閆小俠 秦 華

（北京工業(yè)大學(xué)網(wǎng)絡(luò)中心 北京 100124）

0 引言

可信網(wǎng)絡(luò)已經(jīng)成為終端用戶以及網(wǎng)絡(luò)開發(fā)者共同關(guān)注的一個焦點(diǎn)。網(wǎng)絡(luò)由終端用戶以及網(wǎng)絡(luò)本身構(gòu)成。網(wǎng)絡(luò)的可信分成兩個方面：終端對網(wǎng)絡(luò)可信和網(wǎng)絡(luò)對終端可信。

從網(wǎng)絡(luò)的角度出發(fā)，網(wǎng)絡(luò)本身希望每一個接入到網(wǎng)絡(luò)中的終端都是安全的、可信的?？尚庞?jì)算組織TCG[1-4]2004年5月成立了可信網(wǎng)絡(luò)連接小組，主要負(fù)責(zé)研究和制定可信網(wǎng)絡(luò)連接TNC的框架和相關(guān)標(biāo)準(zhǔn)[1]。TNC從保護(hù)網(wǎng)絡(luò)的安全性方面進(jìn)行分析設(shè)計(jì)，保證終端或者終端接入的可信性問題。沈昌祥院士等結(jié)合可信計(jì)算理論提出了三元對等模型[1]，微軟的網(wǎng)絡(luò)訪問保護(hù)NAP架構(gòu)[5]、思科的網(wǎng)絡(luò)訪問控制NAC架構(gòu)[6，7]等都是很好的實(shí)用技術(shù)。

網(wǎng)絡(luò)由終端用戶、服務(wù)器、網(wǎng)絡(luò)通信設(shè)備等構(gòu)成。每個想要接入網(wǎng)絡(luò)的終端用戶都希望即將接入的網(wǎng)絡(luò)本身是可信的、可靠的、安全的。但對網(wǎng)絡(luò)可信性的研究還很不夠，本文重點(diǎn)研究可信網(wǎng)絡(luò)的構(gòu)成，提出了一個可信網(wǎng)絡(luò)框架模型[8]和一種多級信任機(jī)制，分析研究網(wǎng)絡(luò)通信設(shè)備可信啟動過程，并設(shè)計(jì)驗(yàn)證網(wǎng)絡(luò)設(shè)備可信機(jī)制保證網(wǎng)絡(luò)的可信性。

1 可信網(wǎng)絡(luò)框架模型

建立一個可信網(wǎng)絡(luò)必須要有三種機(jī)制：信任根、可信傳遞、可信度量，它們是保證網(wǎng)絡(luò)平臺可信的根本，是實(shí)現(xiàn)網(wǎng)絡(luò)可信的理論依據(jù)[9，10]。在可信網(wǎng)絡(luò)框架模型中，網(wǎng)絡(luò)的可信度量從網(wǎng)絡(luò)信任根開始，通過信任鏈傳遞機(jī)制實(shí)現(xiàn)對加入網(wǎng)絡(luò)的各種設(shè)備、設(shè)備上運(yùn)行的操作系統(tǒng)、以及應(yīng)用的可信性進(jìn)行度量。信任鏈[10，11]利用完整性度量機(jī)制在網(wǎng)絡(luò)設(shè)備組件之間采取一級度量一級、一級信任一級的方式建立起來的一種信任傳遞的關(guān)系，從而將可信性從信任根傳遞至整個網(wǎng)絡(luò)，確保整個網(wǎng)絡(luò)的可信性。

網(wǎng)絡(luò)可信根是整個可信網(wǎng)絡(luò)的起點(diǎn)。網(wǎng)絡(luò)可信根通過多級信任機(jī)制度量組成網(wǎng)絡(luò)的各種設(shè)備的可信性，保證整個網(wǎng)絡(luò)的可信。

