可信计算与信任管理 pdf下载

　　 田俊峰、杜瑞忠、蔡红云、李珍著的《可信计算与信任管理》在简要介绍可信计算和信任管理的基本概念、国内外学者的部分研究成果的基础上，秉承“可信≈可靠+安全”观点，主要介绍了作者在可信计算特别是信任管理方面多年的研究成果。主要内容包括分布式系统的可靠性、信任链技术、可信软件栈、可信评测技术、信任网络构建、基于主观逻辑的信任模型、基于场论的信任模型、软件动态行为可信技术及其应用、可信云计算技术等。
　　 本书可以作为信息安全及相关专业高年级本科生和研究生教材，也可供从事信息安全与电了商务相关研究和开发的人员阅读参考。

序 前言
第一篇 信息安全与可信计算
第 1章信息安全概论 1
1.1 信息安全现状 1
1.2 信息安全问题存在的原因 2
1.3 信息安全的内涵 4
1.4 信息安全的发展趋势 5
1.4.1 信息安全面临的挑战 5
1.4.2 信息安全技术发展趋势 7
1.5 本章小结 8 参考文献 8
第 2章可信计算 11
2.1 可信计算概述 11
2.1.1 可信计算的发展 12
2.1.2 可信计算的概念 14
2.1.3 可信计算的基本特征 19
2.1.4 可信计算的应用 21
2.2 可信计算技术 23
2.2.1 可信计算基 23
2.2.2 可信计算平台 23
2.3 可信网络连接 TNC 25
2.3.1 TNC概述 26
2.3.2 TNC构架 26
2.4 可信计算研究的发展趋势 28
2.4.1 可信计算面临的挑战 28
2.4.2 可信计算待研究领域 29 2.5 本章小结 30 参考文献 30
第 3章分布式系统的可靠性 32
3.1 可靠性概述 32
3.1.1 可靠性与容错技术 32
3.1.2 分布式容错 32
3.1.3 分布式系统的可靠性 33
3.2 面向冗余的分布式管理系统的可靠性设计 34
3.2.1 面向冗余服务的分布式对象管理框架 34
3.2.2 分布式对象管理框架的可靠性分析 37
3.3 基于动态主动负载平衡的冗余服务容错算法 46
3.3.1 算法设计原则 47
3.3.2 系统模型 47
3.3.3 算法框架与数据结构 48
3.3.4 虚注册机制 50
3.3.5 算法设计 51
3.3.6 性能分析 54
3.4 集群存储系统中的可靠性 55
3.4.1 集群存储系统的系统结构 56
3.4.2 磁盘分组 57
3.4.3 数据对象放置、复制和定位 58
3.4.4 数据容错设计与实现 61
3.5 本章小结 64 参考文献 64
第 4章信任链技术 66
4.1 TCG的信任链技术 66
4.2 TCG信任链技术的不足 70
4.3 信任链传递研究现状 71
4.3.1 静态可信认证 72
4.3.2 动态可信认证 73
4.4 可信引擎驱动下的可信软件信任链模型 75
4.4.1 可信软件的设计 77
4.4.2 软件动态可信性评价 80
4.4.3 软件可信性分析 83 4.5 本章小结 84 参考文献 84
第 5章可信软件栈 87
5.1 TCG软件栈概述 87
5.2 TCG软件栈的体系结构 87
5.2.1 TSP层功能 89
5.2.2 TCS层功能 93
5.2.3 TDDL层功能 94
5.3 TCG软件栈的优点和不足 94
5.4 我国的可信软件栈 95
5.4.1 我国可信软件栈规范的发展 95
5.4.2 一种扩展的可信软件栈结构 97
5.5 可信软件栈的产品和应用 98
5.5.1 可信软件栈的产品 98
5.5.2 可信软件栈的应用 98
5.5.3 基于 TSS的 Web可信应用设计 99
5.6 本章小结 101 参考文献 102
第 6章可信评测技术 104
6.1 可信评测概述 104
6.2 TDDSS可信性评测模型 104
6.2.1 TDDSS介绍 104
