1可信網(wǎng)絡(luò)2目錄背景可信網(wǎng)絡(luò)定義可信網(wǎng)絡(luò)關(guān)鍵技術(shù)可信網(wǎng)絡(luò)連接架構(gòu)擴(kuò)展：擴(kuò)展一、LEP問題的解決思路擴(kuò)展二、基于用戶行為預(yù)測的博弈控制機(jī)制3`背景網(wǎng)絡(luò)安全問題惡意攻擊、垃圾郵件、計(jì)算機(jī)病毒、不健康資訊……例如：“震蕩波”、“網(wǎng)絡(luò)天空”、“尼姆達(dá)”、“SQL蠕蟲”現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)防火墻、入侵檢測、病毒防范等功能單一，只能對抗已知攻擊被動(dòng)防御，未能解決脆弱性的本質(zhì)問題無法應(yīng)對應(yīng)對具有多樣、隨機(jī)、隱蔽、傳播等特點(diǎn)的攻擊行為4`背景可信網(wǎng)絡(luò)的由來現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)的不足互聯(lián)網(wǎng)設(shè)計(jì)最初側(cè)重點(diǎn)是效率，而不是安全實(shí)現(xiàn)代價(jià)大對網(wǎng)絡(luò)性能影響大使網(wǎng)絡(luò)變得臃腫可信網(wǎng)絡(luò)5`可信網(wǎng)絡(luò)定義一個(gè)可信的網(wǎng)絡(luò)應(yīng)該是網(wǎng)絡(luò)系統(tǒng)的行為及其結(jié)果是可以預(yù)期的,能夠做到行為狀態(tài)可監(jiān)測,行為結(jié)果可評估,異常行為可控制。（定義來源：可信網(wǎng)絡(luò)研究_林闖）可信性包括的屬性從用戶的角度需要保障服務(wù)的安全性和可生存性從設(shè)計(jì)的角度需要提供網(wǎng)絡(luò)的可控性6`可信網(wǎng)絡(luò)關(guān)鍵技術(shù)訪問控制技術(shù)自主訪問控制、強(qiáng)制訪問控制、基于角色的訪問控制認(rèn)證技術(shù)Kerberos技術(shù)、Set技術(shù)審計(jì)技術(shù)數(shù)字摘要、數(shù)字簽名、數(shù)字證書……信任模型7可信網(wǎng)絡(luò)連接（TNC）TNC的發(fā)展2004年，TCG成立了可信網(wǎng)絡(luò)連接分組2005年，發(fā)布v1.0，確定了TNC的核心2006年，發(fā)布v1.1，添加完整性度量模型……TNC的宗旨將終端的可信狀態(tài)延續(xù)到網(wǎng)絡(luò)中，使信任鏈從終端擴(kuò)展到網(wǎng)絡(luò)8TNC的相關(guān)知識(shí)TNC是網(wǎng)絡(luò)接入控制的一種實(shí)現(xiàn)方式，是一種主動(dòng)的防御方法TNC是對可信平臺(tái)應(yīng)用的擴(kuò)展，也是可信計(jì)算機(jī)制與網(wǎng)絡(luò)接入控制機(jī)制的結(jié)合9TNC架構(gòu)包括三個(gè)實(shí)體、三個(gè)層次和多個(gè)接口組件實(shí)現(xiàn)對接入平臺(tái)的身份驗(yàn)證和完整性驗(yàn)證10TNC架構(gòu)訪問請求者（AR）AR發(fā)送訪問請求，收集平臺(tái)完整性可信信息，發(fā)送給PDP，申請建立網(wǎng)絡(luò)連接AR的三個(gè)組件網(wǎng)絡(luò)訪問請求者（NAR）TNC客戶端（TNCC）完整性度量收集器（IMC）11TNC架構(gòu)策略決定點(diǎn)（PDP）PDP根據(jù)本地安全策略對AR的訪問請求進(jìn)行決策判定（AR的身份、AR的平臺(tái)完整性狀態(tài)），結(jié)果為允許/禁止/隔離PDP的三個(gè)組件網(wǎng)絡(luò)訪問授權(quán)者（NAA）TNC服務(wù)器（TNCS）完整性度量驗(yàn)證器（IMV）12TNC架構(gòu)具有可信平臺(tái)和修補(bǔ)功能PRAPRR13TNC架構(gòu)PRA可以作為AR的一個(gè)組成部分,向IMC提供某種類型的完整性信息PRR更新AR上的某些組件，使其通過完整性檢查IF-PTS將TSS的相關(guān)功能進(jìn)行封裝，向AR提供可信平臺(tái)的功能秘鑰存儲(chǔ)、非對稱加解密、隨機(jī)數(shù)、平臺(tái)身份和完整性報(bào)告……步驟0：TNCC和TNCS分別對IMC和IMV初始化步驟1：NAR向PEP發(fā)送一個(gè)連接請求14TNC基本流程步驟2：PEP向NAA發(fā)送一個(gè)網(wǎng)絡(luò)訪問決策請求步驟3：假設(shè)AR和NAA之間的用戶認(rèn)證成功完成

