發(fā)布時間：2018-03-15 03:17

  本文選題：數(shù)據(jù)安全交換　切入點：流交換　出處：《北京交通大學》2016年博士論文　論文類型：學位論文

【摘要】：為了防止不同安全要求的網(wǎng)絡、不同重要程度的信息系統(tǒng)之間惡意代碼傳播、信息泄露等安全風險的傳遞與擴散,通過網(wǎng)絡隔離、安全分域控制等技術(shù),為不同網(wǎng)絡或不同信息系統(tǒng)之間構(gòu)建起嚴格的保護和隔離壁壘；然而在實際的應用中這些隔離的網(wǎng)絡或信息系統(tǒng)之間必然存在數(shù)據(jù)安全交換的需求。本文以實現(xiàn)不同網(wǎng)絡或不同信息系統(tǒng)之間的數(shù)據(jù)交換、信息共享、控制風險傳遞、防止信息泄露為目標,針對目前數(shù)據(jù)安全交換中缺乏對交換行為的動態(tài)監(jiān)管問題,研究交換進程行為可信分析與驗證方法；針對大規(guī)模復雜網(wǎng)絡環(huán)境下跨域流交換的安全性問題,研究基于代理重簽名的跨域流安全交換技術(shù)。針對共享平臺下交換數(shù)據(jù)流不可信問題,研究共享平臺下動態(tài)可驗證流安全交換技術(shù)。最終通過仿真試驗和理論分析的手段評價和比較所設計機制與算法的性能,為數(shù)據(jù)安全交換的實現(xiàn)提供新理論、方法和技術(shù)支撐。本文的主要研究工作及創(chuàng)新點如下：(1)提出一種基于無干擾理論的交換進程行為可信性分析方法,為交換進程行為的動態(tài)管控提供理論依據(jù)。該方法將無干擾理論與可信計算的思想相結(jié)合,首先從交換進程的角度對交換行為進行形式化建模,然后根據(jù)數(shù)據(jù)安全交換的特點將對交換進程行為的分析分為兩個階段：單交換進程行為可信性分析階段和多交換進程行為可信性分析階段。分別給出不同階段下交換進程行為可信的約束規(guī)則,交換進程行為可信性判定定理及安全證明。在多交換進程行為可信性分析的基礎上進一步將多交換進程擴展為集中模式和分布式模式,并給出不同模式下交換進程行為可信的約束規(guī)則,交換進程行為可信性判定定理及安全證明。在以上理論研究的基礎上,進一步提出一種網(wǎng)絡環(huán)境下的交換進程行為可信性驗證框架,并詳細描述了網(wǎng)絡環(huán)境下對交換進程行為進行驗證的過程。最后以互聯(lián)網(wǎng)電子政務中不同安全域間數(shù)據(jù)安全交換為背景,給出該方法的一個具體的應用實例,從而說明該方法的實用性和可用性。(2)提出一種用于流交換的基于陷門hash函數(shù)的代理重簽名方案。首先,針對陷門hash函數(shù)在流交換應用中存在的密鑰泄露問題,即當有多個用戶對不同消息使用相同的陷門hash值時,可以從中推導出陷門密鑰信息,提出一種新的基于橢圓曲線的無密鑰泄露的陷門hash函數(shù)(EDL-MTH),并對其安全性加以證明,證明其滿足有效計算性、陷門碰撞性、抗碰撞性、抗密鑰泄露性和語義安全性；然后,基于EDL-MTH構(gòu)造了一個在隨機預言模型下可證明適應性選擇消息攻擊安全的代理重簽名方案(MTH-PRS);最后,提出一個基于MTH-PRS的高效跨域流安全交換方案,并說明該方案在安全性方面和性能方面比傳統(tǒng)的流交換方案有明顯的提高。(3)提出一種基于雙陷門hash認證樹的動態(tài)可驗證流安全交換方案。本文首先提出一種具有訪問控制的動態(tài)可認證數(shù)據(jù)結(jié)構(gòu),該結(jié)構(gòu)本質(zhì)上是由任意的hash函數(shù)、雙陷門hash函數(shù)和CP-ABE所組成的一種認證樹(AC-MTAT),基于該認證樹可以實現(xiàn)一種對數(shù)據(jù)流的動態(tài)可驗證機制。接著,從整體上描述了AC-MTAT的構(gòu)造結(jié)構(gòu)和形式化定義。然后給出AC-MTAT的具體構(gòu)建方法。與傳統(tǒng)的MHT相比,AC-MTAT認證樹無需提前確定葉子結(jié)點信息,能夠在數(shù)據(jù)流增長和更新時實現(xiàn)對葉子結(jié)點的動態(tài)增加和更新。支持對流交換的實時驗證和基于屬性的細粒度驗證,而且該認證樹不僅能夠?qū)��?shù)據(jù)流的完整性進行驗證,還能夠?qū)��?shù)據(jù)流的序列進行驗證。此外,由于引入雙陷門hash函數(shù)還可以將認證樹的構(gòu)建分為兩個階段：離線階段和在線階段,這樣可以將構(gòu)建認證樹所需的主要代價放在離線階段完成,大大提高了認證樹的實時構(gòu)建效率。更進一步,本文對AC-MTAT方案的正確性、可驗證性、訪問性進行了安全性證明,從理論上和實踐上兩個方面對方案的效率進行了分析。通過與現(xiàn)有方案的比較和分析,本文所提出的方案安全性更高,在數(shù)據(jù)流增加、更新和驗證方面的效率也更高。最后,本文基于AC-MTAT提出一種共享平臺下動態(tài)可驗證流安全交換方案,并對方案的安全性進行了分析,從而較好解決了共享平臺下動態(tài)流安全交換的問題。
[Abstract]:In order to prevent the safety requirements of different networks, different information systems of the importance of the spread of malicious code, information leaks and other security risk transfer and diffusion, through network isolation, security domain control technology, for different network or between different information system protection and strict isolation barriers; however, in the actual application among these isolated information system or network must have secure data exchange needs. In order to achieve different network or between different information systems data exchange, information sharing, risk control, prevent information leakage as the goal, aiming at secure data exchange in the absence of dynamic regulation of exchange behavior, study exchange process behavior trust analysis with the verification method for flow; exchanging security problem of cross domain large-scale complex network environment, the research of proxy re signature based on the cross Field flow safety switching technology. According to the data flow problem of trusted exchange and sharing platform, dynamic verification flow security technology research exchange sharing platform. The final performance by simulation experiments and theoretical analysis method to evaluate and compare the design mechanism and algorithm for data security, to provide a new theory for the method and technical support. The main research work and innovations are as follows: (1) proposed an analysis method of exchange process without the interference theory of behavior based on credibility, and provide a theoretical basis for the dynamic control process of exchange behavior. The method without interference theory and combining the idea of trusted computing, first from the exchange process perspective on the exchange behavior formal modeling, and