王明書
(總參通信工程設(shè)計(jì)研究院,遼寧 沈陽(yáng)110005)
?
可信網(wǎng)絡(luò)連接安全協(xié)議與訪問控制體系設(shè)計(jì)
王明書
(總參通信工程設(shè)計(jì)研究院,遼寧 沈陽(yáng)110005)
針對(duì)現(xiàn)階段可信網(wǎng)絡(luò)在連接與控制方面存在問題,分析現(xiàn)有可信網(wǎng)絡(luò)實(shí)體功能、結(jié)構(gòu)層次和接口協(xié)議,提出包含完整度量收集器在內(nèi)的全新可信網(wǎng)絡(luò)連接體系架構(gòu),重新設(shè)計(jì)以EAP-TNC數(shù)據(jù)包為核心的安全網(wǎng)絡(luò)協(xié)議及訪問控制體系。通過設(shè)置網(wǎng)絡(luò)帶寬、終端狀態(tài)和可信等級(jí)等多項(xiàng)指標(biāo),對(duì)體系訪問控制和連接性能進(jìn)行實(shí)驗(yàn)測(cè)試。結(jié)論表明,可信網(wǎng)絡(luò)連接安全協(xié)議和訪問控制體系可使終端以安全可控的方式訪問網(wǎng)絡(luò),具備良好的安全性和可用性。
可信網(wǎng)絡(luò);連接體系;安全協(xié)議;訪問控制
由于傳統(tǒng)網(wǎng)絡(luò)存在固有的脆弱性,用戶行為難以得到有效控制,網(wǎng)絡(luò)安全無法得到可靠保障。為解決該問題,隸屬于可信計(jì)算組織(TCG)[1]的可信網(wǎng)絡(luò)連接工作組提出了以終端為出發(fā)點(diǎn)將可信計(jì)算引入網(wǎng)絡(luò)的觀點(diǎn),將計(jì)算信任鏈延伸擴(kuò)展至網(wǎng)絡(luò)。目前,國(guó)際上流行3種可信網(wǎng)絡(luò)體系架構(gòu):NAC、NAP和TNC等,其基本原理都是在終端接入網(wǎng)絡(luò)前對(duì)用戶的身份進(jìn)行認(rèn)證,如通過則對(duì)終端平臺(tái)進(jìn)行認(rèn)證,再對(duì)其可信狀態(tài)進(jìn)行度量,滿足接入策略則允許其接入網(wǎng)絡(luò),否則將被連接至指定區(qū)域進(jìn)行隔離修復(fù)以提升其安全性[2]。三種架構(gòu)中,NAC側(cè)重于接入設(shè)備,NAP側(cè)重于終端,TNC側(cè)重于可信計(jì)算。通過全新可信網(wǎng)絡(luò)連接與訪問控制體系架構(gòu)設(shè)計(jì),解決了現(xiàn)階段可信網(wǎng)絡(luò)在連接與控制方面存在的管控措施不完善等問題,通過實(shí)時(shí)監(jiān)測(cè)終端安全狀態(tài)變化,動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)訪問權(quán)限等手段,提升了訪問終端與接入網(wǎng)絡(luò)信息交互的安全性。
1.1可信網(wǎng)絡(luò)連接原理
可信網(wǎng)絡(luò)連接是接入網(wǎng)絡(luò)控制系統(tǒng),對(duì)接入網(wǎng)絡(luò)的終端的可信狀態(tài)進(jìn)行判斷,根據(jù)安全狀態(tài)的不同,實(shí)現(xiàn)相應(yīng)的網(wǎng)絡(luò)接入控制[3]。可信網(wǎng)絡(luò)連接的工作原理是在終端發(fā)出接入請(qǐng)求后,對(duì)終端進(jìn)行身份認(rèn)證和安全認(rèn)證,若其可信狀態(tài)滿足系統(tǒng)接入策略則允許接入網(wǎng)絡(luò),否則將被連接至隔離區(qū)域,對(duì)不符合接入策略的部分進(jìn)行修復(fù)直至成功接入網(wǎng)絡(luò)[4]。整個(gè)流程保證了網(wǎng)絡(luò)的安全性和終端的可信性。
1.2可信網(wǎng)絡(luò)連接架構(gòu)
