收藏本站
《四川大学》 2006年
收藏 | 手机打开
二维码
手机客户端打开本文

可信网络连接若干关键技术的研究

林宏刚  
【摘要】: 当前大部分信息安全系统主要是由防火墙、入侵监测等组成,针对是共享信息资源为中心在外围对非法用户和越权访问进行封堵,以防止外部攻击,而对共享源的访问者源端不加控制,加之操作系统的不安全因素导致系统的各种漏洞,无法从根本上解决安全问题。产生这种局面的主要原因是没有从终端源头对安全问题进行控制,而仅在外围进行封堵,信息安全系统只以接入终端是否通过认证和授权来判断接入终端是否可以接入受保护的网络,而不关心接入终端本身是否安全可信。 早在上世纪九十年代初,国内著名的信息安全专家沈昌祥院士就提出要从终端入手解决信息安全问题,这是对安全问题的本质回归。近年来,“可信计算”的兴起正是对这一思想的认可。可信计算组织(Trusted Computing Group,TCG)制定的可信网络连接(Trusted Network Connection,TNC)规范,采用了标准的接口定义了一个公开的标准,将传统的网络安全技术和“可信计算”技术结合,把可信硬件TPM(Trused Platform Module)集成到可信网络连接体系结构中,从终端入手构建可信网络,将不信任的访问操作控制在源端。目前可信网络连接的研究虽然取得了重要的成果,这些成果对信息系统安全的发展发挥了重要的作用,但是由于可信网络连接的研究与实践仍处于发展阶段,还存在研究仍停留在工程技术层面、缺乏理论模型支撑,体系结构不完整等问题。本文紧跟可信计算研究趋势,针对可信网络连接发展中所存在的主要问题展开研究。 论文首先研究了TNC体系结构的基本思想。TNC体系结构立足于终端,对每个试图连接到网络的终端,在待接入终端通过认证和授权的基础上,还检查终端的当前的完整性及其他安全属性是否与组织定义的安全策略一致,从而提供对网络环境更完善的保护。根据组织安全策略,可信的终端将获得访问网络资源的权限,不可信的终端被隔离,有漏洞的终端被补救,更新其组件和配置,确保任何访问网络的终端具有符合组织安全策略的、最新的、恰当的安全配置。 接着,论文分析了TCG制定的规范中只对可信硬件和系统引导进行了的定义和描述,指出这种方法不适应对应用程序实施完整性度量。研究了恶意代码破坏系统完整性的作用原理和本质,根据TCG规范中可信传递概念,本文提出一种系统完整性度量模型,对客体的执行权限严格的定义和描述,对被执行的客体及其相关其它输入数据实施完整性度量,防止恶意代码的执行,确保系统的完整性不被破坏。并结合模型,利用可信计算技术实现了一个实时的系统完整性度量服务,用于对系统中的应用程序完整性度量,基于该方法把信任链从操作系统延伸到应用。 根据“可信传递”的思想,基于TPM提供的可信报告和可信度量机制,提出了远程证明的基本思想。计算机系统可以以TPM为信任根,通过信任传递,将信任延伸到网络。在建立网络连接时,网络中的实体不仅要求对其鉴别身份,证明它们被授权允许访问网络,而且要求通过远程证明机制验证它们运行环境和程序是否可信,使信任在网络环境下传递,把信任链扩展到网络,确保整个网络的可信性。由于可信网络连接规范中只是对远程证明机制的一般功能做了初步的定义,至于如何实现这一功能,则没有进一步研究,本文对TCG规范中描述的远程证明机制中的可信报告传输、可信度量验证和根据可信报告评估系统可信度等问题进行深入系统的研究。为了确保在可信报告在传输过程中的安全,提出一种远程证明传输协议,以保证通信双方身份的真实性、通信数据的机密性、完整性和消息的新鲜性等特性,并对其安全性进行形式化证明;给出了一种验证可信度量和评估待证明系统可信度的方法,该方法分为两步:首先粗粒度判定,质询方根据可信度量验证规则验证可信度量信息,判定待证明系统是否可信,对于判定为不可信的系统,采取隔离措施,拒绝与其进行交互和向其提供服务;然后细粒度判定,对于判定为可信的系统,质询方用可信度衡量待证明系统值得信任的程度,基于层次分析法对终端可信度评估,以值的方式量化表示,从而可以根据该平台的可信级别来实施能够在该级别下实施的操作。 