（通信与信息系统专业论文）非对称信息网络中基于ucl的可信计算研究.pdf

西南科技大学硕士研究生学位论文第1 页 摘要 随着互联网技术的快速发展，网络信息共享给人们的学习和生活带来了 新的尝试和便利，同时也带来了一些问题。如：网络病毒、网络钓鱼和非法 信息内容等网络安全问题也同趋突出。为此，国内外进行了许多相关的研究， 包括密码学、信息隐藏、可信计算等等，但是绝大多数的研究都是基于现有 开放的i n t e m e t 架构，没有从体制上根本解决网络的信息安全问题。不同于 传统的单一结构互联网，非对称信息网络是具有内容理解和安全数据广播信 道的双结构网络。借助非对称信息网络中数据广播信道特有的安全性，在研 究了相关u c l s 规范和可信算法的基础上提出了_ 种u b t c 可信服务模型， 具体研究内容如下。 ( 1 ) u c l s 安全语义规范。针对网页数据的完整性度量、来源认证以及信 息内容的可信度评估，实验研究设计了网页信息数据的u c l s 弱、中、强三 层语义域的规范，并对创作者、发布者、关键词和标题四个u c l s 字段的长 度进行了实验确定。 ( 2 ) 基于u c l s 的完整度量算法和内容可信度评估算法。通过u c l s 动 态值的引入，改进了只有3 2 步循环处理过程的u h a 5 1 2 完整度量算法。另 外结合u c l s 语义向量和广播构建的中文语料库设计了网页信息内容的可 信度评估算法。 ( 3 ) 在u c l s 实验规范和可信算法基础上，提出了一种u b t c 可信服务 模型。模型中；首先在非对称信息网络的服务端标引信息数据的u c l s 语义； 然后由安全数据广播信道主动推送给用户；最后用户终端通过获取的u c l 安全语义标签建立本地u c l s 数据库，实现网络信息数据的完整性度量、来 源认证和内容可信度计算，从而保证网络信息服务的安全可靠。 实验结果证明了u b t c 可信服务模型在u c l s 的安全传输、完整性认证 准确率、来源认证精度和内容可信度评估方面都具有一定的优越性，为网络 可信服务探索了一个新的研究方向。 关键词：非对称网络u c lu c l s 可信计算 西南科技大学硕士研究生学位论文第1i 页 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n t e r n e tt e c h n o l o g y , i n t e r n e ti n f o r m a t i o n s h a r i n gn o to n l yb r i n g sn e we x p e r i e n c ea n dc o n v e n i e n c et op e o p l e sl i f e ，b u ta l s o l e a d st os o m ep r o b l e m so fn e t w o r ki n f o r m a t i o ns e c u r i t y , s u c ha sn e t w o r kv i r u s ， p h i s h i n ga n di l l e g a li n f o r m a t i o nc o n t e n t t oa d d r e s st h e s ep r o b l e m s ，b o t hh o m e a n da b r o a dr e s e a r c h e r sh a v ed o n e m a n y r e l a t e d r e s e a r c h e s ，i n c l u d i n g c r y p t o g r a p h y , i n f o r m a t i o nh i d i n g ，a n dt r u s t e dc o m p u t i n g h o w e v e r , m o s to ft h e r e s e a r c h e sa r eb a s e do nt h e o p e n i n g i n t e r n e ta r c h i t e c t u r ea n dh a v en o t f u n d a m e n t a l l ys o l v e dt h en e t w o r ki n f o r m a t i o ns e c u d t yp r o b l e m d i f f e r e n tf r o m t r a d i t i o n a ls i n g l es t r u c t u r ei n t e r n e t ，t h ea s y m m e t r i ci n f o r m a t i o nn e t w o r ki sa d u a ls t r u c t u r en e t w o r k ，w h i c hc o n t a i n si n t e l l i g e n ts e m a n t i cc o m p r e h e n