可信网络连接研究*
张焕国1),2)陈璐1) 张立强3)
1) (武汉大学计算机学院,武汉,430072)
2)(空天信息安全与可信计算教育部重点实验室,武汉,430072)
3)(武汉大学软件工程国家重点实验室,武汉,430072)
摘要本文详细地介绍了可信网络连接的发展历程、体系结构、消息流程、相关规范,对TCG的可信网络连接架构的优点与局限性进行了分析。针对如何将可信计算机制拓展到网络,使得网络成为可信的计算环境这一问题进行了分析论述,并对可信网络连接技术未来的发展趋势进行了展望。
关键词可信计算;可信网络连接;可信网络;网络安全;信息安全
中图法分类号TP309 DOI号:
Research on Trusted Network Connection
1)2)Zhang-Huanguo 1)Chen-Lu 3)Zhang-Liqiang ,
1)(School of Computer, Wuhan University, Wuhan 430072)
2)(Key Lab of Aerospace Information Security and Trusted Computing, Wuhan University, Wuhan 430072 )
3)(State Key Lab of Software Engineering , Wuhan University, Wuhan 430072)
Abstract This paper introduces the development history, architecture, information flow and related specification of Trusted Network Connection in details. Analyses are given on Trusted Network Connection architecture; merits and restriction are pointed out. Focusing on how to extend the Trusted Computing mechanism into network and make network to be a trusted computing environment, related research work are analyzed and summarized. Some research trends and directions are advised on the future research and development on Trusted Network Connection.
Key Words Trusted Computing, Trusted Network Connection, Trusted Network, Network Security,Information Security
*最终修改稿收到日期:2009-11-3. 本课题得到国家“八六三”高科技研究发展计划项目基金(2006AA01Z442,2007AA01Z411)和国家自然科学基金(60673071.60970115)资助。张焕国,男,1945年生,教授,研究方向为信息安全、可信计算等;陈璐,女,1979年生,博士研究生,研究方向为可信计算、网络安全;张立强,男,1979年生,讲师,博士,研究方向为可信计算、网络安全。
1 引言
自从2003年可信计算组织(Trusted Computing Group,TCG)[1]成立以来,可信计算技术得到了迅速的发展。人们已经意识到,在面对现有各种安全风险与威胁时,不仅需要自顶向下的安全体系设计,还需要从终端开始自底向上地保证计算系统的可信;不仅要保证终端计算环境的可信,还要把终端计算环境的可信扩展到网络,使得网络成为一个可信的计算环境。
2004 年5 月TCG 成立了可信网络连接分组[2](Trusted Network Connection Sub Group, TNC-SG),主要负责研究及制定可信网络连接(Trusted Network Connection,TNC)框架[3]及相关的标准[4][5][6][7][8][9][10]。经过几年的发展,TNC已经具有70多名成员,形成了以TNC架构为核心、多种组件之间交互接口为支撑的规范体系结构,实现了与Microsoft 的网络访问保护(Network Access Protection,NAP)[11]之间的互操作,并将一些规范作为建议草稿提交到互联网工程任务组(International Engineer Task Force,IETF)的网络访问控制(Network Access Control,NAC)规范中。目前已经有多家企业的产品支持TNC体系结构,如Extreme Networks、HP ProCureve、Juniper Networks、Meru Networks、OpSwat、Patchlink、Q1Labs、StillSecure、Wave Systems等;也有开放源代码的软件,如libTNC[12]、FHH[13]、Xsupplicant[14]等。
TNC是对可信平台应用的扩展,也是可信计算机制与网络接入控制机制的结合。它是指在终端接入网络之前,对用户的身份进行认证;如果认证通过,对终端平台的身份进行认证;如果认证通过,对终端的平台可信状态进行度量,如果度量结果满足网络接入的安全策略,则允许终端接入网络,否则将终端连接到指定的隔离区域,对其进行安全性修补和升级。TNC旨在将终端的可信状态延续到网络中,使信任链从终端扩展到网络。TNC是网络接入控制的一种实现方式,是一种主动性的防御方法,能够将大部分的潜在攻击在发生之前进行抑制。
TNC是从技术层面上将可信计算机制延伸到网络的一种尝试。但是,TNC在研究层面还有很多基本的问题亟待解决。TNC的理论研究落后于技术开发,至今尚没有公认的可信网络环境理论模型;远程证明是TNC的基础,但是目前尚缺少软件动态可信性的度量方法与理论,缺少经过形式化验证的远程证明协议;一些关键的技术如软件动态可信性度量机制等尚待攻克。
虽然TNC的发展目前还存在的一些问题。但是TNC的出发点是为了从终端入手解决网络的安全和可信问题,无论是理论还是技术都非常符合解决网络可信的需求。目前,各国研究机构和大学、企业的研究部门、军事和国防机构都对TNC开展深入的研究。针对这种情况,本文将TNC技术的现状和发展进行了介绍和总结,对TNC的优势与局限性进行了分析,对如何将可信机制延伸到网络的研究进行了分析,并对TNC的未来发展趋势进行了探讨,力求对TNC技术的研究与发展进行客观和全面的介绍。
本文的组织如下:第2部分对TCG的TNC架构与规范进行介绍;第3部分对TNC架构进行分析;第4部分将如何将可信机制延伸到网络的研究进行分析;第5部分对TNC 的未来发展趋势进行探讨;第6部分对我们的研究工作做简单介绍;第7部分给出结论。
2 TNC架构与规范
2.1 TNC的发展历程
2004年5月TCG建立的TNC-SG,意图在网络访问控制和终端安全领域制定开放的规范。2005年5月,TNC发布了V1.0版本的架构规范和相应的接口规范,确定了TNC 的核心,并在Interop LasV egas 中进行了理念的展示。2006年5月,TNC发布了V1.1版本的架构规范,添加了完整性度量模型的相关内容,展示了完整性度量与验证的示例,发布了第一个部署实例,针对无线局域网、完整性度量与验证、网络访问、服务器通讯等相关的产品进行了发布。2007年5月,TNC发布了V1.2版本的架构规范,增加了与Microsoft NAP之间的互操作,对一些已有规范进行了更新,并发布了一些新的接口规范,更多的产品开始支持TNC架构。2008年,TNC架构中最上层的IF-M接口规范进入了公开评审阶段,这意味着耗时3年多的TNC架构规范终于完整公开。2008年4月,TNC发布了V1.3版本的架构规范,增加了可信网络连接协议IF-MAP[15](Interface for Metadata Access Point),使得TNC架构具有安全信息共享和动态策略调整功能。2009年5月,TNC发布了TNC1.4版本的架构规范[16],同时增加了IF-T: Binding to TLS[17]、Federated TNC[18]和Clientless Endpoint Support Profile[19]三个规范,进一步对跨域场景和无TNC客户端的场景进行支持。
2.2 TNC架构
TNC基础架构如图1所示,包括三个实体、三个层次和若干个接口组件。该架构在传统的网络接入层次上增加了完整性评估层与完整性度量层,实现对接入平台的身份验证与完整性验证。
图1 TNC基础架构
三个实体分别是访问请求者(Access Requestor,AR)、策略执行点(Policy Enforcement Point,PEP)和策略决定点(Policy Decision Point,PDP)。其中AR发出访问请求,收集平台完整性可信信息,发送给PDP,申请建立网络连接;PDP根据本地安全策略对AR的访问请求进行决策判定,判定依据包括AR的身份与AR的平台完整性状态,判定结果为允许/禁止/隔离;PEP控制对被保护网络的访问,执行PDP 的访问控制决策。
AR包括三个组件:网络访问请求者(Network Access Requestor,NAR) 发出访问请求,申请建立网络连接,在一个AR中可以有多个NAR;TNC客户端(TNC Client,TNCC) 收集完整性度量收集器(Integrity Measurement Collector,IMC)的完整性测量信息,同时测量和报告平台和IMC 自身的完整性信息;IMC测量AR中各个组件的完整性,在一个AR 上可以有多个不同的IMC。
PDP包括三个组件:网络访问授权者(Network Access Authority,NAA) 对AR 的网络访问请求进行决策。NAA 可以咨询上层的可信网络连接服务器(Trusted Network Connection Server,TNCS)来决定AR 的完整性状态是否与PDP的安全策略一致,从而决定AR 的访问请求是否被允许;TNCS负责与TNCC之间的通信,收集来自完整性度量验证器(Integrity Measurement V erifier,IMV)的决策,形成一个全局的访问决策传递给NAA;IMV将IMC传递过来的AR各个部件的完整性测量信息进行验证,并给出访问决策意见。
三个层次分别是网络访问层、完整性评估层与完整性度量层。网络访问层支持传统的网络连接技术,如802.1X和VPN等机制。完整性评估层进行平台的认证,并评估AR的完整性。完整性度量层收集和校验AR的完整性相关信息。
在TNC架构中存在多个实体,为了实现实体之间的互操作,需要制定实体之间的接口。接口自底向上包括IF-PEP[4]、IF-T[5]、IF-TNCCS[6]、IF-IMC[7]、IF-IMV[8]和IF-M[9]。IF-PEP为PDP和PEP之间的接口,维护PDP 和PEP 之间的信息传输;IF-T维护AR和PDP之间的信息传输,并对上层接口协议提供封装,针对EAP方法和TLS分别制定了规范;IF-TNCCS是TNCC 和TNCS 之间的接口,定义了TNCC与TNCS之间传递信息的协议;IF-IMC是TNCC与各个IMC组件之间的接口,定义了TNCC与IMC 之间传递信息的协议;IF-IMV是TNCS与各个IMV组件之间的接口,定义了TNCS与IMV之间传递信息的协议;IF-M 是IMC与IMV之间的接口,定义了IMC与IMV之间传递消息的协议。目前各个接口的定义都已经公布,接口与协议的定义非常详细,有的甚至给出了编程语言与操作系统的绑定。
在TNC架构中,平台的完整性状态将直接导致其是否被允许访问网络。如果终端由于某些原因不能符合相关安全策略时,TNC架构还考虑提供终端修补措施。在修补阶段中终端连接的是隔离区域。TNC并没有强制要求终端具有可信平台,但是如果终端具有可信平台,那么针对可信平台的相关特性TNC还提供了相应的接口[10]。具有可信平台与修补功能的TNC架构如图2所示:
图2 带有可信平台模块和修补功能的TNC架构
图2中的修补层由两个实体组成:配置和修补应用程序(Provisioning & Remediation Application, PRA)与配置和修补资源(Provisioning & Remediation Resource, PRR)组成。PRA可以作为AR的一个组成部分,向IMC提供某种类型的完整性信息。PRR作为修补更新资源,能够对AR上某些组件进行更新,使其通过完整性检查。平台可信服务接口(Platform Trust Services,IF-PTS)将可信软件栈(Trusted Software Stack,TSS)的相关功能进行封装,向AR的各个组件提供可信平台的功能,包括密钥存储、非对称加解密、随机数、平台身份和平台完整性报告等。完整性度量日志将平台中组件的度量信息保存起来。
