新書推薦:
《
可转债——新手理财的极简工具
》
售價:HK$
65.0
《
新加坡教育:神话与现实
》
售價:HK$
96.3
《
“口袋中的世界史”第一辑·冷战中的危机事件
》
售價:HK$
291.2
《
绝美的奥伦堡蕾丝披肩编织
》
售價:HK$
177.0
《
狂飙年代:18世纪俄国的新文化和旧文化(第二卷)
》
售價:HK$
177.0
《
万有引力书系 纳粹亿万富翁 德国财富家族的黑暗历史
》
售價:HK$
109.8
《
中国常见植物野外识别手册:青海册
》
售價:HK$
76.2
《
三星堆对话古遗址(从三星堆出发,横跨黄河流域,长江流域,对话11处古遗址,探源多元一体的中华文明)
》
售價:HK$
87.4
|
編輯推薦: |
《可信网络连接与可信云计算》可作为高等院校工科专业研究生和高年级本科生的教材,也可供相关领域的科研和工程技术人员参考。
|
內容簡介: |
《可信网络连接与可信云计算》系统阐述当前可信计算领域的两大热点技术——可信网络连接和可信云计算,《可信网络连接与可信云计算》分为上下两篇。上篇全面系统地介绍可信计算技术、网络访问控制技术、可信网络连接技术以及可信连接架构。在此基础上结合实践应用,论述可信网络连接技术原理及实现途径。下篇主要对可信云安全的构建技术、云计算虚拟化技术、可信移动终端技术、基于可信基的数据安全防护技术、基于安全属性的行为度量以及基于控制流的软件动态度量技术进行了阐述,引入了最新研究成果并结合应用实例进行了深度技术剖析。
|
目錄:
|
《信息科学技术学术著作丛书》序
前言
上篇可信网络连接技术
第1章 可信计算概述
1.1信息安全威胁
1.2计算机信息攻击分析
1.2.1扫描、监听、嗅探
1.2.2密码口令破解
1.2.3侵入系统
1.2.4攻击系统
1.2.5病毒攻击
1.3可信计算技术的提出
1.3.1可信计算技术基础知识
1.3.2TCG可信计算技术
1.4可信计算规范
1.4.1TCG可信计算规范架构
1.4.2TCG核心规范
参考文献
第2章 网络访问控制技术
2.1网络访问控制技术架构
2.1.1NAC技术架构
2.1.2NAP技术架构
2.1.3TNC架构
2.2三种网络访问控制技术的分析与比较
2.2.1三种主要网络访问控制技术的比较
2.2.2TNC技术的优势
参考文献
第3章 可信网络连接技术
3.1终端完整性
3.2设计思路
3.3TNC架构
3.3.1与IWG架构的关系
3.3.2与IETF的AAA架构的关系
3.3.3TNC架构组成
3.3.4角色
3.3.5层
3.3.6功能
3.3.7TNC接口
3.3.8TNC支持文件
3.3.9跨域TNC
3.3.10目标和假定条件
3.3.11网络访问中通过接口的主要消息流
3.4TNC架构组件间交互
3.4.1TNC客户端和TNC服务器交互方面
3.4.2TNCCIMC交互和TNCSIMV交互
3.5评估、隔离和修复
3.5.1网络访问控制阶段
3.5.2评估阶段
3.5.3隔离阶段
3.5.4修复阶段
3.5.5TNC架构中的修复
3.6基于TPM的TNC架构
3.6.1基于TPM平台的特征
3.6.2角色
3.6.3功能单元
3.6.4IFPTS接口
3.6.5平台可信服务分析
3.6.6TNC和TCG完整性管理模型
3.7TNC架构的技术支持
3.7.1网络访问技术
3.7.2报文传输技术
3.7.3PDP技术
3.8安全考虑
3.9隐私考虑
3.10可信网络连接远程证明
3.10.1DAA 策略
3.10.2DAA相关知识
参考文献
第4章 可信连接架构
4.1可信连接架构概述
4.2TCA层次构架
4.2.1网络访问控制层
