Download
1 / 76
760 likes | 908 Views
第3章 网络防御技术. 指导教师 : 杨建国. 2013年8月10日. 第3章 网络防御技术. 3 .1 安全架构 3 .2 密码技术 3 .3 防火墙技术 3 .4 杀毒技术 3.5 入侵检测技术 3.6 身份认证技术 3.7 VPN技术 3.8 反侦查技术 3.9 蜜罐技术. 3 . 10 可信计算 3 . 11 访问控制机制 3 . 12 计算机取证 3 . 13 数据备份与恢复 3.14 服务器安全防御 3.15 内网安全管理 3.16 PKI网络安全协议 3.17 信息安全评估 3.18 网络安全方案设计.
E N D
第3章 网络防御技术 指导教师:杨建国 2013年8月10日
第3章 网络防御技术 • 3.1 安全架构 • 3.2 密码技术 • 3.3 防火墙技术 • 3.4 杀毒技术 • 3.5 入侵检测技术 • 3.6 身份认证技术 • 3.7 VPN技术 • 3.8 反侦查技术 • 3.9 蜜罐技术 • 3.10可信计算 • 3.11访问控制机制 • 3.12计算机取证 • 3.13数据备份与恢复 • 3.14 服务器安全防御 • 3.15 内网安全管理 • 3.16 PKI网络安全协议 • 3.17 信息安全评估 • 3.18 网络安全方案设计
可信计算技术研究 国家信息化专家咨询委员会委员 沈昌祥 院士
内 容 一、可信计算 二、TCG的动态 三、国内的进展 四、目前存在的一些问题
产生安全事故的技术原因: PC机软、硬件结构简化,导致资源可任意使用,尤其是执行代码可修改,恶意程序可以被植入 病毒程序利用PC操作系统对执行代码不检查一致性弱点,将病毒代码嵌入到执行代码程序,实现病毒传播 黑客利用被攻击系统的漏洞窃取超级用户权限,植入攻击程序,肆意进行破坏 更为严重的是对合法的用户没有进行严格的访问控制,可以进行越权访问,造成不安全事故
为了解决计算机和网络结构上的不安全,从根本上提高其安全性,必须从芯片、硬件结构和操作系统等方面综合采取措施,由此产生出可信计算的基本思想,其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高整体的安全性。为了解决计算机和网络结构上的不安全,从根本上提高其安全性,必须从芯片、硬件结构和操作系统等方面综合采取措施,由此产生出可信计算的基本思想,其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高整体的安全性。
可信是指“一个实体在实现给定目标时其行为总是如同预期一样的结果”。强调行为的结果可预测和可控制。可信是指“一个实体在实现给定目标时其行为总是如同预期一样的结果”。强调行为的结果可预测和可控制。
可信计算指一个可信的组件,操作或过程的行为在任意操作条件下是可预测的,并能很好地抵抗不良代码和一定的物理干扰造成的破坏。可信计算指一个可信的组件,操作或过程的行为在任意操作条件下是可预测的,并能很好地抵抗不良代码和一定的物理干扰造成的破坏。 可信计算是安全的基础,从可信根出发,解决PC机结构所引起的安全问题。
具有以下功能: 确保用户唯一身份、权限、工作空间的完整性/可用性 确保存储、处理、传输的机密性/完整性 确保硬件环境配置、操作系统内核、服务及应用程序的完整性 确保密钥操作和存储的安全 确保系统具有免疫能力,从根本上阻止病毒和黑客等软件的攻击
可信计算平台特性: 定义了TPM TPM = Trusted Platform Module可信平台模块; 定义了访问者与TPM交互机制 通过协议和消息机制来使用TPM的功能; 限定了TPM与计算平台之间的关系 必须绑定在固定计算平台上,不能移走; TPM应包含 密码算法引擎 受保护的存储区域
可信计算终端基于可信赖平台模块(TPM),以密码技术为支持、安全操作系统为核心(如图所示)可信计算终端基于可信赖平台模块(TPM),以密码技术为支持、安全操作系统为核心(如图所示) 安全应用组件 安全操作系统 安全操作系统内核 密码模块协议栈 主 板 可信BIOS TPM(密码模块芯片) 图:可信计算平台
可信平台基本功能: 可信平台需要提供三个基本功能: 数据保护 身份证明 完整性测量、存储与报告
数据保护: 数据保护是通过建立平台屏蔽保护区域,实现敏感数据的访问授权,从而控制外部实体对这些敏感数据的访问。