s i o na n d s e c u r ed a t ab r o a d c a s tc h a n n e l s b yu s i n gt h ep e c u l i a rs e c u r i t yp r o p e r t yo fd a t a b r o a d c a s tc h a n n e l si na s y m m e t r i ci n f o r m a t i o nn e t w o r k ，t h i sp a p e rp r o p o s e sa u b t ct r u s t e ds e r v i c em o d e lw h i c hi sb a s e do nu c l sa n dt r u s t e dc o m p u t i n g t h ew o r k st h a tt h i sp a p e rc o v e r sa r ea sf o l l o w s ： ( 1 ) u c l - ss p e c i f i c a t i o n a i m e da tw e bd a t ai n t e g r i t y , o r i g i nc e r t i f i c a t i o n a n di n f o r m a t i o nc o n t e n tr e l i a b i l i t y , t h i sp a p e rc a r r i e so u tt h et h e o r e t i c a la n d e x p e r i m e n t a l r e s e a r c ho nt h ew e bu c l - ss e m a n t i c s p e c i f i c a t i o n t h i s s p e c i f i c a t i o n c o n s i s t so ft h r e el e v e l so fs e m a n t i c s ：w e a k l e v e l s e m a n t i c s m e d i u m - l e v e ls e m a n t i c s ，a n ds t r o n g - l e v e ls e m a n t i c s t h el e n g t ho fu c l sf i e l d s o f c r e a t o r p u b l i s h e r , k e y w o r d sa n dt i t l ei sd e t e r m i n e db ye x p e r i m e n t s ( 2 ) d e s i g no fu c l - si n t e g r i t yv e r i f i c a t i o na n dc o n t e n tt r u s ta s s e s s m e n t c o m p u t i n ga l g o r i t h m b ya d o p t i n gt h eu c l sd y n a m i cr e g i s t e r sv a l u e ，i to n l y t a k e s3 2 一s t e pc y c l ef o rt h eu h a 512 a l g o r i t h mt ov e r i f yi n t e g r i t y t h ew e b i n f o r m a t i o nc o n t e n tc r e d i b i l i t yc o m p u t i n ga l g o r i t h mi sa l s od e s i g n e db yu s i n g u c l ss e m a n t i cv e c t o ra n dc h i n e s ec o r p u s ( 3 ) au b t ct r u s t e ds e r v i c em o d e l i na s y m m e t r i ci n f o r m a t i o nn e t w o r kb a s e d o nt h eu c l - ss p e c i f i c a t i o na n dt r u s t e dc o m p u t i n g f i r s t l y , t h eu c l ss e m a n t i c t a g so fi n f o r m a t i o na r ei n d e x e db yi n t e r n e ti n f o r m a t i o nc o n t e n tp r o v i d e r s s e c o n d l y , t h et a g sa r ep u s h e dt h r o u g ht h es e c u r ed a t ab r o a d c a s tc h a n n e l st ou s e r s t