王明書

(總參通信工程設計研究院，遼寧 沈陽110005)

?

可信網絡連接安全協(xié)議與訪問控制體系設計

王明書

(總參通信工程設計研究院，遼寧 沈陽110005)

針對現(xiàn)階段可信網絡在連接與控制方面存在問題，分析現(xiàn)有可信網絡實體功能、結構層次和接口協(xié)議，提出包含完整度量收集器在內的全新可信網絡連接體系架構，重新設計以EAP-TNC數(shù)據包為核心的安全網絡協(xié)議及訪問控制體系。通過設置網絡帶寬、終端狀態(tài)和可信等級等多項指標，對體系訪問控制和連接性能進行實驗測試。結論表明，可信網絡連接安全協(xié)議和訪問控制體系可使終端以安全可控的方式訪問網絡，具備良好的安全性和可用性。

可信網絡；連接體系；安全協(xié)議；訪問控制

0　引言

由于傳統(tǒng)網絡存在固有的脆弱性，用戶行為難以得到有效控制，網絡安全無法得到可靠保障。為解決該問題，隸屬于可信計算組織(TCG)[1]的可信網絡連接工作組提出了以終端為出發(fā)點將可信計算引入網絡的觀點，將計算信任鏈延伸擴展至網絡。目前，國際上流行3種可信網絡體系架構：NAC、NAP和TNC等，其基本原理都是在終端接入網絡前對用戶的身份進行認證，如通過則對終端平臺進行認證，再對其可信狀態(tài)進行度量，滿足接入策略則允許其接入網絡，否則將被連接至指定區(qū)域進行隔離修復以提升其安全性[2]。三種架構中，NAC側重于接入設備，NAP側重于終端，TNC側重于可信計算。通過全新可信網絡連接與訪問控制體系架構設計，解決了現(xiàn)階段可信網絡在連接與控制方面存在的管控措施不完善等問題，通過實時監(jiān)測終端安全狀態(tài)變化，動態(tài)調整網絡訪問權限等手段，提升了訪問終端與接入網絡信息交互的安全性。

1　可信網絡連接概述

1.1可信網絡連接原理

可信網絡連接是接入網絡控制系統(tǒng)，對接入網絡的終端的可信狀態(tài)進行判斷，根據安全狀態(tài)的不同，實現(xiàn)相應的網絡接入控制[3]。可信網絡連接的工作原理是在終端發(fā)出接入請求后，對終端進行身份認證和安全認證，若其可信狀態(tài)滿足系統(tǒng)接入策略則允許接入網絡，否則將被連接至隔離區(qū)域，對不符合接入策略的部分進行修復直至成功接入網絡[4]。整個流程保證了網絡的安全性和終端的可信性。

1.2可信網絡連接架構

連接架構分為網絡訪問層、完整評估層和完整度量層3個層次，包括訪問請求者和策略執(zhí)行點等實體，通過IF-M、IF-PEP等接口進行通信。

架構實體由訪問請求者(AR)、策略執(zhí)行點(PEP)、策略決策點(PDP)、元數(shù)據訪問點服務器(MAP)和元數(shù)據訪問點客戶端(MAPC)等五部分組成。AR通過收集終端平臺完整性可信信息并發(fā)送至PDP以建立網絡連接，包括完整度量收集器(IMC)、TNC客戶端(TNCC)和網絡訪問請求者(NAR)三個子實體；PDP依據本地安全策略對AR的訪問請求進行決策判定，包括完整度量驗證器(IMV)、TNC服務器(TNCS)和網絡訪問決策者(NAA)；PEP通過征詢PDP以決定是否允許AR接入；MAP負責存儲終端狀態(tài)和策略信息；MAPC利用來自MAP信息生成系統(tǒng)策略控制網絡訪問行為，同時負責向MAP回饋動態(tài)安全信息。

接口協(xié)議包括IF-TNCCS、IF-M、IF-T和IF-PEP等4類。TNCC和TNCS通過IF-TNCCS接口連接，保證IMC和IMV間的測量信息傳遞；IMC和IMV通過IF-M接口連接，保證提供商信息傳遞；IF-T用于網絡授權傳遞，負責可信終端中AR實體與PDP實體間的信息傳送；IF-PEP是策略執(zhí)行點接口協(xié)議，負責PDP與PEP間的信息傳送。