6.2.2 TDDSS信任链 107
6.2.3 TDDSS相关技术 108
6.2.4 TDDSS评测 115
6.3 基于半环理论的可信性评估模型 120
6.3.1 半环理论介绍 121
6.3.2 TD-SEMIRING结构 121
6.3.3 TD-SEMIRING相关特性 123
6.3.4 TD-SEMIRING实现相关技术 125
6.3.5 TD-SEMIRING评测 127
6.4 本章小结 130 参考文献 130
第二篇 信 任 管 理
第 7章信任管理概述 132
7.1 信任概述 132
7.1.1 信任的定义 132
7.1.2 信任的分类 133
7.1.3 信任的特征 134
7.2 信任管理现状 135
7.3 信任理论 135
7.3.1 关键问题 135
7.3.2 研究现状 138
7.4 本章小结 139 参考文献 141
第 8章信任网络构建 144
8.1 基于节点行为特征的可信性度量模型 144
8.1.1 MMA构成 144
8.1.2 MMA中节点实体行为特征的可信度量 147
8.1.3 仿真实验结果与分析 151
8.2 基于信任域的层次信任管理模型 156
8.2.1 相关定义 156
8.2.2 信任域的划分与代理的设置 157
8.2.3 TDMNRS模型的工作过程 159
8.2.4 TDMNRS模型的信任评估计算 159
8.2.5 仿真实验结果与分析 166
8.3 基于推荐的信任链管理模型 169
8.3.1 信任网络存储 169
8.3.2 推荐信任链的搜索和选择 171
8.3.3 加权紧密度与推荐信任合并 172
8.3.4 仿真实验结果与分析 175
8.4 基于领域的细粒度信任模型 178
8.4.1 FG Trust的相关概念与流程 178
8.4.2 领域模型 180
8.4.3 可信度计算模块 183
8.4.4 仿真实验结果与分析 187 8.5 基于云模型的信任评价模型 191
8.5.1 云模型简介 192
8.5.2 多维信任云模型 192
8.5.3 评价可信度量 194
8.5.4 加权逆向云生成算法 196
8.5.5 可信实体选择 197
8.5.6 仿真实验结果与分析 198
8.6 本章小结 200 参考文献 200
第 9章基于主观逻辑的信任模型 203
9.1 主观逻辑概述 203
9.1.1 基本概念 203
9.1.2 观念空间 204
9.1.3 事实空间 205
9.1.4 观念空间和事实空间的映射 206
9.2 主观逻辑扩展 207
9.2.1 主观逻辑信任模型存在的问题 207
9.2.2 主观逻辑的扩展 207
9.3 多项式主观逻辑的扩展 208
9.3.1 信任网络的构建 209
9.3.2 多项式观点基础 209
9.3.3 基于信誉的融合操作 210
9.3.4 多项式观点的传递 215
9.3.5 实例结果与分析 217
9.4 基于多维主观逻辑的信任模型 222
9.4.1 多维评价 222
9.4.2 观念空间的表示 223
9.4.3 动态基率 224
9.4.4 声誉值 Re的计算 225
9.4.5 风险值 Ri的计算 228
9.4.6 信任度计算 229
9.4.7 仿真实验结果与分析 229
9.5 本章小结 232 参考文献 233 第 10章基于场论的信任模型 234
10.1 信任场模型 234
10.1.1场理论研究 234
10.1.2信任场模型的相关概念和定义 235
10.1.3信任场模型描述 236
10.1.4基于信任场模型的伙伴选择 242
10.1.5实例应用与分析 243
10.2 信任力矩模型 247
10.2.1问题背景 247
10.2.2相关定义 248
10.2.3信任的相关计算方法 250
10.2.4工作流程 253