4.2.2可信平台评估层
4.2.3完整性度量层
4.3TNC与TCA的比较
参考文献
第5章 可信网络连接原型与实现
5.1可信网络连接架构概述
5.2可信网络连接架构实现
5.3IMCIMV完整性度量
5.3.1IMCIMV工作流程
5.3.2可信网络完整性度量IMCIMV示例
5.4可信网络连接原型系统安装与测试
5.4.1网络拓扑
5.4.2客户端安装与配置
5.4.3服务器端安装与配置
5.4.4交换机配置
5.4.5TNC原型系统测试
参考文献
下篇可信云计算技术
第6章 云安全概述
6.1云计算基本概念
6.2云计算安全的基本概念
6.2.1云基础设施及其安全相关特性
6.2.2云基础设施的安全性问题
6.2.3云计算模式下数据隐私性安全问题
6.3从云安全到可信云计算
参考文献
第7章 云计算虚拟化技术
7.1虚拟化技术概述
7.2虚拟化技术实现
7.2.1CPU虚拟化
7.2.2内存虚拟化
7.2.3存储虚拟化
7.2.4网络虚拟化
7.2.5IO设备虚拟化
7.2.6操作系统级虚拟化
7.3虚拟化与虚拟可信根
7.3.1虚拟化系统安全的研究与分析
7.3.2虚拟可信平台的关键组件
7.3.3可信虚拟平台的证明服务
7.3.4可信虚拟平台的迁移
7.3.5虚拟化环境中vTPM对象访问授权协议
7.3.6基于vTPM的信任传递机制
7.4虚拟化技术在云计算中的应用
7.4.1虚拟化平台主流产品介绍
7.4.2基于Xen的可信虚拟机系统的构建
7.4.3IBM vTPM的Xen实现分析
7.4.4基于虚拟机的可信云计算平台设计
参考文献
第8章 可信移动终端技术
8.1移动计算与云计算
8.2移动可信计算技术的概念与内涵
8.3国内外主流技术分类
8.3.1ARM的TrustZone技术
8.3.2TI的MShield
8.3.3TCG的MTM技术
8.3.4几种技术的发展趋势
8.4MTM技术
8.4.1MTM的体系结构
8.4.2MTM在移动通信终端中的实现
8.5可信移动终端的云端接入技术
8.5.1云端可信接入机制
8.5.2云端可信接入协议
参考文献
第9章 可信云计算技术
9.1虚拟化技术
9.2基于可信VMM的安全防护技术
9.2.1系统概要
9.2.2系统功能与实现
9.2.3平台安全
9.2.4可信虚拟机监控器
9.2.5系统原型与应用
9.3基于云计算的数据隐私与安全保护技术
9.3.1模型设计
9.3.2系统功能设计
9.3.3系统组成与实现
9.4基于软件行为和控制流的动态度量技术
9.4.1软件行为与CFI概念及应用
9.4.2软件行为自动机模型
参考文献
|
內容試閱:
|
第1章可信计算概述
上篇
可信网络连接技术
第1章可信计算概述
2001年,发生在美国纽约的“9 11”事件震惊了全世界。2002年美国专家爱德 约敦写了一本名为《字节战争》的书,引起了巨大轰动。这主要是因为他对“9 11”事件的深度剖析引发了许多思考。他鲜明地指出IT领域将成为未来的重要战场,阐明如何应对IT领域“9 11”型的难预料性、突发性、灾难性事件。他还进一步指出:如果说第一次世界大战是化学家发明引起的战争,第二次世界大战是物理学家发明引起的战争,那么未来的世界大战如果发生,就将是IT专家发明引起的战争。
面对“后9 11”时代,爱德 约敦突出强调我们正进入信息时代,正处在一个高技术、快变化、难预测、恶性事件频发的世界。在这个世界里,IT领域面临的威胁比以往更加严重。系统安全、风险管控、应急体制、恢复机制、系统鲁棒性和灾难抢救都应适应这种严峻形势。在新时期,IT系统已然成为国家关键基础设施的重要组成和人们生活必不可缺的部分。网络空间已成为涉及国家安全的新领域。IT系统安全、基础信息设施安全、信息安全,以及个人隐私安全等都显得特别突出、重要。因此,应高度重视IT系统安全问题,寻求解决之道。