then according to the characteristics of data security exchange to exchange process behavior analysis is divided into two stages: the stage of process behavior credibility analysis and single exchange Process behavior credibility analysis stage. Many exchange are given under different stages of exchange process behavior rules credible, exchange process behavior credibility theorem and safety proof. Based on the credibility analysis of multi exchange process behavior further the exchange process for the expansion of centralized and distributed mode, and gives the process behavior constraint credible exchange under the mode of exchange process behavior credibility theorem and security proof. Based on the above theoretical research, further put forward the credibility of the exchange process validation framework in a network environment, and a detailed description of the process under the network environment to verify the exchange process behavior. Finally to data security Internet electronic exchange between different security domains in the background, a specific application example of the proposed method are given to illustrate the usefulness of the method And availability. (2) proposes a method for the flow exchange of proxy re signature scheme based on trapdoor hash function. Firstly, the trapdoor function in hash flow exchange key leakage problem existing in the application, i.e. when there are multiple users on the same message in different trapdoor hash value, from derive the trapdoor key information, put forward a new trapdoor hash function based on elliptic curve secret keys (EDL-MTH), and its security is proved and verified to satisfy the effective calculation, trapdoor collision, collision resistance, anti leakage of the key and then the language of Yi An; EDL-MTH constructed a proof in the random oracle model can be adaptively chosen message attack security proxy re signature scheme based on (MTH-PRS); finally, based on the efficient cross domain security exchange flow scheme of MTH-PRS, and a description of the scheme in terms of safety and performance Compared with the traditional flow exchange scheme is improved obviously. (3) proposed an exchange scheme verification flow security dynamic double trapdoor hash tree based authentication. This paper proposes a dynamic access control authentication data structure, the structure is essentially arbitrary hash function, in a double certification tree gate hash function and the CP-ABE component (AC-MTAT), the authentication tree can achieve a kind of data flow dynamic authentication based on. Then, from the overall description of the structure and the formal definition of AC-MTAT. The specific construction method and AC-MTAT are given. Compared with the traditional MHT, AC-MTAT authentication tree to determine the leaf node information in advance, can flow growth and update data when added and updated dynamically on the leaf nodes. Real time verification and support exchange based on fine-grained authentication attribute, and the authentication tree can not only To verify the integrity of the data flow, but also can verify the serial data stream. In addition, due to the introduction of double trapdoor hash function can also be constructed authentication tree is divided into two stages: off-line and on-line stages, which can be mainly at the cost of building the required authentication tree on the off-line stage. Can greatly improve the efficiency of constructing real-time authentication tree. Further, the correctness of the AC-MTAT scheme, verification, access to the security proof is analyzed from two aspects of theory and Practice on the efficiency of the scheme. Through analysis and comparison with the existing schemes, the scheme of security the higher flow increases in data, update and validate the higher efficiency. Finally, this paper proposes a sharing platform based on AC-MTAT dynamic verification flow security exchange scheme, and the security of the scheme are analyzed. The problem of dynamic flow security exchange under shared platform is solved.

