《网络防御技术 》ppt课件

《网络防御技术 》ppt课件

ID:27306233

大小:1.03 MB

页数:76页

时间:2018-11-30

《网络防御技术 》ppt课件_第1页
《网络防御技术 》ppt课件_第2页
《网络防御技术 》ppt课件_第3页
《网络防御技术 》ppt课件_第4页
《网络防御技术 》ppt课件_第5页
资源描述:

《《网络防御技术 》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第3章网络防御技术指导教师:杨建国2013年8月10日3.1安全架构3.2密码技术3.3防火墙技术3.4杀毒技术3.5入侵检测技术3.6身份认证技术3.7VPN技术3.8反侦查技术3.9蜜罐技术第3章网络防御技术3.10可信计算3.11访问控制机制3.12计算机取证3.13数据备份与恢复3.14服务器安全防御3.15内网安全管理3.16PKI网络安全协议3.17信息安全评估3.18网络安全方案设计3.10可信计算可信计算技术研究国家信息化专家咨询委员会委员沈昌祥院士内容一、可信计算二、TCG的动态三、国内的进展四、目前

2、存在的一些问题一、可信计算产生安全事故的技术原因:PC机软、硬件结构简化,导致资源可任意使用,尤其是执行代码可修改,恶意程序可以被植入病毒程序利用PC操作系统对执行代码不检查一致性弱点,将病毒代码嵌入到执行代码程序,实现病毒传播黑客利用被攻击系统的漏洞窃取超级用户权限,植入攻击程序,肆意进行破坏更为严重的是对合法的用户没有进行严格的访问控制,可以进行越权访问,造成不安全事故为了解决计算机和网络结构上的不安全,从根本上提高其安全性,必须从芯片、硬件结构和操作系统等方面综合采取措施,由此产生出可信计算的基本思想,其目的是在

3、计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高整体的安全性。可信是指“一个实体在实现给定目标时其行为总是如同预期一样的结果”。强调行为的结果可预测和可控制。可信计算指一个可信的组件,操作或过程的行为在任意操作条件下是可预测的,并能很好地抵抗不良代码和一定的物理干扰造成的破坏。可信计算是安全的基础,从可信根出发,解决PC机结构所引起的安全问题。具有以下功能:确保用户唯一身份、权限、工作空间的完整性/可用性确保存储、处理、传输的机密性/完整性确保硬件环境配置、操作系统内核、服务及应用程序的完整性确保密

4、钥操作和存储的安全确保系统具有免疫能力,从根本上阻止病毒和黑客等软件的攻击可信计算平台特性:定义了TPMTPM=TrustedPlatformModule可信平台模块;定义了访问者与TPM交互机制通过协议和消息机制来使用TPM的功能;限定了TPM与计算平台之间的关系必须绑定在固定计算平台上,不能移走;TPM应包含密码算法引擎受保护的存储区域可信计算终端基于可信赖平台模块(TPM),以密码技术为支持、安全操作系统为核心(如图所示)安全应用组件安全操作系统安全操作系统内核密码模块协议栈主板可信BIOSTPM(密码模块芯片)

5、图:可信计算平台可信平台基本功能:可信平台需要提供三个基本功能:数据保护身份证明完整性测量、存储与报告数据保护:数据保护是通过建立平台屏蔽保护区域,实现敏感数据的访问授权,从而控制外部实体对这些敏感数据的访问。身份证明:TCG的身份证明包括三个层次:1)TPM可信性证明是TPM对其已知的数据提供证据的过程。这个过程通过使用AIK对TPM内部的明确数据进行数字签名来实现。2)平台身份证明是指提供证据证明平台是可以被信任的,即被证明的平台的完整性测量过程是可信的。3)平台可信状态证明是提供一组可证明有效的平台完整性测量数据

6、的过程。这个过程通过使用TPM中的AIK对一组PCR进行数字签名实现。完整性的测量、存储与报告1)完整性测量完整性测量的过程是:对影响平台完整性(可信度)的平台部件进行测量,获得测量值,并将测量值的信息摘要记入PCR。测量的开始点称为可信测量根。静态的可信测量根开始于对机器的起始状态进行的测量,如上电自检状态。动态的可信测量根是以一个不被信任的状态变为可信状态的测量作为起始点。2)完整性存储完整性存储包括了存储完整性测量值的日志和在PCR中存储这些测量值的信息摘要。3)完整性报告完整性报告用于证实完整性存储的内容。完整

7、性测量、存储和报告的基本原理是:一个平台可能会被允许进入任何状态,但是平台不能对其是否进入或退出了这种状态进行隐瞒和修改。一个独立的进程可以对完整性的状态进行评估并据此作出正确的响应。可信任链传递与可信任环境TCG定义了7种密钥类型。每种类型都附加了一些约束条件以限制其应用。TCG的密钥可以粗略的分类为签名密钥和存储密钥。更进一步的分类有:平台、身份认证、绑定、普通和继承密钥。对称密钥被单独分类为验证密钥。7种密钥类型如下:1)签名密钥(SigningKey):非对称密钥,用于对应用数据和信息签名。2)存储密钥(SK-

8、StorageKey):非对称密钥,用于对数据或其他密钥进行加密。存储根密钥(SRK-StorageRootKey)是存储密钥的一个特例。3)平台身份认证密钥(AIK-AttestationIdentityKey):专用于对TPM产生的数据(如TPM功能、PCR寄存器的值等)进行签名的不可迁移的密钥。4)签署密钥(EK-Endor

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。