數(shù)據(jù)庫(kù)系統(tǒng)身份證明安全方法應(yīng)用研究_第1頁(yè)
數(shù)據(jù)庫(kù)系統(tǒng)身份證明安全方法應(yīng)用研究_第2頁(yè)
數(shù)據(jù)庫(kù)系統(tǒng)身份證明安全方法應(yīng)用研究_第3頁(yè)
數(shù)據(jù)庫(kù)系統(tǒng)身份證明安全方法應(yīng)用研究_第4頁(yè)
數(shù)據(jù)庫(kù)系統(tǒng)身份證明安全方法應(yīng)用研究_第5頁(yè)
已閱讀5頁(yè),還剩4頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、    數(shù)據(jù)庫(kù)系統(tǒng)身份證明安全方法應(yīng)用研究    劉向東摘要:數(shù)據(jù)庫(kù)系統(tǒng)的身份證明方法主要對(duì)訪問(wèn)者的身份進(jìn)行比對(duì)校驗(yàn),確定訪問(wèn)者的訪問(wèn)合理性,能夠通過(guò)可信計(jì)算技術(shù)向管理員提供身份可信報(bào)告。本文提出的基于哈希散列樹(shù)的數(shù)據(jù)庫(kù)系統(tǒng)身份證明安全方法能夠保證訪問(wèn)者或者設(shè)備周期性地向服務(wù)器管理后臺(tái)發(fā)送自身的運(yùn)行狀態(tài)和身份證明,在一定程度上提升了數(shù)據(jù)平臺(tái)的工作效率和運(yùn)行維護(hù)成本,從而有效地減輕了計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)管理中心的存儲(chǔ)壓力和計(jì)算壓力,提高數(shù)據(jù)庫(kù)的安全性能。關(guān)鍵詞:數(shù)據(jù)庫(kù)系統(tǒng);身份證明;哈希散列樹(shù);安全性能:tp311.13 :a :1007-9416(2017)

2、03-0211-02數(shù)據(jù)庫(kù)系統(tǒng)是通過(guò)互聯(lián)網(wǎng)技術(shù)和數(shù)據(jù)庫(kù)技術(shù)系統(tǒng)構(gòu)建的,其數(shù)據(jù)來(lái)源是海量互聯(lián)網(wǎng)應(yīng)用及相關(guān)服務(wù),涉及各個(gè)領(lǐng)域,滲透到各個(gè)物品中1-2。完善的計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)系統(tǒng)通常劃分為三個(gè)層次,分別是感知層、網(wǎng)絡(luò)層以及數(shù)據(jù)應(yīng)用層,其中,數(shù)據(jù)應(yīng)用層負(fù)責(zé)對(duì)用戶產(chǎn)生的海量數(shù)據(jù)進(jìn)行傳輸和處理,因此,需要安全性能優(yōu)越的身份證明對(duì)系統(tǒng)的安全性進(jìn)行提升3-4。計(jì)算機(jī)數(shù)據(jù)庫(kù)系統(tǒng)的遠(yuǎn)程證明通常按照典型的“挑戰(zhàn)響應(yīng)”協(xié)議模式來(lái)完成。對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的訪問(wèn)者和操作者進(jìn)行身份驗(yàn)證,包含用戶的隱私數(shù)據(jù)不被侵犯和非法利用。目前tcg(trusted computing group,可信計(jì)算組織)規(guī)定在數(shù)據(jù)庫(kù)的遠(yuǎn)程身份認(rèn)證過(guò)程中

