可信网络连接-TNC课件

1、可信网络连接组长：李晓宇组员：王意、刘阳、肖琪、魏玉凯可信网络连接组长：李晓宇一、TNC背景介绍二、TNC架构介绍三、TNC平台替换攻击及解决方案四、基于TNC的web应用五、TNC的优缺点以及未来的展望目录一、TNC背景介绍二、TNC架构介绍三、TNC平台替换攻击及当前网络面临的问题恶意攻击垃圾邮件计算机病毒不健康资讯一、TNC背景介绍当前网络面临的问题恶意攻击垃圾邮件计算机病毒不健康资讯一网络面临问题的原因根本原因网络本身存在安全漏洞起因网络体系结构的研究主要考虑了如何提高数据传输的效率构成Internet的一些早期网络协议也很少考虑安全问题攻击迅速，容易、廉价的，难于检测和追踪无法避免因

2、素即使网络体系结构设计很完美，设备软硬件在实现过程中的脆弱性也不可能完全避免网络面临问题的原因根本原因网络本身存在安全漏洞起因网络体系结“可信网络”的定义网络系统的行为及其结果是可以预期的行为状态可监测行为结果可评估异常行为可控制“可信网络”的定义网络系统的行为及其结果是可以预期的行为状态可信网络的具体描述可信网络安全性可控性可生存性用户角度保障服务的安全性和可生存性设计角度提供网络的可控性不同于安全性、可生存性和可控性在传统意义上分散、孤立的概念内涵，可信网络将在网络可信的目标下融合这三个基本属性 可信网络的具体描述可信网络安全性可控性可生存性用户角度保障服典型的行为控制方式访问控制：即开放

3、或禁止网络节点对被防护网络资源的全部或部分访问权限,从而能够对抗那些具有传播性的网络攻击攻击预警：即向被监控对象通知其潜在的易于被攻击和破坏的脆弱性,并在网络上发布可信性评估结果,报告正在遭受破坏的节点或服务生存行为：即在网络设施上调度服务资源,根据系统工作状态进行服务能力的自适应调整以及故障的恢复等免疫隔离：即根据被保护对象可信性的分析结果，提供到网络不同级别的接纳服务访问控制主要针对的是防护区域外具有攻击和破坏性的节点及行为免疫隔离是在攻击和破坏行为出现前主动对防护区域内的设施进行处理典型的行为控制方式访问控制：攻击预警：生存行为：免疫隔离：访可信网络三个基本属性的紧密联系的好处可信网络安

4、全体系结构设计：改变传统打补丁、附加的安全供给模式，降低整个信任信息维护链体系结构设计上的脆弱性，支持多样的信任信息采集方式，保障信任信息的可靠有效传播，并能有效协同各种行为控制方式，使其能在可信的目标下得到融合。可信网络三个基本属性的紧密联系的好处可信网络安全体系结构设计可信网络三个基本属性的紧密联系的好处可生存性设计：在系统脆弱性不可避免以及攻击和破坏行为客观存在的状况下，提供资源调度等提高服务生存性的行为控制，提高包括安全服务在内等关键服务的持续能力。可信网络三个基本属性的紧密联系的好处可生存性设计：在系统脆弱可信网络三个基本属性的紧密联系的好处可控性设计：完成对网络节点的监测以及信任信

5、息的采集，根据信任分析决策的结果实施具体的访问接纳和攻击预警等行为控制手段，从而建立起内在关联的异常行为控制体系，结束当前安全系统分散孤立的局面，全面提升对恶意攻击和非恶意破坏行为的对抗能力。可信网络三个基本属性的紧密联系的好处可控性设计：完成对网络节二、TNC架构介绍TNC基础架构包括3个实体、3个层次和若干个接口组件。图1 TNC基本框架图二、TNC架构介绍TNC基础架构包括3个实体、3个层次和若干TNC基础架构3个实体分别是：AR、PEP 和 PDP。ARAccess Requestor访问请求者。PEPPolicy Enforcement Point策略执行点。PDPPolicy De

6、cision Point策略决策点。TNC基础架构3个实体分别是：AR、PEP 和 PDP。TNC基础架构AR包括3个组件：NAR、TNCC和 IMC。NARNetwork Access Requestor-网络访问请求者；主要功能：发出访问请求，申请建立网络连接。TNCC -TNC Client；主要功能：收集完整性度量收集器(Integrity Measurement Collector)的完整性测量信息。IMC-Integrity Measurement Collector-完整性度量收集器；主要功能：测量AR中各个组件的完整性。TNC基础架构AR包括3个组件：NAR、TNCC和 IMC

