数据安全交换若干关键技术研究
本文选题:数据安全交换 切入点:流交换 出处:《北京交通大学》2016年博士论文 论文类型:学位论文
【摘要】:为了防止不同安全要求的网络、不同重要程度的信息系统之间恶意代码传播、信息泄露等安全风险的传递与扩散,通过网络隔离、安全分域控制等技术,为不同网络或不同信息系统之间构建起严格的保护和隔离壁垒;然而在实际的应用中这些隔离的网络或信息系统之间必然存在数据安全交换的需求。本文以实现不同网络或不同信息系统之间的数据交换、信息共享、控制风险传递、防止信息泄露为目标,针对目前数据安全交换中缺乏对交换行为的动态监管问题,研究交换进程行为可信分析与验证方法;针对大规模复杂网络环境下跨域流交换的安全性问题,研究基于代理重签名的跨域流安全交换技术。针对共享平台下交换数据流不可信问题,研究共享平台下动态可验证流安全交换技术。最终通过仿真试验和理论分析的手段评价和比较所设计机制与算法的性能,为数据安全交换的实现提供新理论、方法和技术支撑。本文的主要研究工作及创新点如下:(1)提出一种基于无干扰理论的交换进程行为可信性分析方法,为交换进程行为的动态管控提供理论依据。该方法将无干扰理论与可信计算的思想相结合,首先从交换进程的角度对交换行为进行形式化建模,然后根据数据安全交换的特点将对交换进程行为的分析分为两个阶段:单交换进程行为可信性分析阶段和多交换进程行为可信性分析阶段。分别给出不同阶段下交换进程行为可信的约束规则,交换进程行为可信性判定定理及安全证明。在多交换进程行为可信性分析的基础上进一步将多交换进程扩展为集中模式和分布式模式,并给出不同模式下交换进程行为可信的约束规则,交换进程行为可信性判定定理及安全证明。在以上理论研究的基础上,进一步提出一种网络环境下的交换进程行为可信性验证框架,并详细描述了网络环境下对交换进程行为进行验证的过程。最后以互联网电子政务中不同安全域间数据安全交换为背景,给出该方法的一个具体的应用实例,从而说明该方法的实用性和可用性。(2)提出一种用于流交换的基于陷门hash函数的代理重签名方案。首先,针对陷门hash函数在流交换应用中存在的密钥泄露问题,即当有多个用户对不同消息使用相同的陷门hash值时,可以从中推导出陷门密钥信息,提出一种新的基于椭圆曲线的无密钥泄露的陷门hash函数(EDL-MTH),并对其安全性加以证明,证明其满足有效计算性、陷门碰撞性、抗碰撞性、抗密钥泄露性和语义安全性;然后,基于EDL-MTH构造了一个在随机预言模型下可证明适应性选择消息攻击安全的代理重签名方案(MTH-PRS);最后,提出一个基于MTH-PRS的高效跨域流安全交换方案,并说明该方案在安全性方面和性能方面比传统的流交换方案有明显的提高。(3)提出一种基于双陷门hash认证树的动态可验证流安全交换方案。本文首先提出一种具有访问控制的动态可认证数据结构,该结构本质上是由任意的hash函数、双陷门hash函数和CP-ABE所组成的一种认证树(AC-MTAT),基于该认证树可以实现一种对数据流的动态可验证机制。接着,从整体上描述了AC-MTAT的构造结构和形式化定义。然后给出AC-MTAT的具体构建方法。与传统的MHT相比,AC-MTAT认证树无需提前确定叶子结点信息,能够在数据流增长和更新时实现对叶子结点的动态增加和更新。支持对流交换的实时验证和基于属性的细粒度验证,而且该认证树不仅能够对数据流的完整性进行验证,还能够对数据流的序列进行验证。此外,由于引入双陷门hash函数还可以将认证树的构建分为两个阶段:离线阶段和在线阶段,这样可以将构建认证树所需的主要代价放在离线阶段完成,大大提高了认证树的实时构建效率。更进一步,本文对AC-MTAT方案的正确性、可验证性、访问性进行了安全性证明,从理论上和实践上两个方面对方案的效率进行了分析。通过与现有方案的比较和分析,本文所提出的方案安全性更高,在数据流增加、更新和验证方面的效率也更高。最后,本文基于AC-MTAT提出一种共享平台下动态可验证流安全交换方案,并对方案的安全性进行了分析,从而较好解决了共享平台下动态流安全交换的问题。
[Abstract]:In order to prevent the safety requirements of different networks, different information systems of the importance of the spread of malicious code, information leaks and other security risk transfer and diffusion, through network isolation, security domain control technology, for different network or between different information system protection and strict isolation barriers; however, in the actual application among these isolated information system or network must have secure data exchange needs. In order to achieve different network or between different information systems data exchange, information sharing, risk control, prevent information leakage as the goal, aiming at secure data exchange in the absence of dynamic regulation of exchange behavior, study exchange process behavior trust analysis with the verification method for flow; exchanging security problem of cross domain large-scale complex network environment, the research of proxy re signature based on the cross Field flow safety switching technology. According to the data flow problem of trusted exchange and sharing platform, dynamic verification flow security technology research exchange sharing platform. The final performance by simulation experiments and theoretical analysis method to evaluate and compare the design mechanism and algorithm for data security, to provide a new theory for the method and technical support. The main research work and innovations are as follows: (1) proposed an analysis method of exchange process without the interference theory of behavior based on credibility, and provide a theoretical basis for the dynamic control process of exchange behavior. The method without interference theory and combining the idea of trusted computing, first from the exchange process perspective on the exchange behavior formal modeling, and then according to the characteristics of data security exchange to exchange process behavior analysis is divided into two stages: the stage of process behavior credibility analysis and single exchange Process behavior credibility analysis stage. Many