基于可信平台的保护终端敏感信息的隔离交换方案研究.pdf

北京电子科技学院学报 2014 年 1 2 月 第 22 卷第4 期 Vo l .22No .4 lournal of Beijing ELectron ic Science and Technology lnslitute Dec.2014 基于可信平台的保护终端敏感 信息的隔离交换方案研究 蔡瑞锋1 ， 2 * 列、 伟1 ， 2 曾萍1 1.北京电子科技学院通信工程系 北京 100070 2. 西安电子科技大学通信工程学院西安 710071 摘 要:本文提出了基于可信平台的保护终端敏感信息的隔离交换方案比传统的隔离苯直在防 护性能上有所提升，而且在隔离交换方式上也有所改进。 通过采用可信计算技术，从物理层面提 高了隔离交换装直的安全性以及完整性，通过使用改进的 IPSec 协议以及身份与位直分离等新 技术，实现了内外网之间敏感数据的隔离交换。 关键词:隔离交换;可信计算;I PSec 中图分类号: TP393.08 文献标识码: A 文章编号: 1672 - 464X( 2014 ) 04-43一05 百| 1 隔离交换方案 目前，大中型企事业单位以及银行等金融部 假设有这样一个场景即企事业单位等出差 门在全国甚至全球都有很多分支机构其敏感数 在外人员需要与企业内部交互一些敏感信息，比 据要相互交换，因此最便捷的就是利用公共网络 如发送涉及商业机密在内的邮件等，如图 l 进行传输。 但是信息泄露等安全问题又阻碍其 所示。 使用。 隔离交换方案的目的就是通过它可以隔 离企事业单位内网和开放网络，能够将外部攻击 。同伊⑩一 阻挡在隔离交换设备之外同时保护内网的敏感 笔记本隔离交换装置 内网 安全网关 数据，在做到这点的基础上进一步可以使敏感信 图 l 应用场景 息通过公共网络进行传输。 传统的隔离方案是 采用物理隔离的方式使用两个网卡切换的形式 这时出差人员就可以使用笔记本再加上隔 来隔离内外网，敏感信息在外网传输仍然容易遭 离交换装置，发送经过处理的敏感信息，通过公 受各种攻击，而且隔离设备本身的防护仍然做的 共网到达接收端之后经过相反的处理，最后到达 不到位。 本文提出的基于可信平台的保护终端 内网中的目的地。 这里隔离交换装置与安全网 敏感信息的隔离交换方案不仅在平台防护性能 关功能基本相同，不同的是隔离交换装置内有存 储模块，对于所有的敏感信息都存储在这里。 本 上有所提升，而且在隔离交换方式上也有所改变 文提出的隔离交换方案正是为前述的隔离交换 和改进。 * 作者简介:蔡瑞锋( 1 989寸，男，西安电子科技大学硕士研究生，研究方向: 隔离网关设计与实现。