’_]— 童l旺■■ll 啊Ill H●I. ■ l● -'.1ll【. 一种面向等级保护的多级安全域间 可信互联方法 孙燕1,2金舒原2扬智2,3殷丽华2 (1.北京邮电大学计算机科学与技术学院北京100876;2.中国科学院计算技术研 究所北京100190l 3.信息工程大学电子技术学院河南郑州450004) 【摘要】通过分析等级化信息系统安全应用支撑平台的设计结构,针对不同等级问信息系统的互联会导致许多额外风险等 问题,将可信网络连接(TNC)思想引入到定级系统应用平台的互联中,提出了一种面向等级保护的多级安全域间可信互 联方法.设计了域间多级可信网络互联的框架,说明了架构运行的控制流程,并将其应用到具体的等级化信息平台的互联 中.给出了实际互联方案.并对互联可信性进行了分析。为保障等级化安全应用平台跨域互联的可信性和安全性.特别是 减少不同等级应用平台互联带来的额外风险,提供了有效的互联技术框架和方法。 【关键词】信息安全;可信网络连接;等级保护;多级安全 可信互联 【中图分类号】TP393 【文献标识码】A Multi.1evel inter-domain trusted network interconnection oriented on classiifed protection SUNYan1.2 JINShuyuan2 YANGZhi2,3 Y|N Lihua2 .School of Computer Science and Technology,Beijing University of Posts and Telecommunication, Beijing 100876;2.Institute of Computing Technology,Chinese Academy of Science Beijing 100190;3 School ofElectronic Technology,PLA Information Engineering University Zhengzhou 45000 ̄ [Abstract]Intorconnection between diferent classified security information systems could bring many additional risks by analyzing their amhio ̄um.For tthis issue,a multi—level inter-domain trusted network interconnection oriented on classiifed protection is pmsentod,which introduces the Trusted Network Connect(TNC)to interconnecting platforms of classiifed security information systems.In this paper,the amhio ̄urto of multi-level inter-domain trusted network interconnection is proposed,and its operation of contolr flow is illustrated.Finally, applying the approach to pra ̄ical interconnection between classiifed secudty information systems,the scheme is designed and creditability is analyzed.The interconnecting technological framework and approach pmsentod could improve creditability and security of inter-domain interconnection,and in particular.reduce the adding dsks because of interconnection of diferent classiifed secudty information systems. [Key words]Information secudty;trusted network connection;classiifed secudty protection;multi—level secudty;trustod interconnection 1.引言 信息安全等级保护制度是国家信息安全保障工作的基 本制度。依据《计算机信息系统安全保护等级划分准则 (GB17859-1999)等国家标准,我国将基础信息网络和重 要信息系统及与其相关的信息系统划分了相应的安全等级。 