連接架構(gòu)分為網(wǎng)絡(luò)訪問層、完整評(píng)估層和完整度量層3個(gè)層次,包括訪問請(qǐng)求者和策略執(zhí)行點(diǎn)等實(shí)體,通過IF-M、IF-PEP等接口進(jìn)行通信。
架構(gòu)實(shí)體由訪問請(qǐng)求者(AR)、策略執(zhí)行點(diǎn)(PEP)、策略決策點(diǎn)(PDP)、元數(shù)據(jù)訪問點(diǎn)服務(wù)器(MAP)和元數(shù)據(jù)訪問點(diǎn)客戶端(MAPC)等五部分組成。AR通過收集終端平臺(tái)完整性可信信息并發(fā)送至PDP以建立網(wǎng)絡(luò)連接,包括完整度量收集器(IMC)、TNC客戶端(TNCC)和網(wǎng)絡(luò)訪問請(qǐng)求者(NAR)三個(gè)子實(shí)體;PDP依據(jù)本地安全策略對(duì)AR的訪問請(qǐng)求進(jìn)行決策判定,包括完整度量驗(yàn)證器(IMV)、TNC服務(wù)器(TNCS)和網(wǎng)絡(luò)訪問決策者(NAA);PEP通過征詢PDP以決定是否允許AR接入;MAP負(fù)責(zé)存儲(chǔ)終端狀態(tài)和策略信息;MAPC利用來自MAP信息生成系統(tǒng)策略控制網(wǎng)絡(luò)訪問行為,同時(shí)負(fù)責(zé)向MAP回饋動(dòng)態(tài)安全信息。
接口協(xié)議包括IF-TNCCS、IF-M、IF-T和IF-PEP等4類。TNCC和TNCS通過IF-TNCCS接口連接,保證IMC和IMV間的測(cè)量信息傳遞;IMC和IMV通過IF-M接口連接,保證提供商信息傳遞;IF-T用于網(wǎng)絡(luò)授權(quán)傳遞,負(fù)責(zé)可信終端中AR實(shí)體與PDP實(shí)體間的信息傳送;IF-PEP是策略執(zhí)行點(diǎn)接口協(xié)議,負(fù)責(zé)PDP與PEP間的信息傳送。
架構(gòu)自下而上分為網(wǎng)絡(luò)訪問層、完整評(píng)估層和完整度量層。網(wǎng)絡(luò)訪問層用于兼容802.1X和VPN等傳統(tǒng)網(wǎng)絡(luò)技術(shù),包括網(wǎng)絡(luò)訪問請(qǐng)求者(NAR)、網(wǎng)絡(luò)訪問決策者(NAA)和網(wǎng)絡(luò)訪問執(zhí)行者(NAE)等實(shí)體;完整評(píng)估層負(fù)責(zé)評(píng)估請(qǐng)求訪問網(wǎng)絡(luò)的實(shí)體的完整性,包含TNC服務(wù)器(TNCS)和TNC客戶端(TNCC)等實(shí)體;完整度量層負(fù)責(zé)收集和鑒別可信終端的完整性信息,包括完整度量收集器(IMC)和完整度量驗(yàn)證器(IMV)等實(shí)體。
2.1全新可信網(wǎng)絡(luò)連接架構(gòu)設(shè)計(jì)
當(dāng)前,TNC體系發(fā)展較為成熟,在可信網(wǎng)絡(luò)構(gòu)建全生命周期應(yīng)用十分廣泛。然而,在應(yīng)用中仍然存在以下幾點(diǎn)問題:可信終端安全保護(hù)機(jī)制不夠完善、缺乏雙向評(píng)估機(jī)制、缺乏有效的安全協(xié)議支持[5]、訪問控制體系僵化及無法根據(jù)可信等級(jí)實(shí)現(xiàn)動(dòng)態(tài)控制[6]。為解決以上問題,設(shè)計(jì)可信網(wǎng)絡(luò)連接架構(gòu)和功能實(shí)體如圖1所示。
圖1中,在內(nèi)部網(wǎng)絡(luò)中增加了完整度量收集器(IMC),用于收集內(nèi)部網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)的安全屬性,發(fā)送至完整度量驗(yàn)證器(IMV)進(jìn)行認(rèn)證,實(shí)現(xiàn)對(duì)可信終端的有效度量,對(duì)于不可信的終端直接拒絕或隔離修復(fù),有效保證內(nèi)部網(wǎng)絡(luò)安全;元數(shù)據(jù)訪問點(diǎn)客戶端負(fù)責(zé)實(shí)時(shí)收集終端可信狀態(tài),可信等級(jí)控制器根據(jù)狀態(tài)予以分析評(píng)估,從而實(shí)現(xiàn)控制終端可信等級(jí)并分配訪問權(quán)限,保證各個(gè)實(shí)體間信息交互安全。