10.2.5仿真实验结果与分析 254
10.3 本章小结 256 参考文献 257
第 11章软件动态行为可信技术及其应用 258
11.1软件动态行为可信概述 259
11.1.1软件及软件可信性 259
11.1.2软件行为分析技术 259
11.2基于场景的软件行为挖掘技术 260
11.2.1 CEMBSM的相关定义 261
11.2.2场景关联规则的获取 263
11.2.3场景序列模式的获取 266
11.2.4 CEMBSM的实现 267
11.3基于检查点风险评估的软件动态行为分析 271
11.3.1相关定义 271
11.3.2检查点风险值的计算 272
11.3.3信任度的计算 277
11.4基于检查点分级属性的软件动态可信性评价 278
11.4.1模型概述 278
11.4.2软件检查点的分级属性与可信评价流程 279
11.4.3场景级属性的训练样本聚类 281
11.4.4场景级属性可信模型的建立 282
11.4.5基于单类样本的场景级属性权重分配策略 283 11.5基于化简行为轨迹的软件可信性评价 285
11.5.1 CEMSBT的行为轨迹 285
11.5.2 CEMSBT中化简行为轨迹的方法 289
11.5.3 CEMSBT的处理流程 293
11.5.4 CEMSBT的可信性评价规则 293
11.5.5仿真实验结果与分析 297
11.6基于行为距离的软件动态行为评价 301
11.6.1模型基础 301
11.6.2相关概念 305
11.6.3软件行为的评价方法 306
11.6.4基于行为属性距离的软件行为可信评价方法 308
11.6.5 BAD评价方法的仿真实验结果与分析 309
11.7基于可信包装的可信软件构造模型 313
11.7.1可信软件构造模型逻辑框架 314
11.7.2可信包装逻辑结构与交互框架 315
11.7.3可信引擎与静态约束 316
11.7.4软件预期行为与可信视图 317
11.7.5仿真实验结果与分析 323
11.8基于扩展主观逻辑的软件行为动态信任评价模型 326
11.8.1 DTEMSB-ESL流程 327
11.8.2评价模型 327
11.8.3仿真实验结果与分析 331
11.9本章小结 333 参考文献 334
第 12章可信云计算技术 337
12.1 云计算安全需求 337
12.1.1云计算的安全问题 337
12.1.2云计算的安全需求 338
12.2 基于可信计算的云平台 339
12.3 云安全认证技术 341
12.3.1研究背景 341
12.3.2信任分散的分级身份认证 342
12.3.3协议证明与安全性分析 350
12.4 云资源预测和预留 351 12.4.1基于域的云资源组织的逻辑框架 352
12.4.2候选服务资源选择策略 353
12.4.3资源预留策略 356
12.4.4信任管理策略 359
12.4.5仿真结果与分析 361
12.5 云资源的安全存储 363
12.5.1　TCMCS逻辑结构 364
12.5.2数据完整性保护 366
12.5.3数据的共享 367
12.5.4懒惰重加密 368
12.5.5数据的基本操作 369
12.5.6数据的恢复 371
12.5.7安全性证明 371
12.6 本章小结 372 参考文献 372

第一篇信息安全与可信计算

第 1章信息安全概论
国家安全以国民安全为核心，以领土、政治、军事、经济等多方面安全为保障条件。随着信息技术( Information Technology，IT)的广泛应用，信息化已渗透到国民生活的各个领域，信息安全问题已成为影响国民安全的重要内容之一。本章主要介绍信息安全的现状、信息安全问题存在的原因、信息安全的内涵及其发展趋势等方面的内容。
1.1 信息安全现状
