王明書

(總參通信工程設(shè)計研究院，遼寧 沈陽110005)

?

可信網(wǎng)絡(luò)連接安全協(xié)議與訪問控制體系設(shè)計

王明書

(總參通信工程設(shè)計研究院，遼寧 沈陽110005)

針對現(xiàn)階段可信網(wǎng)絡(luò)在連接與控制方面存在問題，分析現(xiàn)有可信網(wǎng)絡(luò)實體功能、結(jié)構(gòu)層次和接口協(xié)議，提出包含完整度量收集器在內(nèi)的全新可信網(wǎng)絡(luò)連接體系架構(gòu)，重新設(shè)計以EAP-TNC數(shù)據(jù)包為核心的安全網(wǎng)絡(luò)協(xié)議及訪問控制體系。通過設(shè)置網(wǎng)絡(luò)帶寬、終端狀態(tài)和可信等級等多項指標(biāo)，對體系訪問控制和連接性能進(jìn)行實驗測試。結(jié)論表明，可信網(wǎng)絡(luò)連接安全協(xié)議和訪問控制體系可使終端以安全可控的方式訪問網(wǎng)絡(luò)，具備良好的安全性和可用性。

可信網(wǎng)絡(luò)；連接體系；安全協(xié)議；訪問控制

0　引言

由于傳統(tǒng)網(wǎng)絡(luò)存在固有的脆弱性，用戶行為難以得到有效控制，網(wǎng)絡(luò)安全無法得到可靠保障。為解決該問題，隸屬于可信計算組織(TCG)[1]的可信網(wǎng)絡(luò)連接工作組提出了以終端為出發(fā)點(diǎn)將可信計算引入網(wǎng)絡(luò)的觀點(diǎn)，將計算信任鏈延伸擴(kuò)展至網(wǎng)絡(luò)。目前，國際上流行3種可信網(wǎng)絡(luò)體系架構(gòu)：NAC、NAP和TNC等，其基本原理都是在終端接入網(wǎng)絡(luò)前對用戶的身份進(jìn)行認(rèn)證，如通過則對終端平臺進(jìn)行認(rèn)證，再對其可信狀態(tài)進(jìn)行度量，滿足接入策略則允許其接入網(wǎng)絡(luò)，否則將被連接至指定區(qū)域進(jìn)行隔離修復(fù)以提升其安全性[2]。三種架構(gòu)中，NAC側(cè)重于接入設(shè)備，NAP側(cè)重于終端，TNC側(cè)重于可信計算。通過全新可信網(wǎng)絡(luò)連接與訪問控制體系架構(gòu)設(shè)計，解決了現(xiàn)階段可信網(wǎng)絡(luò)在連接與控制方面存在的管控措施不完善等問題，通過實時監(jiān)測終端安全狀態(tài)變化，動態(tài)調(diào)整網(wǎng)絡(luò)訪問權(quán)限等手段，提升了訪問終端與接入網(wǎng)絡(luò)信息交互的安全性。

1　可信網(wǎng)絡(luò)連接概述

1.1可信網(wǎng)絡(luò)連接原理

可信網(wǎng)絡(luò)連接是接入網(wǎng)絡(luò)控制系統(tǒng)，對接入網(wǎng)絡(luò)的終端的可信狀態(tài)進(jìn)行判斷，根據(jù)安全狀態(tài)的不同，實現(xiàn)相應(yīng)的網(wǎng)絡(luò)接入控制[3]?？尚啪W(wǎng)絡(luò)連接的工作原理是在終端發(fā)出接入請求后，對終端進(jìn)行身份認(rèn)證和安全認(rèn)證，若其可信狀態(tài)滿足系統(tǒng)接入策略則允許接入網(wǎng)絡(luò)，否則將被連接至隔離區(qū)域，對不符合接入策略的部分進(jìn)行修復(fù)直至成功接入網(wǎng)絡(luò)[4]。整個流程保證了網(wǎng)絡(luò)的安全性和終端的可信性。