h i r d ly , t h et r u s to fi n f o r m a t i o n i n t e g r i t y , s o u r c ei d e n t i t y a n dc o n t e n t 西南科技大学硕士研究生学位论文第1 ii 页 a u t h e n t i c a t i o na r ec a l c u l a t e db ye s t a b l i s h i n gt h el o c a lu c l - st a g sd a t a b a s e e x p e r i m e n t a lr e s u l t ss h o wt h a tt h ei n f o r m a t i o nd a t ao fu c l ss e m a n t i ct a g s ， t h eu c l st r u s t e da l g o r i t h m ，a n dt h et r u s t e ds e r v i c em o d e li nt h ea s y m m e t r i c i n f o r m a t i o nn e t w o r ka r ef e a s i b l ea n dc o r r e c t m e a n w h i l e ，t h i sp a p e re x p l o r e sa n e wr e s e a r c hs c o p ef o rt h en e t w o r ki n f o r m a t i o ns e c u r i t y k e y w o r d s ： a s y m m e t r i c i n f o r m a t i o n n e t w o r k ；u c l ；u c l - s ；t r u s t e d c o m p u t i n g 西南科技大学硕士研究生学位论文 第1 页 1 绪论 1 1 课题的研究背景 随着互联网的快速发展，网络已经成为人类获取信息的重要途径。互联 网的网民规模、网络应用和网页信息内容都呈现出快速增长的趋势；与此同 时互联网的信息安全形势却不容乐观，网络中恶意的信息提供者、网络病毒 不仅带来了额外的安全丌销，而且对网络的持续和谐发展也带来了不良影响。 2 0 1 1 年1 月，中国互联网络信息中, t 1 , ( c n n i c ) 在京发布的第2 7 次中国 互联网络发展状况统计报告显示，截止2 0 1 0 年1 2 月3 1 日，中国网民规模 达到4 5 7 亿人，普及率达到3 4 3 ，网民规模较2 0 0 9 年增长7 3 3 0 万人，年 增长率1 9 1 ；在互联网综合应用方面，四大类的十八项网络应用的年增长 率最低1 2 9 ，最高达到4 8 6 ，其中搜索引擎、网络音乐、网络新闻和即 时通信的应用用户均突破3 5 亿，网络视频、社交网站、网络购物等多项网 络应用用户数也超过1 5 亿；在信息内容方面，2 0 1 0 年网页数量和网页内容 达到6 0 0 亿个和1 8 0 万g b ，比2 0 0 9 年增长7 8 6 和8 1 4 【1 1 。 相比上述互联网的高速发展，网络信息安全形势却同益严重。据国家互 联网应急中一i 二, c n c e r t 发布的2 0 1 0 年互联网网络安全态势综述统计，2 0 l o 年，c n c e r t 共接收到网络钓鱼事件举报较2 0 0 9 年增长3 3 1 ，被篡改的政府 网站比2 0 0 9 年上升6 7 6 ，“中国反钓鱼网站联盟处理钓鱼网站事件2 0 5 7 0 起，较2 0 0 9 年增长1 4 0 ，2 0 1 0 年c n c e r t 共发现近5 0 0 万个境内主机i p 地 址感染了木马和僵尸程序，较2 0 0 9 年大幅增加；发现了近4 8 万个木马控制 端i p ，其中有2 2 1 个位于境外，网络中绝大多数的网民对网络信息安全不 信任l z j 。因此，如何在互联网快速发展的同时保证多样化网络应用和信息内 容的安全，为用户提供可信的网络安全服务是非常值得研究的课题。 1 2 国内外研究现状 国内外对网络信息安全的研究，主要是基于现有的i n t e r n e t 架构【3 】【4 1 。 由于i n t e r n e t 的开放性和匿名性，任何人都可以随意接入，因此现有的研究 并没有形成一个成熟的，能够被广泛采用的安全解决方案，并没有从体制上 根本解决网络的安全服务问题。u c l 是目前解决语义理解的有效方法之一， 它能实现网络信息资源的无障碍共享，在解决传统可信计算技术所不能实现 西南科技大学硕士研究生学位论文第2 页 网络信息资源的可信发布、可信共享和信息资源的可信度量方面具有独特的 优越性。相关u c l 技术和可信计算技术的国内外研究现状介绍如下。 1 2 1u c l 研究现状 u c l ( u n i f o r mc o n t e n tl o c a t o r ) “统内容定位 是李幼平院士为数据广 播网和互联网融合所提出的在双向i p 交互平台和单向数据广播平台上快速 获取和定位信息资源的创新技术理念【5 】。