2.3 TNC基本流程
以TNC1.4版本为例,一次完整的TNC基本流程如图3所示:
图3 TNC流程
步骤0:在进行网络连接和平台完整性验证之前,TNCC 需要对每一个IMC进行初始化。同样,TNCS也要对IMV 进行初始化。
步骤1:当有网络连接请求发生时,NAR向PEP发送一个连接请求。
步骤2:接收到NAR的访问请求之后,PEP 向NAA 发送一个网络访问决策请求。假定NAA已经设置成按照用户认证、平台认证和完整性检查的顺序进行操作。如果有一个认证失败,则其后的认证将不会发生。用户认证可以发生在NAA 和AR 之间。平台认证和完整性检查发生在AR 和TNCS 之间。
步骤3:假定AR 和NAA 之间的用户认证成功完成,则NAA 通知TNCS 有一个连接请求到来。
步骤4:TNCS 和TNCC 进行平台验证。
步骤5:假定TNCC和TNCS之间的平台验证成功完成。TNCS通知IMV新的连接请求已经发生,需要进行完整性验证。同时TNCC通知IMC新的连接请求已经发生,需要准备完整性相关信息。IMC通过IF-IMC向TNCC返回IF-M 消息。
步骤6A:TNCC和TNCS交换完整性验证相关的各种信息。这些信息将会被NAR、PEP 和NAA 转发,直到AR 的完整性状态满足TNCS的要求。
步骤6B:TNCS将每个IMC信息发送给相应的IMV。IMV对IMC信息进行分析。如果IMV需要更多的完整性信息,它将通过IF-IMV接口向TNCS发送信息。如果IMV已经对IMC的完整性信息做出判断,它将结果通过IF-IMV接口发送给TNCS。
步骤6C:TNCC也要转发来自TNCS的信息给相应的IMC,并将来自IMC的信息发给TNCS。
步骤7:当TNCS完成和TNCC的完整性检查握手之后,它发送TNCS推荐操作给NAA。
步骤8:NAA发送网络访问决策给PEP来实施。NAA 也必须向TNCS说明它最后的网络访问决定,这个决定也将会发送给TNCC。PEP执行NAA的决策,这一次的网络连接过程结束。
上述的流程没有包括完整性验证没有通过的情况。如果完整性验证没有通过,AR可以通过PRA来访问PRR,对相关的组件进行更新和修复,然后再次执行上述流程。更新和修复的过程可能会重复多次直到完整性验证通过。
2.4 TNC的支撑技术
尽管完整性度量与报告是TNC的核心技术,但是TNC 架构中采用了现有的一些技术来为上层的可信计算机制提供支撑。这主要包括网络访问技术、安全的消息传输技术与用户身份认证技术。
TNC的网络访问层基于现有的网络访问技术,主要包括802.1X、虚拟专用网VPN和点对点协议PPP。802.1X为局域网提供基于端口的访问控制,能够通过受控端口与非受控端口对网络连接进行控制,这也是目前应用的最为广泛的网络接入方法。VPN使用Internet密钥交换协议IKE和IPsec 协议、安全套接字SSL或者传输层安全TLS在Internet上建立安全隧道,保证数据传输的安全。PPP协议点对点连接中传输多种协议数据报的标准方法。
TNC架构中需要在多个实体的多个组件中传递消息,因此安全的消息传输技术也是关键。可扩展认证协议(Extensible Authentication Protocol,EAP)广泛地用于802.1X架构中。EAP不仅可以传输认证信息,而且通过EAP 方法还可以传递终端完整性度量信息。HTTP协议和HTTPS 适用于传输应用程序相关的信息。TLS可以传递完整性报告和完整性检查的消息握手。
在网络访问控制的用户身份认证中,TNC并没有强制使用任何协议,但是可以利用现有的RADIUS协议和Diameter协议。
可以看出,在可信网络连接架构中,底层的网络访问层基本上沿用了现有的网络访问控制技术,尤其是认证协议。消息传输也使用了现有的规范,使得整个可信网络连接架构易于兼容现有的网络接入系统。
3 TNC架构分析
TNC是一个开放的、支持异构环境的网络访问控制架构,建立在TCG相关规范和其它广泛应用的行业标准与规范之上。它在设计过程中,既要考虑架构的安全性,又要考虑与现有标准和技术的兼容性,在一定程度上进行了折中考虑,因此,TNC既具有一定的优点,也具有一定的局限性。下面分别针对它的优点和局限性进行分析。
3.1 TNC的优点
(1)开放性。TNC架构本身就是针对互操作的,所有规范都面向公众开放,研究者可以免费获得相关的规范文档。另外,它采用了很多现有的标准与规范,如EAP、802.1X等,使得该架构可以适应多种环境的需要,没有与某个具体的产品相绑定。它与NAC架构、NAP架构的互操作也说明了该架构的开放性。
(2)安全性。TNC是对传统网络接入控制技术的扩展,在传统的基于用户身份认证的基础上增加了平台身份认证与完整性验证。这将对接入网络的终端提出更高的要求,反过来这也增强了提供接入的网络的安全性。同时每个规范中针对安全问题与隐私问题都具有相应的探讨与解决方案。
(3)指导性。TNC的规范内容详细,考虑的问题全面,很多接口定义规范提供了具体的消息流程、XML Schema和相关操作系统和编程语言的绑定,如IF-IMC、IF-IMV和IF-TNCCS 等,易于指导产品的实现。
(4)系统性。TNC规范自身为一个完整的体系结构,每一个相应的接口都具有子规范进行详细定义,有关完整性度量、报告等核心问题专门成立了完整性工作组(Integrity Working Group,IWG)制定相应规范与参考模型,与可信计算整体规范既有关联,又自成一个体系。
3.2 TNC的局限性
虽然TNC具有上述的优点,但是它也有一定的局限性,有些局限性是与可信计算本身相关的。
(1)理论研究滞后。目前在可信计算领域存在着技术超前于理论的状况,TNC也不例外。如何将信任链从终端扩展到网络,使得网络成为一个可信计算环境,这是一个亟需研究的理论问题。TNC从技术的手段将可信计算技术应用到网络接入控制,但是这种接入的方式尚缺乏可信理论的支撑。
(2)局限于完整性。TNC对终端的可信验证基于完整性。完整性只能保证信息的来源可信与未被修改,并不能保证信息的内容可信。而且,目前基于完整性的可信验证只能确保软件的静态可信,尚不能确保软件的动态可信。因此TNC并不能完全保证接入终端的平台可信。另外,目前TNC基于完整性验证的架构比较复杂,难于扩展,实现成本高。
(3)单向性的可信评估。TNC的出发点是保证网络的安全性,因此该架构没有考虑如何保护终端的安全。终端在接入网络之前,除了要提供自身的平台可信性证据之外,还应该具有对接入网络进行可信性评估,否则无法保证从网络中获取的服务可信。
(4)缺乏安全协议支持。TNC架构中,多个实体需要进行信息交互,如TNCC与TNCS之间、TNCC与IMC之间、TNCS 与IMV之间、IMC与IMV之间都需要进行大量的信息交互,但是TNC架构本身并没有给出相应的安全协议,只是简单的介绍了如何进行消息的传递。
(5)缺乏网络接入后的安全保护。TNC只是在终端接入网络的过程中对终端进行了平台认证与完整性验证,在终端接入网络之后就没有相应的措施对网络和终端进行保护。终端平台有可能在接入之后发生状态的改变,因此有必要增加整个接入过程的控制机制。在TNC1.3架构中增加了安全信息动态共享,在一定程度上增强了动态控制功能。
(6)应用范围具有局限性。TNC应用目前局限在企业内部网络,难以提供分布式、多层次、电信级、跨网络域的网络访问控制架构。在TNC1.4架构中增加了对跨网络域认证的支持,以及对无TNC客户端场景的支持,在一定程度上改善了应用的局限性。
4 相关研究
虽然TNC只是一种技术架构,但是它开创性地提出了将可信计算机制引入网络,引起了国内外研究者对此更加深入和广泛的研究,核心问题就是如何将信任链从终端扩展到网络,使得网络成为一种可信的计算环境。针对这个目标,众多学者对以下几个方面进行了深入的研究,包括:1.可信网络连接与可信网络体系结构研究;2.远程证明与远端可信研究;3.可信传输与资源共享研究。下面对其中的每一个方面进行介绍。
4.1 可信网络连接与可信网络体系结构研究
目前国际上网络访问控制架构主要为微软的网络访问保护NAP架构,思科的网络访问控制NAC架构[20]和TNC架构。这三种结构都基于以下机制:终端接入网络之前,对终端的平台状态进行度量,如果度量结果满足网络接入的安全策略,则允许终端接入网络,否则将终端连接到指定的隔离区域,对其进行安全性修补和升级。NAC、NAP和TNC技术的目标和实现技术具有很大相似性,同时,由于三种技术的发布者自身的背景,三种技术又存在不同的偏重性,NAC与NAP 应该属于产品层面。在产品方面,Juniper公司已经研制出符合TNC规范的统一接入控制2.0的产品[21],华为公司推出了EAD解决方案[22],天融信公司推出了可信网络架构TNA[23]。
1983年美国国防部制定了世界上第一个《可信计算机系统评价准则》TCSEC(Trusted Computer System Evaluation Criteria)[24],作为补充又推出了可信网络解释TNI(Trusted Network Interpretation)[25]。TNI主要强调了信息的秘密性,而对完整性、真实性考虑较少,强调了系统安全性的评价,却没有给出达到这种安全性的系统结构和技术路线。
在可信网络方面,NewArch项目[26]提出了“信任调节透明性”(trust-modulated transparency)原则,希望将现实社会中的信任关系映射到网络。基于交互用户双方的信任需求声明,网络可以提供一定范围的服务,若双方完全信任,则其交互是透明、无约束的,否则需要被检查、过滤和约束。美国高级研究计划局提出的CHAT(Composable High-Assurance Trustworthy Systems)项目[27]研究了如何在对安全性、可靠性、可生存性及其它必要属性具有严格要求的条件下,设计出可以验证的可信网络。TRIAD(Trustworthy Refinement through Intrusion-Aware Design)项目[28]研究了通过引入入侵检测设计机制来提高网络系统的可信性。
全国信息安全技术标准化委员会于2005年1月成立了我国可信计算工作小组。2007年2月,北京工业大学牵头组织可信计算关键标准的研究,包括芯片、主板、软件和网络四个标准。在可信网络连接标准制定过程中,采用三元、三层、对等、集中管理的可信网络连接架构,如图4所示。通过引入一个策略管理器作为可信第三方,对访问请求者和访问控制器进行集中管理,网络访问控制层和可信平台评估层执行基于策略管理器为可信第三方的三元对等鉴别协议,实现访问请求者和访问控制器之间的双向用户身份认证和双向平台可信性评估。该架构采用国家自主知识产权的鉴别协议,将访问请求者和访问控制器作为对等实体,以策略管理器为可信第三方,既简化了身份管理、策略管理和证书管理机制,又保证了终端与网络的双向认证,具有很大的创新性。
图4 中国可信网络连接架构
国内学者也开展了可信网络的研究。林闯等人[29][30]提出了可信网络的概念,意图从网络体系结构本身增加安全机制的方式来解决现有网络的脆弱性问题,在保障网络中信息的秘密性、真实性、完整性和可用性的同时,保障网络的安全性、可生存性与可控性,从体系结构本身保证网络的可信性。通过将信任机制集成在网络体系结构中,对安全机制进行增强。从架构层面对可信网络提出了设计原则,并从行为可信的角度对可信网络进行了定义,指出网络与用户的行为及其结果可预期、可管理的。闵应骅认为[31]可信网络是能够提供可信服务的网络,并且服务可以论证其可信赖的。这里的可信性包括可用性、可靠性、可维护性、安全性、健壮性与可测试性等。田立勤等[32]针对网络中用户的行为可信进行了研究,在用户身份可信的基础上增加了对用户行为可信的控制与管理,利用贝叶斯网络对用户行为进行多属性条件下的可信预测,基于用户安全行为可信属性进行风险分析与博弈分析,计算出混合的纳什均衡策略,为网络可信提供决策。周明天等[33]认为可信计算是一个保障体系,其目标是网络可信。对此我们也提出了自己的学术观点:可信性包含许多属性,但是现阶段关注的主要属性是可靠性和安全性。因此可以通俗地说,可信≈可靠+安全。可信计算机系统是能够提供系统的可靠性、可用性、信息和行为安全性的计算机系统[48,49]。在可信计算的体系结构中包括可信网络连接与可信网络服务器,确保交易可信。在可信网络连接中包括物理设备可信、传输可信与接入可信部分,接入可信对应着TCG的TNC。可信网络服务器中在传统的安全服务器基础上,除了终端安全技术之外,还需要研究服务器的服务可信与对共享资源的保护。不过,网络的可信性问题还是近年来随着人们对网络安全的日益重视才开始的,大部分的工作是就可信网络在理论与技术的某个局部目标展开的,并没有形成完整的体系,可信网络的许多研究还处在探索阶段。
4.2 远程证明与远端可信研究
