可信网络连接

可信网络连接（精选8篇）

可信网络连接 篇1

0 引言

随着网络技术的不断发展和Internet的日益普及, 人们对网络的依赖也越来越强, 互联网已成为人们生活的一部分。然而, 计算机网络具有联接形式多样性、终端分布不均匀性和网络的开放性、互连性等特征, 伴随着网络应用的深入, 网络安全问题也愈演愈烈。包括拒绝服务攻击、病毒、黑客入侵、间谍软件、网络钓鱼等在内的安全问题发生的概率越来越大, 而且带来的危害也日益严重成为互联网安全最大的威胁。

可信网络即是针对这种情况而提出的一种新的解决方案, 旨在通过提供一致的安全服务体系结构来为网络提供安全性保障。可信网络中的“可信”是指对网络中的行为与行为的结果总是预期和可控的, 能够提供检测、监管、实施等功能, 具体可以理解为提供边界保护、接入安全、内网安全等功能, 并建立相应的体系结构, 以维护整个网络系统的可信性。目前, 可信网络的许多概念还在摸索阶段, 尤其对其基本属性和面临的关键问题上, 并没有清晰一致的描述, 学术界针对可信网络的研究工作大多是在理论与技术的某个局部目标展开的, 并没有形成完整的体系。

1 IF-MAP概述

IF-MAP是TCG组织在2008年4月28日在Interop 2008展会上公布的最新网络安全协议, 定义了数据发布、订阅、搜索等协议, 用户可以自行定义相关的策略, 该协议可以支持采用这种协议的大范围内的网络系统实时共享数据。在网络受到安全侵犯时, IF-MAP协议还可以快速定位正被攻击的网络终端的位置并发布警报。接收到警报以后, 相应的防火墙系统可以根据收到的信息, 通过IF-MAP服务器实时定位到相应的终端并对其进行防护, 而这一切都是自动进行的。

I F-M A P协议中规定了标识符和元数据两种数据类型, 及一种关系类型为链接, 所有的这些操作和数据类型都是用XML文档表示的。IF-MAP是为了IF-MAP服务器与IF-MAP客户之间进行通信而定义的。IF-MAP服务器上存储着关于网络中的设备、用户、流量等信息。这些信息包括注册的地址绑定, 认证状态, 终端策略遵守状态, 终端的行为和授权状态。IF-MAP客户端可以发送信息给IF-MAP服务器, 还可以从IF-MAP服务器中搜索信息和订阅存储在IF-MAP服务器中的信息变更时的通知。一个IF-MAP客户端既可以是发布者, 也可以是订阅者。

IF-MAP协议的网络优先考虑网络应用的安全, 同时提供良好的基于共享的信息交换支持, 特别是对处于不同子网的网络用户之间进行文件共享支持更为出色, 并且IF-MAP协议还支持网络对不同子网的用户共享权限进行相应的控制。这种整合了安全防护的网络系统可以大大增强整个网络内部的稳定性和运行效率。

2 基于IF-MAP的可信网络连接架构

基于IF-MAP的可信网络连接架构 (TNC-MAP) 描述了不同网络实体之间的互动流程, 利用IF-MAP客户端评估试图连接网络的用户系统或设备的状态, 并将状态信息通过IF-MAP传递给系统、产品和服务器等其他网络实体, 从而允许客户全面评估用户是否满足了最低安全要求并决定是否允许用户接入网络。

TNC-MAP由实体、层、组件和组件间的接口组成。TNC-M A P的体系架构如1图所示。

TNC-MAP架构图中有五列, 分别对应五类实体:

(1) 访问请求点 (Access Requestor, AR) :请求访问受保护网络的逻辑实体 (可能是一台或多台物理计算机, 或一个独立的程序) ;

(2) 策略执行点 (Policy Enforcement Point, PEP) :执行PDP的访问授权决策的网络实体;

(3) 策略定义点 (Policy Decision Point, PDP) :根据特定的网络访问策略检查AR的访问认证, 决定是否授权访问的网络实体;

(4) 元数据访问点 (Metadata Access Point, MAP) :存储着关于AR的相关状态信息, 并提供给其他网络实体, 用于辅助制定或执行访问策略的网络实体;

(5) 流量控制与监控点 (Flow Controllers and Sensors) :作为一类网络实体, 流量控制部分是利用从MAP得到的信息对网络活动做出相应的决定, 而监控部分主要是监控网络活动并把相关的信息发送给M A P;当然这类实体可能不直接与A R相连。

图中矩形框表示实体中的组件:

(1) 在AR中包含的组件: (1) 网络访问请求者 (NAR) :功能为建立网络连接。在一个AR上可以有几个不同的NAR, 来建立同网络的不同连接。 (2) TNC客户 (TNCC) :功能为汇总来自IMC的完整性测量信息, 同时测量和报告平台和IMC自身的完整性信息。 (3) 完整性策略收集器 (IMC) :策略AR的完整性属性。在一个AR上可以有多个不同的IMC。

(2) 在PEP中包含的组件:策略实施点 (PEP) :该组件控制对被包含网络的访问。PEP咨询PDP来决定访问是否应该被执行。

(3) 在PDP中包含的组件: (1) 网络访问授权者 (NAA) :该组件决定一个A R的访问请求是否被允许。N A A可以咨询TNCS来决定AR的完整性状态是否同NAA的安全策略相一致, 从而决定A R的访问请求是否被允许。 (2) T N C服务器 (TNCS) :该组件控制TMV和IMC之间的信息流动, 汇总来自T M V的访问决定, 并形成一个全局的访问决定, 传递给NAA。 (3) 完整性策略鉴别器 (IMV) :对从IMC接受到的关于AR的完整性测量值进行鉴别, 并做出访问决定。

(4) 在MAP中包含的组件:元数据访问点 (MAP) :该组件向TNC中其他组件提供数据发布、订阅、查询功能, 这些记录着网络中设备状态的数据将对策略的制定和执行提供很大的帮助。MAP使得流量控制组件对最初的网络访问进程没有影响, 而是基于终端之间的关系, 用户, 性能, 角色, 设备活动和状态以及其它实时运行数据来执行策略;同时允许监控组件不直接与AR相连, 并可以发布关于网络活动的信息给PEP, PDP和流量控制组件和其他的监控组件。

(5) 在流量控制与监控点中包含的组件: (1) 流量控制器:该组件依据通过IF-MAP获得的数据来对网络的信息流进行处理。该组件包括网际防火墙、速率限制器和代理等, 控制的网络活动包括访问网络中特定的服务、访问网络中特定的领域和限制带宽的分配等。 (2) 监控器:该组件通过IF-M A P向T N C-M A P架构中的其它组件发布关于网络中活动的信息。该组件包括入侵检测设备、网络病毒检测设备、三层流量监控和应用流量扫描仪, 监测的网络活动包括访问网络中特定的服务, 授权行为, 各种服务的广播请求和服务的公布等。

图中三行对应TNC-MAP架构中三个抽象层, 从下到上依次为:网络访问层, 这一层用于支持传统的网络连接技术;完整性评估层, 负责评估所有请求访问网络的实体的完整性;完整性测量层, 收集和校验请求访问者的完整性相关信息的组件。

图中虚线表示TNC-MAP中的标准接口, 且定义了组件之间的协议和消息:

(1) 完整性测量收集接口 (IF-IMC) :主要功能是从IMC手机完整性测量值, 并支持IMC同IMV之间的信息流动, 位于I M C与T N C C之间。

(2) 完整性测量校验接口 (IF-IMV) :主要功能是将从IMC得到的完整性测量值传递给IMV, 支持IMC同I M V之间的信息流动, 将IMV所做出的访问决定传递给TNCS, 该接口位于IMV和TNCS之间。

(3) TNC客户-服务器接口 (IF-TNCCS) :该接口位于TNCC和TNCS之间, 并定义了一个协议, 该协议传递如下的信息: (1) 从IMC到IMV的信息 (如完整性测量值) ; (2) 从IMV到IMC的信息 (如要求额外的完整性测量值) ; (3) 绘画管理信息和一些同步信息。

(4) 厂商制定的IMC-IMV消息接口 (IF-M) :传输的信息主要是一些与提供商有关的信息。

(5) 网络授权传输协议 (IF-T) :维护AR和PDP实体之间的信息传输。具体是指在组件N A R和和N A A之间的信息传输。

(6) 平台可信服务接口 (IF-PTS) :该接口的主要功能是确保TNC-MAP中所有组件都是值得信赖的。

(7) 策略执行点接口 (IF-PEP) :该接口用于PDP和PEP之间的信息传输。通过它, PDP可以指示PEP对AR进行某种程度的隔离, 以及对AR进行修复。当修复完成后, 方可授予AR访问网络的权利。

(8) 元数据访问协议 (IF-MAP) :该协议允许架构中的组件可以共享实时环境下运行的数据 (如:架构中组件与终端的关系、用户、性能、角色和属性) , 并给作为IF-MAP服务器的元数据访问点与TNC-MAP架构中作为IF-MAP客户的组件之间提供了发布、订阅和查询接口。通过IF-MAP发布获得的数据为决策的制定增加了安全依据, 通过IF-MAP搜索和订阅返回的数据, 都是由IF-MAP的客户提供的最近的元数据的值与联系。

3 TNC-MAP的工作原理

T N C-M A P本质上就是从终端的完整性开始建立连接, 并按照设定的策略对终端在网络中的行为进行管理。首先, 需要创建一套在可信网络内部系统允许状况的安全评估策略, 然后只有遵守网络设定的策略的终端才能访问网络, 网络将隔离和定位那些不遵守策略的设备。其次对接入网络中的终端设定安全策略, 对终端网络的应用进行控制管理。

TNC-MAP架构中采用了IF-MAP协议, 使得整个网络系统可以实时地从MAP服务器端共享各终端的元数据。由于IF-MAP协议定义数据类型和关系类型的特殊性, 使得系统在设定策略的时候不再基于IP地址, 而是基于用户名和角色信息, 访问策略也可以调整到了针对每个用户或用户组来制定。可以更有效的对终端及其在网络中的应用进行控制和管理。

在建立网络连接之前, TNCC需要准备好所需要的完整性信息, 交给完整性收集者IMC。TNCS需要预先制定完整性的要求, 并交给完整性验证者IMV。其工作过程为:

(1) AR向PEP发送网络连接请求, 通常情况下PEP为防火墙或VPN网关;

(2) 收到连接请求后, PEP发送访问决定请求给NAA;

(3) 假设用户认证成功了, NAA则通知TNCS有一个网络连接请求到来, 同时将AR的身份认证等其他状态信息发送到M A P;

(4) TNCS开始对TNCC的授权验证;

(5) TNCC告诉IMC开始了一个新的网络连接, 这个网络连接需要完整性检查。IMC通过IF-IMC接口返回所需信息。TNCS将这些信息通过IF-IMV接口交给IMV;

(6) 在这个过程中, TNCS和TNCC需要进行交换一次或多次数据, 直到TNCS满意为止;

(7) 当TNCS完成了TNCC的完整性检查后, 发送AR的完整性遵守情况给M A P, 并给N A A一个动作建议。注意的是, 如果还有另外的安全属性考虑, 即使AR通过了TNCS的完整性检查, N A A仍然可以拒绝A R的访问;