自从u c l 概念提出以来，国内部分 研究所、高校和单位都开展了u c l 技术的研究工作，它已经在网络信息内容 的标引、映射、传输、提取、信息过滤和语义理解的理论和应用实践方面取 得了一定的成果。 在理论研究方面，2 0 0 0 年初中国工程物理研究院电子应用研究所和计算 机技术研究所就对u c l 的理念和播存理论开展了初期研究。2 0 0 1 年起西南科 技大学在国家8 6 3 计划项目和国家自然科学基金项目的持续资助下开展了 u c l 的相关研究工作，涉及u c l 在广播数据链路层的规范制定，远程教育的 u c l 技术规范制定，u c l 在互联网和i ) v b - c 网络的自动标引、映射、广播传输、 提取和内容快速解析的理论和实验研究等等方面 6 - 1 8 】。随后复旦大学通信系 钱松荣教授领导的研究小组也对基于内容语义的网络通信协议体系的理论和 实现方案进行了研究。另外，清华大学、中国科技大学电子科技大学也开展 了u c l 播存技术的研究，在数据广播网络的u c l 大规模并播，网络无尺度特性， 平均网络距离，幂次方程参数确定，网络拓扑结构等方面研究发表了若干科 研文章【1 9 - 2 9 1 。 在实践应用方面2 0 0 2 年起，中国数据广播中心在杨健雄主任领导下，开 展了基础教育的u c l 信息服务架构和应用研究，并以此为核心技术建立了“中 国广播教育信息服务网 ( w w w c a b l e t v n e t c n ) 取得了不错效益，并同时利 用2 m 带宽的卫星在全国约两百家有线电视台和近一千所中小学丌展了应用。 2 0 0 3 年1 1 月清华力合公司同中国教育电视台开展了u c l 的远程教育实验研 究，通过了地面与卫星传输实验。同时国家图书馆在中国数字图书馆工程建 设专家工作组组长、全国文化信息资源共享工程专家咨询委员会主任孙承鉴 研究员的领导下，在国家数字图书馆建设工程及全国文化信息资源共享工程 中开展了大规模并播和u c l 技术如何在数字图书及多媒体资源中的应用研究 工作。四川的九洲电子集团国家级技术中心在王强总工程师、苗东主任的领 导下开展了大规模并播技术与u c l 技术应用研究。厦新电子也开展了如何利 西南科技大学硕士研究生学位论文第3 页 用u c l 技术对用户的数字媒体与数字信息的增值服务研究。2 0 0 6 年世界杯期 间和2 0 0 8 年北京奥运会期问，北京歌华公司在李幼平院士的指导下开展了 w e b 信息服务和播存电视技术研究。2 0 1 0 年国家首批三网融合1 2 个试点城市 公布，u c l 在试点城市的商业应用也正在筹划进行中。 u c l 技术的研究目前已引起人们广泛的重视，它作为一种新的创新技术 理念，具有与传统互联网中信息传输和提取不同的特性，在解决网络的带宽 瓶颈、信息垃圾、语义障碍和信息安全等方面具有广阔应用前景。特别是在 信息安全应用方面，u c l 在传输过程中并不经过i n t e r n e t 网络，只能通过数 据数据广播中心接入数据广播信道推送给用户，它具有很好的接入控制性和 传输安全性。也就是说，如果在信息服务端通过u c l 标引信息数据的相关安 全语义，为每个信息资源都建立类似于数字证书的u c l 标引信息；那么这些 数字证书标引信息能够很容易的安全到达用户；再结合相关的u c l 语义可信 计算技术，能对网络信息数据的安全性度量和可信共享提供极大的方便。 1 2 2 可信计算研究现状 可信计算的概念源于社会，其基本思想是在计算机系统中首先建立一个 信任根，再建立一条信任链，一级测量认证一级，一级信任一级，把信任关 系扩大到整个计算机系统，从而确保计算机系统的可信3 0 】【3 1 】3 2 1 。在该概念提 出后，可信计算发展非常迅速。 在技术领域，1 9 9 9 年1 0 月由h p 、i n t e l 、i b m 和微软等国际知名大公司 成立了可信计算平台联盟( t r u s t e dc o m p u t i n gp l a t f o r ma 1 l l a n c et c p a ) 。 2 0 0 3 年t c p a 改组为可信计算组织t c g ( t r u s t e dc o m p u t i n gg r o u p ) ，全球超 过2 0 0 多个主流i t 厂商加入该组织。随后t c g 推出了以可信计算模块 ( t r u s t e dc o m p u t i n gm o d u l et p m ) 1 3 3 3 5 4 】【3 5 1 为核心的可信计算平台规范，制 定了关于可信计算平台、可信存储和可信网络连接等一系列技术规范。在国 内方面，也早在2 0 0 0 年武汉瑞达公司就和武汉大学联合开展可信计算机的工 作；2 0 0 4 该成果通过国家密码管理委员会的技术鉴定，获得国家科技进步二 等奖，并且其主要技术规范与t c g 是一致的。2 0 0 5 年联想集团和北京兆日公 司的t p m 芯片也研制成功。