身份证明: TCG的身份证明包括三个层次: 1)TPM可信性证明 是TPM对其已知的数据提供证据的过程。这个过程通过使用AIK对TPM内部的明确数据进行数字签名来实现。 2)平台身份证明 是指提供证据证明平台是可以被信任的,即被证明的平台的完整性测量过程是可信的。 3)平台可信状态证明 是提供一组可证明有效的平台完整性测量数据的过程。这个过程通过使用TPM中的AIK对一组PCR进行数字签名实现。
完整性的测量、存储与报告 1)完整性测量 完整性测量的过程是:对影响平台完整性(可信度)的平台部件进行测量,获得测量值,并将测量值的信息摘要记入PCR。 测量的开始点称为可信测量根。静态的可信测量根开始于对机器的起始状态进行的测量,如上电自检状态。动态的可信测量根是以一个不被信任的状态变为可信状态的测量作为起始点。
2)完整性存储 完整性存储包括了存储完整性测量值的日志和在PCR中存储这些测量值的信息摘要。 3)完整性报告 完整性报告用于证实完整性存储的内容。 完整性测量、存储和报告的基本原理是:一个平台可能会被允许进入任何状态,但是平台不能对其是否进入或退出了这种状态进行隐瞒和修改。一个独立的进程可以对完整性的状态进行评估并据此作出正确的响应。
TCG定义了7种密钥类型。每种类型都附加了一些约束条件以限制其应用。TCG的密钥可以粗略的分类为签名密钥和存储密钥。更进一步的分类有:平台、身份认证、绑定、普通和继承密钥。对称密钥被单独分类为验证密钥。TCG定义了7种密钥类型。每种类型都附加了一些约束条件以限制其应用。TCG的密钥可以粗略的分类为签名密钥和存储密钥。更进一步的分类有:平台、身份认证、绑定、普通和继承密钥。对称密钥被单独分类为验证密钥。 7种密钥类型如下: 1)签名密钥(Signing Key):非对称密钥,用于对应用数据和信息签名。 2)存储密钥(SK-Storage Key):非对称密钥,用于对数据或其他密钥进行加密。存储根密钥(SRK-Storage Root Key)是存储密钥的一个特例。 3)平台身份认证密钥(AIK-Attestation Identity Key):专用于对TPM产生的数据(如TPM功能、PCR寄存器的值等)进行签名的不可迁移的密钥。
4)签署密钥(EK-Endorsement Key):平台的不可迁移的解密密钥。在确立平台所有者时,用于解密所有者的授权数据和与产生AIK相关的数据。签署密钥从不用作数据加密和签名。 5)绑定密钥(Binding Key):用于加密小规模数据(如对称密钥),这些数据将在另一个TPM平台上进行解密。 6)继承密钥:在TPM外部生成,在用于签名和加密的时候输入到TPM中,继承密钥是可以迁移的。 7)验证密钥:用于保护引用TPM完成的传输会话的对称密钥。
TCG定义了五类证书,每类都被用于为特定操作提供必要的信息。TCG定义了五类证书,每类都被用于为特定操作提供必要的信息。 证书的种类包括: 1)签署证书(Endorsement Credential) 2)符合性证书(Conformance Credential) 3)平台证书(Platform Credential) 4)认证证书(Validation Credential) 5)身份认证证书(Identity or AIK Credential)
2000年12月美国卡内基梅隆大学与美国国家宇航总署(NASA)的艾姆斯(Ames)研究中心牵头,联合大公司成立TCPA。2000年12月美国卡内基梅隆大学与美国国家宇航总署(NASA)的艾姆斯(Ames)研究中心牵头,联合大公司成立TCPA。 2003年3月改组为TCG(Trusted Computing Group),目前国际上(包括中国)已有200多家IT行业著名公司加入了TCG 2003年10月发布了TPM主规范(v1.2) 具有TPM功能的PC机已经上市(IBM、HP等)
应用程序 本地应用 远程应用 服务提供者(TSP) 服务提供者(TSP) 用户进程模式 RPC客户 RPC服务 TSS 核心服务层 (TCS) 系统进程模式 设备驱动库(TDDL) 核心模式 TPM设备驱动 可信平台模块(TPM) 可信平台体系结构
TCG 规范族 TCG主规范系列: 包括主规范、TPM规范。 平台设计规范系列: 个人电脑( PC Platform )、 个人数字助理( PDA Platform )、 无线移动通讯设备(cellular Platform )等 作为可信计算平台的设计规范。 TCG软件栈规范系列: 主要规定了可信计算平台从固件到应用程序的完整的软件栈.