1.2可信網(wǎng)絡(luò)連接架構(gòu)

連接架構(gòu)分為網(wǎng)絡(luò)訪問層、完整評估層和完整度量層3個層次，包括訪問請求者和策略執(zhí)行點(diǎn)等實體，通過IF-M、IF-PEP等接口進(jìn)行通信。

架構(gòu)實體由訪問請求者(AR)、策略執(zhí)行點(diǎn)(PEP)、策略決策點(diǎn)(PDP)、元數(shù)據(jù)訪問點(diǎn)服務(wù)器(MAP)和元數(shù)據(jù)訪問點(diǎn)客戶端(MAPC)等五部分組成。AR通過收集終端平臺完整性可信信息并發(fā)送至PDP以建立網(wǎng)絡(luò)連接，包括完整度量收集器(IMC)、TNC客戶端(TNCC)和網(wǎng)絡(luò)訪問請求者(NAR)三個子實體；PDP依據(jù)本地安全策略對AR的訪問請求進(jìn)行決策判定，包括完整度量驗證器(IMV)、TNC服務(wù)器(TNCS)和網(wǎng)絡(luò)訪問決策者(NAA)；PEP通過征詢PDP以決定是否允許AR接入；MAP負(fù)責(zé)存儲終端狀態(tài)和策略信息；MAPC利用來自MAP信息生成系統(tǒng)策略控制網(wǎng)絡(luò)訪問行為，同時負(fù)責(zé)向MAP回饋動態(tài)安全信息。

接口協(xié)議包括IF-TNCCS、IF-M、IF-T和IF-PEP等4類。TNCC和TNCS通過IF-TNCCS接口連接，保證IMC和IMV間的測量信息傳遞；IMC和IMV通過IF-M接口連接，保證提供商信息傳遞；IF-T用于網(wǎng)絡(luò)授權(quán)傳遞，負(fù)責(zé)可信終端中AR實體與PDP實體間的信息傳送；IF-PEP是策略執(zhí)行點(diǎn)接口協(xié)議，負(fù)責(zé)PDP與PEP間的信息傳送。

架構(gòu)自下而上分為網(wǎng)絡(luò)訪問層、完整評估層和完整度量層。網(wǎng)絡(luò)訪問層用于兼容802.1X和VPN等傳統(tǒng)網(wǎng)絡(luò)技術(shù)，包括網(wǎng)絡(luò)訪問請求者(NAR)、網(wǎng)絡(luò)訪問決策者(NAA)和網(wǎng)絡(luò)訪問執(zhí)行者(NAE)等實體；完整評估層負(fù)責(zé)評估請求訪問網(wǎng)絡(luò)的實體的完整性，包含TNC服務(wù)器(TNCS)和TNC客戶端(TNCC)等實體；完整度量層負(fù)責(zé)收集和鑒別可信終端的完整性信息，包括完整度量收集器(IMC)和完整度量驗證器(IMV)等實體。

2　可信網(wǎng)絡(luò)連接體系設(shè)計

2.1全新可信網(wǎng)絡(luò)連接架構(gòu)設(shè)計

當(dāng)前，TNC體系發(fā)展較為成熟，在可信網(wǎng)絡(luò)構(gòu)建全生命周期應(yīng)用十分廣泛。然而，在應(yīng)用中仍然存在以下幾點(diǎn)問題：可信終端安全保護(hù)機(jī)制不夠完善、缺乏雙向評估機(jī)制、缺乏有效的安全協(xié)議支持[5]、訪問控制體系僵化及無法根據(jù)可信等級實現(xiàn)動態(tài)控制[6]。為解決以上問題，設(shè)計可信網(wǎng)絡(luò)連接架構(gòu)和功能實體如圖1所示。

