基于可信計算的跨網(wǎng)數(shù)據(jù)安全交換技術(shù)

李 超，韓 翔，劉 釗，趙 利

(1.公安部第一研究所 信息安全部，北京 100048； 2.中國人民公安大學(xué) 信息網(wǎng)絡(luò)安全學(xué)院，北京 100038)

0 引 言

為了確保網(wǎng)絡(luò)的安全，現(xiàn)階段各個領(lǐng)域都采取了物理隔離的方法進行數(shù)據(jù)交換，主要有移動介質(zhì)拷貝、雙網(wǎng)卡主機、FTP傳輸、網(wǎng)閘擺渡和數(shù)據(jù)加密等方式。但是這些方式因物理隔離導(dǎo)致跨網(wǎng)數(shù)據(jù)交換產(chǎn)生困難并容易產(chǎn)生傳輸時延，且安全性能較差。研究如何設(shè)計一種在不同網(wǎng)絡(luò)之間進行數(shù)據(jù)安全交換的方法，防止交換數(shù)據(jù)泄露、控制數(shù)據(jù)訪問權(quán)限，實現(xiàn)跨網(wǎng)絡(luò)數(shù)據(jù)安全交換，具有重要意義。

本文針對現(xiàn)有技術(shù)在跨網(wǎng)數(shù)據(jù)交換過程中的不足，設(shè)計并實現(xiàn)了一種軟硬件相結(jié)合的、基于可信計算的跨網(wǎng)數(shù)據(jù)安全交換方案。該方案采用可信計算對系統(tǒng)進程、系統(tǒng)數(shù)據(jù)資源進行加固防護，采取了內(nèi)外兼防、防內(nèi)為主的模式來保護數(shù)據(jù)交換系統(tǒng)。從硬件層面防止系統(tǒng)數(shù)據(jù)被篡改，并控制數(shù)據(jù)訪問權(quán)限，防止非法程序讀取數(shù)據(jù)。同時為了保證系統(tǒng)自身操作行為安全，對數(shù)據(jù)交換行為進行審計，便于追蹤溯源。通過測試，該系統(tǒng)可防止系統(tǒng)進程被篡改、數(shù)據(jù)泄露、網(wǎng)絡(luò)黑客入侵和病毒攻擊等問題。

1 跨網(wǎng)數(shù)據(jù)交換技術(shù)現(xiàn)狀

1.1 移動介質(zhì)拷貝

傳統(tǒng)的方式是將需要跨網(wǎng)交換的數(shù)據(jù)人工拷貝至移動硬盤等移動存儲介質(zhì)進行跨網(wǎng)數(shù)據(jù)交換。移動硬盤等移動存儲介質(zhì)容量大、便于攜帶、使用方便靈活，在進行跨網(wǎng)數(shù)據(jù)交換時，由于實現(xiàn)了物理隔離，故其具有比較高的安全性。但此種方式存在幾個方面的不足：只有部分被授權(quán)的人員才有資格進行數(shù)據(jù)的拷貝，無滿足日益增長的數(shù)據(jù)交換；實時性較差，無法實現(xiàn)即時傳輸；存在一定的安全隱患，容易導(dǎo)致數(shù)據(jù)拷貝錯誤、被篡改問題，移動存儲介質(zhì)容易被病毒感染[1]，交換數(shù)據(jù)缺乏審計，無法保證數(shù)據(jù)傳輸?shù)耐暾浴?/p>

1.2 雙網(wǎng)卡主機

雙網(wǎng)卡主機是指在一臺主機上安裝兩塊網(wǎng)卡，兩塊網(wǎng)卡分別連接兩個不同的網(wǎng)絡(luò)，將其中一個網(wǎng)絡(luò)的數(shù)據(jù)通過雙網(wǎng)卡主機傳輸?shù)搅硪粋€網(wǎng)絡(luò)中。采用雙網(wǎng)卡主機的跨網(wǎng)數(shù)據(jù)交換方式，數(shù)據(jù)傳輸?shù)乃俣容^快，可對數(shù)據(jù)文件進行審查，易對病毒進行排查，并可集中管控數(shù)據(jù)。但是該傳輸方式的安全性難以得到保障，并且硬件的實施成本較高，缺乏傳輸審計功能。