(8) NAA传递访问决定给PEP, PEP将最终执行这个决定, 来控制NAR的访问;

(9) 当流量控制组件检测到先前不存在的AR的流量后, 向MAP查询这个AR的身份和应遵守的规则, 以对新的流量做出正确的判定;

(10) 流量控制组件向MAP订阅关于AR的身份、遵守的策略、脆弱性和其他状态信息的改变通知;

(11) 监控组件把关于AR和AR发起的流量的信息 (如:AR的漏洞, 流的分类, 合理的流量等) 发送给MAP;

(12) PD P从M A P中获得A R的相关元数据, 利用这些信息提出更为合理的策略, 同时P D P向M A P订阅关于AR的元数据修改的通知, 以便PDP根据修改重新调整AR的策略。

4 小结

在复杂的网络应用环境下, 如何构建可信网络正受到越来越多厂商的关注。TNC-M A P作为可信网络访问控制技术的一部分, 为厂商实现可信网络产品提供了重要的理论依据和规范。

TNC-MAP架构试图通过现有网络安全产品和网络安全子系统的有效管理和整合, 并结合可信网络的接入控制机制、网络内部信息的保护和信息加密传输机制, 通过实时地共享网络中数据, 实现对终端访问可信网络及其在网络中的应用进行有效的控制和管理, 提高网络的安全性和可信性。

摘要：面对各式各样的外部攻击和内部攻击, 各类安全产品及解决方案层出不穷。本文通过分析IF-MAP协议, 论述了基于IF-MAP的可信网络连接架构的结构和思想, 阐述了其工作原理。通过实时共享网络中信息, 对终端的接入及其在网络中的应用进行有效的控制管理, 极大的保证了网络系统的安全性和可信性。

关键词：IF-MAP,可信网络连接,网络安全

参考文献

[1]陈捷.从安全管控角度浅谈基于可信的网络安全[J].信息安全与通信保密.2007.

[2]Trusted Computing Group.TCG Trusted Network Connect TNC Architecture for Interoperability Specification Version1.1[DB/OL].May1, 2006.http://www.Trustedcomputinggroup.org.

[3]Trusted Computing Group.TCG Trusted Network Connect TNC IF-MAP Binding For SOAP, Version1.0[DB/OL].April28, 2008.http://www.Trustedcomputinggroup.org.

[4]Trusted Computing Group.TCG Trusted Network Connect TNC Architecture for Interoperability, Version1.3[DB/OL].April28, 2008.http://www.Trustedcomputinggroup.org..

[5]Trusted Computing Group.TCG Trusted Network Connect TNC Architecture for Interoperability Specification, Version1.2[DB/OL].March18, 2007.http://www.Trustedcomputinggroup.org.

“可信网站”护卫网络环境 篇2

据悉，“可信网站”验证是通过对域名、网站、工商登记或组织机构信息，进行严格交互审核来验证网站的真实身份。同时，对于网民而言，能有效提高其辨别网站真伪和网络诈骗能力。

此外，《报告》显示，截至2012年6月底，31.8%有网络购物经历的网民曾在网购过程中碰到钓鱼网站或诈骗网站，网购遇骗网民达6169万人，损失额度在500~2000元范围内的网民占比33.4%。从网站层面来看，58.8%的企业网站因没人信而陷入半停滞状态，30%的受访网站曾遭遇过恶意仿冒网站的骚扰。

“当前我国诚信缺失问题较为突出，国家在此前出台的《电子商务“十二五”发展规划》中，也重点强调“可信”、“诚信”的重要性。”中国电子商务协会宋玲表示，对网站实行可信验证是构建可信网络环境的重要手段之一，这份《报告》的发布将有助于各界更好地了解网站可信验证行业的现状和发展趋势。

可信网络信任模型研究 篇3

关键词：可信网络,信任模型,信任度,信任评估

0 引言

随着可信计算技术的日益成熟,可信网络的研究逐步开展起来。人们已经意识到,面对各种安全风险与威胁,仅有终端计算环境的可信是不够的,还应把可信的概念扩展到网络,使得整个网络成为一个可信的计算环境[1,2]。我国学者林闯[3]等对可信网络的概念进行了研究,指出可信网络应该具有安全性、可生存性和可控性三个属性,并提出了可信网络研究的关键问题为: 网络与用户行为的可信模型、可信网络的体系结构、服务的可生存性以及网络的可控性。

针对可信网络的信任模型进行了详细研究,详细分析和比较了6 种现有的可信网络信任模型,阐述了每个信任模型的建模原理和建模过程,总结出了信任模型的研究方法和研究步骤,并依据该方法依次对各个模型进行分析,说明了各个模型的优缺点,为信任模型的完善和发展提供了意见。

1 可信网络信任模型

可信网络信任模型主要解决2 个问题: 直接交互节点的信任度计算,非直接交互节点的信任度计算。在研究这两个问题时,将涉及到信任度的定义及表示方法、信任度的传播方式以及信任度的综合评估等问题。各个信任模型对这些问题都有自己的解决方法,需要结合具体的网络结构、使用情景来选择。

1.1 Beth信任模型

Beth第一次提出了信任度的概念[4]。在此之前,对某个节点的信任的表示只有2 种情况: 可信或者不可信。Beth模型采用“经验”来度量信任度。在Beth模型中,定义了两种经验: 积极经验和消极经验,当一个节点完成了另一个节点委托给自己的任务时,积极经验加一,否则消极经验加一。

Beth模型将信任度分为2 种: 直接信任度和推荐信任度。若节点A与节点B之间全部都是积极经验,则A和B之间的信任度为直接信任度。若A与B之间存在消极经验,则A和B之间的信任度为推荐信任度。

Beth模型中信任度的计算采用概率方法,模型假设每个节点完成一次任务的概率在[0,1] 上均匀分布。

对于直接交互节点,直接信任度的计算公式为:

式中,p为2 个节点之间的积极经验数量,α 表示目标节点完成一次任务的可能性,取值范围[0,1] 。

推荐信任度的计算公式为:

式中,p为节点A与节点B推荐的节点C之间的积极经验数量,n为消极经验数量。α 是0 ~ 1 之间一个值,表示节点C完成一次任务的可能性。

对于非直接交互节点,节点之间没有直接交互经验,只能通过其他节点的推荐来获取信任度,称这种提供推荐的节点为推荐节点。如图1 所示,节点A与节点C和节点D都是非直接交互节点,只能通过推荐节点B来获取它们的信任度。

假设节点A对节点B的推荐信任度为V1,节点B对节点C的直接信任度为V2,节点B对节点D的推荐信任度为V3,则节点A对节点C的直接信任度为:

节点A对节点D的推荐信任度为V1·V3。

若计算A对C的直接信任度时有多条推荐路径,则令Pi( i = 1…m) 为每条推荐路径的最后一个节点,Vi,j( i = 1…m,j = 1… ni) 为每条路径的信任值,Vi,j≠ 0,其中ni表示以Pi为最后一个节点的推荐路径的数量。则A对C的直接信任度为:

若计算A对D的推荐信任度时有n条路径,每条路径的信任值为Vi(i = 1…n) ,Vi≠ 0,则A对D的推荐信任度Vcom为:

1.2 基于模糊集合理论的信任模型

唐文等人提出了一种基于模糊集合理论的信任模型[5],用多个模糊子集合Tj( j = 1,2,…,M) 定义具有不同信任度的节点集合,并用自然语言对Tj命名。

在实际环境中,节点对于某个Tj集合的隶属关系不能简单地用“真”或“假”来描述,往往无法明确地判断某个节点究竟是属于哪一个信任集合Tj的,即各信任集合之间并不是非此即彼的排他关系。因此,用节点对各Tj的隶属度所构成的向量来描述节点的信任度。x0对xi的信任可以用信任向量V ={ v0,v1,…,vM} 来表示,其中vj表示xi对Tj的隶属度。

在对信任度的计算中,基于模糊集合理论的信任模型有4 个基本要素: 因素集E = { e1,e2,…,en} 、评价集D = { d1,d2,…,dM} 、因素评判矩阵R =(rij)n × M、各因素的权重分配W = { ω1,ω2,…,ωn} 。因素集E包含的是影响节点信任度的所有因素; 评价集D描述的是某个节点对于某种因素的不同等级的评价; 因素评判矩阵R表示对各个因素ei的评价等级; 各因素的权重分配向量W表示各个因素在信任度评价中的重要性。

在已知以上4 个因素的情况下,对某个节点的评价结果为:

式中,“° ”表示模糊变换,( j =1,2,…,M) ,∨ 和∧ 为Zadeh算子,分别表示max和min运算。

对于非直接交互节点,该模型采用Beth模型的方法,只是对向量之间的⊙ 和  运算进行了重新定义,参见文献[5]。

若节点之间存在多条推荐路径,设节点xi与xj之间存在m条推荐路径,则xi对xj的信任度为:

式中,,ωk为每条路径的合成权重。新的合成权重为均值函数:

在信任度的合成过程中,各推荐路径的相对重要性一般来说是不同的。适当地定义合成权重的大小,可以反映出各信任关系的相对重要性。

1.3 基于权重的信任模型

Guha等人提出了基于权重的信任模型[6]。这里的权重是指,在信任的传播过程中可能会通过不同的传播方式和路径得到不同的信任值,对各种方式赋予不同的权重有利于对它们进行综合得到最后的信任值。

该模型采用矩阵的方式来进行信任度的计算,定义了6 种不同的矩阵。短矩阵T为信任矩阵,元素tij表示节点i对节点j的信任值,0 ≤ tij≤1; 矩阵D为不信任矩阵,元素dij表示节点i对节点j的不信任值,0 ≤ dij≤ 1; 矩阵B为事实矩阵,通常是T或者T -D; 矩阵CB,α为加权信任传播矩阵; 矩阵P(k) 为k步信任传播后的矩阵,元素pij表示经过k次信任传播后的节点i对节点j的信任值; 矩阵F是最终信任矩阵,fij表示节点i对节点j的信任度。

模型主要定义了4 种不同的信任传播方式,如表1 所示。

令 α = ( α1,α2,α3,α4) 为4 种传播方式的权重,则结合后的矩阵为:

在不同的网络环境中,不信任矩阵对于整个网络信任度的影响是不同的,因此需要提出不同的算法来区分不信任矩阵在整个网络信任度评估过程中的参与度。模型中定义了3 种不同算法。

完全忽略不信任矩阵的影响力,只采用信任矩阵进行整个网络的信任评估,则:

不信任矩阵只传播一步,信任矩阵持续传播,则:

不信任矩阵和信任矩阵一起传播,则: B = T - D,P(k)=CkB,α。

1.4 基于半环理论的信任模型

Theodorakopoulos等人提出了一种基于半环理论的信任模型[7]。该模型中对于节点的信任度,定义了观念空间( opinion space) 的概念来表示。观念空间包括2 个元素,信任值( trust value) 和信心值( confidence value) 。信任值表示节点i对节点j的信任值,信心值表示这个信任值的可靠性。用S表示观念空间,S = [0,1] × [0,1]。