远程证明是TNC架构中可信评估层与可信验证层功能的结合。远程证明是指网络中的两个节点,一个节点将自身的某些平台信息使用约定的格式向另一个节点报告,使得另外一个节点能够获取该节点的平台相关信息。远程证明的初衷就是允许两个节点在进行交互之前判断对方的终端平台状态,如果平台状态符合交互的要求那么就允许节点进行交互,它进一步抽象了网络连接的层次。远程证明机制建立在可信度量、可信报告的基础之上,但是可以脱离可信平台而存在。
可信度量与报告是远程证明的关键技术。目前,TNC 架构中采用的是基于哈希函数的度量算法和基于平台配置寄存器(Platform Configuration Register,PCR)进行叠加的哈希值进行报告。这种机制具有非常大的局限性,它具有不能方便软件升级、不适应系统配置动态变化、容易绑定到某个特殊的产品以及容易泄露平台配置等缺点。很多研究者在此基础上进行研究,希望拓展和改进基于完整性的度量和报告机制,加入软件正确性、风险评估等特性,进一步充实可信度量和报告的机制,使其更加易于实现,减少缺陷,提高安全和可信性。
针对远程证明的研究主要集中在远程证明的协议、交换
的信息以及信息的格式等方面。对远程证明协议的研究包括:使用形式化对该协议进行验证以发现协议的安全漏洞并进行改进[34];更改协议的形式,由带有可信第三方的协议改为直接匿名通信的协议[35]等。对交换的信息以及信息的格式等方面进行研究包括:对基于二进制度量的信息进行扩充,包括基于属性的信息[36]、基于语义的信息[37]等;对信息的格式进行扩充,包括基于XML描述的完整性参考值的报告等。远程证明为平台间可信交互提供了一个强有力的方式,因此被广泛用于P2P网络、Adhoc网络和Web Service等环境中。
远端可信与远程证明具有非常相似的概念,只不过远端可信要求提供的证据比远程证明更加具体,往往对某个平台、某个实体或者某个任务进行验证。远端可信的相关研究包括Pioneer系统基于准确计算对方代码执行时间的方法判断远端平台可信[38];SWATT采用类似的方法验证嵌入系统的完整性[39];V ivek Haldar提出了基于语言虚拟机的方法[37];Ahmad-Reza sadeghi提出基于属性的远程证明方式验证远端平台可信[26];Rick等提出一个检查远端平台真实性的方法[40];Y uqun Chen提出带有验证原语的方法确认远程软件执行的可信[41];Falcarin提出了aspect-oriented编程的方法验证远端可信[42]。
4.3 可信传输与可信资源共享研究
联网的根本目的在于数据传输和资源共享。网络连接仅仅是网络业务处理的第一步,因此仅有网络可信连接是远远不够的,还需要数据传输的可信和资源共享的可信。TCG目前只研究了TNC,尚缺少对数据传输的可信和资源共享的可信的研究[48]。
可信传输具有两个层面的含义:传输数据可信和传输行为可信。传输数据可信是指数据在传输过程中是可信的(安全的和可靠的),以及网络实体间在网络交换过程中的收发都能提供可信证据,在每一次转报过程中都要提供经手的证明[33]。由于TCP/IP协议设计时只考虑数据的转发,而没有考虑数据传输的安全,因此最好的解决方法是对其进行扩展。传输行为的可信是指在传输过程中,主体的传输行为的历史记录反映主体行为是否违反安全规则的统计特性,以及对传输行为的实时监督。目前,研究行为可信比较典型的是人工智能中智能代理研究。曲延文对软件行为进行了深层次的刻画,提出了软件行为学[43]。
基于可信硬件的资源共享目前也是研究热点。Sandhu 等提出了基于可信计算平台的安全信息共享模型PEI[44][45]。数字产品(软件,数据,媒体)的使用管理涉及可信资源共享。在数字版权管理系统中,数字内容的解密使用、使用权利的解析验证由客户端DRM应用程序负责,需要采用各种技术手段来确保数字内容的可信应用。可信计算能够支持保护数字版权,因此可信计算对于资源共享具有独特的优势。另外,基于可信计算技术的访问控制模型[46]扩展、基于可信计算技术增强网格安全[47]也促进了资源共享的研究。
5 TNC的发展趋势
随着可信计算研究的不断深入,目前针对终端的可信性研究必然会拓展到网络中。网络连接只是网络活动的第一步,连网的主要目的是数据交换和资源共享,这方面还缺少可信技术规范[48]。我们认为将可信计算思想和机制引入到网络中,使得网络成为一个可信的计算环境,将会是后续的研究热点。网络环境比终端更加复杂,需要从理论层面和技术层面同时进行研究。不但需要对可信度量、可信报告等可信计算核心机制进行深入研究,还需要从理论层面对可信网络环境进行研究,对网络中数据的可信传输与资源的可信共享进行研究。下面对每一个内容进行探讨。
5.1 可信网络环境的理论模型
研究如何将可信计算机制引入到网络中,使得网络成为可信的计算环境,首先要研究现有网络中各个节点之间的信任关系,研究终端平台上各个组件之间的信任关系,对节点与组件之间的关系进行刻画,建立可信网络环境的理论模型。人们已经对信任模型进行了深入的研究,信任模型是对传统安全模型的扩展和增强。目前,基于各种数学理论的网络信任模型很多。可信网络环境的理论模型具有可信计算自身的特点,和这些网络信任模型既有关系,又有区别。我们可以根据网络信任模型的构造理论、构造方法、相应的数学基础,根据可信计算平台的可信根、信任链的特点,构造可信网络环境的理论模型。
目前网络信任模型多用于网络中不同节点间信任关系的描述,这些模型都从某些特定的方面描述了信任度在信息系统中的表示和计算方法,但仍存在下列问题:①这些模型只考虑节点在网络中的行为、声誉等因素,而未考虑节点本身的计算环境是否值得信任。这一点往往正是容易被攻击者利用而对网络实施攻击的主要途径。②缺少在不同网络信任模型之间建立一种信任评价比较尺度的研究。③没有反映评价者自身的权威性对评价结果的影响度。④评价信任度的粒度比较粗,大多仅用信任、不信任、不确定来简单刻画。
在网络信任模型中,每个节点都有自己的信任度,节点是对等的,都可发起和接受其它节点的信任度量。而在TNC 中,节点并非都是对等的,总是存在一个节点作为度量的决策者,其它节点接受该节点的策略决策。因此研究可信网络环境的理论模型时,可以借鉴信任模型的某些思想。比如,
对平台可信性的度量,其实度量就是考察组成平台的各组件是否值得信任。在网络中可信的度量并不是任何组件都可以发起的,也不需要两两组件间都要自发进行信任的度量来决定是否通信,需要有一定的组织结构,由某些组件来完成可信性度量的功能,一旦这些组件判定其它组件为可信,就可以相互信任相互通信。
5.2 可信度量与可信报告研究
目前TNC的度量采用的是基于数据完整性度量的方法,虽然可以保证系统的数据完整性,但是并不能完全保证系统的可信性。根据我们的“在现阶段可信≈可靠+安全”的学术观点[48,49],数据完整性只是可信性的一个组成部分。可信度量应当对系统的可信性(主要是可靠性和安全性)进行度量,而不是只对数据完整性进行度量。但是,由于进行可信性的度量在技术上尚有许多困难,因此目前基于数据完整性的度量仍然是有积极意义的。
可信度量的一种方法是借鉴采用系统评测的方法。这种方式能够在很大程度上保证系统的正确性。同时,基于系统安全评估与预警的方式,对系统各个组件进行安全风险评估,可以消除多个组件之间关联的风险。可信的度量凭据应能全面表现节点状况,获得全面、真实可靠、划分粒度适中、满足应用的基础信息,在尽量不影响网络正常流量的情况下,完成包含身份、行为和环境信息的实时凭据提取和生成。
可信报告与可信度量紧密相关。可信报告需要设计高效、安全、可扩展的报告协议。目前可信计算规范对于底层安全传输协议进行了规定,考虑到可能存在的中间人攻击,并给出了相应的解决方案,但是没有给出具体的协议[5]。应当对可信报告协议进行形式化分析和验证,消除潜在的安全漏洞。
5.3 可信网络传输与可信资源共享研究
可信传输方面,除了继续采用密码对数据加密和对通信进行认证之外,还可以通过对传输协议进行扩展,为传输的每一个数据报增加可信标签,用于传输路径上的信息定位、服务质量监督等功能。同时,通过传输行为进行实时监控与审计,保证传输行为的可信。IPv6具有非常好的可扩展性,通过分析IPv6扩展的方式,在IPv6上增加可信标签和行为监控,可以进行可信传输方面的实验研究。
可信资源共享方面,可以借助传统的访问控制理论和方法、网格的访问控制理论和方法以及P2P环境下的访问控制理论和方法、安全多方计算的理论和方法,并对这些理论与方法进行可信性增强,设计层次化、跨可信域的、基于可信硬件的访问控制方法,达到主体对客体的安全访问,实现资源的可信共享。访问控制模型可以结合信任关系进行扩展,访问控制机制可以通过可信硬件进行增强和改进,同时将访问控制模型和信任模型结合起来。
在研究资源共享的过程中,授权是重要的环节。现有的授权模型大多依据身份、角色,访问控制策略或其它历史信息做出判断,并没有考虑在用户连接、授权过程中及授权后,用户行为或平台环境发生改变该如何处理。当授权完成后,无法对授权结果进行自动调整,不能适应普适计算、面向服务计算等分布计算环境中交互行为不可预知性和动态性的要求。当存在不同敏感程度的资源需要保护时,还应能提供多级安全保护的能力。所以,需要将体现用户行为和平台环境的信任度与通常的访问控制机制相结合,尽量使所计算的信任度与用户真实情况相符,以得到最佳的授权结果。而且还应根据资源提供者对哪些信任凭据更关注,其信任度计算方式是否与环境相适应,并结合资源共享过程中用户的行为变化,不断调整授权策略,得到与环境相适应的基于用户行为的动态授权。
6 我们的工作
在国家863计划项目的支持下,我们对可信网络连接的一些理论与关键技术进行了研究[53]。在可信网络连接理论方面,对可信的概念进行了研究和定义,提出了统一网络访问控制架构,并对BLP模型进行了可信扩展;在可信度量与报告方面,提出了可信度量模型,对可信报告协议进行了拓展,并对远程代码可信执行问题进行了研究;在可信网络连接系统实现方面,遵从TNC 1.2架构规范,在网络访问控制架构的基础上实现了客户端与服务器端的双向平台认证,包括平台配置及环境的度量和报告,实现了可信网络连接原型系统;在可信资源共享方面,基于信任理论与可信环境构造理论对访问控制机制进行扩展。具体内容包括:
1. 针对目前可信网络连接架构缺乏延续性、局限于静态完整性的现状,在分析现有网络访问控制架构的基础上,根据可信网络连接的需求,对信任与可信概念进行研究,给出了符合可信网络连接本质的概念定义。通过分析网络访问控制机制的局限性,结合可信网络连接的本质要求,提出了融合网络访问控制机制、网络安全机制和系统访问控制机制的统一网络访问控制UNAC模型,将只关注秘密性的BLP模型进行动态可信性扩展,提出了TE-BLP模型,使其能够通过可信度与统一网络访问控制模型结合起来[53]。
2.针对目前可信度量机制缺乏系统度量模型、基于静态完整性的现状,提出一套完整的可信度量流程模型,涵盖可信度量的需求、目标、细化内容、度量机制、度量结果等阶段,在度量机制中提出了可信度量模型TMM,该模型能够
刻画可信度量的需求、目标和细化内容,利用层次化分析方法确定模型中各个组件的权重值,通过度量函数计算可信度。对证据的可信生成、可信存储与可信报告进行研究,改进了TCG的可信报告机制,提出了一种安全的远程证明协议TRP,该协议能够实现证据信息的可信报告,保证信息的秘密性、新鲜性、真实性和完整性。提出了远端代码可信执行问题,并基于虚拟化技术与行为可信技术分别提出解决该问题的远端代码可信执行框架,并论证了两种框架的安全等价性[53,54,55]。另外,针对目前可信计算中只进行基于数据完整性的静态度量和只能确保系统静态可信性的不足,提出了基于行为完整性的软件动态可信性的概念,并给出了软件行为完整性度量的方法,在此基于上提出了一种基于行为完整性的软件动态可信理论模型和技术框架[59]。
3.针对目前可信网络连接架构缺乏系统实现的现状,从底到上实现了完整的可信网络连接原型系统。研究了可信网络连接的支撑技术,对基于端口的访问控制技术及与之相关的EAP、RADIUS等网络协议进行研究,在此基础上设计和实现网络接入系统并支持多种认证方式。研究了可信网络连接的关键机制,对远程证明的方法和在可信网络连接中的应用进行研究,设计并实现了基于完整性挑战与完整性验证协议的远程证明,实现了系统平台间双向证明。实现基于远程证明的完整性度量器和验证器,并完成了可信网络连接的整体流程[53]。
4.在实现可信网络连接的基础上,提出了一种基于信任度角色的授权预测控制模型。从网络节点行为可信的角度出发,利用可信计算技术提供的密码功能和平台环境保护功能,将体现用户行为和平台环境的信任度与访问控制机制相结合,根据资源共享过程中用户行为的变化,预测并能及时调整授权策略,从而得到动态合理的授权控制以保障资源共享过程的安全可靠[56,57,58]。
在将来的工作中,我们计划通过对基于信任度的角色授权模型进行预测控制,实现全面的、动态的连接及授权体系,收集更完备的上下文证据信息,使其能够更好的反映用户及其平台的可信度,并实现MAP服务器以方便灵活的进行动态接入控制,同时优化体现环境要求的信任度计算参数以更好的实现可信可控的资源共享。