1.3 FTP傳輸

文件傳輸協(xié)議(file transfer protocol，F(xiàn)TP)是用于在網(wǎng)絡(luò)上進行文件傳輸?shù)囊惶讟?biāo)準協(xié)議，是比較普遍、傳統(tǒng)的一種跨網(wǎng)數(shù)據(jù)傳輸方式，F(xiàn)TP允許用戶以文件操作的方式(如文件的增、刪、改、查、傳送等)與另一主機相互通信，此種方式實施的成本較低，可檢查文件中是否存在病毒，操作相對簡單。但是FTP傳輸不適合大文件的傳輸，且該方式的安全性難以保證，有著很大的傳輸時延，容易出現(xiàn)傳輸錯誤、傳輸中斷等問題，缺少審計的功能。

1.4 網(wǎng)閘、光閘擺渡

網(wǎng)閘(GAP),全稱安全隔離網(wǎng)閘,通過渡船式的數(shù)據(jù)傳輸實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)的擺渡。網(wǎng)閘一般由內(nèi)部主機、外部主機和專用隔離開關(guān)系統(tǒng)組成，在同一時間點，網(wǎng)閘只與內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)其中一個網(wǎng)絡(luò)進行數(shù)據(jù)交換，即當(dāng)網(wǎng)閘連接到外部網(wǎng)絡(luò)時,此時該網(wǎng)閘會自動同內(nèi)部網(wǎng)絡(luò)的主機斷開,保證內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)不進行信息的交換，實現(xiàn)兩個網(wǎng)絡(luò)之間的物理隔離[2]。光閘(FGAP)是在網(wǎng)閘的繼承和發(fā)展，用于涉密網(wǎng)到非涉密網(wǎng)、高密級網(wǎng)絡(luò)到低密級網(wǎng)絡(luò)的數(shù)據(jù)傳輸，防止涉密網(wǎng)和高密級網(wǎng)絡(luò)關(guān)鍵敏感信息的泄露。光閘的基本原理是基于光的單向性，采用分光裝置將待傳輸?shù)臄?shù)據(jù)鏡像到目標(biāo)位置，實現(xiàn)數(shù)據(jù)的傳輸[3]。使用網(wǎng)閘、光閘進行數(shù)據(jù)跨網(wǎng)絡(luò)的單向傳輸，可能會產(chǎn)生單通道失效的問題，且其傳輸速率已確定，無法擴展，無法滿足各個應(yīng)用不同傳輸速率的要求，沒有交換記錄，無法對數(shù)據(jù)交換行為進行審計。

1.5 數(shù)據(jù)加密傳輸和存儲

數(shù)據(jù)加密傳輸和存儲的跨網(wǎng)數(shù)據(jù)交換流程一般由數(shù)據(jù)采集、數(shù)據(jù)交換和數(shù)據(jù)分發(fā)3個主要模塊組成。數(shù)據(jù)采集模塊從源端數(shù)據(jù)源獲取業(yè)務(wù)數(shù)據(jù)，對業(yè)務(wù)數(shù)據(jù)進行格式檢查、安全過濾等操作，對不符合要求的數(shù)據(jù)拒絕處理。數(shù)據(jù)交換模塊先將業(yè)務(wù)數(shù)據(jù)文件進行軟件級加密處理，再把加密后的數(shù)據(jù)文件寫入磁盤數(shù)據(jù)目錄中，數(shù)據(jù)交換模塊從磁盤數(shù)據(jù)目錄中讀取數(shù)據(jù)文件，并將數(shù)據(jù)文件交換至對端數(shù)據(jù)單元，將加密后的數(shù)據(jù)文件寫入磁盤數(shù)據(jù)目錄中。數(shù)據(jù)分發(fā)模塊從磁盤中讀取加密的文件，檢查數(shù)據(jù)文件完整性，拒絕處理不完整數(shù)據(jù)文件，并進行解密處理，獲得原始數(shù)據(jù)，最后將解密后的業(yè)務(wù)數(shù)據(jù)分發(fā)至目標(biāo)數(shù)據(jù)源。

