平震宇

(江蘇信息職業(yè)技術學院計算機工程系,江蘇無錫 214101)

網(wǎng)絡可信平臺的設計與實現(xiàn)

平震宇

(江蘇信息職業(yè)技術學院計算機工程系,江蘇無錫 214101)

介紹了網(wǎng)絡可信平臺的研究與實現(xiàn),采用可信度量機制以保證網(wǎng)絡計算終端的安全為基礎,利用遠程證明機制對網(wǎng)絡接入終端的可信性驗證,根據(jù)驗證結(jié)果決定對整個網(wǎng)絡計算環(huán)境的訪問控制,利用傳統(tǒng)網(wǎng)絡安全技術和可信計算技術實現(xiàn)了全新的網(wǎng)絡安全體系結(jié)構(gòu).

可信計算;可信認證;遠程證明;網(wǎng)絡安全

0 引 言

目前,大部分信息安全系統(tǒng)主要由防火墻、入侵監(jiān)測等環(huán)節(jié)組成,其主要以共享信息資源為中心在外圍對非法用戶和越權(quán)訪問者進行封堵,以防止外部攻擊,而對訪問者源端不加控制.此外,由于操作系統(tǒng)的不安全因素導致系統(tǒng)出現(xiàn)各種漏洞,同時,許多計算機應用程序都采用分布式結(jié)構(gòu),整個系統(tǒng)為保證系統(tǒng)功能能正確執(zhí)行,客戶端組件在其中扮演著重要的角色.因而無法從根本上解決安全問題.造成終端不可信的原因很大程度上是因為終端上運行了不可信的程序代碼,如果能夠識別出不可信的代碼程序,那么就有可能建立起一個安全可信的終端運行環(huán)境[1].網(wǎng)絡可信平臺的核心思想是系統(tǒng)的啟動從一個可信信任源開始,任何將要獲得控制權(quán)的實體,都需要先通過完整性認證,從而通過構(gòu)建一套安全機制,來消除或者最大程度的限制惡意代碼的作用范圍和作用程度[2,3].

本文介紹了網(wǎng)絡可信平臺的研究與實現(xiàn),采用可信度量機制以保證網(wǎng)絡計算終端的安全為基礎,利用遠程證明機制對網(wǎng)絡接入終端的可信性驗證,根據(jù)驗證結(jié)果來確定對整個網(wǎng)絡計算環(huán)境的訪問控制,即利用傳統(tǒng)網(wǎng)絡安全技術和可信計算技術實現(xiàn)了全新的網(wǎng)絡安全體系結(jié)構(gòu).

1 完整性度量模型研究

針對當前安全模型對可執(zhí)行權(quán)限沒有專門的定義和描述,設計出一種系統(tǒng)完整性度量模型,對客體的可執(zhí)行權(quán)限嚴格的定義和描述,對被執(zhí)行的客體實施完整性度量,確保其完整性不被破壞,防止惡意代碼的執(zhí)行,保護系統(tǒng)的完整性.

初始安全狀態(tài),即系統(tǒng)中不包含惡意代碼,所有可執(zhí)行代碼的完整性都沒有被破壞,那么在其他任意時刻,只要確保主體所執(zhí)行的代碼的完整性沒有被破壞,即代碼完整性特征值與預期完整性值相同,就可保證主體所執(zhí)行的代碼的安全,從而確保整個系統(tǒng)的完整性不被破壞.在系統(tǒng)運行時,僅當可執(zhí)行程序是這個“白名單”的成員且保持完整性才被允許執(zhí)行.通常情況下,可執(zhí)行程序的運行還需要其他的相關客體,如需要裝載的動態(tài)庫、讀取配置文件、安全策略文件.如果這些與可執(zhí)行程序相關客體的完整性被破壞,就不可能保證主體所執(zhí)行的代碼的安全,更不可能確保整個系統(tǒng)的完整性不被破壞.如個人防火墻的安全策略文件被非法改變,由高安全性變?yōu)榈桶踩?這雖然也沒有破壞被執(zhí)行客體的完整性,但是卻使個人防火墻保護終端的能力降低,給系統(tǒng)的安全性帶來極大的隱患.基于上述思想,我們定義嚴格的安全公理.

