鄭君杰，戴 潔，汪 晉，李 軍

（1.中國人民解放軍理工大學氣象學院 南京 211101；2.新華通訊社江蘇分社 南京 211100）

1 引言

當前互聯(lián)網(wǎng)面臨大量的網(wǎng)絡(luò)安全問題，如惡意攻擊、網(wǎng)絡(luò)計算機病毒等。網(wǎng)絡(luò)上存在如此多的攻擊和破壞行為的最主要、最根本原因是網(wǎng)絡(luò)系統(tǒng)存在大量的安全漏洞。產(chǎn)生安全漏洞的原因是多方面的，最主要的原因在于長期以來網(wǎng)絡(luò)體系結(jié)構(gòu)的研究主要考慮如何提高數(shù)據(jù)傳輸?shù)男?，早期的網(wǎng)絡(luò)協(xié)議也很少考慮安全問題，加之網(wǎng)絡(luò)的開放性，使得攻擊者很容易發(fā)起攻擊，并且攻擊過程難于檢測和追蹤。

盡管網(wǎng)絡(luò)信息安全的研究已經(jīng)進行了多年，但是效果并不理想?，F(xiàn)有的網(wǎng)絡(luò)安全技術(shù)主要有防火墻、入侵檢測等，在目的、功能上孤立單一，只能對抗已知的攻擊，對新的、未知的攻擊是束手無策的。一方面，這些技術(shù)在體系結(jié)構(gòu)上多是附加在系統(tǒng)上進行被動的防御，無法從本質(zhì)上解決問題，且安全系統(tǒng)自身的安全與可靠難以得到保證。另一方面，網(wǎng)絡(luò)攻擊方式日益呈現(xiàn)出智能化、系統(tǒng)化、綜合化的趨勢，新的攻擊方式不斷涌現(xiàn)，造成當前的安全系統(tǒng)規(guī)則膨脹，誤報率增多，導致安全投入不斷增加，維護與管理日益復(fù)雜甚至難以實施，大大降低了信息系統(tǒng)的使用效率。

因此在當前這種情況下構(gòu)建一個安全、可生存和可控的可信網(wǎng)絡(luò)正在成為人們關(guān)注的焦點?！案呖尚啪W(wǎng)絡(luò)”已被正式寫進中國國務(wù)院公布的《國家中長期科學和技術(shù)發(fā)展規(guī)劃綱要(2006—2020 年)》(以下簡稱《綱要》)?！毒V要》明確指出：“以發(fā)展高可信網(wǎng)絡(luò)為重點，開發(fā)網(wǎng)絡(luò)信息安全技術(shù)及相關(guān)產(chǎn)品，建立信息安全技術(shù)保障體系，防范各種信息安全突發(fā)事件”。同時提出了“重點研究網(wǎng)絡(luò)安全與可信可控的信息安全理論”、“建立可信的網(wǎng)絡(luò)管理體系”、“開發(fā)高效可信的超級計算機系統(tǒng)”以及重點研究開發(fā)支撐現(xiàn)代服務(wù)業(yè)領(lǐng)域發(fā)展所需的“高可信網(wǎng)絡(luò)軟件平臺及大型應(yīng)用支撐軟件”，從基礎(chǔ)理論、支撐網(wǎng)絡(luò)、IT設(shè)施和應(yīng)用軟件等全方位推動 “高可信”網(wǎng)絡(luò)基礎(chǔ)環(huán)境相關(guān)的科研工作[1]。2008年，“863計劃”信息技術(shù)領(lǐng)域設(shè)立了“新一代高可信網(wǎng)絡(luò)”重大項目，開始部署國家級“下一代網(wǎng)絡(luò)和業(yè)務(wù)試驗床”建設(shè)工程[2]。

1.1 可信計算與可信網(wǎng)絡(luò)

盡管可信系統(tǒng)概念的提出已經(jīng)有一段時間，可信計算也是近年來的一個研究熱點，但是國際上對可信網(wǎng)絡(luò)的探索剛剛開始，目前國際上對可信性比較有代表性的闡述是標準ISO/IE15408：一個可信的組件操作或過程的行為在任意操作條件下是可預(yù)測的，并能很好地抵抗應(yīng)用程序軟件、病毒以及一定物理干擾所造成的破壞。微軟公司的比爾·蓋茨認為可信計算是一種可以隨時獲得的可靠安全的計算，并包括人類信任計算機的程度，就像使用電力系統(tǒng)、電話那樣自由、安全[3]。參考文獻[4]則將可信性表述為系統(tǒng)提供的服務(wù)可以被論證為可信任的，系統(tǒng)能夠避免出現(xiàn)不能接受的頻繁或嚴重的服務(wù)失效。