圖1中，在內(nèi)部網(wǎng)絡(luò)中增加了完整度量收集器(IMC)，用于收集內(nèi)部網(wǎng)絡(luò)中各個節(jié)點(diǎn)的安全屬性，發(fā)送至完整度量驗證器(IMV)進(jìn)行認(rèn)證，實現(xiàn)對可信終端的有效度量，對于不可信的終端直接拒絕或隔離修復(fù)，有效保證內(nèi)部網(wǎng)絡(luò)安全；元數(shù)據(jù)訪問點(diǎn)客戶端負(fù)責(zé)實時收集終端可信狀態(tài)，可信等級控制器根據(jù)狀態(tài)予以分析評估，從而實現(xiàn)控制終端可信等級并分配訪問權(quán)限，保證各個實體間信息交互安全。

圖1　可信網(wǎng)絡(luò)連接架構(gòu)和功能實體

2.2安全網(wǎng)絡(luò)協(xié)議設(shè)計

安全網(wǎng)絡(luò)協(xié)議主要保障實體間信息傳遞的安全性[7]。根據(jù)圖1所示內(nèi)容，需在以下4個部分建立安全保護(hù)機(jī)制：① 完整度量層和完整評估層間的信息交互過程；② 完整度量收集器(IMC)和完整度量驗證器(IMV)間的信息交互過程；③ 認(rèn)證信息交互過程；④ 決策信息交互過程。①和②主要依托完整度量層和完整評估層實現(xiàn)，③和④主要依托網(wǎng)絡(luò)訪問層在交換機(jī)、服務(wù)器和AR間實現(xiàn)。

在①和②的實現(xiàn)過程中，TNC服務(wù)器在接收接入請求后通知網(wǎng)絡(luò)和終端提交實時安全狀態(tài)，完整度量收集器(IMC)將兩者的度量信息傳遞至完整度量驗證器(IMV)，后者認(rèn)證后將網(wǎng)絡(luò)可信狀態(tài)和終端認(rèn)證結(jié)果轉(zhuǎn)發(fā)至服務(wù)器，通過后對內(nèi)部節(jié)點(diǎn)信息進(jìn)行加密，發(fā)送至外部終端，解密后顯示內(nèi)部節(jié)點(diǎn)的可信狀態(tài)。整個過程實現(xiàn)了外部終端和內(nèi)部節(jié)點(diǎn)的雙向安全度量，有效提高了可信網(wǎng)絡(luò)的可靠性。

網(wǎng)絡(luò)訪問層中，為保證數(shù)據(jù)包跨網(wǎng)絡(luò)傳送，其應(yīng)符合EAP-TNC數(shù)據(jù)包格式要求?，F(xiàn)有EAP-TNC數(shù)據(jù)包尚無法對數(shù)據(jù)完整性實施有效校驗，難以保證數(shù)據(jù)包不被篡改，不能確保有序?qū)崿F(xiàn)安全屬性的傳送[8]。為解決以上問題，對EAP-TNC數(shù)據(jù)包和Flag標(biāo)簽進(jìn)行重新設(shè)計和分配，將EAP-TNC數(shù)據(jù)包的R標(biāo)簽屬性擴(kuò)展至2 bit，VER標(biāo)簽屬性擴(kuò)展至3 bit。通過擴(kuò)展標(biāo)簽屬性，在提供一定的預(yù)留空間的基礎(chǔ)上，實現(xiàn)有序傳送安全度量信息，全新EAP-TNC數(shù)據(jù)包Flag標(biāo)簽屬性如表1所示。

表1　Flag標(biāo)簽屬性

2.3訪問控制體系設(shè)計

在深入研究TNC體系的基礎(chǔ)上，設(shè)計可信網(wǎng)絡(luò)訪問控制體系如圖2所示。按照可信網(wǎng)絡(luò)訪問控制邏輯設(shè)計要求劃分四個層級，分別部署相應(yīng)的安全技術(shù)，形成安全可靠的有機(jī)整體。

