息的真实性和完整性。 可信计算在我 国发展较快 ,04年 1 月 由武汉瑞达公 司研制的我国第一款 自主研制的可信计算平 台 20 O 通过国家密码管理局的技术鉴定 , 0 2 5年联想集 团的” 0 恒智” 片和可信计算机相继研制成功 , 芯 同年北京
第1 6卷 第 4期
Vo1 6 .1 No. 4
北 京电子科技学 院学报
Junl f e igErt nnSineadT cnlg ntue ora o in l r i cec n ehooyIstt Bj c o i
20 0 8年 1 2月
Jn 2o u .o 8
一
19 9 9年 ,B HP It 和 Mirsf等公 司发起 并成 立 了 T P Tut o uigPaom lac ) IM、 、n l e coo t C A( rs dC mpt ltr Alne , e n f i 20 03年 T P 改组 为 T G( rs dC m uigG op 。T P CA C T t o p t ru ) u e n C A和 T G制 定 了关 于 可信 计算 平 台 、 信存 C 可
2 e igEet ncSinea dT c n l yIstt, e ig1 0 7 C ia .B in l r i c c n eh o g ntue B in 0 0 0, hn ) j co e o i j
Ab t a t u cin a d sr cu e o u td c y t g a h d l r n l z d,a d b s d 0 h o ta t ii tr r s r c :F n t n t t r f r se r p o r p y mo u e a ea a y e o u t n a e n t ec n rs dg t wae ma k,p y - f o l a h s ia o y p o e t n,e c y t n a d p o u ta t ai n c c p r t ci l o n r pi n r d c ci t ,we a a y e t e a v t g so M p l ai n u e n D o v o n z d a a e f l h n TC a p i t s d i RM .T r tc h c o op e t e o t DRM o k ,w rp s e meh d i h c x e n CM a t n t e w r s e p o o e t t o n w ih e t r a T h l c n sr gh n DRM .T emeh d i o ai l i x s n e h t o sc mp t e w t e it g DRM e h b h i tc —
基于可信平台模块的虚拟机安全协议
【 要 】为 了保 证 虚 拟 机 间 通 信 的 安 全 , 摘 存取 控 制 是 经 常 采 用 的 手 段 。但 是 存 取 控 制 的 灵活 性和 扩 展 性都 有一 定 的 限制 。 为 了 克 服 这 一 局 限 性 , 文 提 出 了一 套 针 对 虚 拟 机 系 统 的 安 全 协 议 。安 全 协 议 以 可 信 平 台 模 块 作 为 可 信 根 , 立 起 从 底 本 建 层 硬 件 到 虚 拟 机 中应 用 的 信 任 路 径 , 而有 效 并 安全 地 实现 了 密钥 及 证 书 的 发放 份 认 证 拟 机 问保 密 通 信 和 密 钥 及 从 身 虚 证 书更 新 的 功 能 。此 外 . 文 在 X n中 成 功 实现 了这 套 安 全 协 议 。 本 e 【 键 字】虚 拟 机 : 关 安全 协 议 ; 身份 鉴 别 : 信 平 台 模 块 可
tu td ro . e uts c ryfn t n ,n ldn r t g k ya d c tf t,d ni uh nia in, e ue c r se o tAsa rs l e u i ci s icu ig gani e n eri e ie tya te t t , t u o n ic a t c o s c r ommu i t nb t e nVMs nc i e a o w e ,
: 童 — _ ■ ■; 一 ● t . 1 I ■ l l I I - . 口 l l IJ . . :l 】I 【
基 于 可信 平 台模 块 的虚拟 机 安全 协议
刘谦 骆 源 翁 楚 良 李 明禄
( 海 交 通 大 学 计 算机 科 学 与工 程 系 上 海 2 0 4 ) 上 0 2 0
( o u e ce c C mp t r i e&E gn eig De a t n , h n h i io T n nv ri , S n n ie r p r n me t S a g a a o g U iest J y
基于安全可信技术的多方数据合作方案研究
基于安全可信技术的多方数据合作方案研究现代社会中,数据已经成为了一种非常重要的资源。
无论是企业还是政府机构,都需要大量的数据来支持业务的正常运营。
但是,数据的使用和传输涉及到了非常重要的隐私和保密问题,因此安全可信技术的应用就显得尤为重要。
多方数据合作方案,是指多个不同机构或个人需要进行数据共享和协作的情景。
比如说,多个医院需要共享患者的病历数据以提供更好的医疗服务。
这种情况下,数据的隐私和保密问题就需要得到高度保证。
基于安全可信技术的多方数据合作方案,就是为解决这一问题而开发的一种新型技术方案。
1. 安全可信技术的基本原理首先,我们需要了解安全可信技术的基本原理。
安全可信技术是构建在密码学和数学基础之上的,它主要包括如下几个方面的技术:(1)加密算法:通过对数据进行加密,可以将数据保护起来,避免未经授权的访问和窃取。
(2)身份验证:对数据访问者的身份进行验证,确保数据只被授权访问者所使用。
(3)数字签名:用于保证数据的完整性和真实性,防止数据被篡改和伪造。
(4)访问控制:对数据的不同部分进行不同级别的访问控制,确保数据的保密性和隐私性。
这些技术一起构成了安全可信技术的基本框架,为多方数据合作提供了保障。
2. 多方数据合作的基本问题多方数据合作涉及到了多个机构的数据共享和使用,因此会面临以下几个问题:(1)数据隐私和保密问题:如何确保数据在共享和使用过程中的隐私和保密性,避免泄露和窃取。
(2)数据一致性问题:多方数据合作中,不同机构的数据可能存在不一致的情况,如何保证数据的一致性和正确性。
(3)数据安全问题:多方数据合作需要保障数据在传输和存储过程中的安全性,避免数据被攻击和破坏。
(4)数据访问控制问题:多方数据合作需要对数据的访问进行控制,确保只有授权的用户可以访问数据。
这些问题都需要得到解决,才能保证多方数据合作的顺利进行和数据的安全可信。
3. 基于安全可信技术的多方数据合作方案基于安全可信技术的多方数据合作方案,可以为上述问题提供有效解决方案,其中包括了以下几个步骤:(1)数据加密和身份验证:在数据传输和存储过程中,采用加密算法和身份验证技术保障数据的隐私和保密性,确保只有授权用户可以访问数据。
基于集成信用度评估智能合约的安全数据共享模型
基于集成信用度评估智能合约的安全数据共享模型张乐君 1刘智栋 1谢 国 2薛 霄3摘 要 区块链技术是一种新兴技术, 它具备防篡改、去中心化、分布式存储等特点, 可以有效地解决现有数据共享模型中隐私安全、用户控制权不足以及单点故障问题. 本文以电子病历(Electronic health record, EHR)共享为例提出一种基于集成信用度评估智能合约的数据共享访问控制模型, 为患者提供可信EHR 共享环境和动态访问控制策略接口. 实验表明所提模型有效解决了患者隐私安全和对EHR 控制权不足的问题. 同时就模型的特点、安全性以及性能进行了分析.关键词 区块链, 信用度, 智能合约, 电子病历, 访问控制引用格式 张乐君, 刘智栋, 谢国, 薛霄. 基于集成信用度评估智能合约的安全数据共享模型. 