TCG 规范族 TCG主规范 :TCG main Spec v1.1 可信计算平台的普适性规范,支持多平台:PC / PDA TCG PC规范:TCG PC Spec v1.1 可信计算平台的 PC规范 TPM Main Spec v1.2系列 可信计算平台的信任根可信计算模块规范 TSS (TCG Software Stack)v1.1 操作系统上的可信软件接口规范,
已发布的Windows Vista版本全面实现可信计算功能,运用TPM和USBKEY实现密码存储保密、身份认证和完整性验证。 实现了版本不能被篡改、防病毒和黑客攻击等功能。
我国在可信计算技术研究方面起步较早,技术水平不低。在安全芯片、可信安全主机、安全操作系统、可信计算平台应用等方面都先后开展了大量的研究工作,并取得了可喜的成果
早在九十年代,我国就开发了PC机安全防护系统,实现了可信防护,其结构、功能与TCP类同。早在九十年代,我国就开发了PC机安全防护系统,实现了可信防护,其结构、功能与TCP类同。 2000年,瑞达公司开始可信安全计算机的研发工作,2004年,武汉瑞达信息安全产业股份有限公司推出自主知识产权的可信计算机产品,并通过国密局主持的鉴定,鉴定意见明确为“国内第一款可信安全计算平台”。 从2004年开始,瑞达公司可信计算产品结合国家涉密部门、省级党政机关、国家安全部门、公安部门、电子政务系统和电信、电力、金融等国家等领域的业务需求开展应用研究,目前已展开了省级党政机要系统的应用试点工作。
联想公司和中科院计算所也较早的开展了安全芯片和安全计算机的研究工作。联想公司安全芯片的研发工作2003年在国密办立项,2005年4月完成了安全芯片的研制工作,其安全主机产品计划在2005年内推出。其安全芯片和可信PC平台已通过国密局主持的鉴定。联想公司和中科院计算所也较早的开展了安全芯片和安全计算机的研究工作。联想公司安全芯片的研发工作2003年在国密办立项,2005年4月完成了安全芯片的研制工作,其安全主机产品计划在2005年内推出。其安全芯片和可信PC平台已通过国密局主持的鉴定。 兆日公司是我国较早开展TPM芯片研究工作的企业。2005年4月,兆日科技推出符合可信计算联盟(TCG)技术标准的TPM安全芯片,并已经开展了与长城、同方等多家主流品牌电脑厂商的合作。其安全芯片已通过国密局主持的鉴定。
应用集成的企事业单位纷纷提出可信应用框架,如天融信公司的可信网络框架、卫士通公司的终端可信控制系统、鼎普公司的可信存储系统等。应用集成的企事业单位纷纷提出可信应用框架,如天融信公司的可信网络框架、卫士通公司的终端可信控制系统、鼎普公司的可信存储系统等。
1、 理论研究相对滞后 无论是国外还是国内,在可信计算领域都处于技术超前于理论,理论滞后于技术的状况。可信计算的理论研究落后于技术开发。至今,尚没有公认的可信计算理论模型。 可信测量是可信计算的基础。但是目前尚缺少软件的动态可信性的度量理论与方法。 信任链技术是可信计算平台的一项关键技术。然而信任链的理论,特别是信任在传递过程中的损失度量尚需要深入研究,把信任链建立在坚实的理论基础之上。
2、 一些关键技术尚待攻克 目前,无论是国外还是国内的可信计算机都没能完全实现TCG的PC技术规范。如,动态可信度量、存储、报告机制,安全I/O等。
