网络安全体系结构课件2

网络安全技术

（第2版）刘化君等编著教学课件网络安全技术

（第2版）刘化君等编著教学课件h2第2章网络安全体系结构2.1OSI安全体系结构2.2网络通信安全模型

2.3可信计算2.4网络安全标准及管理

刘化君等编著h2第2章网络安全体系结构2.1OSI安全体系结构刘化君h3图2-1OSI安全体系结构三维示意图2.1OSI安全体系结构

第2章网络安全体系结构h3图2-1OSI安全体系结构三维示意图2.1OSI安全体h42.1OSI安全体系结构

2.1.1安全体系结构的5类安全服务

2.1.2安全体系结构的8种安全机制

2.1.3网络安全防御体系架构第2章网络安全体系结构h42.1OSI安全体系结构

2.1.1安全体系结构的h52.1.1安全体系结构的5类安全服务1）身份认证服务 身份认证服务也称之为身份鉴别服务，这是一个向其他人证明身份的过程，这种服务可防止实体假冒或重放以前的连接，即伪造连接初始化攻击。 身份认证是其它安全服务，如授权、访问控制和审计的前提。2）访问控制服务 在网络安全中，访问控制是一种限制，控制那些通过通信连接对主机和应用系统进行访问的能力。访问控制服务的基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法访问使用。

访问控制和身份认证:在一个应用进程被授予权限访问资源之前，它必须首先通过身份认证。第2章网络安全体系结构h52.1.1安全体系结构的5类安全服务第2章网络安全体h62.1.1安全体系结构的5类安全服务3）数据机密性服务数据机密性服务是指对数据提供安全保护，防止数据被未授权用户获知。4）数据完整性服务数据完整性服务通过验证或维护信息的一致性，防止主动攻击，确保收到的数据在传输过程中没有被修改、插入、删除、延迟等。5）不可否认服务不可否认服务主要是防止通信参与者事后否认参与。OSI安全体系结构定义了两种不可否认服务：①发送的不可否认服务；②接收的不可否认服务。第2章网络安全体系结构h62.1.1安全体系结构的5类安全服务第2章网络安全体h72.1.2安全体系结构的8种安全机制

安全服务依赖于安全机制的支持。网络安全机制分为两类：一类与安全服务有关，另一类与管理功能有关。1.数据加密机制加密机制（EncryptionMechanisms）指通过对数据进行编码来保证数据的机密性，以防数据在存储或传输过程中被窃取。2.数字签名机制数字签名机制（DigitalSignatureMechanisms）指发信人用自己的私钥通过签名算法对原始数据进行数字签名运算得到数字签名。收信人可以用发信人的公钥及收到的数字签名来校验收到的数据是否是由发信人发出的，是否被其它人修改过。第2章网络安全体系结构h72.1.2安全体系结构的8种安全机制第2章网络安全体h82.1.2安全体系结构的8种安全机制3.访问控制机制访问控制机制（AccessControlMechanisms）是网络安全防护的核心策略，它的主要任务是按事先确定的规则决定主体对客体的访问是否合法，以保护网络系统资源不被非法访问和使用。访问控制信息库鉴别信息权利安全标记

第2章网络安全体系结构h82.1.2安全体系结构的8种安全机制第2章网络安全体h94.数据完整性机制数据完整性机制（DataIntegrityMechanisms）是指通过数字加密保证数据不被篡改。单个数据单元或字段的完整性发送实体给数据单元附加一个量接收实体产生一个相应的量数据单元流或字段流的完整性另外还需要某种明显的排序形式，如：顺序号、时间标记等2.1.2安全体系结构的8种安全机制第2章网络安全体系结构h94.数据完整性机制2.1.2安全体系结构的8种安全机制h102.1.2