數(shù)據(jù)加密傳輸和存儲的跨網(wǎng)數(shù)據(jù)交換的方式存在的不足：操作系統(tǒng)內(nèi)部對執(zhí)行代碼未做一致性校驗；操作系統(tǒng)內(nèi)部對資源訪問未做嚴格的控制；定期系統(tǒng)升級可以防范已知威脅，但對于未知威脅的防護能力弱；業(yè)務(wù)數(shù)據(jù)在數(shù)據(jù)交換系統(tǒng)內(nèi)部存在數(shù)據(jù)泄露風(fēng)險。

上述方式均未記錄數(shù)據(jù)交換的過程，不能對數(shù)據(jù)交換行為進行審計，在交換過程中也未對數(shù)據(jù)完整性進行校驗，故無法保證數(shù)據(jù)傳輸?shù)耐暾浴ｋS著黑客入侵、病毒攻擊、內(nèi)部違規(guī)操作等網(wǎng)絡(luò)安全問題不斷升級，上述方式已無法滿足人們對跨網(wǎng)數(shù)據(jù)交換的需求。

2 基于可信計算的跨網(wǎng)數(shù)據(jù)安全交換技術(shù)方案設(shè)計

可信計算是在計算和通信系統(tǒng)中廣泛使用基于硬件安全模塊支持下的可信計算平臺?？尚庞嬎闶窃谟嬎愫屯ㄐ畔到y(tǒng)中廣泛使用基于硬件安全模塊支持下的可信計算平臺[4]，其組件、操作或過程的行為在任意條件下是可預(yù)測的[5]，并能很好地抵抗應(yīng)用程序軟件、病毒以及一定物理干擾造成的破壞，可以維護計算機系統(tǒng)用戶本身的利益和外來用戶的正常運行[6]，提高了系統(tǒng)整體的安全性。

現(xiàn)階段可信計算的研究較為領(lǐng)先的是可信計算平臺聯(lián)盟(trusted computing platform alliance，TCPA)和微軟的下一代安全計算基[7]。

2.1 跨網(wǎng)數(shù)據(jù)交換方案設(shè)計

為解決現(xiàn)有技術(shù)在跨網(wǎng)數(shù)據(jù)交換過程中對數(shù)據(jù)保護力度不足的問題，本文提出了一種采用可信計算加固對系統(tǒng)進程、系統(tǒng)數(shù)據(jù)資源進行防護的方案，可防止系統(tǒng)進程被篡改、數(shù)據(jù)泄露等問題。

2.1.1 硬件設(shè)計

基于可信計算的跨網(wǎng)數(shù)據(jù)交換方案中的硬件結(jié)構(gòu)設(shè)計將整個數(shù)據(jù)交換過程分為外部網(wǎng)絡(luò)、隔離區(qū)和內(nèi)部網(wǎng)絡(luò)3個部分。內(nèi)、外部網(wǎng)絡(luò)是數(shù)據(jù)交換的數(shù)據(jù)源和目的地，隔離區(qū)是基于可信計算的數(shù)據(jù)交換系統(tǒng)。硬件結(jié)構(gòu)為雙主板主機構(gòu)成，分為外網(wǎng)交換單元和內(nèi)網(wǎng)交換單元，內(nèi)部交換單元接收并轉(zhuǎn)發(fā)來自內(nèi)部網(wǎng)絡(luò)需要交換的數(shù)據(jù)，外部交換單元接收并轉(zhuǎn)發(fā)來自內(nèi)部交換單元的數(shù)據(jù)。兩塊主板上均安裝可信加固硬件，在硬件層面解決了數(shù)據(jù)防篡改問題。

來自外部網(wǎng)絡(luò)的數(shù)據(jù)傳輸?shù)礁綦x區(qū)后，先在外網(wǎng)交換單元進行數(shù)據(jù)接收格式檢查，實現(xiàn)安全過濾，再傳輸?shù)絻?nèi)網(wǎng)交換單元，做完整性校驗后進行數(shù)據(jù)分發(fā)；來自內(nèi)部網(wǎng)路的數(shù)據(jù)也需傳輸?shù)礁綦x區(qū)，通過內(nèi)網(wǎng)交換單元進行數(shù)據(jù)格式檢查，實現(xiàn)安全過濾，在外網(wǎng)交換單元進行數(shù)據(jù)的完整性校驗和數(shù)據(jù)分發(fā)。通過基于可信計算的系統(tǒng)硬件結(jié)構(gòu)實現(xiàn)應(yīng)用可信、配置可信、訪問可信。硬件設(shè)計如圖1所示。