架構自下而上分為網絡訪問層、完整評估層和完整度量層。網絡訪問層用于兼容802.1X和VPN等傳統(tǒng)網絡技術，包括網絡訪問請求者(NAR)、網絡訪問決策者(NAA)和網絡訪問執(zhí)行者(NAE)等實體；完整評估層負責評估請求訪問網絡的實體的完整性，包含TNC服務器(TNCS)和TNC客戶端(TNCC)等實體；完整度量層負責收集和鑒別可信終端的完整性信息，包括完整度量收集器(IMC)和完整度量驗證器(IMV)等實體。

2　可信網絡連接體系設計

2.1全新可信網絡連接架構設計

當前，TNC體系發(fā)展較為成熟，在可信網絡構建全生命周期應用十分廣泛。然而，在應用中仍然存在以下幾點問題：可信終端安全保護機制不夠完善、缺乏雙向評估機制、缺乏有效的安全協(xié)議支持[5]、訪問控制體系僵化及無法根據可信等級實現(xiàn)動態(tài)控制[6]。為解決以上問題，設計可信網絡連接架構和功能實體如圖1所示。

圖1中，在內部網絡中增加了完整度量收集器(IMC)，用于收集內部網絡中各個節(jié)點的安全屬性，發(fā)送至完整度量驗證器(IMV)進行認證，實現(xiàn)對可信終端的有效度量，對于不可信的終端直接拒絕或隔離修復，有效保證內部網絡安全；元數(shù)據訪問點客戶端負責實時收集終端可信狀態(tài)，可信等級控制器根據狀態(tài)予以分析評估，從而實現(xiàn)控制終端可信等級并分配訪問權限，保證各個實體間信息交互安全。

圖1　可信網絡連接架構和功能實體

2.2安全網絡協(xié)議設計

安全網絡協(xié)議主要保障實體間信息傳遞的安全性[7]。根據圖1所示內容，需在以下4個部分建立安全保護機制：① 完整度量層和完整評估層間的信息交互過程；② 完整度量收集器(IMC)和完整度量驗證器(IMV)間的信息交互過程；③ 認證信息交互過程；④ 決策信息交互過程。①和②主要依托完整度量層和完整評估層實現(xiàn)，③和④主要依托網絡訪問層在交換機、服務器和AR間實現(xiàn)。

在①和②的實現(xiàn)過程中，TNC服務器在接收接入請求后通知網絡和終端提交實時安全狀態(tài)，完整度量收集器(IMC)將兩者的度量信息傳遞至完整度量驗證器(IMV)，后者認證后將網絡可信狀態(tài)和終端認證結果轉發(fā)至服務器，通過后對內部節(jié)點信息進行加密，發(fā)送至外部終端，解密后顯示內部節(jié)點的可信狀態(tài)。整個過程實現(xiàn)了外部終端和內部節(jié)點的雙向安全度量，有效提高了可信網絡的可靠性。

網絡訪問層中，為保證數(shù)據包跨網絡傳送，其應符合EAP-TNC數(shù)據包格式要求?，F(xiàn)有EAP-TNC數(shù)據包尚無法對數(shù)據完整性實施有效校驗，難以保證數(shù)據包不被篡改，不能確保有序實現(xiàn)安全屬性的傳送[8]。為解決以上問題，對EAP-TNC數(shù)據包和Flag標簽進行重新設計和分配，將EAP-TNC數(shù)據包的R標簽屬性擴展至2 bit，VER標簽屬性擴展至3 bit。通過擴展標簽屬性，在提供一定的預留空間的基礎上，實現(xiàn)有序傳送安全度量信息，全新EAP-TNC數(shù)據包Flag標簽屬性如表1所示。

表1　Flag標簽屬性

2.3訪問控制體系設計

在深入研究TNC體系的基礎上，設計可信網絡訪問控制體系如圖2所示。按照可信網絡訪問控制邏輯設計要求劃分四個層級，分別部署相應的安全技術，形成安全可靠的有機整體。

圖2　可信網絡訪問控制體系

與現(xiàn)有TNC體系[9]相比較，在結構層次設計方面，可信網絡訪問控制體系可劃分為系統(tǒng)訪問控制層、網絡訪問控制層、用戶訪問控制層和網絡態(tài)勢感知層。其中，系統(tǒng)訪問控制層評估訪問請求者安全等級，并根據評估結果分配訪問角色和訪問權限；網絡訪問控制層負責訪問請求者的完整性度量和網絡接入，動態(tài)監(jiān)控網絡活動，執(zhí)行可信邏輯策略；用戶訪問控制層負責訪問請求者的身份認證維護和密鑰生成管理；網絡態(tài)勢感知層基于規(guī)則庫提取指標信息，用于反映系統(tǒng)管理、監(jiān)控、網絡連接及應用服務狀態(tài)，同時運用SPA方法[10]和D-S證據理論方法[11]加權評估不同時段的網絡安全態(tài)勢，結合評估結論運用Box-Jenkins等計算模型[12]預測可信網絡安全態(tài)勢變化趨勢。

