可信網(wǎng)絡(luò)跨域接入技術(shù)研究

計 龍，鄢楚平，張先國，張鈞媛，張立茹

（華北計算技術(shù)研究所，北京100083）

0 引 言

隨著移動互聯(lián)網(wǎng)的迅猛發(fā)展，人們對信息交互和共享的要求越來越高，跨越多管理域接入網(wǎng)絡(luò)訪問資源成為一種迫切的需求，信息安全與網(wǎng)絡(luò)可信的重要性和必要性也日益凸顯。當前，跨越不同安全管理域接入網(wǎng)絡(luò)訪問資源，從而實現(xiàn)信息資源的高效共享已經(jīng)成為信息資源合理配置的一種普遍方式。在高可信網(wǎng)絡(luò)環(huán)境下，為了實現(xiàn)可信跨域接入控制，使可信網(wǎng)絡(luò)在跨域互聯(lián)環(huán)境下對信息資源進行高效共享成為可能，需要解決安全域間的身份認證與授權(quán)管理等問題。

1 TNC的發(fā)展與架構(gòu)

1.1 TNC的發(fā)展

“可信計算組織”（trusted computing group，TCG）的前身為 “可信計算平臺聯(lián)盟” （trusted computing platform alliance，TCPA），重組為TCG后加強了對軟件安全性的關(guān)注，可信計算研究進入了發(fā)展的新高潮。2004年5月，TCG成立了可信網(wǎng)絡(luò)連接分組 （trusted network connection sub group，TNC－SG），相繼研究和制定了可信網(wǎng)絡(luò)連接（trusted network connection，TNC）的架構(gòu)和相關(guān)規(guī)范標準，加速了可信計算在網(wǎng)絡(luò)訪問控制和終端安全領(lǐng)域制定開放規(guī)范的發(fā)展。TNC于2009年5月發(fā)布了TNC1.4版本的架構(gòu)規(guī)范，規(guī)范中新增了Federated TNC規(guī)范，描述了兩種跨域場景框架和跨域協(xié)議規(guī)范；并于2012年5月發(fā)布了TNC1.5版本的架構(gòu)規(guī)范，其中增加了管理客戶端 （administrative client），其通過IF－MAP （interface for metadata access point）接口與 MAP Server相連接，加強了對MAP Server的管理與控制。

1.2 跨域環(huán)境下的TNC體系架構(gòu)

TCG提出的TNC體系架構(gòu)模型將網(wǎng)絡(luò)訪問控制機制和訪問授權(quán)機制相結(jié)合，新增加了完整性評估層與完整性度量層，可以實現(xiàn)對接入平臺的身份認證與完整性驗證，通過將現(xiàn)有的訪問控制技術(shù)和可信計算技術(shù)進行結(jié)合來實現(xiàn)網(wǎng)絡(luò)環(huán)境的可信。TNC1.5版本中更新了TNC體系架構(gòu)，新增了管理客戶端，通過IF－MAP接口與MAP Server相連接。我們在TNC1.5版TNC體系架構(gòu)的基礎(chǔ)上新增 “跨域管理點”，形成了跨域環(huán)境下的TNC體系架構(gòu)?？缬颦h(huán)境下的TNC體系架構(gòu)如圖1所示。

圖1 跨域環(huán)境下的TNC體系架構(gòu)

從邏輯功能的角度來看，可以將TNC體系結(jié)構(gòu)中的組件分成6類，分別是:訪問請求者、策略執(zhí)行點、策略決策點、元數(shù)據(jù)接入點、元數(shù)據(jù)接入點客戶端和跨域管理點。各個功能組件的詳細介紹如下所述:

（1）訪問請求者 （access requestor，AR）:是請求訪問被保護網(wǎng)絡(luò)的實體。AR由多個功能組件構(gòu)成，主要包括:網(wǎng)絡(luò)訪問請求者、訪問終端以及完整性度量收集器。

（2）策略執(zhí)行點 （policy enforcement point，PEP）:與AR相連接，執(zhí)行策略決策點所做出的決策結(jié)果。PEP只包含策略執(zhí)行點，策略執(zhí)行點根據(jù)策略決策點的決策結(jié)果來實施相應(yīng)的訪問控制。

