可信網(wǎng)絡連接-TNC課件

1、可信網(wǎng)絡連接組長：李曉宇組員：王意、劉陽、肖琪、魏玉凱可信網(wǎng)絡連接組長：李曉宇一、TNC背景介紹二、TNC架構(gòu)介紹三、TNC平臺替換攻擊及解決方案四、基于TNC的web應用五、TNC的優(yōu)缺點以及未來的展望目錄一、TNC背景介紹二、TNC架構(gòu)介紹三、TNC平臺替換攻擊及當前網(wǎng)絡面臨的問題惡意攻擊垃圾郵件計算機病毒不健康資訊一、TNC背景介紹當前網(wǎng)絡面臨的問題惡意攻擊垃圾郵件計算機病毒不健康資訊一網(wǎng)絡面臨問題的原因根本原因網(wǎng)絡本身存在安全漏洞起因網(wǎng)絡體系結(jié)構(gòu)的研究主要考慮了如何提高數(shù)據(jù)傳輸?shù)男蕵?gòu)成Internet的一些早期網(wǎng)絡協(xié)議也很少考慮安全問題攻擊迅速，容易、廉價的，難于檢測和追蹤無法避免因

2、素即使網(wǎng)絡體系結(jié)構(gòu)設計很完美，設備軟硬件在實現(xiàn)過程中的脆弱性也不可能完全避免網(wǎng)絡面臨問題的原因根本原因網(wǎng)絡本身存在安全漏洞起因網(wǎng)絡體系結(jié)“可信網(wǎng)絡”的定義網(wǎng)絡系統(tǒng)的行為及其結(jié)果是可以預期的行為狀態(tài)可監(jiān)測行為結(jié)果可評估異常行為可控制“可信網(wǎng)絡”的定義網(wǎng)絡系統(tǒng)的行為及其結(jié)果是可以預期的行為狀態(tài)可信網(wǎng)絡的具體描述可信網(wǎng)絡安全性可控性可生存性用戶角度保障服務的安全性和可生存性設計角度提供網(wǎng)絡的可控性不同于安全性、可生存性和可控性在傳統(tǒng)意義上分散、孤立的概念內(nèi)涵，可信網(wǎng)絡將在網(wǎng)絡可信的目標下融合這三個基本屬性 可信網(wǎng)絡的具體描述可信網(wǎng)絡安全性可控性可生存性用戶角度保障服典型的行為控制方式訪問控制：即開放

3、或禁止網(wǎng)絡節(jié)點對被防護網(wǎng)絡資源的全部或部分訪問權限,從而能夠?qū)鼓切┚哂袀鞑バ缘木W(wǎng)絡攻擊攻擊預警：即向被監(jiān)控對象通知其潛在的易于被攻擊和破壞的脆弱性,并在網(wǎng)絡上發(fā)布可信性評估結(jié)果,報告正在遭受破壞的節(jié)點或服務生存行為：即在網(wǎng)絡設施上調(diào)度服務資源,根據(jù)系統(tǒng)工作狀態(tài)進行服務能力的自適應調(diào)整以及故障的恢復等免疫隔離：即根據(jù)被保護對象可信性的分析結(jié)果，提供到網(wǎng)絡不同級別的接納服務訪問控制主要針對的是防護區(qū)域外具有攻擊和破壞性的節(jié)點及行為免疫隔離是在攻擊和破壞行為出現(xiàn)前主動對防護區(qū)域內(nèi)的設施進行處理典型的行為控制方式訪問控制：攻擊預警：生存行為：免疫隔離：訪可信網(wǎng)絡三個基本屬性的緊密聯(lián)系的好處可信網(wǎng)絡安

4、全體系結(jié)構(gòu)設計：改變傳統(tǒng)打補丁、附加的安全供給模式，降低整個信任信息維護鏈體系結(jié)構(gòu)設計上的脆弱性，支持多樣的信任信息采集方式，保障信任信息的可靠有效傳播，并能有效協(xié)同各種行為控制方式，使其能在可信的目標下得到融合。可信網(wǎng)絡三個基本屬性的緊密聯(lián)系的好處可信網(wǎng)絡安全體系結(jié)構(gòu)設計可信網(wǎng)絡三個基本屬性的緊密聯(lián)系的好處可生存性設計：在系統(tǒng)脆弱性不可避免以及攻擊和破壞行為客觀存在的狀況下，提供資源調(diào)度等提高服務生存性的行為控制，提高包括安全服務在內(nèi)等關鍵服務的持續(xù)能力。可信網(wǎng)絡三個基本屬性的緊密聯(lián)系的好處可生存性設計：在系統(tǒng)脆弱可信網(wǎng)絡三個基本屬性的緊密聯(lián)系的好處可控性設計：完成對網(wǎng)絡節(jié)點的監(jiān)測以及信任信