3、 缺少操作系统、网络、数据库和应用的可信机制配套 目前TCG给出了可信计算硬件平台的相关技术规范和可信网络连接的技术规范,但还没有关于可信操作系统、可信数据库、可信应用软件的技术规范。网络连接只是网络活动的第一步,连网的主要目的是数据交换和资源公享,这方面尚缺少可信技术规范。我们知道,只有硬件平台的可信,没有操作系统、网络、数据库和应用的可信,整个系统还是不安全的。
4、可信计算的应用需要开拓 可信计算的应用是可信计算发展的根本目的。目前可信PC机、TPM芯片都已经得到实际应用,但应用的规模和覆盖范围都还不够,有待大力拓展 以网格安全为例
认证 授权 单点登录 使能VO(虚拟组织)的安全 资源之间建立信任关系 屏蔽异构的安全机制 资源的可控共享 共享资源之间的协同 保障联合计算的安全 网格安全应该涵盖的内容
身份认证、可信度量与验证、保密存储 安全密钥存储 TPM是存放密钥的理想场所 使用TPM之间的证书迁移技术替代代理证书链 在TPM中实现一个模块,审计GridMap文件的使用情况,保证其完整性 保护虚拟组织的安全 使用分布式可信链接,使得虚拟组织成为一个信任域 可信计算保障网格安全
第15讲 可信计算 张凯 博士 教授计算机科学技术系电话:62380002邮件:lifo@public.wh.hb.cn
一、可信计算的事故 二、可信计算的重要概念 三、可信计算的发展历程 四、国外可信计算的研究进展 五、我国的可信计算 背景材料
一、可信计算的事故 我们先来举出几个事例说明可信计算技术在传媒界受到的挑战。这些例子当然也是对整个可信计算技术的,但与传媒界特别有关系。 1.1994年,英特尔公司刚刚推出奔腾处理器。一位加拿大的教授发现,奔腾芯片浮点运算有出错的情况。不过,出错概率很小,约在90亿次除法运算中可能出现1次错误。英特尔为此损失了5亿美元。微处理器现在是到处都用,在传媒界就更不用说了。 2.1996年6月4日,欧洲阿丽亚娜5型火箭在首次发射中,由于软件数据转换错误导致火箭发射40秒后爆炸,经济损失25亿美元。
4.2002年9月,覆盖中国全国的鑫诺卫星多次遭到非法电视信号攻击,一再以非法信号持续攻击正常的卫星通信。这也提出了如何从技术上保证传媒可信性的问题。4.2002年9月,覆盖中国全国的鑫诺卫星多次遭到非法电视信号攻击,一再以非法信号持续攻击正常的卫星通信。这也提出了如何从技术上保证传媒可信性的问题。 5.2003年5月,由于飞船的导航软件设计错误,俄罗斯“联盟-TMA1”载人飞船返回途中偏离了降落目标地点约460公里; 6.2003年8月14日,在美国电力系统中,由于分布系统软件运行失效,造成了美国东北部大面积停电,损失超过60亿美元; 7.2005年7月,北京部分地区出现上网中断问题,很多ADSL以及宽带用户断网超过30分钟。通信线路中断故障不时出现。美国1990年一次电话网故障引起整个东部地区电话不通。 8. 2004年9月14日,由于空管软件中的缺陷,美国洛杉矶机场400余架飞机与机场一度失去联系,给几万名旅客的生命安全造成严重威胁;