安全体系结构的8种安全机制5.认证交换机制

认证交换机制（AuthenticationMechanisms）是指通过信息交换来确保实体身份的机制，即通信的数据接收方能够确认数据发送方的真实身份，以及认证数据在传送过程中是否被篡改；主要有站点认证、报文认证、用户和进程的认证等方式。使用鉴别信息（如口令），由发送实体提供而由接收实体验证密码技术使用该实体的特征或占有物h102.1.2安全体系结构的8种安全机制h116.通信流量填充机制通信流量填充机制（TrafficPaddingMechanisms）是指由保密装置在无数据传输时，连续发出伪随机序列，使得非法攻击者不知哪些是有用数据、哪些是无用数据，从而挫败攻击者在线路上监听数据并对其进行数据流分析攻击。用来提供各种不同级别的保护，对抗通信业务分析只有在通信业务填充受到机制服务保护时才是有效的2.1.2安全体系结构的8种安全机制第2章网络安全体系结构h116.通信流量填充机制2.1.2安全体系结构的8种安全h127.路由控制机制路由控制机制（RoutingControlMechanisms）用于引导发送者选择代价小且安全的特殊路径，保证数据由源节点出发，经最佳路由，安全到达目的节点。8.公证机制公证机制（NotarizationMechanisms）是指第三方（公证方）参与的签名机制，主要用来对通信的矛盾双方因事故和信用危机导致的责任纠纷进行公证仲裁。公证机构有适用的数字签名、加密或完整性公证机制，当实体相互通信时，公证机构就使用这些机制进行公证。2.1.2安全体系结构的8种安全机制第2章网络安全体系结构h127.路由控制机制2.1.2安全体系结构的8种安全机制h132.1.3网络安全防护体系架构

OSI安全体系结构通过不同层上的安全机制来实现。这些安全机制在不同层上的分布情况如图2-2所示。图2-2网络安全层次模型及各层主要安全机制分布第2章网络安全体系结构h132.1.3网络安全防护体系架构图2-2网络安全层次h142.1.3网络安全防护体系架构安全服务安全机制数据加密数字签名访问控制数据完整性认证交换通信流量填充路由控制公证提供该服务的层次身份认证对等实体鉴别√√

√

3、4、6数据源点鉴别√√

3、4、7访问控制访问控制

√√

3、4、6、7数据机密性连接机密性√

√

1、2、3、4、6无连接机密性√

√

2、3、4、6选择字段机密性√

7数据流机密性√

√√

1、3、7数据完整性可恢复的连接完整性√

√

4不可恢复的连接完整性√

√

3、4、6选择字段连接完整性√

√

6无连接完整性√√

√

3、4、6选择字段无连接完整性√√

√

6不可否认发送的不可否认

√

√

√6接收的不可否认

√

√

√6第2章网络安全体系结构h142.1.3网络安全防护体系架构安全服务安全机制数据加h152.2网络安全模型

2.2.1网络访问安全模型

2.2.2网络系统安全模型第2章网络安全体系结构h152.2网络安全模型

2.2.1网络访问安全模型第h162.2.1网络访问安全模型

当需要保护数据传输以防攻击者危害数据的机密性、完整性、真实性时，就会涉及网络安全访问问题。假设，所讨论的通信模型如图2-3所示，通信的某一方若要通过互联网将消息传送给另一方，那么通信双方必须协同处理这个消息的交换。图2-3网络访问安全模型两个方面用来保证安全：一是与收发相关的安全转换，如对消息加密。这种安全转换使得攻击者不能读懂消息，或者将基于消息的编码附于消息后。二是双方共享的某些秘密信息，并希望这些信息不为攻击者所获知。为了实现安全传输，还需要有可信的第三方。例如，由第三方负责将秘密信息（密钥）分配给通信双方。第2章网络安全体系结构h162.2.1网络访问安全模型图2-3网络访问安全模型h172.2.1网络访问安全模型

