可信网络连接TNC课件.pptx

《可信网络连接TNC课件.pptx》由会员分享，可在线阅读，更多相关《可信网络连接TNC课件.pptx（55页珍藏版）》请在三一办公上搜索。

1、可信网络连接,组长：李晓宇组员：王意、刘阳、肖琪、魏玉凯,可信网络连接组长：李晓宇,一、TNC背景介绍,二、TNC架构介绍,三、TNC平台替换攻击及解决方案,四、基于TNC的web应用,五、TNC的优缺点以及未来的展望,目录,一、TNC背景介绍二、TNC架构介绍三、TNC平台替换攻击及,一、TNC背景介绍,当前网络面临的问题恶意攻击垃圾邮件计算机病毒不健康资讯一,网络面临问题的原因,网络面临问题的原因根本原因网络本身存在安全漏洞起因网络体系结,“可信网络”的定义,“可信网络”的定义网络系统的行为及其结果是可以预期的行为状态,可信网络的具体描述,不同于安全性、可生存性和可控性在传统意义上分散、孤

2、立的概念内涵，可信网络将在网络可信的目标下融合这三个基本属性,可信网络的具体描述可信网络安全性可控性可生存性用户角度保障服,典型的行为控制方式,典型的行为控制方式访问控制：攻击预警：生存行为：免疫隔离：访,可信网络三个基本属性的紧密联系的好处,可信网络安全体系结构设计：改变传统打补丁、附加的安全供给模式，降低整个信任信息维护链体系结构设计上的脆弱性，支持多样的信任信息采集方式，保障信任信息的可靠有效传播，并能有效协同各种行为控制方式，使其能在可信的目标下得到融合。,可信网络三个基本属性的紧密联系的好处可信网络安全体系结构设计,可信网络三个基本属性的紧密联系的好处,可生存性设计：在系统脆弱性不可

3、避免以及攻击和破坏行为客观存在的状况下，提供资源调度等提高服务生存性的行为控制，提高包括安全服务在内等关键服务的持续能力。,可信网络三个基本属性的紧密联系的好处可生存性设计：在系统脆弱,可信网络三个基本属性的紧密联系的好处,可控性设计：完成对网络节点的监测以及信任信息的采集，根据信任分析决策的结果实施具体的访问接纳和攻击预警等行为控制手段，从而建立起内在关联的异常行为控制体系，结束当前安全系统分散孤立的局面，全面提升对恶意攻击和非恶意破坏行为的对抗能力。,可信网络三个基本属性的紧密联系的好处可控性设计：完成对网络节,二、TNC架构介绍,TNC基础架构包括3个实体、3个层次和若干个接口组件。,图

4、1 TNC基本框架图,二、TNC架构介绍TNC基础架构包括3个实体、3个层次和若干,TNC基础架构,3个实体分别是：AR、PEP 和 PDP。ARAccess Requestor访问请求者。PEPPolicy Enforcement Point策略执行点。PDPPolicy Decision Point策略决策点。,TNC基础架构3个实体分别是：AR、PEP 和 PDP。,TNC基础架构,AR包括3个组件：NAR、TNCC和 IMC。NARNetwork Access Requestor-网络访问请求者；主要功能：发出访问请求，申请建立网络连接。TNCC -TNC Client；主要功能：收集

5、完整性度量收集器(Integrity Measurement Collector)的完整性测量信息。IMC-Integrity Measurement Collector-完整性度量收集器；主要功能：测量AR中各个组件的完整性。,TNC基础架构AR包括3个组件：NAR、TNCC和 IMC。,TNC基础架构,PDP包括3个组件:NAA、TNCS、IMV。NAA-NetworkAccess Authority-网络访问授权者；主要功能：对AR的网络访问请求进行决策。TNCS-Trusted Network Connection Server -可信网络连接服务器；主要功能：负责与TNCC之间的通信