2 0 0 6 年中国可信计算密码专项组正式成立，次年 底就颁布了我国的可信计算密码支撑平台功能与接口规范。随后2 0 0 8 年，国内方正、同方和联想等一线的i t 企业相继推出了可信计算机。可信计 算机早已经进入实际应用阶段。 西南科技大学硕士研究生学位论文第4 页 在理论领域，2 0 0 0 年1 2 月卡内基梅隆大学就与a m e s 研究中心成立了高 可信计算联盟( h i g hd e p e n d a b i1i t yc o m p u t i n gc o n s o r t i u m ) 开展可信计算的 相关理论研究，相关知名大学如：乔治亚理工学院、麻省理工学院和华盛顿 大学等高校也都加入其中。2 0 0 4 年，i e e e 可信与安全计算汇刊( i e e e t r a n s a c t i o n so nd e p e n d a b l ea n ds e c u r ec o m p u t i n g ) 成立，专门刊发可信 计算相关论文。同年在国内的武汉召开了中国第一届可信计算论坛。随后 2 0 0 6 年欧洲启动的开放式可信计算 ( o p e nt r u s t e dc o m p u t in g ) 研究，有超 过二十多家科研组织加入其中。关于可信计算信任的度量理论主要有基于概 率统计的可信模型【3 6 】【3 7 1 ，基于模糊数学的可信模型【3 8 1 ，基于主观逻辑、证 据理论的可信模型【3 9 】和基于软件行为学的可信模型【4 0 】等，国内外至今尚没有 公认的可信计算理论模型，理论研究目前相对滞后于技术开发。 1 3 课题来源 课题来源于国家重点基金项目“非对称广域覆盖信息共享网络理论与 技术研究”( 项目编号：6 0 9 3 2 0 0 5 ) 国家自然科学基金“新一代广播网的语义计算与内容管理机制研究 ( 项目编号：6 0 9 0 2 0 2 1 ) 1 4 课题目的及意义 互联网拥有内容丰富的信息资源，是人们信息共享的当代工具。但是互 联网在设计之初，只是少数科研人员进行交流和数据共享的局域网，并没有 考虑过多的安全问题。当今随着网络普及，在网民、网页和信息内容的急剧 增长的之后，网络信息欺骗、网络病毒、网络钓鱼等信息安全问题严重影响 了互联网的健康发展。 可信计算是一种综合的信息安全保障技术，它具有保证计算机的私钥安 全、阻止非法代码使用私钥、检测系统安全性等功能。由于传统的可信计算 以可信计算硬件平台模块为信任根，通过多级认证和安全度量实现整个计算 机系统和网络的可信。它并不能实现互联网中用户行为和资源共享的更高层 次的可信，但是i n t e r n e t 的根本目的在于信息数据交换和资源共享，没有数 据交换和资源共享方面的可信是远远不够的。 u c l 具有语义理解，智能数据接入控制，传输相对安全，网络覆盖广等 西南科技大学硕士研究生学位论文第5 页 优点。将u c l 与可信计算技术有效的融合，建立基于u c l 可信计算的网络可 信服务，对于构造具有我国自主知识产权的，质优价廉的，可信服务的新一 代信息网络具有重要的意义。 1 5 论文的主要研究内容和组织结构 论文在深入理解项目背景的基础上，对非对称信息网络中基于u c l 的可 信计算开展了理论和实验研究。首先在u c l 的基础上设计了包含弱、中、强 三个不同语义域的网页u c l s 规范：然后在u c l s 动态值和语义向量基础 上，设计了基于u c l - s 的信息完整度量和内容可信度计算算法；最后结合 u c l s 规范与基于u c l s 的可信计算算法提出了一种u b t c 的可信服务模 型，并搭建实验平台进行实验验证和分析。 根据上述研究内容，文章的组织结构如下： 第一章，绪论。简要介绍课题研究的背景、国内外研究现状、课题来源 目的及意义、论文的主要研究内容和组织结构。 第二章，介绍了非对称信息网络的网络体系结构，数据广播中的u c l 技术；对可信计算的基本核心思想、完整度量算法和可信计算在网络中相关 应用做了介绍。 第三章，实验研究设计了u c l 安全字段，并通过实验确定了各字段长度 值；在u h a 算法基础上改进了信息完整度量算法；设计了语义可信度评估 算法。 第四章，提出非对称信息网络中基于u c l s 的u b t c 可信服务模型，对 模型的可信服务流程和体系结构进行了研究，研究了可信服务模型中的 u c l s 语义标签服务端的标引、嵌入、映射和用户端的提取解析及可信计算 实现。 第五章，搭建基于u c l s 的可信服务模型实验平台进行测试，定义了相 关的安全测试评价指标，进行了仿真实验；并通过对仿真实验的结果数据进 行分析，证明该模型的可行性和安全性。 西南科技大学硕士研究生学位论文第6 页 2 非对称信息网络及相关技术 非对称信息网络【4 卜4 6 】是基于网络无尺度现象提出的新一代信息网络，它 通过广播网和互联网的融合，有效的解决了传统互联网的信息共享冲突、信 息垃圾和数字鸿沟等问题：此外由于数据广播信道的引入，非对称信息网络 在解决网络信息安全问题方面也具有独特的优势。 