学位论文 > 优秀研究生学位论文题录展示
可信终端接入认证技术研究
作 者: 陈建勋
导 师: 侯方勇
学 校: 国防科学技术大学
专 业: 计算机技术
关键词: 可信计算 可信模块(TPM) 可信软件协议栈 可信终端 信任链 Diameter协议
分类号: TP393.08
类 型: 硕士论文
年 份: 2010年
下 载: 124次
引 用: 0次
阅 读: 论文下载
内容摘要
网络中各种资源的使用,需要由认证、授权进行管理,对于任何一个业务应用系统,认证的作用显得至关重要,只有确定了用户的身份,业务系统才能根据用户开户时申请的服务类别,授予相应的权限,实现访问权限的控制,并且监督用户终端对资源的使用情况。传统的认证技术在一定程度上有效保障了合法用户的权益,也能有效防止非法用户对系统网络进行破坏,但不能从根本上保障网络的安全运行,原因就在于忽视了客户终端这个实体的可信性。信息网络终端安全防护是整个网络安全防护的薄弱环节,由于通用终端本身体系结构简单化、终端入网无安全审核、用户行为无安全管控等问题,造成病毒、蠕虫、木马等恶意代码通过终端漏洞攻击整个网络,使网络处于不安全的状态。隐患终端能够接入安全网络并引起严重的安全问题,从本质上说是因为传统的认证技术只以待接入的终端是否掌握认证协议的口令或密钥来判断其是否接入网络,而忽视了终端系统自身是否安全可信。如果待接入的终端本身已经受到攻击,体内植入病毒、木马、恶意代码,攻击者可以通过已接入网络的隐患终端监听认证过程,窃取网络关键信息,甚至利用隐患终端攻击整个网络。要解决这些问题,需要构建可信终端,从源头控制终端的接入,完善服务器认证机制,从而杜绝由于终端引起的绝大数安全隐患问题。本文目的在于利用现有的计算机网络技术和可信计算技术构建一种新的可信终端认证系统,并对该系统进行模型设计实现和性能测试。根据性能测试和压力测试结果表明,整个可信认证系统具有较好的强壮性和稳定性,达到了设计预期目标。本可信终端认证系统中的服务器能够和可信接入终端、业务应用系统协同工作,完成认证和业务处理功能,能够控制终端的访问权限;接入的终端满足系统策略要求,具有安全可信性。同时本系统也有一定的灵活性,能够支持多种业务,有比较灵活的数据库支持方案。本文为实现终端接入认证方案,围绕可信现有技术和Diameter协议展开研究,目的是以可信计算为技术支持,以Diameter协议为传输机制,实现终端与服务器双向认证,实现TPM与Diameter协议双层加密安全传输。在认证过程中引入可信技术,原因在于可信技术能够保证终端的完整性,终端中任何实体(包括软硬件)的非法改动都会引起系统的察觉,系统会拒绝执行下一步工作,完整性受到破坏的终端更难以被可信服务器认证通过,从而实现把隐患终端控制在安全网络的外部,保证了接入网络的终端都是安全可信的,从根本上杜绝攻击者通过隐患终端进行的网络攻击事件,以解决传统认证技术无法解决的问题。在认证过程中引入Diameter协议,原因在于Diameter协议是目前网络中应用最广泛的AAA协议,它具有其他协议不具备的技术优势,能够满足新的接入方式如无线接入、DSL接入等提出的要求,具有更广泛的应用和拓展空间,将Diameter协议和可信技术无缝结合实现终端可信认证系统则是本文的关键。本文主要完成了如下研究工作:(1)对当前信息网络安全的现状进行了分析,指出了传统认证技术存在的不足,分析了在认证过程中引入可信计算技术的优势。(2)围绕可信终端认证系统的实现,对涉及的可信概念、原理机制、关键技术进行了细致的研究。(3)在原有可信理论和技术的基础上,结合网络目前应用的Diameter协议,构建了可信终端认证系统,详细介绍了该认证系统的体系结构、认证过程和认证方案,并对该系统的安全性进行了评估。(4)依据国内外可信计算研究进展和最新理论成果,分析了目前可信计算发展现状,对本可信认证系统的改进方向进行了阐述。(5)将终端接入认证系统应用在模拟的环境中,并对该系统进行了功能测试和压力测试,分析了该系统的安全性和稳定性。
|
全文目录