6、，收集来自IMV的决策，形成一个全局的访问决策传递给NAA。IMV- Integrity Measurement Verifier-完整性度量验证器；主要功能：将IMC传递过来的AR各个部件的完整性测量信息进行验证，并给出访问决策意见。,TNC基础架构PDP包括3个组件:NAA、TNCS、IMV。,TNC基础架构,实体之间的接口：在TNC架构中存在多个实体，为了实现实体之间的互操作，需要制定实体之间的接口。接口自底向上包括IF-PEP、IF-T、IF-TNCCS、IF-IMC、IF-IMV和IF-M。,TNC基础架构实体之间的接口：,TNC基础架构,3个层次分别是网络访问层、完整性评估层与完整

7、性度量层。网络访问层：支持传统的网络连接技术，如802.1X和VPN等机制。完整性评估层：进行平台的认证,并评估AR的完整性。完整性度量层：收集和校验AR的完整性相关信息。,TNC基础架构3个层次分别是网络访问层、完整性评估层与完整性,执行过程,连接请求：AR发出访问请求,收集平台完整性可信信息,发送给PDP,申请建立网络连接。决策判断：PDP根据本地安全策略对AR的访问请求进行决策判定,判定依据包括AR的身份与AR的平台完整性状态,判定结果为允许/禁止/隔离。决策执行：PEP控制对被保护网络的访问，执行PDP的访问控制决策。,执行过程连接请求：AR发出访问请求,收集平台完整性可信信息,TNC

8、具体执行过程,图2 TNC具体执行过程,TNC具体执行过程图2 TNC具体执行过程,TNC具体执行过程,1、在进行网络连接和平台完整性验证之前，TNCC需要对每一个IMC进行初始化。同样，TNCS也要对IMV进行初始化。,3、接收到NAR的访问请求之后，PEP向NAA发送一个网络访问决策请求。假定NAA已经设置成按照用户认证、平台认证和完整性检查的顺序进行操作。如果有一个认证失败，则其后的认证将不会发生.用户认证可以发生在NAA和AR之间。平台认证和完整性检查发生在AR和TNCS之间。,2、当有网络连接请求发生时，NAR向PEP发送一个连接请求。,TNC具体执行过程1、在进行网络连接和平台完整

9、性验证之前，T,TNC具体执行过程,6、假定TNCC和TNCS之间的平台验证成功完成。TNCS通知IMV新的连接请求已经发生，需要进行完整性验证。同时TNCC通知IMC新的连接请求已经发生，需要准备完整性相关信息。IMC通过IF-IMC向TNCC返回IF-M消息。,4、假定AR和NAA之间的用户认证成功完成，则NAA通知TNCS有一个连接请求到来。,5、TNCS和TNCC进行平台验证。,TNC具体执行过程6、假定TNCC和TNCS之间的平台验证成,TNC具体执行过程,7c、TNCC也要转发来自TNCS的信息给相应的IMC，并将来自IMC的信息发给TNCS。,7b、TNCS将每个IMC信息发送给

10、相应的IMV。IMV对IMC信息进行分析，如果IMV需要更多的完整性信息，它将通过IF-IMV接口向TNCS发送信息，如果IMV已经对IMC的完整性信息做出判断，它将结果通过IF-IMV接口发送给TNCS。,7a、TNCC和TNCS交换完整性验证相关的各种信息。这些信息将会被NAR、PEP和NAA转发,直到AR的完整性状态满足TNCS的要求。,TNC具体执行过程7c、TNCC也要转发来自TNCS的信息给,TNC具体执行过程,8、当TNCS完成和TNCC的完整性检查握手之后，它发送TNCS推荐操作给NAA。,9、NAA发送网络访问决策给PEP来实施。NAA也必须向TNCS说明它最后的网络访问决定

11、，这个决定也将会发送给TNCC。PEP执行NAA的决策,这一次的网络连接过程结束。,TNC具体执行过程8、当TNCS完成和TNCC的完整性检查握,带有可信平台模块和修补功能的TNC架构,在TNC架构中，平台的完整性状态将直接导致其是否被允许访问网络。如果终端由于某些原因不能符合相关安全策略时，TNC架构还考虑提供终端修补措施。 如果终端不允许连入网络，对其进行修补之后，可以接入网络。,带有可信平台模块和修补功能的TNC架构 在TNC架构中,带有可信平台模块和修补功能的TNC架构,PRAProvisioning & Remediation Application-配置和修补应用程序PRRProv