7 结论
TNC目前已经迈出了将可信计算机制向网络延伸的第一步。国内外的研究者已对其进行了广泛深入的研究,取得了许多重要的研究成果。但是,如何将可信计算机制引入到网络,使得网络成为可信计算环境的研究才刚刚开始。目前,就如何将信任链扩展到网络的研究而言也存在很多问题,如可信网络模型、内容可信、行为可信、传输可信、资源可信共享等,有待学术界与产业界研究解决。
参考文献
[1]T CG Web Site. https://https://www.doczj.com/doc/162651034.html,
[2]T NC Web Site.
https://https://www.doczj.com/doc/162651034.html,/network/
[3]T CG Specification Trusted Network Connect -TNC
Architecture for Interoperability Revision 1.1[EB/OL], Trusted Computing Group, 2006.5, https://www.doczj.com/doc/162651034.html,.
[4]T CG Specification Trusted Network Connect –TNC IF-PEP:
Protocol Binding for Radius Revision 0.7[EB/OL], 2007.5, https://https://www.doczj.com/doc/162651034.html,
[5]T CG S pecification Trusted Network Connect –TNC IF-T:
Protocol Binding for Tunneled EAP Methods. Revision 10[EB/OL], 2007.5, https://https://www.doczj.com/doc/162651034.html,
[6]T CG Specification Trusted Network Connect –TNC
IF-TNCCS: TLV Binding Revision 10[EB/OL], 2008.1,
https://https://www.doczj.com/doc/162651034.html,
[7]T CG S pecification Trusted Network Connect –TNC IF-IMC
Revision 8[EB/OL], 2007.2, https://https://www.doczj.com/doc/162651034.html,
[8]T CG S pecification Trusted Network Connect –TNC IF-IMV
Revision 8[EB/OL], 2007.2, https://https://www.doczj.com/doc/162651034.html,
[9]T CG Specification Trusted Network Connect –TNC IF-M: :
TLV Binding Revision 30[EB/OL], 2008.1, https://https://www.doczj.com/doc/162651034.html,
[10]TCG Specification Trusted Network Connect –TNC
IF-PTS Revision 1.0[EB/OL], 2006.11, https://https://www.doczj.com/doc/162651034.html,
[11]Network Access Protection Platform
Architecture[EB/OL], Microsoft Corporation, https://www.doczj.com/doc/162651034.html,/technet/network/nap/
[12]Open Source Project for TNC.
https://www.doczj.com/doc/162651034.html,/projects/libtnc
[13]Open Source Project for TNC.
https://www.doczj.com/doc/162651034.html,rm.fh-hannover.de
[14]Open Source Project for 802.1X.
https://www.doczj.com/doc/162651034.html,/
[15]TCG Specification Trusted Network Connect IF-MAP
Revision 25[EB/OL], 2008.4, https://https://www.doczj.com/doc/162651034.html,.
[16]TCG Trusted Network Connect TNC Architecture for
Interoperability Specification V ersion 1.4[EB/OL], 2009.5,
https://www.doczj.com/doc/162651034.html,/resources/tcg_arch
itecture_overview_version_14.
[17]TCG Trusted Network Connect TNC IF-T:Binding to TLS
[EB/OL], 2009.5,
https://www.doczj.com/doc/162651034.html,/resources/tnc_ift_
binding_to_tls_version_10_revision_16.
[18]TCG Trusted Network Connect TNC Federated TNC
[EB/OL], 2009.5,
https://www.doczj.com/doc/162651034.html,/resources/federate
d_tnc_version_10_revision_26.
[19]TCG Trusted Network Connect Clientless Endpoint
Support Profile [EB/OL], 2009.5,
https://www.doczj.com/doc/162651034.html,/resources/tnc_clie
ntless_endpoint_support_profile_version_10_revision_13.
[20]Cisco Network Admission Control Architecture[EB/OL],
Cisco Corporation, https://www.doczj.com/doc/162651034.html,/en/US/netsol/ns466/networking_sol
utions_package.html
[21]Juniper Product. https://www.doczj.com/doc/162651034.html,/products/ua/
[22]Huawei Product. https://www.doczj.com/doc/162651034.html,
[23]李鸿培,可信网络架构概述,北京天融信公司,2005.11
[24]Department of Defense Computer Security Center. DoD
5200.28-STD. Department of Defense Trusted Computer System Evaluation Criteria. USA: DOD, December 1985.
[25]National Computer Security Center. NCSC-TG-005.
Trusted Network Interpretation of the Trusted Computer System Evaluation Criteria. USA: DOD, July 1987. [26]David Clark, Karen Sollins, John Wroclawski, NewArch
Project:Future-Generation Internet Architecture [EB/OL], https://www.doczj.com/doc/162651034.html,/newarch/iDOCS/final.finalreport.pdf [27]Neumann P.G., Principled assuredly trustworthy
composable architectures[EB/OL], https://www.doczj.com/doc/162651034.html,/neumann/chats4.html
[28]Ellison R.J., Moore A.P.,Trustworthy refinement through
intrusion-aware design(TRIAD):An overview[EB/OL], Proceedings of the 3rd Annual High Confidence Software and Systems Conference, 2003, https://www.doczj.com/doc/162651034.html,/archive/pdf/triad.pdf
[29]林闯,彭雪海,可信网络研究[J],计算机学报,2005,
28(5):751-758 [30]林闯,任丰原,可控可信可扩展的新一代互联[J],软件
学报,2004,15(12):1815-1821
[31]闵应骅,可信系统与网络[J],计算机工程与科学,2001,
23(5):21-23.
[32]田立勤,林闯,可信网络中一种基于行为信任预测的博
弈控制机制[J],计算机学报,2007,30(11):1930-1938 [33]周明天,谭良,可信计算及其进展[J],电子科技大学学
报,2006,35(4):686-697
[34]Frederic Stumpf, Omid Tagreschi, Patrick Roder, Claudia
Eckert, A Robust Integrity Reporting Protocol for Remote Attestation[EB/OL] , 2nd Workship on Advances in Trusted Computing https://www.doczj.com/doc/162651034.html,rmatik.tu-darmstadt.de/pages/staff/stu
mpf/robustIRP.pdf
[35] E. Brickell, J. Camenisch, and L. Chen: Direct anonymous
attestation. In Proceedings of 11th ACM Conference on Computer and Communications Security, ACM Press, NY, USA, 2004, pp:67-77
[36] A.-R. Sadeghi and C. Stuble. “Property-based attestation
for computing platforms: caring about properties, not mechanisms”, Proceedings of the 2004 workshop on New security paradigms, ACM Press, NY, USA, 2005, pp:67-77
[37]Vivek haldar, Michael Franz, “Symmetric Behavior-Based
Trust: A New Paradigm for Internet Computing.”, Proceedings of the 2004 workshop on New security paradigms, ACM Press, NY, USA, 2004, pp:79-84 [38] A. Seshadri, M. Luk,E. Shi, A. Perrig, L.van Doorn, and
P.Khosla. Pioneer:Verifying integrity and guaranteeing execution of code on legacy platforms. In S ymposium on Operating System Principles, 2005. pp:1-16
[39] A. Seshadri, A. Perrig,L. van Doorn, and P. Khosla.