本章内容主要包括：非对称共享信息网络的体系结构；数据广播的u c l 智能语义理解技术的概述；可信计算的信息安全服务三部分。 2 1 非对称信息网络的体系结构 2 1 1 互联网的无尺度现象 大量事实表明，传统的互联网架构是一个优良的信息交换结构，却不是 一个优良的信息共享结构。在有限的公共带宽上传输海量的共享信息，必然 会面对“网络传输拥堵、信息安全无法充分保障、服务质量o o s 下降等诸 多问题。尤其是面对同益增加的图片、数字音频视频等网络共享应用和网络 中大量存在的路由网关等瓶颈限制，使得信息服务质量q o s 与信息安全更难 以保障。 a l b a r a b a s i 等美国科学家用实验统计物理学的方法发现【4 7 1 ，社会活动 改变着互联网运行的数学模型，由初期的正态分布随机模型变为当今的幂次 分布无尺度( s c a l e - f r e e ) 模型! 他们通过对数十万个网络节点统计分析表明， 在网络中9 0 以上的网站连接数都很少的情况下，不到1 0 的极少数网站却 具有极高的连接数目。就像茫茫的人海中，突然出现了几十或几百个高达千 米的巨人，无法用普通的尺度来衡量他们的身高，于是提出了“无尺度，概 念【4 8 5 2 】，借以形容网络中极少数网站连接数目远远超过其它节点的现象。 关于互联网无尺度现象的原因，可以从多个方面解释。a l b a r a b a s i 等 人指出，互联网站点的优先连接性和网络的成长性是两个主要起因。成长性 是指互联网中网民网页都急剧增加，优先连接性是指新网民总是优先选择前 人经常访问的热门网站。随着时间的增加，某些热门的网站愈热，冷门的网 站接受访问的机会越少。 无尺度现象告诉我们，要求所有用户享用所有信息资源，既不可能，也 没有必要。可以把满足大多数用户需求的网络核心信息资源组织聚合起来， 通过专用的数据信道推送给用户，以此缓解i n t e r n e t 数据业务承载业务网所 西南科技大学硕士研究生学位论文第7 页 面临的巨大压力。基于上述的结论，在李幼平院士指导下，西南科技大学、 清华大学和电子科技大学在国家8 6 3 、重点自然科学基金等项目资助下联合 开展了新一代信息网络的研究，并提出了一种非对称信息共享的网络结构。 2 1 2非对称信息网络的构建 非对称信息网络的体系结构如图2 。l 所示，它在互联网交互信道的基础 上添加了一个辅助的数据广播信道，形成一个由互联网和数据广播信道组成 的信息网络结构。数据广播信道具有“广域覆盖、结构封闭、单向播存、高 速传输、安全可靠 的特性：它通过数字电视卫星能够实现全球的无缝覆盖， 同时高达上百套的高清电视节目容量保证了足够的信息传输带宽，此外广播 信道相对封闭的接入中心和传输通道，确保了广播信息的安全可信。常见的 数据广播信道如：有线数字电视广播信道，卫星数字广播信道等。 网 络 共 享 信 息 网络核心 镜像核心 ，夕 资源 ( ：二笪数据广播巾心 | c u | 广播推送信 黑一 f 终端j 、 一 道 用户终端 图2 1非对称信息网络的体系结构 f i g 2 一l t h ea r c h i t e c t u r eo fa s y m m e t r i ci n f o r m a t i o nn e t w o r k 在此网络结构中，网络核心信息资源是具有广谱需求的特定信息资源， 服务端实时动态从海量的网络共享信息中依据相应的策略抽取、聚合并通过 专用镜像信道发送到数据广播中心；然后数据广播中心根据特定的轮播调度 算法推送给用户终端，最后在接收点配置智能的数据接收终端、广谱地接收 并过滤存储用户需求的个性化资源，形成内容丰富的本地信息库。当用户访 问网络的时候，如果请求信息已经到达本地数据库，则用户在本地数据库获 西南科技大学硕士研究生学位论文第8 页 取相应信息内容，否则再通过双向交互的互联网请求获取。整个服务流程包 括：网页信息的动态获取、信息的热度分析、核心信息的聚合、信息镜像、 信息的广播标引、数据广播、网页信息内容的解析、智能获取过滤等一系列 过程。 在非对称信息网络服务机制下，终端用户可以对所请求信息快速智能化 的获取，用户访问信息所需的网络路由跳数，由多跳变为一跳，甚至零跳( 本 地存储) 。在满足日益增加的用户数量及多样化网络应用需求的同时，新结 构从根本上保证了网络服务质量，相对于传统单一化的互联网而言，由于核 心的共享业务流量通过数据广播进行播存，让主流资源通过数据广播信道直 达全国各地，克服了数字鸿沟；同时广播分流也使互联网传输信道变的相对 轻松。另外，由于数据广播信道在网络安全方面，很难进行网络扫描，网络 欺骗，后门程序攻击，拒绝服务等安全攻击，利用非对称信息网络实现可信 的网络信息服务也具有显著的优势。， 2 2u c l 语义理解 2 2 1u c l 定义 u c l 是受都柏林元数据结构和w w w 的u r l 的启发，从海量广播数据 中获取信息资源的一种内容定位方法，它是信息资源属性与内容的描述结构； 其目标是解决网络信息资源的发现、查找、控制和管理等问题，实现网络信 息资源的“个性化主动获取。从技术上来说u c l 可以用来改造任何的网络， 使之成为能够信息内容理解的智能网络【5 3 1 。 