归纳起来，由图2-3所示的通信模型可知，在设计网络安全系统时，应完成下述四个方面的基本任务：

1）设计一个用来执行与安全相关的安全转换算法，而且该算法是攻击者无法破译的；

2）产生一个用于该算法的秘密信息（密钥）；

3）设计一个分配和共享秘密信息（密钥）的方法；

4）指明通信双方使用的协议，该协议利用安全算法和秘密信息实现特定的安全服务。第2章网络安全体系结构h172.2.1网络访问安全模型第2章网络安全体系结构h182.2.1网络访问安全模型 并非所有的与安全相关的情形都可以用上述安全模型来描述。比如，万维网(WWW)的安全模型。可以采用网络访问安全模型来描述。该模型的侧重点在于如何有效地避免恶意访问。图2-4网络访问安全模型第2章网络安全体系结构h182.2.1网络访问安全模型图2-4网络访问安全模型h192.2.2网络系统安全模型1.网络系统安全P2DR模型Policy（策略）、Protection（防护）、Detection（检测）和Response（响应）。防护、检测和响应组成了一个的“完整的、动态”的安全循环。第2章网络安全体系结构h192.2.2网络系统安全模型Policy（策略）、Prh202.2.2网络系统安全模型2.网络系统安全PDRR模型

一个常见的网络系统安全模型是PDRR，即：防护、检测、响应和恢复。这四个部分构成一个动态的网络系统安全周期模型。第2章网络安全体系结构h202.2.2网络系统安全模型一个常见的网络系统安全模型h212.3.可信计算目的

为了解决计算机和网络结构上的不安全，从根本上提高其安全性，必须从芯片、硬件结构和操作系统等方面综合采取措施，由此产生出可信计算的基本思想，其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。可信是指“一个实体在实现给定目标时其行为总是如同预期一样的结果”。强调行为的结果可预测和可控制。第2章网络安全体系结构h212.3.可信计算目的第2章网络安全体系结构h222.3.1可信计算的概念