面对“后9 11”时代的种种威胁,人们期盼构建可信的信息系统、可信的网络、可信的环境,获得可信的服务。可信计算技术由此得到了快速的发展。
1.1信息安全威胁
随着信息技术的发展,现代社会的方方面面都越来越依赖计算机。特别是近十年来,在互联网技术的推动下,计算机越来越多地被应用到社会、经济、政治、教育、文化和军事等各个领域,计算平台的安全性变得越来越重要。然而,自从计算机问世以来,安全问题就一直伴随着计算机的发展而存在。特别是,计算机软件的人工编程模式和互联网的自由发展方式都使漏洞、病毒及攻击无法避免。近年来,随着软件工具的发展,软件漏洞、病毒的数目急剧增加。移动互联网的快速发展,也使得针对软件的攻击范围不断扩大,造成的安全危害日趋严重[1]。
软件安全漏洞产生的根源在于,软件系统的超级复杂性和程序正确性证明的无法实现。Linux内核2.6.27版本的代码库的代码量就已经超过1000万行。据统计,一个主流UNIXLinux或Windows系统均有上亿行代码。研究表明,典型的产品级软件每千行代码就有一个与安全相关的漏洞。由此推算,一个主流应用软件就可能隐藏了10万个以上的安全漏洞。常见的软件漏洞威胁主要有缓冲区溢出、恶意文件执行、SQL注入、不安全对象引用、跨站脚本攻击(XSS)、不安全的身份鉴别、多级存储和加解密过渡等。这些漏洞的数目并没有因软件补丁增加而减少,相反呈急剧上升之势。图1-1是国家互联网应急中心(CNCERT)给出的2002~2008年软件漏洞增长情况。根据中国国家信息安全漏洞库(CNNVD)统计,截至2014年7月底,CNNVD漏洞总量已达68165个。目前,中国已是网络攻击的主要受害国。仅2013年11月,境外木马或僵尸程序控制服务器IP数目为3618,控制了境内近90万个主机IP。
图1-1CNCERT报告的软件漏洞统计数据
软件漏洞的泛滥为黑客提供了可乘之机。由于需要进行频繁的补丁更新和版本更新,人们采取事后修正的策略,并没做到预先防御,所以实际上绝大多数系统都存在或多或少的漏洞。与服务器相比,客户端系统更容易受到攻击。据初步统计,当前世界每20秒就有一起黑客侵入事件发生,仅美国每年造成的经济损失就超过100亿美元。
2014年5月15日,中国互联网络信息中心(CNNIC)发布报告称,2013年互联网国家级有组织的网络攻击频发,如“棱镜门”事件中披露的美国国家安全局进行的网络监控项目等。此次CNCERT公布的大量数据显示,中国境内遭受网络攻击的情况也十分严重,CNCERT详细列举了国内机构、企业遭受境外攻击的具体案例。数据显示,仅2013年的前两个月,就有境外5324台主机通过植入后门对中国境内11 421个网站实施远程控制。其中,位于美国的1959台主机控制着中国境内的3579个网站,位于日本的132台主机控制着境内的473个网站。按照所控制的境内网站数量统计,美国位居第一。此外,针对中国网上银行、支付平台、网上商城等的钓鱼网站有96%位于境外,其中位于美国的619台服务器承载了3673个针对境内网站的钓鱼页面,美国服务器承载钓鱼页面数量占全部钓鱼页面数量的73.1%。