该模型将节点的信任度评估问题定义为一个加权有向图的最短路径问题。有向图中的节点代表网络节点,有向边代表直接信任关系,边的权重代表信任度。每个节点只跟与自己有过直接交互的节点有信任关系。节点i对节点j的信任度为 ω(i,j) = ( t,c) ,t表示信任值,c表示信心值。

该模型主要解决非直接交互节点的信任度计算问题。要评估节点A对非直接交互节点B的信任度,需要对从A到B经过的有向边进行综合计算。定义符号 为同一路径上的有向边信任度综合计算符号,设路径p = ( v0,v1,…,vk) ,则信任度为ω (p) = ω( v0,v1)  ω( v1,v2)  …  ω( vk - 1,vk) 。定义符号  为不同路径的信任度综合计算符号,例如要计算节点i对节点j的信任度,ω(i,j) = ω(p) ( p is the path from it oj) 。三元组( S,,) 构成半环结构,其运算定义如下:

(tijp1,cijp1) 是节点i对节点j在路径p1上的信任度。

1.5 基于信息论的信任模型

Sun等人提出了基于信息熵的信任模型[8]。该模型认为,信任是一种不确定性度量,可以用熵来表示。信任关系的定义为: { subject: agent,action} 。评估节点为subject,被评估节点为agent,它们之间的行为为action。

T{ subject: agent,action} 表示一个信任关系的信任度。P{ subject: agent,action} 表示agent节点会完成subject节点的任务的概率,则:

式中,H(p) = - plog2(p) - ( 1 - p) log2(1 - p) ,是P{ subject: agent,action} 的熵。

由以上定义可知,要想计算直接交互节点的信任度,需要知道agent节点会完成subject节点的任务的概率。文献[8]中假设节点过去的N次行为与将来的N + 1 次行为是独立的,并且服从伯努利分布,通过贝叶斯方法可以得到该概率值。

对于非直接交互节点的信任度,设TBC= T{ B:C,action} ,T{ A: B,making recommendation} = RAB,则TABC= T{ A: C,action} 为:

对于多路径信任度计算,设RAB=T{A: B,making recommendation} , TBC= T{ B: C,action} ,RAD= T{A: D,making recommendation} ,TDC= T{ D: C,action} ,则A对C的信任度为:

1.6 基于证据理论的信任模型

Yu等人依据Dempster -Shafer理论提出了基于证据理论的信任模型[9]。设定鉴别框架为 Θ = { T,~ T} ,T表示一个节点认为另一个节点是可信的,则节点的可信度为m( {T}) 。

该模型将信任度分为2 种: 局部信任度和全局信任度。若2 个节点之间的信任度是通过直接交互行为得到的,则该信任度为局部信任度,若2 个节点之间的信任度是通过其他节点的推荐得到的,则该信任度为全局信任度。

若节点Ai要评估节点Aj的信任度,假设Ai拥有来自Aj的最近的H个回复Sj= { sj1,sj2,…,sj H} ,sjk( 1 ≤ k ≤ H) 表示节点Aj的服务质量( Qo S) 。若没有收到Aj的回复则sjk= 0。对于任意一个节点Ai,定义2 个服务质量的阈值 ωi和 Ωi,0 ≤ ωi≤ Ωi≤ 1,当节点的服务质量小于 ωi时被认为是不可信的,当节点的服务质量大于 Ωi时被认为是可信的。定义函数f( xk) 来表示节点Aj提供服务质量为xk的服务的概率,则节点Aj的基本概率分布为:

得到的m( {T}) ,即为局部可信度。

若2 个节点之间没有直接交互记录,则需要通过其他节点来得到信任值。证据理论定义了  运算。若Ar评估Ag的可信度经过了推荐节点{ ω1,…,ωL} ,设 τAi和 πAi表示节点Ai的局部信任度和全局信任度。则Ar对Ag的全局信任度为:

2 各模型对比

对各个模型的信任度的定义方式、分类方法、直接交互节点和非直接交互节点的信任度计算方式进行了对比,结果如表2 所示。Beth模型首先提出了信任度的概念,对信任度进行了分类,使用概率方法进行信任度的计算,最早提出一个完整的信任模型。

基于模糊理论的信任模型提出了单个节点的多因素加权评估,并未对因素评判矩阵和各因素权重分配向量的初始化方法进行说明,需要根据不同的网络环境自行定义; 对于多条推荐路径的情况提出了合成权重的概念,但是并没有具体说明合成权重如何定义和取值。

在基于权重的信任模型中,对信任度的传播方式进行了详细的说明,提出了新的信任传播方式,并且将不信任度引入了信任模型,但是对于信任矩阵和不信任矩阵的初始化方法并没有说明。

基于半环理论的信任模型主要解决了非直接交互节点的信任度计算问题,没有对直接交互节点的信任度计算方法进行说明。

基于信息论的信任模型较为完整地定义了整个信任评估过程的各个方面,是一个较为成熟的模型。

基于证据理论的信任模型中,将信任度分为局部信任度和全局信任度,区分了不同关系的节点之间的信任度计算,但是对于节点提供服务质量的概率函数没有进行说明。

3 结束语

通过对各个信任模型的对比分析,可以看到,每个信任模型都存在自身的局限性,以及不完善的地方,需要根据不同的网络环境选择合适的信任模型。目前针对各种不同网络的信任模型研究也层出不穷[10],部分学者也提出了一些很有创造性的方法[11]。可信网络的发展离不开信任模型,因此,希望通过本文能使读者对基本的信任模型有一定的了解,掌握信任模型的研究方法,在此基础上进行改进,提出更好的可应用于可信网络的信任模型。

参考文献

[1]沈昌祥,张焕国,王怀民,等.可信计算的研究与发展[J].中国科学信息科学(中文版),2010,40(2):139-166.

[2]冯登国,秦宇,汪丹,等.可信计算技术研究[J].计算机研究与发展,2015,48(8):1332-1349.

[3]林闯,彭雪海.可信网络研究[J].计算机学报,2005,28(5):751-758.

[4]Beth T,Borcherding M,Klein B.Valuation of Trust in Open Networks[M].Berlin:Springer Berlin Heidelberg,1994.

[5]唐文,陈钟.基于模糊集合理论的主观信任管理模型研究[J].软件学报,2003,14(8):4101-1408.

[6]Guha R,Kumar R,Raghavan P,et al.Propagation ofT rust and Distrust[C]∥Proceedings of the 13th International Conference on World Wide Web.ACM,2004:403-412.

[7]Theodorakopoulos G,Baras J S.Trust Evaluation in Adhoc Networks[C]∥Proceedings of the 3rd ACM Workshop on Wireless Security.ACM,2004:1-10.

[8]Sun Y,Yu W,Han Z,et al.Trust Modeling and Evaluation in Ad hoc Networks[C]∥Global Telecommunications Conference,GLOBECOM'05.IEEE,2005,3:1862-1867.

[9]Yu B,Singh M P.An Evidential Model of Distributed Reputation Management[C]∥Proceedings of the First International Joint Conference on Autonomous Agents and Multiagent Systems:part 1.ACM,2002:294-301.

[10]吴旭.基于增强稳定组模型的移动P2P网络信任评估方法[J].计算机学报,2014,37(10):2118-2127.

可信网络框架研究与设计 篇4

可信网络已经成为终端用户以及网络开发者共同关注的一个焦点。网络由终端用户以及网络本身构成。网络的可信分成两个方面:终端对网络可信和网络对终端可信。

从网络的角度出发, 网络本身希望每一个接入到网络中的终端都是安全的、可信的。可信计算组织TCG[1,2,3,4] 2004年5月成立了可信网络连接小组, 主要负责研究和制定可信网络连接TNC的框架和相关标准[1]。TNC从保护网络的安全性方面进行分析设计, 保证终端或者终端接入的可信性问题。沈昌祥院士等结合可信计算理论提出了三元对等模型[1], 微软的网络访问保护NAP架构[5]、思科的网络访问控制NAC架构[6,7]等都是很好的实用技术。

网络由终端用户、服务器、网络通信设备等构成。每个想要接入网络的终端用户都希望即将接入的网络本身是可信的、可靠的、安全的。但对网络可信性的研究还很不够, 本文重点研究可信网络的构成, 提出了一个可信网络框架模型[8]和一种多级信任机制, 分析研究网络通信设备可信启动过程, 并设计验证网络设备可信机制保证网络的可信性。

1可信网络框架模型

建立一个可信网络必须要有三种机制:信任根、可信传递、可信度量, 它们是保证网络平台可信的根本, 是实现网络可信的理论依据[9,10]。在可信网络框架模型中, 网络的可信度量从网络信任根开始, 通过信任链传递机制实现对加入网络的各种设备、设备上运行的操作系统、以及应用的可信性进行度量。信任链[10,11]利用完整性度量机制在网络设备组件之间采取一级度量一级、一级信任一级的方式建立起来的一种信任传递的关系, 从而将可信性从信任根传递至整个网络, 确保整个网络的可信性。

网络可信根是整个可信网络的起点。网络可信根通过多级信任机制度量组成网络的各种设备的可信性, 保证整个网络的可信。

如图1所示, 多级信任机制对组成网络的各种设备的可信性度量主要是静态可信性度量—即:各设备硬件、启动序列、操作系统以及在操作系统之上加载的应用的可信性。而动态可信度量则指的是设备上各种应用系统运行时的可信性评估, 不属于本文的研究范畴。本文重点讨论网络通信设备 (交换机、路由器等) 的静态可信过程, 即从硬件检测开始, 直到加载完成配置文件整个过程的可信性, 也称网络设备启动过程的可信性。

可信网络组建过程中, 如果构成网络的每一台设备其硬件和软件在初始启动时都是可预期的, 那么构成的网络是静态可信任的。将可信网络的硬件配置信息、引导程序特征信息、操作系统特征信息、配置文件特征信息等存放在网络可信根中, 并依据这些信息利用多级信任机制对每台加入网络的设备进行入网评估, 最终完成对该网络设备的可信度量。

一级信任根负责度量网络设备硬件的可信性, 如果申请入网的设备的硬件特征满足网络可信根中的定义, 则通过度量进入二级可信根度量。

二级信任根负责度量网络设备引导程序是否符合网络可信根中相关的特征定义, 只有度量结果通过之后才允许网络设备加载操作系统。

三级信任根负责对网络设备上加载的操作系统进行度量并确保网络设备的操作系统具备网络可信根中定义的相关特征。

四级信任根按照网络可信根中定义的网络设备配置文件特征来评估设备是否加载了可信任的配置文件。

通过前四级信任根的度量, 说明网络设备完全符合可信网络的静态特征, 组成的网络是静态可信的, 可以为用户提供网络接入服务。

2网络静态可信度量系统设计

网络静态可信度量系统的网络拓扑环境示意图如图2所示。通过实验模拟对交换机加入可信网络前的静态可信性进行验证的过程。

在交换机上设计两个功能模块, 一个是通信模块, 实现与网络可信根之间的通信, 另一个是度量模块, 在交换机正常启动的过程中插入多级度量检测点, 以便检测该交换机的启动过程是否满足可信特征要求。