1.2 可信計算

1999年由Intel、HP等巨頭組織了可信計算平臺聯(lián)盟（TCPA），致力于在計算平臺體系結(jié)構(gòu)上增強其安全性。2001年1月TCPA發(fā)布了標準規(guī)范，2003年改組為可信計算組織（TCG），成員擴大到200家。2003年10月發(fā)布了TPM規(guī)范。2002年底IBM發(fā)布了帶有嵌入式安全子系統(tǒng)（ESS）的筆記本電腦。作為可信計算最積極的倡導者，微軟公司宣稱將其操作系統(tǒng)建立在“高可信計算”的基礎(chǔ)上。中國目前包括聯(lián)想在內(nèi)也有8家企業(yè)加入TCG。TCG進一步劃分成更詳細的研究組，包括體系組、無線移動組、PC客戶機組、服務(wù)器組、軟件堆棧組、存儲組、可信網(wǎng)絡(luò)連接組、可信平臺模塊組[5～7]等?？尚庞嬎闶紫葯z查用戶身份是否可信，如它是不是合法的一員、是不是認可的設(shè)備；再檢查用戶狀態(tài)，如它的防御措施是否到位，是不是有安全合格的防病毒軟件，終端防病毒軟件數(shù)據(jù)是否及時更新等。美國國家自然科學基金在2006年支持了信息空間信任的研究項目[8]，美國國家研究委員會也提出信息空間的信任研究[9]。我國在上述領(lǐng)域也進行了多年的研究，可信計算已被列入“十一五 ”規(guī)劃，中國國家信息中心、北京工業(yè)大學等正在進行可信計算終端的研究。清華大學國家信息實驗室的網(wǎng)絡(luò)控制研究組先后在可控可信可擴展的新一代互聯(lián)網(wǎng)體系[10]、可信網(wǎng)絡(luò)[11，12]、網(wǎng)絡(luò)安全的隨機模型方法與評價技術(shù)[13]等相關(guān)方面進行了大量前瞻性的研究。

1.3 可信網(wǎng)絡(luò)

目前網(wǎng)絡(luò)安全技術(shù)多種多樣，但都是頭痛醫(yī)頭，腳痛醫(yī)腳，沒有一個全面的解決方案，導致實現(xiàn)代價越來越大，越來越復(fù)雜，業(yè)界迫切需要新的理念和思路來解決網(wǎng)絡(luò)的安全問題，可信網(wǎng)絡(luò)在這種背景下被提出。目前業(yè)界雖然對可信網(wǎng)絡(luò)有不同理解，有的認為是基于認證的可信，有的認為是基于現(xiàn)有安全技術(shù)的整合，有的認為是網(wǎng)絡(luò)的內(nèi)容可信，有的認為是網(wǎng)絡(luò)本身的可信，有的認為是網(wǎng)絡(luò)上提供服務(wù)的可信等，但對可信網(wǎng)絡(luò)的目的的認識是統(tǒng)一的，那就是提高網(wǎng)絡(luò)和服務(wù)的安全性?？尚啪W(wǎng)絡(luò)可以提高網(wǎng)絡(luò)的性能，簡化因不信任帶來的開銷，提高系統(tǒng)的整體性能。

目前公認的可信網(wǎng)絡(luò)的定義[12]是：一個可信的網(wǎng)絡(luò)應(yīng)該是網(wǎng)絡(luò)和用戶的行為及其結(jié)果總是可預(yù)期與可管理的，能夠做到行為狀態(tài)可監(jiān)測，行為結(jié)果可評估，異常行為可管理。具體而言，網(wǎng)絡(luò)的可信性應(yīng)該包括一組屬性，從用戶的角度需要保障服務(wù)的安全性和可生存性，從設(shè)計的角度則需要提供網(wǎng)絡(luò)的可管理性。不同于安全性、可生存性和可管理性在傳統(tǒng)意義上分散、孤立的概念內(nèi)涵，可信網(wǎng)絡(luò)將在網(wǎng)絡(luò)可信的目標下融合這3個基本屬性，形成一個有機整體。

2 可信網(wǎng)絡(luò)需要解決的關(guān)鍵問題

2.1 體系結(jié)構(gòu)

