论文摘要
摘要计算机网络如今成为全球信息共享的平台,但是随之而来的网络安全问题一直困扰着人们。常用的网络防护手段逐渐露出了弊端,这就需要新的安全防护技术来解决网络安全问题。可信计算技术就在这种环境下诞生,为解决网络安全问题提供了新思路。课题来源于国家自然基金“基于多核的I/O资源可信访问策略研究”(基金编号:60850002),目的是基于可信硬件平台研究网络可信访问策略,设计可信平台的网络访问控制系统,利用可信终端实现网络可信访问。论文论述并分析可信计算平台和可信网络相关理论与技术,在对可信网络连接体系结构和网络访问控制技术进行深入讨论的基础上,基于自主研发的硬件可信平台,提出一种可信平台的网络连接体系结构。将远程服务器上的网络连接评估过程集成到终端的可信平台上,在终端接入网络前,通过可信平台对终端的四种安全属性进行评估,保证终端的唯一性和安全性。依据评估的结果将终端接入安全内网、外部网络和隔离区域三种不同的网络环境中,从终端开始构建可信的网络访问环境。基于使用控制模型提出一种可信平台的网络访问控制模型,并设计网络访问控制策略。用户和终端作为两类不同的主体,在其进行网络访问过程中动态评估可信状态,对网络访问进行监控,保证网络访问的可控性。利用可信平台驱动程序实现网络访问控制系统,依据访问控制策略并利用驱动程序对网络数包进行分析和安全处理,实现对用户和终端的网络访问控制。这种实现方式使访问控制系统对用户和攻击者具有双向透明性,提高了系统的安全性。论文最后对可信平台的网络访问控制技术进行了总结,并对相关技术的进一步研究方向做出展望。