为确保应用环境的安全可信,对在访问过程中的终端的访问行为实施控制,提出了一种基于可信度的动态访问控制模型,把RBAC模型无缝的集成到TNC体系结构中。在模型中,我们把可信计算与访问控制有机的结合,将远程证明机制评估终端用户的可信度作为系统在进行用户角色指派时的依据,在RBAC模型中引入了可信度的概念,对传统RBAC模型进行扩展,把用户的可信度作为授权的一个组成部分,直接参与安全决策,并对其进行形式化描述和分析。该模型在区分不同用户可信度的基础上,让用户的可信度参与授权,只有可信度较高的用户才授予较高权限;如果非法用户没有通过远程证明机制的可信度评估,即使他进入系统获得了管理员身份也不能获取管理员的权限。在用户访问过程中,根据用户在系统中完成任务的情况对用户可信度动态调节。模型不仅细化了TNC体系结构中的访问控制粒度,并且在增强系统灵活性的基础上,提供系统安全性。 最后,在对可信网络连接研究的基础上,结合前面章节研究成果,我们把可信网络连接理论应用在远程客户端访问企业网络构建的VPN系统中,构建企业可信应用环境。 论文紧密围绕可信网络连接体系结构的研究开展工作,文中提出的模型和方法,对可信网络连接的研究和实践及信息安全的理论研究将有积极的意义。
【学位授予单位】:四川大学
【学位级别】:博士
【学位授予年份】:2006
【分类号】:TP393.08

【引证文献】
中国博士学位论文全文数据库 前2条
1 余鹏飞;可信移动计算环境体系结构及关键技术研究[D];华中科技大学;2010年
2 方明伟;基于可信计算的移动智能终端安全技术研究[D];华中科技大学;2012年
中国硕士学位论文全文数据库 前10条
1 刘磊;可信网络连接关键技术研究与实现[D];西安电子科技大学;2010年
2 杨小勃;数字家庭网络安全技术研究[D];陕西师范大学;2011年
3 符湘萍;可信接入过程中认证与授权模型的设计及应用[D];陕西师范大学;2011年
4 宛经纬;终端的可信度量技术研究与应用[D];南京理工大学;2011年
5 孙骞;社区电子服务安全网络平台的设计与实现[D];西安电子科技大学;2010年
6 李超零;可信计算中PrivacyCA系统的研究与实现[D];解放军信息工程大学;2010年
7 高丽;可信连接网络认证与评估协议研究[D];解放军信息工程大学;2011年
8 田科;基于用户可信度的四层访问控制模型研究[D];大连理工大学;2009年
9 宋扬;标准模型下的短群签名在DAA协议中的应用研究[D];解放军信息工程大学;2009年
10 沈平;远程证明在P2P网络中的应用研究[D];大连理工大学;2010年
【共引文献】
中国重要会议论文全文数据库 前10条
1 姜国强;王育欣;李琳琳;;家庭网络安全相关技术研究[A];科学发展与社会责任(A卷)——第五届沈阳科学学术年会文集[C];2008年
2 罗飞;邵堃;刘宗田;;基于混合分布的直接信任模型研究[A];2011中国仪器仪表与测控技术大会论文集[C];2011年
3 黄珍生;;基于C++的加密解密置换算法的实现[A];广西计算机学会2007年年会论文集[C];2007年
4 刘欣;沈昌祥;孙春来;;可信计算环境下的数据库系统安全体系结构研究[A];全国计算机安全学术交流会论文集(第二十二卷)[C];2007年
5 赵勇;高志民;韩臻;;一个高安全性的内网安全解决方案[A];全国计算机安全学术交流会论文集(第二十二卷)[C];2007年
6 邹翔;沈寒辉;周国勇;;跨系统可信互联安全体系研究[A];全国计算机安全学术交流会论文集(第二十三卷)[C];2008年
7 石文昌;;操作系统安全的课程设计与教学[A];2008年中国高校通信类院系学术研讨会论文集(上册)[C];2009年