5、息的采集，根據(jù)信任分析決策的結(jié)果實施具體的訪問接納和攻擊預警等行為控制手段，從而建立起內(nèi)在關聯(lián)的異常行為控制體系，結(jié)束當前安全系統(tǒng)分散孤立的局面，全面提升對惡意攻擊和非惡意破壞行為的對抗能力。可信網(wǎng)絡三個基本屬性的緊密聯(lián)系的好處可控性設計：完成對網(wǎng)絡節(jié)二、TNC架構(gòu)介紹TNC基礎架構(gòu)包括3個實體、3個層次和若干個接口組件。圖1 TNC基本框架圖二、TNC架構(gòu)介紹TNC基礎架構(gòu)包括3個實體、3個層次和若干TNC基礎架構(gòu)3個實體分別是：AR、PEP 和 PDP。ARAccess Requestor訪問請求者。PEPPolicy Enforcement Point策略執(zhí)行點。PDPPolicy De

6、cision Point策略決策點。TNC基礎架構(gòu)3個實體分別是：AR、PEP 和 PDP。TNC基礎架構(gòu)AR包括3個組件：NAR、TNCC和 IMC。NARNetwork Access Requestor-網(wǎng)絡訪問請求者；主要功能：發(fā)出訪問請求，申請建立網(wǎng)絡連接。TNCC -TNC Client；主要功能：收集完整性度量收集器(Integrity Measurement Collector)的完整性測量信息。IMC-Integrity Measurement Collector-完整性度量收集器；主要功能：測量AR中各個組件的完整性。TNC基礎架構(gòu)AR包括3個組件：NAR、TNCC和 IMC

7、。TNC基礎架構(gòu)PDP包括3個組件:NAA、TNCS、IMV。NAA-NetworkAccess Authority-網(wǎng)絡訪問授權者；主要功能：對AR的網(wǎng)絡訪問請求進行決策。TNCS-Trusted Network Connection Server -可信網(wǎng)絡連接服務器；主要功能：負責與TNCC之間的通信，收集來自IMV的決策，形成一個全局的訪問決策傳遞給NAA。IMV- Integrity Measurement Verifier-完整性度量驗證器；主要功能：將IMC傳遞過來的AR各個部件的完整性測量信息進行驗證，并給出訪問決策意見。TNC基礎架構(gòu)PDP包括3個組件:NAA、TNCS、IM

8、V。TNC基礎架構(gòu)實體之間的接口：在TNC架構(gòu)中存在多個實體，為了實現(xiàn)實體之間的互操作，需要制定實體之間的接口。接口自底向上包括IF-PEP、IF-T、IF-TNCCS、IF-IMC、IF-IMV和IF-M。TNC基礎架構(gòu)實體之間的接口：TNC基礎架構(gòu)3個層次分別是網(wǎng)絡訪問層、完整性評估層與完整性度量層。網(wǎng)絡訪問層：支持傳統(tǒng)的網(wǎng)絡連接技術，如802.1X和VPN等機制。完整性評估層：進行平臺的認證,并評估AR的完整性。完整性度量層：收集和校驗AR的完整性相關信息。TNC基礎架構(gòu)3個層次分別是網(wǎng)絡訪問層、完整性評估層與完整性執(zhí)行過程連接請求：AR發(fā)出訪問請求,收集平臺完整性可信信息,發(fā)送給PDP