互聯(lián)網(wǎng)在設(shè)計之初對安全問題考慮不足是當前網(wǎng)絡(luò)存在眾多安全漏洞的一個重要因素。一段時間以來網(wǎng)絡(luò)體系結(jié)構(gòu)的研究過度集中于如何提高數(shù)據(jù)傳輸?shù)男?，如今形成了一個核心簡單、邊緣復(fù)雜的Internet體系模型，復(fù)雜的功能由終端來保證。這種體系結(jié)構(gòu)的簡單性方便了新業(yè)務(wù)的部署，但同時造成核心網(wǎng)絡(luò)對業(yè)務(wù)過于透明，基本不存在特定的運行模式，難以檢測到應(yīng)用業(yè)務(wù)層面出現(xiàn)的問題，更難將攻擊行為和新業(yè)務(wù)區(qū)分開來。此外，網(wǎng)絡(luò)安全已經(jīng)超出傳統(tǒng)信息安全的內(nèi)涵，服務(wù)的安全作為一個整體屬性為用戶所感知的趨勢日益凸現(xiàn)。然而目前的網(wǎng)絡(luò)安全設(shè)計基本上很少觸及體系結(jié)構(gòu)的核心內(nèi)容，大多是單一的防御和打補丁附加的機制，在外圍對非法用戶和越權(quán)訪問進行封堵，以達到防止外部攻擊的目的。在攻擊方式日益復(fù)合交織的趨勢下，當前的安全系統(tǒng)變得越來越臃腫，嚴重降低了網(wǎng)絡(luò)性能，甚至破壞了系統(tǒng)設(shè)計開放性、簡單性的原則。并且，安全系統(tǒng)自身在設(shè)計、實施和管理各個環(huán)節(jié)上也不可避免地存在著脆弱性，嚴重影響了其功效的發(fā)揮。因此基于這些附加的、被動防御安全機制上的網(wǎng)絡(luò)安全是不可信的。另一方面，網(wǎng)絡(luò)安全研究的理念已經(jīng)從被動防御轉(zhuǎn)向了積極防御，需要從訪問源端就開始進行安全分析，盡可能地將不信任的訪問操作控制在源端，因此，可信網(wǎng)絡(luò)的研究必須重新審視互聯(lián)網(wǎng)的體系結(jié)構(gòu)設(shè)計，減少系統(tǒng)脆弱性并提供系統(tǒng)的安全服務(wù)。目前廣泛使用的協(xié)議也缺乏完整的安全參考模型，更不能在實現(xiàn)網(wǎng)絡(luò)可信這一目標下，融合安全性、可生存性和可控性。

開放系統(tǒng)互聯(lián)應(yīng)該是可信網(wǎng)絡(luò)體系結(jié)構(gòu)研究需要遵從的一個原則。可信網(wǎng)絡(luò)體系結(jié)構(gòu)的研究必須充分認識到網(wǎng)絡(luò)的復(fù)雜異構(gòu)性，從系統(tǒng)的角度保障安全服務(wù)的一致性?，F(xiàn)實的互聯(lián)網(wǎng)涵蓋了不同類型的傳輸技術(shù)，如有線和無線，存在著不同屬性的業(yè)務(wù)，如數(shù)據(jù)、圖像、語音和視頻。這些差異可能會形成對網(wǎng)絡(luò)可信性威脅因素的不同關(guān)注，然而來自用戶的安全服務(wù)要求卻是明確的，并不會因某個業(yè)務(wù)需要跨越幾個無線和有線的傳輸路徑而改變，當然也不會關(guān)心提供安全服務(wù)的具體技術(shù)細節(jié)。

2.2 網(wǎng)絡(luò)的可控性

互聯(lián)網(wǎng)發(fā)展至今已成為一個龐大的非線性復(fù)雜系統(tǒng)，遠遠超過了當初設(shè)計的考慮，產(chǎn)生了許多的安全隱患。邊緣論[14]和面向非連接的設(shè)計思想保障了網(wǎng)絡(luò)的高效互通，逐跳存儲轉(zhuǎn)發(fā)的分組傳送方式簡單靈活，無需在中間節(jié)點維護過多的狀態(tài)信息，核心網(wǎng)絡(luò)的工作集中于路由轉(zhuǎn)發(fā)。這些機制的優(yōu)點是設(shè)計簡單、可擴展性強等，然而卻造成了分組傳輸路徑的不可控，網(wǎng)絡(luò)中間節(jié)點對傳輸數(shù)據(jù)包的來源不驗證、不審計，導致大量的入侵和攻擊行為無法跟蹤。如何解決網(wǎng)絡(luò)的低可控性與安全可信需求之間的矛盾，建立內(nèi)在的、關(guān)聯(lián)的網(wǎng)絡(luò)可控模型在理論和技術(shù)上仍是當前學術(shù)界的一個難題。