（3）策略決策點 （policy decision point，PDP）:依據(jù)預(yù)先制定的訪問控制策略和本次所獲得的訪問請求者的平臺完整性狀態(tài)信息來對本次發(fā)出訪問請求的終端進行可信性判定，并做出是否允許請求接入者訪問網(wǎng)絡(luò)資源的決定。PDP由網(wǎng)絡(luò)訪問授權(quán)者、TNC服務(wù)器和完整性度量驗證器組成。

（4）元數(shù)據(jù)接入點 （metadata access point，MAP）:是用來收集并提供AR的狀態(tài)信息以便后續(xù)策略的制定和實施的實體。MAP組件用來收集其它TNC組件發(fā)布的信息，同時響應(yīng)其它組件對于TNC元素狀態(tài)信息的 “訂閱”或“查詢”請求。

（5）元數(shù)據(jù)接入點客戶端 （MAP client，MAPC）:是向MAP發(fā)布或訂閱信息的實體。MAPC中主要包括流控制器 （如內(nèi)部防火墻、流限制器等）和傳感器 （如入侵檢測設(shè)備、網(wǎng)絡(luò)病毒檢測設(shè)備等）。這些設(shè)備根據(jù)MAP發(fā)布的網(wǎng)絡(luò)狀態(tài)信息來采取相應(yīng)的操作，以控制網(wǎng)絡(luò)來執(zhí)行可信的操作。

（6） 跨 域 管 理 點 （cross－domain management point，CDMP）:與策略決策點相連接，與可信第三方數(shù)字證書管理中心交互實現(xiàn)遠程雙向認證，并對跨越不同管理域的訪問請求者進行身份認證與授權(quán)管理。采用我們設(shè)計的跨域遠程雙向認證與接入控制協(xié)議和跨安全域統(tǒng)一身份認證與授權(quán)管理系統(tǒng)，有效實現(xiàn)可信跨域接入控制。

2 跨域遠程雙向認證與接入控制協(xié)議設(shè)計

高可信網(wǎng)絡(luò)對信息交互和共享提出了更高的要求，跨越多管理域訪問網(wǎng)絡(luò)將成為常態(tài)，針對跨域環(huán)境下終端平臺間缺乏有效的雙向認證與接入控制機制，我們重點研究突破跨域環(huán)境下遠程雙向認證技術(shù)，設(shè)計跨域遠程雙向認證與接入控制協(xié)議，為構(gòu)建高可信網(wǎng)絡(luò)系統(tǒng)的信息完整和流程可控機制奠定堅實的基礎(chǔ)，保障終端平臺接入可信與可控，從而實現(xiàn)在跨域環(huán)境下終端平臺的即時高效接入。如圖2所示，為跨域遠程雙向認證與接入控制示意圖。

如圖2所示，管理域A的訪問請求者AR＿A，申請跨域接入管理域B，首先管理域A對AR＿A進行身份認證與完整性度量，之后管理域A與管理域B通過數(shù)字證書管理中心相互進行遠程雙向證明與可信驗證，確定可信性后，管理域A與管理域B建立跨域可信鏈接，管理域B向AR＿A發(fā)送接入決策，并給予相應(yīng)的訪問資源權(quán)限。

下面詳細介紹跨域遠程雙向認證與接入控制協(xié)議流程，如圖3所示。

圖2 跨域遠程雙向認證與接入控制

圖3 跨域遠程雙向認證與接入控制協(xié)議流程

（1）首先終端AR＿A向管理域A的策略執(zhí)行點PEP發(fā)送訪問請求與跨域申請。

（2）管理域A的網(wǎng)絡(luò)訪問授權(quán)者NAA對AR＿A進行終端身份驗證，確定其身份。如果驗證失敗，則拒絕AR＿A訪問請求。

（3）身份驗證通過，由管理域A調(diào)用完整性度量校驗者（integrity measurement verifier，IMV）根據(jù)完整性列表，對AR＿A進行終端完整性度量，驗證AR＿A完整性列表中各個組件的完整性，然后根據(jù)驗證結(jié)果確定AR＿A的可信性。如果完整性數(shù)據(jù)未被篡改，則準許其接入；如果其完整性數(shù)據(jù)被篡改，則拒絕其接入，并將AR＿A進行安全隔離。