SWATT: Software-based attestation for embedded devices. In Proceedings of the IEEE Symposium on Security and Privacy, 2004. pp:272-282
[40]Rick Kennell, Leah H. Jamieson, Establishing the
Genuinity of Remote Computer Systems. USENIX Security 2003. pp:295-310
[41]Y uqun chen, Ramarathnam V enkatesan, et. al. Oblivious
Hashing: A Stealthy Software Integrity V erification Primitive. Microsoft research report[EB/OL]. Http://
research.microsof https://www.doczj.com/doc/162651034.html,/~yuqunc/papers/ohash.pdf
[42]Falcarin, P. Scandariato, R. Baldi, M. Remote Trust with
Aspect-Oriented Programming. Advanced Information
Networking and Applications, AINA 2006, 2006.
pp:461-465
[43]曲延文。软件行为学。北京:电子工业出版社,2004
[44]R. Sandhu, K. Ranganathan and X. Zhang, Secure
information sharing enabled by trusted computing and PEI models, Proceedings of. ACM Symposium on Information, Computer, and Communication Security, ACM Press.
2006, pp:
[45]R. Krishnan, R. Sandhu, K. Ranganathan. PEI models
towards scalable, usable and high-assurance information sharing. Proceedings of the 12th ACM symposium on Access control models and technologies. ACM Press.
2007. pp:145-150.
[46]R. Sandhu, X. Zhang. Peer-to-peer access control
architecture using trusted computing technology.
SACMAT05. ACM Press. 2005. pp:147-158.
[47]Wenbo Mao, Fei Y an, Chunrun Chen, Daonity: grid
security with behaviour conformity from trusted computing, Proceedings of the first ACM workshop on Scalable trusted computing, 2006, pp:43-46
[48]Shen Changxiang, Zhang Huanguo, Feng Dengguo, Cao
Zhenfu, Huang Jiwu. Survey of Information Security,
Science in Chian Series F,Vol.50,No.3,Jun.2007, pp:
273-298.
[49]张焕国,罗捷等,可信计算研究进展,[J].武汉大学学
报(理学版),Vol.52, No.5:513-518.
[50]张焕国、毋国庆、覃中平等,一种新型安全计算机,第
一届中国可信计算与信息安全学术会议论文集:武汉大
学学报(理学版),Vol.50 ,No.s1,2004.[51]张焕国、刘玉珍、余发江等,一种新型嵌入式安全模块,
第一届中国可信计算与信息安全学术会议论文集:武汉
大学学报(理学版),Vol.50 ,No.s1,2004:
[52]Huanguo Zhang,Jie Luo,Fei Y an,Mingdi Xu,Fan He and
Jing Zhan,A Practical Solution to Trusted Compuing
Platform Testing,in Proceedings of Third Asia-Pacific
Trusted Infructure Technologies Conference, 2008,
pp:79-87
[53]张立强,可信网络连接的一些理论与关键技术研究,博
士论文,武汉大学,2008.
[54]Liqiang Zhang, Lu Chen, Huanguo Zhang, Fei Y an.
Trusted Code Remote Execution through Trusted Computing and V irtualization. SNPD 2007. V ol 1. Aug 2007. pp:39-44
[55]Liqiang Zhang, Huanguo Zhang, Xiantao Zhang, Lu Chen.
A New Mechanism for Trusted Code Remote Execution.
CISW 2007. Dec 2007. pp:574-578
[56]文松, 张焕国, 赵波, 郑鹏, 俞婷. 基于可信等级的
BLP访问控制模型研究. 小型微型计算机(已录用)[57]Lu Chen, Huanguo Zhang, Liqiang Zhang, Song Li, Liang
Cai. A Peer-to-Peer Resource Sharing Scheme Using Trusted Computing Technology [J], TC 2008, Wuhan University of Natural Science, V ol 13, Issue 5. pp:523-527 [58]Lu Chen, Huanguo Zhang, Liqiang Zhang, Liang Cai. A
new information measurement scheme based on TPM for trusted network access, MEMS 2007. 2007, pp:574-577 [59]彭国军,基于行为完整性的软件动态可信理论与技术研
究,博士论文,武汉大学,2008.
ZHANG Huan-guo, born in 1945, professor, his research interests include information security, cryptography, Trusted Computing etc. CHEN Lu, born in 1979, Ph.D. candidate, her research interests are information security and Trusted Computing.
ZHANG Li-qiang, born in 1979, Ph.D., his research interests are information security and Trusted Computing.
Background
This work is supported by the National High Technology Research and Development Program (863 Program) of China (grant No. 2006AA01Z442 and No. 2007AA01Z411), the National Natural Science Foundation of China (grant No. 60673071 and No. 60970115).
The projects are involved in the key theory and technology of Trusted Network Connection. The researches and applications of Trusted Network Connection have yielded substantial achievements. Many research organizations have been taking deep researches into Trusted Computing and Network Access Control theory and technology, but Trusted Network Connection itself is still in a situation which the development of technology exceeds the development of theory. In this paper we introduced the development history, architecture, specifications, related researches, merits, restrictions, research trends and future directions of TNC in details. Our work focuses on extending the Trusted Computing mechanism from endpoint to network, both in theory extension and demonstration system. Aiming at current situation of Trusted Network Connection which lacks continuity and has limits in static integrity, we proposed the Unified Network Access Control model, TE-BLP model, Trusted Measurement Model, and Trusted Resource Sharing Model. Aiming at the current situation of trust report which lacking trusted evidence transporting mechanism, we proposed a secure remote attestation protocol TRP and trusted code remote execution mechanism. To improve the current situation that Trusted Network Connection lacks whole system implementation, we also designed and implemented Trusted Network Connection prototype which complies with Trusted Network Connection specification 1.2.
网络安全态势系统的关键技术分析 【摘要】网络安全态势是现代安全监控技术中重要的组成部分,能够对网络的安全威胁态势进行监控分析,进而实现动态的把握网络威胁在特定环境下的变化。首先分析了网络安全态势及安全态势评估的概念与优势,之后探讨了网络安全态势值与态势评估、威胁评估的关系。 【关键词】网络安全态势;网络威胁;评估 网络信息化技术发展的同时,计算机网络面临的威胁也越来越多。网络安全态势评估能够让安全管理人员快速、准确地了解到网络的安全威胁及其发展态势,以便为下一步的决策提供技术支持。在网络安全态势综合处理系统中,网络安全态势是信息安全领域一个重要的发展方向。在信息时代的今天,网络信息安全在很大程度上影响着社会、经济的健康发展。网络安全态势是一个安全监控方面较新的技术,当前国内对这一技术的研究尚处于初步阶段。因此,研究网络安全态势系统的关键技术,对于提高我国的网络安全管理效率,减少当前网络管理成本,具有重要的理论与现实意义。 1.网络安全态势技术的优势 当前网络信息安全已经成为全球范围内的热门课题,国际上针对信息获取、使用与控制的斗争呈现愈演愈烈之势。网络信息安全对于任何一个国家或者企业来说,都是十分重要的影响因素。网络安全态势是对网络运行状况的宏观反应,能够实时反应出网络当前以及过去一段时间内的运行状况,并根据网络运行状况预测下一阶段可能的网络状态。其数据的来源主要是处于该网络中的网络管理设备、网络安全设备、网络监管设备,在获取了海量的数据后,系统通过归并、总结将原本冗余、复杂的信息融合处理,将网络的运行状况更为直观地展现在网络管理员面前,不仅省去了管理人员的大量繁琐的工作量,得到的信息往往准确程度更高、特征把握更加直观、鲜明,同时经归纳简化后的历史数据信息所占用空间也得以减少,在之后的数据调取和分析工作中更为快速和便捷。对当前及历史数据信息与网络安全事件发生之间存在的特定联系进行分析和总结,能够对当前及之后一段周期内的网络状况进行预测,以便帮助管理人员及早作出决策。 2.网络安全态势的评估 网络安全态势技术一方面是对网络是否收到威胁作出判断,另一方面是对网络将要受到的威胁与攻击程度进行计算,并对网络可能引发的事件进行评估,也就是网络安全态势评估。网络安全态势评估是将网络原始事件进行预处理后,把具有一定相关性,反映某些网络安全事件的特征的信息,提取出来,运用一定的数学模型和先验知识,对某些安全事件是否真是发生,给出一个可供参考的,可信的评估概率值。网络安全态势评估的结果是一组针对具体某些事件是否发生概率的估计。在这一技术分段中,将会涉及到海量的数据信息,同时评估的方法也具备相当的负责度,尤其是必要对大量的网络信息与预警信息进行准确地提取与