自动化学报, 2021, 47(3):594−608DOI 10.16383/j.aas.c200797Secure Data Sharing Model Based on Smart Contract With Integrated Credit EvaluationZHANG Le-Jun 1 LIU Zhi-Dong 1 XIE Guo 2 XUE Xiao 3Abstract Blockchain technology is an emerging technology, it has the characteristics of anti-tampering, decentra-lization, and distributed storage. It can effectively solve the problems of privacy security, insufficient user control rights, and single point failure in the existing data sharing model. This paper takes electronic health record (EHR)sharing as an example and proposes a data sharing access control model based on smart contract with integrated credit evaluation to provide patients with a trusted EHR sharing environment and dynamic access control policy in-terface. Experiments show that the proposed model effectively solves the problems of patient privacy security and insufficient control of EHR. At the same time, the characteristics, safety and performance of the model are analyzed.Key words Blockchain, credit, smart contract, electronic health record (EHR), access controlCitation Zhang Le-Jun, Liu Zhi-Dong, Xie Guo, Xue Xiao. Secure data sharing model based on smart contract with integrated credit evaluation. Acta Automatica Sinica , 2021, 47(3): 594−608云辅助电子病历(Electronic health record,EHR)系统的广泛部署显示出在管理医疗机构和EHR 方面的巨大好处[1], 世界各地纷纷采用新技术来管理EHR. 然而除了巨大的优势之外, EHR 在云上的存储还面临着安全问题[2−3]: 1)未经患者授权的第三方可能会恶意访问EHR, 这对于EHR 共享中数据的完整性、隐私性和安全性存在不利影响[4].2)患者很难跟踪和管理存储在云中的EHR.针对这些问题, 许多研究[5−8]提出了用于云服务器的存储、管理和共享技术. 这些研究使用不同的密码学技术和云技术设计EHR 共享访问控制模型以实现隐私保护和访问控制. 尽管这些研究高度重视数据安全和隐私保护, 但系统仍然存在患者密钥管理困难、EHR 共享透明度不高以及密钥存在泄露风险等问题.随着区块链技术的发展, 其特有的去中心化、可追溯性和隐私性推动了信息互联网向价值互联网的转变[9]. 越来越多的学者开始研究基于区块链的EHR 共享模型. MedRec [10]是一种使用区块链技术处理EHR 的新型的、分布式的管理系统. MedRec 将模块化设计与医疗提供商现有的本地数据存储解决方案集成在一起. 薛腾飞等[11]提出基于改进的DPOS (Delegated proof of stake)共识的区块链医疗共享模型, 详细介绍了模型的组件以及实现原理. 基于以太坊区块链的Ancile [12]利用智能合约增强访问控制和数据混淆. 文中详细描述了患者、EHR 提供商和第三方之间的交互过程. MedChain [13]与 An-cile 类似, 通过精心设计智能合约实现访问控制, 同收稿日期 2020-09-25 录用日期 2020-11-04Manuscript received September 25, 2020; accepted November 4, 2020江苏省高等学校自然科学基金(17KJB520044), 江苏省六大人才高峰项目基金(XYDXX-108)资助Supported by Natural Science Fund for Colleges and Universit-ies in Jiangsu Province (17KJB520044) and Six Talent Peaks Project in Jiangsu Province (XYDXX-108)本文责任编委 杨涛Recommended by Associate Editor YANG Tao1. 扬州大学信息工程学院 扬州 2251722. 西安理工大学自动化与信息工程学院 西安 7100483. 天津大学智能与计算学部 天津 3000721. College of Information Engineering, Yangzhou University,Yangzhou 2251722. College of Automation and Information Engineering, Xi ' an University of Technology, Xi 'an 710048 3. Col-lege of Intelligence and Computing, Tianjin University, Tianjin 300072第 47 卷 第 3 期自 动 化 学 报Vol. 47, No. 32021 年 3 月ACTA AUTOMATICA SINICAMarch, 2021时, MedChain加入了激励机制, 给出了计算EHR 质量的方法. 张超等[14]提出基于PBFT (Practical Byzantine fault tolerance)的联盟式医疗区块链系统, 具有较好的适用性. 文献[10−14]为现有分散在各个机构的医疗数据提供基于区块链的访问控制模型, 但分散在各个医疗服务商手中的数据仍然存在被破坏的风险.另一部分研究人员将云服务和区块链技术相结合来实现EHR的共享. Xia等[15]提出BBDS (Blockchain-based data sharing)模型, 该模型利用用户的身份和成员加密密钥来验证用户是否可以从共享池中获取数据. 但是, 对于成功加入共享组的成员没有其他限制. Tang等[16]着重研究了基于区块链的云存储模式下EHR共享的身份验证问题, 提出了多方授权的身份签名模型, 并具有很好的抗共谋能力. Liu等[17]设计了基于CP-ABE (Ciphertext-policy attribute based encryption)的访问控制机制和内容提取签名模型, 在数据共享方面提供了强大的隐私保护. 此外, 通过在智能合约中预设访问权限确保数据被安全共享. 文献[15−17]采用云服务和区块链技术相结合的新模式, 但它们的访问控制策略较单一, 无法满足患者对EHR动态访问控制的需求.现有的EHR共享研究中缺乏信用度评估机制,本文采用云服务和区块链技术相结合的模式, 在区块链智能合约中加入用户信用度评估机制, 为患者提供动态可调节的访问控制策略. 本文的主要贡献有以下几个方面:1) 提出了一种信用度评估机制, 将信用度评估机制集成到智能合约访问控制中, 在患者缺乏对第三方信任的环境中为患者提供信用度参考. 通过智能合约, 患者可以动态地调节访问控制策略.2) 提出将云存储和基于权威证明(Proof of auth-ority, PoA)共识机制的区块链相结合的框架. 云存储用于存储加密的EHR, PoA共识区块链保留加密EHR的索引. 我们对交易处理速度进行了统计分析, 证明了所提模型的可行性.3) 基于以太坊Go Ethereum开发了所提模型的系统, 建立了一个私有链测试网络. 我们分析了系统中可能存在的恶意攻击和共谋行为, 并建立了基于信用度的奖惩机制和监督机制. 实验结果表明我们的机制能有效阻止恶意攻击行为并及时发现共谋行为. 最后, 理论分析表明, 我们的模型较现有一些通过智能合约实现EHR访问控制的模型更简单,交易反馈延时更少.1 预备知识本节将介绍本文用到的智能合约技术和密码学技术.1.1 智能合约智能合约是存储在区块链上自动运行的脚本. 1994年Nick Szabo提出相关概念, 将智能合约定义为一种通过代码程序自动执行的交易协议. 满足合约条款的交易相关者, 无需第三方管理者的监督就可自动执行交易. 由于缺乏可支撑合约自动执行的平台和相关技术, 直到区块链技术的出现, 才使得智能合约这项技术得到应用. 随着区块链的不断发展, 以太坊的出现[18]首次将区块链和智能合约结合, 通过以太坊虚拟机(Ethereum virtual machine, EVM)来处理区块链上的交易. 区块链确保了智能合约的用户在可信的环境下遵循合约规则自动执行合约代码, 同时利用区块链的透明性和可追溯性,跟踪合约状态. 智能合约的可扩展性、自动化为EHR 共享提供了便利. 利用区块链中存储的医疗数据、支持外部数据的预言机[19]以及信用度机制, 患者可以在智能合约中设置信用度阈值和其他访问控制参数, 实现复杂的访问控制策略.智能合约预言机机制[19]验证外部数据. 在智能合约中使用合约自带的函数ecrecover可以验证外部数据写入者的签名, 该函数需要数据的Hash值和签名对{v, r, s}. 所以对数据的签名需要遵循ecrecover函数的规则. 