圖1 硬件設(shè)計

硬件結(jié)構(gòu)：

系統(tǒng)硬件采用雙主板設(shè)計，內(nèi)部兩塊主板，分別為外網(wǎng)交換單元(主板1)和內(nèi)網(wǎng)交換單元(主板2)，中間由高速專用通道連接，硬件內(nèi)部結(jié)構(gòu)如圖2所示。

圖2 硬件內(nèi)部結(jié)構(gòu)

(1)外網(wǎng)交換單元(主板1)對外提供網(wǎng)絡(luò)接口，實現(xiàn)與外部網(wǎng)絡(luò)的雙向網(wǎng)絡(luò)連接、通信。內(nèi)網(wǎng)交換單元(主板2)對外提供的網(wǎng)絡(luò)接口實現(xiàn)與內(nèi)部網(wǎng)絡(luò)的雙向網(wǎng)絡(luò)連接、通信。

(2)外網(wǎng)交換單元內(nèi)部發(fā)送光纖網(wǎng)卡與內(nèi)網(wǎng)交換單元內(nèi)部接收光纖網(wǎng)卡用單向光纖線連接,實現(xiàn)數(shù)據(jù)從外網(wǎng)交換單元單向發(fā)送至內(nèi)網(wǎng)交換單元。

(3)外網(wǎng)交換單元內(nèi)部接收光纖網(wǎng)卡與內(nèi)網(wǎng)交換單元內(nèi)部發(fā)送光纖網(wǎng)卡用單向光纖線連接,實現(xiàn)數(shù)據(jù)從內(nèi)網(wǎng)交換單元單向發(fā)送至外網(wǎng)交換單元。

(4)內(nèi)網(wǎng)交換單元和外網(wǎng)交換單元主板均通過PCI-E接口安裝可信加固卡，實現(xiàn)可信計算。

實現(xiàn)原理：

(1)外網(wǎng)交換單元和內(nèi)網(wǎng)交換單元主板上均安裝可信加固卡硬件，通過可信加固卡硬件安全模塊，建立從信任根開始到硬件平臺、操作系統(tǒng)、應(yīng)用程序的可信鏈，確保整個跨網(wǎng)數(shù)據(jù)安全交換系統(tǒng)可信[8]。

(2)外網(wǎng)交換單元和內(nèi)網(wǎng)交換單元中間由兩條單向高速專用數(shù)據(jù)傳輸通道連接，分別為數(shù)據(jù)單向進通道和數(shù)據(jù)單向出通道。外部網(wǎng)絡(luò)的數(shù)據(jù)要傳輸至內(nèi)部網(wǎng)絡(luò)，使用數(shù)據(jù)單向進通道，內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)要傳輸至外部網(wǎng)絡(luò)，使用數(shù)據(jù)單向出通道，兩個通道獨立傳輸數(shù)據(jù)、互不影響。專用通道的發(fā)送和接收網(wǎng)卡采用萬兆光纖網(wǎng)卡設(shè)計，滿足數(shù)據(jù)高速傳輸要求。

硬件材料組成：

(1)雙主板主機：2U機架式機箱，內(nèi)部上、下兩塊主板，每塊主板都配置有CPU、內(nèi)存、磁盤等硬件器件。其中CPU采用國產(chǎn)龍芯CPU，搭載國產(chǎn)中標(biāo)麒麟操作系統(tǒng)，實現(xiàn)主要硬件部件到操作系統(tǒng)的國產(chǎn)化方案。

(2)萬兆光纖網(wǎng)卡：兩塊萬兆光纖網(wǎng)卡分別安裝在兩塊主板上，用于兩塊主板之間的單向高速專用通道連接。

(3)可信加固卡：可信加固塊是一個含有密碼運算部件和存儲部件的小型片即可信硬件安全模塊，通過密鑰技術(shù)、硬件訪問控制技術(shù)和存儲加密等技術(shù)保證系統(tǒng)和數(shù)據(jù)的信任狀態(tài)[9]。