信息技术的迅速发展把人类推进到信息革命的历史潮流，信息革命成为人类第三次昀伟大的生产力革命，信息产业超过钢铁、机械、石油、汽车、电力等传统产业，成为世界第一大产业。信息已成为当今昀具活力的生产要素和昀重要的战略资源，以计算机网络为核心的信息系统成为国家重要的基础设施。
任何事物都具有两面性，一方面信息技术的发展给人类带来方便；另一方面危害信息安全的事件不断发生，如敌对势力的破坏、恶意软件的入侵、黑客攻击、利用计算机犯罪等，对信息安全构成了极大的威胁。
好莱坞电影《国家公敌》中有这样一个情节：网民的信息被人完全操控，然而这样骇人的场景竟成为现实— —随着“棱镜”事件的充分暴露，世界各地的网民绝不会想到他们在使用谷歌、 Facebook、苹果等知名公司的网络产品进行社交、办公或存储信息时，他们屏幕的背后正隐藏着美国情报部门的身影。换句话说，人们在网上的一举一动都可能被美国情报部门看在“眼”里，记在“芯”上。
如果说“棱镜”计划还只是信息窃取事件，那么之前伊朗核设施被“震网”病毒破坏已经不再是窃密，而是毁坏基础设施。对于我国，信息安全形势的严峻性更在于我国对外国品牌的电子产品、信息技术产品过分依赖，例如， CPU芯片、计算机操作系统、数据库、路由器等核心技术，在涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等国家关键信息基础设施的建设中，频频出现美国“八大金刚”(思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软)的影子，导致我国信息安全失去了自主可控的基础，这无疑对我国信息安全构成了潜在威胁。
“棱镜”事件表明，那些提供信息技术设备与服务的美国公司往往会按照美国情报部门的要求行事。要想使用它们而又不被此类计划监控，恐怕只能是痴心妄想。信息技术设备应能自主可控，在此基础上，再努力加强信息安全防护，这样才有可能保障国家信息安全。
因此，信息的获取、存储、传输、处理和安全保障能力已成为一个国家综合国力和经济竞争力的重要组成部分，信息安全已成为影响国家安全、社会稳定和经济发展的决定性因素之一。
为了保障我国的信息安全和信息化建设， 2014年 2月我国成立了中央网络安全和信息化领导小组，中共中央总书记、国家主席、中央军委主席习近平任组长。习近平指出：没有网络安全就没有国家安全，没有信息化就没有现代化，网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，要从国际国内大势出发，总体布局、统筹各方、创新发展，努力把我国建设成为网络强国。
信息安全已成为世人关注的社会问题和信息科学与技术领域的热点研究问题。信息安全是信息时代永恒的需求，是确保人们赖以生存的社会和信息空间和谐繁荣的重要因素之一。

1.2 信息安全问题存在的原因
信息安全问题如此严重，从技术角度分析主要包括以下几方面。
1．个人计算机的安全结构设计简单 [1-2]
在 20世纪 70年代，随着集成电路技术的发展，出现了微型计算机(简称微机)，随后个人计算机( Personal Computer，PC)逐渐普及。由于定位为个人计算机，而不是公用计算机，所以在设计时为了降低成本舍去了很多安全机制，如存储器的隔离保护机制、程序安全保护机制等。其中，程序的执行可以不经过认证，程序和系统区域的数据可以被随意修改，这样就可能导致病毒、木马、蠕虫等恶意代码的泛滥。随着网络技术的发展和应用，个人计算机通过网络连接而变为网络中的一个组成部分，在连接上突破了地理位置的限制，信息的交互和处理扩大到整个网络，面对这种环境，个人计算机的安全防御能力就显得比较弱。
2．互联网的开放性
互联网是开放式体系结构，这种特性加速了互联网的发展，但同时因缺少整体的规划，使得当前很多协议的制定是为了弥补之前的设计漏洞、蓝图的缺失带来的计算机网络基础设施和协议中的各种风险。