实际上, 数据需要经过两次sha256的Hash操作后才能进行签名,签名结果中32字节的r和s来自椭圆曲线数字签名算法(Elliptic curve digital signature algorithm, ECDSA)的输出值, 一个字节的v则是用于恢复签名结果的标识,以太坊中为27或28.在智能合约中, 数据主要分为Storage和Memory 两种类型, Storage类型数据也可称为合约的状态变量, 会永久存储在区块链中; Memory则是临时变量, 交易处理完成后该类型变量会被清空. 所以在编写合约时, 需要为永久存储的数据定义Stor-age类型变量, 而不仅仅是处理交易逻辑.2 基于集成信用度评估智能合约的安全数据共享模型本节设计了一种基于智能合约的电子病历共享访问控制模型(EHR smart contract access con-trol model), 为方便描述, 将其简称为EHR-SCAC.下面分别从模型的整体框架和工作流程进行介绍.2.1 EHR-SCAC系统模型如图1所示, EHR-SCAC分为三层架构, 由数据获取层、数据存储层和数据共享层组成.3 期张乐君等: 基于集成信用度评估智能合约的安全数据共享模型5952.1.1 数据获取层在本层中, EHR 由医生创建并发送给医院, 医院整理格式后, 由医生签名发送给患者. 签名的目的是确保 EHR 的完整性. EHR 的共享权和所有权属于患者. 同时, 机构在研究患者 EHR 时, 可能发现EHR 存在误诊, 所以机构可以共享他们的研究报告.2.1.2 数据存储层数据存储层的主要功能是存储加密的EHR 和给区块链提供EHR 的存储索引url , 数据存储层由以下两部分组成.1) 云存储. 存储患者加密的EHR, 给出EHR 的存储索引url .2) PoA 区块链. 存储EHR 的索引url 并实现EHR 共享. 患者通过区块链中智能合约预先定义访问控制策略, 确保EHR 的安全共享, 任何人对EHR 的访问都将保存在区块链网络中. 同时, 身份管理中心 (Identity management center, IDM)和审计节点充当了链外数据进入区块链的媒介, 起到身份认证、审计和监督的作用.2.1.3 数据共享层在本层中, 已身份认证过的医疗工作者、机构可以访问患者的EHR. 方便医生了解患者的病历史和给予患者更好的治疗, 同时也为医疗机构提供了重要的研究资料.2.2 EHR-SCAC 工作流程如图1所示, 模型的工作流程大致如下:① 用户身份登记: 用户将真实身份ID 和身份证明V ID 发送给IDM, IDM 验证用户身份. 同时,IDM 会调用智能合约对用户进行成员登记, 用户以太坊公钥pk 即为成员公钥. 将必要的用户信息存储在区块链中. 如果用户是机构, 则机构会成为审计节点.② 身份认证后的患者, 可以调用智能合约设置EHR 的全局访问控制策略.③ EHR 的生成: 该过程参与的实体有医生、医院和患者. 为了确保EHR 的完整性, 在医院将EHR 发给患者前, 医生需要对EHR 的Hash 值ehr_hash 使用以太坊私钥进行签名, 记为sig d . 如果EHR 存在问题, 则医疗纠纷的责任最终由医生承担, 这也符合实际情况. 医院将EHR 、医生的签名sig d 发给患者.④ 患者从医院获取到EHR 和sig d 后, 患者的本地客户端随机生成一个对称密钥smk 加密EHR,得到[EHR]smk .⑤ 患者将[EHR]smk 和ehr_hash 上传到云端,云端返回EHR 的存储索引url .[smk ]pk p ⑥ 患者使用以太坊公钥pk p 加密smk 获得 , 然后调用智能合约的共享EHR 接口函数, 将EHR 的索引等信息存入区块链. 智能合约检测患者的身份注册信息, 验证通过后合约会记录url 与患者以太坊公钥pk p 的对应关系, 将必要的数据存储到合约相关的变量中. 同时, 合约会为该EHR 初始化一个白名单并将患者加入其中. 随后, 患者便可调用合约给白名单添加成员, 方便非机构用户如医生的访问.医生误诊修改形成研究报告IDM/审计节点研究人员机构患者医院4图 1 EHR-SCAC 整体架构Fig. 1 EHR-SCAC overall framework596自 动 化 学 报47 卷⑦ 机构在研究EHR 时可能发现患者的EHR 存在误诊, 机构可以更正EHR, 将研究报告证明发布到云端. 云端返回研究报告的索引r_url . 机构调用智能合约共享研究报告r_url . 与预言机机制相同, 合约会触发投票事件通知审计节点根据研究报告索引在链下对报告进行审核. 审计节点会调用智能合约改变研究报告投票状态变量. 当投票数超过设定的阈值, 机构便成功共享研究报告, 这有利于机构信用度的增加. 同时, 机构链下通知IDM, IDM 联系患者重新共享更正后的EHR. 该过程患者重复②③④操作, EHR 的医疗纠纷也由原先的医生负责变为机构负责, 且需要将更正后的EHR 的索引记录到错误EHR 记录的结构体变量中.[smk ]pk r ⑧ 如⑥中所述, 若请求者在EHR 的白名单中,则可以直接查询到解密密钥. 否则, 请求者需要调用智能合约获取EHR 的请求权限, 智能合约会触发事件随机选择一个审计节点对请求者发起工作量证明 (Proof of work, PoW)难度挑战(第2.3.2节中将详细介绍). 完成PoW 挑战后, 请求者获得审计节点的签名sig A , 然后请求者再次调用智能合约请求EHR 的解密密钥. 智能合约根据患者制定的访问控制策略验证请求者. 通过访问控制策略后,请求者会被加入患者EHR 的白名单中, 同时合约触发代理重加密事件, IDM 通知患者生成重加密密钥[K ]p -r 并发送给云端, 云端执行代理重加密任务,生成 并发给请求者, 请求者可以调用智能合约将解密密钥存入智能合约中.2.3 EHR-SCAC 的信用度评估机制本节提出一种信用度评估方法, 同时设计信用度奖惩机制和监督机制用来维护系统的稳定和安全.2.3.1 EHR-SCAC 信用度评估机构的信用度并不能从单一特性进行评判, 本文采用模糊层次分析法(Fuzzy analytic hierarchy process, FAHP)[20−21]对用户的信用度进行评判. 先将用户的信用度分为n 个特性, 再把每个特性分为若干个特征类型, 将模糊的用户行为信用评估问题转化为简单的、明确的信用特征加权求和问题.FAHP 解决问题的步骤分为4步: 1)分析问题, 将问题划分为多层次结构; 2)以上一级要素为准, 将同一层次的特征两两比较, 获得初始判断矩阵; 3)将初始判断矩阵转换为模糊判断一致矩阵,通过计算确定各特征以及各特性的权重; 4)根据规范化的特征值和权重计算出信用度.步骤 1. 如图2所示, 将信用度分为3层. 为了不给区块链造成负担, 需要建立易检测、易收集的用户行为特征方案. 在处理合约交易时会更新机构的这些行为特征(在第2.4节中将作详细说明).C =[c ij ]n ×m C E =[e ij ]n ×m .EQ =[eq ij ]v ×v ,步骤 2. 建立行为特征矩阵 , n 为特性个数, m 为特性中行为特征个数的最大值, 不足的项用零表示. 由于各特征的值区别较大, 我们需要对矩阵 进行归一化处理, 将值规范为[0,1]的特征矩阵 将同一特性下的特征的重要性两两比较获得初始判断矩阵 v 是某个特性下行为特征的个数, 如服务特性P 下v = 5.E p =[e 1,e 2,···,e v ]EQ 以服务特性为例, 其特征矩阵 , 利用式(1)获得初始判断矩阵 .然后, 通过式(2)将初始判断矩阵转化为模糊判断步骤 3. 使用式(3)计算服务特性下各特征的w P =[w p 1,w p 2,w p 3,w p 4,w p 5]w R =[w r 1,w r 2]w S =[w s 1,w s 2]w F =从而得到 . 对于其他特性, 同样利用式(1) ~ (3)可得可靠特性R 的特征权重向量 , 安全特性S 的特征权重向量 , 以及特性权重向量 图 2 用户行为特征分类Fig. 2 Classification of user behavior characteristics3 期张乐君等: 基于集成信用度评估智能合约的安全数据共享模型597[w f 1,w f 2,w f 3] .步骤 4. 根据式(4)计算机构的信用度.w Ngc w P w R w S ,w Ngf w F ,Cr P t Cr Ng w f w F ,w c w P w R w S .其中, 属于 、 和 表示负面特征的权重. 属于 表示负面特征权重所在特性的特性权重. 和 分别是正面信用度和负面信用度, 它们的计算可统一为式(5), 其中, 属于 属于 、和 e ij εεn ij e ij bn bn ij e ij 即正面信用度为正面行为特征与其权重乘积的和,负面信用度为负面行为特征与其权重乘积的和. 但是, 对于图2中s 1和s 2这类违规行为的计算需要进行改进. 对这两个行为目的是监督, 同时考虑到机构的误操作会导致此类事件发生, 所以机构如果存在s 1和s 2违规时, 系统应能及时对机构的信用度进行惩罚, 并且机构的信用度随时间流逝能够逐渐恢复. 