2.1.2 軟件設(shè)計

跨網(wǎng)數(shù)據(jù)交換的軟件主要由數(shù)據(jù)采集、交換和分發(fā)3個模塊組成。以下是跨網(wǎng)數(shù)據(jù)交換的全流程，如流程如圖3所示。

圖3 跨網(wǎng)數(shù)據(jù)交換流程

數(shù)據(jù)進行跨網(wǎng)交換流程具體如下：

(1)數(shù)據(jù)采集：從數(shù)據(jù)源獲取業(yè)務(wù)數(shù)據(jù)；

(2)數(shù)據(jù)檢查：對業(yè)務(wù)數(shù)據(jù)進行格式檢查、安全過濾等操作，拒絕處理對不符合要求的數(shù)據(jù)；

(3)數(shù)據(jù)加密：將業(yè)務(wù)數(shù)據(jù)文件做加密處理；

(4)數(shù)據(jù)寫入：將加密后的數(shù)據(jù)文件寫入磁盤數(shù)據(jù)目錄中；

(5)可信檢測：在進程讀取數(shù)據(jù)文件時，可信加固程序?qū)⑴袛嘣撨M程是否為經(jīng)過認證，并進行一致性校驗，判斷程序是否被篡改，只允許通過可信認證且未經(jīng)篡改的程序進程讀取數(shù)據(jù)文件，保護數(shù)據(jù)安全；

(6)數(shù)據(jù)讀取：數(shù)據(jù)交換模塊從磁盤數(shù)據(jù)目錄中讀取數(shù)據(jù)文件；

(7)數(shù)據(jù)交換：數(shù)據(jù)交換模塊將數(shù)據(jù)文件從外網(wǎng)交換單元交換至內(nèi)網(wǎng)交換單元；

(8)數(shù)據(jù)寫入：將加密后的數(shù)據(jù)文件寫入磁盤數(shù)據(jù)目錄中；

(9)可信檢測：無論是數(shù)據(jù)交換模塊還是數(shù)據(jù)分發(fā)模塊以及任何想要讀取數(shù)據(jù)文件的行為時都要進行可信檢測，只允許通過可信認證且未經(jīng)篡改的程序進程讀取數(shù)據(jù)文件，保護數(shù)據(jù)安全。

(10)數(shù)據(jù)讀取：數(shù)據(jù)分發(fā)模塊從磁盤數(shù)據(jù)目錄中讀取數(shù)據(jù)文件；

(11)完整性校驗：檢查數(shù)據(jù)文件完整性，拒絕處理不完整數(shù)據(jù)文件；

(12)數(shù)據(jù)解密：將數(shù)據(jù)文件解密，獲得原始數(shù)據(jù)；

(13)數(shù)據(jù)分發(fā)：將解密后的業(yè)務(wù)數(shù)據(jù)分發(fā)至目標(biāo)數(shù)據(jù)源。

2.2 跨網(wǎng)數(shù)據(jù)交換審計設(shè)計

基于可信計算的跨網(wǎng)數(shù)據(jù)傳輸依賴于硬件設(shè)備，故無法得知數(shù)據(jù)傳輸?shù)倪^程信息和結(jié)果，為了防止所有待傳輸數(shù)據(jù)出現(xiàn)遺漏，或因網(wǎng)絡(luò)中斷等原因引起的傳輸中斷，保證傳輸數(shù)據(jù)的完整性，該方法設(shè)有跨網(wǎng)數(shù)據(jù)交換的審計功能[10]。審計的功能主體為審計日志，審計日志的內(nèi)容包括數(shù)據(jù)交換的起止時間、發(fā)送方和接收方端口、交換的內(nèi)容、管理員的操作行為等。通過查閱日志信息，發(fā)送方可核實待傳輸數(shù)據(jù)是否已經(jīng)完成傳輸，以及造成傳輸中斷的原因和中斷位置，接收方可判斷是否接收已全部待接收數(shù)據(jù)。

