摘要: 当前大部分信息安全系统主要是由防火墙、入侵监测等组成，针对是共享信息资源为中心在外围对非法用户和越权访问进行封堵，以防止外部攻击，而对共享源的访问者源端不加控制，加之操作系统的不安全因素导致系统的各种漏洞，无法从根本上解决安全问题... 展开 当前大部分信息安全系统主要是由防火墙、入侵监测等组成，针对是共享信息资源为中心在外围对非法用户和越权访问进行封堵，以防止外部攻击，而对共享源的访问者源端不加控制，加之操作系统的不安全因素导致系统的各种漏洞，无法从根本上解决安全问题。产生这种局面的主要原因是没有从终端源头对安全问题进行控制，而仅在外围进行封堵，信息安全系统只以接入终端是否通过认证和授权来判断接入终端是否可以接入受保护的网络，而不关心接入终端本身是否安全可信。 早在上世纪九十年代初，国内著名的信息安全专家沈昌祥院士就提出要从终端入手解决信息安全问题，这是对安全问题的本质回归。近年来，“可信计算”的兴起正是对这一思想的认可。可信计算组织(TCG)制定的可信网络连接(TNC)规范，采用了标准的接口定义了一个公开的标准，将传统的网络安全技术和“可信计算”技术结合，把可信硬件TPM集成到可信网络连接体系结构中，从终端入手构建可信网络，将不信任的访问操作控制在源端。目前可信网络连接的研究虽然取得了重要的成果，这些成果对信息系统安全的发展发挥了重要的作用，但是由于可信网络连接的研究与实践仍处于发展阶段，还存在研究仍停留在工程技术层面、缺乏理论模型支撑，体系结构不完整等问题。本文紧跟可信计算研究趋势，针对可信网络连接发展中所存在的主要问题展开研究。 论文首先研究了TNC体系结构的基本思想。TNC体系结构立足于终端，对每个试图连接到网络的终端，在待接入终端通过认证和授权的基础上，还检查终端的当前的完整性及其他安全属性是否与组织定义的安全策略一致，从而提供对网络环境更完善的保护。根据组织安全策略，可信的终端将获得访问网络资源的权限，不可信的终端被隔离，有漏洞的终端被补救，更新其组件和配置，确保任何访问网络的终端具有符合组织安全策略的、最新的、恰当的安全配置。 接着，论文分析了TCG制定的规范中只对可信硬件和系统引导进行了的定义和描述，指出这种方法不适应对应用程序实施完整性度量。研究了恶意代码破坏系统完整性的作用原理和本质，根据TCG规范中可信传递概念，本文提出一种系统完整性度量模型，对客体的执行权限严格的定义和描述，对被执行的客体及其相关其它输入数据实施完整性度量，防止恶意代码的执行，确保系统的完整性不被破坏。并结合模型，利用可信计算技术实现了一个实时的系统完整性度量服务，用于对系统中的应用程序完整性度量，基于该方法把信任链从操作系统延伸到应用。根据“可信传递”的思想，基于TPM提供的可信报告和可信度量机制，提出了远程证明的基本思想。计算机系统可以以TPM为信任根，通过信任传递，将信任延伸到网络。在建立网络连接时，网络中的实体不仅要求对其鉴别身份，证明它们被授权允许访问网络，而且要求通过远程证明机制验证它们运行环境和程序是否可信，使信任在网络环境下传递，把信任链扩展到网络，确保整个网络的可信性。由于可信网络连接规范中只是对远程证明机制的一般功能做了初步的定义，至于如何实现这一功能，则没有进一步研究，本文对TCG规范中描述的远程证明机制中的可信报告传输、可信度量验证和根据可信报告评估系统可信度等问题进行深入系统的研究。为了确保在可信报告在传输过程中的安全，提出一种远程证明传输协议，以保证通信双方身份的真实性、通信数据的机密性、完整性和消息的新鲜性等特性，并对其安全性进行形式化证明；给出了一种验证可信度量和评估待证明系统可信度的方法，该方法分为两步：首先粗粒度判定，质询方根据可信度量验证规则验证可信度量信息,判定待证明系统是否可信，对于判定为不可信的系统，采取隔离措施，拒绝与其进行交互和向其提供服务；然后细粒度判定，对于判定为可信的系统，质询方用可信度衡量待证明系统值得信任的程度，基于层次分析法对终端可信度评估，以值的方式量化表示，从而可以根据该平台的可信级别来实施能够在该级别下实施的操作。 为确保应用环境的安全可信，对在访问过程中的终端的访问行为实施控制，提出了一种基于可信度的动态访问控制模型，把RBAC模型无缝的集成到TNC体系结构中。在模型中，把可信计算与访问控制有机的结合，将远程证明机制评估终端用户的可信度作为系统在进行用户角色指派时的依据，在RBAC模型中引入了可信度的概念，对传统RBAC模型进行扩展，把用户的可信度作为授权的一个组成部分，直接参与安全决策，并对其进行形式化描述和分析。该模型在区分不同用户可信度的基础上，让用户的可信度参与授权，只有可信度较高的用户才授予较高权限；如果非法用户没有通过远程证明机制的可信度评估，即使他进入系统获得了管理员身份也不能获取管理员的权限。在用户访问过程中，根据用户在系统中完成任务的情况对用户可信度动态调节。模型不仅细化了TNC体系结构中的访问控制粒度，并且在增强系统灵活性的基础上，提供系统安全性。 最后，在对可信网络连接研究的基础上，结合前面章节研究成果，把可信网络连接理论应用在远程客户端访问企业网络构建的VPN系统中，构建企业可信应用环境。 论文紧密围绕可信网络连接体系结构的研究开展工作，文中提出的模型和方法，对可信网络连接的研究和实践及信息安全的理论研究将有积极的意义。 收起