（4）管理域B為防止AR＿A所屬的管理域A被偽造，需要驗證其可信性，向數(shù)字證書管理中心查詢驗證管理域A是否可信，同時數(shù)字證書管理中心也對管理域B進行可信性驗證。如果管理域A的可信性驗證通過，則向管理域A遠程證明管理域B的可信性，同時向管理域B返回管理域A已驗證通過，管理域B直接與管理域A的跨域管理點之間建立可信鏈接；如果管理域A驗證未通過，則向管理域B返回管理域A驗證未通過，并將管理域A進行安全隔離。

（5）管理域B的跨域管理點CDMP與管理域A的跨域管理點CDMP協(xié)商AR＿A的訪問資源權(quán)限，根據(jù)數(shù)字證書管理中心評定的安全等級，給予相應(yīng)的訪問資源權(quán)限，并由管理域B的NAA發(fā)出接入決策。

（6）AR＿A通過接入推薦實現(xiàn)跨域接入管理域B，根據(jù)被授予的權(quán)限對管理域B的資源進行訪問查詢。

通過以上流程實現(xiàn)高可信網(wǎng)絡(luò)終端平臺遠程雙向認證與終端節(jié)點的跨域接入控制，不僅可驗證終端節(jié)點宿主管理域A與接入管理域B的可信性，而且通過完整性度量確認了終端節(jié)點的完整性，信任鏈傳遞確定其可信性，可滿足高可信網(wǎng)絡(luò)對跨域的需求，從而實現(xiàn)跨域環(huán)境下的信息共享。

3 跨域認證與授權(quán)管理系統(tǒng)的設(shè)計和實現(xiàn)

現(xiàn)代化高可信網(wǎng)絡(luò)對不同管理域、不同層次及不同密級之間的信息交互和共享提出了更高的要求，為支持跨域環(huán)境下可信網(wǎng)絡(luò)接入控制，實現(xiàn)互聯(lián)環(huán)境下的信息資源的高效共享。特別針對信息共享服務(wù)的安全保密、權(quán)限控制和管理控制的需求，構(gòu)建以數(shù)據(jù)為中心的用戶資源授權(quán)管理系統(tǒng)，實現(xiàn)跨安全域的統(tǒng)一身份認證，以支持跨域授權(quán)，全面提升信息系統(tǒng)的數(shù)據(jù)安全防護和安全共享能力，我們提出了跨域認證和授權(quán)管理系統(tǒng)，由跨域認證管理子系統(tǒng)和跨域授權(quán)管理子系統(tǒng)組成，如圖4所示。

圖4 跨域認證與授權(quán)管理系統(tǒng)框架

3.1 跨域認證管理子系統(tǒng)

跨域認證管理子系統(tǒng)，由身份認證服務(wù)模塊、動態(tài)授權(quán)管理模塊和跨域行為追蹤模塊3部分組成。

身份認證服務(wù)模塊:是集用戶身份注冊、用戶身份認證與單點登錄處理于一體的服務(wù)框架。主要功能是對用戶身份的全生命周期管理，保證用戶身份的真實性同時確保用戶一次登錄，多次使用，最終實現(xiàn)用戶對于系統(tǒng)資源的訪問控制。當用戶在本域中完成注冊后，本域的域間訪問控制服務(wù)將該用戶的基本信息廣播到其它域，其它域在目錄服務(wù)中建立該用戶的基本信息。同樣的，如果該用戶被注銷，那么本域的域間訪問控制服務(wù)通知其它域?qū)⒃撚脩舻纳矸菪畔h除。

動態(tài)授權(quán)管理模塊:分為動態(tài)授權(quán)、域間授權(quán)兩大子模塊。主要功能是為資源承載等有關(guān)應(yīng)用系統(tǒng)提供統(tǒng)一化的授權(quán)管理服務(wù)，既保證同一安全域內(nèi)的權(quán)限證書的發(fā)布與管理，又能保障跨安全域的權(quán)限管理服務(wù)。特別是能根據(jù)用戶執(zhí)行任務(wù)的變化，根據(jù)用戶的資源訪問權(quán)限也發(fā)生變化的情況，提供用戶身份到權(quán)限證書的動態(tài)授權(quán)映射功能。