设计网络可信根服务器, 包括三个主要功能模块:

(1) 通信模块:负责与网络中的所有网络设备进行通信, 支持设备的可信度量。

(2) 多级信任根生成模块:负责根据交换机的角色 (如:作接入交换机还是汇聚交换机等) 确定评估标准, 并生成多级信任根。

(3) 可信特征数据库:存放各种可信设备的各项特征, 支持对设备可信性进行评估。

2.1可信特征数据库

可信特征数据库存放的是网络设备静态可信特征, 包括设备硬件特征、设备引导程序特征、设备操作系统特征、设备配置文件特征, 这些特征是各级信任根度量设备的依据。

对设备硬件信息的可信度量, 主要是要确认硬件平台是否网络信任的平台, 包括各存储芯片的版本及容量信息、交换芯片厂商信息和端口的厂商信息、设备的MAC地址等。

设备引导程序的度量保证由可信网络认可的引导程序来引导设备上的软件, 确认其程序文件的大小和完整性, 其可信特征包括引导程序厂商信息, 如型号、版本号等。

设备操作系统可信特征包括操作系统加载路径、操作系统名称、版本和操作系统文件大小等, 确认所加载的操作系统是可信网络认可的系统软件, 保证其真实性和完整性。

设备的配置文件包括配置文件的路径、配置文件的名称、配置文件的大小及完整性等信息。确保设备的配置文件是可信网络认可的文件。

2.2通信消息类型

交换机与网络可信根服务器之间的通信设计了统一的消息格式:消息类型码和消息内容。消息类型码为4位:0001/1001可信度量请求/应答, 0101/1101强制加载可信操作系统请求/应答, 0110/1110强制加载可信配置文件请求/应答, 其余消息类型码保留为今后扩展使用。消息内容承载消息中具体传递的信息, 如下表1所示。

2.3多级信任根生成模块

根据交换机申请消息中的信息, 在可信特征数据库中查找各级信任根对应的设备硬件特征、引导程序特征、操作系统特征和配置文件特征, 拼接成输入字串, 获取对应特征的Hash值, 作为对应级别的信任根。如某品牌型号的交换机申请作为接入层交换剂, 则从科信特征数据库中查找对应的硬件特征信息取值拼接成一个大的字符串, 求取其哈希值, 得到一级信任根的值, 发送给交换机, 作为交换机上的度量模块在交换机的启动过程中度量其硬件信息可信性的依据。

2.4模拟环境中的度量结果

图2给出了一台思科WS-C2950-24交换机向网络可信根服务器申请作为接入层交换机时, 网络可信根服务器生成的该角色对应的各级信任根的值, 哈希函数运算的长度为160位。

该交换机根据网络可信根服务器提供的可信度量依据对设备进行度量, 结果如图3所示, PCR_init分别是四级可信度量根, 之后的输出表示各级度量是否成功, 该交换机所有的静态可信特征与网络可信根中的预期值是一致的。

下图4的截图给出了设备不可信的例子。在交换机获取到表2-2的各级可信根之后, 人为修改或更换了flash芯片, 静态可信性度量过程中得到的硬件特征信息的哈希值与一级信任根不一致, 因此可信度量失败, 设备不可信。

2结束语

本文针对可信网络当中网络设备的可信性问题进行了分析, 并提出了一种可信网络框架模型。在可信网络中通过引入可信根来对网络设备进行可信控制, 并且将可信计算理论、可信链的传递机制融入到可信网络当中, 实现从网络设备启动到系统加载完毕的整个过程的信任传递, 从而做到网络设备的安全可信。

摘要：分析目前可信网络的研究现状, 现在对可信网络的研究以用户终端的可信接入为主, 而对网络本身的可信性研究还很欠缺。本文提出一种可信网络框架模型和多级信任机制, 将该模型与多级信任机制相结合能够确保网络通信设备启动过程的可信, 从而延伸至整个网络的可信。

可信网络连接 篇5

随着互联网规模和应用的快速增长,互联网已经融入了我们日常生活,成为最大的管理信息系统,但是互联网的快速发展也带来了日益突出的网络安全问题,如网络病毒、恶意攻击、垃圾邮件等,导致网络用户对网络的可信度下降。网络正面临着严峻的安全和服务质量保证等重大挑战,保障网络可信成为下一代网络正常发展的重要保证。“高可信网络”已被正式写入国家中长期科学和技术发展规划纲要,为可信网络的发展确定了发展目标[1]。

目前可信网络主要研究的内容包括三个方面:服务提供者的可信,网络信息传输的可信,终端用户的可信[2]。而可信网络需要解决的问题包括四个方面:一是建立网络和用户的可信模型,二是可信网络的体系结构,三是网络服务的可生存性,四是网络的可管理性[3]。为整个系统建立可行的身份可信和行为可信评估模型,解决了传统的网络安全检测只能针对局部进行检测的局限。由于单个网络技术或产品在功能和性能上都有其局限性,以及网络安全的发展趋势由被动检测向主动防御方向发展,需要重新设计一种可信的网络体系,整合多种技术并在多个平面上进行融合。网络服务的可生存性是可信网络研究的一个基本目标,也是网络基本服务可用性的保障,通常采用容错、容侵、面向恢复的计算等方式来保障网络基本服务,同时也可以将网络服务可生存性理解对冗余资源的调度问题,即为某服务关联的冗余资源设计合理的调度策略,借助实时监测机制,调控这些资源对服务请求做出响应。

可信网络中网络可用、可生存性是一个包含服务可用和资源可用的多方面的综合要求,不同的用户群体对网络可能提出不同的要求,关注不同的重点。网络用户和服务提供商主要关注网络服务的可用性,网络运营商更关注物理链路和IP网络的可用性。

2 保证网络可用的研究方面

网络可生存性指对网络系统基本服务可用性的保障,即在系统发生故障或者遭受恶意攻击时仍按照要求及时完成任务的能力,或者重新配置基本服务的能力。网络可用、可生存性是可信网络的基础。

2.1 网络服务可生存性

网络服务是下一代互联网的中心,造成网络服务失效的原因可归纳为软硬件故障或网络攻击破坏用户行为。网络服务可用、可生存性主要指在软件系统的设计,使用和评估过程中,保证提供服务的安全可靠性和可用性。目前这方面的研究主要包括网络信息系统可生存性,p2p网络可生存性,Ad hoc网络可生存性,网络态势分析中服务可用性这几个方面,研究的热点在AD hoc网络和信息系统的可生存性评估。

2.2 网络链路可生存性

网络链路可生存性主要包括对故障的抵抗能力,故障发生后业务的恢复能力,引入了路由机制,可用性评估机制来增强网络生存性,提高网络可用性。

传统的生存机制只考虑一种网络中发生单一故障的情况,并多采用某种单一的技术实现帮故障链路的重新选路,文献[4]等人针对传统子网路由法存在的问题,在子网路由法中考虑了对共享分享链路组的恢复问题,并引入了选路原则,提出了具有多重故障恢复能力的光网络生存性机制,提高了网络的恢复效率同时解决了二次故障的生存性问题[4]。

为了公正的评估网络生存性,文献[5,6]定义网络可用性概念为可用性与阻塞率的平衡点对应的可用性值,设计了动态业务下的网络可用性算法DNAA来得到网络可用性值,并定义了网络的运行性能等于网络的业务接受率乘以业务要求的可用性,算法在保证网络具有最好的运行性能下获得最高的网络可用性[5,6]。

为了能够使网络在出现流量变化和链路故障时有效避免链路拥塞,增强网络的生存性,文献[7]提出了一种通过优化链路权值来增强网络生存性的方案。该方案在选择链路权值时考虑了所有可能的链路故障情景和网络流量的变化,通过引入费用函数对过载链路赋以高费用的方法来避免链路过载,并利用遗传算法在所有可能的链路权值组合中寻找使链路费用之和最小的组合[7]。

2.3 IP网络可生存性

IP网络中IP路由具有较好的鲁棒性,可以在复杂的网络故障场景中提供相应的保护和恢复机制,IP网络的生存性是网络生存性研究的一个子集,常用的方法为多路径路由和快速重路由等方式。

随着交互式应用和各种实时业务的增长对网络生存性要求的提高,IP网络的生存性研究受到了越来越多的关注,文献[8]对IP网络生存性进行了总结,首先对IP网络生存性面临的问题以及影响因素作了概括,并且对目前有关纯IP网络生存性、MPLS网络生存性、IP网络与底层的生存性协调研究作了归纳总结,尤其对纯IP网络的生存性研究现状从多方面进行了比较详细的介绍,最后指出IP网络的快速重路由机制具有很好的实际应用潜力,保护恢复能力和服务质量在MPLS网络中的结合、动态多层保护则是未来IP骨干网生存性维护的发展方向[8]。

多路径路由机制也是提高IP网络效率、保障网络安全的主要方式,也是安全路由机制的重要手段。多路径策略能够在局部节点或链路因失效而不能进行数据传输的情形下,使用备用路径保证通信的可靠性。针对现有的针对多路径路由机制的研究大多数是基于实验观察和仿真研究,且大多是针对特定应用场景而提出的启发式算法,缺乏普遍意义。文献[9]从理论上分析多路径策略与网络性能及生存性之间的关系,从点到点网络入手提出了多路径机制下的网络干扰影响模型,对干扰环境下网络性能的上限进行了探讨[9]。

同时为了解决极端环境下的故障处理、故障处理中的负载均衡、关联故障的处理,文献[9]定义网络的可生存性为,系统在受到攻击、故障、意外事件等情况的影响时能够及时完成任务的能力,建立了一种基于性能的网络生存性评估模型,提出了一种基于偏转路由的故障处理技术,以实现对节点故障以及链故障的快速处理,并研究故障处理过程中对负载均衡以及对服务质量的支的问题。提出了两种极端环境下的故障处理技术,分别针对节点可靠、链路不可靠和节点、链路均不可靠的情况。提出了基于连通支配集合的重路由技术,应用于节点可靠而链路不可靠的情况。

2.4 网络可用带宽测量

网络测量可用于评估网络的可用性,是重要的网络性能参数之一,可用带宽测量在路由选择,服务质量,流量工程等方面具有重要的作用。一类是基于探测间隔模型PGM,另一类是基于探测速率模型PRM。

为了对网络可用带宽进行探测,文献[10]在参考BFind和PathLoad的基础上,针对端到端的网络、基于包排队方式的双向双步长网络路径可用带宽的探测方法[10]。该探测方法由时延监视和UDP发送两个进程组成,基于包的排队时延来获取路径的可用带宽,并通过采用双向双步长的方法来递增或递减UDP包的发送速率。和PathLoad相比实现更加简单,可以缩短探测次数和运行时间,和BFind相比降低了探测带来的开销。

3 总结

可信网络已经成为下一代网络研究的新趋势,可信网络中如何保证网络可用、可生存是可信网络的重要组成部分。本文对可信网络的研究内容及网络可生存性的研究现状进行了简介,进一步发现了网络可用、可生存性是一个综合管理信息。通过对网络服务可用性、链路生存性、IP网络生存性及网络带宽测量的分析,可以得出对于网络可用、可生存性的研究一方面需要从可信网络的体系结构中归纳相应的模型,对网络可用进行定量测量,同时需要从网络源端进行保证和完善可信网络中网络可生存性的目标。网络可生存性的研究还可以从资源调度角度出发,为同某服务关联的冗余资源设计合理的调度策略,调控这些资源对服务需求做出的响应。

参考文献

[1]林闯,田立勤,王元卓.可信网络中用户行为可信的研究[J].计算机研究与发展,2008(12):2033-2043.