與現(xiàn)有TNC體系相比較，在功能實體設計方面，可信網絡訪問控制體系增加了跨域管理控制、身份管理控制、密鑰管理控制、認證服務控制、時間約束控制、應用管理控制、角色權限控制和安全評估控制等實體。在用戶訪問控制層中，跨域管理控制負責域間實體的身份注冊和交叉認證；身份管理控制和密鑰管理控制針對用戶設計，負責對其身份進行標識和維護，以及為應用生成和維護密鑰；認證服務控制針對訪問請求者設計，負責對其身份進行認證。在系統(tǒng)訪問控制層中，時間約束控制為會話分配訪問時間；應用管理控制負責管理應用及針對用戶訪問進行授權；角色權限控制負責為訪問請求者分配訪問角色和權限；安全評估控制負責對訪問請求者可信狀態(tài)進行綜合評估。

3　仿真實驗分析

為全面檢驗可信網絡連接與訪問控制體系各方面性能，結合訪問終端安全狀態(tài)多樣化特征實際，建立仿真實驗環(huán)境，通過模擬終端安全屬性變化，對網絡訪問控制能力和網絡連接性能進行綜合測試。

3.1實驗環(huán)境及結論

客戶端實驗環(huán)境包括安裝CentOS 7操作系統(tǒng)和Windows 7操作系統(tǒng)的計算機、WPA-Supplicant客戶端和TPM2.0組件等；服務器實驗環(huán)境包括認證服務器和資源管理服務器、FreeRadius-Server服務器軟件和TPM2.0組件等；內部網絡采用支持802.1X和Radius協(xié)議的Cisco交換機搭建。

在網絡訪問控制測試實驗中，根據訪問終端類型和狀態(tài)選擇不同的測試方式，得出相應的測試結論。訪問控制測試要素及結論如表2所示。

表2　訪問控制測試要素及結論

在網絡連接性能測試實驗中，為盡量減少干擾因素，保證性能分析結論的準確性和適用性，每輪測試分20次進行，結果取20次實驗結果的平均值。性能測試結論如表3所示。

表3　連接性能測試要素及結論

3.2性能分析

根據實驗結論數(shù)據可知，在網絡訪問控制方面，體系具備如下特點：① 體系具備隔離修復和拒絕訪問的功能。終端在身份認證無法通過的情況下直接拒絕訪問；可信等級為Untrusted時隔離修復，修復后若仍為Untrusted則視為認證失敗，拒絕訪問；② 體系具備動態(tài)訪問控制功能。在終端通過認證后，體系通過監(jiān)測機制實時監(jiān)測終端，當發(fā)生攻擊行為后，動態(tài)改變體系可信等級，實時調整訪問權限；③ 體系具備分層次網絡訪問功能。體系能夠根據接入終端狀態(tài)評估其可信等級并授予相應的訪問權限，同時建立網絡資源分層機制，在滿足終端網絡訪問需求的基礎上，有效避免不對稱訪問帶來的安全隱患。

在網絡連接性能方面，基于同等網絡環(huán)境和操作系統(tǒng)的前提下，全新設計的TNC相比現(xiàn)有TNC在認證時間上具備一定優(yōu)勢；當操作系統(tǒng)相同而網絡環(huán)境不同時，認證時間隨著網絡環(huán)境質量的提升而縮短；當網絡環(huán)境相同而操作系統(tǒng)不同時，基于CentOS 7操作系統(tǒng)的認證時間要優(yōu)于基于Windows 7操作系統(tǒng)的認證時間。

通過結論分析可得：可信網絡連接與訪問控制機制可針對終端實現(xiàn)統(tǒng)一身份認證和訪問授權；實時動態(tài)監(jiān)測終端，使之嚴格按照可信等級對稱訪問網絡；可預測可信網絡安全態(tài)勢變化；具備一定的連接性能優(yōu)勢。