当前,各基础信息网络和重要信息系统面临的安全威胁和安 全隐患比较严重,并且各信息系统之间在安全等级、信任体系 和运行模式等方面各不相同,互联互通会导致安全风险的进 信息安全与技术・2010.08・59・ 爿一Ii● ll●Il ■Bl■【._ ll【. ■暖互¨. 一步增加[1】。那么,如何建立等级化信息系统间跨域的网络 可信互联,是保障信息交换和共享安全的关键问题之一。 来用来保护网络。它采用开放性通用架构,在传统的网络访 问层上增加了可信属性评估层和可信属性度量层,实现对 接入平台的身份验证和完整性验证,从而达到网络接入控制 的目的;同时采用标准接口定义,不同生产商生产的组件以 2004年5月可信计算组织TCG(Trusted Computing Group)成立了可信网络连接分组(Trusted Network Connect Sub Group,TNC-SG),该分组将TCG的研究从 终端扩展到保证网络安全性和完整性方面,并制定了可信 网络连接规范[2,3,4,5,6】。本文参考TCG的可信网络连 及现有的各种网络安全技术和访问控制机制等可以安全的 集成在一起。最新版的TNC规范是2009年发布的TNC Version 1.4[6],其基本架构和控制流程如图1所示。 接思想[2,3,4,5,6】,并将中国可信网络连接架构[7]引入到 等级化信息平台的跨域网络互联中,提出了一种面向等级 保护的多级安全域间可信互联方法。该方法为保障等级化 安全应用平台跨域互联的可信性和安全性,特别是减少不 同等级应用平台互联带来的额外风险,提供了有效的互联 技术框架和方法。 本文其余内容组织如下:第2节对可信网络连接 (Tmsted Network Connect,TNC)的基本思想、架构和规 范进行了介绍;第3节对定级系统间的互联风险、模式等进 行了分析;第4节将可信网络连接的思想引入到等级化安全 应用支撑平台的域间互联中,设计了多级安全域间可信互联 架构和控制流程;第5节将设计的多级安全域间可信互联架 构应用到具体的等级化信息平台的互联中,并对互联的可信 性进行了分析;第六节对本文做出了总结和展望。 2.可信网络连接 2.1 TNC基本思想 可信网络连接,从终端的完整性开始,其基本思想描述 如下:当终端要访问网络时,首先要识别终端的身份,检测 其完整性状态,并比较终端与系统的安全策略,如果终端 满足安全策略要求,则允许其接入网络,否则拒绝接入网 络或对该终端进行隔离。当终端处于隔离状态时,可以对 该终端进行修复。当终端的完整性和其它安全属性达到系 统安全策略的要求时,方可允许该终端接入网络。这样,可 大大提高整个网络系统的安全性及可信性。 2.2 TNC基础架构 1)TNC--SG的可信网络架构 TNC-SG重点研究端点接入网络和接入之后端点的完 整l生策略符合性上,制定了可信网络连接(Trusted Network Connection,TNC)规范,该规范包括了开放的终端完整性 架构和一套确保安全互操作的标准,通过完全的用户自定义 ・60・2010.08・WWW.infosting.org 访 障著^R集喀撕 点时蔓咭捷麓 尉静FH 、P确融蹦■ 盛瞢 图1 TNC基本架构及控制流程图 TNC的基础架构由3个层次、5个实体和若干接口组 件构成。该架构在传统的网络访问层的基础上,增加了完整 性评估层和完整性度量层。3个实体包括访问请求者(Aece ̄ Requestor,AR)、策略执行点(policy enforcement point, PEP)、策略决策点(oplicy decision point,PDP)、元数据存 储点(metadata access point,MAP)和流量控制器、传感器 等。当有访问请求者NAR发送网络连接请求给策略执行 点PEP(流程1)时,PEP将该请求信息传递给策略决策点 PDP(流程2);PDP按照已设置的认证方式对该连接请求 做出决策,具体认证过程包括用户身份认证(流程3)、平台 认证(流程4)和完整性度量(流程5、6),三重认证一级认证 一级,一级信任一级,如果任何一级认证未通过,则信任链中 断,整个认证失败,否则成功;然后将TNC的决策信息发送 给网络访问授权者NAA(流程7);NAA将最终的网络连 接策略(禁止/接入/隔离)发送给PEP,PEP执行相应的 网络连接策略 程8)。 2)中国可信网络连接架构 在国内,2007年2月,北京工业大学牵头组织研究可 信计算关键标准,其中的可信网络连接规范采用三元、三 层、对等、集中管理的可信网络连接架构【7】,并引入第三方 可信管理器,对访问请求者和访问控制器进行集中管理。 具体框架如图2所示。 访问请求者 访问控制器痢咯管理器 图2中国可信网络连接架构 3.