所以, 为s 1和s 2时, 这两个行为特征的计算需乘以一个系数 , 如式(6)所示. 表示机构做出负面行为特征 的次数. 表示当前区块号, 表示负面行为特征 最后一次发生时所在的区块号.2.3.2 信用度奖惩机制比特币和以太坊采用PoW 共识机制来维护区块链的安全, 使得恶意节点很难成功攻击区块链,除非恶意节点掌握了全网51%的算力. 虽然PoW 机制对于交易验证速度要求极高的场景应用十分有限, 但其思想值得学习[22].第2.3.1节给出了计算信用度的方法. 从第2.3.1节中的图2可以看到两种恶意行为, 在介绍信用度奖惩机制前首先了解两种恶意行为.1)未经授权访问行为机构请求EHR 时, url 对应的患者pk p 可能会被未通过患者访问控制策略的机构替换, 选择访问控制策略要求低的患者, 从而绕过EHR 持有者的访问控制策略. 与前面类似, 未通过患者访问控制策略的机构利用其他高信用度节点的成员公钥pk 来发送合约交易, 以此达到访问患者EHR 的目的.2)伪造签名行为机构请求EHR 的解密密钥前需要获取审计节点的签名sig A , 所以机构可能伪造签名直接申请解密密钥.在我们的系统中, 患者共享EHR 时, 智能合约会记录url 与患者的成员公钥pk 的关系. IDM 在用户通过系统身份认证后调用智能合约将以太坊地址和成员公钥pk 的对应关系写入了区块链. 同时,智能合约的ecrecover 函数可以验证签名. 所以, 以上行为可以得到阻止. 但系统无法阻止恶意节点发送大量此类的无效交易, 如果不能有效制约, 将会对系统的稳定性造成影响. 考虑到比特币和以太坊通过PoW 机制使得恶意节点的攻击成本很高. 所以本文设计了基于信用度的PoW 奖惩机制. 在我们的系统中, 智能合约记录了机构的信用度属性(即图2中的行为特征), 一旦检测到违规行为, 违规行为会被保存到信用度属性中, 机构的信用度也随之下降. 式(7)给出了PoW 难度与信用度的关系λλλ其中, Diff 表示机构请求EHR 的难度. 是一个固定值, 其应该根据机构的普遍算力进行设置, 实际应用中可以参考比特币的算力更新方法, 根据出块时间即算力调整 . 本文测试了实验设备的PoW 难度与PoW 算法执行时间, 根据测试结果将 设为8, 使机构违规情况下PoW 算法执行时间能够达到惩罚目的, 同时保证正常信用度机构PoW 算法执行时间很低.下面介绍机构请求EHR 前解决PoW 难题的过程. 如图3所示, 1) 机构调用智能合约请求索引url ; 2) 智能合约触发事件随机选举一个审计节点处理机构的请求; 3) 审计节点根据机构信用度将挑战难度Diff 和时间戳timestamp 发送给机构; 4) 机构根据式(8)算出能够使得out 小于Diff 的nonce,并将out 和nonce 发送给审计节点; 5) 审计节点对pk 和url 进行签名, 并将签名sig A 发送给机构, 机构再次调用智能合约请求EHR 的解密密钥, 智能合约会检测审计节点的签名是否有效.n ij 通过审计节点发起PoW 挑战是一个可行办法,但审计节点不是IDM 这样的可信政府机构. 所以,如果攻击者买通了大部分的审计节点, 则攻击者可以直接拿到审计节点的签名sig A , 这样依旧可以短时间发起大量攻击. 为了遏止审计节点的共谋行为,需要在智能合约中建立检测共谋行为的机制, 及时通知IDM 采取相应的惩罚. 注意到如果攻击者连续攻击, 式(6)中 就会起到关键作用, 攻击者的信用度会快速下降, 所以攻击者的挑战难度会随之升高. 定义598自 动 化 学 报47 卷n g bn bn ij n g Diff normalmax Diff illegallast ηη其中, 表示攻击的区块间隔, 由当前区块号 减去上一次攻击发生的区块号 获得, 可知连续攻击时 很小. 表示未违规情况下系统中信用度最低的用户对应的难度, 表示最后一次违规时机构信用度对应的PoW 难度, 则表示审计节点共谋的概率. 当 超过了合约中设定的阈值, 就会触发事件通知IDM 对共谋双方采取相应的惩罚.以上是本文通过信用度奖惩机制实现对机构恶意行为的约束, 从而保护系统稳定性的方法.2.4 EHR-SCAC 的智能合约访问控制→在我们的系统中, 智能合约负责所有交易的逻辑处理. 客户端利用Web3.js [23]使患者、机构可以调用智能合约接口函数. 图4展示了合约中数据结构和函数的设计. 图中展示了变量在合约中的实际存储类型、合约的内部函数和对外的接口函数以及系统中涉及的结构体. 函数的参数图中未给出, 在后文算法描述过程中将给出函数的参数. 其中, “+”表示外部可调用, “−”表示只能是合约内部可调用, “:”后表示数据存储类型, “ ”表示映射关系.从图4中可以看到智能合约分为三个部分: 智能合约状态变量、智能合约事件以及智能合约函数.其中智能合约状态变量提供了永久性存储在区块链中的数据, 为用户身份验证、患者共享EHR 、机构共享研究报告、机构信用度计算提供数据支撑; 智能合约事件用于通知链外世界, 实现链外信息与区块链信息的交互; 智能合约函数分为内部函数和接口函数, 内部函数用于合约内部事务的处理, 接口函数供用户调用. 表1给出了这三个部分变量和函数的具体作用.以上是EHR-SCAC 系统合约的设计, 接下来将对系统中节点注册、患者共享EHR 、机构共享研究报告、患者设置访问控制参数、机构请求EHR 和信用度特征收集这六个过程进行详细描述.2.4.1 节点注册算法1由用户和IDM 执行, 输入的参数有用户的真实身份ID , 用户身份证明信息V ID , 用户以太坊地址Eth_address , 用户以太坊公钥pk . 该算法用于登记用户, 同时将必要的用户信息存入区块链中.算法 1. 节点注册算法输入. ID , V ID , Eth_address , pk1) 用户发送ID , V ID , Eth_address 和pk 给IDM 2) IDM 验证用户身份信息3) IDM 调用合约函数node _register (pk , Eth_add-ress , role )4) 更新address _pk [Eth_address ] 5) if 用户是机构then6) 初始化机构的信用度属性信息pk _credit [pk ] 7) 将机构信息加入变量audit _node 中 8) end if用户注册了以太坊账号后可以向IDM 申请将信息登记到区块链中. 在该过程中, IDM 验证用户身份信息, 身份验证成功后IDM 调用合约接口node_re-gister ()将用户的信息写入区块链. 如果用户是机构, 智能合约会初始化机构的信用度属性, 属性信息被记录到变量pk_credit [pk ]中, 然后将机构信息更新到审计节点变量audit_node 中. 节点注册使得用户成为EHR-SCAC 系统的一员, 为患者共享EHR 和机构请求患者共享的EHR 做准备.2.4.2 访问控制参数设置算法2由患者执行, 输入的参数有患者成员公钥pk p , 患者以太坊地址Eth_address , 访问控制参数集attr . 交易成功返回交易ID: Policy_TXID ,失败则返回faile.患者成功加入区块链后可以调用合约设置访问控制参数, 患者调用合约函数set_strategy ()创建交易Policy_TXID , 合约通过verify_pk ()验证患者是否完成节点注册, 验证后将患者访问控制策略attr 存入合约变量strategy [pk ]指向的结构体pk_stra-tegy 中.审计节点机构图 3 机构解决PoW 难题的过程Fig. 3 The process of the institution solvingthe PoW problem3 期张乐君等: 基于集成信用度评估智能合约的安全数据共享模型599算法 2. 访问控制参数设置算法输入. pk p , Eth_address , attr1) 患者调用合约函数 set_strategy (attr , pk p ) 2) if verify_pk (pk p , Eth_address ) = forged then 3) return faile 4) else5) 智能合约使用attr 更新患者的访问控制策略集strategy [pk p ] //strategy [pk p ]是结构体变量pk_strategy6) return Policy_TXID 7) end if2.4.3 EHR 的共享算法3由患者执行, 输入的参数有EHR 的索引url , url 的hash 值url_hash , 患者成员公钥pk p ,患者以太坊地址Eth_address , 患者加密EHR 的[smk ]pk p 对称密钥 , EHR 的hash 值ehr_hash , 医院的成员公钥pk h , 医生的签名sig d . 交易成功返回交易ID: EHR_TXID , 失败则返回faile.