网络基础设施和协议的设计者遵循着一条原则——尽可能创造用户友好性、透明性高的接口，使得网络能够为尽可能多的用户提供服务，但这样也带来了另外的问题：一方面用户容易忽视系统的安全状况，另一方面也满足了不法分子利用网络的漏洞来满足个人需求的目的。
3．系统漏洞
系统漏洞指计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，它可以使攻击者能够在未授权的情况下访问或破坏系统。在计算机安全领域，安全漏洞( security hole)通常又称为脆弱性( vulnerability)。计算机漏洞普遍存在，在不同种类的软硬件设备、同种设备的不同版本之间、由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，可能都会存在各自不同的安全漏洞问题。
简单地说，计算机漏洞是系统的一组特性，攻击者或者攻击程序能够利用这组特性，通过已授权的手段和方式获取对资源的未授权访问，或者对系统造成损害。
操作系统是计算机昀主要的系统软件，是计算机资源的管理者，因此，操作系统是保障计算机系统安全的基础之一。然而，现在的操作系统设计太复杂、太庞大。例如，2008年 10月发布的 2.6.27版本的 Linux内核代码库的代码量已经超过 1000万行， Windows Vista系统则达到 5000万行，而 Windows 7和 Windows 8系统则更多。研究表明，典型的产品级软件每千行就会有一个与安全相关的漏洞，可以据此推算当前主流的系统软件可能隐藏的安全漏洞的数量。除操作系统外，数据库系统和其他应用软件也都存在安全漏洞。
总之，随着软件规模的逐渐增大，软件开发、集成和演化变得越来越复杂，而相关的可信软件构造、评测、确保等技术工作严重滞后，使得软件产品总会含有很多已知或未知的漏洞，这些缺陷对软件系统安全、可靠地运行构成了严重威胁。
漏洞问题与时间紧密相关。一个系统从发布之日起，随着用户的深入使用，系统中存在的漏洞会不断暴露出来，这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补，或在以后发布的新版系统中得以纠正。新版系统在纠正旧版本中具有漏洞的同时，也会引入一些新的漏洞和错误。因而随着时间的推移，旧的漏洞会不断消失，新的漏洞会不断出现，漏洞问题会长期存在。其中部分漏洞可能会被攻击者利用，从而造成严重的信息安全问题。
4．网络基础设施和通信协议的缺陷
互联网是一个数据包网络，数据在传输的时候首先要被分为很多小的数据包，然后每一个数据包各自在网络中传输。在接收方，数据包又被重新组合构成原来的消息。为了能够正常工作，数据包网络需要在传输节点之间存在一个信任关系。
由于在传输过程中，数据包需要被拆分、传输和重组，所以必须保证每一个数据包以及中间传输单元的安全。然而，目前的网络协议并不能做到这一点。
网络中的服务器主要有用户数据报协议( User Datagram Protocol，UDP)和传输控制协议(Transmission Control Protocol，TCP)两个主要的通信协议，都使用端口号识别高层的服务。客户端上的每个服务利用唯一的端口号向服务器请求服务，服务器利用端口号识别客户所请求的服务。服务器的一个重要的安全规则就是当服务没有被使用的时候关闭其所对应的端口号，如果服务器不提供相应的服务，那么端口就一直不能打开。即使服务器提供相应的服务，也只有当服务被合法使用的时候端口号才能被打开。
客户端和服务器进行通信之前，要通过三次握手过程建立 TCP连接。首先，客户端向服务器发送一个同步( Synchronous，SYN)数据包；然后，服务器响应一个确认位( Acknowledgement，ACK)和 SYN位置位的数据包；昀后，客户端响应一个 ACK位置位的数据包。图 1.1给出了三次握手的过程。三次握手过程存在着半打开( half-open)问题，由于服务器对之前发起握手的客户端存在信任关系，所以会使端口一直处于打开状态以等待客户端的通信，而这个特性往往会被恶意攻击者利用。