12、isioning & Remediation Resource-配置和修补资源IF-PTS-Platform Trust Services-平台可信服务接口TSS-Trusted Software Stack-可信软件栈,图3 带有可信平台模块和修补功能的TNC架构,带有可信平台模块和修补功能的TNC架构PRAProvisi,带有可信平台模块和修补功能的TNC架构,PRA可以作为AR的一个组成部分，向IMC提供某种类型的完整性信息。PRR作为修补更新资源，能够对AR上某些组件进行更新，使其通过完整性检查。IF-PTS将 TSS的相关功能进行封装，向AR的各个组件提供可信平台的功能，包括密钥存储

13、、非对称加解密、随机数、平台身份和平台完整性报告等。完整性度量日志将平台中组件的度量信息保存起来。,带有可信平台模块和修补功能的TNC架构PRA可以作为AR的一,带有可信平台模块和修补功能的TNC架构的执行过程,如果完整性验证没有通过，AR可以通过PRA来访问PRR，对相关的组件进行更新和修复，然后再次重新执行。更新和修复的过程可能会重复多次直到完整性验证通过。,带有可信平台模块和修补功能的TNC架构的执行过程如果完整性验,三、平台替换攻击及解决方案,完整性报告协议,1、完整性报告协议,被用于实现平台身份认证和平台的完整性校验，它基于挑战-应答认证协议：,图4完整性报告协议,三、平台替换攻击及

14、解决方案1、完整性报告协议被用于实现平台身,2、但是这种协议容易遭受一种新的攻平台替换攻击。,1、合法用户M希望通过不可信的平台PM介入平台PB，攻击过程如下：,2、攻击结果：平台PB认为PM是一个可信平台并且允许其接入，但实际上PM是一个不可信平台,图5平台替换攻击,2、但是这种协议容易遭受一种新的攻平台替换攻击。1、合法,2、另一方面，同一用户可以使用不同的计算平台，不同的用户也可以使用同一平台进行连接，这就是的用户与用户所使用的平台之间不存在一一对应的关系。也就是说，用户与平台之间没有绑定关系，不能将两者看作一个整体来处理，这也是TNC架构的设计中没有考虑到的一个安全缺陷。,3、平台替换

15、攻击产生的原因,1、一方面，按照TPM主规范的规定，对于验证平台而言，AIK签名只能说明消息来自一个含有真实TPM芯片的平台，不能证明签名消息的平台就是议定的通信平台；,2、另一方面，同一用户可以使用不同的计算平台，不同的用户也可,4、解决方案-可证明安全的可信网络连接模型,1、针对TNC架构设计上的缺陷，通过协议的巧妙设计可以实现网络访问层与完整性评估层平台之间的动态绑定，从而避免TNC架构缺陷造成的影响。2、可信网络连接协议与传统网络接入认真协议的差别： （1）网络连接设备有所不同。可信的网络连接设备具有TPM（Trusted Platform Module）模块（物理防篡改特性，可以保护

16、敏感数据）。 （2）增加了完整性评估层，该层协议的网络运行环境与传统网络访问层协议的运行环境有所不同。,4、解决方案-可证明安全的可信网络连接模型1、针对TNC架,5、可信网络连接协议的安全目标,1、网络访问层实现用户身份认证，协商处用户之间SK安全的会话密钥，在此基础之上，实现出通信用户实体之间的安全信道。,3、用户与平台之间存在动态授权绑定关系。（对于每一次可信网络连接会话，网络访问层用户都与唯一的完整性评估层平台相对应）,2、完整性评估层在网络访问层安全信道保护下，实现平台身份认证和平台完整性校验。（需要在用户与平台之间建立一种动态的安全绑定关系）,5、可信网络连接协议的安全目标1、网络