9、,申請建立網(wǎng)絡連接。決策判斷：PDP根據(jù)本地安全策略對AR的訪問請求進行決策判定,判定依據(jù)包括AR的身份與AR的平臺完整性狀態(tài),判定結(jié)果為允許/禁止/隔離。決策執(zhí)行：PEP控制對被保護網(wǎng)絡的訪問，執(zhí)行PDP的訪問控制決策。執(zhí)行過程連接請求：AR發(fā)出訪問請求,收集平臺完整性可信信息,TNC具體執(zhí)行過程圖2 TNC具體執(zhí)行過程TNC具體執(zhí)行過程圖2 TNC具體執(zhí)行過程TNC具體執(zhí)行過程1、在進行網(wǎng)絡連接和平臺完整性驗證之前，TNCC需要對每一個IMC進行初始化。同樣，TNCS也要對IMV進行初始化。3、接收到NAR的訪問請求之后，PEP向NAA發(fā)送一個網(wǎng)絡訪問決策請求。假定NAA已經(jīng)設置成按照用戶

10、認證、平臺認證和完整性檢查的順序進行操作。如果有一個認證失敗，則其后的認證將不會發(fā)生.用戶認證可以發(fā)生在NAA和AR之間。平臺認證和完整性檢查發(fā)生在AR和TNCS之間。2、當有網(wǎng)絡連接請求發(fā)生時，NAR向PEP發(fā)送一個連接請求。TNC具體執(zhí)行過程1、在進行網(wǎng)絡連接和平臺完整性驗證之前，TTNC具體執(zhí)行過程6、假定TNCC和TNCS之間的平臺驗證成功完成。TNCS通知IMV新的連接請求已經(jīng)發(fā)生，需要進行完整性驗證。同時TNCC通知IMC新的連接請求已經(jīng)發(fā)生，需要準備完整性相關信息。IMC通過IF-IMC向TNCC返回IF-M消息。4、假定AR和NAA之間的用戶認證成功完成，則NAA通知TNCS有

11、一個連接請求到來。5、TNCS和TNCC進行平臺驗證。TNC具體執(zhí)行過程6、假定TNCC和TNCS之間的平臺驗證成TNC具體執(zhí)行過程7c、TNCC也要轉(zhuǎn)發(fā)來自TNCS的信息給相應的IMC，并將來自IMC的信息發(fā)給TNCS。7b、TNCS將每個IMC信息發(fā)送給相應的IMV。IMV對IMC信息進行分析，如果IMV需要更多的完整性信息，它將通過IF-IMV接口向TNCS發(fā)送信息，如果IMV已經(jīng)對IMC的完整性信息做出判斷，它將結(jié)果通過IF-IMV接口發(fā)送給TNCS。7a、TNCC和TNCS交換完整性驗證相關的各種信息。這些信息將會被NAR、PEP和NAA轉(zhuǎn)發(fā),直到AR的完整性狀態(tài)滿足TNCS的要求。

12、TNC具體執(zhí)行過程7c、TNCC也要轉(zhuǎn)發(fā)來自TNCS的信息給TNC具體執(zhí)行過程8、當TNCS完成和TNCC的完整性檢查握手之后，它發(fā)送TNCS推薦操作給NAA。9、NAA發(fā)送網(wǎng)絡訪問決策給PEP來實施。NAA也必須向TNCS說明它最后的網(wǎng)絡訪問決定，這個決定也將會發(fā)送給TNCC。PEP執(zhí)行NAA的決策,這一次的網(wǎng)絡連接過程結(jié)束。TNC具體執(zhí)行過程8、當TNCS完成和TNCC的完整性檢查握帶有可信平臺模塊和修補功能的TNC架構(gòu) 在TNC架構(gòu)中，平臺的完整性狀態(tài)將直接導致其是否被允許訪問網(wǎng)絡。如果終端由于某些原因不能符合相關安全策略時，TNC架構(gòu)還考慮提供終端修補措施。 如果終端不允許連入網(wǎng)絡，對

13、其進行修補之后，可以接入網(wǎng)絡。帶有可信平臺模塊和修補功能的TNC架構(gòu) 在TNC架構(gòu)中帶有可信平臺模塊和修補功能的TNC架構(gòu)PRAProvisioning & Remediation Application-配置和修補應用程序PRRProvisioning & Remediation Resource-配置和修補資源IF-PTS-Platform Trust Services-平臺可信服務接口TSS-Trusted Software Stack-可信軟件棧圖3 帶有可信平臺模塊和修補功能的TNC架構(gòu)帶有可信平臺模塊和修補功能的TNC架構(gòu)PRAProvisi帶有可信平臺模塊和修補功能的TNC架構(gòu)P