定级系统阃的互联 3.1等级化安全应用支撑平台分析 根据《信息系统等级保护安全技术设计要求》(GB/ T24856-2009),二、三、四级安全应用支撑平台构建的均 是在一个管理平台下三重防护体系,即各级系统安全保护 环境由相应级别的的安全计算环境、安全区域边界、安全 通信网络和安全管理中心组成,其设计结构如图3所示。 r-_……I I 一 跨域安全管理中心 ……… : 不同等级信息系统在三重体系下的安全保护,根据各级 安全控制点的不同,安全控制方法也不相同。为了防止信 息系统等级化后出现新的信息孤岛,多级信息系统可信互 联是推进信息系统等级化工作的必然要求。不同等级信息 系统在进行互联时可能带来诸多风险,如跨级安全标记表 示不一致引起的权限泄漏风险,跨级身份和安全级假冒风 .|l1ilelloll ■■:lIII.■■.1111【. 险,多级数据交换导致的信息泄露、完整性破坏风险,多级 模式下非授权访问风险,等等。为了实现不同等级信息系 统之间的数据交换、信息共享、交叉访问和协同办公,需要考 虑信息系统、信息子系统所在的安全计算环境或安全应用 支撑平台(包括安全计算环境、安全区域边界、安全网络通信 甚至安全管理中心)之间建立多级可信互联应用模式。 3.2多级互联模式 多级互联的应用模式可以分为区域间多级互联和区域 内多级互联两种模式。 (1)区域内多级互联 在电子政务应用系统、重要企事业应用系统中,存在一 类信息系统,它包括多个不同等级的信息系统,但却没有 明确的应用物理边界,该类信息系统间安全互联称为区域 内多级互联模式,重点放在确定信息系统间的逻辑边界、 实现信息的逻辑隔离,以及数据的安全交换等方面。 (2)区域间多级互联 区域间多级互联是指当信息系统处于不同的计算环 境,并以区域边界进行隔离的多级信息系统之间的互联。 本文主要解决区域间多级互联的可信网络连接问题。 通过对定级系统安全应用支撑平台的结构分析,将可信网 络连接机制引入到定级系统域间的网络互联中,保证定级 系统区域间互联的可信性与安全性。 4.多级安全域间可信互联方法 4.1框架结构 本文参考TCG规范中的TNC基本架构原理[2,3,4,5,6] 和中国的可信网络连接架构[7】,借鉴中国的可信网络连接架 构中的可信第三方实体,构建了一个互联策略管理器,作为跨 域管理的可信第三方,用于对互联策略的管理和接入控制,实 现基于信任链传递的域间多级认证,具体的等级化安全应用 支撑平台域间多级可信互联架构,如图4所示。 图4中,等级化应用支撑平台多级安全域间可信互联 架构,包含3个层次,即网络访问控制层,该层支持传统的 网络连接技术,支持现有的如VPN和802.1x等技术,可 信评估层,负责对所有请求接入的应用支撑平台的完整性 进行评估,并进行平台认证;可信度量层,负责收集和校验 请求接入的平台的完整性相关信息。 有5个功能实体。 信息安全与技术・2010.08・61・ ;l—Ill H●Il ■■:l● ■ 蠢l【● —口■E 台等的各种安全状态信息、 策略信息、完整性信息等,构 ;瑾 量嵌襄考 豳趣 孝 羔整 艚 硼辑 …十一一 m 一成网络中安全信息的交换平 …—‘卜…难 ……’卜嵋…承 元数 台。 孚旨可僖骧蚤 I寰趣 平台H丘嚣 H滩 赭 ・— 器…・ P 据储存点 缁 (5)网络监控和控制点: 跨域安全管理中心实时收集 各种安全信息,N-其发送给 百僧侧孚台 圈缕块 袁考 嘲蕊 船 黧 ・・ 可僖戢搏毪 MAP;根据MAP中的各种 安全策略动态调整网络的访 问控制策略 边再诗露童簿醛 多馥五联簧昭譬蓬饕 图4多级安全域间可信互联架构 4.2控制流程 (1)接入请求者(A∞ess Requestor,AR):主要是指计算 环境中的申请接入网络的设备或运行于终端的各种安全组件。 如图5所示,多级安全域间可信互联控制流程可描述 为九个环节。 它由三部分组成,IMC(完整性度量收集者),收集终端信息, 对终端的完整性进行测量,CISP(定级信息系统平台),收集完 整性度量收集者的完整 测量信息,并测量和报告自身的完整 流程0:在定级信息系统平台互联之前,平台和互联接 入点都必须使用具体的绑定发现并加载每个相关的IMC, 对IMC进行初始化,确保平台和互联接入点与IMC拥有 有效的状态信息。类似地,EPS也必须发现并载入相关的 IMV,进行初始化。 性信息;NAR(网络访问请求者),通常是计算环境中的某个终 端,用来发出跨平台访问请求,申请建立跨域互联。 (2)边界访问控制器:是一个策略执行者,根据策略管 理器的决定,对AR执行接入或拒绝,完成网络设备的接入 或隔离。它由三部分组成,IMC(完整性度量收集者),收集 互联接入点的信息,对互联接人点的完整性进行测量;ICAP (互联接入点),收集完整性度量者的信息完整性测量信息,转 发端点的安全状态信息,并测量和报告自身的完整性信息; NACS(网络访问控制者),完成端点设备接入网络的各种接 入设备,如多级互联网关等,执行策略管理器的策略决定。 (3)多级互联策略管理器:是一个策略决策者,它根据 访问请求者AR 边界访问控制器BAC 互联策略曹理器ICt ̄I 多级互联策略,决定AR是否可以接入,并通过整体安全 策略评估,完成对执行平台的完整性认证。它由三部分组 图5多级安全域间可信互联控制流程 流程1:当定级信息系统平台请求互联时,NAR发送 互联请求。 成,IMV(完整性度量校验者),从IMC中收集完整性状态 信息,按照策略验证信息,将结果传递给评估策略服务者; EPS(评估策略服务者),根据从IMV中得到的结果,评估 流程2:当NACS收到来自NAR的请求互联消息后, NACS向APS发送决策请求。假定APS已经设置为用户 互联的完整性与安全性,做出决策,将决策传给鉴别策略 服务者;APS(鉴别策略服务者),确认互联的状态信息和 授权信息,将决策发送给边界控制器。 (4)MAP(Metadata Access Point,元数据访问点):独 立的元数据服务器,用于集中统一存储网络终端、用户、平 认证、实体认证、平台认证和完整性认证检查的顺序进行 操作。如果一个认证失败,则后面的认证将不会发生。用 户认证和实体认证发生在APS和AR之间,平台认证和完 整性认证发生在AR和EPS之间。 流程3:假定APS和AR之间的用户认证成功,则 ・62・2010.08・WWW.infosting.org 硐ll1lI.1|.T. _哪lI.- lll【. APS通知EPS有一个互联请求。 流程4:EPS和CISP之间进行平台认证。 流程5:假定CISP和EPS之间的平台认证成功,以下 三个流程并发。 将决策发送给APS。 流程8:APS发送EPS的决策给NACS,NACS实施 决策行为。APS需要向EPS说明他最后的互联决定,这个 决定也将发送给CIsP。 流程9:ICAP实施APS转发的EPS决策。互联过程 结束。 ①EPS通知IMV互联请求已经发生,需要进行完整 性验证, ②CISP通知IMC互联请求已经发生,需要准备完整 性相关信息; ③ICAP通知IMC互联请求已经发生,需要准备完 整性相关信息。 IMC通过IF-IMC向CISP和ICAP返回IF—IM信息。 流程6a:CISP和EPS交换与完整性验证相关的各种 信息。这些信息并被NAR、NACS和APS转发,直到AR 的完整性状态满足EPS的要求。 流程6b:ICAP和EPS交换与完整性验证相关的各 种信息。这些信息并被NAR、NACS和APS转发,直到 4.3基于信任链传递的多级认证 在整个控制流程中,从可信计算环境开始,通过用户身 份认证、实体认证、平台认证和完整性认证过程,一级认证 一级,一级信任一级,建立等级化信息系统互联的信任链, 从而确保互联的可信性和安全性。信任链的传递过程如图 6所示。信任链以计算环境、户身份认证、实体认证、平台 认证和完整性认证为信任根,通过第三方可信模块的不断 可信测量,分别向鉴别策略服务模块和评估策略模块提交 可信报告,实现该等级化信息系统平台的可信评估。 具体地,每个计算节点采用可信终端,通过可信平台服 务、可信软件栈和可信平台模块进行可信操作。当可信计 BAC的完整性状态满足EPS的要求。 流程6c:EPS将每个IMC信息发送给相应的IMV。 IMV分析IMC信息,若IMV还需要更多完整性信息,它通 过IF-IMV接口向EPS发送信息;若IMV已经对IMC完整 性信息作出判断,它通过IF-IMV接口将结果发送给EPS。 流程6d:CISP也要转发来自EPS的信息给相应的 IMC,并将来自IMC的信息发送给EPS。 流程6e:ICAP也要转发来自EPS的信息给相应的 IMC,并将来自IMC的信息发送给EPS。 流程7:假定EPS完成和CISP的完整性认证,则EPS 算环境中某用户发起跨平台连接请求时,在自身完整性验 证的基础上,将控制权传递给下一级身份认证;主体的身 份认证可采用PKI等现有的身份认证技术,验证用户为可 信的合法用户;若成功,则对请求互联的主体所要访问的 其他平台的客体,进行完整性度量,从而对客体的安全属 性、允许的操作和信任度等完整性度量信息进行验证,成 功验证后,建立主体与客体间的信任关系,并将控制权传 递给平台认证;平台认证通过对收集到的双方平台的完整 性信息校验,对互联双方平台进行双向可信认证,保证互 一一--. 报告 图6基于信任链传递的多级认证过程 信息安全与技术・2010.08・63・ ;l—t1●I●ll●Ie -:llie■■ lI【● 联平台的可信性;最后,通过收集到的互联操作过程的完 整性信息,验证互联过程的完整性。并将其中的验证结果 网关,最后由互联网关实施互联操作;如果以上四级认证中的 任一级认证失败,则整个互联过程失败,即互联的可信性无法 信息存储到评估策略服务器中,由评估策略服务器将最终 的度量信息报告给互联接人点的访问控制器,并由互联接 人点实施策略行为。 确保,生成相应的隔离或禁f 互联策略发送给区域边界的访问 控制器,由互联网关实施禁止或隔离操作。 