算法 3. EHR 共享算法[smk ]pk p , 输入. url , url_hash , pk p , Eth_address , ehr_hash , pk h , sig d[smk ]pk p , 1) 患者调用合约函数 contribute_EHR (url , url_hash ,pk p , pk h , ehr_hash , sig d )2) if verify_pk (Eth_address , pk p ) = true 3) 合约将EHR 的相关信息存入EHR_share [url_hash ]变量中4) 合约初始化EHR 的白名单, 将患者的信息加入白名单url_whitelist [url_hash ]中5) 合约调用内部函数set_url_pk (url_hash , pk p )Smart contractSmart contract attributes Smart contract state variables − IDM_addr :address− address_pk :address->Address_bind_pk − url_pk :bytes32->bytes32− EHR_share :bytes32->EHR_sharing − con_research :address->Research − research_vote :bytes32->bytes32->bool − audit_node :Audit_node− url_whitelist :bytes32->pk_whitelist − strategy :bytes32->pk_strategy − pk_credit :bytes32->Credit_attribute − max_credit_attribute :Credit_attribute − min_credit_attribute :Credit_attribute Smart Contract event − audit_vote ()− pow ()− store_smk_pk ()− collusion ()Smart Contract function + node_register () + contribute_EHR ()+ set_strategy () + add_whitelist () − set_url_pk ()+ contribute_research () + agree_research () + correct_new_url () + verify_pk () + verify_url () + request_EHR () + verify_request () + reaquest_smk_pk () − max_min_credit_attribute ()− punish_s 1()− punish_s 2()+ caculate_credit ()Contribute EHRStruct EHR_sharing{url :string url_hash :bytes32ehr_hash :bytes32correct_url :string patient_pk :bytes32hospital_pk :bytes32doctor_pk :bytes32sig_v :uint8sig_r :bytes32sig_s :bytes32timestamp :unit }+ contribute_EHR ()− verify_pk () + verify_url ()− max_min_credit_attribute ()PatientStruct address_bind_pk{pk :bytes32role :uint }InstitutionStruct address_bind_pk{pk :bytes32role :uint }+ contribute_EHR () + set_access_strategy ()+ contribute_research () + agree_research () + request_EHR ()Contribute research Struct research{r_url :string url_hash :bytes32research_pk :bytes32voteCount :bytes32->uint }+ contribute_research () − verify_pk ()+ verify_url () − audit_vote ()Set access_strategy Struct pk_strategy{credit_threshold :uint strategy :string }+ set_access_strategy () − verify_pk ()Request EHRStruct pk_whitelist{patient_pk :bytes32is_white :bytes32->bool request_credit :bytes32->uint audit_sig_v :bytes32->uint8audit_sig_r :bytes32->bytes32audit_sig_s :bytes32->bytes32smk_pk :bytes32->string timestamp :bytes32->uint }+ request_EHR () − verify_pk ()+ verify_url () − store_smk_pk ()IDMIDM_addr :address − store_smk_pk ()− collusion ()11111nn11n1n 1nCreditStruct credit_attribute{EHR_counts :unit requested_counts :unit research_counts :uint audit_counts :uint role :uinterror_counts :uint correct_counts :uint s 1_counts :uint s 1_blocknmb :uint s 2_counts :uint s 2_blocknmb :uint credit:int }− punish_s 1()− punish_s 2()+ caculate_credit ()11AuditnodeStruct audit_node{audit :uint->bytes32no :uint }− audit_vote ()n m图 4 EHR-SCAC 的智能合约实现Fig. 4 Smart contract implementation of EHR-SCAC600自 动 化 学 报47 卷。
面向外包服务的数据隐私保护关键技术
•引言•数据隐私保护基础•面向外包服务的数据隐私保护技术•增强数据隐私保护的辅助技术•面向外包服务的数据隐私保护挑战与优化目•实验与分析•结论与展望录研究背景与意义随着信息技术的快速发展和外包服务的广泛应用,数据隐私保护问题日益凸显,如何保障数据隐私安全成为亟待解决的问题。
外包服务涉及大量敏感数据,如个人身份信息、交易信息等,这些数据一旦泄露或被不当使用,将对个人隐私和企业利益造成严重损害。
数据隐私保护对于维护公众信任、保障社会公正和促进信息安全具有重要意义,已成为当前研究的热点和难点。
目前,针对外包服务的数据隐私保护主要采用加密技术、访问控制和审计监控等手段。
加密技术通过将敏感数据加密,确保数据在传输和存储过程中不被窃取或篡改。
访问控制通过限制对数据的访问权限,防止敏感数据被非法获取。
审计监控通过对数据访问和使用过程进行实时监测和事后审查,确保数据的合法使用。
然而,现有方法仍存在一些挑战,如加密技术可能导致数据可用性降低,访问控制难以完全防止数据泄露,审计监控易受到攻击和干扰。
研究现状与挑战研究内容与方法研究内容本研究旨在提出一种面向外包服务的数据隐私保护关键技术,通过综合运用加密、访问控制和审计监控等技术手段,提高数据隐私保护的效率和安全性。
研究方法首先对外包服务涉及的数据类型和特点进行分析,然后对现有数据隐私保护技术进行深入研究和对比分析,最后提出一种综合方案并加以实现。
数据隐私定义数据隐私类型数据隐私定义与类型数据隐私保护技术分类数据加密技术01访问控制技术02审计与监控技术03差分隐私算法同态加密算法数据隐私保护常见算法数据加密技术同态加密通过加密通道(如SSL/TLS)传输数据,保证数据在传输过程中的安全,防止中间人攻击窃取数据。
加密传输数据库加密03加密存储数据脱敏技术01随机化02去标识化数据审计技术030201数据完整性校验散列函数数字签名根据用户角色和权限对数据进行访问控制,确保只有授权用户可以访问数据。
基于TPM芯片的可信接入客户端原型系统TNCCS的研究与设计的开题报告
基于TPM芯片的可信接入客户端原型系统TNCCS的研究与设计的开题报告1.研究背景与意义:随着信息技术的不断发展,网络安全问题日益凸显。
针对各种安全威胁的出现,如ARP欺骗、拒绝服务攻击、恶意软件等,已经出现了各种安全解决方案,如防火墙、入侵检测系统、反病毒软件等。
然而,这些安全解决方案通常只能提供有限的保障,由于其局限性或弱点,安全威胁仍然可能会继续存在或者得以规避。
因此,安全方案需要不断地发展和升级,以提高安全级别和有效性。
