增强的无线TNC证实模型及协议设计

可信计算技术为解决无线安全问题提供了一个新的思路,无线可信接入是无线网络安全领域的研究热点。目前的可信网络连接(TNC)架构并不能够很好适应无线接入环境。通过分析TNC架构的不足,提出一种增强的无线TNC证实模型并设计模型下的相关协议。通过分析,该模型有较高安全性和效率,具有一定的匿名性,适合于无线接入环境,同时能够兼容不含可信芯片的无线终端接入。

TNC构架及其扩展分析

本文首先对TNC作了简要介绍,对TNC1.2版的结构和组成做了详细的分析,并根据其不足对原有的结构进行扩展,增加了最新的可信网络连接协议IF-MAP,执行这项新协议的产品能够在标准化和互操作方面拥有更多的网络安全意识,进一步完善了TNC的结构.

基于TNC的网络终端认证模型设计

针对可信计算平台终端在网络连接认证时存在的安全隐患,提出一个基于可信网络连接框架的网络终端认证模型TNTAM。该模型通过加入身份认证系统模块、信息访问鉴别模块IADM和引入策略管理器来加强终端认证的安全性,实现了用户、改进的认证智能卡以及可信终端三者间的相互认证,并确保了可信终端请求网络服务的可信性和通信安全。对TNTAM模型的具体应用流程进行了设计。最后对比分析表明,该模型减小了可信终端在网络认证时存在的安全隐患并为加强终端认证安全提供了一种思路。

基于TNC架构的可信USB存储设备管理研究

网络和移动存储设备是传播安全威胁的两个主要途径。文章介绍了TNC的体系结构和设计原理,并对TNC进行扩充,给出了一种可信USB存储设备管理方案,与TNC架构结合在一起,形成了更为完善的可信体系,从源头上阻止了网络和移动存储设备带来的安全威胁。

基于信任行为感知的WSN主动识别安全算法

在无线传感器网络中,为了解决恶意节点通过伪装窃取数据,造成WSN中敏感信息丢失问题,提出了一种基于可信连接架构的安全访问模型。通过引入调节因子和挥发因子可以自适应调整节点历史信任值对综合信任度的影响,阻止恶意节点通过群体欺诈获取信任值,同时设置节点最低信任阈值,以防止节点受到虚假转发数据、拒绝转发数据的影响。利用主动识别策略识别网络中可能存在的信任攻击,进一步提高模型的安全性。结果表明:该方法可以对网络中的信任攻击行为进行有效地识别,从而提升了对恶意结果的检测率和恶意节点的识别速度;能有效降低节点时延,减少网络丢包,延长生命周期。

基于802．1X的可信网络连接技术

网络访问控制技术能有效防止不安全终端对网络的威胁。该文介绍网络访问控制技术的研究现状,针对其实现中存在的问题,提出基于802.1X的可信网络连接模型,给出网络连接的认证流程及终端隔离技术的实现方法。实验结果表明,该模型可以保证终端的可信接入,并对不安全终端进行隔离和修复。

数据摆渡在安全移动存储中的应用研究

当前针对移动存储设备的信息安全防护需求非常迫切,防止移动设备中的隐秘信息泄露问题尤其突出。采用可信网络接入(TNC)架构,基于数据摆渡技术实现对移动存储设备的可信域接入认证和数据文件在移动存储设备中的无协议摆渡,同时加入基于指纹识别的身份认证和用户对单个文件的操作授权机制来进一步提高移动存储的整体安全性。

基于可信网络连接的数据采集系统访问控制模型

引入可信网络连接的概念,设计了一种基于可信度和角色的集成的访问控制模型。并结合实例,对该访问控制模型在数据采集系统中的应用进行了介绍,以解决基于通用PC控制以及Internet接入的数据采集系统所面临的潜在安全性问题。

可信计算在VPN中的应用

对虚拟专用网VPN进行了研究。VPN使用户远程办公成为可能,但是VPN不能认证主机的配置,入侵者通过有VPN访问权限的主机获得非法的访问权限,使得终端不安全,同时相应的使网络接入也不安全。可以利用可信计算技术解决这些问题,其中可信平台模块通过绑定密钥认证VPN完整性,而可信网络连接认证网络连接安全性,以确保终端、网络接入和通信的安全可信。

基于TPM的移动终端接入可信网络体系结构

在介绍当前可信体系结构研究进展的基础上,提出一种基于TPM芯片的移动终端接入可信网络体系结构,给出其工作流程,并对此体系结构进行分析。分析结果表明,基于TPM的移动终端接入可信网络体系结构能够完成三元对等认证,将移动终端的可信扩展到了网络的可信,为可信移动网络的下一步研究提供了思路。

一种适于高可靠环境的可信网络构建方法

为了保证网络接入终端的可信性和网络安全,结合可信网络连接技术以及高可用(HA)集群思想,提出了一种适于高可靠环境的可信网络构建方法。该方法在终端接入网络时,会根据平台身份是否合法,软件版本是否符合标准,是否接入了非法外设,以及网络端口的状态等安全属性进行可信准入判定,同时服务器端和客户端采用双冗余热备方式,提高系统的可靠性。实验测试表明,该方法能够成功实现服务的可信切换和终端的可信接入控制。