CNCERT提供的案例显示,中国网站遭受境外攻击十分频繁。主要体现在两个方面:一是网站被境外入侵篡改;二是网站被境外入侵并安插后门。中国遭受来自境外的DDoS攻击也十分频繁。数据显示,2013年2月24日中国西藏网的邮件系统被植入后门。2013年2月22日,中国网英文版企业分站遭到源自美国地址的攻击,页面遭恶意篡改。2013年1月28日人民网IP地址遭受来自境外的DDoS攻击,18:30~20:20出现明显异常流量,峰值流量达100Mbits,约为正常流量的12倍,其中UDP流量占95%,约有88%来自境外。CNVD作为中国的国家级漏洞库,也受到来自境外的大量攻击,一些攻击还尝试渗透网站服务器以获取漏洞信息。2012年11月~2013年1月,在对CNVD网站的攻击事件监测中,来自境外国家和地区的攻击次数最多的为美国,达5792次。
事实上,中国遭受境外网络攻击的案例远不止于此,包括国家部委、企业、院校在内的一大批组织机构都曾遭到境外网络入侵。2012年9月~2013年2月,某重要政府部门、某财产保险股份有限公司、某科研院武汉病毒所等中国85个重要政府部门、重要信息系统、科研机构等单位网站被境外入侵并植入网站后门,其中有39个单位网站是被源自美国的地址入侵。
2014年7月21日,CNNIC在北京发布第34次《中国互联网络发展状况统计报告》(以下简称《报告》)。《报告》显示,截至2014年6月底,我国网民规模达到6.32亿,其中手机网民规模5.27亿,互联网普及率为46.9%。网民中使用手机上网的人群占比提升至83.4%。3G的普及、无线网络的发展和手机应用的创新促成了我国手机网民数量的快速增加。近年来,电子商务类互联网应用在手机端应用中发展迅速,其中手机在线支付网民规模增幅较大。《报告》显示,2014年上半年,支付应用增长很快,尤其手机支付用户规模半年增长率达63.4%,使用率由2013年年底的25.1%增至38.9%。此外,手机购物、手机团购和手机网上银行用户等也有较大增长。
SIM卡是手机中的关键安全部件。2013年7月31日的洛杉矶Black Hat 安全大会上,德国译解密码者卡斯滕 诺尔(Karsten Nohl)宣布,经过多年研究,已经找到SIM卡的加密漏洞和软件漏洞,涉及数亿SIM卡,从而打开了危险之门,只要发送一个隐藏的SMS短信就可以侵入SIM卡。2013年新增手机病毒样本80万个,与2012年比有数十倍增长。智能手机、平板电脑等移动设备为网络信息传递带来便捷的同时,也面临着许多信息安全风险。一些恶意APP以提供免费下载为诱饵,用户一旦安装,就通过事先设定好的命令,将用户移动设备中的个人隐私信息发送至指定服务器,导致信息泄露。
另外,使用公共WiFi遭遇信息安全风险的情况也不在少数。黑客往往会搭建免费公共WiFi供用户使用,当用户在这个“黑网”内进行网络交易或输入隐私信息时,黑客便可轻易截获相关数据。
涉及政府机构、军事部门、科研院所和金融商业等部门的计算机犯罪已严重干扰了人们的工作和生活,不仅恶意侵犯了公民隐私,还造成了巨大损失,更为严重的是它已直接或间接地危害到国家安全。
1.2计算机信息攻击分析
面对严峻的安全威胁,只有深刻了解各种计算机信息攻击手段,才能采取有针对性的防范措施。这就好像人首先要清楚其身体状况,确定究竟有没有病,而后才能对症下药。因此,有必要对计算机信息攻击手段进行深入分析。计算机信息攻击是指利用对方计算机和网络系统的安全缺陷,为窃取、修改、伪造或破坏信息,以及降低、破坏网络使用效能而采用的各种措施和行动。计算机硬件与软件、网络结构与协议,以及网络管理等方面都不可避免地存在安全漏洞,使得信息攻击成为可能。在不考虑电磁辐射攻击的情况下,网络必然成为各类信息攻击的入口。网络攻击策略往往是首先确定攻击目标,之后寻找薄弱环节,这主要通过网络监听、嗅探和扫描完成,进而完成密码、口令破解和漏洞扫描,以此侵入系统,获取相应权限并完成攻击或病毒注入等,达到攻击目的。网络攻击一般是渐进式的,自底向上逐级突破,如图1-2所示。
图1-2渐进式网络攻击
……
|
|