u c l 的定义：在网络信息空间( c y b e r s p a c e ) 中，每一份基本的数据文 件都是一个多维矢量。其中，矢量包括：模( 长度) 它是文件的大小，矢量 方向则是对文件内容进行精确描述的一组多维数据，即u c l 。u c l 从多个方 面对数据文件的类别、语言、题目、来源、作者、大小、格式等做出多维度 的矢量标引。用户的个性化需求以及网络信息资源内容都用u c l 矢量表达， 通过对u c l 空间模型中各向量的关联映射计算，在海量的网络信息资源中按 内容定位文件。 一 u c l 的向量表示： u = u ( u l ，u 2 ，“一，u 。)( 2 一1 ) 式中u f ，i e n ；，l 是u c l 的子级分量数，u c l 中的u 表示“统一”( u n i f o r m ) ， 西南科技大学硕士研究生学位论文第9 页 寓意所有进入的信息资源都应用按照对应u c l 规范标引。u c l 的子分量数 和各分量描述内容，一般与描述实体、传输形式、应用领域、用户终端有关。 为了区分u c l 对不同对象的描述和在不同领域的应用，可以定义在某一特定 领域的u c l 。如用于图片信息资源应用的u c l p ( u c lp i c t u r e ) ，用于远程教 育应用的u c l e ( u c le d u c a t i o n ) ，用于网页应用的u c l w ( u c lw e b ) ，用于 信息安全应用的u c l s ( u c ls e c u r i t y ) 等等。 2 2 2u c l 关键技术 非对称信息网络中u c l 的关键技术主要包括u c l 规范和u c l 标引。 u c l 规范应根据不同应用领域制定，如在远程教育和网页数据的标引实 验中制定的u c l e 规范和u c l w 规范。表2 一l 给出了u c l w 的元数据规 范。本文将制定u c l 在信息安全领域的应用规范u c l s 。 表2 1u c l w 的元数据规范 t a b 2 1u c l wm e t a d a t as p e c i f i c a t i o n u c l 信息内容的标引分为人工标引和计算机自动标引。人工标引方法通 常采用手动填写数据的方式，特点是简单，但这种方法单位数据标引成本高、 西南科技大学硕士研究生学位论文第1 0 页 速度慢、不宜于高速海量数据处理。计算机自动标引利用标引软件进行自动 标引，特点是快速，单位数据标引成本较低，缺点是对组织结构复杂的信息 数据前期软件开发难度大，涉及信息内容的语义建模，数据挖掘，人工智能 等较专门的软件知识工程。目前最易于实现自动标引的是w e b 文件数据、图 片、文本等具有特定统一格式的数据。 2 3 基于可信计算的信息安全服务 2 3 1 可信计算概述 在长期的实践过程中网络信息服务提供商和计算机制造商逐渐意识到， 网络中绝大多数的安全问题都来自于终端本身的信息安全隐患，需要从终端 做起综合解决信息安全的可信，并由此提出了可信计算的基本思想如图2 2 所示。 厂、 ：一一网络 u 可信存储搬一+ 日志 图2 2 可信计算的信任传递 f i g 2 2t r u s tt r a n s f e ro ft r u s t e dc o m p u t i n g 图2 2 显示，可信计算是从计算机的底层硬件芯片开始，首先构建一个 信任根，再建立一条可信的信任链，从底层的基础信任根丌始到计算机硬件 平台，到操作系统内核，再到系统应用，一级度量一级，一级认证信任一级， 把这种信任扩展到整个计算机系统，从而确保整个计算机系统的可信。 西南科技大学硕士研究生学位论文第”页 “可信计算 可以分解为“可信 和“计算 两个词，“计算 意义明 确，通俗易懂。“可信”一词的内涵，由于在可信计算的发展历程中研究的 内容和方向不断地更新，到目前还没有统一的标准，图2 3 给出了当前比较 流行的四种定义；在外部特征方面，可信包含的特征属性具体有：可用性、 可靠性、可预见性、安全性等。结合现有可信计算的内涵和外部特征，本文 中的可信主要是指网络信息资源的安全可靠没有被非法篡改，来源的可预见， 信息内容安全的可信计算。 图2 3 可信的定义 f i g 2 - 3 t h ed e f i n i t i o no ft r u s t 可信计算主要技术实现是在计算机或其它智能服务终端上嵌入一个逻辑 化的硬件可信平台模块( t r u s t e dp l a t f o r mm o d u l e ，t p m ) ，它是一种固化在计 算机中的新的安全小系统。t p m 包括信息数据的完整性、安全存储和身份证 明等方面的可信计算功能，它通过存储的消息摘要、完整性度量算法、公钥 认证和身份证明功能来实现上述功能。t p m 具备4 个基本技术特征：安全输 入输出( s e c u r ei o ) 、存储器屏蔽( m e m o r yc u r t a i n i n g ) 、密封存储( s e a l e ds t o r a g e ) 和平台身份的远程证明( r e m o t ea t t e s t a i o n ) 。