圖2　可信網(wǎng)絡(luò)訪問控制體系

與現(xiàn)有TNC體系[9]相比較，在結(jié)構(gòu)層次設(shè)計方面，可信網(wǎng)絡(luò)訪問控制體系可劃分為系統(tǒng)訪問控制層、網(wǎng)絡(luò)訪問控制層、用戶訪問控制層和網(wǎng)絡(luò)態(tài)勢感知層。其中，系統(tǒng)訪問控制層評估訪問請求者安全等級，并根據(jù)評估結(jié)果分配訪問角色和訪問權(quán)限；網(wǎng)絡(luò)訪問控制層負(fù)責(zé)訪問請求者的完整性度量和網(wǎng)絡(luò)接入，動態(tài)監(jiān)控網(wǎng)絡(luò)活動，執(zhí)行可信邏輯策略；用戶訪問控制層負(fù)責(zé)訪問請求者的身份認(rèn)證維護(hù)和密鑰生成管理；網(wǎng)絡(luò)態(tài)勢感知層基于規(guī)則庫提取指標(biāo)信息，用于反映系統(tǒng)管理、監(jiān)控、網(wǎng)絡(luò)連接及應(yīng)用服務(wù)狀態(tài)，同時運(yùn)用SPA方法[10]和D-S證據(jù)理論方法[11]加權(quán)評估不同時段的網(wǎng)絡(luò)安全態(tài)勢，結(jié)合評估結(jié)論運(yùn)用Box-Jenkins等計算模型[12]預(yù)測可信網(wǎng)絡(luò)安全態(tài)勢變化趨勢。

與現(xiàn)有TNC體系相比較，在功能實體設(shè)計方面，可信網(wǎng)絡(luò)訪問控制體系增加了跨域管理控制、身份管理控制、密鑰管理控制、認(rèn)證服務(wù)控制、時間約束控制、應(yīng)用管理控制、角色權(quán)限控制和安全評估控制等實體。在用戶訪問控制層中，跨域管理控制負(fù)責(zé)域間實體的身份注冊和交叉認(rèn)證；身份管理控制和密鑰管理控制針對用戶設(shè)計，負(fù)責(zé)對其身份進(jìn)行標(biāo)識和維護(hù)，以及為應(yīng)用生成和維護(hù)密鑰；認(rèn)證服務(wù)控制針對訪問請求者設(shè)計，負(fù)責(zé)對其身份進(jìn)行認(rèn)證。在系統(tǒng)訪問控制層中，時間約束控制為會話分配訪問時間；應(yīng)用管理控制負(fù)責(zé)管理應(yīng)用及針對用戶訪問進(jìn)行授權(quán)；角色權(quán)限控制負(fù)責(zé)為訪問請求者分配訪問角色和權(quán)限；安全評估控制負(fù)責(zé)對訪問請求者可信狀態(tài)進(jìn)行綜合評估。

3　仿真實驗分析

為全面檢驗可信網(wǎng)絡(luò)連接與訪問控制體系各方面性能，結(jié)合訪問終端安全狀態(tài)多樣化特征實際，建立仿真實驗環(huán)境，通過模擬終端安全屬性變化，對網(wǎng)絡(luò)訪問控制能力和網(wǎng)絡(luò)連接性能進(jìn)行綜合測試。

3.1實驗環(huán)境及結(jié)論

客戶端實驗環(huán)境包括安裝CentOS 7操作系統(tǒng)和Windows 7操作系統(tǒng)的計算機(jī)、WPA-Supplicant客戶端和TPM2.0組件等；服務(wù)器實驗環(huán)境包括認(rèn)證服務(wù)器和資源管理服務(wù)器、FreeRadius-Server服務(wù)器軟件和TPM2.0組件等；內(nèi)部網(wǎng)絡(luò)采用支持802.1X和Radius協(xié)議的Cisco交換機(jī)搭建。