exchange are given under different stages of exchange process behavior rules credible, exchange process behavior credibility theorem and safety proof. Based on the credibility analysis of multi exchange process behavior further the exchange process for the expansion of centralized and distributed mode, and gives the process behavior constraint credible exchange under the mode of exchange process behavior credibility theorem and security proof. Based on the above theoretical research, further put forward the credibility of the exchange process validation framework in a network environment, and a detailed description of the process under the network environment to verify the exchange process behavior. Finally to data security Internet electronic exchange between different security domains in the background, a specific application example of the proposed method are given to illustrate the usefulness of the method And availability. (2) proposes a method for the flow exchange of proxy re signature scheme based on trapdoor hash function. Firstly, the trapdoor function in hash flow exchange key leakage problem existing in the application, i.e. when there are multiple users on the same message in different trapdoor hash value, from derive the trapdoor key information, put forward a new trapdoor hash function based on elliptic curve secret keys (EDL-MTH), and its security is proved and verified to satisfy the effective calculation, trapdoor collision, collision resistance, anti leakage of the key and then the language of Yi An; EDL-MTH constructed a proof in the random oracle model can be adaptively chosen message attack security proxy re signature scheme based on (MTH-PRS); finally, based on the efficient cross domain security exchange flow scheme of MTH-PRS, and a description of the scheme in terms of safety and performance Compared with the traditional flow exchange scheme is improved obviously. (3) proposed an exchange scheme verification flow security dynamic double trapdoor hash tree based authentication. This paper proposes a dynamic access control authentication data structure, the structure is essentially arbitrary hash function, in a double certification tree gate hash function and the CP-ABE component (AC-MTAT), the authentication tree can achieve a kind of data flow dynamic authentication based on. Then, from the overall description of the structure and the formal definition of AC-MTAT. The specific construction method and AC-MTAT are given. Compared with the traditional MHT, AC-MTAT authentication tree to determine the leaf node information in advance, can flow growth and update data when added and updated dynamically on the leaf nodes. Real time verification and support exchange based on fine-grained authentication attribute, and the authentication tree can not only To verify the integrity of the data flow, but also can verify the serial data stream. In addition, due to the introduction of double trapdoor hash function can also be constructed authentication tree is divided into two stages: off-line and on-line stages, which can be mainly at the cost of building the required authentication tree on the off-line stage. Can greatly improve the efficiency of constructing real-time authentication tree. Further, the correctness of the AC-MTAT scheme, verification, access to the security proof is analyzed from two aspects of theory and Practice on the efficiency of the scheme. Through analysis and comparison with the existing schemes, the scheme of security the higher flow increases in data, update and validate the higher efficiency. Finally, this paper proposes a sharing platform based on AC-MTAT dynamic verification flow security exchange scheme, and the security of the scheme are analyzed. The problem of dynamic flow security exchange under shared platform is solved.