摘要 10-12 ABSTRACT 12-15 第一章 绪论 15-23 1.1 研究背景 15-18 1.1.1 网络安全现状 15-16 1.1.2 存在问题 16 1.1.3 可信计算技术优势 16-18 1.2 可信计算研究现状 18-21 1.2.1 可信计算概念 18-19 1.2.2 国内外发展现状 19-20 1.2.3 可信计算研究内容 20-21 1.3 本文研究内容 21-22 1.4 论文组织结构 22-23 第二章 可信计算及可信终端研究 23-38 2.1 可信计算体系结构 23 2.2 可信计算终端 23-29 2.2.1 可信计算终端实质和目标 23-24 2.2.2 可信终端特点和原理机制 24-26 2.2.3 可信终端关键部件 26-29 2.3 可信终端认证 29-32 2.3.1 传统认证技术安全性分析 29-30 2.3.2 TPM 的身份特征 30-31 2.3.3 TCG 可信网络连接机制(TNC) 31-32 2.4 可信度量技术 32-38 2.4.1 静态度量方法 32-33 2.4.2 基于TPM 的动态度量方法 33-38 第三章 可信接入认证及安全传输技术 38-48 3.1 密钥的分类 38 3.2 Diameter 安全传输协议 38-40 3.2.1 Diameter 协议体系结构 38-39 3.2.2 Diameter 协议工作原理 39-40 3.3 TPM 仿真分析 40-48 3.3.1 TPM Emulator 仿真调试 40-42 3.3.2 仿真包结构分析 42-43 3.3.3 TPM 命令仿真运行测试 43-46 3.3.4 可信终端认证程序分析 46-48 第四章 可信终端接入认证系统模型 48-60 4.1 系统总体设计 48-53 4.1.1 可信终端接入认证系统结构 48-50 4.1.2 可信终端接入认证系统设计 50-53 4.2 可信终端接入认证系统模型设计 53-60 4.2.1 系统整体结构设计 53-54 4.2.2 服务器端设计 54-55 4.2.3 管理维护模块设计 55-56 4.2.4 可信终端设计 56-60 第五章 可信终端接入认证系统详细设计及实现 60-74 5.1 Diameter 协议流程 60-62 5.2 基于Diameter 协议的可信认证流程 62-65 5.2.1 可信认证及业务流程 62-64 5.2.2 可信授权流程 64-65 5.3 可信认证系统实现 65-72 5.3.1 可信认证方案设计 65-66 5.3.2 网络传输密钥生成方案设计 66-67 5.3.3 安全传输实现 67-68 5.3.4 认证系统关键步骤的实现 68-70 5.3.5 终端功能实现 70-72 5.4 可信认证系统的安全性评估 72-74 第六章 实验及评估结果 74-80 6.1 测试环境及组成 74-76 6.2 服务器性能测试 76-78 6.2.1 测试指标及结果 76-77 6.2.2 可信认证服务器压力测试 77-78 6.3 系统性能分析及改进方向 78-80 6.3.1 性能分析 78-79 6.3.2 改进方向和下一步工作打算 79-80 结束语 80-81 致谢 81-82 参考文献 82-86 作者在学期间取得的学术成果 86
|
相似论文
- 嵌入式可信计算机系统安全机制的设计与实现,TP309
- 基于字节码的软件监控及可信演化框架设计与实现,TP311.52
- 嵌入式系统程序完整性验证技术研究与实现,TP368.12
- 基于可信密码模块的数据安全管理系统关键技术研究,TP309
- 基于Diameter协议的分布式认证系统,TP393.08
- 基于Windows 7的可信终端管理系统的设计与实现,TP311.52
- 可信计算平台完整性度量机制的研究与应用,TP393.08
- 可信的电力市场运营系统中数据和通信安全的研究,TM769
- 一种WINDOWS安全加固技术的研究与实现,TP316.7
- 可信计算技术在P2P网络信任模型中的应用研究,TP393.08
- 可信网络中安全协议和服务的研究,TP393.08
- 应用密码技术保障网上银行安全,TP393.08
- 通用作战态势图数据通信安全研究与设计,TN919.2
- 可信数字签名系统的设计与实现,TN918.1
- 基于Goppa码的直接匿名认证的研究与实现,TP309
- 可信终端管理系统中安全管理中心的设计与实现,TP311.52
- 专用可信计算网络的研究与设计,TP393.08
- 基于EFI固件文件系统的平台安全策略研究与实现,TN918.1
- 可信计算平台委托授权机制的研究与实现,TP393.08
- 基于可信计算的PMAS终端的研究与设计,TP311.52
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|