[2]林闯,彭雪海.可信网络研究[J].计算机学报,2005(5).

[3]林闯,任丰原.可控可信可扩展的新一代互联网[J].软件学报,2004(12):1815-1821.

[4]曲桦,李增智.具有多重故障恢复能力的光网络生存性机制[J].北京邮电大学学报,2006(S1).

[5]林蓉平,王晟,李乐民.一种考虑阻塞率的WDM网络可用性算法[J].电子科技大学学报,2007(1).

[6]林蓉平,王晟,李乐民.一种基于运行性能的网络可用性算法[J].电子与信息学报,2006(11).

[7]于涛,陈山枝,李昕.一种通过优化链路权值来增强网络生存性的方案[J].高技术通讯,2008(7).

[8]吴静,郭成城,晏蒲柳.IP网络生存性研究综述[J].计算机科学,2007(5).

[9]黄松,许勇,张凌.基于多路径路由机制的网络生存性分析[J].中国科学:E辑:信息科学,2008(10).

可信网络连接 篇6

关键词：云会计,可信性评价,AIS,复杂网络,结构洞

云会计［1］的产生与发展是会计信息化的里程碑,云会计下会计信息系统( Accounting Informa-tion System,以下简称AIS) 的可信性［2］令人关注。目前,采用合理有效的方法,针对云会计环境下AIS进行可信性评估［3］,是云会计发展中亟待解决的关键问题,可信性评估必须充分考虑存在勾稽影响的服务之间乃至功能组件之间的相互作用关系。本文提出了一种基于可信性影响关系网络的云会计下AIS可信性评估方法,以期对云会计环境下AIS得出可信性评估结论。

一、云会计下AIS可信性评估方法

云会计下的AIS作为商品化软件的一种新兴服务方式,可信性水平如何直接关系到用户根据自身业务需求选择云会计产品、云会计厂商的产品质量控制和定价、行业可信性标准的制定［4］等方面的问题,使云会计可信性评价的相关研究在其推广发展中起到重要作用。在考虑云会计各个模块、服务以及细化的业务单元之间存在复杂的相互依存关系,以及协作完成AIS的各项功能,本文构建可信性影响关系网络,以描述这种复杂相互依存影响关系对可信性的影响,并运用复杂网络［5］原理对云会计下AIS进行科学合理的可信性评价。

( 一) 构建可信性影响关系网络TAN

云会计下AIS可信性评估应充分考虑模块之间存在复杂的相互调用、数据勾稽处理关系情况下模块可信性的相互影响关系,这种模块之间可信性影响关系可以用模块可信性影响关系网络( Trustworthiness Affecting Network,以下简称TAN )来表示,可将这种复杂的控制影响、调用关系抽象化为复杂有向网络。TAN不是传统意义上模拟内部调用结构的调用网络,而是综合考虑技术层面和功能层面模块之间可信性影响因素,构建的是可信性影响关系网络。

由节点和边组成的图G = ( V,E) 可以表示一个具体的网络,其中V代表网络中节点的集合{ v1,v2,…,vn} ,E代表网络中边的集合{ ( vi,vj) } ,i,j ∈ { 1,2,…,n} 。依据云会计下AIS的主要业务流程建立功能模块可信性影响关系的复杂网络,复杂网络中的节点V代表云会计服务中各个功能模块的可信性,有向边E代表所连接的两个功能模块之间的可信性影响关系。

( 二) 可信性水平的度量

由于云会计下AIS业务处理的协作性、复杂性和灵活性,用户所需的复杂业务难以由单个功能模块完成,往往需要多个模块协作处理,模块之间具有复杂的业务勾稽关系,并产生大量的指令和数据交互。因此,TAN拓扑结构构建的优良程度极大程度地决定了在AIS关键模块失效时引起整个系统瘫痪的可能性。本文利用复杂网络及其相关理论,基于TAN对云会计AIS的可信性进行评估,从度、介数、结构洞等方面进行分析,提出了度量可信性水平的标度和节点失效策略,以度量云会计下AIS可信性水平。

1. 度。云会计下AIS中模块、功能组件乃至细化的最小功能单元的可信性即为复杂网络节点,节点的度可以代表该节点与其他相连节点的可信性影响程度,能够从一定程度上反映该节点可信性水平受到其相连节点影响的复杂程度,节点的度越大则与该节点发生可信性联系和相互作用的节点就越多,其所面临的可信性评价就越复杂。对于有向加权网络来说,节点的出度反映了该节点对其他节点施加可信性影响的程度,入度反映了该节点受其他节点可信性影响的程度。

2. 介数。在网络的所有最短路径中,通过节点i的最短路径的条数占最短路径总数的比例称之为节点i的介数。节点v ∈ V的介数CB( v) ,定义如下:

其中 σww'表示w和w' 之间的最短路径数,σww'( v) 表示经过点v ,w和w' 之间的所有最短路径的个数。可以看出介数高的节点在网络中的集中性比较高,在网络中的影响就越明显。移除高集中性的节点会比移除度大的节点更易破坏网络的性能。在一些情况下,低度节点可能会有高的集中性。因此,移除高集中性节点来攻击网络可能导致与度攻击不同的效果。

3. 结构洞。 社会网络中结构洞( Structural Holes) 指某些个体之间存在无直接联系或关系间断的现象,从网络整体来看,好像网络结构中出现了洞穴,其中将无直接联系的两者连接起来的第三者( 即结构洞位置占据者) 将拥有信息优势和控制优势［6］。将结构洞理论引入可信性评价的TAN分析中,可以作为节点间存在结构洞情况下分析可信性影响程度的手段。作为 “桥梁”作用的第三方节点占据了其他网络成员进行相互联系的关键路径,即网络中存在结构洞,使得被结构洞联系的节点间可信性影响关系出现缓冲效应———可信性的正向和负向影响都一定程度的减弱。作为 “桥梁”的第三方节点占据可信性影响关系的关键通路,受到两方以及多方的直接影响,能控制可信性影响是否传递以及传递的影响程度。

( 1) 可信性影响pij,结点i与j的可信性影响关系概率值,同i的所有可信性影响关系值之比。这里aij指i ,j两点间的边的属性值。

( 2) 二值约束cij,它表示围绕节点j和i的初始 “结构洞”的缺失约束,节点j通过以下方式约束节点i的 “桥梁” 作用,以节点对其他节点的依赖程度作为评价标准,数值越大,约束性越强; 依赖性越强则能力越小,跨越结构洞的可能性就小［7］:

( a) 节点i要经过较长的时间与较重程度的影响,才能改变节点j的可信性;

( b) 节点j被很少的结构洞包围着,通过这些结构洞,节点i可以发起支持,促进AIS整体的可信性。

由上式可以看出当j是i的惟一连接节点时,cij取最大值1,当j不通过其他节点与j间接相连时,cij取最小值P2ij。

(3)节点约束Ci:

求得的节点约束可以作为衡量TAN内部可信性影响关系传播范围与能力的标度。

4. 可信性系数。云会计下AIS可信性评估着重关注在AIS关键模块失效时引起整个系统瘫痪的可能性,即TAN在关键节点失效后网络的完整程度。AIS可信性评估可以转化为对AIS的TAN研究,即在网络部分节点失效后,该网络的连通程度。因此,定义云会计环境下AIS可信性系数V来衡量可信性水平,其定义为:

即某个或某些节点失效后TAN的最大弱连通图所包含的节点个数和原TAN节点个数的比值,该度量指标描述了当TAN在某个或某些节点失效后其连通程度,用某个或某些组件失效对AIS正常运行实现原预期功能的影响来衡量可信性。在网络中没有节点失效的情况下,可信性系数为1,而出现若干失效节点的网络其可信性系数的取值范围为[0,1) ,可信性系数越大代表AIS的可信性水平越高。当网络中出现失效节点时,可信性系数大的AIS的TAN中最大联通子图中节点个数相对于未失效的情况并未出现大比例损失,整个网络的连通性变化不大,即这个网络所代表的大部分AIS组件仍能够正常运行,并能实现原AIS绝大部分预期功能,该AIS的可信性水平较高。

5. 节点失效策略。本文在模拟失效的情境中采用的节点失效策略,是按照节点介数由高到低依次失效,逐步观察每次节点失效后对AIS可信性系数的影响。之所以根据节点介数制定失效策略而不是依据节点度数失效,是因为介数高的节点在TAN中的集中度高,相对于代表着可信性影响关系复杂的业务模块度高的节点,无论是从用户关注的程度来看,还是从对TAN的影响来看都更具有代表性和说服力。在案例分析中采用此种节点失效策略实现了节点失效情境模拟: 对每个待评估的AIS中的节点的介数进行排序,依次去除TAN的最大联通子图中介数最高的节点及与其直接相连的边,得到存在部分失效模块的AIS,逐步记录可信性系数及其变化趋势,对比采用节点度的高低制定失效策略,引入结构洞理论分析二者的优劣,进而可以得到可信性评估结论。

( 三) 可信性评估流程

基于可信性影响关系网络的云会计下AIS可信性评估,先基于AIS提取出模块的可信性影响关系,在Pajek中构建TAN,结合复杂网络原理分析TAN并制定相应的节点失效策略,模拟节点失效,综合分析后得出可信性评估结论,可以通过以下五个步骤实现( 以金蝶K/3 为例) :

步骤一: 根据购买的会计云服务获取模块的可信性影响关系。

以金蝶K/3 总账系统为核心提取出22 个相关模块,作为企业购买的会计云服务。依据业务流程勾稽关系和服务中数据接口反映出的云会计服务之间调用关系,得出云会计下AIS功能模块的可信性影响关系,如图1 所示。

步骤二: 将可信性影响关系导入复杂网络计算工具Pajek中。

将22 项会计云服务作为TAN的节点,将各项会计云服务之间的可信性影响关系作为TAN的有向边,构建出云会计下AIS的TAN,将节点和边的信息导入复杂网络计算工具Pajek中,得到的TAN如图2 所示。

步骤三: 分析TAN,制定节点失效策略。

TAN的识别和构建是对云会计下AIS进行可信性评估的基础,而各个节点介数是识别TAN中节点及其可信性影响关系重要程度的主要依据。在Pajek中计算出TAN中各节点的入度、出度以及入度出度和,即节点的度,以及介数、结构洞等指标,以备对比分析,如表1 所示。从表1 可以发现在22 个节点中,总账、销售管理、固定资产、内控管理、存货核算、项目管理等节点的介数和度数均较高,在网络中起到决定性的支配作用。

步骤四: 模拟节点失效。

通过移除一部分介数高的节点以及与这些节点直接相连的边( 包括入边和出边) 模拟AIS功能模块失效,记录每次节点失效对TAN的影响,并相应计算可信性系数V。图3 例举了部分节点失效前和失效后的网络。