圖1 可信網(wǎng)絡(luò)連接架構(gòu)和功能實(shí)體
2.2安全網(wǎng)絡(luò)協(xié)議設(shè)計(jì)
安全網(wǎng)絡(luò)協(xié)議主要保障實(shí)體間信息傳遞的安全性[7]。根據(jù)圖1所示內(nèi)容,需在以下4個(gè)部分建立安全保護(hù)機(jī)制:① 完整度量層和完整評(píng)估層間的信息交互過程;② 完整度量收集器(IMC)和完整度量驗(yàn)證器(IMV)間的信息交互過程;③ 認(rèn)證信息交互過程;④ 決策信息交互過程。①和②主要依托完整度量層和完整評(píng)估層實(shí)現(xiàn),③和④主要依托網(wǎng)絡(luò)訪問層在交換機(jī)、服務(wù)器和AR間實(shí)現(xiàn)。
在①和②的實(shí)現(xiàn)過程中,TNC服務(wù)器在接收接入請(qǐng)求后通知網(wǎng)絡(luò)和終端提交實(shí)時(shí)安全狀態(tài),完整度量收集器(IMC)將兩者的度量信息傳遞至完整度量驗(yàn)證器(IMV),后者認(rèn)證后將網(wǎng)絡(luò)可信狀態(tài)和終端認(rèn)證結(jié)果轉(zhuǎn)發(fā)至服務(wù)器,通過后對(duì)內(nèi)部節(jié)點(diǎn)信息進(jìn)行加密,發(fā)送至外部終端,解密后顯示內(nèi)部節(jié)點(diǎn)的可信狀態(tài)。整個(gè)過程實(shí)現(xiàn)了外部終端和內(nèi)部節(jié)點(diǎn)的雙向安全度量,有效提高了可信網(wǎng)絡(luò)的可靠性。
網(wǎng)絡(luò)訪問層中,為保證數(shù)據(jù)包跨網(wǎng)絡(luò)傳送,其應(yīng)符合EAP-TNC數(shù)據(jù)包格式要求?,F(xiàn)有EAP-TNC數(shù)據(jù)包尚無法對(duì)數(shù)據(jù)完整性實(shí)施有效校驗(yàn),難以保證數(shù)據(jù)包不被篡改,不能確保有序?qū)崿F(xiàn)安全屬性的傳送[8]。為解決以上問題,對(duì)EAP-TNC數(shù)據(jù)包和Flag標(biāo)簽進(jìn)行重新設(shè)計(jì)和分配,將EAP-TNC數(shù)據(jù)包的R標(biāo)簽屬性擴(kuò)展至2 bit,VER標(biāo)簽屬性擴(kuò)展至3 bit。通過擴(kuò)展標(biāo)簽屬性,在提供一定的預(yù)留空間的基礎(chǔ)上,實(shí)現(xiàn)有序傳送安全度量信息,全新EAP-TNC數(shù)據(jù)包Flag標(biāo)簽屬性如表1所示。
表1 Flag標(biāo)簽屬性
2.3訪問控制體系設(shè)計(jì)
在深入研究TNC體系的基礎(chǔ)上,設(shè)計(jì)可信網(wǎng)絡(luò)訪問控制體系如圖2所示。按照可信網(wǎng)絡(luò)訪問控制邏輯設(shè)計(jì)要求劃分四個(gè)層級(jí),分別部署相應(yīng)的安全技術(shù),形成安全可靠的有機(jī)整體。
圖2 可信網(wǎng)絡(luò)訪問控制體系
