可信在网络安全中的应用研究.pdfVIP

j研究与探讨L 可信在网络安全中的应用研究 王丽芳 瑞迭信息安全产业股份有限公司 李旭 北京交通大学 【摘要】文章以可信计算平台为基础，借鉴TCG的可信网络连接技术规范。将活性标签、安全隔离、不 对等访问控制、自适应的应用代理技术，应用到安全组网的设计方案中，初步设计出可信网络模型，以 实现将终端建立的可信传递到网络。建立用户、平台与网络三者之间的信任关系，以及不同安全等级终 端或网络区域之间的可信互连。 【关键词】可信计算平台 活性标签 访问控制 应用代理 分级保护 可信终端可以建立用户与终端平台的可信，当前国内 应的应用代理技术。有效解决安全域边界划分以及边界防护 对利用可信计算打造终端平台安全的技术已相对成熟，但对 问题。 终端连入网络后、不同安全网络区的互联，特别是符合中国 最后，本文外延可信计算体系中的信任链范围，将从计 国情、遵循中国标准的网络可信互联的研究尚不多。本文重 算机系统底层构建的信任关系通过用户、平台、网络三者之 点关注国家必威体育官网网址局分级保护要求规范，其中对涉密信息系统 间的交互，实现有效传递，并初步设计可信网络模型。实现 (在党、政、军及各行业信息系统中，只要所存储、处理和 单个网络区域以及大型网络分域分级后的可信互联。 传输的信息属于国家秘密信息，就都定性为涉密信息系统) 建设中的身份鉴别、密级标识、安全域边界防护等核心问 1可信技术 题，采用基于可信计算的活性标签技术，从硬件底层实现对 本方案通过研制出的活性标签技术识别网络节点，安全 系统中实体对象的有效识别。 改造协议控制终端的入网认证，通过不对等访问控制实现网 此外，不同于传统的。先网络连接后认证”的入网方 络节点之间、网络区域之间的访问控制，并借鉴防火墙的自 式，本次研究在终端连入网络前，利用可信计算技术从计算 适应应用代理的功能原理。实现网络的安全防范。 机系统结构入手。对终端自身的安全性状态进行评估，安全 1．1活性标签技术 达标后再进行网络认证。方可入网，即形成“先安全评估后 常见系统中身份标识符生成简单序列号，网络节点采 连接”的网络连接方式；并通过不对等访问控制技术、自适 用IP地址和网卡编号等方式，与此不同的是，本文利用可信 计算平台活性标签技术结合密码技术来实现网络中终端、用 收稿日期：2008年11月11日 户、应用程序等的身份标识。对用户、终端等网络节点使用 秒幻通信 责任编辑：左永君ji768@163．com ～主面j军4雨雨囵 万方数据 -研究与探讨L 可信在网络安全中的应用研究 的活性标签，是在传统的身份标识符基础上增加了所在网络 1．3自适应的应用代理 域的域标签。为防止此活性标签被伪造，方案中增加了安全 可信网关融合了防火墙中应用代理型的安全性和包过滤 令牌的认证机制。终端、用户与网络集中管理端(简称“网 的高速度等优点。 关”)根据对方的标签信息，采用ECC或RSA签名、验签与 自适应代理服务器与不对等访问控制之间存