17、访问层实现用户身份认证,6、一个可证明安全的可信网络连接协议,1、网络访问层协议采用传统的网络连接技术，通过提出一种新的模型将存在平台替换攻击的完整性报告协议转换成安全的完整性评估层协议。,2、通过绑定器将完整性报告协议编译为协议PSTNCP。,6、一个可证明安全的可信网络连接协议1、网络访问层协议采用传,2022/11/7,在Web Application System（WAS）上应用TNC,structure of web application system确保系统正常运行保护系统和数据不被未被授权的用户使用或篡改,四、基于TNC的web应用,2022/9/27在Web Applicat

18、ion Syst,2022/11/7,在网络开放环境中很难确保安全性我们将WAS进行划分，这样就存在5种类型的安全漏洞：Network system security bug, Operating system security bug,Web server security bug,Database and application program security bug.,2022/9/27在网络开放环境中很难确保安全性,2022/11/7,Web Security Model Based on TNC,Original TNC model cant be applied to Web a

19、pplication. There is not the entity of PEP to deal with all access requests on the internet.there are many online service resources can be accessed by users on the internet,2022/9/27Web Security Model Ba,2022/11/7,SP will provide a completeness inspection to AR. It may lead to expose the detailed in

20、formation.In future, this task may be executed by third-party, and third-party only has one task that is executing completeness inspection of AR.,2022/9/27,2022/11/7,SP is viewed as transparent agent.AR can not prohibit SP from wiretapping these messages. In addition, if SP can execute TNC completen

21、ess inspection on AR, the malicious SP will be able to the policy of ASP and then launch malicious attacks.,2022/9/27,2022/11/7,SP declares its security requirements taken the form of policy, transmits the policy to ASP by ciphertext. This method can reduce the risk of private information exposed.,2

22、022/9/27,2022/11/7,The message flow based on annular validation model,2022/9/27,2022/11/7,This paper presents a kind of web application based on TNC thought and a kind of annular validation model. This method can protect private information and is easy to achieve. This model considers TNC completene

23、ss inspection as a part of the process that Web application identifies AR. In the future, the work will focuses mainly on estimating the performance of this model.,2022/9/27This paper presents a,TNC优点：,指导性：接口定义规范提供了具体的消息流程、XML Schema和相关操作系统和编程语言的绑定开放性: 所有规范都免费面向公众开放系统性： 自身为一个完整的体系结构，每一个相应的接口都具有子规范进行

24、详细定义安全性: 在传统的基于用户身份认证的基础上增加了平台身份认证与完整性验证；,五、TNC的优缺点以及未来的展望,TNC优点：五、TNC的优缺点以及未来的展望,TNC局限性,（1）理论研究滞后（2）局限于完整性（3）单向性的可信评估（4）缺乏安全协议支持（5）缺乏网络接入后的安全保护（6）应用范围具有局限性,TNC局限性（1）理论研究滞后,中国可信网络连接架构,中国可信网络连接架构,引入一个策略管理器作为可信第三方,对访问请求者和访问控制器进行集中管理；网络访问控制层和可信平台评估层执行基于策略管理器为可信第三方的三元对等鉴别协议,实现访问请求者和访问控制器之间的双向用户身份认证和双向平台

25、可信性评估.,引入一个策略管理器作为可信第三方,对访问请求者和访问控制器进,可信网络体系结构研究,目前国际上网络访问控制架构主要为（1）微软的网络访问保护NAP架构、（2）思科的网络访问控制NAC架构（3）思科的网络访问控制TNC架构.这3种结构都基于以下机制:终端接入网络之前,对终端的平台状态进行度量,如果度量结果满足网络接入的安全策略,则允许终端接入网络,否则将终端连接到指定的隔离区域,对其进行安全性修补和升级.,可信网络体系结构研究目前国际上网络访问控制架构主要为,随着可信计算研究的不断深入,目前针对终端的可信性研究必然会拓展到网络中.我们认为将可信计算思想和机制引入到网络中,使得网络成