3、不可以采用ek技術(shù),只能通過(guò)身份證明標(biāo)識(shí)密鑰aik(attestation identity key,證明標(biāo)識(shí)密鑰)對(duì)ek進(jìn)行再命名處理。數(shù)據(jù)庫(kù)系統(tǒng)身份證明安全方法直接關(guān)系到數(shù)據(jù)庫(kù)存儲(chǔ)內(nèi)容的安全,隨著大數(shù)據(jù)時(shí)代的到來(lái),越來(lái)越多的應(yīng)用數(shù)據(jù)需要存儲(chǔ)到服務(wù)器云端,人們通過(guò)移動(dòng)通信設(shè)備實(shí)時(shí)地與數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行交互,而在這個(gè)過(guò)程中的身份認(rèn)證過(guò)程將對(duì)用戶進(jìn)行唯一身份識(shí)別,通過(guò)多方身份驗(yàn)證,確保數(shù)據(jù)的隱私性和安全性5。本文針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)系統(tǒng)遠(yuǎn)程身份證明過(guò)程的典型特征,提出了基于哈希散列樹(shù)的數(shù)據(jù)庫(kù)系統(tǒng)身份證明安全方法能夠保證訪問(wèn)者或者設(shè)備周期性地向服務(wù)器管理后臺(tái)發(fā)送自身的運(yùn)行狀態(tài)和身份證明,同時(shí),對(duì)其應(yīng)用

4、效果進(jìn)行測(cè)試驗(yàn)證。1 數(shù)據(jù)庫(kù)系統(tǒng)身份證明概述在數(shù)據(jù)庫(kù)系統(tǒng)中,可信計(jì)算平臺(tái)中的tpm(trusted platform module,可信賴平臺(tái)模塊)tpm通過(guò)ek生成aik,并利用隱私ca(certification authority,認(rèn)證機(jī)構(gòu))簽發(fā)的aik證書(shū)對(duì)身份完成認(rèn)證。證明者通過(guò)aik對(duì)挑戰(zhàn)者選定的pcr寄存器值完成簽名操作后,附件中相關(guān)的度量日志表以及aik證書(shū)同時(shí)傳輸給挑戰(zhàn)者。同時(shí),挑戰(zhàn)者對(duì)該證明值進(jìn)行分析驗(yàn)證6。從上文的基本描述可知,數(shù)據(jù)庫(kù)系統(tǒng)的身份證明過(guò)程包含了完整性校驗(yàn)和身份可信度校驗(yàn)兩部分內(nèi)容,完成證明后,其向數(shù)據(jù)庫(kù)管理者提供了面向可信技術(shù)的運(yùn)行狀態(tài)證明報(bào)告。證明報(bào)告中包

5、含了訪問(wèn)者向驗(yàn)證方提供的可信身份證據(jù),可信身份證據(jù)涵蓋了證明方的具體操作行為以及證明方的完整性信息等方面的內(nèi)容,而數(shù)據(jù)庫(kù)管理者在接收到訪問(wèn)者的可信證據(jù)后,對(duì)期望的完整性報(bào)告進(jìn)行對(duì)比驗(yàn)證,驗(yàn)證結(jié)果即表明的此證明文件的可信度。數(shù)據(jù)庫(kù)身份遠(yuǎn)程身份證明的流程如圖1所示。2 數(shù)據(jù)庫(kù)系統(tǒng)遠(yuǎn)程身份證明方案2.1 基于哈希散列樹(shù)的身份證明方案本文提出的基于哈希散列樹(shù)的數(shù)據(jù)庫(kù)系統(tǒng)身份證明安全方法分別從新鮮度、完整度以及主動(dòng)性三個(gè)方面對(duì)傳統(tǒng)的證明方法進(jìn)行改進(jìn),加入了可信計(jì)算的想法。(1)新鮮度。在數(shù)據(jù)存儲(chǔ)平臺(tái)和訪問(wèn)者間的身份證明報(bào)告中設(shè)置了時(shí)間戳屬性,數(shù)據(jù)庫(kù)安全平臺(tái)在每次接收到身份證明報(bào)告時(shí),對(duì)先前的和現(xiàn)在值的進(jìn)