步骤五: 得出可信性评估结论。

分析关键节点失效后对AIS可信性的影响,如果没有超出可接受的阈值就可选择该云会计服务购买方案。在存在多种备选方案时,针对每套方案进行以上四步可信性评估,并采用一致的节点失效策略,得到各自可信性系数,对比选出最优方案。

二、案例分析

本文以下以A公司欲购买的云会计供应商XYZ提供的云会计产品为例,说明基于可信性影响关系网络的AIS可信性评估方法的应用。A公司为小型制造型企业,主营业务为制造型机械的金属外壳设计与生产,业务流程复杂度不高,与财务相关的业务流程涵盖设备管理、生产管理、财务管理、采购及销售管理等,业务量与年销售额均处于较低水平。现为节约财务信息处理与信息化维护成本,提高财务核算与业务处理的规范性,拟从XYZ云会计供应商处购买若干云会计服务组成的云会计产品,A公司对其云会计产品的可信性水平了解程度不高,现需可靠的第三方评估机构对其购买的云会计产品进行可信性评估,以确定是否购买。

根据A公司的财务业务需求,欲从XYZ云会计供应商处购买的云会计服务有设备管理、在建工程、固定资产、工资、网上报销、销售管理、应收款管理、采购管理、应付款管理、库存、总账、报表、生产管理、预算管理、现金管理、存货核算、成本管理、项目管理、目标管理、费用管理、内控管理、内控分析共22 项云会计服务,由这些服务集成的AIS可信性水平如何是A公司决策是否购买XYZ公司云会计产品的关键因素。

假设本案例中建立的TAN与前文述及的功能模块可信性影响关系( 图1) 和TAN ( 图2) 一致。由于该云会计产品TAN的节点数目较少,网络复杂度不高,因而将节点的失效策略定义为按节点依次按介数的高低失效,每次出现节点失效时,记录并分析其对TAN的影响并求出相应的可信性系数,用以观测关键节点失效给云会计下AIS可信性带来的影响,从而反映出该云会计产品的可信性水平。

在无节点失效的情况下,“总账”节点的介数最高,对网络作用明显,将该节点及与其相连的有向边移除后,求出新TAN的最大弱连通子图,以模拟 “总账”节点失效后的系统状况,如图4 所示。当 “总账”节点失效后,TAN中 “销售管理”节点介数最高,将其以及与其相连的边在网络中移除,观察对网络的影响。再移除介数最高的“存货核算” 节点及其相连边,观察对网络的影响。移除三个介数最高的节点后云会计可信性影响关系网络最大弱连通子图,如图5 所示。记录每次移除节点后对TAN中各个节点介数的影响,并求得相应的可信性系数,如表2 所示。

关键节点失效对云会计环境下AIS可信性具有制约性和级联性的影响,按照定义的节点失效策略,节点的失效顺序为 “总账”、 “销售管理”、“存货核算”。然而,由于在调用结构网络中介数较高的节点失效对网络连通性的影响较大,在模拟第三批节点失效时,当 “存货核算” 失效,调用结构网络中一并删去与 “存货核算”直接相连的边。此时 “工资”成为孤立节点,TAN的最大联通子图一次性减少2 个节点,出现了关键节点失效对整个网络连通性的级联影响,从而影响可信性系数的数值。由此可见以TAN中移除节点及其相连边的方法反映出可信性影响关系的复杂性和动态性,有效模拟云会计环境下AIS业务模块失效时对可信性的影响。

由于结构洞可以反映TAN中节点可信性影响关系传播的范围与能力,现使用节点度为标度的节点失效策略( 简称度方案) 与上文采用的以介数为标度的节点失效策略( 简称介数方案) 三批失效后的结构洞节点约束进行对比,检验介数方案在失效策略上的有效性。度方案与介数方案在前三批失效中失效节点数相同,也就是对可信性系数的影响相同,然而具体失效的节点不完全一致: “总账”节点第一批失效, “销售管理”节点第二批失效,“内控管理”、“内控分析”节点第三批失效。可以看出两个方案下前两批失效节点相同,在对比结构洞节点约束时不再考虑这两个节点,结构洞节点约束对比结果如表3 所示。

通过对比介数方案与度方案结构洞节点约束的均值和方差,发现介数方案无论是均值还是方差均低于度方案,即相对于度方案,介数方案网络中剩余节点具有整体上更低水平的节点约束,说明在可信性系数相同的情况下,以介数为标度的节点失效策略能够移除TAN中更加重要的节点,这些节点移除后,TAN的结构更加松散、节点之间的可信性相互影响程度更低,由此说明了以介数为标度的节点失效策略的有效性和高效性。

三、结论

一种可信网络模型的构建方法 篇7

网络信任体系是国家信息安全保障体系的重要组成部分,是实施国家信息化战略的重要保障,而可信网络架构不是一个具体的安全产品或一套针对性的安全解决体系,而是一个有机的网络安全全方位的架构体系化解决方案,强调实现各厂商的安全产品横向关联和纵向管理[1,2,3]。尽管信息网络的安全研究已经持续多年,但对网络攻击和破坏行为的对抗效果并不理想,面临着严峻的挑战。事实上就整个网络安全需求而言,许多问题的研究是相关联的,分散孤立的应对方式显然不可取,如何在网络复杂异构的环境下,提供一致的安全服务体系结构,如何在保障网络高效互通基础上,提供强大的监控能力,都是必须综合考虑的重要问题。

1 可信网络认证系统的框架

在信任管理技术方面,对很多相关理论和技术性问题都没有形成共识,仍缺乏系统明确的方法论指导[4,5,6],还无法完全解决互联网发展过程中对于信任关系准确度量与预测的需求,大部分模型对于信任值的决定因素考虑得不够全面,无法很好地描述信任的动态性和不确定性等属性。因此,该文研究的最终目标是在把信任管理与可信网络连接有效整合的过程中解决跨域可信度问题,具体包括域间身份认证和管理、域内身份识别和控制等方面的问题。

1.1认证系统的结构

基于上述安全需求,这里提出一种跨管理域的安全可信网络体系架构,具体体系架构如图1所示。为方便描述,这里假设有3个管理域需要进行安全可信保护,分别为管理域A/B/C。其中,各管理域之间互相通信采用跨域身份认证机制进行安全保障。而域内数据通信则采用基于链接假名和模糊身份加密机制完成可信认证。本框架对可信网络连接规范的一般功能做了初步的界定,解决了可信网络连接中所用的机制,如远程证明机制如何与其他的安全机制进行有效结合的问题。

1.2跨域身份认证方法

跨域身份认证是指在多管理域环境下,资源的提供者和使用者可能跨越不同的管理域,因此需要跨域身份认证来解决不同管理域之间资源的相互使用问题。跨域身份认证中,为了对不同管理域的身份权限进行协商,各管理域需要维护不同信任管理域的属性权限映射关系,当涉及到的管理域数目比较少的时候,具有很大的可行性。但是当管理域的数量比较多时,每一个管理域需要维护的数据将十分复杂,给跨域身份认证的管理带来极大的不便。因此系统基于高可信第三方实现对管理域认证信息的维护,包括对个管理域身份认证地址的管理,对各管理域之间相互映射关系的管理。通过高效的数据组织和安全可靠的数据传输机制来保证跨域身份认证的正确性。

跨域身份认证的整体结构如图2所示。

跨域身份认证由本地身份认证模块、本地授权决策模块、本地身份与权限管理模块、跨域权限查询模块、第三方身份鉴别模块以及第三方权限服务模块组成。

这里采用的跨域身份认证的关键技术如下:

① 基于信任度的实体属性映射技术:每个管理域都有其自身的权限定义规则,这样造成用户无法按照其固有属性来进行跨域的权限判定,必须通过协商定义出一种权限映射机制来实现不同管理域实体的访问权限变化策略。通过用户在其他域中的访问权限,按照一种映射规则转换为本域中的访问权限成为一种可行的方法,这种方法基于管理域之间可信度和相互协商的结果来实现,重点需要解决以下几个问题:一是对管理域实体、策略的定义和统一描述;二是基于信任度对跨域实体之间的信任度映射机制进行定义,具有高信任度的实体之间可以尽可能地保留原有实体的控制权限,否则就必须对原有实体的访问控制策略进行进一步的控制;三是针对大量的管理域以及管理策略,研究大规模数据下高效的属性映射存储、查询、修改技术,提供跨域身份认证的准确性和效率。

② 可信的跨域互操作技术:互操作是提高跨域身份认证系统部署和应用的关键性指标,跨域的互操作技术可以集成现有的身份认证机制,使得用户的身份和权限能够在不同的管理域之间传递。为了实现可信的跨域身份认证互操作功能,规范了一种可以在不同管理域之间进行身份和鉴别信息交换的协议,用来屏蔽异构性带来的问题。在该交换协议中重点解决以下几个方面的关键技术:一是对主体身份、属性和权限信息规范描述,通过该规范性的描述可以明确该实体的认证机构、认证的有效期、实体的属性以及该实体在目标机构的权限;二是对跨域身份认证中出现的关于身份认证的请求查询和响应消息进行抽象,定义出针对不同类型消息的标准格式,使得不同域之间传递的身份信息可理解;三是通过高可靠的加密传输机制来保证消息传递的机密性、完整性、可靠性和可鉴别性,保证用户认证信息不被窃听、篡改等。

2 可信认证算法

这里将介绍在域内的相应安全保障机制,假设用户拥有的终端设备,简称为ME(可以是PC或智能手机终端等)。通过ME,用户可以安全地登录网络以广播的方式进行通讯或撤销网络访问。

2.1可信通信过程

在域内进行安全可靠通信的主要流程如下:

① 通过语义安全加密,建立连接请求签名

在终端用户准备通信并建立连接请求时,这里建议通过一个语义安全加密机制产生全局唯一的链接请求签名。

具体来讲,采用ELGamal加密系统,在乘法群Zq的一个q 阶子群Gq中,求得一个大素数p=2q+1;该文把素数p,q和Gq的本原g作为系统参数。由此,通过分布式密钥生成协议产生了一个ElGamal私钥s∈RZq,因此所有的n个通信参与者共同享有s。因此,所有的参与者都有解密的能力,这n个参与者中只有极少数的t个必须执行私钥相关的操作。所有的参与者共享一个公钥,h=g∧s(mod p),h和系统参数一起都是可用的。在该方法中,用户Ui的基本链接签名为PUi,B最初被作为一个代表性的基本标识符ID的加密。因此,ID∈Gq是通过选择r∈RZq和计算(g′,h′ID)的不确定性加密。

接下来,链接假名可以通过对基本假名的迭代重加密得到(k∈N指第k个交易,⨂表示乘法):

PUi,k+1=PUi,k⨂grk+1=(gr+rk+1,hr+rk+1ID)。 (1)

② 通过PRNGs实现链接签名全局唯一性

为了保障根据上面给出的结构所建立的链接签名具有全局唯一性,这里采用一个通过本地安全加密的伪随机数发生器(PRNG),对链接签名的生成作进一步的控制。伪随机数发生器(PRNG)是一个通过使用信息熵资源产生输出随机数序列的工具,只有种子的拥有者可以生成随机数链。