可信网络接入认证协议的设计与分析

随着对TNC应用和研究的不断深入,其架构自身的安全性问题也逐渐成为人们所关注的焦点。在分析了TNC架构存在局限性的基础上,提出了一种新的基于TNC规范的网络接入认证协议,在服务器端和客户端安全协商会话密钥的前提下实现了通信双方的双向身份认证和双向平台认证,在提高认证效率的同时使得整个认证过程更为安全可靠。最后,对协议进行了安全性分析,并给出了协议的安全性验证过程,分析结果表明该接入认证协议能够达到预期的安全目标。

网络访问控制技术及其应用分析

从工程应用的角度对网络访问控制(NAC)技术进行总结和分析,对802.1x,TNC,NAP进行了技术框架总结。基于开放性、兼容性、适应性,对以上技术的工程应用进行了分析。802.1x、网关、防火墙、虚拟专用网(VPN)等4种策略执行技术的选择和实现是NAC系统设计的关键。最后总结了NAC选型和设计需要重点关注的内容。

802.1x协议安全量化分析的数学模型

网络访问控制技术能有效防止不安全终端对网络的威胁。作为一种可信网络连接协议,802.1x本身就具有安全性问题。首先建立基于半马尔可夫过程的随机模型,然后针对认证过程中存在的安全漏洞和威胁进行安全量化分析,最后推算出具体的安全性指标。

IF-MAP协议在可信网络中的应用研究

通过深入研究IF-MAP协议的数据模型和操作模型,阐述了其在TNC新的可信网络连接架构中所起的关键作用。对基于IF-MAP协议的可信网络原型系统进行了设计,在原型系统中实现了可信网络连接组件与传统网络安全设备之间的信息交换与共享,并给出IF-MAP协议在防火墙上的设计与实现方案。

一种基于可信平台模块的可信网络模型

针对网络中可信模型的建立问题,在现有可信计算理论、可信网络接入技术基础上,提出一种基于可信平台模块安全芯片的可信网络模型。该模型从终端建立可信链并将其传递到网络中,给出模型的架构及信息流分析,对信任度的度量进行形式化计算。性能分析结果显示,该网络模型具有较强的健壮性和较高的可信度。

可信网络接入认证系统设计

可信网络连接是可信平台应用的扩展,也是可信计算与网络接入控制机制的结合。阐述了基于802.1X协议的可信网络接入认证过程,基于可信计算平台、可信网络连接和访问控制技术实现了一种可信网络接入认证系统设计。该系统根据制定的安全策略,对所有申请接入内网的主机进行身份验证和完整性校验,拒绝了不安全主机接入,从而保障了内网安全。

可信网络连接的容侵模型及安全协议研究

目前的TNC架构存在着多个方面的局限性,这些局限性限制了TNC架构的应用场景。针对TNC架构缺乏入侵处理的缺陷,为了提高TNC架构的可靠性,使其在被入侵的情况下依然正确地完成认证,提出了一种容忍入侵的冗余服务器模型并设计了服务器集群内部的安全协议。在安全的服务器无法被黑客篡改签名的密码学假设下,模型采用服务器集群替代单点认证服务器。集群里的服务器同步完成认证,并通过多轮信息交换确定安全服务器的范围,再由安全服务器协商选举出代表服务器。代表服务器将最终认证结果交付给接入执行点。安全性分析和效率分析比较表明,模型使可信网络接入架构的可靠性明显提高,在完成安全目标的同时产生的时间开销可以被接受。

改进的可信网络连接机制

针对传统可信网络中存在会话密钥协商过程易受中间人攻击的不足,提出改进的可信网络连接机制。该机制基于椭圆曲线Diffie-Hellman(ECDH)算法实现会话密钥的安全协商,用户与节点使用私钥和随机数完成会话密钥的计算。分析表明改进的密钥协商协议具有抗中间人攻击、高效性等特点,会话密钥具有前向安全性及较强的新鲜性和保密性。

可信网络连接架构TCA的实现及其应用

随着计算机网络的深度应用,最突出的威胁是:恶意代码攻击、信息非法窃取、数据和系统非法破坏,其中以用户秘密信息为目标的恶意代码攻击超过传统病毒成为最大安全威胁,这些安全威胁的根源在于缺乏体系架构层次的计算机的恶意代码攻击免疫机制,导致无法实现计算网络平台安全、可信赖地运行.可信网络连接是在此背景下提出的一种技术理念,它通过建立一种特定的完整性度量机制,使网络接入时不仅对用户的身份进行鉴别,还可提供对平台鉴别,就是基于平台完整性评估,具备对不可信平台的程序代码建立有效的防治方法和措施.根据我国已有的可信网络连接国家标准,给出可信连接架构TCA的实现及其相关的支撑技术,最后探讨了可信连接架构TCA技术的应用范围.