如圖1所示，多級信任機(jī)制對組成網(wǎng)絡(luò)的各種設(shè)備的可信性度量主要是靜態(tài)可信性度量—即：各設(shè)備硬件、啟動序列、操作系統(tǒng)以及在操作系統(tǒng)之上加載的應(yīng)用的可信性。而動態(tài)可信度量則指的是設(shè)備上各種應(yīng)用系統(tǒng)運(yùn)行時的可信性評估，不屬于本文的研究范疇。本文重點(diǎn)討論網(wǎng)絡(luò)通信設(shè)備（交換機(jī)、路由器等）的靜態(tài)可信過程，即從硬件檢測開始，直到加載完成配置文件整個過程的可信性，也稱網(wǎng)絡(luò)設(shè)備啟動過程的可信性。

圖1 多級信任機(jī)制

可信網(wǎng)絡(luò)組建過程中，如果構(gòu)成網(wǎng)絡(luò)的每一臺設(shè)備其硬件和軟件在初始啟動時都是可預(yù)期的，那么構(gòu)成的網(wǎng)絡(luò)是靜態(tài)可信任的。將可信網(wǎng)絡(luò)的硬件配置信息、引導(dǎo)程序特征信息、操作系統(tǒng)特征信息、配置文件特征信息等存放在網(wǎng)絡(luò)可信根中，并依據(jù)這些信息利用多級信任機(jī)制對每臺加入網(wǎng)絡(luò)的設(shè)備進(jìn)行入網(wǎng)評估，最終完成對該網(wǎng)絡(luò)設(shè)備的可信度量。

一級信任根負(fù)責(zé)度量網(wǎng)絡(luò)設(shè)備硬件的可信性，如果申請入網(wǎng)的設(shè)備的硬件特征滿足網(wǎng)絡(luò)可信根中的定義，則通過度量進(jìn)入二級可信根度量。

二級信任根負(fù)責(zé)度量網(wǎng)絡(luò)設(shè)備引導(dǎo)程序是否符合網(wǎng)絡(luò)可信根中相關(guān)的特征定義，只有度量結(jié)果通過之后才允許網(wǎng)絡(luò)設(shè)備加載操作系統(tǒng)。

三級信任根負(fù)責(zé)對網(wǎng)絡(luò)設(shè)備上加載的操作系統(tǒng)進(jìn)行度量并確保網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)具備網(wǎng)絡(luò)可信根中定義的相關(guān)特征。

四級信任根按照網(wǎng)絡(luò)可信根中定義的網(wǎng)絡(luò)設(shè)備配置文件特征來評估設(shè)備是否加載了可信任的配置文件。

通過前四級信任根的度量，說明網(wǎng)絡(luò)設(shè)備完全符合可信網(wǎng)絡(luò)的靜態(tài)特征，組成的網(wǎng)絡(luò)是靜態(tài)可信的，可以為用戶提供網(wǎng)絡(luò)接入服務(wù)。

2 網(wǎng)絡(luò)靜態(tài)可信度量系統(tǒng)設(shè)計(jì)

網(wǎng)絡(luò)靜態(tài)可信度量系統(tǒng)的網(wǎng)絡(luò)拓?fù)洵h(huán)境示意圖如圖2所示。通過實(shí)驗(yàn)?zāi)M對交換機(jī)加入可信網(wǎng)絡(luò)前的靜態(tài)可信性進(jìn)行驗(yàn)證的過程。

圖2 系統(tǒng)拓?fù)涫疽鈭D

在交換機(jī)上設(shè)計(jì)兩個功能模塊，一個是通信模塊，實(shí)現(xiàn)與網(wǎng)絡(luò)可信根之間的通信，另一個是度量模塊，在交換機(jī)正常啟動的過程中插入多級度量檢測點(diǎn)，以便檢測該交換機(jī)的啟動過程是否滿足可信特征要求。

設(shè)計(jì)網(wǎng)絡(luò)可信根服務(wù)器，包括三個主要功能模塊：

（1）通信模塊：負(fù)責(zé)與網(wǎng)絡(luò)中的所有網(wǎng)絡(luò)設(shè)備進(jìn)行通信，支持設(shè)備的可信度量。