審計日志主要記錄了所有操作人員和管理員的所有操作行為。日志記錄實行統(tǒng)一標(biāo)準的格式加密存儲和傳輸，并定期備份和存檔，只有被授權(quán)的審計管理人員才有權(quán)限查看存檔。審計人員通過定期查看存檔，提取并查看交換的歷史記錄，核實交換內(nèi)容，排查非法傳輸行為，且查看行為也將被記錄，避免出現(xiàn)未預(yù)期的刪除、修改或覆蓋等行為。若日志信息涉及到涉密的內(nèi)容，需要對日志信息進行脫敏處理，維護敏感信息的安全性。審計員可以通過審計日志用來判斷敏感信息是否被泄漏，查實審計記錄中的發(fā)送方和接收方等信息，追查造成泄漏的責(zé)任主體，追究相關(guān)責(zé)任[11]。

3 跨網(wǎng)數(shù)據(jù)安全交換技術(shù)的安全性分析

3.1 對數(shù)據(jù)文件的保護

可信加固對數(shù)據(jù)文件的保護。任何對數(shù)據(jù)目錄文件的讀取行為都將受到可信檢測，非認證程序不被允許訪問數(shù)據(jù)目錄，詳細實現(xiàn)過程如下：

(1)可信加固程序?qū)崟r監(jiān)控數(shù)據(jù)目錄/data/；

(2)監(jiān)測到有讀取數(shù)據(jù)目錄文件的行為時，獲取數(shù)據(jù)讀取進程，將進程程序與白名單中的程序比較，判斷是否為已認證程序；

(3)如果是非認證程序，則拒絕數(shù)據(jù)文件讀取操作。數(shù)據(jù)文件保護流程如圖4所示。

圖4 數(shù)據(jù)文件保護流程

通過對數(shù)據(jù)文件的保護，可以有效防止攻擊者非法獲取數(shù)據(jù)內(nèi)容。使用U盤等復(fù)制數(shù)據(jù)、通過網(wǎng)絡(luò)發(fā)送文件至其它服務(wù)器、篡改數(shù)據(jù)文件、刪除數(shù)據(jù)文件等不法行為都會失敗，保障數(shù)據(jù)不被泄露、篡改，任何人員不能非法傳輸數(shù)據(jù)。

3.2 對應(yīng)用程序的保護

可信加固對應(yīng)用程序的保護，包括應(yīng)用程序啟動檢測和應(yīng)用程序文件篡改檢測，詳細實現(xiàn)過程如下：

(1)白名單控制機制：首先對系統(tǒng)進行完整掃描，對二進制文件、可執(zhí)行文件做哈希值記錄，保存于白名單中；

內(nèi)核模塊根據(jù)白名單庫對程序執(zhí)行進行控制。當(dāng)檢測到執(zhí)行程序的啟動時，內(nèi)核模塊首先提取啟動程序的哈希值，然后對比白名單庫中的內(nèi)容哈希值，如果白名單庫中存在該記錄，則允許其執(zhí)行，反之則拒絕程序執(zhí)行；

(2)實時監(jiān)控應(yīng)用程序目錄/app/；

(3)監(jiān)測到有應(yīng)用程序文件修改行為時，提取擬修改文件內(nèi)容的哈希值，然后比對白名單庫中的內(nèi)容哈希值，如果白名單庫中存在該記錄，則允許修改，反之則拒絕修改。

通過可信加固對應(yīng)用程序保護后，禁止更換程序文件、篡改程序文件等行為，數(shù)據(jù)交換程序無法被篡改，攻擊者無法獲取數(shù)據(jù)，可以有效防止攻擊者通過非法篡改應(yīng)用程序竊取數(shù)據(jù)。應(yīng)用程序保護流程如圖5所示。

圖5 應(yīng)用程序保護流程

4 跨網(wǎng)數(shù)據(jù)交換安全性驗證

4.1 跨網(wǎng)數(shù)據(jù)交換環(huán)境測試驗證

本文在進行基于可信計算的跨網(wǎng)數(shù)據(jù)交換安全性測試中，分別從硬件環(huán)境、軟件環(huán)境和可信環(huán)境3個方面進行了準備。