【學位授予單位】：北京交通大學
【學位級別】：博士
【學位授予年份】：2016
【分類號】：TP309

【相似文獻】

相關期刊論文 前10條

1 應向榮;;應對數(shù)據(jù)安全挑戰(zhàn)[J];信息方略;2010年21期

2 桂溫;;數(shù)據(jù)脫敏:保障銀行數(shù)據(jù)安全的重要手段[J];中國金融電腦;2012年12期

3 浦龍;;企業(yè)系統(tǒng)數(shù)據(jù)安全[J];信息通信;2013年04期

4 本刊編輯x032;;揭秘信息世界暗網(wǎng) 數(shù)據(jù)安全威脅是如何形成的[J];計算機與網(wǎng)絡;2013年23期

5 趙鳳志,初彥明,蘇紹玲,王艷華;農(nóng)經(jīng)電算化數(shù)據(jù)安全問題的思考與對策[J];計算機與農(nóng)業(yè);2002年09期

6 馮丙青;保護公司的數(shù)據(jù)安全[J];安防科技;2003年11期

7 陳偉;企業(yè)數(shù)據(jù)安全保障的研究與實踐[J];福建電腦;2004年05期

8 ;艾克斯特網(wǎng)絡和數(shù)據(jù)安全產(chǎn)品[J];CAD/CAM與制造業(yè)信息化;2005年07期

9 馬春萍;;論醫(yī)院信息管理系統(tǒng)的數(shù)據(jù)安全[J];河南科技;2006年06期

10 周兵;吳文斗;吳興勇;;網(wǎng)絡教學平臺數(shù)據(jù)安全的解決方案[J];湖北廣播電視大學學報;2007年03期

相關會議論文 前10條

1 顧冠群;徐永南;;電子資金轉(zhuǎn)帳系統(tǒng)的數(shù)據(jù)安全[A];第三次全國計算機安全技術(shù)交流會論文集[C];1988年

2 林杰璜;;計算機數(shù)據(jù)安全及實現(xiàn)方法[A];第三次全國計算機安全技術(shù)交流會論文集[C];1988年

3 吳旭東;;云計算數(shù)據(jù)安全研究[A];第26次全國計算機安全學術(shù)交流會論文集[C];2011年

4 宋華;劉永;;大氣自動監(jiān)測系統(tǒng)的數(shù)據(jù)安全規(guī)劃[A];山東環(huán)境科學學會2002年度學術(shù)論文集[C];2003年

5 張福權(quán);謝志奇;;電力二次安全分區(qū)后的生產(chǎn)數(shù)據(jù)安全訪問[A];2013年電力系統(tǒng)自動化專委會年會論文[C];2013年

6 王彬;聶忠星;;移動個人數(shù)據(jù)服務中的數(shù)據(jù)安全實踐[A];中國高等教育學會教育信息化分會第十二次學術(shù)年會論文集[C];2014年