（2）多級信任根生成模塊：負(fù)責(zé)根據(jù)交換機(jī)的角色（如：作接入交換機(jī)還是匯聚交換機(jī)等）確定評估標(biāo)準(zhǔn)，并生成多級信任根。

（3）可信特征數(shù)據(jù)庫：存放各種可信設(shè)備的各項(xiàng)特征，支持對設(shè)備可信性進(jìn)行評估。

2.1 可信特征數(shù)據(jù)庫

可信特征數(shù)據(jù)庫存放的是網(wǎng)絡(luò)設(shè)備靜態(tài)可信特征，包括設(shè)備硬件特征、設(shè)備引導(dǎo)程序特征、設(shè)備操作系統(tǒng)特征、設(shè)備配置文件特征，這些特征是各級信任根度量設(shè)備的依據(jù)。

對設(shè)備硬件信息的可信度量，主要是要確認(rèn)硬件平臺是否網(wǎng)絡(luò)信任的平臺，包括各存儲芯片的版本及容量信息、交換芯片廠商信息和端口的廠商信息、設(shè)備的MAC地址等。

設(shè)備引導(dǎo)程序的度量保證由可信網(wǎng)絡(luò)認(rèn)可的引導(dǎo)程序來引導(dǎo)設(shè)備上的軟件，確認(rèn)其程序文件的大小和完整性，其可信特征包括引導(dǎo)程序廠商信息，如型號、版本號等。

設(shè)備操作系統(tǒng)可信特征包括操作系統(tǒng)加載路徑、操作系統(tǒng)名稱、版本和操作系統(tǒng)文件大小等，確認(rèn)所加載的操作系統(tǒng)是可信網(wǎng)絡(luò)認(rèn)可的系統(tǒng)軟件，保證其真實(shí)性和完整性。

設(shè)備的配置文件包括配置文件的路徑、配置文件的名稱、配置文件的大小及完整性等信息。確保設(shè)備的配置文件是可信網(wǎng)絡(luò)認(rèn)可的文件。

2.2 通信消息類型

交換機(jī)與網(wǎng)絡(luò)可信根服務(wù)器之間的通信設(shè)計(jì)了統(tǒng)一的消息格式：消息類型碼和消息內(nèi)容。消息類型碼為4位：0001/1001可信度量請求/應(yīng)答，0101/1101強(qiáng)制加載可信操作系統(tǒng)請求/應(yīng)答，0110/1110強(qiáng)制加載可信配置文件請求/應(yīng)答，其余消息類型碼保留為今后擴(kuò)展使用。消息內(nèi)容承載消息中具體傳遞的信息，如下表1所示。

表1 通信消息類型

2.3 多級信任根生成模塊

根據(jù)交換機(jī)申請消息中的信息，在可信特征數(shù)據(jù)庫中查找各級信任根對應(yīng)的設(shè)備硬件特征、引導(dǎo)程序特征、操作系統(tǒng)特征和配置文件特征，拼接成輸入字串，獲取對應(yīng)特征的 Hash值，作為對應(yīng)級別的信任根。如某品牌型號的交換機(jī)申請作為接入層交換劑，則從科信特征數(shù)據(jù)庫中查找對應(yīng)的硬件特征信息取值拼接成一個大的字符串，求取其哈希值，得到一級信任根的值，發(fā)送給交換機(jī)，作為交換機(jī)上的度量模塊在交換機(jī)的啟動過程中度量其硬件信息可信性的依據(jù)。

2.4 模擬環(huán)境中的度量結(jié)果

圖2給出了一臺思科WS-C2950-24交換機(jī)向網(wǎng)絡(luò)可信根服務(wù)器申請作為接入層交換機(jī)時，網(wǎng)絡(luò)可信根服務(wù)器生成的該角色對應(yīng)的各級信任根的值，哈希函數(shù)運(yùn)算的長度為160位。