定義1 si∈S,oi為一帶有惡意代碼的客體(oi∈O),if請求rq(si,oi,e)被允許,則系統(tǒng)被惡意代碼入侵.

定義2 fr為定義在客體o上的函數(shù),oi∈O, fr(o)={o和O執(zhí)行相關其他客體的集合}.如,fr (o)由可執(zhí)行的客體 o,及其 o執(zhí)行時需要輸入數(shù)據(jù),如加載的動態(tài)庫、配置文件、安全策略文件等客體組成.

安全公理 一個系統(tǒng)狀態(tài)V為安全狀態(tài),iff b (S：e)?Op,且?oi∈b(S：e),?ok∈fr(oi),使得fc(ok)=unmodified.其中,b(s：x1,x2,…,xn)表示 b中主體S對其具有訪問權(quán)限xi的所有客體的集合.態(tài)序列 Z是一個安全狀態(tài)序列,iff對于每一個t∈T,z∈Z都是安全狀態(tài).

在模型中,我們對執(zhí)行權(quán)限做了嚴格的定義和描述.首先,客體的執(zhí)行權(quán)限必須由可信主體授權(quán),即只有經(jīng)過可信認證的客體才可能被允許執(zhí)行.為了維護系統(tǒng)的完整性和一致性,在增加一個新的完整性保護的客體前,必須確保其完整性.因此,在安裝新軟件時,通常要求軟件發(fā)布者對其發(fā)布軟件的摘要進行數(shù)字簽名.即在安裝新軟件時,由可信主體驗證數(shù)字簽名和軟件的完整性后,才能將其加入到可信集合中.同時,在允許客體執(zhí)行前,應進行嚴格的完整性度量,以確保客體以及與它相關的其他客體的完整性沒有被破壞,客體才能被允許執(zhí)行.完整性度量模型是對當前安全模型的補充,它與其他安全模型的結(jié)合,可為系統(tǒng)提供更加細致和完善的安全策略.

2 基于屬性的遠程證明模型

為構(gòu)建可信網(wǎng)絡連接,我們必須把信任延伸到網(wǎng)絡中,而遠程證明機制正是使信任能夠在網(wǎng)絡環(huán)境下傳遞的方法.遠程證明的實質(zhì)是一種基于二進制的完整性驗證[1],該方式存在以下問題：①證明過程需要驗證方知道各種平臺可能配置的完整性數(shù)據(jù),這些數(shù)據(jù)的獲得與管理較困難,因而該方式僅適用于封閉的網(wǎng)絡環(huán)境中;②平臺配置值的完整性狀態(tài)不能表達更多的平臺安全信息;③配置信息暴露會導致平臺更容易攻擊.

基于屬性的遠程證明模型可以很好的解決上述問題[4].基于屬性的遠程證明過程包含3個參與方：訪問請求者Challenger),不違反任何特定安全需要的實體——可信第三方(Trusted Third Parth,TTP),服務提供方.遠程證明過程如圖1所示.

圖1 基于屬性的遠程證明過程

遠程證明過程具體為：第一步,發(fā)送被驗證平臺的系統(tǒng)完整性報告給可信第三方;第二步,可信第三方根據(jù)這個完整性報告,并對照其擁有的屬性安全策略,包括平臺組件屬性及完整性特征值、運行后平臺屬性以及基于平臺屬性的訪問控制策略,形成一個授權(quán)書;第三步,可信第三方頒發(fā)證書給被驗證平臺;第四步,被驗證平臺向服務提供方證明自己的屬性和權(quán)限,獲得服務方資源.

這種基于屬性的遠程證明機制有以下優(yōu)點：①便于完整性數(shù)據(jù)的有效管理,易實現(xiàn)復雜開發(fā)網(wǎng)絡環(huán)境下的異構(gòu)平臺之間的驗證;②根據(jù)訪問控制策略生成證書方式靈活;③避免直接暴露平臺配置給未知驗證方;④用戶可以控制那些屬性用于平臺驗證.

