基于可信平台模块的使用控制文件系统UCFS的设计与实现

摘要

使用控制可以让信息的发布者限制接收者如何使用此信息.最近提出的一些基于可信平台模块(TPM)的使用控制实施技术可以很大程度上增强使用控制的安全性,但却忽视了在普通文件系统中的使用控制文件及策略的安全存储问题.本文提出了使用控制文件系统UCFS,一种不同于传统加密文件系统的新的存储模块,它支持使用控制,并能确保使用控制文件及策略的安全性.UCFS是在普通文件系统之上的一层:它将特定文件加密以阻止攻击者将硬盘窃取到其他机器,并使用这些文件,同时它将文件及其使用策略一起签名以检测对它们的篡改.UCFS使用TPM保护这些加密和签名密钥,更进一步,UCFS重用传统文件系统,并获得传统文件系统的性能优化的优点.最后,实验表明UCFS具有可以接受的性能及代码复杂度.