7、。TNC基础架构PDP包括3个组件:NAA、TNCS、IMV。NAA-NetworkAccess Authority-网络访问授权者；主要功能：对AR的网络访问请求进行决策。TNCS-Trusted Network Connection Server -可信网络连接服务器；主要功能：负责与TNCC之间的通信，收集来自IMV的决策，形成一个全局的访问决策传递给NAA。IMV- Integrity Measurement Verifier-完整性度量验证器；主要功能：将IMC传递过来的AR各个部件的完整性测量信息进行验证，并给出访问决策意见。TNC基础架构PDP包括3个组件:NAA、TNCS、IM

8、V。TNC基础架构实体之间的接口：在TNC架构中存在多个实体，为了实现实体之间的互操作，需要制定实体之间的接口。接口自底向上包括IF-PEP、IF-T、IF-TNCCS、IF-IMC、IF-IMV和IF-M。TNC基础架构实体之间的接口：TNC基础架构3个层次分别是网络访问层、完整性评估层与完整性度量层。网络访问层：支持传统的网络连接技术，如802.1X和VPN等机制。完整性评估层：进行平台的认证,并评估AR的完整性。完整性度量层：收集和校验AR的完整性相关信息。TNC基础架构3个层次分别是网络访问层、完整性评估层与完整性执行过程连接请求：AR发出访问请求,收集平台完整性可信信息,发送给PDP

9、,申请建立网络连接。决策判断：PDP根据本地安全策略对AR的访问请求进行决策判定,判定依据包括AR的身份与AR的平台完整性状态,判定结果为允许/禁止/隔离。决策执行：PEP控制对被保护网络的访问，执行PDP的访问控制决策。执行过程连接请求：AR发出访问请求,收集平台完整性可信信息,TNC具体执行过程图2 TNC具体执行过程TNC具体执行过程图2 TNC具体执行过程TNC具体执行过程1、在进行网络连接和平台完整性验证之前，TNCC需要对每一个IMC进行初始化。同样，TNCS也要对IMV进行初始化。3、接收到NAR的访问请求之后，PEP向NAA发送一个网络访问决策请求。假定NAA已经设置成按照用户

10、认证、平台认证和完整性检查的顺序进行操作。如果有一个认证失败，则其后的认证将不会发生.用户认证可以发生在NAA和AR之间。平台认证和完整性检查发生在AR和TNCS之间。2、当有网络连接请求发生时，NAR向PEP发送一个连接请求。TNC具体执行过程1、在进行网络连接和平台完整性验证之前，TTNC具体执行过程6、假定TNCC和TNCS之间的平台验证成功完成。TNCS通知IMV新的连接请求已经发生，需要进行完整性验证。同时TNCC通知IMC新的连接请求已经发生，需要准备完整性相关信息。IMC通过IF-IMC向TNCC返回IF-M消息。4、假定AR和NAA之间的用户认证成功完成，则NAA通知TNCS有

11、一个连接请求到来。5、TNCS和TNCC进行平台验证。TNC具体执行过程6、假定TNCC和TNCS之间的平台验证成TNC具体执行过程7c、TNCC也要转发来自TNCS的信息给相应的IMC，并将来自IMC的信息发给TNCS。7b、TNCS将每个IMC信息发送给相应的IMV。IMV对IMC信息进行分析，如果IMV需要更多的完整性信息，它将通过IF-IMV接口向TNCS发送信息，如果IMV已经对IMC的完整性信息做出判断，它将结果通过IF-IMV接口发送给TNCS。7a、TNCC和TNCS交换完整性验证相关的各种信息。这些信息将会被NAR、PEP和NAA转发,直到AR的完整性状态满足TNCS的要求。

12、TNC具体执行过程7c、TNCC也要转发来自TNCS的信息给TNC具体执行过程8、当TNCS完成和TNCC的完整性检查握手之后，它发送TNCS推荐操作给NAA。9、NAA发送网络访问决策给PEP来实施。NAA也必须向TNCS说明它最后的网络访问决定，这个决定也将会发送给TNCC。PEP执行NAA的决策,这一次的网络连接过程结束。TNC具体执行过程8、当TNCS完成和TNCC的完整性检查握带有可信平台模块和修补功能的TNC架构 在TNC架构中，平台的完整性状态将直接导致其是否被允许访问网络。如果终端由于某些原因不能符合相关安全策略时，TNC架构还考虑提供终端修补措施。 如果终端不允许连入网络，对

13、其进行修补之后，可以接入网络。带有可信平台模块和修补功能的TNC架构 在TNC架构中带有可信平台模块和修补功能的TNC架构PRAProvisioning & Remediation Application-配置和修补应用程序PRRProvisioning & Remediation Resource-配置和修补资源IF-PTS-Platform Trust Services-平台可信服务接口TSS-Trusted Software Stack-可信软件栈图3 带有可信平台模块和修补功能的TNC架构带有可信平台模块和修补功能的TNC架构PRAProvisi带有可信平台模块和修补功能的TNC架构P