4.1.1 硬件環(huán)境

采用2U標(biāo)準機架式工控主機，內(nèi)置上下兩塊主板，每塊主板配置：CPU龍芯3A4000 1.5 GHz～2.0 GHz，8 G內(nèi)存，240 G固態(tài)硬盤,通過PCI-E接口擴展可信加固卡和萬兆光纖網(wǎng)卡。硬件設(shè)備內(nèi)部設(shè)計如圖6所示。

圖6 設(shè)備內(nèi)部實物

4.1.2 軟件環(huán)境

在測試環(huán)境中，我們使用國產(chǎn)中標(biāo)麒麟V7的操作系統(tǒng)，安裝了可信華泰公司的可信終端控制軟件、可信操作系統(tǒng)免疫平臺、數(shù)據(jù)采集客戶端、數(shù)據(jù)交換系統(tǒng)、監(jiān)管審計系統(tǒng)。

4.1.3 可信環(huán)境

(1)白名單與靜態(tài)度量

通過可信操作系統(tǒng)免疫平臺為可信終端配置程序白名單，如圖7所示。

圖7 程序白名單信息

將系統(tǒng)運行所需軟件程序納入靜態(tài)度量防護中，如圖8所示。靜態(tài)度量指在一個實體發(fā)生運行空間轉(zhuǎn)換，產(chǎn)生狀態(tài)翻轉(zhuǎn)時觸發(fā)的一次完整性度量，包括操作系統(tǒng)引導(dǎo)期間的度量，進程啟動時度量等。

圖8 靜態(tài)度量策略

(2)數(shù)據(jù)文件授權(quán)與保護

將數(shù)據(jù)目錄/data/的讀、寫、創(chuàng)建、刪除和獲取權(quán)限授權(quán)給數(shù)據(jù)交換進程dataproc，并限制其他用戶、進程等主體訪問，如圖9所示。

圖9 數(shù)據(jù)目錄保護策略

(3)應(yīng)用程序保護

將數(shù)據(jù)交換應(yīng)用程序目錄/app/dataproc的讀、執(zhí)行和獲取權(quán)限授權(quán)給root系統(tǒng)用戶，并限制其他用戶、進程等主體訪問，如圖10所示。

圖10 程序目錄保護策略

4.2 數(shù)據(jù)文件保護測試驗證

4.2.1 測試準備

(1)首先，可信終端已開啟數(shù)據(jù)文件保護自主訪問控制策略；

(2)其次，假定攻擊者已通過某種手段獲取到系統(tǒng)的root權(quán)限。

4.2.2 測試過程

(1)將數(shù)據(jù)文件復(fù)制到U盤上，復(fù)制操作失??；

(2)將數(shù)據(jù)文件通過網(wǎng)絡(luò)發(fā)送到其它服務(wù)器，發(fā)送操作失??；

(3)查看數(shù)據(jù)文件內(nèi)容，查看操作失?。?/p>

(4)篡改或替換數(shù)據(jù)文件，篡改和替換操作失敗；

(5)刪除數(shù)據(jù)文件，刪除操作失敗。

4.2.3 測試結(jié)論

測試過程及結(jié)果記錄如圖11所示。

圖11 數(shù)據(jù)文件保護測試驗證過程及結(jié)果

通過測試驗證，發(fā)現(xiàn)跨網(wǎng)的交換數(shù)據(jù)和文件不可被泄露或篡改，不能非法傳輸業(yè)務(wù)數(shù)據(jù)。

4.3 應(yīng)用程序保護測試驗證

4.3.1 測試準備

(1)首先，可信終端已開啟應(yīng)用程序保護自主訪問控制策略，應(yīng)用程序文件信息已錄入白名單庫；

(2)其次，假定攻擊者已通過某種手段獲取到系統(tǒng)的root權(quán)限。

4.3.2 測試過程

(1)更換程序文件，更換文件操作失敗；

(2)篡改程序文件，篡改文件操作失敗。

4.3.3 測試結(jié)論

測試過程及結(jié)果記錄如圖12所示。

圖12 應(yīng)用程序保護測試過程及結(jié)果

通過測試驗證，發(fā)現(xiàn)數(shù)據(jù)交換程序無法被替換或篡改，無法通過替換或篡改應(yīng)用程序進而非法獲取業(yè)務(wù)數(shù)據(jù)。