14、RA可以作為AR的一個組成部分，向IMC提供某種類型的完整性信息。PRR作為修補更新資源，能夠?qū)R上某些組件進行更新，使其通過完整性檢查。IF-PTS將 TSS的相關功能進行封裝，向AR的各個組件提供可信平臺的功能，包括密鑰存儲、非對稱加解密、隨機數(shù)、平臺身份和平臺完整性報告等。完整性度量日志將平臺中組件的度量信息保存起來。帶有可信平臺模塊和修補功能的TNC架構(gòu)PRA可以作為AR的一帶有可信平臺模塊和修補功能的TNC架構(gòu)的執(zhí)行過程如果完整性驗證沒有通過，AR可以通過PRA來訪問PRR，對相關的組件進行更新和修復，然后再次重新執(zhí)行。更新和修復的過程可能會重復多次直到完整性驗證通過。帶有可信平臺

15、模塊和修補功能的TNC架構(gòu)的執(zhí)行過程如果完整性驗三、平臺替換攻擊及解決方案 完整性報告協(xié)議1、完整性報告協(xié)議被用于實現(xiàn)平臺身份認證和平臺的完整性校驗，它基于挑戰(zhàn)-應答認證協(xié)議：圖4完整性報告協(xié)議三、平臺替換攻擊及解決方案1、完整性報告協(xié)議被用于實現(xiàn)平臺身2、但是這種協(xié)議容易遭受一種新的攻平臺替換攻擊。1、合法用戶M希望通過不可信的平臺PM介入平臺PB，攻擊過程如下：2、攻擊結(jié)果：平臺PB認為PM是一個可信平臺并且允許其接入，但實際上PM是一個不可信平臺圖5平臺替換攻擊2、但是這種協(xié)議容易遭受一種新的攻平臺替換攻擊。1、合法2、另一方面，同一用戶可以使用不同的計算平臺，不同的用戶也可以使用同一平

16、臺進行連接，這就是的用戶與用戶所使用的平臺之間不存在一一對應的關系。也就是說，用戶與平臺之間沒有綁定關系，不能將兩者看作一個整體來處理，這也是TNC架構(gòu)的設計中沒有考慮到的一個安全缺陷。3、平臺替換攻擊產(chǎn)生的原因1、一方面，按照TPM主規(guī)范的規(guī)定，對于驗證平臺而言，AIK簽名只能說明消息來自一個含有真實TPM芯片的平臺，不能證明簽名消息的平臺就是議定的通信平臺；2、另一方面，同一用戶可以使用不同的計算平臺，不同的用戶也可4、解決方案-可證明安全的可信網(wǎng)絡連接模型1、針對TNC架構(gòu)設計上的缺陷，通過協(xié)議的巧妙設計可以實現(xiàn)網(wǎng)絡訪問層與完整性評估層平臺之間的動態(tài)綁定，從而避免TNC架構(gòu)缺陷造成的影響

17、。2、可信網(wǎng)絡連接協(xié)議與傳統(tǒng)網(wǎng)絡接入認真協(xié)議的差別： （1）網(wǎng)絡連接設備有所不同?？尚诺木W(wǎng)絡連接設備具有TPM（Trusted Platform Module）模塊（物理防篡改特性，可以保護敏感數(shù)據(jù)）。 （2）增加了完整性評估層，該層協(xié)議的網(wǎng)絡運行環(huán)境與傳統(tǒng)網(wǎng)絡訪問層協(xié)議的運行環(huán)境有所不同。4、解決方案-可證明安全的可信網(wǎng)絡連接模型1、針對TNC架5、可信網(wǎng)絡連接協(xié)議的安全目標1、網(wǎng)絡訪問層實現(xiàn)用戶身份認證，協(xié)商處用戶之間SK安全的會話密鑰，在此基礎之上，實現(xiàn)出通信用戶實體之間的安全信道。3、用戶與平臺之間存在動態(tài)授權綁定關系。（對于每一次可信網(wǎng)絡連接會話，網(wǎng)絡訪問層用戶都與唯一的完整性評估層