則NAA通知TNCS有一個(gè)連接請求到來15TNC基本流程步驟4：TNCS和TNCC進(jìn)行平臺(tái)驗(yàn)證步驟5：TNCC通知IMC新的連接請求已發(fā)生，需要準(zhǔn)備完

整性相關(guān)信息；TNCS通知IMV需要進(jìn)行完整性驗(yàn)證。16TNC基本流程步驟6A：TNCC和TNCS交換完整性驗(yàn)證相關(guān)的各種信息步驟6B：TNCS將每個(gè)IMC信息發(fā)送給相應(yīng)的IMV,

IMV對IMC的完整性信息做出判斷，并將結(jié)果通

過IF-IMV接口發(fā)送給TNCS17TNC基本流程步驟6C：TNCC也要轉(zhuǎn)發(fā)來自TNCS的信息給相應(yīng)的IMC, 并將IMC的信息發(fā)給TNCS步驟7：TNCS與TNCC的完整性檢查握手完成之后，發(fā)送

推薦操作給NAA18TNC基本流程步驟8：NAA發(fā)送網(wǎng)絡(luò)訪問決策給PEP來實(shí)施在完整性驗(yàn)證沒有通過的情況下，AR可以通過PRA來訪問PRR，對相關(guān)的組件更新修復(fù)之后重新執(zhí)行19TNC基本流程20TNC支撐技術(shù)網(wǎng)絡(luò)訪問技術(shù)主要包括802.1X、虛擬專用網(wǎng)VPN、點(diǎn)對點(diǎn)協(xié)議PPP安全的信息傳輸技術(shù)可擴(kuò)展認(rèn)證協(xié)議HTTP協(xié)議、HTTPSTLS用戶身份認(rèn)證技術(shù)TNC沒有強(qiáng)制使用任何協(xié)議，但可以利用現(xiàn)有的RADIUS協(xié)議和Diameter協(xié)議21TNC架構(gòu)分析TNC是一個(gè)開放的、支持異構(gòu)環(huán)境的網(wǎng)絡(luò)訪問控制架構(gòu)，同時(shí)兼顧安全性和兼容性優(yōu)點(diǎn)：開放性安全性指導(dǎo)性系統(tǒng)性22TNC架構(gòu)分析局限性：理論研究滯后局限于完整性缺乏安全協(xié)議支持缺乏網(wǎng)絡(luò)接入后的安全保護(hù)應(yīng)用范圍具有局限性23擴(kuò)展一擴(kuò)展一LEP問題的解決思路24擴(kuò)展一LEP問題的解決思路：背景模型算法分析25背景LEP（lyingendpointproblem）問題當(dāng)終端上安裝的代理軟件被黑客替換為惡意軟件，惡意軟件每次都會(huì)偽造不真實(shí)的信息，TNC就開始失效，導(dǎo)致整個(gè)系統(tǒng)不再可信。26模型用DRTM（動(dòng)態(tài)可信根節(jié)點(diǎn)檢測）技術(shù)和基于NAC（NetworkAccessControl）框架的改進(jìn)的終端平臺(tái)驗(yàn)證機(jī)制。27模型終端代理組件的可信性：確認(rèn)終端的代理軟件沒有被惡意軟件修改，并且收集的信息可以真實(shí)的反應(yīng)終端平臺(tái)。小型TCB：越大bug越多，bug越多越危險(xiǎn)，我們使用小型TCB來保護(hù)代理軟件有效的認(rèn)證：遠(yuǎn)端是可信的，檢測軟件未被修改，并且收到的檢測結(jié)果是可信的1，3點(diǎn)避免LEP攻擊2避免大規(guī)格TCB問題28模型--NAC系統(tǒng)的組件客戶端（PCLaptop等）NAC管理系統(tǒng)（NACMS）保護(hù)網(wǎng)絡(luò)資源不被為認(rèn)證或非法訪問。