在建立可信網(wǎng)絡連接時,網(wǎng)絡中的實體不僅要求鑒別身份,證明它們被授權(quán)允許訪問網(wǎng)絡,而且要求驗證它們運行環(huán)境和程序是否可信.基于屬性的遠程證明機制借助可信第三方擁有的完整性數(shù)據(jù)和屬性策略驗證平臺的屬性,可以實現(xiàn)任意平臺間的認證,使系統(tǒng)更適于開發(fā)的網(wǎng)絡環(huán)境[3,4].

3 可信網(wǎng)絡平臺實現(xiàn)方案

可信網(wǎng)絡平臺本質(zhì)上就是采用可信度量機制以保證網(wǎng)絡計算終端的安全為基礎,利用遠程證明機制對網(wǎng)絡接入終端的可信性進行驗證,根據(jù)驗證結(jié)果決定對整個網(wǎng)絡計算環(huán)境的訪問控制.可信網(wǎng)絡平臺系統(tǒng)結(jié)構(gòu)如圖2所示. 3.1 初始配置階段

圖2 可信網(wǎng)絡平臺系統(tǒng)結(jié)構(gòu)圖

完整性度量方法所具有的一個重要特點是：檢測結(jié)果依賴于檢測依據(jù),也就是預期完整性度量值.即只有首先確定度量依據(jù),才能進行度量,度量依據(jù)的確定是度量方法的先決條件.保護存儲能針對需要保護的敏感文件實施機密性與完整性雙重保護,通過對其加密確保其機密性,利用一致性檢查和禁止授權(quán)以外的其他程序或冒名的授權(quán)程序訪問文件確保其完整性[3].在初始配置時,需要收集的信息包括：①系統(tǒng)和用戶的身份信息(Identity Information);②系統(tǒng)完整信息(Integrity Information)包括系統(tǒng)配置信息,應用程序信息;③其他系統(tǒng)有效信息,包括注冊表掃描信息,病毒軟件掃描信息,端口掃描等信息.把所有終端信息生成摘要并使用TTP公鑰加密后保存在TTP的已經(jīng)建立好的PCR中.

3.2 可信第三方確認階段

當訪問請求者(Access Requestor,AR)需要通過策略實施點(Policy Enforcement Point)PEP進行網(wǎng)絡訪問時,策略實施點發(fā)送認證請求給訪問請求者的可信認證服務.當可信認證服務收到認證請求后,需要尋找合法的TTP,進入到可信第三方確認階段.

首先,可信認證服務客戶端TASC產(chǎn)生一個160bit的隨機數(shù)random,發(fā)送確認請求Chreq到TTP可信認證服務服務端TASS;其次,TTP將自己的特征信息,以及TASC發(fā)送過來的random使用自己的私鑰AIK priv計算摘要Quote=sig{PCR,random}AIK-priv;再次,TTP發(fā)送回復信息到 TASC,ChRes (Quote);最后,TASC收到后,使用TTP證書中的公鑰驗證接收到PCR以及random時候正確.如果驗證正確說明可信第三方平臺是預期的合法平臺,可以進行下面的認證階段.