7 趙和平;劉崇華;魯超;程慧霞;;航天器數(shù)據(jù)安全及工程實施[A];衛(wèi)星通信技術(shù)研討會論文集[C];2004年

8 秦旭宏;;確保企業(yè)產(chǎn)品研發(fā)網(wǎng)絡系統(tǒng)和數(shù)據(jù)安全的方法和策略[A];人才、創(chuàng)新與老工業(yè)基地的振興——2004年中國機械工程學會年會論文集[C];2004年

9 王學奎;陳奇;趙濤;;北京電視臺制播網(wǎng)數(shù)據(jù)安全交換系統(tǒng)的設計及實現(xiàn)[A];中國新聞技術(shù)工作者聯(lián)合會2012年學術(shù)年會、五屆四次理事會暨第六屆“王選新聞科學技術(shù)獎”的“人才獎”和“優(yōu)秀論文獎”頒獎大會論文集[C];2012年

10 王丹琛;何大可;;基于XML的物流數(shù)據(jù)安全系統(tǒng)的設計與實現(xiàn)[A];2006北京地區(qū)高校研究生學術(shù)交流會——通信與信息技術(shù)會議論文集（下）[C];2006年

相關重要報紙文章 前10條

1 曉霞;中企通信災備服務保護數(shù)據(jù)安全[N];人民郵電;2014年

2 王琨月;企業(yè)生存命系數(shù)據(jù)安全[N];中國電子報;2008年

3 ;NF5600熱銷中國行業(yè)市場[N];計算機世界;2001年

4 本報記者 田夢;數(shù)據(jù)丟失防護保障數(shù)據(jù)安全[N];計算機世界;2009年

5 ;引領中國數(shù)據(jù)安全[N];計算機世界;2010年

6 本報實習記者 張奕;個人數(shù)據(jù)安全：讓“門事件”遠離[N];計算機世界;2011年

7 陳斯;虹安為企業(yè)數(shù)據(jù)安全提供全方位服務[N];網(wǎng)絡世界;2011年

8 《網(wǎng)絡世界》記者 林洪技;讓數(shù)據(jù)安全地移動[N];網(wǎng)絡世界;2012年

9 《網(wǎng)絡世界》記者 林洪技;打造電信運營商數(shù)據(jù)安全新環(huán)境[N];網(wǎng)絡世界;2012年

10 上海寶信軟件股份有限公司 丁蕓;數(shù)據(jù)安全：“四句箴言”[N];計算機世界;2012年

相關博士學位論文 前5條

1 韓司;基于云存儲的數(shù)據(jù)安全共享關鍵技術(shù)研究[D];北京郵電大學;2015年

2 裴新;云存儲中數(shù)據(jù)安全模型設計及分析關鍵技術(shù)研究[D];華東理工大學;2016年

3 孫奕;數(shù)據(jù)安全交換若干關鍵技術(shù)研究[D];北京交通大學;2016年

4 黃勤龍;云計算平臺下數(shù)據(jù)安全與版權(quán)保護技術(shù)研究[D];北京郵電大學;2014年

5 陳珂;開放式環(huán)境下敏感數(shù)據(jù)安全的關鍵技術(shù)研究[D];浙江大學;2007年

相關碩士學位論文 前10條

1 海佳佳;云環(huán)境下用戶數(shù)據(jù)存儲安全問題研究[D];黑龍江大學;2015年

2 陳亮;數(shù)據(jù)安全交換若干關鍵技術(shù)研究[D];解放軍信息工程大學;2015年

3 李杰;面向安全刪除的Flash數(shù)據(jù)加密存儲機制研究[D];解放軍信息工程大學;2015年

4 瞿飛;基于云平臺的企業(yè)數(shù)據(jù)安全研究與保護[D];南京大學;2014年

5 杜樂;重慶市地勘系統(tǒng)數(shù)據(jù)安全研究[D];重慶大學;2008年

6 白世祿;保密數(shù)據(jù)安全研究與系統(tǒng)防范[D];電子科技大學;2010年

7 朱杉;數(shù)據(jù)安全系統(tǒng)中安全島的設計與實現(xiàn)[D];東北大學;2008年

8 王新磊;云計算數(shù)據(jù)安全技術(shù)研究[D];河南工業(yè)大學;2012年

9 毛琨;定制數(shù)據(jù)安全交換模型及其關鍵技術(shù)研究[D];解放軍信息工程大學;2013年

10 劉邵星;云計算中數(shù)據(jù)安全關鍵技術(shù)的研究[D];青島科技大學;2014年

，

本文編號：1614187