内生安全路由交换平台设计
发布时间:2021-01-23 16:39
路由交换设备作为关键的网络基础设施,其安全性对整个网络的安全具有重要意义。计算体系结构、操作系统和应用软件不可避免地存在设计缺陷或漏洞,而传统的防御措施基于已知威胁特征库无法应对未知的安全威胁。因此,将可信计算、拟态防御、CPK技术相结合,构建具有内生安全功能的路由交换平台体系架构。基于双体系结构的可信计算平台,保证了平台的完整性;通过动态异构冗余的拟态防御机制,增加了攻击者的实施难度;通过组合公钥密钥协商,结合MACsec加密框架,保证了通信设备双方身份的真实性、数据的机密性。相关的设计思路和方法可为构建安全路由交换设备提供参考。
【文章来源】:通信技术. 2020,53(09)
【文章页数】:6 页
【部分图文】:
基于CPK的认证及密钥协商流程
基于双体系结构的可信计算平台如图1所示。其中,通用计算域完成通用的计算任务,可信防护域通过TPCM硬件平台、TPCM操作系统和可信软件基根据可信策略对通用计算域进行主动度量和主动控制。通用计算域与可信防护域之间通过专用安全访问通道交互信息,实现安全隔离。可信启动流程从系统的启动到应用分为待机、启动和运行3个阶段。待机阶段,作为信任根的TPCM首先上电,主导电源控制,对启动代码的度量确认;启动阶段对通用平台信息进行度量,通用操作系统加载代码和内核进行度量,建立可信运行环境;运行阶段维护可信平台,动态监控重要数据及运行代码的安全可信,从而达到系统运行全过程的可信计算环境保护目的。启动过程中,如果检测度量对象被恶意篡改,则根据启动策略进入受控非可信工作模式或阻止其上电等。极端情况下,一旦恶意代码入侵而导致系统失控,TPCM可以采取切断物理通道、关闭控制电源等保护措施。
路由交换设备的管理软件、控制软件和其他功能软件,功能流程可以概括为“输入—处理—输出”模型,将进行消息处理的单元定义为功能执行体(路由交换功能执行体、配置管理功能执行体、其他功能行体)。功能执行体存在的漏洞和后门可以被攻击者扫描探测并利用,进而进行提权、系统控制和信息获取。针对攻击者对设备各功能执行体的攻击步骤,基于拟态防御思想设计了基于动态异构冗余的拟态防御模型,如图2所示。该结构模型针对每一种软件的功能,引入多个异构冗余的功能执行体,对同一输入进行处理,并对多个功能执行体输出的消息进行多数表决,识别哪个功能执行体输出消息异常。针对每一种软件功能单元可以用以下模型来描述:通过不同操作系统编译器,对同一功能软件编译生成多个功能等价的异构功能执行体,形成一个功能等价的异构功能执行体池,分别运行在不同架构处理器和操作系统上。由输入代理模块将输入消息分发给每一个执行体,由它们对同一个输入进行计算后得到多个输出结果。多数表决模块对多个结果进行基于某种算法的多数表决,得到归一化的输出结果,输出结果由输出代理操作后输出。
【参考文献】:
期刊论文
[1]基于国产处理器的可信计算平台构建方法[J]. 冷冰,庞飞. 通信技术. 2019(08)
[2]天地一体化信息网络安全防护技术的新思考[J]. 季新生,梁浩,扈红超. 电信科学. 2017(12)
[3]可信3.0战略:可信计算的革命性演变[J]. 沈昌祥,张大伟,刘吉强,叶珩,邱硕. 中国工程科学. 2016(06)
[4]基于CPK的VoIP技术研究[J]. 陈南洋,廖蓉晖. 信息安全与通信保密. 2013(08)
本文编号:2995548
【文章来源】:通信技术. 2020,53(09)
【文章页数】:6 页
【部分图文】:
基于CPK的认证及密钥协商流程
基于双体系结构的可信计算平台如图1所示。其中,通用计算域完成通用的计算任务,可信防护域通过TPCM硬件平台、TPCM操作系统和可信软件基根据可信策略对通用计算域进行主动度量和主动控制。通用计算域与可信防护域之间通过专用安全访问通道交互信息,实现安全隔离。可信启动流程从系统的启动到应用分为待机、启动和运行3个阶段。待机阶段,作为信任根的TPCM首先上电,主导电源控制,对启动代码的度量确认;启动阶段对通用平台信息进行度量,通用操作系统加载代码和内核进行度量,建立可信运行环境;运行阶段维护可信平台,动态监控重要数据及运行代码的安全可信,从而达到系统运行全过程的可信计算环境保护目的。启动过程中,如果检测度量对象被恶意篡改,则根据启动策略进入受控非可信工作模式或阻止其上电等。极端情况下,一旦恶意代码入侵而导致系统失控,TPCM可以采取切断物理通道、关闭控制电源等保护措施。
路由交换设备的管理软件、控制软件和其他功能软件,功能流程可以概括为“输入—处理—输出”模型,将进行消息处理的单元定义为功能执行体(路由交换功能执行体、配置管理功能执行体、其他功能行体)。功能执行体存在的漏洞和后门可以被攻击者扫描探测并利用,进而进行提权、系统控制和信息获取。针对攻击者对设备各功能执行体的攻击步骤,基于拟态防御思想设计了基于动态异构冗余的拟态防御模型,如图2所示。该结构模型针对每一种软件的功能,引入多个异构冗余的功能执行体,对同一输入进行处理,并对多个功能执行体输出的消息进行多数表决,识别哪个功能执行体输出消息异常。针对每一种软件功能单元可以用以下模型来描述:通过不同操作系统编译器,对同一功能软件编译生成多个功能等价的异构功能执行体,形成一个功能等价的异构功能执行体池,分别运行在不同架构处理器和操作系统上。由输入代理模块将输入消息分发给每一个执行体,由它们对同一个输入进行计算后得到多个输出结果。多数表决模块对多个结果进行基于某种算法的多数表决,得到归一化的输出结果,输出结果由输出代理操作后输出。
【参考文献】:
期刊论文
[1]基于国产处理器的可信计算平台构建方法[J]. 冷冰,庞飞. 通信技术. 2019(08)
[2]天地一体化信息网络安全防护技术的新思考[J]. 季新生,梁浩,扈红超. 电信科学. 2017(12)
[3]可信3.0战略:可信计算的革命性演变[J]. 沈昌祥,张大伟,刘吉强,叶珩,邱硕. 中国工程科学. 2016(06)
[4]基于CPK的VoIP技术研究[J]. 陈南洋,廖蓉晖. 信息安全与通信保密. 2013(08)
本文编号:2995548
本文链接:https://www.wllwen.com/kejilunwen/wltx/2995548.html