③ 通过基于Expressive Encryption的匿名接收器实现端到端安全通信

对于链接签名的接收方,这里通过密文规则的属性基加密(CP-ABE)技术来得到与数字身份的静态特征文件有关的属性和凭证。通过广义的基于位置的加密(LBE)来处理动态的与上下文有关的凭证。把这2种方法有效地结合,这里实现了一种新的表达策略混合加解密技术。

2.2可信认证算法

在网络中,用户的访问控制通常需要经历4个步骤,首先是生成系统参数,然后系统提取私钥;其次通过公钥进行加密,从而获取密文;最后通过访问控制树,用户通过私钥进行解密,从而获取明文。现在对这4个步骤主要完成的功能进行分析:

首先是系统初始化,通过服务器产生公钥PK以及主密钥MK。

其次是加密步骤,将服务器端的信息M(通常是一份文件)通过密钥进行加密,从而得到密文CT,同时生成访问控制树r,并嵌入CT中。该步骤的详细过程分为3步:

① 在访问控制树r中,所有的结点x都通过一个多项式qx进行标示,该树通过层次顺序进行遍历。

② 根结点R随机选取属性s,使s = qR(0),然后选取另外各点,从而完整定义控制树中的所有节点x的多项式qx。

③ 通过加密公式将M形成密文。

再次就是提取过程,由客户端用户将自己的属性集S输入到服务器端,从而生成得到自己的私钥SK。

最后一步是解密,也就是利用递归算法,从r的叶子结点开始,一直递归到根节点R。直至计算出s。然后根据s通过对称加密算法来解密密文。

3 可信认证实验仿真

为了验证所提出的可信认证的技术可行性,在实验室环境下搭建了基于异构无线网络环境的移动数据服务网络平台,对前述可信认证进行效果验证分析。

骨干网设备采用Cisco公司的无线Mesh路由器来充当,选用这款路由器的理由是该路由器具有双频段。另一方面,在某些终端设备上分别装上了无线传感器网络(WSN)sink节点和GPRS网关,以此来实现网络功能的异构性和多样性。在此实验平台基础上,通过GPRS网关,通过手机发送短信指令的方式,网络用户可以从终端上获取采集到sink节点的传感数据。

在上述实验环境中,将其划分为2个网络域,分别为网络管理域A和B,并通过认证服务器和访问管理服务器根据前面描述的域间身份认证和域内身份识别和访问管理技术实现了消息加密及访问链接签名的全局唯一管理和认证。并实现了Dolev-Yao模型的原型攻击程序,由此对上述网络的可信度和可靠性进行了相应测试。

测试从成功接收的消息数量以及接收到的消息正确性校验2个方面进行,测试结果如图3和图4所示。从图中可以看出一共发送了13组数据,每组数据分别有10条链接签名,接收端分别对上述数据进行接收,从2个图不难看出,无论是接收的数量和接收到消息的正确性,都与发送端的数量相吻合,由此,可以间接证明所提出的可信网络框架在安全可靠的层面具有一定效果。

4 结束语

网络信任体系是国家信息安全保障体系的重要组成部分,因此针对目前可信网络的需求,提出通过一种能够进行可信身份识别与访问控制的可信认证系统,该系统提供了一种灵活建模和描述数字用户身份的机制,支持隐私保护和个人数据获取,能够灵活地实现第3方问责机制与端到端的安全交流。最后通过仿真实验验证了所提出的可信认证系统的功能性及效果。

摘要：当前孤立、单一和附加的网络安全系统已经不能满足客观需求。在分析已有研究的基础上,提出了通过一种基于集成可信身份识别和访问管理方法的安全可信网络框架。该框架提供了一种灵活建模和描述数字用户身份的机制,支持基于事务的隐私保护和个人数据获取,以及灵活的第三方问责机制与端到端的安全交流,并搭建了基于异构无线网络环境的移动数据服务网络平台,进行效果验证分析,实验结果证明了算法的有效性。

关键词：可信网络,框架,认证,访问管理

参考文献

[1]李小勇,桂小林.可信网络中基于多维决策属性的信任量化模型[J].计算机学报,2009,32(3):405-416.

[2]DUMA C,SHAHMEHRI N.Dynamic Rrust Metrics for Peer-to-peer System[C]∥Proceedings of the16th International Workshop on Database and Expert Systems Applications(DEXA2005).Washington:IEEE Computer Society Press,2005:776-781.

[3]THEODORAKOPOULOS C,BARAS J S.On Trust Models and Trust Evaluation Metrics for Ad-hoc Networks[J].IEEE Journal on Selected Areas in Communications,2006,24(2):318-328.

[4]SUN Y,YU W,HAN Z,et al.Information Theoretic Framework of Trust Modeling and Evaluation for Ad Hoc Networks[J].IEEE Journal on Selected Areas in Communications,Selected Areas in Communications,2006,249(2):305-319.

[5]HE R,NIU JW,ZHANG G W.CBTM:ATrust Model with Uncertainty Quantification and Reasoning for Pervasive Computing[C]∥Proceedings of3rd International Symposium on Parallel and Distributed Processing and Applications(ISPA-2005),LNCS3758.Berlin:Springer-Verglag,2005:541-552.

可信网络连接 篇8

随着计算机网络在社会各个层面的应用不断加深,人类对它的依赖愈来愈严重。计算机网络在不断提高速度、功能的同时,开始向安全、可信的提供服务的方向发展。国际上由此展开了大量的标准制定与可信评估等基础性的研究[7]。

本文提出的网络可信评估,是通过测试网络结点行为特征对内(自身抵御病毒和抗物理干扰)是安全的、对外(提供的服务或对外访问)是可信的,来保证整个网络的可信性,并且通过综合对各网络结点行为特征的测试得出结点的可信度,给出整个网络的可信性等级。采用国际上的关于信息安全可信的标准,把网络可信定义为4个部分:政策法律公约可信、网络安全管理可信、网络评估测试构架可信、网络安全技术可信。当符合所有这些标准时,那就认为这个网络是可信的。

根据可信计算组织(TCG)提出的一系列可信平台的标准与规范,并针对(TCG/TNC)标准模型并加以扩充和改进,给出一个评估网络可信性的建模和评估测试框架;同时根据国际标准通信协议与国际安全技术管理标准来设置测试的数据库。建模采用“策划—实施—检查—改进”(PDCA)模式。该模式适用于本文的所有过程。

2 测试模型构架的建立

可信计算组织(TCG)提出的可信网络连接(TNC)标准在原来强调建构安全硬件平台的宗旨上,希望从操作环境的硬件组件和软件接口两方面制定可信计算相关标准与规范。

TNC的架构分为三类行为特征实体:请求访问者、策略执行者、策略定义者,这些都是逻辑实体,可以分布在任意位置。TNC将传统的接入方式“先连接,后安全评估”变为“先安全评估,后连接”,大大增强网络接入的安全性。这种演变是通过可信网络连接技术的三级结构实现的。如图1:

网络测试结点分类:

根据结点在网络拓扑结构上的功能划分,把结点分为几类如下:客户机,工作站,服务器,网络设备,防火墙,其它设备。

而根据(TCG/TNC)给出的模型,按结点在行为特征测试模型中的位置不同,把结点分成三种类型:AR(Access Requestor)(访问结点,PEP(Policy Enforcement Point)策略执行结点,PDP(Policy Decision Point)策略决策结点。

结点行为特征类型用来设置测试过程和方法流程,而结点功能类型表明结点实体在网络拓扑结构中的位置、功能和作用。所有功能结点都可以在测试时按它们的行为特征,把它们放在行为模型的不同位置,测试它们的相应属性功能,计算得出可信度。

2.1 分析获取三种真实数据源,并建立数据库

先获得网络测试评估的权限,通过边界路由、核心交换机、服务器获得结点的信息,建立网络拓扑结构,把结点和拓扑结构数据建成结点指纹库NFB(Node Fingerprint Base)。用于仿真环境中的各结点的数据参数设置。

undefined

(说明:NFB{Nmn|网络共有m+1个设备;每个设备有n+1种参数})

同理根据国际标准协议文档格式,建立包含标准协议的协议指纹库PFB(Protocol Fingerprint Base),用于表达协议的构造特征,存储、处理通信所需要的基本数据。在仿真实验中将根据该库建立表达结点特征行为的各种协议数据包进行测试。同时根据国际组织的TCG体系结构总体规范;ISO/IEC15408-2(技术标准); ISO/IEC 17799:2005(管理体系标准)中对可信与安全的属性有明确的规定,把要评估的项目和数据结构建成一个评估指纹库EPB(Evaluate Fingerprint Base) ;而其中的一些参数是在仿真实验前根据网络和网络所有者给出的静态文档得出的。如表1所示:

某行向量为:Nx114={ A114, A114-1, A114-2, A114-3, A114-4, A114-5, A114-6, A114-7,…}

2.2 建立仿真网络实验环境

根据被评估网络的设计图纸或网络管理工具绘制得到的网络拓扑结构,把相应功能结点和链路在仿真软件或虚拟机网络环境上体现出来。并根据结点特征指纹库NFB的参数信息给网络各结点的多种设置赋值,使仿真或虚拟环境下的结点和真实网络中的结点设置尽量接近一致。再由标准协议库PFB,设计批量产生各种通信离散随机测试数据测试。

对仿真环境自身可信性进行验证,把结点特征标准库NFB的结点行为特征子库做为基本测试库,把它转换成仿真软件可处理的库形式。库中的每个行为特征格式按照PFB库的标准协议数据包的格式进行封装。建好仿真环境后,让仿真软件把基本测试库的行为特征事件重新按测试数据的格式进行通信,检测目的结点收到数据的数量与内容经过执行后是否和真实结点所采集的数据和日志记录相吻合,这样可以评价并改进仿真环境,使之更接近真实网络。

3 评估方法

3.1 网络可信评估标准级别

根据可信计算机系统评估准则(TCSEC)和CC标准(ISO/IEC 15408)并给予改进,把可信分等级如表2所示:

所有的静态可信评估、动态可信评估和结点单个属性评估、单个结点整体性能评估、子网评估、整网的可信性评估和附值均采用多级评估和附值标准,当完成测试得出的结果和实际测试(国际标准认可实验室)结果评估级别不一致时,所有级别只做相应调整即可。 例如:测试的某结点的自身可信度是undefined,是0101(B2) 级,而把此结点(计算机实体)让国际标准认可实验室测试它的安全可信级别是undefined;则所有可信级别均降一级,以便所有的仿真测试可信评估结果和实际国际标准更好的符合。

3.2 网络可信度计算

可信评估(Trust Evaluation)分两大部分:静态特征设置评估(Trust Static Evaluation)和动态测试评估(Trust Dynamic Evaluation)。关系如下(总公式1):

T= (1-β)Ts+βTd

为了提高动态测试在仿真环境中的作用,并体现整体的和谐性、合理性,令加权因子β取到黄金分割点的位置:

β=(√5-1)/2≈0.618(黄金分割点)