網(wǎng)絡(luò)的可控性是可信網(wǎng)絡(luò)在設(shè)計上的一個重要屬性，主要目標是在網(wǎng)絡(luò)的關(guān)鍵部分增加認證、授權(quán)等控制機制使網(wǎng)絡(luò)更可信，在不同的層次上實施對網(wǎng)絡(luò)的監(jiān)管，提供采集和傳輸網(wǎng)絡(luò)組件信任信息以及檢測網(wǎng)絡(luò)運行狀態(tài)的機制，并提供異常行為控制和攻擊預(yù)警的快速算法。此外，網(wǎng)絡(luò)攻擊和破壞行為的綜合化，客觀上要求對抗機制也要綜合化，因此可信網(wǎng)絡(luò)的可控性設(shè)計必須建立內(nèi)在關(guān)聯(lián)的監(jiān)控體系，完成對網(wǎng)絡(luò)節(jié)點的監(jiān)測以及信任信息的采集，并根據(jù)信任分析決策的結(jié)果實施具體的訪問接納和攻擊預(yù)警等行為控制手段，使得多樣的監(jiān)控機制能夠融合在一個可信的平臺下并發(fā)揮效用。

2.3 可信模型

建立包括網(wǎng)絡(luò)的脆弱性分析以及用戶攻擊行為描述等內(nèi)容的可信模型理論，是進行可信性評估，區(qū)分網(wǎng)絡(luò)是否被正常使用的基礎(chǔ)，也是對抗攻擊的前提?？尚拍Ｐ鸵艹橄蠖鴾蚀_地描述系統(tǒng)的可信需求且不涉及到具體實現(xiàn)細節(jié)，并可通過數(shù)學模型的分析方法找到系統(tǒng)在安全上的漏洞?？尚拍Ｐ偷男问交枋?、驗證能夠提高網(wǎng)絡(luò)系統(tǒng)安全的可信度。現(xiàn)時的網(wǎng)絡(luò)已經(jīng)演變成為一個龐大的非線性復(fù)雜系統(tǒng)，網(wǎng)絡(luò)節(jié)點間的協(xié)議交互以及用戶之間的合作與競爭，使網(wǎng)絡(luò)行為呈現(xiàn)出相當?shù)膹?fù)雜性，而且攻擊和破壞行為也呈現(xiàn)出多樣的特點，從而難以預(yù)測、分析和研究。另一方面，傳統(tǒng)理論方法建立描述網(wǎng)絡(luò)和用戶行為的可信模型是比較困難的。這需要借助現(xiàn)有的基礎(chǔ)理論和創(chuàng)建新的理論、開發(fā)新的研究方法才能逐步解決。已有的基于規(guī)則的脆弱性分析方法中規(guī)則的生成是十分關(guān)鍵的。對于單個的系統(tǒng)組件，生成規(guī)則并不困難，但是對于一個龐大復(fù)雜的網(wǎng)絡(luò)系統(tǒng)，需要對大量系統(tǒng)組件的交互關(guān)系相當了解才可能歸納出所需要的規(guī)則，這在操作上是相當困難的。

此外，基于規(guī)則的方法只能描述已知攻擊方式的行為，難以應(yīng)對攻擊方式繁多的狀況。基于模型的脆弱性方法為整個系統(tǒng)建立模型，通過模型可獲得系統(tǒng)所有可能的行為和狀態(tài)，利用模型分析工具對系統(tǒng)整體的可信性進行評估。模型的建立比規(guī)則的抽取簡單，而且能夠發(fā)現(xiàn)未知的攻擊模式和系統(tǒng)脆弱性，因而適合于對系統(tǒng)進行整體評估。基于模型的方法的關(guān)鍵之處在于模型的建立。如果模型太簡單，不能清晰描述系統(tǒng)可能的行為，則會導致評估結(jié)果不全面。相反如果模型太復(fù)雜，則可能導致評估十分困難。盡管使用模型來定量地評估計算機系統(tǒng)的可靠性，在理論和技術(shù)上已經(jīng)有了較長的發(fā)展歷史，如組合方法、馬爾可夫回報模型、離散事件仿真等，但是網(wǎng)絡(luò)系統(tǒng)的安全評估大多還是采用形式化方法對整體設(shè)計的局部進行分析，缺乏定量的評估模型。