1.3 信息安全的内涵
传统的信息安全强调信息本身的安全属性，主要包含：①信息的机密性，信息不泄露给未授权者的特性；②信息的完整性，保护信息正确、完整和未被篡改的特性；③信息的可用性，信息可被授权用户访问，并按其要求运行的特性。
信息不能脱离载体而独立存在，同样，也不能脱离信息系统而孤立地谈论信息安全。从信息系统的角度来看，信息安全主要包括四个层面 [1-2]：设备安全、数据安全、内容安全和行为安全。其中数据安全对应传统的信息安全。
1．设备安全
信息系统的设备安全是信息系统安全的首要问题，包括设备的稳定性、设备的可靠性、设备的可用性。
2．数据安全
数据安全是指确保数据免遭未授权者泄露、篡改和毁坏，包括数据的机密性、数据的完整性、数据的可用性。

图 1.1三次握手过程
3．内容安全
内容安全是信息安全在政治、法律、道德层次上的要求，包括信息内容在政治上是健康的，信息内容符合国家法律、法规，符合民族的优良道德规范。
4．行为安全
数据安全本质上是一种静态安全，在信息系统中许多程序要进行某种处理，处理的过程称为行为。因此，程序在运行中表现出来的是一系列行为。所以除了要确保静态的数据安全，还要确保动态的行为安全，包括以下几方面内容。
(1)
行为的机密性：行为的过程和结果不能危害数据的机密性，必要时，行为的过程和结果也应保证机密性。

(2)
行为的完整性：行为的过程和结果不能危害数据的完整性，行为的过程和结果是可预期的。


(3)行为的可控性：当行为的过程和预期偏离时，能够发现、控制和纠正。
信息系统的硬件系统安全和操作系统安全是信息系统安全的基础，密码和网络安全等技术是信息系统安全的关键技术。确保信息系统安全是一个系统工程，只有从信息系统的硬件和软件的底层做起，从整体上采取措施，才能比较有效地确保信息系统的安全。
为了表述简单，在不产生歧义时，可以直接将信息系统安全简称为信息安全。

1.4 信息安全的发展趋势
1.4.1 信息安全面临的挑战
随着云计算、物联网、移动互联网、大数据、虚拟化和可穿戴智能设备的广泛应用，信息安全正面临着不断增多的新挑战，隐私安全问题更加突出。“祸兮福之所倚，福兮祸之所伏”，人们在充分享受互联网带来的各种便利时，也必然面临越来越严峻的互联网安全风险。在互联网广泛渗透于政治、经济、文化等社会生活各个方面的今天，信息安全与个人、国家、社会的命运息息相关，正如习近平总书记所说：“网络和信息安全牵涉国家安全和社会稳定，是我们面临的新的综合性挑战 [3]。”
随着信息技术和应用的迅猛发展，信息安全技术发展面临的挑战主要包括 [4-5]下面几方面内容。
1．信息技术应用环境复杂多样
随着云计算、物联网、移动互联网、大数据等高新技术的应用与发展，网络环境更加复杂、多样，此时信息安全技术将面临更多挑战，形式更加严峻。例如，云计算可以实现跨地域、虚拟化服务模式，这会带来大规模数据跨境流动引发的安全监管、隐私保护、司法取证等问题。随着“强后台 +瘦客户端”的“云 +端”模式成为趋势，跨国企业很容易获取国家敏感信息和数据，潜在威胁巨大。在工业控制领域，物联网的普及应用给数据采集监控、分布式控制系统、过程控制系统等工业控制系统带来诸多安全隐患。我国工业控制系统在安全领域缺乏底层解决方案，其信息安全评估和认证还处于起步阶段。核设施、钢铁、化工、石油石化、电力、天然气、水利枢纽、铁路、城市轨道交通等领域广泛应用工业控制系统，一旦这些系统出现信息安全漏洞，将给工业生产运行和国家经济安全带来重大损失。
2．通用计算设备的计算能力越来越强
当前的信息安全技术特别是密码技术与计算机技术密切相关，其安全性取