8 邹祥福;;Mathematica在现代密码学课程实验中的应用[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年
9 张博;黄皓;薛永岭;;一种基于Nutos访问控制的内核实现机制[A];2008'中国信息技术与应用学术论坛论文集(二)[C];2008年
10 陈洪林;沈明玉;;VPN在企业网络整合中的应用[A];计算机技术与应用进展·2007——全国第18届计算机技术与应用(CACIS)学术会议论文集[C];2007年
中国博士学位论文全文数据库 前10条
1 蔡智勇;高安全等级网络中信息隐蔽分析和实用抵抗模型[D];浙江大学;2009年
2 曾帅;普适计算环境下的信任管理研究[D];北京邮电大学;2011年
3 冯景瑜;开放式P2P网络环境下的信任管理技术研究[D];西安电子科技大学;2011年
4 吴庆波;基于虚拟机的可信操作系统关键技术及应用研究[D];国防科学技术大学;2010年
5 马俊;面向内部威胁的数据泄漏防护关键技术研究[D];国防科学技术大学;2011年
6 杜薇;面向分布式开放环境的信任管理机制及其应用研究[D];华中科技大学;2011年
7 王婷;面向授权管理的资源管理模型研究[D];解放军信息工程大学;2011年
8 韩伟力;分布式环境下的约束访问控制技术研究[D];浙江大学;2003年
9 潘东高;网络环境下会计理论和方法若干问题研究[D];武汉理工大学;2003年
10 蔡志鹏;大型结构焊接变形数值模拟的研究与应用[D];清华大学;2001年
中国硕士学位论文全文数据库 前10条
1 王宏斌;企业移动办公的安全接入研究及实现[D];郑州大学;2010年
2 陈强;路由技术在VPN客户端中的应用研究[D];郑州大学;2010年
3 赵甜;基于最优竞胜标的网格资源市场优化研究[D];郑州大学;2010年
4 郭树凯;基于FAHP可信网络用户行为信任评估和决策研究[D];辽宁工程技术大学;2010年
5 张睿;大连市教育城域网建设的关键技术研究及其应用[D];大连海事大学;2010年
6 王晓宇;用户数据的多重保护技术研究与应用[D];大连海事大学;2010年
7 田向;学生公寓系统安全可行性研究[D];中国海洋大学;2010年
8 华连生;省级气象探测资料集成系统设计[D];合肥工业大学;2010年
9 贾峰;支持QoS和信任度的Web服务选择研究[D];湖南工业大学;2010年
10 惠延涛;基于IPv6的延边大学校园网安全防范技术研究与实现[D];电子科技大学;2010年
【同被引文献】
中国重要会议论文全文数据库 前3条
1 朱有产;安雷;刘双喜;;基于模糊理论的RBAC授权模型研究[A];第六届中国不确定系统年会论文集[C];2008年
2 陈思璐;张淼;徐国爱;杨义先;;可信网络连接TNC的应用[A];第一届中国高校通信类院系学术研讨会论文集[C];2007年
3 张焕国;毋国庆;刘玉珍;陈幼雷;王张宜;;可信计算平台技术研究[A];第十届全国容错计算学术会议论文集[C];2003年
中国重要报纸全文数据库 前1条
1 蒋屹新;[N];中国计算机报;2006年
中国博士学位论文全文数据库 前10条
1 吴克力;数字签名理论与算法研究[D];南京理工大学;2005年
2 郑宇;4G无线网络安全若干关键技术研究[D];西南交通大学;2006年
3 陈军;可信平台模块安全性分析与应用[D];中国科学院研究生院(计算技术研究所);2006年
4 汪伦伟;安全操作系统中基于可信度的认证和访问控制技术研究[D];国防科学技术大学;2005年
5 段斌;基于PKI的可信计算体系研究及其应用[D];湘潭大学;2004年
6 彭双和;信息系统认证体系结构及相关技术研究[D];北京交通大学;2006年
7 谭良;可信操作若干关键问题的研究[D];电子科技大学;2007年
8 庞永刚;基于事件注入技术的网络可信性评测研究[D];哈尔滨工程大学;2007年