26、为一个可信的计算环境,将会是后续的研究热点。,5.TNC的发展趋势,随着可信计算研究的不断深入,目前针对终端的可,网络环境比终端更加复杂,需要从理论层面和技术层面同时进行研究。不但需要对可信度量、可信报告等可信计算核心机制进行深入研究，还需要从理论层面，对可信网络环境进行研究，对网络中数据的可信传输与资源的可信共享进行研究。下面对每一个内容进行探讨。,网络环境比终端更加复杂,需要从理论层面和技术,5.1 可信网络环境的理论模型,将可信计算机制引入到网络中，使得网络成为可信的计算环境。 在网络信任模型中,每个节点都有自己的信任度,节点是对等的,都可发起和接受其它节点的信任度量. 在TNC中,节点

27、并非都是对等的,总是存在一个节点作为度量的决策者,其它结点接受该节点的策略决策.,5.1 可信网络环境的理论模型 将可信计算机制,5.2 可信度量与可信报告研究,目前TNC的度量采用的是基于数据完整性度量的方法,虽然可以保证系统的数据完整性,但是并不能完全保证系统的可信性.可信度量应当对系统的可信性(主要是可靠性和安全性)进行度量,而不是只对数据完整性进行度量。,5.2 可信度量与可信报告研究 目前TNC的度,可信度量的一种方法是借鉴采用系统评测的方法.这种方式能够在很大程度上保证系统的正确性. 可扩展的报告协议.目前可信计算规范对于底层安全传输协议进行了规定，应当对可信报告协议进行形式化分析

28、和验证,消除潜在的安全漏洞。,可信度量的一种方法是借鉴采用系统评测的方法.,5.3 可信网络传输与可信资源共享研究,可信传输方面,除了继续采用密码对数据加密和对通信进行认证之外,还可以通过对传输协议进行扩展,为传输的每一个数据报增加可信标签,用于传输路径上的信息定位、服务质量监督等功能.,5.3 可信网络传输与可信资源共享研究 可信传,可信资源共享方面,可以借助传统的访问控制理论和方法、网格的访问控制理论和方法、P2P环境下的访问控制理论和方法以及安全多方计算的理论和方法,并对这些理论与方法进行可信性增强,设计层次化、跨可信域的、基于可信硬件的访问控制方法。,可信资源共享方面,可以借助传统的访

29、问控制,1.马卓, 马剑锋, 李兴华, 姜奇. 可证明安全的可信网络连接协议模型. 计算机学报, 2011, 34(9)2.张焕国, 陈璐, 张立强. 可信网络连接研究. 计算机学报在, 2010, 33(4)3.Yongwei Fu and Xinguang Peng*. Web Application Security Based on Trusted Network Connection*. 4.罗安安, 林闯, 王元卓, 邓法超, 陈震. 可信网络连接的安全量化分析与协议改进. 计算机学报, 2009, 32(5),参考文献,1.马卓, 马剑锋, 李兴华, 姜奇. 可证明安全的可信网络

30、,参考文献,5. Ranganathan Kumar. Trustworthy pervasive computing;: The hard security problem. In: Proceedings of the 2nd IEEE Annual Conference on Pervasive Computing and Communications Workshop, Orlando, FL 2004, 1171216.Algridas A. ,Laprie J.C , Brian R. ,Carl L. Basic concepts and taxonomy of dependab

31、le and secure computing. IEEE Transaction on Dependable and Secure Computing, 2004, 1(1): 11337.邢栩嘉，林闯，蒋屹新。基于网络的计算机脆弱性评估。计算机学报，2004, 27(1): 1118.Nicol D.M., Sanders W.H. ,Trivedi K.S. ,Model_based evaluation: From dependability to security. IEEE Transactions on Dependable and Secure Computing, 2004, 1(1):4865 9.Paulson L. D. Stopping intruders outside the gates. IEEE Computer, 2002, 35(11): 2022,参考文献5. Ranganathan Kumar. Trus,谢谢！,谢谢！,