接入網(wǎng)終端完整性評估的研究.pdf

1、近年來，隨著各種接入技術(shù)的普及，網(wǎng)絡(luò)用戶數(shù)呈爆炸性增長，帶來越來越多的網(wǎng)上攻擊與破壞事件。解決網(wǎng)絡(luò)安全問題的關(guān)鍵是如何控制非法用戶的接入，因此需要研究可信接入技術(shù)?，F(xiàn)有的可信接入技術(shù)偏重于對于外部的防范，而忽略了接入終端本身的安全。要達(dá)到由終端到網(wǎng)絡(luò)的可信接入，首先要對終端的安全狀態(tài)進(jìn)行檢測和評估。本文在研究現(xiàn)有可信接入技術(shù)和對IETF(Internet Engineering Task Force因特網(wǎng)工程任務(wù)組)NEA(Networ

2、k Endpoint Assessment網(wǎng)絡(luò)終端評估)工作組文檔進(jìn)行詳細(xì)分析的基礎(chǔ)上，對接入網(wǎng)終端狀態(tài)信息收集、身份認(rèn)證、安全機(jī)制等關(guān)鍵技術(shù)進(jìn)行了研究，基于以上研究結(jié)果最終設(shè)計(jì)并實(shí)現(xiàn)了一種靈活的終端完整性評估的方法。本文主要內(nèi)容如下： 1.給出了有效收集終端完整性信息的方法。本文針對常用的終端操作系統(tǒng)Windows和Linux，從注冊表、進(jìn)程、日志等方面獲取并分析信息，在系統(tǒng)用戶態(tài)使用接口函數(shù)進(jìn)行讀取的同時，還深入內(nèi)核態(tài)對信息

3、進(jìn)行了截獲，以獲得全面和真實(shí)的終端狀態(tài)信息。 2.搭建了Diameter EAP接入網(wǎng)身份驗(yàn)證環(huán)境，實(shí)現(xiàn)了身份驗(yàn)證功能。終端身份在完整性評估中占有重要地位，對于不同身份的終端可能采用不同的完整性評估策略。本文針對接入網(wǎng)身份驗(yàn)證的特點(diǎn)和現(xiàn)有認(rèn)證協(xié)議的不足，采用下一代的AAA協(xié)議(認(rèn)證、授權(quán)和記費(fèi))--Diameter協(xié)議，利用其高可靠性傳輸、具有安全機(jī)制、適合于無線網(wǎng)絡(luò)的特點(diǎn)，搭建了Diameter EAP接入網(wǎng)驗(yàn)證環(huán)境，身份驗(yàn)證

4、結(jié)果作為最后完整性評估的重要依據(jù)。 3.利用Diameter EAP協(xié)議實(shí)現(xiàn)身份認(rèn)證功能同時提供了終端狀態(tài)消息的傳輸通道。終端狀態(tài)消息需要合適的傳輸通道，本文利用Diameter EAP協(xié)議高可靠性傳輸?shù)奶攸c(diǎn)，對其原有結(jié)構(gòu)進(jìn)行了一定的修改，然后將其作為終端狀態(tài)評估協(xié)議的傳輸層載體，提供了終端狀態(tài)消息的傳輸通道。 4.設(shè)計(jì)了一種端到端的安全機(jī)制。Diameter提供了一定的安全機(jī)制，但完整性評估模型自身存在安全隱患，且目前

5、缺乏終端狀態(tài)屬性的統(tǒng)一標(biāo)準(zhǔn)，針對這些問題，本文首先提出了一種終端狀態(tài)屬性的統(tǒng)一定義，然后結(jié)合CMS協(xié)議(Cryptographic Message Syntax消息密碼原語)對原有定義進(jìn)行了修改，設(shè)計(jì)了一種端到端的安全機(jī)制。 5.鑒于不同接入網(wǎng)環(huán)境下終端完整性定義不同，提出了“完整度”的概念并進(jìn)行了理論推導(dǎo)和代碼實(shí)現(xiàn)。該概念以一種多屬性策略方法推理完整度大小，評估的依據(jù)綜合了前面幾部分實(shí)現(xiàn)的結(jié)果(終端狀態(tài)信息、身份驗(yàn)證結(jié)果、安全