平臺(tái)可信性管理系統(tǒng)（PIMS）保存相關(guān)平臺(tái)的標(biāo)準(zhǔn)檢測值。受保護(hù)的網(wǎng)絡(luò)資源（PNR）29算法客戶端C向NACMS請求資源PNRNACMS接受請求后生成隨機(jī)數(shù)N并發(fā)送給CC在接受到N之后運(yùn)行NACA，NACA開始檢測收集平臺(tái)可信狀態(tài)，C將收集結(jié)果發(fā)個(gè)NACMSNACMS將收集的結(jié)果發(fā)給PIMSPIMS和先前的定義的政策比較并存儲(chǔ)標(biāo)準(zhǔn)之，根據(jù)對比結(jié)果來做出決定，并反饋給NACMS根據(jù)受到的決定，NACMS決定是否給C訪問PNR30算法看上述的步驟，我們只要控制C比如說把NACA換成攻擊者的代碼，LEP攻擊就完成了LEP發(fā)生是由于傳統(tǒng)的終端配置不能保證NACA的安全性和可信性，所以我們需要特殊的終端配置，并且設(shè)計(jì)新的認(rèn)證步驟。31算法C發(fā)送PNR請求給NACMSNACMS生成隨機(jī)數(shù)N并發(fā)送給C做認(rèn)證終端接受到隨機(jī)數(shù)N后，C開始用最新加載技術(shù)加載可信的運(yùn)行環(huán)境，C的操作系統(tǒng)加載代碼保護(hù)層NACVisor并且拓展NACVisor的檢測到TPM的動(dòng)態(tài)平臺(tái)配置注冊機(jī)（dPCRs），用這種方法我們可以確保NACVisor的安全性和可信性。最新加載技術(shù)可以給NACVisor和NACA提供一個(gè)獨(dú)立的運(yùn)行環(huán)境，在NACVisor調(diào)用NACA代碼前先測試NACA的代碼并推送檢測值給動(dòng)態(tài)平臺(tái)注冊機(jī)，為了保持認(rèn)證的新鮮度，我們同時(shí)需要推送隨機(jī)數(shù)N給dPCRs，然后NACA收集平臺(tái)可信信息并生成NACA_output，將NACA_output推送給dPCRs以防止在離開保護(hù)環(huán)境后被修改。NACVisor廣播EOL給dPCRs來結(jié)束最新加載的會(huì)話并返回NACA_output給C。C注冊一個(gè)dPCRs值并將簽名和NACA_output以及身份認(rèn)證證書（AIK）發(fā)送給NACMSNACMS檢查收到的信息：根據(jù)給定的檢查AIK證書認(rèn)證公鑰（EK公鑰）并確保他來自真正的TPM驗(yàn)證簽名并拿dPCRs的內(nèi)容和期望值匹配（因?yàn)镹ACMS中存有標(biāo)準(zhǔn)的NACVisor和NACA，很容易計(jì)算期望值）驗(yàn)證成功則將NACA_output發(fā)送給PIMS驗(yàn)證，獲取決定根據(jù)相應(yīng)的決定來給C一個(gè)mark（allowordeny）根據(jù)mark給CPNR的訪問權(quán)32算法33分析終端代理組件的可信性：我們通過最新加載技術(shù)建立了受保護(hù)的運(yùn)行環(huán)境，并且推送NACVisor和NACA的測試值給TPM保護(hù)的dPCRs，任何對NACVisor和NACA的改動(dòng)都是可以偵測的，同時(shí)，在dPCRs中的NACA_output也會(huì)通過完整性驗(yàn)證。