3.3 可信認證階段

當訪問請求者找到合法的TTP后,開始可信認證階段.具體步驟如下：第一步,TASC要求完整性度量收集器(Integrity Measurement Collectors,IMC)根據(jù)策略實施點發(fā)送認證請求(即網(wǎng)絡訪問端口信息)查找網(wǎng)絡訪問者信息,計算訪問者可執(zhí)行程序、動態(tài)庫、配置文件的Hash值,使用自己的私鑰簽名產(chǎn)生認證信息,AuthData=sig{(Exec,LIB,Config File) hash}USERpriv,將認證信息發(fā)送到TTP的TASS;第二步,TTP的TASS接受到信息后,由完整性度量鑒別器(Integrity Measurement Verifiers,IMV)對IMC信息進行分析,如果IMV需要更多的完整性信息,它將向TASC發(fā)送信息.如果IMV己經(jīng)對IMC的完整性信息做出判斷,它將結(jié)果通過發(fā)送給TTP的TASS;第三步,當TASS已經(jīng)完成了和TASC之間的完整性檢查握手后,它發(fā)送TASS動作建議給NAA.這里要注意的是,即使AR通過了TASS的完整性檢查,如果它的某些安全屬性不滿足NAA的要求,NAA仍然可以拒絕AR的網(wǎng)絡訪問請求;第四步,NAA發(fā)送網(wǎng)絡訪問決策給PEP讓其執(zhí)行.NAA也必須向TASS說明它最后的網(wǎng)絡訪問決定,這個決定也將會發(fā)送給TASC.一般PEP還要向TTP說明其執(zhí)行決策的情況.

當合法訪問程序被病毒或木馬感染后,簽名值將發(fā)生改變,網(wǎng)絡可信平臺在比較簽名值后,能在被病毒或木馬感染的程序建立網(wǎng)絡通訊之前中斷通訊.基于此原理,即便是未知的病毒或木馬都無法傳播到核心數(shù)據(jù)服務網(wǎng)絡.

3.4 系統(tǒng)實現(xiàn)與分析

本文在Xen隔離Compartment的平臺上實現(xiàn)電子政務可信網(wǎng)絡平臺系統(tǒng).系統(tǒng)中可信硬件層使用的是符合TPM規(guī)范的Nation SemiConductor TPM安全芯片.使用開源虛擬機控制器Xen實現(xiàn)虛擬機監(jiān)控層,Xen Hypervisor實現(xiàn)各虛擬機的強隔離,可信第三方平臺的TASS,NAA,IMV分別運行于虛擬機的操作系統(tǒng)內(nèi)核中.終端IMC與TASC分別在windows與linux系統(tǒng)上實現(xiàn).

電子政務公文傳輸系統(tǒng)運行環(huán)境由收發(fā)文終端以及應用服務器構(gòu)成.收發(fā)文終端一般構(gòu)成為：個人計算機、USBKEY驅(qū)動程序和TASC.應用服務器則由TASS,中心數(shù)據(jù)庫服務器,身份認證服務器等構(gòu)成.收發(fā)文終端的安全狀況依賴于終端個人計算機的安全配置.USBKEY驅(qū)動程序和TASC,只是作為一般的應用程序裝入操作系統(tǒng).其安全性也依賴于個人計算機的安全性.一旦個人計算機的安全防御被攻破就暴露在不安全狀態(tài)下,有可能被惡意木馬或者病毒改寫.應用服務器的狀況也大致類似,并且公文傳輸?shù)南到y(tǒng)服務程序以及包含用戶的各種信息的數(shù)據(jù)庫的安全性也依賴于應用服務器計算機的安全配置.一旦服務器崩潰,不但正常的服務受影響,更有信息泄漏的危險.為解決上述安全隱患,電子政務可信網(wǎng)絡平臺系統(tǒng)具體方案實現(xiàn)如下：