5.2互联的可信性分析 对于等级化信息系统互联的可信性,主要从接入可信 性和互联可信性两方面进行分析。 (1)接入可信性 在等级化信息系统平台的互联中,互联控制点位于多级 互联网关上,域间互联过程中的多级认证及策略服务(包含 授权服务)都在可信第三方即跨域网络安全管理中心上完 成。当接收到互联请求时,跨域网络安全管理中心实时收 5.应用方案 5.1域间互联方案 以两个等级化信息系统间的互联为例,应用以上提出 的域间可信互联方法构建了其互联方案 如图7所示。 图7中,当等级化信息系统计算环境A中的主体(用 户)跨级访问等级化信息系统计算环境B中的客体(如资 源)时,经过跨级安全管理中信的多级认证和权限控制, 生成相应的访问控制策略发送给互联接人点(多级互联网 关),从而执行相应的互联决策。 在跨域安全管理中心中,域间的多级认证依次为身份认 证、实体认证、平台认证和完整性认证。具体地,等级化信息 集各个等级化信息系统的完整性信息和安全性状态信息等 (MAP服务器),通过请求方用户的身份认证、被访问方实体 的认证、上方平台的双向可信认证以及互联过程的完整性 认证,及时发现不可信行为或信息,做出相应的隔离或禁止 决策。只有当用户、实体、平台都处于可信状态时,才将其互 联,这种接入的度量机制进一步确保了网络的可信和安全。 (2)互联可信性 互联的可信性主要表现在多级互联网关的控制上。边 界区域的访问控制器可以对多级互联网关的互联行为和 访问控制策略进行及时调整。即,互联后,跨域安全管理中 心实时度量互联双方的完整性状态,及时生成控制策略, 避免互联后不可信行为的发生。若发生不可信行为,则将 生成的策略信息发送给边界的访问控制器,控制互联网关 的互联状态和访问控制机制。 因此,本文提出的互联方法不仅在互联时,也在互联后 对互联平台的可信性进行 监督管理与控制。 r_…l l 系统计算环境A请求访问访问等级化信息系统计算环境B 中的客体时,首先要对用户的可信性进行评估,主要通过身 份认证,验证用户的身份;若用户的身份通过验证确定为可 信用户,再对用户请求的资源进行验证,检验资源在计算环境 B中的信任度和安全属性,若B客体允许A中的用户对其进 行操作,建立用户和客体之间的信任关系,资源认证成功;然 后,对计算环境A和计算环境B进行平台双向认证,只有A 和B都是可信的,则平台认证成功;最后,通过完整性认证, 验证互联过程是可信的。当且仅当以上四级认证都成功完成 时,生成相应的互联访问控制策略,发送给双方平台区域边界 的访问控制器,访问控制器并将控制和授权策略发送给互联 一一一 五一一一一1 。 I I l 6.结束语 针对不同等级间信息 圜圈圉 L瞳 舅 土lI幸 l I I I I I l l le f L-一I l p{ : 置略: I I 系统的互联会导致许多额 外风险等问题,本文提出 了一种面向等级保护的多 I I l l匡鼬 : 图7多级安全域间可信互联方案 鳓鼻: 圈图圉 级安全域间可信网络互联 方法,设计了域间多级可 信网络互联的框架结构, ・64・2010.08・WWW.infosting org ●lIOIO -:llie—■.1ll【. 说明了架构运行的控制流程,并将其应用到具体的等级化 信息平台的互联中。该方法为保障等级化安全应用平台 跨域互联的可信性和安全性,特别是减少不同等级应用平 台互联带来的额外风险,提供了有效的互联技术框架和方 法。在后续工作中,我们将进一步探讨整个控制流程的完 2O l 0.6.http://www.trustedcomputinggroup. 0rg/files/resOurce—files/51F9691E—lD09—3519一 AD1C1E27D285F03B/TNC—Architecture_v1_4一r4.pdf. [7】张焕国、陈璐、张立强.可信网络连接研究[J】.计算 机学报.2010,33(4):706--717. 整性证明和具体的实现技术。 参考文献 【1】邹翔、沈寒辉、周国勇.跨系统可信互联安全体系研究 [J].信息网络安全.2008,(11):39-41. [2】Trusted Computing Group.TCG Trusted Network Connect TNC Architecture for InterOperability Specification Version I.0,Revision 4[EB/OL】. 2010.6.http://www.trustedcomputinggroup. org/files/res0urce—files/6465AABE-1D09-3519一 ADE85CB149FF36C3/TNC—Architecture—vl_0一r4.pdf. [3】Trusted Computing Group.TCG Trusted Network Connect TN C Architecture for InterOperability Specification Version 1.1, Reversion 2 [EB/OL】. 