該交換機(jī)根據(jù)網(wǎng)絡(luò)可信根服務(wù)器提供的可信度量依據(jù)對設(shè)備進(jìn)行度量，結(jié)果如圖3所示，PCR_init分別是四級可信度量根，之后的輸出表示各級度量是否成功，該交換機(jī)所有的靜態(tài)可信特征與網(wǎng)絡(luò)可信根中的預(yù)期值是一致的。

圖3 交換機(jī)可信度量截圖

下圖4的截圖給出了設(shè)備不可信的例子。在交換機(jī)獲取到表2-2的各級可信根之后，人為修改或更換了flash芯片，靜態(tài)可信性度量過程中得到的硬件特征信息的哈希值與一級信任根不一致，因此可信度量失敗，設(shè)備不可信。

圖4 交換機(jī)不可信截圖

2 結(jié)束語

本文針對可信網(wǎng)絡(luò)當(dāng)中網(wǎng)絡(luò)設(shè)備的可信性問題進(jìn)行了分析，并提出了一種可信網(wǎng)絡(luò)框架模型。在可信網(wǎng)絡(luò)中通過引入可信根來對網(wǎng)絡(luò)設(shè)備進(jìn)行可信控制，并且將可信計(jì)算理論、可信鏈的傳遞機(jī)制融入到可信網(wǎng)絡(luò)當(dāng)中，實(shí)現(xiàn)從網(wǎng)絡(luò)設(shè)備啟動到系統(tǒng)加載完畢的整個過程的信任傳遞，從而做到網(wǎng)絡(luò)設(shè)備的安全可信。

[1]張煥國，陳璐，張立強(qiáng).可信網(wǎng)絡(luò)連接研究[J].計(jì)算機(jī)學(xué)報(bào).2010（04）：706-717.

[2]羅安安，林闖，王元卓，等.可信網(wǎng)絡(luò)連接的安全量化分析與協(xié)議改進(jìn)[J].計(jì)算機(jī)學(xué)報(bào).2009（05）：887-898.

[3]羅軍舟，韓志耕，王良民，等.一種可信可控的網(wǎng)絡(luò)體系及協(xié)議結(jié)構(gòu)[J].計(jì)算機(jī)學(xué)報(bào).2009，32（3）.

[4]王功明，關(guān)永，趙春江，等.可信網(wǎng)絡(luò)框架及研究[J].計(jì)算機(jī)工程與設(shè)計(jì).2007（05）：1016-1019.

[5]M icrosoft.Introduction to Network Access Protection[S].2004.

[6]Cisco.網(wǎng)絡(luò)準(zhǔn)入控制快覽[S].2005.

[7]Cisco.思科NAC網(wǎng)絡(luò)準(zhǔn)入控制解決方案[S].

[8]湯建，宋順林，趙磊.一種基于可信平臺模塊的可信網(wǎng)絡(luò)模型[J].計(jì)算機(jī)工程.2011（11）：117-119.

[9]曹基宏，李謝華，許名松，等.可信移動終端完整信任鏈模型的研究與設(shè)計(jì)[J].計(jì)算機(jī)工程與設(shè)計(jì).2012（03）：911-915.

[10]譚良，徐志偉.基于可信計(jì)算平臺的信任鏈傳遞研究進(jìn)展[J].計(jì)算機(jī)科學(xué).2008（10）：15-18.

[11]黃濤，沈昌祥.一種基于可信服務(wù)器的可信引導(dǎo)方案[J].武漢大學(xué)學(xué)報(bào)：理學(xué)版.2004，50（A01）：12-14.

[12]許劍卓，戴英俠，等.類BAN邏輯基本模型及缺陷[J].軟件學(xué)報(bào).2000，11（12）：1660-1665.

[13]于代榮，楊揚(yáng)，馬炳先，等.基于身份的TLS協(xié)議及其BAN邏輯分析[J].計(jì)算機(jī)工程.2011，37（1）：142-144