9 郝黎明;P2P信誉系统中基于可信计算技术的匿名机制研究[D];上海交通大学;2008年
10 赵佳;可信认证关键技术研究[D];北京交通大学;2008年
中国硕士学位论文全文数据库 前10条
1 王宏斌;企业移动办公的安全接入研究及实现[D];郑州大学;2010年
2 秦波;零知识证明与数字签名理论的研究[D];西安理工大学;2003年
3 刘锋;安全协议模型检验技术研究与实现[D];中国人民解放军国防科学技术大学;2002年
4 王峥;基于邻接算法的系统调用入侵检测模型[D];太原理工大学;2004年
5 周煌;基于角色的动态访问控制模型的应用研究[D];电子科技大学;2005年
6 马水平;基于角色的安全访问控制机制的研究[D];中国海洋大学;2005年
7 程卫芳;安全操作系统中的可信授权技术研究和实现[D];国防科学技术大学;2004年
8 单长虹;计算机远程控制技术研究[D];武汉大学;2004年
9 张志峰;EAP-TTLS认证方式在WLAN中的应用研究[D];武汉理工大学;2006年
10 许丽星;基于可信计算的手机访问控制研究[D];西南交通大学;2006年
【二级引证文献】
中国硕士学位论文全文数据库 前8条
1 杨磊;基于TLPRBAC的政务内网访问控制研究[D];西安电子科技大学;2011年
2 陈江;网络访问控制技术的分析与比较研究[D];太原理工大学;2011年
3 王宁;基于行为信任的可信网络模型研究[D];陕西师范大学;2011年
4 徐明明;终端可信接入与远程证明技术研究[D];南京邮电大学;2012年
5 吴远;Windows应用程序的可信度量技术研究与实现[D];南京理工大学;2012年
6 杨超;3GVSA系统的研究与实现[D];郑州大学;2012年
7 张荣刚;基于属性的加密及其应用研究[D];华北电力大学;2012年
8 宁远贵;乐视网竞争战略研究[D];西北大学;2012年
【相似文献】
中国期刊全文数据库 前10条
1 沈昌祥;张焕国;王怀民;王戟;赵波;严飞;余发江;张立强;徐明迪;;可信计算的研究与发展[J];中国科学:信息科学;2010年02期
2 刘吉强;赵佳;赵勇;;可信计算中远程自动匿名证明的研究[J];计算机学报;2009年07期
3 赵佳;韩臻;刘吉强;章睿;;基于可信密码模块的远程证明协议[J];北京交通大学学报;2010年02期
4 吴果;辛思远;;面向云计算的计算平台远程证明[J];微计算机信息;2010年15期
5 刘宏伟;卫国斌;;可信计算在VPN中的应用[J];计算机应用;2006年12期
6 周雁舟;张焕国;李立新;宋扬;;基于l-MOMSDH假设的短群签名DAA方案[J];北京工业大学学报;2010年05期
7 焦鹏,查亚兵;层次分析法在制导仿真系统可信度评估中的应用[J];计算机仿真;2005年09期
8 杨惠珍;康凤举;阎晋屯;;一种基于AHP的仿真可信度评估方法研究[J];系统仿真学报;2006年S2期
9 王石;伍丁红;戴金海;;基于Bayes网的武器装备仿真可信度评估[J];系统仿真学报;2011年06期
10 朱岩;;基于AHP-Fuzzy的航电综合化仿真系统可信度评估[J];计算机测量与控制;2008年03期
中国重要会议论文全文数据库 前10条
1 杨惠珍;康凤举;阎晋屯;;一种基于AHP的仿真可信度评估方法研究[A];中国系统仿真学会第五次全国会员代表大会暨2006年全国学术年会论文集[C];2006年
2 凌鸿;林杰;崔永飞;;基于层次分析法的群体决策支持系统框架设计[A];面向复杂系统的管理理论与信息系统技术学术会议专辑[C];2000年
3 曾安军;方逵;;系统工程方法在MIS效益评价中的应用[A];1993中国控制与决策学术年会论文集[C];1993年
4 王军波;;利用层次分析法评价航标社会效益[A];中国航海学会航标专业委员会沿海、内河航标学组联合年会学术交流论文集[C];2003年