18、平臺相對應）2、完整性評估層在網(wǎng)絡訪問層安全信道保護下，實現(xiàn)平臺身份認證和平臺完整性校驗。（需要在用戶與平臺之間建立一種動態(tài)的安全綁定關系）5、可信網(wǎng)絡連接協(xié)議的安全目標1、網(wǎng)絡訪問層實現(xiàn)用戶身份認證6、一個可證明安全的可信網(wǎng)絡連接協(xié)議1、網(wǎng)絡訪問層協(xié)議采用傳統(tǒng)的網(wǎng)絡連接技術，通過提出一種新的模型將存在平臺替換攻擊的完整性報告協(xié)議轉(zhuǎn)換成安全的完整性評估層協(xié)議。2、通過綁定器將完整性報告協(xié)議編譯為協(xié)議PSTNCP。6、一個可證明安全的可信網(wǎng)絡連接協(xié)議1、網(wǎng)絡訪問層協(xié)議采用傳2022/9/30在Web Application System（WAS）上應用TNC structure of web a

19、pplication system確保系統(tǒng)正常運行保護系統(tǒng)和數(shù)據(jù)不被未被授權的用戶使用或篡改四、基于TNC的web應用2022/9/27在Web Application Syst2022/9/30在網(wǎng)絡開放環(huán)境中很難確保安全性我們將WAS進行劃分，這樣就存在5種類型的安全漏洞：Network system security bug, Operating system security bug,Web server security bug,Database and application program security bug.2022/9/27在網(wǎng)絡開放環(huán)境中很難確保安全性2022/9/3

20、0Web Security Model Based on TNC Original TNC model cant be applied to Web application. There is not the entity of PEP to deal with all access requests on the internet.there are many online service resources can be accessed by users on the internet2022/9/27Web Security Model Ba2022/9/30SP will provi

21、de a completeness inspection to AR. It may lead to expose the detailed information.In future, this task may be executed by third-party, and third-party only has one task that is executing completeness inspection of AR. 2022/9/272022/9/30SP is viewed as transparent agent.AR can not prohibit SP from w

22、iretapping these messages. In addition, if SP can execute TNC completeness inspection on AR, the malicious SP will be able to the policy of ASP and then launch malicious attacks. 2022/9/272022/9/30SP declares its security requirements taken the form of policy, transmits the policy to ASP by cipherte

23、xt. This method can reduce the risk of private information exposed. 2022/9/272022/9/30The message flow based on annular validation model2022/9/272022/9/30This paper presents a kind of web application based on TNC thought and a kind of annular validation model. This method can protect private informa

24、tion and is easy to achieve. This model considers TNC completeness inspection as a part of the process that Web application identifies AR. In the future, the work will focuses mainly on estimating the performance of this model.2022/9/27This paper presents aTNC優(yōu)點：指導性：接口定義規(guī)范提供了具體的消息流程、XML Schema和相關操作系

25、統(tǒng)和編程語言的綁定開放性: 所有規(guī)范都免費面向公眾開放系統(tǒng)性： 自身為一個完整的體系結(jié)構(gòu)，每一個相應的接口都具有子規(guī)范進行詳細定義安全性: 在傳統(tǒng)的基于用戶身份認證的基礎上增加了平臺身份認證與完整性驗證；五、TNC的優(yōu)缺點以及未來的展望TNC優(yōu)點：五、TNC的優(yōu)缺點以及未來的展望TNC局限性（1）理論研究滯后（2）局限于完整性（3）單向性的可信評估（4）缺乏安全協(xié)議支持（5）缺乏網(wǎng)絡接入后的安全保護（6）應用范圍具有局限性TNC局限性（1）理論研究滯后中國可信網(wǎng)絡連接架構(gòu)中國可信網(wǎng)絡連接架構(gòu)引入一個策略管理器作為可信第三方,對訪問請求者和訪問控制器進行集中管理；網(wǎng)絡訪問控制層和可信平臺評估層執(zhí)