网络系统可靠性研究 现状与展望 姓名:杨玉 学校:潍坊学院 院系:数学与信息科学学院 学号:10051140234 指导老师:蔡建生 专业:数学与应用数学 班级:2010级二班
一、摘要 伴随着人类社会的网络化进程,人类赖以生存的网络系统规模越来越庞大、结构越来越复杂,这导致网络系统可靠性问题越来越严峻。本文首先探讨了网络系统可靠性的发展历程、概念与特点,进而从度量参数、建模、分析、优化四个方面系统综述了网络系统可靠性的研究现状,最后对网络系统可靠性研究未来的发展进行了展望。 二、关键词:可靠性;网络系统;综述;现状;展望 三、引言 21 世纪以来,以信息技术的飞速发展为基础,人类社会加快了网络化进程。交通网络、通信网络、电力网络、物流网络……可以说,“我们被网络包围着”,几乎所有的复杂系统都可以抽象成网络模型,这些网络往往有着大量的节点,节点之间有着复杂的连接关系。自从小世界效应[1]和无标度特性[2]发现以来,复杂网络的研究在过去10 年得到了迅速发展,其研究者来自图论、统计物理、计算机、管理学、社会学以及生物学等各个不同领域,仅发表在《Nature》和《Science》上的相关论文就达百篇。对复杂网络系统结构、功能、动力学行为的深入探索、科学理解以及可能的应用,已成为多个学科领域共同关注的前沿热点[3-14]。 随着复杂网络研究的兴起,作为复杂网络最重要的研究问题之一,网络系统可靠性研究的重大理论意义和应用价值也日益凸显出来[15, 16]。人们开始关注:这些复杂的网络系统到底有多可靠?2003 年8 月美加大停电事故导致美国的8 个州和加拿大的2 个省发生大规模停电,约5000 万居民受到影响,损失负荷量61800MW,经济损失约300 亿美元;2005 年12 月台湾海峡地震造成多条国际海底通信光缆发生中断,导致整个亚太地区的互联网服务几近瘫痪,中国大陆至台湾地区、美国、欧洲等方向国际港澳台通信线路受此影响亦大量中断;2008 年1 月,南方冰雪灾害导致我国十余个省市交通瘫痪、电力中断、供水停止、燃料告急、食物紧张……这些我们赖以生存的网络系统规模越来越庞大,结构越来越复杂,但越来越频繁发生的事故也将一系列严峻的问题摆在我们面前:一些微不足道的事故隐患是否会导致整个网络系统的崩溃?在发生严重自然灾
网络与系统安全防护技术研究方向 1.1网络与系统安全体系架构研究(基础前沿类) 研究内容:针对网络大规模更新换代所面临的安全可信和管理问题,面向开放和互通的国家网络管理,研究网络和系统安全体系结构,重点研究以IPv6网络层的真实可信为基础的网络安全管理体系结构、关键机制和关键应用。针对未来多层次、动态、异构、差异度巨大的无线接入环境,研究新型无线网络安全接入管理机制。针对国际上新型网络与系统体系结构的发展,如软件定义网络和系统、网络功能虚拟化、命名数据网络和系统等,对其安全问题和安全机制进行前沿探索研究。 考核指标:提出IPv6网络安全管理体系结构中的信任锚点、真实可信的网络定位符和标识符机制,并制定国际标准;基于上述安全可信基础,提出兼顾国际开放互通与国家安全管理的IPv6网络安全体系结构,通过安全威胁模型检验该体系结构的安全性。提出IPv6安全管理体系结构下的关键机制,至少包括:兼顾用户隐私性、可验证性和可还原性的可信标识符认证、管理、追溯与审计机制,分级管理机制,网络监控和灵活路由机制等。完成一套IPv6安全管理体系结构、关键机制和关键应用的软硬件原型系统。基于国际学术网络合作、国内主干网、园区网(校园网或企业网),对上述原理机制和原型系统进行跨国、自治系统间、自治系统内、接入子网等多层次网络的试验验证。提出新型无线网络安全接入管理机制,研究适用在多维、异构的无线有线一体化融合网络中的信任锚点、真实可信的网络定位符和标识符机制,实现上述一体化融合网络的网络层真实可信;支持软件定义无线电,支持最新IEEE 802.11ac或802.11ax等新型无线接入技术;支持移动终端在至少2种无线网络间的安全接入选择、可信透明移动。提出SDN/NFV等新型组网技术和NDN等未来互联网体系下的安全可信问题的解决方案,提出并解决能够支持SDN/NFV和未来网络体系结构的可编程网络基础设施的安全问题,提出相关计算系统中的安全可信问题解决方法。完成安全体系结构相关国际标准3项以上,并获国际标准组织(IETF、ITU、IEEE等)立项或批准;申请国家发明专利15项以上。原理机制和原型系统需通过一定规模的真实网络试验验证,至少包括10个关键应用、10万IPv6用户。 1.2 面向互联网+的云服务系统安全防护技术(重大共性关键技术类) 研究内容:针对体系架构、关键技术、防护系统研制等方面开展云服务系统纵深安全防护技术研究。重点研究可定义、可重构、可演进的云服务安全防护体系架构;研究分析用户和业务安全等级差异,实现高效灵活的安全服务链和安全策略按需定制;研究专有安全设备硬件解耦技术,实现安全资源弹性扩展与按需部署;研究云数据中心内生安全机理,突破软件定义动态异构冗余、主动变迁等关键技术,实现对未知漏洞和后门威胁的主动防御;实现云环境虚拟密码服务模型构建,密码服务资源动态调度,密码资源安全迁移及防护等关键技术;研究虚拟资源主
2017年聊城市《信息化能力建设与网络安全》试卷及答案 一、单选题(单选题) 共20 题 1、信息惠民工程是由哪个部委牵头实施的? D、国家发展改革委 2、“互联网是传播人类优秀文化、弘扬正能量的重要载体”是习近平总书记在哪次会议上说的话? B、第二届世界互联网大会 3、新加坡政府在哪一年公布了“iN2025”战略? C、2014年 4、《国务院办公厅关于促进电子政务协调发展的指导意见》是哪一年出台的文件? B、2014年 5、“新经济”一词最早出现在美国哪个刊物? B、商业周刊 6、2016年,全球电子政务发展指数排名第一的是哪个国家? B、英国 7、截至2016年6月,中国网站总数有多少万个? C、454 8、XDATA 项目是美国哪个政府部门的大数据项目? D、国防部 9、国家互联网信息办公室是哪一年成立的? B、2011年 10、哪种思维不属于互联网思维? D、逆向思维 11、使伊朗纳坦兹铀浓缩工厂大约1/5离心机报废的病毒名称是哪个? B、震网 12、《欧盟网络安全战略:公开、可靠和安全的网络空间》是哪一年发布的? D、2016年 13、根据国务院办公厅组织开展的第一次全国政府网站普查结果,截至2015年11月,全国有多少万个政府网站? A、8.4 14、“创新、协调、绿色、开放、共享”五大新发展理念写进了哪次会议报告?
C、十八届五中全会 15、2015年2月,哪个国家发布了《2015-2018数字经济战略》(Digital Economy Strategy 2015-2018)? B、英国 16、韩国总统朴槿惠在哪一年提出实施“创造经济”(Creative Economy)战略? C、2013年 17、2015年,全国网络零售额占社会消费品零售总额的比例达到多少? C、10.6% 18、截至2016年6月,中国互联网普及率为多少? B、51.7% 19、大数据(BigData)概念最早是在哪一年提出的? A、2011年 20、《推进“互联网+政务服务”开展信息惠民试点实施方案》中提出“一号”申请,“一号”是指哪个号? D、身份证号 二、多选题(多选题) 共10 题 21、以下哪些属于中欧绿色智慧城市中方试点城市? A、扬州 B、宁波 C、嘉兴 22、互联网时代公共服务有哪些渠道? A、微博 B、微信 C、App D、政府网站 23、《国务院关于深化制造业与互联网融合发展的指导意见》提出培育三种制造新模式是指哪三种模式? A、网络化协同制造 B、个性化定制 D、服务型制造 24、以下哪些省会城市被列为住房和城乡建设部的国家智慧城市试点名单? A、石家庄 B、太原 C、郑州
复杂网络的可控性 已有2783 次阅读 2011-6-13 22:34 |个人分类:复杂网络|系统分类:科研笔记|关键词:复杂网络 前不久,nature上发表了一篇关于研究复杂网络的可控性的文章。这篇文章结合了工程控制论的思想和复杂网络的研究,开辟了一种帮助我们进一步理解复杂系统的新方法(这是文章自己的说法,但是关于有向网络的可控性研究,据我所知,在2010年就已经有人研究过了)。 复杂系统涉及多个组分(如基因调控过程中的基因、蛋白质等分子,或者社交网络中的人物账号等)和这些组分之间的关系。一般的建模方法,如常微分方程等,由于受限于计算能力或者是建模对象本身的模糊性,已经不能对这种大规模的复杂系统进行建模。而复杂网络是对复杂系统建模的一种有效的方法。复杂网络的节点表示的是复杂系统中的多个组分的某种量化性质,如基因调控网络中基因的激活/抑制状态、社交网络中账号的状态等;复杂网络的变表示节点之间的某种联系或者是共享某种信息,如基因网络中A——〉B表示基因A的产物会促进基因B的表达、社交网络中C——〉D表示账号D的动态会和账号C共享。 我们研究复杂系统的最终目标是希望能对它们进行控制。如基因药物的靶标选取问题,选择哪个基因(基因调控网络中的节点)作为药物的靶标,能使得整个生物系统达到一个我们期望的状态呢?还有社交网络中,我们选取那个节点作为信息的发布点对整个社交网络产生我们想要的宣传效果呢?这些都可以抽象为如何对一个表示状态的复杂网络进行有效地控制,从而使得整个网络进入我们期望的状态。 这篇文章最开始的出发点是研究复杂有向网络的可控性。众所周知,我们若是能对整个网络中的每一个节点输入一个控制信号,那么整个网络是可控的。但是对于一个大规模的复杂系统,这是很难实现的。作者希望能找到最少的控制节点(文章中称为驱动节点,driver nodes)来有效地控制整个网络。作者采用的是比较古老的“最大匹配”方法(这是基于将整个网络看成一个线性系统的)寻找最小的驱动节点数N D。并将这种方法用于几个基于对象建模的真实网络和一群ER随机网络以及一群度分布和真实网络相同的随机网络,通过比较得到的最小驱动节点数,作者发现最新驱动节点数主要是由于网络的度分布性质确定的。接着作者根据这一发现以及cavity method推导出了一组自稳定的方程组,度分布为自变量,最小驱动节点数为所求的结果。 这篇文章有两个研究成果都是与我们预想的结果是相反的,一是复杂网络中的驱动节点一般不是网络的hub;二是稀疏的异质网络是最难控制的而致密的同质网络是比较容易控制的。这篇文章的研究还发现我们本以为难以控制的具有个体独立性的社交网络相比于其他的网络模型,如基因调控网络等,却是相对比较容易控制的。
未来网络虚拟化关键技术研究 摘要:网络虚拟化可使得多个服务提供商动态组合多个异构的共存却相互隔离的虚拟网。文章提出一种支持上下文感知的网络虚拟化实现方法,通过虚拟化网络资源和动态资源分配与控制技术建立底层资源与上层服务之间的映射关系,通过虚拟化层在应用层和底层基础网络间形成透明的隔离,同时采用认知管理的方式对虚拟化网络进行动态控制,以改善和提升互联网能力,满足端对端服务质量、安全性、可管理性等需求。 关键字:未来网络;网络虚拟化;资源分配;认知网络 英文摘要:Network virtualization allows different service providers to dynamically establish concurrent but isolated heterogeneous virtual networks. This paper proposes network virtualization that supports context-aware. Using allocation and control technology for virtualization network resources and dynamic resources, a mapping relationship is established between substrate resources and upper service. A transparent separation can also be introduced in the virtualization layer between application layer and substrate infrastructure layer,
“网络空间安全”重点专项2018年度 项目申报指南 为落实《国家中长期科学和技术发展规划纲要(2006-2020年)》提出的任务,国家重点研发计划启动实施 “网络空间安全”重点专项。根据本重点专项实施方案的部署,现发布2018年度项目申报指南。 本重点专项总体目标是:聚焦网络安全紧迫技术需求和重大科学问题,坚持开放发展,着力突破网络空间安全基础理论和关键技术,研发一批关键技术装备和系统,逐步推动建立起与国际同步,适应我国网络空间发展的、自主的网络空间安全保护技术体系、网络空间安全治理技术体系和网络空间测评分析技术体系。 本重点专项按照网络与系统安全防护技术研究、开放融合环境下的数据安全保护理论与关键技术研究、网络空间虚拟资产保护创新方法与关键技术研究等3个创新链(技术方向),共部署7个重点研究任务。专项实施周期为5年 (2016-2020 年)。 1.网络与系统安全防护技术研究方向 1.1物联网与智慧城市安全保障关键技术研究(关键技术类) 面向物联网节点计算资源、体积、功耗受限和规模、复杂度提升带来的安全挑战,研究物联网安全体系架构;研究在大连