跨域行為追蹤模塊:用于對所有用戶的所有操作進行詳細的日志審計，并支持日志可信檢驗機制，保證日志的可信，實現(xiàn)對用戶的審計追蹤功能。

3.2 跨域授權(quán)管理子系統(tǒng)

該子系統(tǒng)主要實現(xiàn)用戶身份管理、資源管理、數(shù)據(jù)訪問策略管理、用戶授權(quán)管理、行為審計分析等功能。當系統(tǒng)需要為其它域的用戶進行授權(quán)時，由域間訪問控制服務(wù)獲取其它域的該用戶的全部身份信息，并保存到目錄服務(wù)器中。

用戶身份管理完成用戶身份信息的維護，定義用戶的主體安全屬性，并定義用戶的委托授權(quán)策略。用戶可以分為不同的組，對用戶組定義主體安全屬性，并對用戶組進行增、刪、改、查等操作。

用戶授權(quán)管理是生成權(quán)限角色，對用戶和用戶組賦予不同的角色，并調(diào)用PMI基礎(chǔ)設(shè)施的服務(wù)生成用戶權(quán)限屬性證書。

行為審計分析主要完成對用戶操作日志的數(shù)據(jù)挖掘，記錄、分析和檢查用戶行為及系統(tǒng)狀況，判斷其是否符合預(yù)定的安全策略。通過分析和檢查發(fā)現(xiàn)系統(tǒng)存在的安全漏洞和威脅，并對其造成的后果進行分析、評估和報告。

4 安全性分析

跨域遠程雙向認證與接入控制協(xié)議設(shè)計中我們采用數(shù)字證書管理中心作為可信第三方認證的方式有效避免了中間人攻擊的漏洞，使跨域身份認證過程更加安全可信。

跨域認證采用雙向身份認證，既要保證網(wǎng)絡(luò)的安全，也要保證終端能接入到一個可信的網(wǎng)絡(luò)中。在實施過程中采用了EAP－TTLS協(xié)議實現(xiàn)雙向身份認證，在TLS隧道建立階段通過驗證服務(wù)器提供的證書，證明了網(wǎng)絡(luò)的可信性，確保終端接入到一個可信的網(wǎng)絡(luò)中。在隨后的TLS隧道內(nèi)認證終端的身份并度量平臺完整性，確保了終端的合法性。TLS隧道的會話密鑰是在TLS建立階段由會話雙方協(xié)商出來的，只有會話雙方可以獲得，使用該密鑰加密的消息不可能被第三方獲得，從而保證隧道內(nèi)進行的身份驗證和平臺完整性度量過程的安全性。基于隧道的保護，內(nèi)層的身份認證方法和平臺度量在安全方面的考慮就較少了，以傳遞認證過程中的數(shù)據(jù)交換為主，盡可能減少協(xié)議復(fù)雜性和傳輸開銷。

跨域認證與授權(quán)管理系統(tǒng)采用統(tǒng)一的身份認證方式，有效解決了用戶跨管理域后安全等級評定的難題，在管理中心存儲統(tǒng)一的身份標識，將數(shù)據(jù)同步給各個管理域后，各管理域則根據(jù)統(tǒng)一身份標識與自己系統(tǒng)中的安全等級相匹配，用戶跨域接入后根據(jù)其安全等級訪問相應(yīng)的資源，實現(xiàn)了高效地跨域接入，簡化了系統(tǒng)管理，使得跨域身份管理及數(shù)據(jù)同步的工作量和難度成倍降低。

5 結(jié)束語

本文在TNC架構(gòu)的基礎(chǔ)上，根據(jù)高可信網(wǎng)絡(luò)對信息交互和共享更高的要求，設(shè)計了跨域遠程雙向認證與接入控制協(xié)議流程，有效地實現(xiàn)了遠程雙向認證與跨域接入控制。并在此基礎(chǔ)上設(shè)計了跨域認證和授權(quán)管理系統(tǒng)，實現(xiàn)了跨安全管理域的統(tǒng)一身份認證，可有效地支持跨域授權(quán)管理，全面提升高可信網(wǎng)絡(luò)信息系統(tǒng)的數(shù)據(jù)安全防護和安全共享能力，實現(xiàn)可信網(wǎng)絡(luò)跨域環(huán)境下信息資源的高效共享。在下一步的工作中，我們將針對完整性度量機制基于靜態(tài)完整性、缺乏動態(tài)度量的現(xiàn)狀，提出較為完整的系統(tǒng)度量模型，深入研究動態(tài)度量技術(shù)。

[1]ZHANG Huanguo，CHEN Lu，ZHANG Liqiang.Research on trusted network connection[J].Chinese Journal of Computer，2010，33 （4）:706－717 （in Chinese）.[張煥國，陳璐，張立強.可信網(wǎng)絡(luò)連接研究[J].計算機學(xué)報，2010，33（4）:706－717.]