在初始化階段,對應用程序做完整性記錄,進而在運行使用階段,對應用程序做完整性檢測,如果檢測結(jié)果與記錄不一致,則發(fā)出警報.對于終端方面,當接收到認證請求時,IMC模塊度量可執(zhí)行程序和相關的系統(tǒng)和動態(tài)鏈接程序,需要度量的部件是USBKEY驅(qū)動程序和安全中間件.安全啟動在裝載操作系統(tǒng)之前開始,包括度量操作系統(tǒng)的組件.內(nèi)核組件裝載執(zhí)行之后,它們度量驗證其他平臺安全策略指定的組件.如果度量驗證過程中任何時刻發(fā)現(xiàn)背離安全策略的情況,平臺可以選擇中止執(zhí)行,或者選擇繼續(xù)啟動到一個等待修正的狀態(tài),以便更新組件或者安全策略.USBKEY驅(qū)動程序在安裝過程中作為操作系統(tǒng)的服務嵌入操作系統(tǒng),對其實現(xiàn)的度量可以把它看作操作系統(tǒng)的某一個組件,在安全啟動過程就實施度量.鑒于USBKEY驅(qū)動是基于系統(tǒng)標準接口開發(fā)的,未經(jīng)授權(quán)的程序也有可能調(diào)用該驅(qū)動,進而取得數(shù)字證書等用戶相關信息數(shù)據(jù).為此,應用TPM的安全存儲機制,對USBKEY中的證書等信息數(shù)據(jù)進行封裝再存儲,安全中間件調(diào)用驅(qū)動程序取得數(shù)據(jù)之后,經(jīng)過TPM的解封裝再使用,如此將大大增強系統(tǒng)身份認證的安全系數(shù).中間經(jīng)過TPM的可信保障,未授權(quán)的程序即使取得用戶數(shù)據(jù),也因為不能通過TPM的驗證而得不到數(shù)據(jù)的解封裝,從而無法使用.安全中間件主要負責向身份認證服務器發(fā)送身份認證請求,對其實現(xiàn)的度量可以在用戶單點登陸時,作為裝載的應用程序進行度量. TASS維護與各個AR的會話組件樹.TASC與TASS進行通信認證時,TASS新建會話,首次證明時將計算整個會話組件樹,用根節(jié)點擴展PCR,TPM簽名生成證明憑證,當與AR關聯(lián)組件發(fā)生更新時,組件管理器將觸發(fā)TASS對會話樹進行更新.TASS將收集的信息協(xié)同完整性度量鑒別器IMV完成檢驗工作后發(fā)送結(jié)果給NAA.最后,NAA告知執(zhí)行機構(gòu).在實驗中,系統(tǒng)進行組件證明的平均通信時間為1.315 s,更新證明平均時間為1.123 s.此也表明,系統(tǒng)能夠滿足終端的訪問請求延時要求.

4 總 結(jié)

本文將傳統(tǒng)的網(wǎng)絡安全技術和可信計算技術有機結(jié)合,建立可信網(wǎng)絡體系結(jié)構(gòu),從而構(gòu)建可信應用環(huán)境.采用可信度量機制以保證網(wǎng)絡計算終端的安全為基礎,并利用遠程證明機制對網(wǎng)絡接入終端的可信性驗證,從而為網(wǎng)絡計算環(huán)境穩(wěn)定、安全地運行提供可靠保證.

[1]王 飛,劉 毅.可信計算平臺管理中心的設計與實現(xiàn).微計算機信息,2007,24(3)：91-93.

[2]Anderson R.Cryptography and Competition Policy Issues with“Trusted Computing[C]//Proc.22nd ACM Ann.Symp.Principles of Distributed Computing.New Y ork：ACM Press,2003.

[3]Marshall D A,Michael V J.Trusted systems concepts[J].Computer and Security,1995,103(14)：45-56.

[4]沈昌祥.構(gòu)造積極御綜合防護體系[J].信息安全與保密, 2004,22(5)：17-18.

[5]閔應驊.可信系統(tǒng)與網(wǎng)絡[J].計算機工程與科學,2001,23 (5)：21-28.

[6]Anderson RJ.Security engineering：A guide to building dependable distributed systems[M].New Y ork：Wiley Press,2001.

Design and Realization of Trusted Network Platform

PING Zhenyu

(Department of Computer Engineering,Jiangsu College of Information Technology,Wuxi 214101,China)

The research and implementation of trusted network platformwas introduced,which was based on the security of network calculating termination by reliability measuring system.Telnet was used to confirm the reliability that the system has to the network input termination.With the confirmed outcomes,access control for the whole calculating environment would be decided.The traditional network security technology and trusted computing technology were used to realize a brand-new network security system.

trusted computing;trusted certification;remote attestation;network security

TP309

：A

1004-5422(2010)02-0150-04

2010-01-26.

平震宇(1975—),男,講師,從事計算機網(wǎng)絡與數(shù)據(jù)庫安全研究.