在網(wǎng)絡(luò)訪問控制測試實驗中，根據(jù)訪問終端類型和狀態(tài)選擇不同的測試方式，得出相應(yīng)的測試結(jié)論。訪問控制測試要素及結(jié)論如表2所示。

表2　訪問控制測試要素及結(jié)論

在網(wǎng)絡(luò)連接性能測試實驗中，為盡量減少干擾因素，保證性能分析結(jié)論的準(zhǔn)確性和適用性，每輪測試分20次進(jìn)行，結(jié)果取20次實驗結(jié)果的平均值。性能測試結(jié)論如表3所示。

表3　連接性能測試要素及結(jié)論

3.2性能分析

根據(jù)實驗結(jié)論數(shù)據(jù)可知，在網(wǎng)絡(luò)訪問控制方面，體系具備如下特點(diǎn)：① 體系具備隔離修復(fù)和拒絕訪問的功能。終端在身份認(rèn)證無法通過的情況下直接拒絕訪問；可信等級為Untrusted時隔離修復(fù)，修復(fù)后若仍為Untrusted則視為認(rèn)證失敗，拒絕訪問；② 體系具備動態(tài)訪問控制功能。在終端通過認(rèn)證后，體系通過監(jiān)測機(jī)制實時監(jiān)測終端，當(dāng)發(fā)生攻擊行為后，動態(tài)改變體系可信等級，實時調(diào)整訪問權(quán)限；③ 體系具備分層次網(wǎng)絡(luò)訪問功能。體系能夠根據(jù)接入終端狀態(tài)評估其可信等級并授予相應(yīng)的訪問權(quán)限，同時建立網(wǎng)絡(luò)資源分層機(jī)制，在滿足終端網(wǎng)絡(luò)訪問需求的基礎(chǔ)上，有效避免不對稱訪問帶來的安全隱患。

在網(wǎng)絡(luò)連接性能方面，基于同等網(wǎng)絡(luò)環(huán)境和操作系統(tǒng)的前提下，全新設(shè)計的TNC相比現(xiàn)有TNC在認(rèn)證時間上具備一定優(yōu)勢；當(dāng)操作系統(tǒng)相同而網(wǎng)絡(luò)環(huán)境不同時，認(rèn)證時間隨著網(wǎng)絡(luò)環(huán)境質(zhì)量的提升而縮短；當(dāng)網(wǎng)絡(luò)環(huán)境相同而操作系統(tǒng)不同時，基于CentOS 7操作系統(tǒng)的認(rèn)證時間要優(yōu)于基于Windows 7操作系統(tǒng)的認(rèn)證時間。

通過結(jié)論分析可得：可信網(wǎng)絡(luò)連接與訪問控制機(jī)制可針對終端實現(xiàn)統(tǒng)一身份認(rèn)證和訪問授權(quán)；實時動態(tài)監(jiān)測終端，使之嚴(yán)格按照可信等級對稱訪問網(wǎng)絡(luò)；可預(yù)測可信網(wǎng)絡(luò)安全態(tài)勢變化；具備一定的連接性能優(yōu)勢。

4　結(jié)束語

當(dāng)前網(wǎng)絡(luò)環(huán)境復(fù)雜多變，傳統(tǒng)網(wǎng)絡(luò)安全解決方案在保護(hù)物理安全、拓?fù)浒踩?yīng)用安全和管理安全等方面顯現(xiàn)出諸多不足[13]，使網(wǎng)絡(luò)信息交互風(fēng)險日益增大?？尚啪W(wǎng)絡(luò)連接安全協(xié)議與訪問控制體系將被動防御轉(zhuǎn)變?yōu)橹鲃訖z測，通過擴(kuò)展EAP-TNC數(shù)據(jù)包Flag標(biāo)簽屬性，細(xì)分訪問控制結(jié)構(gòu)層次，對接入網(wǎng)絡(luò)的終端實施身份認(rèn)證、權(quán)限等級評估和安全等級劃分等可信操作，改善現(xiàn)有架構(gòu)在網(wǎng)絡(luò)安全協(xié)議和動態(tài)控制方面存在的問題，從而提供差異化服務(wù)，使網(wǎng)絡(luò)連接和安全防護(hù)能力得以全方位提升。

[1]Robert D D.Optical Network Management and Control[J].Proceedings of the IEEE,2012,100(5):132-159.