4　結束語

當前網絡環(huán)境復雜多變，傳統(tǒng)網絡安全解決方案在保護物理安全、拓撲安全、應用安全和管理安全等方面顯現(xiàn)出諸多不足[13]，使網絡信息交互風險日益增大?？尚啪W絡連接安全協(xié)議與訪問控制體系將被動防御轉變?yōu)橹鲃訖z測，通過擴展EAP-TNC數(shù)據包Flag標簽屬性，細分訪問控制結構層次，對接入網絡的終端實施身份認證、權限等級評估和安全等級劃分等可信操作，改善現(xiàn)有架構在網絡安全協(xié)議和動態(tài)控制方面存在的問題，從而提供差異化服務，使網絡連接和安全防護能力得以全方位提升。

[1]Robert D D.Optical Network Management and Control[J].Proceedings of the IEEE,2012,100(5):132-159.

[2]Trusted Computing Group.TCG Trusted Network Connect TNC Architecture for Inter operability[EB/OL].http://www.trusted computinggroup.org,2012.

[3]崔善童.基于改進型可信網絡連續(xù)的動態(tài)網絡控制的設計和研究[D].上海:東華大學,2014:6-7.

[4]LIANG Zhi-gang,CHEN Yu-hai.The Design and Implementation of Single Sign-on based on Hybrid Architecture[J].Journal of Networks,2012(1):178-186.

[5]Rexford J,Dovrolis C.Future Internet Architecture:Cleanslate Versus Evolutionary Research[J].Communications of the ACM,2010,53(9):19-23.

[6]MA Jian-feng,MA Zhuo,WANG Chang-guang,et al.Architecture of Trusted Network Connect[J].Security Access in Wireless Local Area Networks,2009:411-433.

[7]Martinez-Garcia A,Moreno-Conde A,Jodar-Sanchez F,et al.Sharing Clinical Decisions for Multimorbidity Case Management Using Social Network and Open-Source Tools[J].J Biomed Inform,2013,46(6):978-982.

[8]Poritz J,Schunter M,Van H E,et al.Property Attestation-Scalable and Privacy-Friendly Security Assessment of Peer Computers[R].Technical Report RZ3548,2004.

[9]Chen L,Landfermann R,Loehr H,et al.A Protocol for Property-Based Attestation.Proceedings of the First ACM Workshop On Scalable Trusted Computing[M].USA:ACM Press,2006:7-15.

[10]Yu R W,Wang L N.Behavior-based Attestation of Policy Enforcement among Trusted Virtual Domains[J].Journal of Networks,2010,6(5):643-649.

[11]Ulrich G,Benjamin J,Dennis L.Mutual Remote Attestation:Enabling System Cloning for TPM based Platforms[J].Security and Trust Management Lecture Notes in Computer Science,2012:193-203.

[12]Ma Z,Ma J F.An Efficient Authentication Protocol for WLAN Mesh Networks in Trusted Environment[J].IEICE Transactions on Information and Systems,2010,E93-D(3):430-435.

[13]Mansfield-Devine S.Singlesign-on:Matching Convenience with Security[J].Biometric Technology Today,2011(7),2011(7):6-16.

Design of Trusted Network Connection Security Protocol and Access Control Architecture

WANG Ming-shu

(Communication Engineering Design and Research Institute of the General Staff of PLA，Shenyang Liaoning 110005，China)

In order to solve the connection and control problems of trusted network，the entity function，architecture and interface protocol of trusted network are analyzed，a new trusted network connection architecture，including the integrity measurement collector，is proposed，the security network protocol and access control architecture based on EAP-TNC data packet are designed.By setting specifications such as network bandwidth，terminal state and reliability level，the performance of the basic connection and access control is tested.The result shows that based on the connection security protocol and access control architecture of trusted network，the terminal equipment can access the network in a secure and controllable way，and the security and availability are improved.

trusted network；connection architecture；security protocol；access control

10.3969/j.issn.1003-3114.2016.05.04

引用格式：王明書.可信網絡連接安全協(xié)議與訪問控制體系設計[J].無線電通信技術,2016,42(5):14-17.

2016-05-11

王明書(1983—)，男，工程師，主要研究方向：計算機軟件與信息安全。

TP393.08

A

1003-3114(2016)04-14-4