[2]SHEN Changxiang，ZHANG Huanguo，WANG Huaimin，et al.Research and development of trusted computing[J].Science China:Science Information，2010，40 （2）:139－166 （in Chinese）.[沈昌祥，張煥國，王懷民，等.可信計算的研究與發(fā) 展[J]. 中 國 科 學(xué): 信 息 科 學(xué)，2010，40 （2）:139－166.]

[3]TCG Web Site[EB／OL].[2012－10－25].https:／／www.trustedcomputinggroup.org.

[4]TNC Web Site[EB／OL].[2012－11－20].https:／／www.trustedcomputinggroup.org／network／.

[5]YU Aimin，F(xiàn)ENG Dengguo， WANG Dan.Property－based remote attestation model[J].Journal on Communications，2010，31 （8）:1－8 （in Chinese）.[于愛民，馮登國，汪丹.基于屬性的遠程證明模型[J].通信學(xué)報，2010，31 （8）:1－8.]

[6]TCG trusted network conNect TNC architecture for interoperability specification version 1.5[EB／OL].[2012－05－04].http:／／ www.trustedcomputinggroup.org／resources／tcg ＿architecture＿overview＿version＿15.

[7]TCG trusted network connect federated TNC specification version 1.0revision 26[EB／OL] .[2009－05－18].https:／／www.trustedcomputinggroup.org.

[8]LUO Anan，LIN Chuang，WANG Yuanzhuo，et al.Security quantifying method and enhanced mechanisms of TNC[J].Chinese Journal of Computers，2009，32 （5）:887－898 （in Chinese）.[羅安安，林闖，王元卓，等.可信網(wǎng)絡(luò)連接的安全量化分析與協(xié)議改進[J].計算機學(xué)報，2009，32 （5）:887－898.]

[9]Trust＠FHH.What is TNC＠FHH？[EB／OL].[2008－11－30].http:／／trust.inform.fh－h(huán)annover.de／joomla／index.php／about.

[10]MA Zhuo，MA Jianfeng，LI Xinghua，et al.Provable security model for trusted network connect protocol[J].Chinese Journal of Computer，2011，34 （9）:1669－1678 （in Chinese）.[馬卓，馬建峰，李興華，等.可證明安全的可信網(wǎng)絡(luò)連 接 協(xié) 議 模 型[J]. 計 算 機 學(xué) 報，2011，34 （9）:1669－1678.]

[11]LI Xiaoyong，GUI Xiaolin.Trust quantitative model with multiple decision factors in trusted network[J].Chinese Journal of Computer，2009，32 （3）:405－416 （in Chinese）.[李小勇，桂小林.可信網(wǎng)絡(luò)中基于多維決策屬性的信任量化模型[J].計算機學(xué)報，2009，32 （3）:405－416.]

[12]Jouni Malinen.Linux WPA／WPA2／IEEE 802.1Xsupplicant[EB／OL].[2012－03－31].https:／／hostap.epitest.fi／wpa＿supplicant／.

[13]TCG specification trusted network connect IF－MAP revision 25[EB／OL].[2008－01－04].https:／／www.trustedcomputinggroup.org.

[14]Network RADIUS Inc TheFreeRADIUS Project[EB／OL].[2011－09－30].http:／／freeradius.org.

[15]JIN Xin，WANG Jing，LI Wei.Extended privilege management model based on RBAC[J].Computer Systems ＆ Applications，2012，21 （6）:20－24 （in Chinese）.[金鑫，王晶，李煒.基于RBAC的擴展權(quán)限管理模型[J].計算機系統(tǒng)應(yīng)用，2012，21 （6）:20－24.]