與現(xiàn)有TNC體系[9]相比較,在結(jié)構(gòu)層次設(shè)計(jì)方面,可信網(wǎng)絡(luò)訪問控制體系可劃分為系統(tǒng)訪問控制層、網(wǎng)絡(luò)訪問控制層、用戶訪問控制層和網(wǎng)絡(luò)態(tài)勢(shì)感知層。其中,系統(tǒng)訪問控制層評(píng)估訪問請(qǐng)求者安全等級(jí),并根據(jù)評(píng)估結(jié)果分配訪問角色和訪問權(quán)限;網(wǎng)絡(luò)訪問控制層負(fù)責(zé)訪問請(qǐng)求者的完整性度量和網(wǎng)絡(luò)接入,動(dòng)態(tài)監(jiān)控網(wǎng)絡(luò)活動(dòng),執(zhí)行可信邏輯策略;用戶訪問控制層負(fù)責(zé)訪問請(qǐng)求者的身份認(rèn)證維護(hù)和密鑰生成管理;網(wǎng)絡(luò)態(tài)勢(shì)感知層基于規(guī)則庫(kù)提取指標(biāo)信息,用于反映系統(tǒng)管理、監(jiān)控、網(wǎng)絡(luò)連接及應(yīng)用服務(wù)狀態(tài),同時(shí)運(yùn)用SPA方法[10]和D-S證據(jù)理論方法[11]加權(quán)評(píng)估不同時(shí)段的網(wǎng)絡(luò)安全態(tài)勢(shì),結(jié)合評(píng)估結(jié)論運(yùn)用Box-Jenkins等計(jì)算模型[12]預(yù)測(cè)可信網(wǎng)絡(luò)安全態(tài)勢(shì)變化趨勢(shì)。
與現(xiàn)有TNC體系相比較,在功能實(shí)體設(shè)計(jì)方面,可信網(wǎng)絡(luò)訪問控制體系增加了跨域管理控制、身份管理控制、密鑰管理控制、認(rèn)證服務(wù)控制、時(shí)間約束控制、應(yīng)用管理控制、角色權(quán)限控制和安全評(píng)估控制等實(shí)體。在用戶訪問控制層中,跨域管理控制負(fù)責(zé)域間實(shí)體的身份注冊(cè)和交叉認(rèn)證;身份管理控制和密鑰管理控制針對(duì)用戶設(shè)計(jì),負(fù)責(zé)對(duì)其身份進(jìn)行標(biāo)識(shí)和維護(hù),以及為應(yīng)用生成和維護(hù)密鑰;認(rèn)證服務(wù)控制針對(duì)訪問請(qǐng)求者設(shè)計(jì),負(fù)責(zé)對(duì)其身份進(jìn)行認(rèn)證。在系統(tǒng)訪問控制層中,時(shí)間約束控制為會(huì)話分配訪問時(shí)間;應(yīng)用管理控制負(fù)責(zé)管理應(yīng)用及針對(duì)用戶訪問進(jìn)行授權(quán);角色權(quán)限控制負(fù)責(zé)為訪問請(qǐng)求者分配訪問角色和權(quán)限;安全評(píng)估控制負(fù)責(zé)對(duì)訪問請(qǐng)求者可信狀態(tài)進(jìn)行綜合評(píng)估。
為全面檢驗(yàn)可信網(wǎng)絡(luò)連接與訪問控制體系各方面性能,結(jié)合訪問終端安全狀態(tài)多樣化特征實(shí)際,建立仿真實(shí)驗(yàn)環(huán)境,通過模擬終端安全屬性變化,對(duì)網(wǎng)絡(luò)訪問控制能力和網(wǎng)絡(luò)連接性能進(jìn)行綜合測(cè)試。
3.1實(shí)驗(yàn)環(huán)境及結(jié)論
客戶端實(shí)驗(yàn)環(huán)境包括安裝CentOS 7操作系統(tǒng)和Windows 7操作系統(tǒng)的計(jì)算機(jī)、WPA-Supplicant客戶端和TPM2.0組件等;服務(wù)器實(shí)驗(yàn)環(huán)境包括認(rèn)證服務(wù)器和資源管理服務(wù)器、FreeRadius-Server服務(wù)器軟件和TPM2.0組件等;內(nèi)部網(wǎng)絡(luò)采用支持802.1X和Radius協(xié)議的Cisco交換機(jī)搭建。
在網(wǎng)絡(luò)訪問控制測(cè)試實(shí)驗(yàn)中,根據(jù)訪問終端類型和狀態(tài)選擇不同的測(cè)試方式,得出相應(yīng)的測(cè)試結(jié)論。訪問控制測(cè)試要素及結(jié)論如表2所示。
表2 訪問控制測(cè)試要素及結(jié)論
在網(wǎng)絡(luò)連接性能測(cè)試實(shí)驗(yàn)中,為盡量減少干擾因素,保證性能分析結(jié)論的準(zhǔn)確性和適用性,每輪測(cè)試分20次進(jìn)行,結(jié)果取20次實(shí)驗(yàn)結(jié)果的平均值。性能測(cè)試結(jié)論如表3所示。