14、RA可以作为AR的一个组成部分，向IMC提供某种类型的完整性信息。PRR作为修补更新资源，能够对AR上某些组件进行更新，使其通过完整性检查。IF-PTS将 TSS的相关功能进行封装，向AR的各个组件提供可信平台的功能，包括密钥存储、非对称加解密、随机数、平台身份和平台完整性报告等。完整性度量日志将平台中组件的度量信息保存起来。带有可信平台模块和修补功能的TNC架构PRA可以作为AR的一带有可信平台模块和修补功能的TNC架构的执行过程如果完整性验证没有通过，AR可以通过PRA来访问PRR，对相关的组件进行更新和修复，然后再次重新执行。更新和修复的过程可能会重复多次直到完整性验证通过。带有可信平台

15、模块和修补功能的TNC架构的执行过程如果完整性验三、平台替换攻击及解决方案 完整性报告协议1、完整性报告协议被用于实现平台身份认证和平台的完整性校验，它基于挑战-应答认证协议：图4完整性报告协议三、平台替换攻击及解决方案1、完整性报告协议被用于实现平台身2、但是这种协议容易遭受一种新的攻平台替换攻击。1、合法用户M希望通过不可信的平台PM介入平台PB，攻击过程如下：2、攻击结果：平台PB认为PM是一个可信平台并且允许其接入，但实际上PM是一个不可信平台图5平台替换攻击2、但是这种协议容易遭受一种新的攻平台替换攻击。1、合法2、另一方面，同一用户可以使用不同的计算平台，不同的用户也可以使用同一平

16、台进行连接，这就是的用户与用户所使用的平台之间不存在一一对应的关系。也就是说，用户与平台之间没有绑定关系，不能将两者看作一个整体来处理，这也是TNC架构的设计中没有考虑到的一个安全缺陷。3、平台替换攻击产生的原因1、一方面，按照TPM主规范的规定，对于验证平台而言，AIK签名只能说明消息来自一个含有真实TPM芯片的平台，不能证明签名消息的平台就是议定的通信平台；2、另一方面，同一用户可以使用不同的计算平台，不同的用户也可4、解决方案-可证明安全的可信网络连接模型1、针对TNC架构设计上的缺陷，通过协议的巧妙设计可以实现网络访问层与完整性评估层平台之间的动态绑定，从而避免TNC架构缺陷造成的影响

17、。2、可信网络连接协议与传统网络接入认真协议的差别： （1）网络连接设备有所不同。可信的网络连接设备具有TPM（Trusted Platform Module）模块（物理防篡改特性，可以保护敏感数据）。 （2）增加了完整性评估层，该层协议的网络运行环境与传统网络访问层协议的运行环境有所不同。4、解决方案-可证明安全的可信网络连接模型1、针对TNC架5、可信网络连接协议的安全目标1、网络访问层实现用户身份认证，协商处用户之间SK安全的会话密钥，在此基础之上，实现出通信用户实体之间的安全信道。3、用户与平台之间存在动态授权绑定关系。（对于每一次可信网络连接会话，网络访问层用户都与唯一的完整性评估层

18、平台相对应）2、完整性评估层在网络访问层安全信道保护下，实现平台身份认证和平台完整性校验。（需要在用户与平台之间建立一种动态的安全绑定关系）5、可信网络连接协议的安全目标1、网络访问层实现用户身份认证6、一个可证明安全的可信网络连接协议1、网络访问层协议采用传统的网络连接技术，通过提出一种新的模型将存在平台替换攻击的完整性报告协议转换成安全的完整性评估层协议。2、通过绑定器将完整性报告协议编译为协议PSTNCP。6、一个可证明安全的可信网络连接协议1、网络访问层协议采用传2022/9/30在Web Application System（WAS）上应用TNC structure of web a

19、pplication system确保系统正常运行保护系统和数据不被未被授权的用户使用或篡改四、基于TNC的web应用2022/9/27在Web Application Syst2022/9/30在网络开放环境中很难确保安全性我们将WAS进行划分，这样就存在5种类型的安全漏洞：Network system security bug, Operating system security bug,Web server security bug,Database and application program security bug.2022/9/27在网络开放环境中很难确保安全性2022/9/3

20、0Web Security Model Based on TNC Original TNC model cant be applied to Web application. There is not the entity of PEP to deal with all access requests on the internet.there are many online service resources can be accessed by users on the internet2022/9/27Web Security Model Ba2022/9/30SP will provi

21、de a completeness inspection to AR. It may lead to expose the detailed information.In future, this task may be executed by third-party, and third-party only has one task that is executing completeness inspection of AR. 2022/9/272022/9/30SP is viewed as transparent agent.AR can not prohibit SP from w