5 王哲;;基于层次分析法的静电涂油机产品设计方案[A];2005年十二省区市机械工程学会学术年会论文集(湖北专集)[C];2005年
6 任瑞华;潘英;;军事后勤标准体系列项标准评估模型[A];中国系统工程学会决策科学专业委员会第六届学术年会论文集[C];2005年
7 首照宇;;影响高校科研经费增长的因素权系数研究[A];第八届中国青年运筹信息管理学者大会论文集[C];2006年
8 汤波;胡荣;符杨;;区县级配电网规划经济性评估的研究[A];中国高等学校电力系统及其自动化专业第二十四届学术年会论文集(下册)[C];2008年
9 赵宝利;邓春光;;水污染事故造成的损失中各指标影响程度的确定[A];地下水开发利用与污染防治技术专刊[C];2009年
10 吴振华;钟城;;重庆城乡统筹发展水平解析[A];成渝地区城乡统筹与区域合作研讨会论文集[C];2007年
中国重要报纸全文数据库 前10条
1 记者 陈岩、通讯员 田智勇;可信计算平台技术 我省走在全国前列[N];湖北日报;2004年
2 记者 王作晖 通讯员 陈宝国 丁科;瑞达推出国内首台可信计算机[N];长江日报;2007年
3 本报记者 申明;可信计算,离大众普及还需多久?[N];科技日报;2005年
4 赵晓涛;关注:可信计算卷土重来[N];网络世界;2008年
5 李侠;可信联盟成立推动标准出台 国内厂商大有可为[N];中国电子报;2008年
6 张伟;可信计算构筑中国信息安全长城[N];中国高新技术产业导报;2008年
7 本报记者 李韬;安全从终端开始[N];计算机世界;2004年
8 本报记者 毛江华;三大难题阻碍可信计算走下神坛[N];计算机世界;2005年
9 中国工程院院士 沈昌祥;大力发展我国可信计算技术及产业[N];计算机世界;2007年
10 实习记者 袁坤;打造中国信息安全DNA[N];政府采购信息报;2008年
中国博士学位论文全文数据库 前10条
1 林宏刚;可信网络连接若干关键技术的研究[D];四川大学;2006年
2 杨涛;技术灾害的致灾因素分析及其风险评价体系的研究[D];中国地震局地球物理研究所;2007年
3 许洁;转轨期中国电力产业规制研究[D];同济大学;2007年
4 李勇;顾客满意度指数模型及其测评方法研究[D];中国矿业大学(北京);2008年
5 王肖宇;基于层次分析法的京沈清文化遗产廊道构建[D];西安建筑科技大学;2009年
6 陈秀铜;改进低温下泄水不利影响的水库生态调度方法及影响研究[D];武汉大学;2010年
7 宋成;可信计算平台中若干关键技术研究[D];北京邮电大学;2011年
8 刘琼;中国网络新闻可信度研究[D];华中科技大学;2011年
9 张克成;基于方法论视角的中国东北亚地缘政治安全解析[D];吉林大学;2012年
10 潘锡辉;我国典型紧缺矿产资源跨国经营投资环境评价[D];中国地质大学(北京);2006年
中国硕士学位论文全文数据库 前10条
1 巴扬;农村灾后重建指标体系研究与应用[D];西南交通大学;2011年
2 徐日;可信计算平台完整性度量机制的研究与应用[D];西安电子科技大学;2009年
3 王俐隽;银行房地产开发项目贷款评估研究[D];中国海洋大学;2008年
4 王峰;和苑住宅小区项目环境影响评价研究[D];中国海洋大学;2011年
5 覃李兵;工程项目投资风险评估方法比较研究[D];西南交通大学;2011年
6 索林生;图书购置经费的优化分配问题的研究[D];山东大学;2005年
7 冯丽丽;农业产业化项目优选决策研究[D];四川农业大学;2005年
8 刘昇;福州市南台岛生态安全探研[D];福州大学;2006年
9 马娟;我国上市公司业绩评价体系研究[D];武汉科技大学;2005年
10 姚丽;济南钢铁集团发展战略研究[D];山东大学;2005年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026