在这样一个背景下,可信计算和可信网络连接的研究成为了当前信息安全领域的热门话题。
可信计算和可信网络连接以安全硬件为基础,通过将物理特征与数字证书相结合,维护了计算设备和网络之间的信任关系,有效地防止了恶意对计算设备和网络的攻击。
TPM(Trusted Platform Module)芯片是保障计算机可信计算的必要且关键的功能部件之一。
其包括了诸多物理防护功能,如硬件安全边界、存储保护等,同时提供了多种加密算法,实现了安全认证、防篡改数据、秘钥保护等功能。
TPM芯片的安全特性为计算机提供了可信认证和数据保护的基础,是可信计算和可信网络连接的关键技术之一。
2.研究内容和研究方法:本文主要研究基于TPM芯片的可信接入客户端原型系统TNCCS (Trusted Network Connect Client System)的设计和实现。
该系统主要包括TPM驱动、TNCCS客户端与TNCCS服务器三个部分,实现了计算机认证、数据的保护和防篡改等功能。
具体研究内容包括如下几个方面:(1)TPM芯片的原理和功能:介绍TPM芯片的基本原理和功能,包括硬件安全边界、存储保护、多种加密算法等。
(2)TNCCS架构与工作流程:描述TNCCS的架构和客户端与服务器之间的交互工作流程,包括客户端认证、安全通道建立和数据传输等环节。
(3)硬件接口和设备驱动程序:设计并实现针对TPM芯片的硬件接口和设备驱动程序,以提供TPM客户端和TNCCS服务器之间的数据安全保障。
可信云计算平台中外部信任实体的安全性研究
mo e l b e t y d d l l e d sr e .Af ra ay ig t e t r a fal x e a r se n i n t s d co d c mp t g p afr , wi o t n lzn h h e to l e t r l u t d e t y i r t l u o u i lt m e n t t u e n o
1 引 言
云计算 作为 目前计算机领域研究与应用 的热点之 一 , 其 目的是设计 出一种全新 的信息 应用模式 , 把用计算 资源变
未见更 多的深入 探讨 。另 外 , M 等公 司也在研究 可信 云计 I B
算, 但是却没有更多的应用结果发表 出来 。
得像生活 中用 电、 用水一样方便 。因特 网技术 的发展 和计算
2 .中国科学院软件研究所 , 北京 104 ) 00 9 摘要 : 0 年 国外研究者提 出了可信云计算平台模型 , 2 9 0 并给出 了相关设 计。但是在 该模型 中, 未对外 部可信实体 的安 全 并
性进 行分析。由于在整个模 型中所 给出的各类行为与外部可信实体密切相关 , 旦可信实体遭 到威胁 , 一 整个模 型的安全性 将遭到破坏。在分析了可信云计 算平 台 中可 信实体 可能遭 到 的威 胁后 , 出 r通 过应 用可信 计算 技术 处理威 胁 的解决 提
ABS TRACT :n 2 0 I 0 9,fr in r s a c e sh d p o o e h d l ft se l u o ui g p afr o eg e e r h r a r p s d t e mo e o u td co d c mp t lt m.T i mo e , r n o hs dl
基于可信平台模块的互联网应用安全技术研究
基于可信平台模块的互联网应用安全技术研究第一章:引言随着互联网应用技术的发展,人们越来越依赖于互联网来实现工作和生活的各种需求。
同时,网络安全问题也越来越突出,黑客攻击、病毒侵袭、信息泄露等安全风险威胁着用户的信息和财产安全。
为了保障用户的安全,各大互联网企业和应用提供商积极采取各种安全措施,基于可信平台模块的互联网应用安全技术因其独特的易用性和高效性被越来越多的企业所采用。
第二章:可信平台模块技术可信平台模块(TPM)是一种集成电路芯片,通过使用加密技术来保护系统的安全。
TPM主要包括随机数生成器(RNG)、密钥管理程序(KMP)、平台配置寄存器(PCR)、加密/解密引擎和密钥存储器。
其中,PCR用于在系统启动期间记录系统的配置信息,是TPM实现系统完整性验证和安全启动的关键组件。
同时,TPM可以与操作系统和系统BIOS进行集成,在系统启动时保护系统的完整性和安全性。
第三章:基于TPM的互联网应用安全技术基于TPM的互联网应用安全技术主要包括身份认证、访问控制、数据加密、防病毒和防黑客攻击等方面。
首先,通过使用TPM芯片内置的KMP实现身份认证,保护用户登录过程的安全。
其次,在访问控制方面,TPM可以用于实现单点登录和双因素认证,加强对用户身份的保护。
再者,对于数据安全的保护,TPM可以用于数据加密和解密,防止敏感信息在传输和存储过程中被窃取或篡改。
另外,通过使用TPM可以对系统进行病毒和黑客攻击的检测和防御。
第四章:应用案例分析如今,越来越多的企业开始采用基于TPM的互联网应用安全技术来保障用户的安全。
例如,微软公司在其Windows Vista系统中集成了TPM,并使用TPM来实现安全启动和加密文件系统。
另外,华为公司在其云计算平台中采用了TPM技术,实现了对云计算环境下的用户数据和相关操作的安全保护。
第五章:未来展望基于TPM的互联网应用安全技术随着互联网应用的广泛普及和数字化转型的加速发展,必将得到更多的应用,同时也将面临更多的安全挑战。
可信网络安全平台
可信网络安全平台
可信网络安全平台是指由可信机构建立和运营的网络安全服务平台,通过采用一系列可信技术和方法,保证用户在网络环境中的数据和信息安全。
该平台提供的服务包括网络访问控制、数据加密、恶意代码检测、安全事件响应等,以帮助用户有效防范与抵御网络攻击和安全威胁。
首先,可信网络安全平台建立在强大的技术实力与专业知识基础上。
可信机构负责研发和应用最先进的网络安全技术,不断提升平台的可靠性和可信度。
同时,该平台拥有一支高素质的安全专家团队,能够实时监测和分析全球范围内的网络威胁,并及时提供针对性的解决方案。
其次,可信网络安全平台采用多层次的防御机制,保障用户信息的安全。
从网络层面上,该平台通过防火墙、入侵检测系统等技术设备,对网络入侵和攻击行为进行实时监测和拦截。
同时,该平台还建立了丰富的安全策略和规则库,能够防范各类恶意代码和网络攻击。
此外,可信网络安全平台还提供实时的安全事件响应和处置。
一旦发现异常行为或安全事件,平台将立即采取措施进行追踪溯源,并与用户及时沟通,提供解决方案。
同时,平台还定期进行安全演练和渗透测试,提高安全性和稳定性。
最后,可信网络安全平台还注重用户教育和培训。
平台通过定期的网络安全知识普及活动、技术培训和演示,提高用户的安全意识和能力,使用户能够主动参与网络安全防护。
综上所述,可信网络安全平台通过强大的技术实力、多层次的防御机制、及时的安全事件响应和处置以及用户教育和培训,为用户提供全方位的网络安全保障。
在当前信息化时代,应用可信网络安全平台是保护个人和企业重要信息的重要手段,也是实现网络社会安全与稳定的基础。
信息科技外包供应链安全保障方案
信息科技外包供应链安全保障方案随着信息科技的迅速发展,越来越多的企业选择将部分或全部的IT 服务外包给专业的供应商,以降低成本并提高效率。
然而,随之而来的是供应链安全的威胁。
供应链安全是指保护整个供应链中的信息和数据免受未经授权的访问、窃取或破坏。
为了确保信息科技外包供应链的安全,需要采取一系列的保障措施。
建立一个完善的风险评估和管理体系非常重要。
这包括识别和评估供应链中的各种潜在威胁和风险,并制定相应的控制措施来降低这些风险。
供应链中的每个环节都应该被纳入考虑范围,包括供应商的选择和审查、合同的签订和执行、数据的传输和存储等。
同时,应该建立一个紧密合作的合作伙伴关系,与供应商共同努力,共同解决安全问题。
加强对供应商的监督和管理也是确保供应链安全的关键。
企业应该对供应商进行严格的背景调查,并评估其信息安全管理体系的可靠性和有效性。
此外,合同中应明确规定供应商必须遵守的安全要求,并制定相应的奖惩措施来激励供应商遵守合同。
定期的审计和检查也是必不可少的,以确保供应商按照合同履行其安全责任。
信息科技外包供应链安全还需要依靠先进的技术手段来保障。
包括但不限于加密技术、防火墙、入侵检测系统等。
这些技术手段可以有效地防止未经授权的访问和数据泄露,并及时发现和应对安全事件。
此外,企业还可以考虑采用多重身份验证、访问控制和数据备份等措施,以提高系统的安全性。
培训和教育也是信息科技外包供应链安全保障的重要组成部分。
企业应该定期组织安全培训和教育活动,提高员工的安全意识和技能。
员工应了解安全政策和程序,并知道如何应对安全事件和威胁。
只有全员参与,才能够形成一个安全的供应链生态系统。
建立一个安全事件响应机制也是非常重要的。
企业应该制定应急预案,明确安全事件的分类、级别和响应措施。
在发生安全事件时,能够迅速、准确地作出反应,并采取相应的措施来控制和消除安全威胁。
信息科技外包供应链安全保障方案是确保供应链安全的关键。
通过建立风险评估和管理体系、加强对供应商的监督和管理、依靠先进的技术手段、培训和教育以及建立安全事件响应机制,可以有效地保障信息科技外包供应链的安全。
基于多等级信任模型的云平台安全解决方案研究