26、行基于策略管理器為可信第三方的三元對等鑒別協(xié)議,實現(xiàn)訪問請求者和訪問控制器之間的雙向用戶身份認證和雙向平臺可信性評估.引入一個策略管理器作為可信第三方,對訪問請求者和訪問控制器進可信網(wǎng)絡體系結(jié)構(gòu)研究目前國際上網(wǎng)絡訪問控制架構(gòu)主要為（1）微軟的網(wǎng)絡訪問保護NAP架構(gòu)、（2）思科的網(wǎng)絡訪問控制NAC架構(gòu)（3）思科的網(wǎng)絡訪問控制TNC架構(gòu).這3種結(jié)構(gòu)都基于以下機制:終端接入網(wǎng)絡之前,對終端的平臺狀態(tài)進行度量,如果度量結(jié)果滿足網(wǎng)絡接入的安全策略,則允許終端接入網(wǎng)絡,否則將終端連接到指定的隔離區(qū)域,對其進行安全性修補和升級.可信網(wǎng)絡體系結(jié)構(gòu)研究目前國際上網(wǎng)絡訪問控制架構(gòu)主要為 隨著可信計算研究的不斷深入

27、,目前針對終端的可信性研究必然會拓展到網(wǎng)絡中.我們認為將可信計算思想和機制引入到網(wǎng)絡中,使得網(wǎng)絡成為一個可信的計算環(huán)境,將會是后續(xù)的研究熱點。5.TNC的發(fā)展趨勢 隨著可信計算研究的不斷深入,目前針對終端的可 網(wǎng)絡環(huán)境比終端更加復雜,需要從理論層面和技術層面同時進行研究。不但需要對可信度量、可信報告等可信計算核心機制進行深入研究，還需要從理論層面，對可信網(wǎng)絡環(huán)境進行研究，對網(wǎng)絡中數(shù)據(jù)的可信傳輸與資源的可信共享進行研究。下面對每一個內(nèi)容進行探討。 網(wǎng)絡環(huán)境比終端更加復雜,需要從理論層面和技術5.1 可信網(wǎng)絡環(huán)境的理論模型 將可信計算機制引入到網(wǎng)絡中，使得網(wǎng)絡成為可信的計算環(huán)境。 在網(wǎng)絡信任模型中

28、,每個節(jié)點都有自己的信任度,節(jié)點是對等的,都可發(fā)起和接受其它節(jié)點的信任度量. 在TNC中,節(jié)點并非都是對等的,總是存在一個節(jié)點作為度量的決策者,其它結(jié)點接受該節(jié)點的策略決策.5.1 可信網(wǎng)絡環(huán)境的理論模型 將可信計算機制5.2 可信度量與可信報告研究 目前TNC的度量采用的是基于數(shù)據(jù)完整性度量的方法,雖然可以保證系統(tǒng)的數(shù)據(jù)完整性,但是并不能完全保證系統(tǒng)的可信性.可信度量應當對系統(tǒng)的可信性(主要是可靠性和安全性)進行度量,而不是只對數(shù)據(jù)完整性進行度量。5.2 可信度量與可信報告研究 目前TNC的度 可信度量的一種方法是借鑒采用系統(tǒng)評測的方法.這種方式能夠在很大程度上保證系統(tǒng)的正確性. 可擴展的報

29、告協(xié)議.目前可信計算規(guī)范對于底層安全傳輸協(xié)議進行了規(guī)定，應當對可信報告協(xié)議進行形式化分析和驗證,消除潛在的安全漏洞。 可信度量的一種方法是借鑒采用系統(tǒng)評測的方法.5.3 可信網(wǎng)絡傳輸與可信資源共享研究 可信傳輸方面,除了繼續(xù)采用密碼對數(shù)據(jù)加密和對通信進行認證之外,還可以通過對傳輸協(xié)議進行擴展,為傳輸?shù)拿恳粋€數(shù)據(jù)報增加可信標簽,用于傳輸路徑上的信息定位、服務質(zhì)量監(jiān)督等功能.5.3 可信網(wǎng)絡傳輸與可信資源共享研究 可信傳 可信資源共享方面,可以借助傳統(tǒng)的訪問控制理論和方法、網(wǎng)格的訪問控制理論和方法、P2P環(huán)境下的訪問控制理論和方法以及安全多方計算的理論和方法,并對這些理論與方法進行可信性增強,設計層次化、跨可信域的、基于可信硬件的訪問控制方法。 可信資源共享方面,可以借助傳統(tǒng)的訪問控制1.馬卓, 馬劍鋒, 李興華, 姜奇. 可證明安全的可信網(wǎng)絡連接協(xié)議模型. 計算機學報, 2011