3 基于現(xiàn)有技術(shù)的可信網(wǎng)絡(luò)構(gòu)建方案

當前很多單位根據(jù)各自面臨的安全問題配置了各種各樣的安全產(chǎn)品，但是這些針對性很強的安全產(chǎn)品缺乏相互之間的協(xié)作和溝通，沒有緊密耦合實現(xiàn)網(wǎng)絡(luò)安全的整體防御，導致安全問題仍然層出不窮。

因此將各安全子系統(tǒng)、各安全產(chǎn)品有效地關(guān)聯(lián)，提高網(wǎng)絡(luò)整體的安全防御能力成了網(wǎng)絡(luò)安全發(fā)展的必然趨勢。目前已經(jīng)提出了多種解決方法，典型的如Cisco的自防御網(wǎng)絡(luò)、Microsoft的應(yīng)用安全框架等，這些方法體現(xiàn)了整體、立體、多層次和主動防御的思想，提升了安全管理的重要性，認為應(yīng)在不同層次上加強網(wǎng)絡(luò)安全的監(jiān)管，特別是各種網(wǎng)絡(luò)設(shè)備和計算資源安全屬性的管理。

本文在現(xiàn)有技術(shù)基礎(chǔ)之上提出一種新的可信網(wǎng)絡(luò)構(gòu)建方案，通過對現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品和網(wǎng)絡(luò)安全子系統(tǒng)的有效整合和管理，并結(jié)合可信網(wǎng)絡(luò)的接入控制機制、網(wǎng)絡(luò)內(nèi)部信息的保護和信息加密傳輸機制，全面提高網(wǎng)絡(luò)整體安全防護能力。

方案主要包括可信安全管理系統(tǒng)、網(wǎng)關(guān)可信代理、網(wǎng)絡(luò)可信代理和端點可信代理4部分，以確保安全管理系統(tǒng)、安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備和端點用戶4個安全環(huán)節(jié)的安全性與可信性，最終實現(xiàn)對用戶網(wǎng)絡(luò)已有安全資源的有效整合和管理（如圖1所示）。

方案的核心內(nèi)容主要有以下三個。

（1）可信網(wǎng)絡(luò)安全管理系統(tǒng)

可信網(wǎng)絡(luò)安全管理系統(tǒng)處于整個可信網(wǎng)絡(luò)安全體系的核心位置。它通過對網(wǎng)絡(luò)中各種設(shè)備（包括路由設(shè)備、安全設(shè)備等）、安全機制、安全信息的綜合管理與分析，對現(xiàn)有安全資源進行有效管理和整合，從全局角度對網(wǎng)絡(luò)安全狀況進行分析、評估與管理，獲得全局網(wǎng)絡(luò)安全視圖；通過制定安全策略指導或自動完成安全設(shè)施的重新部署或響應(yīng)，全面提高整體網(wǎng)絡(luò)的安全防護能力。

（2）可信網(wǎng)絡(luò)安全接入控制系統(tǒng)

可信網(wǎng)絡(luò)安全接入控制系統(tǒng)主要基于 “可信代理”的安全機制，結(jié)合終端系統(tǒng)的認證、評估子系統(tǒng)來實現(xiàn)對接入可信網(wǎng)絡(luò)的終端系統(tǒng)、用戶的認證、授權(quán)控制，只有通過了用戶身份鑒別和工作終端系統(tǒng)安全狀況評估后，用戶使用的終端系統(tǒng)才能夠接入到動態(tài)的可信網(wǎng)絡(luò)中。可信網(wǎng)絡(luò)安全接入控制系統(tǒng)能夠有效地避免可信網(wǎng)絡(luò)中因不可信終端系統(tǒng)接入所帶來的潛在風險。而作為可信網(wǎng)絡(luò)安全接入控制系統(tǒng)實現(xiàn)基礎(chǔ)的可信代理，則依據(jù)所處的位置不同，功能也不相同，主要劃分為如下三種類型。