[2]Trusted Computing Group.TCG Trusted Network Connect TNC Architecture for Inter operability[EB/OL].http://www.trusted computinggroup.org,2012.

[3]崔善童.基于改進(jìn)型可信網(wǎng)絡(luò)連續(xù)的動態(tài)網(wǎng)絡(luò)控制的設(shè)計和研究[D].上海:東華大學(xué),2014:6-7.

[4]LIANG Zhi-gang,CHEN Yu-hai.The Design and Implementation of Single Sign-on based on Hybrid Architecture[J].Journal of Networks,2012(1):178-186.

[5]Rexford J,Dovrolis C.Future Internet Architecture:Cleanslate Versus Evolutionary Research[J].Communications of the ACM,2010,53(9):19-23.

[6]MA Jian-feng,MA Zhuo,WANG Chang-guang,et al.Architecture of Trusted Network Connect[J].Security Access in Wireless Local Area Networks,2009:411-433.

[7]Martinez-Garcia A,Moreno-Conde A,Jodar-Sanchez F,et al.Sharing Clinical Decisions for Multimorbidity Case Management Using Social Network and Open-Source Tools[J].J Biomed Inform,2013,46(6):978-982.

[8]Poritz J,Schunter M,Van H E,et al.Property Attestation-Scalable and Privacy-Friendly Security Assessment of Peer Computers[R].Technical Report RZ3548,2004.

[9]Chen L,Landfermann R,Loehr H,et al.A Protocol for Property-Based Attestation.Proceedings of the First ACM Workshop On Scalable Trusted Computing[M].USA:ACM Press,2006:7-15.

[10]Yu R W,Wang L N.Behavior-based Attestation of Policy Enforcement among Trusted Virtual Domains[J].Journal of Networks,2010,6(5):643-649.

[11]Ulrich G,Benjamin J,Dennis L.Mutual Remote Attestation:Enabling System Cloning for TPM based Platforms[J].Security and Trust Management Lecture Notes in Computer Science,2012:193-203.

[12]Ma Z,Ma J F.An Efficient Authentication Protocol for WLAN Mesh Networks in Trusted Environment[J].IEICE Transactions on Information and Systems,2010,E93-D(3):430-435.

[13]Mansfield-Devine S.Singlesign-on:Matching Convenience with Security[J].Biometric Technology Today,2011(7),2011(7):6-16.

Design of Trusted Network Connection Security Protocol and Access Control Architecture

WANG Ming-shu

(Communication Engineering Design and Research Institute of the General Staff of PLA，Shenyang Liaoning 110005，China)

In order to solve the connection and control problems of trusted network，the entity function，architecture and interface protocol of trusted network are analyzed，a new trusted network connection architecture，including the integrity measurement collector，is proposed，the security network protocol and access control architecture based on EAP-TNC data packet are designed.By setting specifications such as network bandwidth，terminal state and reliability level，the performance of the basic connection and access control is tested.The result shows that based on the connection security protocol and access control architecture of trusted network，the terminal equipment can access the network in a secure and controllable way，and the security and availability are improved.

trusted network；connection architecture；security protocol；access control

10.3969/j.issn.1003-3114.2016.05.04

引用格式：王明書.可信網(wǎng)絡(luò)連接安全協(xié)議與訪問控制體系設(shè)計[J].無線電通信技術(shù),2016,42(5):14-17.

2016-05-11

王明書(1983—)，男，工程師，主要研究方向：計算機(jī)軟件與信息安全。

TP393.08

A

1003-3114(2016)04-14-4