6、行對(duì)比驗(yàn)證,在的情況下,則說(shuō)明數(shù)據(jù)存儲(chǔ)設(shè)備暫時(shí)未進(jìn)行重啟;在的情況下,則說(shuō)明身份證明報(bào)告是新鮮的。通過(guò)以上策略保證身份證明報(bào)告的新鮮度。(2)完整度。哈希樹(shù)的系統(tǒng)結(jié)構(gòu)本質(zhì)是滿二叉樹(shù),其分枝結(jié)點(diǎn)的取值依據(jù)是其左右孩子連接后的生成的哈希值。本文設(shè)計(jì)的遠(yuǎn)程證明方法主要利用散列鏈的模式對(duì)證明結(jié)果的完整度進(jìn)行保證。針對(duì)實(shí)際具體的應(yīng)用需求,設(shè)備可能需要同時(shí)將完整性報(bào)告發(fā)送給多個(gè)不同的管理平臺(tái),此刻設(shè)備需要快速構(gòu)建哈希散列樹(shù),然后對(duì)散列樹(shù)的根節(jié)點(diǎn)進(jìn)行簽名操作,同時(shí)完成對(duì)葉子節(jié)點(diǎn)的初始化操作,其值被設(shè)置為設(shè)備與各設(shè)備管理中心之間所構(gòu)成散列鏈的初始值。(3)主動(dòng)性。本次證明所需的證明方案確定是通過(guò)在證明平臺(tái)中融

7、入證明代理的概念來(lái)完成的。當(dāng)管理平臺(tái)第一次接收到來(lái)自設(shè)備的注冊(cè)請(qǐng)求信息時(shí),管理平臺(tái)存儲(chǔ)相關(guān)設(shè)備的tsn和證書(shū),同時(shí)向aa發(fā)送相關(guān)的證明策略傳遞。因此,基于哈希散列樹(shù)的數(shù)據(jù)庫(kù)系統(tǒng)遠(yuǎn)程身份證明步驟如下。step1:哈希散列樹(shù)的構(gòu)建,而且利用aik執(zhí)行根節(jié)點(diǎn)的簽名操作;step2:;step3:將完整性證明報(bào)告策略傳遞給設(shè)備;step4:;step5:將接收到數(shù)據(jù)塊中pcr寄存器值進(jìn)行提取,然后同step2中接收到的值共同完成散列計(jì)算,將計(jì)算結(jié)果與身份證明過(guò)程中的產(chǎn)生簽名數(shù)據(jù)中得到的散列值進(jìn)行驗(yàn)證分析,此過(guò)程完成了對(duì)pcr寄存器值的完整性校驗(yàn);然后對(duì)比tsn中的滴答計(jì)數(shù)器值和step2中的滴答計(jì)數(shù)器

8、初始值,對(duì)報(bào)告的新鮮度進(jìn)行評(píng)估;最后,完成對(duì)sml的一致性檢驗(yàn)過(guò)程。2.2 性能分析在數(shù)據(jù)庫(kù)設(shè)備平臺(tái)中,基于哈希散列樹(shù)的數(shù)據(jù)庫(kù)系統(tǒng)遠(yuǎn)程身份證明的實(shí)驗(yàn)結(jié)果如圖2所示。在整個(gè)證明過(guò)程中,尤其是在構(gòu)建哈希散列樹(shù)之前,必須估計(jì)哈希散列樹(shù)在實(shí)際應(yīng)用過(guò)程中可能使用的存儲(chǔ)空間、計(jì)算復(fù)雜度以及空間復(fù)雜度。本文中,設(shè)定哈希散列樹(shù)的葉子節(jié)點(diǎn)完全由160位隨機(jī)數(shù)組合而成,散列函數(shù)設(shè)置為sha1函數(shù),其輸入與輸出均為160位。則數(shù)據(jù)庫(kù)身份證明過(guò)程的所需的計(jì)算總量可以通過(guò)以下進(jìn)行估計(jì):葉子節(jié)點(diǎn)總數(shù)為,散列樹(shù)的生成過(guò)程需要完成次散列運(yùn)算;散列樹(shù)的存儲(chǔ)過(guò)程均需占用的存儲(chǔ)空間;如果第一次將向帶有驗(yàn)證信息的節(jié)點(diǎn)發(fā)送給管理中心需