所谓可信计算，就是以为信息系统提供可靠和安全运行环境为主要目标，能够超越预设安全规则，执行特殊行为的一种运行实体。可信计算是安全的基础，从可信根出发，解决PC机结构所引起的安全问题。第2章网络安全体系结构h222.3.1可信计算的概念第2章网络安全体系结构h232.3.1可信计算的概念ISO/IEC15408标准将可信计算定义为：一个可信的组件、操作或过程的行为在任意操作条件下是可预测的，并能很好地抵抗应用程序软件、病毒，以及一定的物理干扰所造成的破坏。这种描述强调行为的可预测性，能抵抗各种破坏，达到预期的目标。TCG对“可信”的定义是：针对所给定的目标，如果一个实体的行为总是能够被预期，那么该实体则是可信的。注意：可信强调行为过程及结果可预期，但并不等于行为是安全的；安全则主要强调网络与信息系统的机密性、完整性、可用性等基本特性。这是两个不同的概念。第2章网络安全体系结构h232.3.1可信计算的概念第2章网络安全体系结构h24可信计算具有以下功能：确保用户唯一身份、权限、工作空间的完整性/可用性确保存储、处理、传输的机密性/完整性确保硬件环境配置、操作系统内核、服务及应用程序的完整性确保密钥操作和存储的安全确保系统具有免疫能力，从根本上阻止病毒和黑客等软件的攻击第2章网络安全体系结构h24可信计算具有以下功能：第2章网络安全体系结构h252.3.2可信计算平台定义了TPMTPM=TrustedPlatformModule可信平台模块；定义了访问者与TPM交互机制通过协议和消息机制来使用TPM的功能；TPM应包含密码算法引擎受保护的存储区域h252.3.2可信计算平台h262.3.2可信计算平台（终端）可信计算终端基于可信赖平台模块（TPM）,以密码技术为支持、安全操作系统为核心安全应用组件安全操作系统安全操作系统内核密码模块协议栈主板可信BIOSTPM(密码模块芯片)可信计算平台第2章网络安全体系结构h262.3.2可信计算平台（终端）可信计算终端基于可信赖h272.3.3可信计算的发展趋势可信云计算（可信云计算平台TCCP）嵌入式实时操作系统可信计算技术（实时性、低功耗）可信计算组织（TCG）：安全嵌入式平台白皮书可信军用计算设备第2章网络安全体系结构h272.3.3可信计算的发展趋势可信云计算（可信云计h282.3.3可信计算的发展趋势已发布的Windows8版本全面实现可信计算功能，它使用特定的芯片TrustedPlatformModule（可信平台模块），并与操作系统紧密整合。芯片和操作系统协同工作的方式已经标准化，但制定标准的可信计算组成员全部是美国公司。TrustedComputing可以确定软件和硬件是否匹配，判断安装了哪些应用程序。在理论上，微软可以防止Windows8操作系统运行除MicrosoftWord之外的字处理程序，TrustedComputing让用户失去了对计算机的控制。第2章网络安全体系结构h282.3.3可信计算的发展趋势已发布的Windowsh292.4网络安全标准及管理2.4.1网络与信息安全标准体系网络与信息安全标准体系示意图第2章网络安全体系结构h292.4网络安全标准及管理2.4.1网络与信息安全标h302.4.2网络与信息安全标准化概况1.国外网络与信息安全标准化简况 目前世界上与信息安全标准化有关的主要组织机构有ISO、IEC、ITU、IETF、IEEE和ETSI。2.国内网络与信息安全标准研究现状 信息产业部(工信部)、公安部、安全部、国家保密局等也相继制订、颁布了一批网络与信息安全的行业标准，为推动网络与信息安全技术在各行业的应用发挥了积极的作用。h302.4.2网络与信息安全标准化概况h312.4.3可信计算机系统安全评价准则 在网络系统可信度的评估中，美国国防部制订的可信计算机系统安全评价准则（TCSEC）具有重要的历史地位和作用；我国根据自己的信息安全状况也制订了系列评价标准。 在可信计算机系统评价准则（TCSEC）中，将计算机系统安全划分为四类七级，由高到低依次是：A、B3、B2、B1、C2、C1和D，其中A级为最高，见表2-2所列。第2章网络安全体系结构h312.4.3可信计算机系统安全评价准则第2章网络安全h322.4.3可信计算机系统安全评价准则1.国际评价标准（可信计算机系统评价准则TCSEC）2.我国评价标准（计算机信息系统安全保护等级划分准则GB17859-1999）第2章网络安全体系结构h322.4.3可信计算机系统安全评价准则第2章网络安全h332.4.3可信计算机系统安全评价准则表2-2TCSEC安全级别分类类别级别名称主要特征DD安全保护欠缺级没有安全保护CC1自主安全保护级自主存取控制C2受控存取保护级单独的可查性，安全标记BB1标记安全保护级强制存取控制，安全标记B2结构化保护级面向安全的体系结构，有较好的抗渗透能力B3安全域保护级存取监控，有高抗渗透能力AA验证设计级形式化的最高级描述和验证第2章网络安全体系结构h332.4.3可信计算机系统安全评价准则表2-2TCSh342.4.4网络安全管理1.安全管理的概念 安全管理(SecurityManagement，SM)是以管理对象的安全为任务和目标所进行的各种管理活动。 网络安全管理包含的内容非常之多，就实际管理工作而言，大致可划分为设备的安全管理、安全策略管理、安全风险控制、安全审计等。第2章网络安全体系结构h342.4.4网络安全管理第2章网络安全体系结构h35思考与练习1.简述网络安全体系结构框架。2.ISO7498-2从OSI安全体系结构的观点描述了哪5种安全服务。3.ISO7498-2从OSI安全体系结构的观点描述了哪8种特定的安全机制。4．有哪些网络安全模型？各模型的特点如何？上网查阅资料，进一步了解各种网络安全模型的主要思想。5.简单阐述可信计算的含义。你认为怎样表述可信计算的定义比较准确？查阅资料，进一步了解可信计算的最新进展，写一篇读书报告。6.可信计算机系统评价准则将信息安全分为几级？各级的主要特征是什么？第2章网络安全体系结构h35思考与练习1.简述网络安全体系结构框架。第2章网络安Thankyou！