基于多等级信任模型的云平台安全解决方案研究随着云计算的快速发展,大量的企业正在将自己的业务迁移到云平台上。
虽然云平台的高效、灵活、低成本的优势让企业受益颇多,但是随之而来的是企业在云平台安全方面的担忧。
这个问题尤其重要,因为在云平台上,企业存储的数据往往是核心资产,一旦泄露可能导致不可预估的损失和风险。
因此,建立一个基于多等级信任模型的云平台安全解决方案研究十分必要。
一、云平台安全问题的现状随着云计算的广泛应用,云平台安全问题日益引起人们的关注。
云平台安全问题主要包括以下几个方面:1. DDOS攻击DDOS攻击是最常见的一种云安全问题。
攻击者通过大量伪造的请求阻塞了云平台上的所有服务。
DDOS攻击不仅会影响服务的可用性,而且会导致系统性能下降。
严重的话,会危及系统整体稳定性。
2. 数据泄漏由于云平台的共享性,一个企业的数据存储在云平台上时可能与其他数据共享一个物理服务器。
如果这个物理服务器遭到黑客攻击,企业的数据不可避免地会遭遇泄漏的风险。
3. 身份认证问题身份认证问题同样是一个重要的云平台安全问题。
企业的敏感数据只能被授权人员使用,因此,只有经过身份认证的人才能访问这些敏感信息。
如果出现身份认证问题,黑客可能乘机进入企业系统,偷窃敏感数据。
二、基于多等级信任模型的思路为了解决云平台的安全问题,产生了一种基于多等级信任模型的解决方案。
该方案认为,云平台中不同的服务具有不同的信任级别。
基于这些信任级别,可以采取不同的安全措施,保护企业的数据安全。
1. 设计安全策略基于多等级信任模型的云平台安全解决方案,首先需要设定信任级别,并针对每个信任级别采取不同的安全措施。
例如,对于高信任级别的服务,可以对其进行访问控制、数据加密等措施,以确保数据的保密性和完整性。
同时,需要建立一套完整的安全管理流程,及时发现和防范潜在的安全威胁。
2. 实现服务隔离为了提高云平台的安全性,可以采用服务隔离的措施。
将不同的服务隔离开来,确保每个服务的安全性和独立性。
可信平台模块的形式化分析和测试
可信平台模块的形式化分析和测试
陈小峰
【期刊名称】《计算机学报》
【年(卷),期】2009(032)004
【摘要】可信平台模块(Trusted Platform Module,TPM)是可信计算平台的核心和基础,可信平台模块的功能测试和验证是保证可信平台模块的实现正确性以及规范一致性的重要手段,但是目前尚不存在一种有效严格的可信平台模块测试和功能验证方法,同时可信计算组织给出的TPM规范是描述性的,不利于产品的开发和测试.文中在分析可信平台模块目前存在的一些问题的基础上,以TPM密码子系统为例给出了该子系统的形式化规格说明,并且基于该规格说明,给出了扩展有限状态机模型,最后,将该有限状态机模型应用于测试用例的自动生成,并通过实验验证了形式化测试的有效性.
【总页数】8页(P646-653)
【作者】陈小峰
【作者单位】中国科学院软件研究所信息安全国家重点实验室,北京,100190;信息安全共性技术国家工程研究中心,北京,100190
【正文语种】中文
【中图分类】TP309
【相关文献】
1.面向系统能力的形式化分析和测试方法 [J], 陈平;梁启明;孙伟
2.基于应用π演算的可信平台模块的安全性形式化分析 [J], 徐士伟;张焕国
3.可信平台模块数据保护能力测试与分析 [J], 刘安战;韩玉民
4.基于形式化的测试框架及实例分析 [J], 李元平;李华;阮宏玮;赵俊岚;王彪
5.一种改进的基于认证测试的形式化分析方法 [J], 姚萌萌;朱正超;刘明达
因版权原因,仅展示原文概要,查看原文内容请购买。
《基于可信平台模块的远程证明关键技术研究及其应用》范文
《基于可信平台模块的远程证明关键技术研究及其应用》篇一一、引言随着信息技术的高速发展,网络安全问题日益凸显。
其中,远程证明技术作为一种确保网络安全和可靠性的关键技术,越来越受到广泛关注。
而基于可信平台模块(Trusted Platform Module,简称TPM)的远程证明技术更是其核心组成部分。
本文将就基于TPM的远程证明关键技术研究及其应用进行详细阐述。
二、可信平台模块(TPM)概述TPM是一种硬件安全模块,旨在提供一种可信赖的计算环境。
它通过集成密码学、现代芯片技术和安全策略,为计算机提供硬件级别的安全保障。
TPM不仅可以保护本地数据的安全,还可以通过远程证明技术,为远程用户提供实时的系统安全状态证明。
三、基于TPM的远程证明关键技术研究1. 远程证明协议研究远程证明协议是TPM实现远程证明的关键。
该协议需要确保在远程用户和本地系统之间建立安全、可靠的通信通道。
研究重点包括协议的安全性、效率以及可扩展性等方面。
目前,常用的远程证明协议包括挑战-响应模型和状态报告模型等。
2. 平台身份验证技术研究平台身份验证是确保远程用户对本地系统身份的信任。
通过TPM提供的身份验证机制,可以验证本地系统的身份是否合法。
该技术研究包括身份验证的准确性、可靠性以及快速性等方面。
3. 安全存储和访问控制技术研究为了保护TPM内部的数据和状态信息不被非法访问和篡改,需要研究安全存储和访问控制技术。
这些技术包括密钥管理、加密算法以及访问控制策略等,旨在确保TPM的安全性和可靠性。
四、基于TPM的远程证明技术应用1. 云计算安全在云计算环境中,通过TPM提供的远程证明技术,可以实时地证明云服务器的安全状态,确保用户的数据安全。
此外,TPM 还可以用于实现云服务的身份认证和访问控制,提高云计算的安全性。
2. 物联网安全物联网设备通常具有计算能力有限、易受攻击等特点。
通过在物联网设备上集成TPM模块,可以实现设备身份的验证和安全状态的远程证明,提高物联网设备的安全性。
可信平台模块分析与测试技术研究的开题报告
可信平台模块分析与测试技术研究的开题报告一、选题背景和意义在数字化时代,人们越来越关注信息安全和隐私保护问题。
而可信平台模块(TPM)是一种硬件安全模块,能够在计算机系统中实现隐私保护和安全性。
TPM广泛应用于电子商务、金融等领域,已成为现代计算机系统不可或缺的组成部分。
然而,TPM面临着各种安全性和可信性问题,例如安全漏洞、攻击威胁等。
因此,为了实现可信计算,必须对TPM进行分析和测试。
本文旨在对TPM进行分析和测试研究,涵盖了TPM的结构、功能、安全性和测试技术。
本文的研究对于提高计算机系统的可信性和安全性具有重要意义。
二、研究内容(一)可信平台模块概述介绍可信平台模块(TPM)的概念、功能和应用场景,以及TPM的发展历史和标准化情况。
(二)可信平台模块结构和功能分析针对TPM的结构和功能进行分析,从硬件层面、软件层面和接口层面分别研究TPM的工作原理和机制,分析TPM在计算机系统安全中的作用。
(三)可信平台模块安全分析详细阐述TPM的安全性问题和解决方法,如安全漏洞、攻击、审计和认证等,探讨TPM的安全性与可信性。
(四)可信平台模块测试技术介绍常用的可信平台模块测试方法和技术,如单元测试、集成测试和系统测试等,探讨测试方法对TPM的安全性和可信性的影响,为TPM生态系统的稳健性提供保障。
(五)可信平台模块测试案例分析通过实验和案例分析,检验和验证不同TPM实现的可信性和安全性。
结合测试结果,提出TPM的升级和改进方案。
三、研究方法本文采用文献调研和实验测试相结合的方法,从理论和实践两个层面来探讨TPM 的安全性和可信性。
主要的研究方法包括:(一)文献调研对TPM的理论研究和相关应用领域进行广泛的调研,结合国际标准和实践案例,以全面深入的角度分析TPM的结构、功能、安全性和测试技术。
(二)实验测试基于TPM的性能和安全性问题,设计相关实验和测试用例,利用测试工具和方法,对TPM进行测试和分析。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第35卷第7期电子与信息学报Vol.35No.7 2013年7月 Journal of Electronics & Information Technology Jul. 2013基于可信平台模块的外包数据安全访问方案付东来①②彭新光*①杨玉丽①①(太原理工大学计算机科学与技术学院太原 030024)②(中北大学电子与计算机科学技术学院太原 030051)摘要:为了提高云计算中外包数据访问机制的安全性,该文完善了一种基于树的密钥管理方案,原方案适用于数据拥有者-写-用户-读/写的应用场景。
针对场景中的恶意用户,新机制引入了可信平台模块(Trusted Platform Module, TPM),主要解决了原方案在数据访问过程中由会话密钥、数据加/解密密钥以及用户权限的变更产生的问题。
此外,也考虑了如何确保用户的真实性和用户计算环境的安全性问题。
同时,发现了原方案中的重放攻击和类型缺陷攻击,并提出了修正方案。
最后,应用π演算建模并利用验证工具ProVerif分析了新机制的安全性。
结果表明,新机制增强了原方案的实用性和安全性。