接、异构数据、时延复杂的条件下,能够与物联网节点融合的一体化安全机制;研究基于标识技术的安全物联网互联互通架构,基于标识的加密技术在物联网中的应用;研究大规模信任服务机理及关键技术,包括安全协商、数据完整性与私密性、跨域设备身份与认证服务等;研究大规模设备监控技术,实现在无安全代理条件下设备自动发现、识别及状态、行为智能感知;研究智慧城市安全保障总体技术架构;研究支持智慧城市统一管理且支持隐私保护的智慧小区或智慧家庭适用的安全技术架构及其相关原型系统。 考核指标: 1.提出适应智慧城市与物联网安全目标的模型和体系框架,指导智慧城市与物联网安全实践; 2.研制安全物联网原型平台,支持大规模物联网对象的分级分层管理与安全解析,物联网设备发现、识别和监控以及身份认证、密钥管理服务均支持10亿规模; 3.设计完成采用国家标准密码算法的物联网管理域的强逻辑隔离安全机制,安全隔离方案应通过国家主管部门的安全审查; 4.设计完成多物联网管理域之间的受控互联互通机制与协议,支持基于身份和基于角色的授权策略映射,支持时间、环境以及安全上下文敏感的授权管理,其中时间粒度应不大于1分钟,支持的环境鉴别应包括物理位置、网络接入途径、操作系统安全配置等因素;
do:i 10.3969/.j issn .1672-6073.2010.02.004 都市快轨交通#第23卷第2期2010年4 月 快轨论坛 基于复杂网络的城市轨道 交通网络可靠性研究 陈菁菁 (上海申通轨道交通研究咨询有限公司 上海 201103) 摘 要 通常的可靠性理论难以有效分析城市轨道交通网络的可靠性。鉴于复杂网络理论对大量现实网络实证研究的有效性,以及城市轨道交通网络作为现实世界网络的典型实例与其他网络具有相似性,应将城市轨道交通网络相关问题的研究归为复杂网络的研究范畴。引入复杂网络的可靠性测度指标,从网络的适应性、稳定性和有效性三方面来构建城市轨道交通网络可靠性的衡量指标,将原先基于设施设备的可靠性研究拓展至基于交通系统管理者和使用者的全局性研究。 关键词 城市轨道交通网络 复杂网络 可靠性测度中图分类号 F51213 文献标志码 A 文章编号 1672-6073(2010)02-0018-04 城市轨道交通网络是由大量相互作用的单元构成的复杂系统,在一定的规则下产生有组织的行为,呈现动态的变化和演化过程,并且具有与外界相互作用的开放性。城市轨道交通网络表现出既有不确定性,又有一定的内部自组织原则的特性,不能简单地将城市轨道交通网络的问题归为随机网络或规则网络的问题来研究。 1 城市轨道交通网络可靠性分析的难度 1.1 大系统与小样本 城市交通网络系统是一个错综复杂的大系统。概率论是可靠性最主要的理论基础,其中的大数定律决定了在可靠性试验或数据分析时,必须有足够的样本量。对于城市轨道交通系统而言,网络可靠性的研究还刚刚 收稿日期:2009-10-10 修回日期:2009-11-20 作者简介:陈菁菁,女,博士,工程师,主要研究城市轨道交通运营安 全与可靠性,c j j yh @ya hoo.c https://www.doczj.com/doc/162651034.html, 基金项目:国家自然科学基金(50478105) 起步,研究的基础很薄弱,特别是在我国的各个城市, 轨道交通仍然处于集中建设时期,具有一定规模的网络还未形成,实际的样本数据匮乏,样本数据少的问题极为突出。因此,如何在小样本条件下确定系统的可靠性参数是一个迫切需要解决的问题。 1.2 模糊性 由于可靠性数据较少,特别是在方案论证和系统设计的早期阶段,由于分析和评定的失效数据样本小,基于大样本数据的概率模型和统计方法难以适用。目前,往往采用专家经验等定性信息的形式来描述系统的可靠性,如/该城市轨道交通网络的可靠度不太高0等,这种描述本身就存在模糊性,难以用基于概率论的可靠性分析与评定方法来处理。 常规的可靠性理论是建立在二态假设和概率假设基础上的。二态假设是指系统只有两种极端状态,完全正常或完全失效。概率假设则要求满足事件明确加以定义、大量样本存在、样本具有概率重复性、不受人为因素影响4个条件。 城市轨道交通网络作为一个系统运行,其工作状态就存在模糊性,很难满足二态假设,难以用基于概率论的可靠性分析与评定方法来处理。某些系统工作状态的正常或不正常,在外延上难以定义明确的界限,具有模糊的概念,如网络中的部分线路已失效,但整个网络并不完全失效,系统可以降级运行等,用二值逻辑和统计方法难以处理,二态假设无法精确描述,具有模糊性。 1.3 建模困难 可靠性评估的数学模型应该正确地反映系统中各个部分之间的内在联系,准确描述系统的实际运行情况。在系统的复杂性与精确性描述之间,由于城市轨道交通网络是由许多分系统、线路、车站、设施设备组
网络安全的几项关键技术 商用网络在互联网上得以运行, 首先应建立或使原有的网络升级为内部网, 而专用的内部网与公用的互联网的隔离则有赖于防火墙技术。有了防火墙, 商家们便可以比较安全地在互联网上进行相应的商业活动。 1. 防火墙技术 “防火墙”是一种形象的说法, 其实它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关( scurity gateway),从而保护内部网免受非法用户的侵入。所谓防火墙就是一个把互联网与内部网隔开的屏障。 防火墙有二类, 标准防火墙和双家网关。标准防火墙系统包括一个UNIX工作站, 该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界, 即公用网; 另一个则联接内部网。标准防火墙使用专门的软件,并要求较高的管理水平,而且在信息传输上有一定的延迟。双家网关(dual home gateway) 则是标准防火墙的扩充,又称堡垒主机(bation host) 或应用层网关(applications layer gateway), 它是一个单个的系统, 但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用, 同时防止在互联网和内部系统之间建立的任何直接的边疆, 可以确保数据包不能直接从外部网络到达内部网络,反之亦然。 随着防火墙技术的进步, 双家网关的基础上又演化出两种防火墙配置, 一种是隐蔽主机网关, 另一种是隐蔽智能网关( 隐蔽子网)。隐蔽主机网关是当前一种常见的防火墙配置。顾名思义,这种配置一方面将路由器进行隐蔽, 另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上, 通过路由器的配置, 使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最商的防火墙是隐蔽智能网关, 它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问, 同时阻止了外部未授权访问者对专用网络的非法访问。一般来说, 这种防火墙是最不容易被破坏的。 2. 数据加密技术 与防火墙配合使用的安全技术还有数据加密技术是为提高信息系统及数据的安全性和保密性, 防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展, 网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外, 从技术上分别在软件和硬件两方面采取措施, 推动着数据加密技术和物理防范技术的不断发展。按作用不同, 数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。 (1)数据传输加密技术。 目的是对传输中的数据流加密, 常用的方针有线路加密和端——端加密两种。前者侧重在线路上而不考虑信源与信宿, 是对保密信息通过各线路采用不同
学科分类号 湖南人文科技学院专科学生毕业论文 题目:我国可信计算技术研究浅谈 姓名:曾雄 学号:07303233 院(系) :计算机科学技术系 专业班级:计算机应用2007级2班 指导教师:刘永逸 湖南人文科技学院教务处制
湖南人文科技学院专科学生毕业论文(设计)评审表
湖南人文科技学院专科学生毕业论文(设计)开题报告
我国可信计算技术研究浅谈 (湖南人文科技学院计算机科学技术系2007级计算机应用曾雄) 摘要:可信计算技术是信息安全领域的一个新分支。本文论述了我国可信计算技术与理论的最新研究进展。通过分析我国可信计算技术的发展历史与研究现状,指出了目前我国可信计算领域存在理论研究滞后于技术发展,部分关键技术尚未攻克,缺乏配套的可信软件系统等问题,提出了值得研究的理论与技术方向,包括:以可信计算平台体系结构、可信网络、可信软件工程,软件信任度量技术等为代表的可信计算关键技术,以可信计算模型、信任理论等为代表的可信理论基础。 关键词:可信计算;可信计算技术;可信计算平台;可信计算平台模块TPM 1 引言 随着计算机技术和网络的迅猛发展,信息安全问题日趋复杂,系统安全问题层出不穷,信任危机制约着信息化的发展进程。沈昌祥院士认为,首先,由老三样(防火墙、入侵监测和病毒防范)为主要构成的传统信息安全系统,是以防外为重点,而与目前信息安全主要威胁源自内部的实际状况不相符合[1]。其次,从组成信息系统的服务器、网络、终端三个层面上来看,现有的保护手段是逐层递减的。人们往往把过多的注意力放在对服务器和网络设备的保护上,而忽略了对终端的保护。第三,恶意攻击手段变化多端,而老三样是采取封堵的办法,例如,在网络层(IP)设防,在外围对非法用户和越权访问进行封堵。而封堵的办法是捕捉黑客攻击和病毒入侵的特征信息,其特征是已发生过的滞后信息,不能科学预测未来的攻击和入侵。 近年来,体现整体安全思想的可信计算技术正越来越受到人们的关注,成为信息安全新的热点研究方向。它有别于传统的安全技术,从终端开始防范攻击。 2 可信计算技术的产生 信息技术的高速发展,带来了信息产业的空前繁荣;但危害信息安全的事件也不断发生,信息安全形势日益严峻。 信息安全具有四个侧面:设备安全、数据安全、内容安全与行为安全。 可信计算为行为安全而生。据我国信息安全专家在《软件行为学》一书中描述,行为
网络安全的关键技术有哪些? 一.虚拟网技术 虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。 由以上运行机制带来的网络安全的好处是显而易见的:信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是,虚拟网技术也带来了新的安全问题:执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。 基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。 基于MAC的VLAN不能防止MAC欺骗攻击。 以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。 但是,采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。 网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing攻击等。 二.防火墙枝术 网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态. 防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型. 虽然防火墙是保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击. 自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列. 防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施. 作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等
网络安全和信息化相辅相成 ”金融盾网络安全”表示,完善信息化基础设施筑牢网络安全发展防线是至关重要的。“习近平总书记指出,网络安全和信息化是相辅相成的,安全是发展的前提,发展是安全的保障。讲话不仅鼓舞人心,也给我们指明了方向。”市工信委通信发展与保障处处长罗安明说,作为贵阳市信息化基础设施建设的牵头部门,市工信委将加快构建关键信息基础设施安全保障体系。 罗安明介绍,2015年,贵阳市已经重点实施了互联网交换中心建设、4G网络覆盖、WiFi覆盖等工程,着力打造了宽带、泛在、融合、安全的信息基础设施。下一步,我市将实施信息基础设施建设三年攻坚,着力打造光网城市,全面部署全域公共免费WiFi,实施乡村光纤宽带建设,不断夯实信息化基础设施建设,为网络安全提供有力的基础支撑。 “没有网络安全就没有国家安全。”中国移动贵州公司副总经理韩露说,作为一家通信企业,加快信息基础设施建设、保障信息基础设施安全是基本职责。公司设立了专门的职能管理机构——网络与信息安全管理中心,并与公安部门、行业主管部门建立协同机制,基本形成了从技术到内容、从日常安全到打击犯罪的互联网管理合力,网络安全防御和处置能力不断增强。 贵州大学大数据与信息工程学院院长谢泉认为,习近平总书记提出要尽快在核心技术上取得突破,体现了对网络安全和信息化的重视。“在任何产业,基础技术、通用技术指向基础,非对称技术、前沿技