表3 連接性能測(cè)試要素及結(jié)論
3.2性能分析
根據(jù)實(shí)驗(yàn)結(jié)論數(shù)據(jù)可知,在網(wǎng)絡(luò)訪問控制方面,體系具備如下特點(diǎn):① 體系具備隔離修復(fù)和拒絕訪問的功能。終端在身份認(rèn)證無法通過的情況下直接拒絕訪問;可信等級(jí)為Untrusted時(shí)隔離修復(fù),修復(fù)后若仍為Untrusted則視為認(rèn)證失敗,拒絕訪問;② 體系具備動(dòng)態(tài)訪問控制功能。在終端通過認(rèn)證后,體系通過監(jiān)測(cè)機(jī)制實(shí)時(shí)監(jiān)測(cè)終端,當(dāng)發(fā)生攻擊行為后,動(dòng)態(tài)改變體系可信等級(jí),實(shí)時(shí)調(diào)整訪問權(quán)限;③ 體系具備分層次網(wǎng)絡(luò)訪問功能。體系能夠根據(jù)接入終端狀態(tài)評(píng)估其可信等級(jí)并授予相應(yīng)的訪問權(quán)限,同時(shí)建立網(wǎng)絡(luò)資源分層機(jī)制,在滿足終端網(wǎng)絡(luò)訪問需求的基礎(chǔ)上,有效避免不對(duì)稱訪問帶來的安全隱患。
在網(wǎng)絡(luò)連接性能方面,基于同等網(wǎng)絡(luò)環(huán)境和操作系統(tǒng)的前提下,全新設(shè)計(jì)的TNC相比現(xiàn)有TNC在認(rèn)證時(shí)間上具備一定優(yōu)勢(shì);當(dāng)操作系統(tǒng)相同而網(wǎng)絡(luò)環(huán)境不同時(shí),認(rèn)證時(shí)間隨著網(wǎng)絡(luò)環(huán)境質(zhì)量的提升而縮短;當(dāng)網(wǎng)絡(luò)環(huán)境相同而操作系統(tǒng)不同時(shí),基于CentOS 7操作系統(tǒng)的認(rèn)證時(shí)間要優(yōu)于基于Windows 7操作系統(tǒng)的認(rèn)證時(shí)間。
通過結(jié)論分析可得:可信網(wǎng)絡(luò)連接與訪問控制機(jī)制可針對(duì)終端實(shí)現(xiàn)統(tǒng)一身份認(rèn)證和訪問授權(quán);實(shí)時(shí)動(dòng)態(tài)監(jiān)測(cè)終端,使之嚴(yán)格按照可信等級(jí)對(duì)稱訪問網(wǎng)絡(luò);可預(yù)測(cè)可信網(wǎng)絡(luò)安全態(tài)勢(shì)變化;具備一定的連接性能優(yōu)勢(shì)。
當(dāng)前網(wǎng)絡(luò)環(huán)境復(fù)雜多變,傳統(tǒng)網(wǎng)絡(luò)安全解決方案在保護(hù)物理安全、拓?fù)浒踩?、?yīng)用安全和管理安全等方面顯現(xiàn)出諸多不足[13],使網(wǎng)絡(luò)信息交互風(fēng)險(xiǎn)日益增大。可信網(wǎng)絡(luò)連接安全協(xié)議與訪問控制體系將被動(dòng)防御轉(zhuǎn)變?yōu)橹鲃?dòng)檢測(cè),通過擴(kuò)展EAP-TNC數(shù)據(jù)包Flag標(biāo)簽屬性,細(xì)分訪問控制結(jié)構(gòu)層次,對(duì)接入網(wǎng)絡(luò)的終端實(shí)施身份認(rèn)證、權(quán)限等級(jí)評(píng)估和安全等級(jí)劃分等可信操作,改善現(xiàn)有架構(gòu)在網(wǎng)絡(luò)安全協(xié)議和動(dòng)態(tài)控制方面存在的問題,從而提供差異化服務(wù),使網(wǎng)絡(luò)連接和安全防護(hù)能力得以全方位提升。
[1]Robert D D.Optical Network Management and Control[J].Proceedings of the IEEE,2012,100(5):132-159.