欢迎使用《网络安全技术》刘化君等编著Thankyou！欢迎使用《网络安全技术》刘化君等编著网络安全技术

（第2版）刘化君等编著教学课件网络安全技术

（第2版）刘化君等编著教学课件h38第2章网络安全体系结构2.1OSI安全体系结构2.2网络通信安全模型

2.3可信计算2.4网络安全标准及管理

刘化君等编著h2第2章网络安全体系结构2.1OSI安全体系结构刘化君h39图2-1OSI安全体系结构三维示意图2.1OSI安全体系结构

第2章网络安全体系结构h3图2-1OSI安全体系结构三维示意图2.1OSI安全体h402.1OSI安全体系结构

2.1.1安全体系结构的5类安全服务

2.1.2安全体系结构的8种安全机制

2.1.3网络安全防御体系架构第2章网络安全体系结构h42.1OSI安全体系结构

2.1.1安全体系结构的h412.1.1安全体系结构的5类安全服务1）身份认证服务 身份认证服务也称之为身份鉴别服务，这是一个向其他人证明身份的过程，这种服务可防止实体假冒或重放以前的连接，即伪造连接初始化攻击。 身份认证是其它安全服务，如授权、访问控制和审计的前提。2）访问控制服务 在网络安全中，访问控制是一种限制，控制那些通过通信连接对主机和应用系统进行访问的能力。访问控制服务的基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法访问使用。

访问控制和身份认证:在一个应用进程被授予权限访问资源之前，它必须首先通过身份认证。第2章网络安全体系结构h52.1.1安全体系结构的5类安全服务第2章网络安全体h422.1.1安全体系结构的5类安全服务3）数据机密性服务数据机密性服务是指对数据提供安全保护，防止数据被未授权用户获知。4）数据完整性服务数据完整性服务通过验证或维护信息的一致性，防止主动攻击，确保收到的数据在传输过程中没有被修改、插入、删除、延迟等。5）不可否认服务不可否认服务主要是防止通信参与者事后否认参与。OSI安全体系结构定义了两种不可否认服务：①发送的不可否认服务；②接收的不可否认服务。第2章网络安全体系结构h62.1.1安全体系结构的5类安全服务第2章网络安全体h432.1.2安全体系结构的8种安全机制

安全服务依赖于安全机制的支持。网络安全机制分为两类：一类与安全服务有关，另一类与管理功能有关。1.数据加密机制加密机制（EncryptionMechanisms）指通过对数据进行编码来保证数据的机密性，以防数据在存储或传输过程中被窃取。2.数字签名机制数字签名机制（DigitalSignatureMechanisms）指发信人用自己的私钥通过签名算法对原始数据进行数字签名运算得到数字签名。收信人可以用发信人的公钥及收到的数字签名来校验收到的数据是否是由发信人发出的，是否被其它人修改过。第2章网络安全体系结构h72.1.2安全体系结构的8种安全机制第2章网络安全体h442.1.2安全体系结构的8种安全机制3.访问控制机制访问控制机制（AccessControlMechanisms）是网络安全防护的核心策略，它的主要任务是按事先确定的规则决定主体对客体的访问是否合法，以保护网络系统资源不被非法访问和使用。访问控制信息库鉴别信息权利安全标记

第2章网络安全体系结构h82.1.2安全体系结构的8种安全机制第2章网络安全体h454.数据完整性机制数据完整性机制（DataIntegrityMechanisms）是指通过数字加密保证数据不被篡改。单个数据单元或字段的完整性发送实体给数据单元附加一个量接收实体产生一个相应的量数据单元流或字段流的完整性另外还需要某种明显的排序形式，如：顺序号、时间标记等2.1.2安全体系结构的8种安全机制第2章网络安全体系结构h94.数据完整性机制2.1.2安全体系结构的8种安全机制h462.1.2