术、颠覆性技术指向创新。相关部门应加大在基础技术和通用技术方面的投入,激发创新活力。”他说,在网络建设中,人才是关键,要面向全世界“揭榜挂帅”,广发英雄帖,让人才充分涌流,促进网络健康发展。 “金融盾”为互联网金融网站提供网络安全服务,基于大数据和云计算,保证你的网站安全。
网络系统可靠性研究现状与展望 姓名:杨玉 学校:潍坊学院 院系:数学与信息科学学院 学号:10051140234 指导老师:蔡建生 专业:数学与应用数学 班级:2010级二班 摘要 伴随着人类社会的网络化进程,人类赖以生存的网络系统规模越来越庞大、结构越来越复杂,这导致网络系统可靠性问题越来越严峻。本文首先探讨了网络系统可靠性的发展历程、概念与特点,进而从度量参数、建模、分析、优化四个方面系统综述了网络系统可靠性的研究现状,最后对网络系统可靠性研究未来的发展进行了展望。 关键词:可靠性;网络系统;综述;现状;展望 三、引言 21 世纪以来,以信息技术的飞速发展为基础,人类社会加快了网络化进程。交通网络、通信网络、电力网络、物流网络……可以说,“我们被网络包围着”,几乎所有的复杂系统都可以抽象成网络模型,这些网络往往有着大量的节点,节点之间有着复杂的连接关系。自从小世界效应[1]和无标度特性[2]发现以来,复杂网络的研究在过去10 年得到了迅速发展,其研究者来自图论、统计物理、计算机、管理学、社会学以及生物学等各个不同领域,仅发表在《Nature》和《Science》上的相关论文就达百篇。对复杂网络系统结构、功能、动力学行为的深入探索、科学理解以及可能的应用,已成为多个学科领域共同关注的前沿热点[3-14]。 随着复杂网络研究的兴起,作为复杂网络最重要的研究问题之一,网络系统可靠性研究的重大理论意义和应用价值也日益凸显出来[15, 16]。人们开始关注:这些复杂的网络系统到底有多可靠?2003 年8 月美加大停电事故导致美国的8 个州和加拿大的2 个省发生大规模停电,约5000 万居民受到影响,损失负荷量61800MW,经济损失约300 亿美元;2005 年12 月台湾海峡地震造成多条国际海底通信光缆发生中断,导致整个亚太地区的互联网服务几近瘫痪,中国大陆至台湾地区、美国、欧洲等方向国际港澳台通信线路受此影响亦大量中断;2008 年 1 月,南方冰雪灾害导致我国十余个省市交通瘫痪、电力中断、供水停止、燃料告急、食物紧张……这些我们赖以生存的网络系统规模越来越庞大,结构越来越复杂,但越来越频繁发生的事故也将一系列严峻的问题摆在我们面前:一些微不足道的事故隐患是否会导致整个网络系统的崩溃?在发生严重自然灾害或者敌对势力蓄意破坏的情况下,这些网络系统是否还能正常发挥作用?这些正是网络系统可靠性研究需要面对的问题。 四、正文 1 网络系统可靠性的发展历程、概念及特点 1.1 网络系统可靠性的发展历程可靠性作为专门课题始于二战期间对电子元件可靠性的研究。从20 世纪60 年代开始,可靠性研究从单个电子元件可靠性逐步扩展到一般产品的可靠性(例如电视机、洗衣机、计算机等)以及更为复杂的关联系统可靠性(例如火箭发
选择题 部分: 第一章: (1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。A.保密性 (2)网络安全的实质和关键是保护网络的安全。C.信息 (3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。D.网络的系统安全 (4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。C.可用性 (5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。B.非授权访问 (6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是的重要组成部分。A.信息安全学科 (7)实体安全包括。B.环境安全、设备安全和媒体安全 (8)在网络安全中,常用的关键技术可以归纳为三大类。D.预防保护、检测跟踪、响应恢复 第二章: (1)加密安全机制提供了数据的______.D.保密性和完整性 (2)SSI.协议是______之间实现加密传输协议。A.传输层和应用层 (3)实际应用时一般利用_____加密技术进行密钥的协商和交换.利用_____加密技术进行用户数据的加密。B.非对称对称 (4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。 B.数据保密性服务 (5)传输层由于可以提供真正的端到端链接,因此最适宜提供安全服务。D.数据保密性及以上各项 (6)VPN的实现技术包括。D.身份认证及以上技术 第三章: (1)网络安全保障包括信息安全策略和。D.上述三点 (2)网络安全保障体系框架的外围是。D.上述三点 (3)名字服务、事务服务、时间服务和安全性服务是提供的服务。C.CORBA网络安全管理技术 (4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。A.持续改进模式的信息安全运作模式 (5)我国网络安全立法体系框架分为。B.法律、行政法规和地方性法规、规章、规范性文档 (6)网络安全管理规范是为保障实现信息安全政策的各项目标制定的一系列管理规定和规程,具有。C.强制效力 第四章: (1)在黑客攻击技术中,是黑客发现获得主机信息的一种最佳途径。A.端口扫描 (2)一般情况下,大多数监听工具不能够分析的协议是。D.IPX和DECNet (3)改变路由信息,修改Windows NT注册表等行为属于拒绝服务攻击的方式。C.服务利用型
优秀案例----某公司网络安全监测关键技术及应用项目 一、案例背景 国内外对工控系统后门、漏洞和攻击等方面的研究日益重视和深入,一些工控系统产品的安全漏洞信息和攻击代码在互联网上传播,导致对工控系统信息安全实施攻击的门槛逐渐降低,工控系统信息安全形势日益严峻。 二、核心问题分析 (1)工业控制系统安全设计考虑不足 工业控制系统在设计之初主要考虑的是可用性、实时性,因此,工业控制系统在设计之初并没有考虑安全性。而计算机技术和网络通信技术在工业控制系统的广泛应用,传统工业控制系统逐步打破了以往的封闭性和专有性,工业控制系统的攻击难度降低,工业控制系统安全设计不足使得工业控制系统面临巨大的安全问题。 (2)工业控制系统安全事件频发 一方面,标准、通用的通信协议及软硬件系统在工业控制系统上的逐步使用降低了工业控制系统的攻击难度;另一方面,越来越多的漏洞研究者将重点放在工业控制系统上,工业控制系统正成为网络攻击者关注的焦点。2010年伊朗“震网”病毒事件打破了封闭工业控制系统安全的虚假神话,2015年底乌克兰大停电事件更是电力工控系统首次因遭受攻击而导致停电事件发生。 (3)工业控制系统安全成为国家安全竞争的重要内容 随着网络空间重要性的提升,世界各国在网络空间的投入不断加大,网络军备竞赛愈演愈烈,国家级网络冲突风险不断增加,国家行为参与的网络犯罪活动日益猖獗,所使用的工具和手法越来越先进。工业控制系统作为国家关键基础设施的重要组成部分,很容易成为国家之间网络对抗和有组织黑客的攻击目标。 (4)我国工业控制系统自主可控能力不足 当前,工业控制系统的大部分核心关键技术掌握在欧美等发达国家手里,西门子、ABB、施耐德等厂商占据了工控设备及产品的绝大部分市场。我国在众多关键基础领域大量应用国外的工控设备、产品,甚至运维服务,严重威胁着国家安全。工业控制系统自主控制能力不足导致我国在工控领域长期受制于人。
目录 第一章引言 (1) 1.1课题背景和意义 (1) 1.2国内外研究现状 (1) 1.3论文内容概要 (3) 第二章复杂网络研究背景 (4) 2.1复杂网络发展历程 (4) 2.2基本概念及典型特征量 (4) 2.2.1度和度分布 (4) 2.2.2聚类系数 (5) 2.2.3幂律系数 (5) 2.3典型网络模型 (6) 2.3.1规则网络 (6) 2.3.2随机网络 (6) 2.3.3 BA无标度网络 (7) 2.3.4Local?World网络 (8) 2.3.5Fitness模型 (8) 2.4相依网络与级联失效 (9) 2.5结构可控性 (10) 2.6本章小结 (11) 第三章度分布异质程度对相依网络系统抗攻击能力影响研究 (12) 3.1相依网络脆弱性 (12) 3.2网络模型与仿真参数 (12) 3.2.1 eBA网络模型 (12) 3.2.2相依系统耦合方式 (13) 3.2.3相关参数 (14) 3.3仿真与分析 (14) 3.3.1单网络的脆弱性研究 (14) 3.3.2全耦合网络脆弱性研究 (16) 3.3.3部分耦合网络脆弱性研究 (17) 3.4本章小结 (19) 第四章局域世界网络的结构可控性研究 (20) 4.1模型建立与模型参数 (20) 4.1.1Baraba?s i?Albert网络模型演化 (20)
4.1.2Local?World网络模型 (21) 4.2结构可控性分析 (22) 4.3本章小结 (25) 第五章基于Fitness模型的幂指数可调无标度网络的构建及特征分析 (26) 5.1 Fitness模型实现步骤 (26) 5.2幂指数可调的无标度网络的特征分析 (30) 5.2.1结构特征分析 (30) 5.2.2抗攻击能力分析 (30) 5.2.3动态同步性能分析 (31) 5.2.4结构可控性分析 (32) 5.3本章小结 (33) 第六章总结与展望 (34) 6.1总结 (34) 6.2展望 (35) 参考文献 (36) 发表论文和科研情况说明 (40) 致谢 (41)
大数据安全管理及关键技术研究 谭彬,刘晓峰,邱岚,梁业裕 (中国移动通信集团广西有限公司,广西南宁 530021) 摘 要:大数据时代,不仅人们的生活方式、工作性质发生了巨大的变化,而且以往的业务运营模式也发生了重要改变。但与之相伴随的是,在这一变化过程中,都面临着诸多的信息安全问题,重视研究解决大数据安全问题,保障数据安全已成为大数据安全管理的重要课题。论文结合大数据安全管理的相关理论,首先阐述了当前大数据安全管理的现状,其次分析了大数据安全管理规范制定的相关问题,最后提出了行之有效的技术解决方案。 关键词:大数据安全;关键技术;信息安全 中图分类号: TP309文献标识码:A Big Data Sacurity Management and Key Technologies Research Ta n B in, Liu Xi ao-feng, Qiu Lan, L iang Ye-yu (C hina Mobil e Group Guangxi C o. L td., GuangxiNanni ng 530021) Abstract: In the era of big data, not only the lifestyle of people but also the nature of work have changed greatly, and the business operation mode of the past has also changed significantly. But accompanied with it, in the process of this change, many information security problems are facing, attaches great importance to the research solve the problem of large data security, data security has become a big data security management important topic. In this paper, based on the relevant theory of big data security management, first elaborated the present situation of the current big data security management, secondly analyses the related questions of big data security management specification, finally puts forward the effective technical solution, hope to provide reference for the realization of the big data security management. Key words: Big Data Security; Key Technical; Information Security 1 引言 互联网上的数据信息具有可访问性、持久性、全面性三大特点。在大数据时代,只要任何信息被发到了网络上,就再无可控之说,会被不特定个体所取得,并且网络上的信息包罗万象,不仅涉及个人的方方面面,而且涵盖社会和国家的各个领域。因此,如何建立健全适应大数据要求管理规范,如何开发大数据的效能,如何正确引导和开发大数据思维模式,已是当务之急。 2 大数据安全管理分析 在信息技术中,安全和隐私一直是重点问题。大数据时代,随着数据的增多,数据安全面临着更严峻的安全风险,传统的保护方法已经不适用于大数据,大数据安全管理在新形势下面临着新的挑战。 2.1大数据安全管理的主要内容 2.1.1大数据的隐私 大数据时代,数据的隐私问题主要包括两个方面:一方面是用户个人隐私的保护,随着数据