基于平臺完整性的接入控制技術(shù)研究.pdf_第1頁
已閱讀1頁,還剩107頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、目前網(wǎng)絡(luò)一些新的安全問題逐步嚴(yán)重。這其中首當(dāng)其沖的就是僵尸網(wǎng)絡(luò),據(jù)CNCERT(國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心)的統(tǒng)計數(shù)據(jù),2009年,CNCERT監(jiān)測到境內(nèi)被僵尸網(wǎng)絡(luò)控制的主機IP共83.7萬余個。但這僅僅是冰山的一角。有更多的僵尸主機潛伏在網(wǎng)絡(luò)中,構(gòu)成極大威脅。
   僵尸網(wǎng)絡(luò)的猖獗,很大的一個原因是因為用戶終端系統(tǒng)比較薄弱。因此對端點的統(tǒng)一管理、控制已經(jīng)成為安全防護技術(shù)的一個熱點。本文所研究的接入控制技術(shù)就是一種代表性

2、的端點防護方案。其基本思路是,網(wǎng)絡(luò)服務(wù)器對要求接入網(wǎng)絡(luò)的端點進行安全評估,評估的依據(jù)是根據(jù)客戶端代理所搜集到的平臺信息(反病毒軟件安裝情況、操作系統(tǒng)補丁情況等等)。
   在對端點進行安全狀態(tài)評估的時候,平臺完整性作為一種特殊的安全狀態(tài),開始變得越來越重要。所謂平臺完整性即被評估端點的軟硬件平臺不被改動,從而防止在根本上被攻擊者所掌握。這種技術(shù)由于可信計算的普及,開始變得有實際應(yīng)用的可能。本論文的研究成果圍繞基于平臺完整性認(rèn)證的

3、接入控制技術(shù)展開,主要結(jié)合了電信場景下家庭基站對平臺完整性認(rèn)證的需求,可以分為三個方面的工作:
   1.電信設(shè)備可信環(huán)境的研究
   可信環(huán)境主要用來保證發(fā)送給服務(wù)器驗證的平臺完整性認(rèn)證信息的真實性和完整性。這部分內(nèi)容可以細(xì)分為兩個方面:
   提出適合于電信設(shè)備(家庭基站)的TrE(安全環(huán)境)邏輯架構(gòu)。該架構(gòu)參考TCG的可信平臺技術(shù)體系,結(jié)合Femtocel l家庭基站片上系統(tǒng)的特點,使得該架構(gòu)能夠滿足現(xiàn)網(wǎng)中

4、在Femtocell上實現(xiàn)安全存儲、安全啟動、遠(yuǎn)程平臺完整性認(rèn)證三個具體技術(shù),基本滿足3GPP對TrE的技術(shù)需求。
   對基于TrustZone技術(shù)的TrE實現(xiàn)、基于TPM的TrE實現(xiàn)進行了探討。從家庭基站片上系統(tǒng)硬件結(jié)構(gòu)的角度,初步研究了實現(xiàn)TrE邏輯功能的物理方式。并給出了簡要的安全性和可行性分析。
   2.遠(yuǎn)程平臺完整性認(rèn)證協(xié)議的研究
   平臺完整性信息需要通過相應(yīng)的協(xié)議傳送到遠(yuǎn)端的服務(wù)器進行驗證,這

5、其中包括一系列的認(rèn)證方式與認(rèn)證消息,以及對現(xiàn)網(wǎng)認(rèn)證協(xié)議的適配。具體的技術(shù)點是:
   提出一種安全增強的平臺完整性認(rèn)證模式。首先,本文分析了現(xiàn)有遠(yuǎn)程平臺完整性認(rèn)證協(xié)議是一個對現(xiàn)有遠(yuǎn)程認(rèn)證協(xié)議(TLS-Attestation)的安全問題,主要是其不能防范MiTM(Man in The Middle,中間人攻擊)攻擊,因為認(rèn)證過程中的SSL/TLS握手協(xié)議和里面承載的平臺完整性認(rèn)證信息是獨立的。根據(jù)這個安全缺陷,本文提出一種安全增強

6、的認(rèn)證模式,通過引入TPM的Quote操作,把遠(yuǎn)程完整性認(rèn)證協(xié)議和SSL/TLS握手協(xié)議集成到了一塊,它可以防止攻擊者把自己的惡意代碼配置仿冒成正常的配置信息。
   設(shè)計適用于電信設(shè)備的遠(yuǎn)程完整性認(rèn)證協(xié)議。本文介紹了在LTE電信網(wǎng)場景下,家庭基站所面臨的安全威脅,并且闡述其對接入控制的需求。由于電信設(shè)備基于嵌入式的設(shè)計,與開放的PC架構(gòu)大不相同,因此對其接入控制主要集中在認(rèn)證其平臺完整性。本文分別從家庭基站需要度量的內(nèi)容、以及

7、完整性信息如何傳送給服務(wù)器端兩個方面進行了相應(yīng)的協(xié)議設(shè)計和適配。其中的部分成果已經(jīng)作為TCG組織TNC工作組的標(biāo)準(zhǔn)開發(fā)項目“IF-M for Telecom。
   3.網(wǎng)絡(luò)側(cè)接入控制聯(lián)動技術(shù)研究
   為了更好地對終端進行接入控制,網(wǎng)絡(luò)側(cè)可以引入設(shè)備的聯(lián)動,從而使得對終端狀態(tài)的認(rèn)知更加全面。具體的技術(shù)點如下:
   提出一種基于角色的安全設(shè)備聯(lián)動通用模型。該模型把網(wǎng)絡(luò)側(cè)設(shè)備的聯(lián)動問題抽象成設(shè)備之間“安全相關(guān)信息

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論