34分析小型TCB:TPM,DRTM,NACVisor,NACATrustChain(ImprovedSolution)TPM->BIOS->BootLoader->OS->NACATPM->NACVisor->NACA35分析有效的認(rèn)證：TPM中的私鑰是不泄露的，所以沒人能仿造TPM的簽名證書，所以NACMS可以完全信任TPM和dPCRs也就是說，NACMS確認(rèn)在C上運(yùn)行的就是NACA和NACVisor的代碼，并且NACA_output就是真實(shí)的完整性狀態(tài)36分析代碼替換代碼漏洞重用攻擊37擴(kuò)展二擴(kuò)展二基于用戶行為預(yù)測的博弈控制機(jī)制38擴(kuò)展二基于用戶行為預(yù)測的博弈控制機(jī)制背景模型算法示例39`背景加強(qiáng)用戶端可信原因用戶端的重要性用戶端的脆弱性加強(qiáng)用戶端的可信是可信網(wǎng)絡(luò)的重要內(nèi)容之一40`背景加強(qiáng)用戶端可信方法身份信任授權(quán)和認(rèn)證行為信任劃分行為信任等級，基于過去交往的行為證據(jù)進(jìn)行預(yù)測將預(yù)測結(jié)果和博弈分析相結(jié)合找出納什均衡策略41模型貝葉斯網(wǎng)絡(luò)信任的定義是籠統(tǒng)的將綜合的、籠統(tǒng)的用戶行為信任分解為若干行為信任屬性混合納什均衡策略利益得失博弈策略42模型模型圖步驟1：用戶請求訪問服務(wù)步驟2：服務(wù)提供者將用戶的身份信息提交給用戶身份信任代理進(jìn)行身份信任的確認(rèn)43模型步驟3：驗(yàn)證代理將驗(yàn)證的結(jié)果返回服務(wù)提供者步驟4：如果身份驗(yàn)證錯(cuò)誤，則服務(wù)提供者拒絕訪問，否則提交給用戶信任管理中心44模型步驟5：管理中心把用戶行為信任的預(yù)測提交給行為信任預(yù)測代理提供者步驟6：行為信任預(yù)測代理訪問用戶行為信任數(shù)據(jù)統(tǒng)計(jì)數(shù)據(jù)庫45模型步驟7：管理中心返回以往用戶行為信任的統(tǒng)計(jì)數(shù)據(jù)步驟8A,8B：行為信任預(yù)測代理將預(yù)測的結(jié)果同時(shí)遞交行為信任決策代理和管理中心46模型步驟9：管理中心把用戶行為的決策提交給基于行為信任的決策代理步驟10：決策代理在預(yù)測的基礎(chǔ)上進(jìn)行博弈分析與決策，并將決策結(jié)果返回給管理中心47模型步驟11：管理中心將基于用戶行為信任的決策結(jié)果返回給服務(wù)提供者步驟12：服務(wù)提供者最終決定是否接受還是拒絕用戶的請求48模型49算法基于貝葉斯網(wǎng)絡(luò)的多條件下的用戶行為信任的預(yù)測基本概念一個(gè)用戶行為信任預(yù)測的貝葉斯基本網(wǎng)絡(luò)模型是一個(gè)有向無環(huán)圖50算法

……51算法

52算法

53算法基于用戶安全行為信任屬性的博弈分析實(shí)例實(shí)例符號說明雙方利益的得失分析混合策略的納什均衡54實(shí)例電子資源訂閱服務(wù)（學(xué)校和數(shù)據(jù)庫服務(wù)提供商）55符號說明

56符號說明

57雙方利益得失分析

58