9.2005年11月1日,日本东京证券交易所由于软件升级出现系统故障,导致股市停摆;9.2005年11月1日,日本东京证券交易所由于软件升级出现系统故障,导致股市停摆; 10.2006年4月20日,中国银联跨行交易系统出现故障,整个系统瘫痪约8小时; 11.2006年6月初我国某验证飞机因软件缺陷坠毁; 12.2006年,中航信离港系统发生了三次软件系统故障,造成近百个机场登机系统瘫痪; 13.据2007年3月5日美国《国防新闻》网站报道,2月11日,12架“猛禽”战机(见图1)从夏威夷飞往日本,在穿越国际日期变更线时出现了软件问题,飞机失去了所有的导航和通讯资料,飞机只能借助目视导航以及基本的无线电通讯手段才得以返航。当时,飞机上的全球定位系统纷纷失灵,多个电脑系统发生崩溃,多次重启均告失败。飞行员们无法正确辨识战机的位置、飞行高度和速度,随时面临着“折戟沉沙”的厄运。最后,他们不得不掉头返航,折回到夏威夷的希卡姆空军基地。
现在网络受到攻击的事件层出不穷,不胜枚举。电视信号偶然中断或不清晰,用户也常有感知。据美国卡内基梅隆大学统计,在互联网上,2001年出现52,655次入侵事件,而2002年前三季度已达73,359次,可见增长速度之快。 现在网络受到攻击的事件层出不穷,不胜枚举。电视信号偶然中断或不清晰,用户也常有感知。据美国卡内基梅隆大学统计,在互联网上,2001年出现52,655次入侵事件,而2002年前三季度已达73,359次,可见增长速度之快。 所有这些问题技术上无非是由于硬设备故障、线路故障、软件故障或人为故障。可信计算技术就是要在有故障的情况下,仍然让系统能正常工作,或者有紧急预案,自动处理。
14. 2008年1月24日,法国兴业银行在一份公开电子邮件声明中自揭家丑:该行旗下巴黎的一名交易员盖维耶尔(Jerome Kerviel)秘密建立了欧洲股指期货相关头寸,此举超出了其职务允许范围,造成兴业银行49亿欧元损失。检察机构指控他“滥用信用”、“伪造及使用虚假文书”以及“侵入数据信息系统”。法兰西银行行长克里斯蒂安·努瓦耶说,盖维耶尔是“计算机天才”,他居然通过了银行“5道安全关”获得使用巨额资金的权限。兴业银行的内控监管机制和信息系统出现了严重的漏洞。。 据报道,自10年前巴林银行事件以来,各家银行都安装了黑匣子,任何款项的操作都有详细记录,所有金融动作都在其严密监控下。然而,为了防止特殊情况发生,一般的银行都有一个后台操作系统,一些数据在后台是可以改动的。这是银行信息系统的漏洞和缺陷。
二、可信计算的重要概念 “可信计算”一词,现在用得相当普遍。因为从字面上看是很诱人的。但含义有差别。有人叫TrustedComputing,Trustworthy Computing,也有人叫Dependable Computing。公司在他的某一批产品中,加入了某些提高系统可靠性、可用性和安全性的措施,他可以说“我这是一个可信的产品”。但是,学术界把可信计算(Dependable Computing)定义为“系统提供可信赖的计算服务的能力,而这种可信赖性是可以验证的”。这就是说,你必须用某种方法来验证你的系统是可信赖的。这就困难了。我们知道,法律对于人有所谓“无罪认定原则”,就是说,除非有证据证明某人有罪,否则他就是无罪的。而对于可信系统,我们执行的是“有错认定原则”。那就是说,用户可以对系统设计者和制造者说,除非你有足够的证据证明你的系统是可信的,否则我就认为你的系统是不可信的。