4.4 數(shù)據(jù)交換測試

該部分測試為在跨網(wǎng)數(shù)據(jù)交換系統(tǒng)在全部開啟可信安全策略的情況下，驗證跨網(wǎng)數(shù)據(jù)交換是否滿足用戶對于功能與性能的要求。

4.4.1 測試準備

首先對數(shù)據(jù)交換任務(wù)進行配置，分別配置外網(wǎng)和內(nèi)網(wǎng)數(shù)據(jù)源信息，如圖13所示為配置內(nèi)網(wǎng)數(shù)據(jù)庫資源。

圖13 配置內(nèi)網(wǎng)數(shù)據(jù)庫資源

4.4.2 數(shù)據(jù)交換過程

(1)創(chuàng)建數(shù)據(jù)交換任務(wù)：我們在系統(tǒng)的任務(wù)管理模塊中創(chuàng)建數(shù)據(jù)交換任務(wù)，并配置數(shù)據(jù)庫表，如圖14、圖15所示。

圖14 選擇任務(wù)類型

圖15 配置數(shù)據(jù)庫表

根據(jù)上述數(shù)據(jù)交換任務(wù)配置過程，創(chuàng)建多個不同類型的數(shù)據(jù)交換任務(wù)。

(2)數(shù)據(jù)交換過程：在啟動數(shù)據(jù)交換任務(wù)后，在源端數(shù)據(jù)源中持續(xù)放入數(shù)據(jù)，查看目標(biāo)數(shù)據(jù)源中是否有數(shù)據(jù)持續(xù)傳入。

4.4.3 測試結(jié)論

檢查數(shù)據(jù)準確性，并記錄數(shù)據(jù)傳輸時間，測試數(shù)據(jù)交換傳輸性能。具體測試數(shù)據(jù)及結(jié)果見表1。

表1 數(shù)據(jù)交換任務(wù)性能

通過測試驗證，發(fā)現(xiàn)數(shù)據(jù)交換系統(tǒng)在數(shù)據(jù)交換過程中具有較高的跨網(wǎng)數(shù)據(jù)交換效率，同時可以保證系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全的能力。

5 結(jié)束語

本文針對跨網(wǎng)絡(luò)隔離環(huán)境下的移動介質(zhì)拷貝、雙網(wǎng)卡主機、FTP傳輸、網(wǎng)閘擺渡、數(shù)據(jù)加密傳輸和存儲等數(shù)據(jù)交換方式存在的不足，提出一種基于可信計算的跨網(wǎng)數(shù)據(jù)安全交換的方法，設(shè)計了軟硬件結(jié)合的跨網(wǎng)數(shù)據(jù)交換系統(tǒng)，并進行了測試驗證。該方法采取了內(nèi)外兼防、防內(nèi)為主的模式來保護數(shù)據(jù)交換系統(tǒng)，從硬件層面防止系統(tǒng)數(shù)據(jù)被篡改，并控制數(shù)據(jù)訪問權(quán)限，只允許合法數(shù)據(jù)交換進程訪問磁盤上的業(yè)務(wù)數(shù)據(jù)，防止非法程序讀取數(shù)據(jù)，以免數(shù)據(jù)泄露。同時為了保證系統(tǒng)自身操作行為安全，對數(shù)據(jù)交換行為進行審計，便于追蹤溯源。

經(jīng)測試驗證，本方法保護業(yè)務(wù)數(shù)據(jù)在經(jīng)過跨網(wǎng)數(shù)據(jù)交換系統(tǒng)存儲、傳輸過程不被任何非法程序進程、設(shè)備及人員訪問，避免出現(xiàn)數(shù)據(jù)泄露，增強了跨網(wǎng)數(shù)據(jù)傳輸?shù)陌踩?；同時保護了核心配置文件不被非法篡改，對系統(tǒng)所有操作行為進行安全審計，提高了系統(tǒng)自身的安全性，從而可保證數(shù)據(jù)在跨網(wǎng)傳輸過程的完整性和不可抵賴性。