①終端可信代理

終端可信代理工作在桌面系統(tǒng)中，用于采集待接入可信網(wǎng)絡(luò)的終端系統(tǒng)的安全狀況信息和終端操作用戶的認證信息，并負責與位于網(wǎng)絡(luò)接入設(shè)備上的網(wǎng)絡(luò)可信代理，或位于安全網(wǎng)關(guān)系統(tǒng)上的網(wǎng)關(guān)可信代理建立安全通信通道，而采集到的信息將通過可信的通信通道傳送到網(wǎng)絡(luò)接入安全控制機制的認證、評估子系統(tǒng)，由其來確定終端系統(tǒng)的可信與否。此外終端可信代理還需要提供終端安全應(yīng)用的集成接口，用于采集不同安全應(yīng)用的特征信息。

②網(wǎng)關(guān)可信代理

網(wǎng)關(guān)可信代理作為可信網(wǎng)絡(luò)安全接入控制系統(tǒng)的組成部件之一，工作在安全網(wǎng)關(guān)系統(tǒng)上，處于終端可信代理與可信網(wǎng)絡(luò)安全管理系統(tǒng)之間。

③網(wǎng)絡(luò)可信代理

網(wǎng)絡(luò)可信代理作為網(wǎng)絡(luò)接入安全控制系統(tǒng)的組成部件之一，工作在網(wǎng)絡(luò)接入設(shè)備上，處于終端可信代理與可信網(wǎng)絡(luò)安全管理系統(tǒng)之間。

（3）可信網(wǎng)絡(luò)信息保護機制

可信網(wǎng)絡(luò)信息保護機制重點關(guān)注可信網(wǎng)絡(luò)內(nèi)部重要信息的保護，以確保這些數(shù)據(jù)在存儲、使用以及傳輸過程中的安全，并且通過控制可信網(wǎng)絡(luò)內(nèi)部用戶訪問外部時的安全策略檢查機制以及外出信息的檢查機制來避免敏感信息的外泄，從而保證可信網(wǎng)絡(luò)內(nèi)部信息的機密性和可信性。相關(guān)的技術(shù)包括信息保護的安全模型、信息的可信傳輸機制、用戶的身份鑒別與授權(quán)機制、違規(guī)網(wǎng)絡(luò)外聯(lián)檢測與監(jiān)控以及外出信息的信息流控制機制、內(nèi)容過濾機制等。

4 結(jié)束語

作為現(xiàn)代社會最重要的信息基礎(chǔ)設(shè)施之一，現(xiàn)有互聯(lián)網(wǎng)經(jīng)歷30多年高速發(fā)展后，暴露出了許多難以克服的困難和矛盾，主要表現(xiàn)為不能保證基本的安全性和可信任性，不可控、不可管、不能保證服務(wù)質(zhì)量等方面。這不但制約了互聯(lián)網(wǎng)自身的發(fā)展，同時也阻礙了社會信息化進程。傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)已經(jīng)不能滿足網(wǎng)絡(luò)發(fā)展的需要，提供系統(tǒng)的安全可信的服務(wù)已經(jīng)成為網(wǎng)絡(luò)發(fā)展的新趨勢。

1 http://www.gov.cn/jrzg/2006-02/09/content_183787.htm

2 http://www.most.gov.cn/tztg/200907/t20090705_71630.htm

3 Gates B.Trustworthy Computing.http://www.stanford.edu

4 Algridas A,Laprie J C,Brian R,et al.Basic concepts and taxonomy of dependable and secure computing.IEEE Transactions on Dependable and Secure Computing,2004,1(1):11～33

5 Trusted Computing Group,https://www.trustedcomputinggroup.org/home,2005

6 Trusted Computing Group. IWG reference architecture forinteroperability:part1 specification version 1.0,revision 0.86,2005

7 Trusted Computing Group.IF-IMC interface specification,v.1.0,2005

8 Program Solicitation, http://www.nsf.gov/pubs/2005/nsf05518/nsf05518.htm,2006-02-06

9 Cyber Trust,http://www.nap.edu/catalog/6161.html,2006

10 林闖，任豐原.可控可信可擴展的新一代互聯(lián)網(wǎng).軟件學報，2004，15（12）：1815～1821

11 Lin Chuang,Peng Xuehai.Research on network architecture with trustworthiness and controllability.Journal of Computer Science and Technology,2006,21(5):732～739

12 林闖，彭雪海.可信網(wǎng)絡(luò)研究.計算機學報，2005，28（5）：751～758

13 林闖，汪洋，李泉林.網(wǎng)絡(luò)安全的隨機模型方法與評價技術(shù).計算機學報，2005，28（12）：1943～1956

14 Saltzer H,Reed D P,Clark D.End to end argument in system design.ACM Trans on Computing System,1984,2(4):277～288