一个可信的计算机系统由可信根、 可信硬件平台、可信操作系统和可信应用系统四部分组成。 可信计算相关的产品多用于网络电子商务、银行的安全风险管理、数字 化版权管理、国家安全监测与应急响应服务等领域，包括可信网络服务器、 可信计算机、可信p d a 和可信手机等，具有非常广泛的应用前景。 2 3 2 信息完整性度量算法 可信计算的完整度量算法主要采用散列函数，也称h a s h 函数，通过对 西南科技大学硕士研究生学位论文第12 页 任意长度的信息输入产生唯一对应的固定长度的认证编码，实现对信息完整 性度量和身份证明。常用的函数包括：m d 5 ，s h a 一1 、s h a 2 5 6 、s h a 一3 8 4 和s h a 一5 1 2 等，相关算法原理和安全性分析如下。 ( 1 ) m d 5 算法原理：信息摘要算法第五版( m e s s a g ed i g e s tf i v e ) 产生于9 0 年初期，由m i tl a b o r a t o r yf o rc o m p u t e rs c i e n c e 与r s ad a t as e r c u r i t yi n c 共 同开发的。m d 5 将不同长度的数据文件，通过一系列的运算压缩生成一个 1 2 8 位的信息完整性验证摘要，并其此过程不具有可逆性，非法攻击者在获 取信息摘要的情况下几乎不可能伪造源数据。利用m d 5 能够方便快捷的保 证存储数据的机密性和完整性，m d 5 的算法包括两个步骤。 步骤一为数据填充处理，在算法中，首先需要对数据文件进行填充，保 证其字节长度数是模5 1 2 余4 4 8 ，所以，数据文件的b i t 长度被扩展为m 5 1 2 + 4 4 8 ( b i t s ) ，即m 6 4 + 5 6 ( b y t e s ) ，m 为正的整数。填充数值是一个l 和 若干个o 组成。在填充完成后，添加6 4 位的二进制表示原数据文件的长度值； 经过上述预处理后，文件数据的长度变为m 5 12 + 4 4 8 + 6 4 = ( m + 1 ) 5 1 2 ( b i t s ) ，恰好符合数据处理的对信息数据5 1 2 位的整数倍要求，填充后数 据如图2 - 4 所示。 信息数据 。i，一，、，。i 、 ；填充数据一t 2 一长度信息一一 信息数据 1 0 o o 1 0 l o 广_ t 1 1 i 一一一一j l 一一_ 5 1 2 的整数倍_ 图2 - 4m d 5 数据填充 f i g 2 4t h ed a t af i l l i n go fm d 5 步骤二为填充后数据的分组循环处理，以一个5 1 2 位数据分组进行输入 信息处理，每一个5 1 2 位组又被细分为1 6 个子分组，每个子分组为3 2 位； 具体处理过程包括，设置四个3 2 位链接变量( c h a i n i n gv a r i a b l e ) 的参数 a = 0 x 6 7 4 5 2 3 0l ，b = 0 x e f c d a b 8 9 ，c = 0 x 9 8 b a d c f e ，d = 0 xl0 3 2 5 4 7 6 并分别将这 四个参数复制到四个变量寄存器中：a a 寄存器，b b 寄存器，c c 寄存 器，d d 寄存器，开始四轮循环运算，循环次数就是以5 1 2 位大小的数据文 件分组数目。在四轮循环中，每轮循环都很类似。第一轮包括1 6 次操作，每 一次对a 、b 、c 和d 中的其中三个作一次非线性函数运算，然后将所得结果 西南科技大学硕士研究生学位论文第13 页 加上第四个变量，文本数据5 1 2 分组中的一个3 2 位子分组和一个分组常数 k i ，再将所得结果向左循环移动一个不定的数值，并加上四个寄存器中之一的 值。最后用该结果取代a 、b 、c 或d 中之一的数值。四个非线性函数分别为： f ( x ，】，z ) = ( x & 】，) i ( 卜x ) & z ) ，a ( x ，y ，z ) = ( x & z ) i ( y & ( z ) ) ( 2 2 ) h ( x ，y ，z ) = x y z ，i ( x ，y ，z ) = y ( xi ( z ) ( 2 3 ) 函数中，代表与，l 代表或，代表非，代表异或，数据文件经过处理 后将生成一个1 2 8 位的唯一对应的信息摘要。最后，多次的循环分组运算后， 产生四个3 2 位的级联散列数值，即1 2 8 位的m d 5 散列数值。 ( 2 ) s h a 算法原理，安全散列算法( s c u r eh a s ha l g o r i t h ms h a ) 是由美国 的国家标准委员与安全技术协会( n i s t ) 设计的哈希安全散列函数，是目前广 泛使用的h a s h 函数之一。该算法第一次发布于19 9 3 年的5 月作为美国安全 信息处理标准( f i p s1 8 0 ) 发布，其修订版于1 9 9 5 年发布( f i p s1 8 0 1 ) ，并在随 后的过程中，不断的完