9、要進(jìn)行次運(yùn)算,在而后進(jìn)行的認(rèn)證過(guò)程操作中,僅僅需要傳輸?shù)纳⒘兄导纯?。本方法僅需aik對(duì)根節(jié)點(diǎn)完成簽名操作過(guò)程,系統(tǒng)計(jì)算的時(shí)間成本得到有效減少。 定義sha1函數(shù)隨運(yùn)行時(shí)間變化的線性方程如下式:,其中b表示待傳遞數(shù)據(jù)信息流的字節(jié)總數(shù),。因?yàn)楹⒆庸?jié)點(diǎn)的數(shù)據(jù)長(zhǎng)度均為,因此生成一個(gè)分枝節(jié)點(diǎn)所消耗的時(shí)間是。根據(jù)滿二叉樹(shù)結(jié)果特點(diǎn),生成根節(jié)點(diǎn)所消耗的時(shí)間是。通過(guò)圖2的仿真結(jié)果表明,本文設(shè)計(jì)的基于哈希散列樹(shù)的數(shù)據(jù)庫(kù)遠(yuǎn)程身份證明方法在不同葉子節(jié)點(diǎn)數(shù)和不同隨機(jī)數(shù)數(shù)量的前提下,所需的計(jì)算次數(shù)和運(yùn)行時(shí)間都相對(duì)于常規(guī)的證明方法要小,可以說(shuō)明其較好地改善了數(shù)據(jù)庫(kù)的安全性和運(yùn)行效率。3 結(jié)語(yǔ)數(shù)據(jù)庫(kù)系統(tǒng)的身份證明方法主要對(duì)訪

10、問(wèn)者的身份進(jìn)行比對(duì)校驗(yàn),確定訪問(wèn)者的訪問(wèn)合理性,能夠通過(guò)可信計(jì)算技術(shù)向管理員提供身份可信報(bào)告。本文提出的基于哈希散列樹(shù)的數(shù)據(jù)庫(kù)系統(tǒng)身份證明安全方法能夠保證訪問(wèn)者或者設(shè)備周期性地向服務(wù)器管理后臺(tái)發(fā)送自身的運(yùn)行狀態(tài)和身份證明,在一定程度上提升了數(shù)據(jù)平臺(tái)的工作效率和運(yùn)行維護(hù)成本,從而有效地減輕了計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)管理中心的存儲(chǔ)壓力和計(jì)算壓力,提高數(shù)據(jù)庫(kù)的安全性能。整體而言,本文設(shè)計(jì)的基于哈希散列樹(shù)的數(shù)據(jù)庫(kù)系統(tǒng)身份證明安全方法能夠保證數(shù)據(jù)庫(kù)系統(tǒng)身份認(rèn)證和遠(yuǎn)程證明過(guò)程的安全性以及完整性。參考文獻(xiàn)1w.alasmary,w.zhuang,mobility impact in ieee 802.11p inf

11、rastructureless vehicular networksj.ad hoc netw.,2012,10(2):222-230.2stumpf f,fuchs a,katzenbeisser s,etal.improving the sealability of platform attestation.proeeedings of the 3rd acm workshop on scalable trusted computing. fairfax,va,usa:acm,2008:l-10.3徐國(guó)愚,常朝穩(wěn),黃堅(jiān),等.基于時(shí)間的平臺(tái)完整性證明j.計(jì)算機(jī)工程,2009,35(6):15

12、3-155.4蔡永泉,劉芳.dmss-動(dòng)態(tài)哈希可信樹(shù)簽名方案j.電子學(xué)報(bào),2009,37(4a):97-101.5w.shi,y.ma,y.chen,z.guo.adaptive neural network control for a class of nonlinear discrete systemc./international conference on natural computation(icnc 2012),chongqing,china,ieee,2012,pp:302-306.6ehang c,he r,xie h,etal. a high efficiency protoeol for reporting integrity mea

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論