目前,网络安全的重要性与日俱增,而各种安全问题仍在层出不穷。可信计算组织(TCG)的可信网络连接(TNC)工作组提出了一种分层的、可扩展的体系结构以安全有效地控制终端访问可信计算平台,以此实现消息传递与资源共享。随着可信网络平台的快速发展,连接到可信计算环境中的各类应用系统的数量和规模也在迅速扩大,网络运行状况瞬息万变,网络时刻遭到突发事件、攻击、故障、灾难的威胁,其安全性、可生存性和可用性面临严峻挑战。虽然TNC工作组从网络接入层面提出了安全可靠的体系框架,但并没有在用户访问层面、系统访问层面和网络态势感知层面进一步给出有效的解决方案。为了解决这个问题,本文综合规划了可信网络访问控制的总体架构,在此基础上将访问控制分成多个层级(包括网络级、用户级和系统级),详细设计了每个层级的关键安全机制,并利用网络态势感知方法对可信网络整体安全状况进行评估和预测,形成了一个闭合完整的安全访问防御体系。主要研究内容和贡献如下：1.总体架构：可信网络访问控制体系架构的研究通过分析当前可信网络访问控制体系存在的问题,在TNC体系的基础上提出了可信网络访问控制总体架构TNACA。该架构有机集成了多层访问控制关口：在网络接入处检查终端完整性；在用户访问处认证其身份；在系统资源访问处评估信任并授权使用。另外,该架构还对网络整体安全状况进行监控和审计,并预测其发展趋势,提供了全面有效的网络安全保障。考虑到数据传输和存储的安全性,利用密码学方法(如RSA, SSL等)加密和签名重要的信息和消息。2.网络级访问控制：无代理终端接入与联盟TNC的研究首先针对当前网络中许多“无代理终端”和遗留的设备不具备功能性的TNC客户端而不能支持完整性检验的情况,提出了无代理终端接入模型CEAM。该模型利用标准化TNC组件的子集为无代理终端提供一定范围的安全度量,根据从无代理终端提取的不同身份凭证,采用五种机制使TNC实体执行安全策略评估以决策无代理终端是否可以接入网络,并实时监控其接入后的安全状态以动态更新连接。其次针对在不同安全域中实现可信网络互联的问题,通过改进联盟TNC (FTNC)方案的通信方式和验证机制、以及扩展证书应用和服务,提出了基于安全证书的联盟TNC模型来处理跨不同安全域的信息交换和服务访问,以实现不同网络中实体之间的相互信任。该模型中设置了一个受信任的第三方安全证书权威机构,由它颁发安全证书以验证和存储终端的安全状态信息(SPI),其他安全域的服务可以通过查询和验证证书有效性来决策是否授权终端的访问。该模型能够有效限制恶意或非法终端的连接,提高网络安全防御能力。3.用户级访问控制：支持多认证方式的统一认证的研究针对TNC缺少在授权的安全上下文中统一管理和使用用户账户,以及现有身份认证方案不支持TNC环境的问题,通过改进已有的SSO方案并将其融合进TNC实体、以及结合热点研究的公钥密码并改进其伪随机数生成算法,提出了分别基于椭圆曲线密码(ECC)和组合公钥(CPK)、基于身份的加密(IBE)、自认证公钥(SCPK)的支持多种认证方式的统一认证模型PKUAM。该模型通过在TNC实体中装载不同的认证插件与相应的认证服务器通信来认证用户身份,根据用户的合法身份,使用轻量级的加密系统实现了四个管理机制：身份管理机制、密钥管理机制、应用管理机制和域管理机制,实现了单点登录(SSO)和跨域SSO。4.系统级访问控制：基于信任管理的使用授权的研究针对异构网络和开放互联网络环境中网络环境模糊性、用户行为随机性、历史经验主观性等特点,以及交互复杂度和失信率等问题,通过改进已有的基于经验和概率的信任管理方法,依据上下文参量和状态解析,提出了基于信任管理(包括信任评估、云计算理论和信任时效)的使用授权模型TMUAM。该模型融合分析了用户访问网络应用的多信任特征和安全威胁,基于权重分析方法和云模型提取用户访问的安全等级,根据安全等级为用户分配访问角色和权限,并依据策略决策因素约束会话时间。另外,为保持安全状态的新鲜性,还提出了信任时效机制,它周期性地触发对安全等级的重新评估,以动态更新授权,这既保证了合法行为正常实施又及时有效地阻断了恶意访问。5.网络态势感知：可信网络安全态势评估与预测的研究为解决可信网络监控审计及网络管理方面存在的问题,在网络态势感知(CSA)研究框架的基础上，针对可信网络安全中多数据源以及其确定性与不确定性的特点,通过改进已有的数据融合技术、以及利用时间序列分析技术,提出了层次化的可信网络安全态势感知模型TNSSAM。在该模型中,首先采用基于规则库的审计方法提取网络连接信息、系统管理信息、系统监控信息和应用服务信息的安全态势指标。其次,改进了已有的数据融合技术,一方面是改进了熵权法(EM),并结合层次分析法(AHP)对安全态势指标的权重进行提取,并将权重值引入到集对分析方法(SPA)中,另一方面是改进了D-S证据理论中冲突信息融合的方法,然后分别利用改进后的SPA方法和D-S方法对安全态势指标进行融合。再次,使用权重分析方法加权评估网络安全态势,进而绘制出网络安全态势曲线图。最后,分别采用Box-Jenkins模型和Holt-Winter模型基于安全态势评估结果对未来可信网络安全变化趋势进行预测。该模型实时量化的机制有助于提高管理员对整个网络安全状况的认知和理解,使其及时发现网络安全风险,迅速准确地调整安全策略及实施应对措施。TNACA在国防基础科研资助项目中得到了实际的验证和应用,检测结果证明它可以有效、灵活地使各种终端以可控安全的方式访问可信网络,实现了统一认证和使用授权,并反映了当前及未来的网络安全态势,具有良好的安全性、完整性、可用性、实用性和可扩展性。