20l 0.6.http://www.trustedcomputinggroup. org/files/static—page—files/1D45B753—1D09-3519一 ADA8803672EAC8OD/TNC~Architecture_v1…1 r2 pdf. [4】Trusted Computing Group.TCG Trustde Network Connect TNC Architecture for Interoperability Specification Version 1.2, Revision 4[EB/OL】. 2010.6.http ,, .trustedcomputinggroup. org/files/static—page—files/1D45FC49-1D09-3519- AD7197129405CE05/TNC—Architecture_vl-2J.4.pdf. [5】Trusted Computing Group.TCG Trusted Network Connect TNC Architecture for InterOperabi王ity Specificati0n Version 1.3, Revision 6[EB/OL】. 20 1 0.6.http://www.trustedcomputinggroup. org/files/resource—files/8 CB439DF一1 D09-35 1 9一 ADC5Al5A7A9DE2D9/TNC~Architecture_v1—3_r6.pdf. [6】Trusted Computing Group.TCG Trusted Network Connect TN C Architecture for InterOperability Specification Version 1.4, Revision 4 [EB/OL】. [8】Trusted Computing Group.TCG Trusted Network Connect--TNC IF—IMC, Specification Version 1.2,Revision 8[EB/OL】.2010,6.http:// Ⅵ兀 w.trustedcomputinggroup.org/fil ̄/resource_files/ 8CB977El—lD09—351 9一AD484845 30EF6639/ TNC—IFIMC—v12一r8.pdf. [9】Trusted Computing Group.TCG Trusted Network COnnect—TNC IF—IMV, Specificati0n Version 1.2,Revision 8[EB/0L】.2010,6.http://www. trustedcomputinggroup.org/files/static—page—files/ 646808C 3—1D09—3 51 9一AD2E60765779A42A/ TNC—IFIMV—v1—2一r8.pdf. [10】Trustde Computing Group.TCG Trustde Network Connect--TNC IF—M: TLV Binding,Specification Version 1.0,Revision 37[EB/OL】.2010,6.http:// Ⅵ兀Ⅳw.trustedcomputinggroup.org/files/resource—files/ 495862FF一1DO9—3519一AD8977DC98C1 167C/TNC—IFM— TLVBinding_vl_0_r37a.pdf. [1 1】Trusted Computing Group.TCG Trusted Network Connect--TNC IF—TNCCS:TLV Binding, Specification Version 2.0, Revision l 0[EB/OL】. 20 1 0,6.http://www.trustedcomputinggroup. org/files/static—page—files/0A657AE1—1D09-3519一 ADDB14631EB7lCOC/IF-TNCCS_v2—0_rl0.pdf. 【12】刘巍伟、韩臻、沈昌祥.基于终端行为的可信网络连 接控制方案【J】.通信学报.2009,30(11):127—134. 项目来源: 中国高技术研究发展计划(批准号 2009AA01Z438. 2009AA01Z431)资助项目。 国家863信息系统安全等级保护技术研发联盟成员单位—— 中国科学院计算技术研究所。 信息安全与技术・2010.08・65・