[2]Trusted Computing Group.TCG Trusted Network Connect TNC Architecture for Inter operability[EB/OL].http://www.trusted computinggroup.org,2012.
[3]崔善童.基于改進(jìn)型可信網(wǎng)絡(luò)連續(xù)的動(dòng)態(tài)網(wǎng)絡(luò)控制的設(shè)計(jì)和研究[D].上海:東華大學(xué),2014:6-7.
[4]LIANG Zhi-gang,CHEN Yu-hai.The Design and Implementation of Single Sign-on based on Hybrid Architecture[J].Journal of Networks,2012(1):178-186.
[5]Rexford J,Dovrolis C.Future Internet Architecture:Cleanslate Versus Evolutionary Research[J].Communications of the ACM,2010,53(9):19-23.
[6]MA Jian-feng,MA Zhuo,WANG Chang-guang,et al.Architecture of Trusted Network Connect[J].Security Access in Wireless Local Area Networks,2009:411-433.
[7]Martinez-Garcia A,Moreno-Conde A,Jodar-Sanchez F,et al.Sharing Clinical Decisions for Multimorbidity Case Management Using Social Network and Open-Source Tools[J].J Biomed Inform,2013,46(6):978-982.
[8]Poritz J,Schunter M,Van H E,et al.Property Attestation-Scalable and Privacy-Friendly Security Assessment of Peer Computers[R].Technical Report RZ3548,2004.
[9]Chen L,Landfermann R,Loehr H,et al.A Protocol for Property-Based Attestation.Proceedings of the First ACM Workshop On Scalable Trusted Computing[M].USA:ACM Press,2006:7-15.
[10]Yu R W,Wang L N.Behavior-based Attestation of Policy Enforcement among Trusted Virtual Domains[J].Journal of Networks,2010,6(5):643-649.
[11]Ulrich G,Benjamin J,Dennis L.Mutual Remote Attestation:Enabling System Cloning for TPM based Platforms[J].Security and Trust Management Lecture Notes in Computer Science,2012:193-203.
[12]Ma Z,Ma J F.An Efficient Authentication Protocol for WLAN Mesh Networks in Trusted Environment[J].IEICE Transactions on Information and Systems,2010,E93-D(3):430-435.
[13]Mansfield-Devine S.Singlesign-on:Matching Convenience with Security[J].Biometric Technology Today,2011(7),2011(7):6-16.
Design of Trusted Network Connection Security Protocol and Access Control Architecture
WANG Ming-shu
(Communication Engineering Design and Research Institute of the General Staff of PLA,Shenyang Liaoning 110005,China)
In order to solve the connection and control problems of trusted network,the entity function,architecture and interface protocol of trusted network are analyzed,a new trusted network connection architecture,including the integrity measurement collector,is proposed,the security network protocol and access control architecture based on EAP-TNC data packet are designed.By setting specifications such as network bandwidth,terminal state and reliability level,the performance of the basic connection and access control is tested.The result shows that based on the connection security protocol and access control architecture of trusted network,the terminal equipment can access the network in a secure and controllable way,and the security and availability are improved.
trusted network;connection architecture;security protocol;access control
10.3969/j.issn.1003-3114.2016.05.04
引用格式:王明書.可信網(wǎng)絡(luò)連接安全協(xié)議與訪問控制體系設(shè)計(jì)[J].無線電通信技術(shù),2016,42(5):14-17.
2016-05-11
王明書(1983—),男,工程師,主要研究方向:計(jì)算機(jī)軟件與信息安全。
TP393.08
A
1003-3114(2016)04-14-4