关键词:云计算;访问控制;数据外包;可信计算中图分类号:TP309.2 文献标识码:A 文章编号:1009-5896(2013)07-1766-08 DOI: 10.3724/SP.J.1146.2012.01321Trusted Platform Module-based Scheme forSecure Access to Outsourced DataFu Dong-lai①② Peng Xin-guang① Yang Yu-li①①(Institute of Computer Science and Technology, Taiyuan University of Technology, Taiyuan 030024, China)②(Institute of Electronics and Computer Science and Technology, North University of China, Taiyuan 030051, China)Abstract: To improve the security on accessing outsourced data in cloud computing, the established tree-based key management scheme, which is suitable for the owner-write-users-read/write scenario, is perfected. The new scheme takes full advantage of a hardware chip called Trusted Platform Module (TPM) to deal with malicious users in the scenario. It solves some troubles caused by session keys, other keys for encrypting or decrypting data blocks in the cloud and changes of user access rights. Moreover, these problems, such as ensuring an authentic user and securing his or her computer environment, are also considered. Meantime, the unsafe fact that the original scheme is vulnerable for type and replay attacks is discovered, and the fixed methods are also designed. Finally, the new scheme is modeled using the applied πcalculus, and the safety of the data access procedure is analyzed using the automated reasoning tool named ProVerif. Results indicate that the scheme extended is more practical and safe than the original.Key words: Cloud computing; Access control; Data outsourcing; Trusted computing1引言尽管云存储具有强大的优势,但大多数云用户仍然不敢轻易将敏感数据委托给云存储服务提供商。
安全是云用户的主要担忧。
近几年来被揭示的数据泄露、丢失事件更加加剧了云用户的这种担忧。
比如:谷歌的Docs系统于2009年被未授权用户访问,造成数据泄露[1];云提供商MediaMax在20082012-10-15收到,2013-01-25改回山西省留学基金项目(2009-28),山西省研究生优秀创新项目(20123030),山西省自然科学基金(2009011022-2)和中北大学自然科学基金(2012)资助课题*通信作者:彭新光 sxgrant@ 年丢失了45%的客户数据[2];2007年云服务提供商被犯罪分子盗取大量的客户邮件信息[3]。
因此,对于数据拥有者来讲,安全已成为选择云服务提供商的重要依据。
一般来讲,安全主要指:机密性、完整性和可用性。
当前研究主要解决涉及数据机密性的问题。
对数据实施加密是保证外包数据机密性的一种常见手段,但由于外包数据通常是由许多数据块组成,所以密钥管理是一个主要问题。
最近,一些基于图或树的密钥管理方案被用于云计算的数据外包应用。
比如:Blundo等人[4]提出了一种新颖且具有启发性的方案,用于减轻密钥管理的负担。
在他们第7期付东来等:基于可信平台模块的外包数据安全访问方案 1767的论文中,采用了一种密钥产生图,用户可以通过已有的密钥和公共信令来产生新密钥;Atallah等人[5]构造了一种通用的方案,他的密钥图可以包含环,且仅使用单向哈希函数产生新密钥;为了提高在数据拥有者写-用户读(Owner-Write-Users-Read, OWUR)场景中外包数据访问的效率和安全性,Wang等人[6]提出了一种基于树的密钥管理方案;Zhou等人[7]为了解决拥有者-写-用户读/写(Owner- Write-Users-Read/Write, OWUR/W)的数据外包场景中的问题,在文献[6]的基础上又提出了一种新颖的基于树的密钥管理方案。
尽管这些方案都展现了一个较好的想法,但它们均蕴涵了“参与者均是诚实、可信”的假设条件。
如果参与者中有一个是恶意的话,那么方案的安全性就需要被重新考虑。
最近,一些研究人员针对这个问题已经提出了一些方案。
比如:Tan等人[8]提出了一个基于信任的云计算访问控制模型,模型中信任的计算包括了直接信任和推荐信任。
另一个解决用户可信问题的思路是建立可信执行环境,云用户能够验证云提供商的软、硬件平台完整性。
比如:Chow等人[9]讨论了云计算中的远程证明问题;Cabuk等人[10]利用可信计算、虚拟机安全管理程序以及虚拟机域间增强的信息流安全策略设计了一个可信虚拟执行域。
因为可信平台模块(Trusted Platform Module, TPM)不能在其内部完成数据的加、解密运算,所以安全协处理器[11]也是学者采用的一个主要部件。
文献[7]的方案主要针对OWUR/W的数据外包场景中存在的问题展开研究,其创新之处在于允许拥有不同权限的用户访问外包数据。
据我们所知,其它方案并不提供这种优势。
因此,我们从数据机密性的角度深入分析并完善了该方案。
具体来讲,通过在云用户计算机上嵌入TPM芯片消除了会话密钥的管理问题;借助远程证明技术为敏感数据创建了一个安全使用环境;通过必要时验证用户的身份和权限及给密钥增加时效性的措施,有效地阻止了恶意用户滥用数据节点的加、解密密钥的情况。
最后,针对整个数据访问过程建立了形式化应用π演算模型[12],并使用ProVerif工具验证了这个模型。
此外,还修正了原方案中存在的两个安全攻击。
本文的创新主要在于充分考虑了一个合法但恶意用户的存在。
主要贡献如下:(1)加强了会话密钥的管理:会话密钥在原方案中主要扮演两种角色:识别用户的真实性、确保数据的机密性。
因此,它们需要被小心保护。
在原方案中,这些密钥给各参与者带来较多的麻烦并埋下了安全隐患。
新机制通过引入TPM及其平台身份和配置证明技术不仅增强了会话密钥的安全性,而且减少了会话密钥的管理负担。
因为这些会话密钥总是在需要时被创建并且用完后被立即丢弃。
(2)加强了加、解密密钥的安全管理:在文献[7]的方案中,加/解密密钥与用户的身份、时效和用户的权限完全无关,所以它们有可能被重复使用,这可能导致非授权用户访问数据。
新机制改善了这方面的不足。
(3)加强了云用户计算环境的安全性:通过引入平台配置的远程证明技术确保外包数据在客户端的安全性。
换句话说,新机制能够确保外包数据仅能在数据拥有者制定的安全策略的约束下使用。
(4)修正了原方案容易遭受类型缺陷和重放攻击的不足。
(5)对数据访问过程做了形式化安全分析:建立了数据访问过程的应用π演算模型并使用工具ProVerif进行了验证。
2原方案的分析2.1 模型根据文献[7]的描述,OWUR/W应用场景是云计算中数据外包应用较为常见的现象。
图1给出了这个场景的抽象描述。
原始数据拥有者需要在云存储服务提供商处存储大量信息。
由于云存储服务提供商并不被拥有者所信任,所以这些数据在存放前进行了加密操作。
在这个模型中,外包数据不仅能够被数据拥有者更新,而且可以被其他合法的参与者更新即子树管理员更新。
为了给这些数据提供一种安全的访问机制,Zhou等人采用一种基于树的非对称加密方法。
换句话说,每一个节点的数据都对应了一个加密密钥和两个解密密钥。
节点的主解密密钥不仅可以用于解密而且能够用于产生子节点的密钥,而从解密密钥仅能用于解密。
这个场景包含了4种角色:(1)云存储服务提供商用于提供第三方数据存储服务;(2)数据拥有者持有树的主密钥,即根节点的密图1 OWUR/W应用场景1768 电 子 与 信 息 学 报 第35卷钥,并且负责建立密钥树;(3)子树数据管理员持有一个授权节点的主解密密钥,它能够被用于产生所有子节点的加、解密密钥;(4)用户使用由子树管理员管理的数据块。