22、iretapping these messages. In addition, if SP can execute TNC completeness inspection on AR, the malicious SP will be able to the policy of ASP and then launch malicious attacks. 2022/9/272022/9/30SP declares its security requirements taken the form of policy, transmits the policy to ASP by cipherte

23、xt. This method can reduce the risk of private information exposed. 2022/9/272022/9/30The message flow based on annular validation model2022/9/272022/9/30This paper presents a kind of web application based on TNC thought and a kind of annular validation model. This method can protect private informa

24、tion and is easy to achieve. This model considers TNC completeness inspection as a part of the process that Web application identifies AR. In the future, the work will focuses mainly on estimating the performance of this model.2022/9/27This paper presents aTNC优点：指导性：接口定义规范提供了具体的消息流程、XML Schema和相关操作系

25、统和编程语言的绑定开放性: 所有规范都免费面向公众开放系统性： 自身为一个完整的体系结构，每一个相应的接口都具有子规范进行详细定义安全性: 在传统的基于用户身份认证的基础上增加了平台身份认证与完整性验证；五、TNC的优缺点以及未来的展望TNC优点：五、TNC的优缺点以及未来的展望TNC局限性（1）理论研究滞后（2）局限于完整性（3）单向性的可信评估（4）缺乏安全协议支持（5）缺乏网络接入后的安全保护（6）应用范围具有局限性TNC局限性（1）理论研究滞后中国可信网络连接架构中国可信网络连接架构引入一个策略管理器作为可信第三方,对访问请求者和访问控制器进行集中管理；网络访问控制层和可信平台评估层执

26、行基于策略管理器为可信第三方的三元对等鉴别协议,实现访问请求者和访问控制器之间的双向用户身份认证和双向平台可信性评估.引入一个策略管理器作为可信第三方,对访问请求者和访问控制器进可信网络体系结构研究目前国际上网络访问控制架构主要为（1）微软的网络访问保护NAP架构、（2）思科的网络访问控制NAC架构（3）思科的网络访问控制TNC架构.这3种结构都基于以下机制:终端接入网络之前,对终端的平台状态进行度量,如果度量结果满足网络接入的安全策略,则允许终端接入网络,否则将终端连接到指定的隔离区域,对其进行安全性修补和升级.可信网络体系结构研究目前国际上网络访问控制架构主要为 随着可信计算研究的不断深入

27、,目前针对终端的可信性研究必然会拓展到网络中.我们认为将可信计算思想和机制引入到网络中,使得网络成为一个可信的计算环境,将会是后续的研究热点。5.TNC的发展趋势 随着可信计算研究的不断深入,目前针对终端的可 网络环境比终端更加复杂,需要从理论层面和技术层面同时进行研究。不但需要对可信度量、可信报告等可信计算核心机制进行深入研究，还需要从理论层面，对可信网络环境进行研究，对网络中数据的可信传输与资源的可信共享进行研究。下面对每一个内容进行探讨。 网络环境比终端更加复杂,需要从理论层面和技术5.1 可信网络环境的理论模型 将可信计算机制引入到网络中，使得网络成为可信的计算环境。 在网络信任模型中

28、,每个节点都有自己的信任度,节点是对等的,都可发起和接受其它节点的信任度量. 在TNC中,节点并非都是对等的,总是存在一个节点作为度量的决策者,其它结点接受该节点的策略决策.5.1 可信网络环境的理论模型 将可信计算机制5.2 可信度量与可信报告研究 目前TNC的度量采用的是基于数据完整性度量的方法,虽然可以保证系统的数据完整性,但是并不能完全保证系统的可信性.可信度量应当对系统的可信性(主要是可靠性和安全性)进行度量,而不是只对数据完整性进行度量。5.2 可信度量与可信报告研究 目前TNC的度 可信度量的一种方法是借鉴采用系统评测的方法.这种方式能够在很大程度上保证系统的正确性. 可扩展的报

29、告协议.目前可信计算规范对于底层安全传输协议进行了规定，应当对可信报告协议进行形式化分析和验证,消除潜在的安全漏洞。 可信度量的一种方法是借鉴采用系统评测的方法.5.3 可信网络传输与可信资源共享研究 可信传输方面,除了继续采用密码对数据加密和对通信进行认证之外,还可以通过对传输协议进行扩展,为传输的每一个数据报增加可信标签,用于传输路径上的信息定位、服务质量监督等功能.5.3 可信网络传输与可信资源共享研究 可信传 可信资源共享方面,可以借助传统的访问控制理论和方法、网格的访问控制理论和方法、P2P环境下的访问控制理论和方法以及安全多方计算的理论和方法,并对这些理论与方法进行可信性增强,设计层次化、跨可信域的、基于可信硬件的访问控制方法。 可信资源共享方面,可以借助传统的访问控制1.马卓, 马剑锋, 李兴华, 姜奇. 可证明安全的可信网络连接协议模型. 计算机学报, 2011