3.2.1 静态文档可信评估

结点静态可信度的测试标准主要是根据实际网络中获得的NFB库的结点管理文档、物理环境、物理结点硬件软件属性、设置、可信安全防护措施等使用EFB库对结点的静态特征给一个初始的评估。结点TNx静态可信度计算方式采取平均求和的方式:

undefined

说明:Ts(Nx):Nx结点的静态可信度。n,K:此结点共有n个属性,有K个静态属性,n-K个动态属性。

注1:所做可信评估测试为突出法律法规(包括本网所有者的规章规定)的严肃性,实行法律法规一票否决制,一旦确定某结点为非法结点(此结点是违法的,或它的设置、通信行为严重违反规定,如下面注2中定义的结点属性评估测试中多项为负值),则直接定义其总可信度T=-1,不再需要对它进行其它的评估测试,但可以参加总的可信度计算,使总的网络可信度值减小。

3.2.2 动态可信测试评估

测试的过程主要采用破坏性崩溃测试。这在真实环境下是不能实现的或者代价太高,而在仿真环境下只要平台搭建合理则可以反复地进行破坏性测试。定义的破坏性崩溃测试是:当对某个结点的某个性能指标进行测试时,在不断减少结点的相应防护措施同时增大攻击强度(如方法和流量)直到此结点安全措施被攻破或者结点停止所有服务甚至崩溃。

我们通过收集结点从接受测试到被破坏甚至崩溃所经历的测试次数、强度、时间、受破坏程度等信息来确定此结点的可信评估级别,得出相应可信度。结点TNx 动态可信度Td(Nx)计算方式采取平均求和的方式:

undefined

根据总公式1,得到结点Nx可信度为:

TNx =(1-β) Ts(Nx)+βTd(Nx)

注2:每个结点在真实网络环境中总是处于不断提出访问、服务请求或者验证访问、接受访问、为别的结点提供服务,在不同时刻结点表现的行为特征是不同的,评估标准也不一样。从可信性方面考虑的安全定义就是:结点对外来的访问、攻击表现出了健壮性,它对自己的安全是有信心的,是可信的。对其它结点来讲,这个有自信的结点可能会非法访问、发动对外的攻击或者发送错误的服务信息,这时认为它的影响是负面的,对受到攻击的结点来说它是不安全、不可信的,此时它对外访问属性测试可信度取负值;当没有对外非法访问、攻击时,评估测试可求得结点此项属性的可信度T=0。

3.2.3 网络整体可信度测试评估

采用对整个网络分级,把在整网中的功能作用、地位相同或类似的结点分在同级;而整个网络的可信度的计算采取加权平均求和的方式,这主要是根据各级的各个结点在网络中的重要程度是不同的。权重的计算是当此结点受到破坏不能通信后在整个网络中的影响范围来决定的,如图2。

如图2所示,当结点N11受破坏后,整个局域网内部通信外部通信将全部受到影响,把它设成第一级。例如第一级有三台, N11的权重是N12的两倍,则N11的可信度在整个网络中所占的份额是:undefined。则网络可信度T为(总公式2):

undefined

(M:此网共分M级 ;Ti:为第i级所有结点的可信度;Ti1:为第i级的第一个结点可信度 ;ai1:第i级第1个结点对应权重;ki:为第i级有ki个结点实体)

4 实验结果处理

TCG/TNC给出的三级模型主要目的是验证在通信连接过程中的数据的完整性,而可信通信连接之后的其它属性如可用性、保密性、可控性、可靠性和结点行为的可预测性等属性的验证则没有涉及。在仿真环境中,改进TCG/TNC给出的三级模型,以便更适合仿真环境进行网络多种属性地评估测试,并用此改进模型对目标结点的通信特征行为属性可信度进行仿真设计、实验,得出各结点可信性评估结果。根据上面所给的总公式1,2得出网络的可信度值,最终由可信度值与表2的对应关系得出整个网络的可信评估等级。

4.1 网络通信完整性可信评估

访问端结点N′(x),设为AR;被测试结点的N(x); PDP相当于PEP中的完整性验证设置或设备如图3:

①:N′(x) 请求访问PEP, PEP将访问请求描述发往网络访问授权者N(x)。

②:提出完整性验证要求,同时把自己的测试数据Data1备份为Data1′并传给AR。

③:AR发送测试数据Data2,并备份为Data2′,同时把接收到的Data1处理后重新发回。

④:PDP对接收到的Data1与本身的Data1′进行完整性比较,完整则继续通信,发送返回验证信息Data2,否则发出拒绝信息。

⑤:AR对接收到的Data2与本身的Data2′进行完整性比较,完整则结束测试握手开始正常数据通信,否则发出拒绝信息。

在真实环境中,验证过程①②③④⑤只进行一次或有限的几次,使用的协议也基本一致,如果验证通过,就开始正常通信。而在仿真环境下,在完整性测试时,只反复进行这五个步骤操作。实验采用在测试目标AR允许的范围内的多种协议不断随机变化,强度、流量不断增加,直到目标结点停止请求或者崩溃。则第一种破坏实验得到的完整性可信度T1:

undefined

C15:①②③④⑤过程完全执行过的次数。

C1Z:停止服务前,AR提出的总的访问次数。

第二种实验采用在传输过程中,对AR传输的验证数据进行修改、破坏、插入、延迟、乱序、丢失处理,然后进行破坏性实验,记录总的破坏数据的条数R2Z,PDP检测到受破坏的记录条数R25,由此得出第二种破坏实验得到的完整性可信度T2:

undefined

如果这两类共进行了n次实验,则完整性评估可信度,取它们中的最小值(木桶原理:整个属性的可信安全程度由许多同类的测试得出,它不是取决于最强的地方,而是取决于最薄弱的地方的强度。):

TNx22=Min(T1,T2,……,Tn)

注3:上面测试的过程是对某结点自身面向外来访问进行的完整性测试验证;当验证此结点对外访问、提供服务可信性时则把它放到AR的位置,PEP和PDP的位置设为它访问或提供服务的对象结点,此时的测试数据为NEB库中的结点行为特征子库的此结点已发生的对外访问事件,以此来确定在它对外提供的访问或服务是否可信。所有结点对外访问、服务属性的评估均包括此项测试,评估方式将有所不同,在此,结点的对外访问、服务完整性可信度TNxw为:

TNxw=-1*(1-TNx)

TNx:为PDP结点用真实历史数据测得的此结点的发出完整数据包的可信度。结点的其它对外访问、服务测试类似。

4.2 网络通信可控性-抗DDOS攻击可信评估

访问端结点N′(x),设为AR;被测试结点的N(x);PDP相当于独立的或PEP中的处理访问的控制设置或设备如图4:

①:m′个N′(x) 同时向PEP的N (x)发出请求访问。

②:提出验证要求,PDP正常相应。

③:m′个数和请求频率不断加大到m ,形成DDOS攻击。

④:PDP失去响应服务能力。

本实验的PEP可以与PDP是一个功能结点(测试目标为IDS(入侵检测系统)或装有IDS的服务端);也可以是分开的(IDS+测试目标服务端),则实验采用在传输过程中,PEP对ARm传输数据不断加强保护抗攻击处理,然后进行破坏性实验,记录总的PEP阻止DDOS非法请求数据的条数,AR发出DDOS攻击到PDP崩溃总的数据条数,破坏实验得到的抗DDOS可信度T1:

undefined

C1m' :PDP正常稳定响应的最大次数。

C1m:停止服务时,AR提出的总的访问次数。

如果共进行了n次这类实验,则抗DDOS攻击可信度,取它们中PEP保护设置最完善时的最小值:

TNx22=Min(T1,T2,……,Tn)

4.3 网络通信可靠性-数据备份容灾可信评估

访问端结点N′(x),设为AR;被测试结点的N(x); PDP相当于PEP中的数据存储设置或设备如图5:

①:N′(x)向PEP的N(x)发出DDOS攻击或带病毒数据协议测试包,导致PDP停止服务或者崩溃。

②:PDP在接受访问同时,把有用数据同步传给PDP′和PDP″, 两份备份结点探测到PDP停止服务时就先由PDP′提供服务,同时用异地备份修复PDP或者直接用PDP″暂时通信,同时修复PDP或者PDP′。

③:AR等待一段时间接到非PDP发送正常协议数据后,也开始发送问候协议数据,直到PDP恢复正常功能。

④:PDP发送正常回复数据,开始正常通信。

本实验的time是最多AR可以等待的时间,time1是AR与PDP通信时间,time2是PDP与PDP′或PDP″通信时间,time3是PDP′或PDP″与AR通信时间,time4为PDP恢复到可与AR通信时间,最大PDP可允许的恢复时间是time5(超过这个时限恢复备份是没有意义的)。

当time1+time2+time3≦time≦time4

undefined

而当time≦time1+time2+time3≦time4

undefined

(注: time4>time5时说明系统的备份是不可信的)

如果这两类共进行了n次实验,则数据容灾备份的可信度,取它们中各自的最小值来分别表示这两类的可信度:

TNx22=Min(T1,T3,……, Tn-1)1

TNx22=Min(T2,T4,……, Tn)2

其它属性实验测试类似。

5 系统效果

实验环境:

操作系统:Microsoft Windows XP Professional 2007 Service Pack 3 ; CPU:Pentium(R)D CPU 2.80GHz Hard Disk: 160.0GB Memory:1.024GB;

语言环境:Microsoft Visual C++ 6.0

数据库:Microsoft SQL Server 2005

仿真环境:网络仿真软件环境OPNET Modeler 11.5 ;

虚拟机:Vmware Networkstation_ Red Hat linux 4 Memory:256MB Hard Disk: 8.0GB ;Vmware Networkstation_Windows Server 2008 x6 Memory:512MB Hard Disk:12.0GB

拓扑图2的网络可信评估:

TN1S=0.8 ;TN1d=0.5则:

TN1=(1-β)*0.8+β*0.5=0.382*0.8+0.618*0.5=0.6146

它在第2级的权重undefined(第2级共有四台同类结点设备)

共四级,则

undefined

则此网络的可信度值是:undefined级,中级,0101)

6 结论

通过对局域网仿真测试,给出了一种测量网络可信度的可实现的实验模型,而且根据国际标准对整个网络给出一个具体的评估等级。通过国际标准认可实验室的校对、测试,可以对真实网络进行更准确的评估。

参考文献

[1]中华人民共和国《信息安全等级保护管理办法》[S],公安部、国家保密局、国家密码管理局、国务院信息工作办公室发布,2007.2-16.

[2]GB中华人民共和国国家标准《信息安全风险评估指南》[S],国家质量监督检验检疫总局发布,2006.2-39.

[3]Trusted Computing Group.TCGtrusted network connect TNC architecture for interoperability-specification ver-sion1.3[S].[2009-05-18].USA,Copyright Trusted Computing Group,Incorporated,11-40.

[4]ISO/IEC15408-2:2008[S]Published in Switzerland,ISO/IEC Copyright Office,3-28.

[5]ISO/IEC17799:2005[S]Published in Switzerland,ISO copyright office,66-99.

[6]Jennifer Golbeck,Bijan Parsia,Trust network-based fil-tering of aggregated claims,Maryland Information and Network Dynamics Laboratory,University of Maryland[R],College Park,New York:McGraw-Hill,2006.