随着互联网时代的蓬勃发展,虽然几乎每个人都拥有一台专用电脑或智能手机,但是诸如机场、酒店、网吧等公共场所提供顾客使用的公用计算机,由于其分布广、计算性能高、显示屏幕大、不用携带等特点,在必要的时候能够解决人们的燃眉之急,是这个社会不可或缺的计算资源之一。人们使用这类公用计算机时可能会登录邮箱、访问网上银行,甚至是进行涉及财产的交易,这些敏感操作对计算平台的安全性要求很高,不允许有任何泄露敏感信息的恶意软件运行。然而,公用计算机普遍面临着恶意代码泛滥、软件冗余造成性能下降、使用人数众多却缺少维护的问题,在这种不安全的计算环境下执行涉及人们隐私、财产、所属工作单位的机密信息等相关的任务时,极有可能造成信息泄露,严重危害人们的利益。本文针对如何在这类公用计算机中隔离出一个临时的个人虚拟私有计算平台的问题开展了研究,本文称这种虚拟私有计算平台为虚拟专用终端,使得人们可以如同在使用自己的专用计算机一样较为安全地执行任务,保障用户的敏感信息记录不了、带不走、读不懂,从而提高用户的隐私保护和数据安全的强度。本文在总结了现有研究成果的基础上,提出了构建一个从底层硬件到高层应用具备完整信任链的可信、纯净、无篡改的计算环境的架构思想,在数据存储、信息输入、远程认证三个方面详细设计了防止用户敏感数据与企业机密数据泄漏的保护框架。主要的研究工作和创新点如下:(1)提出了底层可信为安全前提的虚拟专用终端体系结构。首先,分析虚拟专用计算机需要达到的安全需求,包括对信任根、信任传递、上层应用隔离、远程认证的平台安全性报告等需求。然后,介绍本文设计的虚拟专用终端体系结构,包括主板固件度量与恢复、可信启动模块和操作系统安全性增强等三个部分,保证虚拟专用终端从开机到关机的整个运行周期都保持可信状态。虚拟专用终端体系结构以底层硬件的固件与启动模块的可信性为系统首要的安全前提,在底层可信的基础上,提出操作系统安全扩展的内容,包括进程启动控制、内存隔离、输入设备保护、数据封装及远程可信证明。最后,分析体系结构的安全特性。(2)针对公用计算机使用者众多的特点,结合可信平台模块中的不可迁移密钥,利用密钥不离开芯片的特性实现数据绑定,提出了基于计算平台安全属性的数据封装模型。首先,给出数据封装的具体流程:1)USB Key存储密钥凭证:可信平台模块内部的密钥需要提供认证口令与密钥ID,这些信息都存储在USB Key中;2)可信平台模块封装密钥:产生外部密钥,由可信平台模块密封并保存在USB Key中;3)CPU执行数据加解密:需要加(解)密时,从USB Key中提取并由可信平台模块解封得到外部密钥,再由CPU完成数据的加(解)密操作。然后,介绍平台属性可以涵盖的内容,例如操作系统已安装的更新包、进程完整性报告、第三方安全软件运行状态等等。最后,设计使用可信平台模块封装策略的网络访问控制模块,在机密数据未处于密封状态下时根据访问策略限制互联网的访问,对策略内容的任何篡改都将导致彻底断网,保护解封后的数据不被泄漏。(3)提出公用计算环境下虚拟专用终端的键盘保护框架。首先,从硬件与软件层面总结当今键盘记录的攻击方法,并详细列举操作系统内核层实施键盘记录的各个关键点。然后,提出保护框架由可信链、密码管理器、内存隔离模块三部分组成,并重点对后两者分别给出详细的设计、实现与分析比较。密码管理器将用户的登录凭证加密保存在USB Key中,当需要在浏览器输入用户名与口令时,由密码管理器在验证用户身份后代理输入凭证信息,同时由内存隔离模块阻断任何恶意的信息偷取行为。(4)为保护用户隐私与企业数据,提出了公用计算环境的远程可信证明方法。首先,分析不安全的计算平台在认证过程和接入企业内部网络后可能造成的危害,提出了基于计算平台安全属性的认证方案,并详细描述认证过程中能够保护双方隐私的两种具体实现与分析,包括基于ABE加密算法和结合Bloom Filter与Paillier加密算法的两种方案;然后,提出两种可否认认证方案的形式化定义与证明,并将其中的部分可否认认证协议与椭圆曲线上的基于身份签名算法相结合,提出能够为认证请求方带来隐私保护效果的高效认证方案,同时将此方案给予实现,并分析使用此方案验证平台属性的效率;最后,给出虚拟专用终端使用VPN接入企业内网后的终端安全管理架构,将公用计算机作为虚拟的企业专用机进行监控。综上所述,本文分别从系统底层架构、数据封装、安全输入、可信平台远程证明等方面设计了在公用计算环境中如何构建虚拟专用终端,为用户在使用公用计算机的过程中实现用户隐私保护与企业数据安全提供了包含相应关键技术的新思路。