安全体系结构的8种安全机制5.认证交换机制

认证交换机制（AuthenticationMechanisms）是指通过信息交换来确保实体身份的机制，即通信的数据接收方能够确认数据发送方的真实身份，以及认证数据在传送过程中是否被篡改；主要有站点认证、报文认证、用户和进程的认证等方式。使用鉴别信息（如口令），由发送实体提供而由接收实体验证密码技术使用该实体的特征或占有物h102.1.2安全体系结构的8种安全机制h476.通信流量填充机制通信流量填充机制（TrafficPaddingMechanisms）是指由保密装置在无数据传输时，连续发出伪随机序列，使得非法攻击者不知哪些是有用数据、哪些是无用数据，从而挫败攻击者在线路上监听数据并对其进行数据流分析攻击。用来提供各种不同级别的保护，对抗通信业务分析只有在通信业务填充受到机制服务保护时才是有效的2.1.2安全体系结构的8种安全机制第2章网络安全体系结构h116.通信流量填充机制2.1.2安全体系结构的8种安全h487.路由控制机制路由控制机制（RoutingControlMechanisms）用于引导发送者选择代价小且安全的特殊路径，保证数据由源节点出发，经最佳路由，安全到达目的节点。8.公证机制公证机制（NotarizationMechanisms）是指第三方（公证方）参与的签名机制，主要用来对通信的矛盾双方因事故和信用危机导致的责任纠纷进行公证仲裁。公证机构有适用的数字签名、加密或完整性公证机制，当实体相互通信时，公证机构就使用这些机制进行公证。2.1.2安全体系结构的8种安全机制第2章网络安全体系结构h127.路由控制机制2.1.2安全体系结构的8种安全机制h492.1.3网络安全防护体系架构

OSI安全体系结构通过不同层上的安全机制来实现。这些安全机制在不同层上的分布情况如图2-2所示。图2-2网络安全层次模型及各层主要安全机制分布第2章网络安全体系结构h132.1.3网络安全防护体系架构图2-2网络安全层次h502.1.3网络安全防护体系架构安全服务安全机制数据加密数字签名访问控制数据完整性认证交换通信流量填充路由控制公证提供该服务的层次身份认证对等实体鉴别√√

√

3、4、6数据源点鉴别√√

3、4、7访问控制访问控制

√√

3、4、6、7数据机密性连接机密性√

√

1、2、3、4、6无连接机密性√

√

2、3、4、6选择字段机密性√

7数据流机密性√

√√

1、3、7数据完整性可恢复的连接完整性√

√

4不可恢复的连接完整性√

√

3、4、6选择字段连接完整性√

√

6无连接完整性√√

√

3、4、6选择字段无连接完整性√√

√

6不可否认发送的不可否认

√

√

√6接收的不可否认

√

√

√6第2章网络安全体系结构h142.1.3网络安全防护体系架构安全服务安全机制数据加h512.2网络安全模型

2.2.1网络访问安全模型

2.2.2网络系统安全模型第2章网络安全体系结构h152.2网络安全模型

2.2.1网络访问安全模型第h522.2.1网络访问安全模型

当需要保护数据传输以防攻击者危害数据的机密性、完整性、真实性时，就会涉及网络安全访问问题。假设，所讨论的通信模型如图2-3所示，通信的某一方若要通过互联网将消息传送给另一方，那么通信双方必须协同处理这个消息的交换。图2-3网络访问安全模型两个方面用来保证安全：一是与收发相关的安全转换，如对消息加密。这种安全转换使得攻击者不能读懂消息，或者将基于消息的编码附于消息后。二是双方共享的某些秘密信息，并希望这些信息不为攻击者所获知。为了实现安全传输，还需要有可信的第三方。例如，由第三方负责将秘密信息（密钥）分配给通信双方。第2章网络安全体系结构h162.2.1网络访问安全模型图2-3网络访问安全模型h532.2.1网络访问安全模型

归纳起来，由图2-3所示的通信模型可知，在设计网络安全系统时，应完成下述四个方面的基本任务：

1）设计一个用来执行与安全相关的安全转换算法，而且该算法是攻击者无法破译的；

2）产生一个用于该算法的秘密信息（密钥）；

3）设计一个分配和共享秘密信息（密钥）的方法；

4）指明通信双方使用的协议，该协议利用安全算法和秘密信息实现特定的安全服务。第2章网络安全体系结构h172.2.1网络访问安全模型第2章网络安全体系结构h542.2.1网络访问安全模型 并非所有的与安全相关的情形都可以用上述安全模型来描述。比如，万维网(WWW)的安全模型。可以采用网络访问安全模型来描述。该模型的侧重点在于如何有效地避免恶意访问。图2-4网络访问安全模型第2章网络安全体系结构h182.2.1网络访问安全模型图2-4网络访问安全模型h552.2.2网络系统安全模型1.网络系统安全P2DR模型Policy（策略）、Protection（防护）、Detection（检测）和Response（响应）。防护、检测和响应组成了一个的“完整的、动态”的安全循环。第2章网络安全体系结构h192.2.2网络系统安全模型Policy（策略）、Prh562.2.2网络系统安全模型2.网络系统安全PDRR模型