【学位授予单位】:北京交通大学
【学位级别】:博士
【学位授予年份】:2016
【分类号】:TP309
【相似文献】
相关期刊论文 前10条
1 应向荣;;应对数据安全挑战[J];信息方略;2010年21期
2 桂温;;数据脱敏:保障银行数据安全的重要手段[J];中国金融电脑;2012年12期
3 浦龙;;企业系统数据安全[J];信息通信;2013年04期
4 本刊编辑x032;;揭秘信息世界暗网 数据安全威胁是如何形成的[J];计算机与网络;2013年23期
5 赵凤志,初彦明,苏绍玲,王艳华;农经电算化数据安全问题的思考与对策[J];计算机与农业;2002年09期
6 冯丙青;保护公司的数据安全[J];安防科技;2003年11期
7 陈伟;企业数据安全保障的研究与实践[J];福建电脑;2004年05期
8 ;艾克斯特网络和数据安全产品[J];CAD/CAM与制造业信息化;2005年07期
9 马春萍;;论医院信息管理系统的数据安全[J];河南科技;2006年06期
10 周兵;吴文斗;吴兴勇;;网络教学平台数据安全的解决方案[J];湖北广播电视大学学报;2007年03期
相关会议论文 前10条
1 顾冠群;徐永南;;电子资金转帐系统的数据安全[A];第三次全国计算机安全技术交流会论文集[C];1988年
2 林杰璜;;计算机数据安全及实现方法[A];第三次全国计算机安全技术交流会论文集[C];1988年
3 吴旭东;;云计算数据安全研究[A];第26次全国计算机安全学术交流会论文集[C];2011年
4 宋华;刘永;;大气自动监测系统的数据安全规划[A];山东环境科学学会2002年度学术论文集[C];2003年
5 张福权;谢志奇;;电力二次安全分区后的生产数据安全访问[A];2013年电力系统自动化专委会年会论文[C];2013年
6 王彬;聂忠星;;移动个人数据服务中的数据安全实践[A];中国高等教育学会教育信息化分会第十二次学术年会论文集[C];2014年
7 赵和平;刘崇华;鲁超;程慧霞;;航天器数据安全及工程实施[A];卫星通信技术研讨会论文集[C];2004年
8 秦旭宏;;确保企业产品研发网络系统和数据安全的方法和策略[A];人才、创新与老工业基地的振兴——2004年中国机械工程学会年会论文集[C];2004年
9 王学奎;陈奇;赵涛;;北京电视台制播网数据安全交换系统的设计及实现[A];中国新闻技术工作者联合会2012年学术年会、五届四次理事会暨第六届“王选新闻科学技术奖”的“人才奖”和“优秀论文奖”颁奖大会论文集[C];2012年
10 王丹琛;何大可;;基于XML的物流数据安全系统的设计与实现[A];2006北京地区高校研究生学术交流会——通信与信息技术会议论文集(下)[C];2006年
相关重要报纸文章 前10条
1 晓霞;中企通信灾备服务保护数据安全[N];人民邮电;2014年
2 王琨月;企业生存命系数据安全[N];中国电子报;2008年
3 ;NF5600热销中国行业市场[N];计算机世界;2001年
4 本报记者 田梦;数据丢失防护保障数据安全[N];计算机世界;2009年
5 ;引领中国数据安全[N];计算机世界;2010年
6 本报实习记者 张奕;个人数据安全:让“门事件”远离[N];计算机世界;2011年
7 陈斯;虹安为企业数据安全提供全方位服务[N];网络世界;2011年
8 《网络世界》记者 林洪技;让数据安全地移动[N];网络世界;2012年
9 《网络世界》记者 林洪技;打造电信运营商数据安全新环境[N];网络世界;2012年
10 上海宝信软件股份有限公司 丁芸;数据安全:“四句箴言”[N];计算机世界;2012年
相关博士学位论文 前5条
1 韩司;基于云存储的数据安全共享关键技术研究[D];北京邮电大学;2015年
2 裴新;云存储中数据安全模型设计及分析关键技术研究[D];华东理工大学;2016年
3 孙奕;数据安全交换若干关键技术研究[D];北京交通大学;2016年
4 黄勤龙;云计算平台下数据安全与版权保护技术研究[D];北京邮电大学;2014年
5 陈珂;开放式环境下敏感数据安全的关键技术研究[D];浙江大学;2007年
相关硕士学位论文 前10条
1 海佳佳;云环境下用户数据存储安全问题研究[D];黑龙江大学;2015年
2 陈亮;数据安全交换若干关键技术研究[D];解放军信息工程大学;2015年
3 李杰;面向安全删除的Flash数据加密存储机制研究[D];解放军信息工程大学;2015年
4 瞿飞;基于云平台的企业数据安全研究与保护[D];南京大学;2014年
5 杜乐;重庆市地勘系统数据安全研究[D];重庆大学;2008年
6 白世禄;保密数据安全研究与系统防范[D];电子科技大学;2010年
7 朱杉;数据安全系统中安全岛的设计与实现[D];东北大学;2008年
8 王新磊;云计算数据安全技术研究[D];河南工业大学;2012年
9 毛琨;定制数据安全交换模型及其关键技术研究[D];解放军信息工程大学;2013年
10 刘邵星;云计算中数据安全关键技术的研究[D];青岛科技大学;2014年
,本文编号:1614187
本文链接:https://www.wllwen.com/shoufeilunwen/xixikjs/1614187.html
