(2)可信环境:对加载的重要应用程序和服务进行完整性和一致性验证;将信任链传递到应用层。确保用户惟一身份、权限、工作空间的完整性和可用性;确保存储、处理、传输的机密性和完整性;以及服务和应用程序的完整性。
可信引导能够保证操作系统在引导过程中的可信;但是目前的操作系统还存在诸多的安全问题,不足以为用户提供可信的应用和服务。建立可信环境的目的是将可信链传递到应用层来保障终端安全。
可信环境的建立主要依靠可信机制和安全功能两个方面,其工作流程如图2。
(1)可信机制保障可信链传递到应用层,保障安全功能及安全策略正确实施,在可信增强内核中实现。
● 可信验证机制:结合可信根中保存的预期值,对调用的可执行体或数据进行完整性验证。可信引导将控制权转移给验证过的可信增强内核后,内核自身或用户进程在调用可执行程序时都将利用可信验证机制对其进行验证,通过后才能调用。
● 可信存储和可信报告机制:参考TCG规范设计,能够为内核安全功能和上层应用提供敏感信息的存储和获取系统当前环境状态等服务。
(2)安全功能:遵循保密性、完整性和可用性的安全目标,我们在普通操作系统的基础上进行了安全增强,增加了身份认证、访问控制、透明加解密、一致性验证、网络控制和安全审计等功能。
图2 可信环境工作流程
身份认证对用户登录系统进行检查验证,保证合法用户可以登录系统,防止非法用户使用系统。访问控制实现自主访问控制和强制访问控制功能。透明加解密满足自主保密性和离线保密性需求,确保用户实施自定义保密策略和数据的密文存储,保证其机密性;并防止物理攻击。一致性验证完成对系统可执行文件和用户数据文件的一致性验证功能,防止非授权用户对数据的非法修改。网络控制根据规则,确保用户合法的访问网络资源和限制恶意网站对终端的攻击行为,减少攻击所带来的危害。安全审计在系统的身份验证控制点、文件访问控制点、文件加解密控制点、文件完整性验证控制点以及设备访问控制点,对系统的重要事件和违规事件进行监控,并调用审计记录服务功能进行记录。
在可信环境中,可信计算平台终端通过预定制的安全策略,运用安全功能保障终端安全,实现对终端平台机密性、一致性和可用性的保障,并能够提供一定程度上的防病毒、防黑客功能,极大地提高了平台安全。
(1)机密性:通过自主访问控制对可信计算平台终端所有敏感信息进行透明加解密,保存在磁盘中的内容都是密文。并结合强制访问控制,限制有权限的合法用户才可访问相对应级别的敏感信息,不能访问高级别的信息。
(2)一致性:通过强制访问控制对可执行文件和用户数据文件进行一致性校验。
对可执行文件的验证首先要检查该文件是否存在预期摘要值,如果没有,则为其生成预期摘要值(首次执行);否则计算文件的当前摘要值,和保存的预期摘要值进行比较,如果不一致,则拒绝该文件的执行,并进行审计。对验证失败的文件在系统的备份区查找备份文件,如果存在备份文件,则替换系统中被破坏的文件。
(3)可用性:是在普通操作系统的基础上进行安全增强,与操作系统兼容性好。
在保证机密性、一致性的基础上,透明加解密、一致性校验等功能,对用户透明,不需用户干预,具有良好地可用性。
(4)防病毒:主动式的防病毒策略,并且与病毒类型无关。
通过访问控制机制,对网络的使用进行限制,使得符合网络访问规则的数据内容才能下载到终端平台,防止被病毒感染。即使有可执行程序被病毒感染,由于强制访问的限制,它只能感染有限的数据,并且当该可执行程序再次运行时,会由于一致性校验不成功被删除并可信恢复,将病毒感染程序彻底消除。
(5)防黑客:通过身份认证和对网络的限制使用,如禁用网卡、物理禁用端口等限制,可以有效防止黑客入侵。即使可信计算平台终端存在黑客软件,它也只能访问特定范围内的数据,将破坏降低到最少,并且它所有的违规操作都被审计系统记录下来,终端平台管理员可以根据审计的违规记录对其进行追踪。
4 总结
本文的创新点在于将传统电子商务模式与可信计算平台结合起来,实现了一个电子商务信息安全的新模式。该模式利用可信计算平台可信信息链的传递,在可信环境中确保用户惟一身份、权限、工作空间的完整性和可用性;确保存储、处理、传输的机密性和完整性;以及服务和应用程序的完整性。
参考文献
[1]张毅.电子商务的信息安全及技术研究,http://
[2]徐雪梅.浅谈保障电子商务活动中的信息安全[J].科技情报开发与经济,2003(5)
[3]邵烈雄.信息安全工程研究.硕士学位论文,20031201
[4]王飞,刘毅.可信计算平台安全体系及应用研究.微计算机信息,2007(3-3)P76-78
浅析电子商务的安全技术
基于.NET的交通信息系统的研究与实现