一个常见的网络系统安全模型是PDRR，即：防护、检测、响应和恢复。这四个部分构成一个动态的网络系统安全周期模型。第2章网络安全体系结构h202.2.2网络系统安全模型一个常见的网络系统安全模型h572.3.可信计算目的

为了解决计算机和网络结构上的不安全，从根本上提高其安全性，必须从芯片、硬件结构和操作系统等方面综合采取措施，由此产生出可信计算的基本思想，其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。可信是指“一个实体在实现给定目标时其行为总是如同预期一样的结果”。强调行为的结果可预测和可控制。第2章网络安全体系结构h212.3.可信计算目的第2章网络安全体系结构h582.3.1可信计算的概念

所谓可信计算，就是以为信息系统提供可靠和安全运行环境为主要目标，能够超越预设安全规则，执行特殊行为的一种运行实体。可信计算是安全的基础，从可信根出发，解决PC机结构所引起的安全问题。第2章网络安全体系结构h222.3.1可信计算的概念第2章网络安全体系结构h592.3.1可信计算的概念ISO/IEC15408标准将可信计算定义为：一个可信的组件、操作或过程的行为在任意操作条件下是可预测的，并能很好地抵抗应用程序软件、病毒，以及一定的物理干扰所造成的破坏。这种描述强调行为的可预测性，能抵抗各种破坏，达到预期的目标。TCG对“可信”的定义是：针对所给定的目标，如果一个实体的行为总是能够被预期，那么该实体则是可信的。注意：可信强调行为过程及结果可预期，但并不等于行为是安全的；安全则主要强调网络与信息系统的机密性、完整性、可用性等基本特性。这是两个不同的概念。第2章网络安全体系结构h232.3.1可信计算的概念第2章网络安全体系结构h60可信计算具有以下功能：确保用户唯一身份、权限、工作空间的完整性/可用性确保存储、处理、传输的机密性/完整性确保硬件环境配置、操作系统内核、服务及应用程序的完整性确保密钥操作和存储的安全确保系统具有免疫能力，从根本上阻止病毒和黑客等软件的攻击第2章网络安全体系结构h24可信计算具有以下功能：第2章网络安全体系结构h612.3.2可信计算平台定义了TPMTPM=TrustedPlatformModule可信平台模块；定义了访问者与TPM交互机制通过协议和消息机制来使用TPM的功能；TPM应包含密码算法引擎受保护的存储区域h252.3.2可信计算平台h622.3.2可信计算平台（终端）可信计算终端基于可信赖平台模块（TPM）,以密码技术为支持、安全操作系统为核心安全应用组件安全操作系统安全操作系统内核密码模块协议栈主板可信BIOSTPM(密码模块芯片)可信计算平台第2章网络安全体系结构h262.3.2可信计算平台（终端）可信计算终端基于可信赖h632.3.3可信计算的发展趋势可信云计算（可信云计算平台TCCP）嵌入式实时操作系统可信计算技术（实时性、低功耗）可信计算组织（TCG）：安全嵌入式平台白皮书可信军用计算设备第2章网络安全体系结构h272.3.3可信计算的发展趋势可信云计算（可信云计h642.3.3可信计算的发展趋势已发布的Windows8版本全面实现可信计算功能，它使用特定的芯片TrustedPlatformModule（可信平台模块），并与操作系统紧密整合。芯片和操作系统协同工作的方式已经标准化，但制定标准的可信计算组成员全部是美国公司。TrustedComputing可以确定软件和硬件是否匹配，判断安装了哪些应用程序。在理论上，微软可以防止Windows8操作系统运行除MicrosoftWord之外的字处理程序，TrustedComputing让用户失去了对计算机的控制。第2章网络安全体系结构h282.3.3可信计算的发展趋势已发布的Windowsh652.4网络安全