内容简介:西电捷通:可信网络连接架构TCA的实现及其应用分析
作者:西电捷通架构与编码研究
摘要:随着计算机网络的深度应用,最突出的威胁是:恶意代码攻击、信息非法窃取、数据和系统非法破坏,其中以用户秘密信息为目标的恶意代码攻击超过传统病毒成为最大安全威胁,这些安全威胁的根源在于缺乏体系架构层次的计算机的恶意代码攻击免疫机制,导致无法实现计算网络平台安全、可信赖地运行。可信网络连接就在此背景下提出的一种技术理念,它通过建立一种特定的完整性度量机制,使网络接入时不仅对用户的身份进行鉴别,还可提供对平台鉴别,就是基于平台完整性度量进行评估具备对不可信平台的程序代码建立有效的防治方法和措施。本文根据我国已有的可信网络连接国家标准给出可信连接架构TCA的实现及其相关的支撑技术,最后探讨了可信连接架构TCA技术的应用范围。
关键词 :可信计算;可信网络连接;平台鉴别;完整性度量;三元对等实体鉴别;可信连接架构; TCA
引言 :随着计算机网络的逐渐发展,网络安全问题面临严峻的考验。目前业内的安全解决方案往往侧重于先防外后防内,先防服务设施后防终端设施。而可信计算则逆其道而行之,首先保证所有终端的安全性,也即透过确保安全的组件来组建更大的安全系统。可信计算平台在更底层进行更高级别防护,通过可信赖的硬件对软层次的攻击进行保护可以使用户获得更强的保护空间和选择空间。可信网络连接是可信计算的一个重要组成部分。可信网络连接的目的主要是将单个计算机系统可信状态,扩展到多个计算机系统互联的可信状态建立。
2004 年 5 月 TCG 成立了可信网络连接工作组( trusted network connection subgroup , TCG ),主要负责研究和制定可信网络连接( trusted network connection , TNC )框架及相关标准,经过几年的发展, 2009 年 5 月, TNC 发布了 TNC1.4 版本的架构规范。目前已经形成了以 TNC 为核心,多种组件之间交互接口为支撑的的规范体系结构。
TNC 使用传统的鉴别方法,它首先进行的过程是传统的用户认证,该过程不仅是对用户身份的检查,还要为后面的平台凭证认证过程和平台完整性检查过程提供安全的通信通道。 TNC 中采用 VPN 和 IEEE 802.1x 来进行认证和建立通道来传输关于平台认证的消息。访问请求者并不直接认证访问控制器的身份和平台的完整性,从而降低了 TNC 的安全性。
为了实现可信计算网络平台安全、可信赖的运行,针对 TNC 的不足,建立自主的可信网络连接体系, 2007 年 4 月,我国启动了自主可信网络连接标准的制定工作,由西电捷通等国内数十家企业以及部分高校和科研院所共同参与制定。 TCA 是我国建立的以自主密码为基础、控制芯片为支柱、双融主板为平台、可信软件为核心、可信连接为纽带的可信计算体系不可或缺的一部分,并于 2013 年 11 月 12 日正式发布为国家标准 GB/T 29828 ― 2013 《信息安全技术可信计算规范可信连接架构》。
GB/T 29828 ― 2013 标准所规范的可信连接架构( trusted connect architecture , TCA )技术采用了一种三元、三层、对等、集中管理的结构。三元对等实体鉴别( TePA )是 TCA 的核心技术,已于 2010 年被国际标准 ISO/IEC 9798-3:1998/Amd.1:2010 采纳并发布;并于 2016 年被国家标准 GB/T 15843.3 ― 2016 采纳并发布。 TCA 中引入一个策略管理器作为可信第三方,对访问请求者和访问控制器进行集中管理,网络访问控制层、可信平台评估层、可信平台评估层、执行基于策略管理器为可信第三方的三元对等鉴别协议,实现访问请求者和访问控制器之间的双向用户认证和双向平台可信性评估。
1. 可信网络连接架构 TCA
TCA 的三元三层的架构由实体、层、组件和组件间的接口组成。 TCA 框图中有 3 列对应 3 个实体,图中矩形框表示实体中的组件,图中 3 行对应 TCA 中的 3 个抽象层。其架构图如图 1 所示:
在图 1 所示的可信网络连接架构中,存在 3 个实体:访问请求者 AR 、访问控制器 AC 和策略管理器 PM ,从上至下分为 3 个层次:完整性度量层、可信平台评估层和网络访问控制层。每个实体都包含 3 个组件,组件之间存在着一些接口。
访问请求者包括 3 个组件:网络访问请求者( NAR )、可信网络连接客户端( TNCC )和完整性收集者( IMC )。访问控制器包括的组件为:网络访问控制者( NAC )、可信网络连接服务端( TNCAP )和完整性收集者( IMC )。策略管理器包括的组件为:鉴别策略服务者( APS )、评估策略服务者( EPS )和完整性校验者( IMV )。
2.TCA的实现
2.1TCA工作原理
图 2 为 TCA 的工作原理图,工作步骤如下:
1 )在建立可信网络连接之前,访问请求者 AR 的 TNC 客户端和访问控制器 AC 的 TNC 接入点必须分别根据特定平台绑定函数来加载它们上端的各个完整性度量收集者( IMC ),而策略管理器 PM 的评估策略服务者必须根据特定平台绑定函数加载它上端的各个完整性度量验证者( IMV )。
2 )访问请求者 AR 的 NAR 向访问控制器 AC 的 NAC 发起网络访问请求。
3 ) NAC 收到 NAR 的网络访问请求后,与 NAR 和鉴别策略服务者执行用户身份鉴别协议来实现 AR 和 AC 之间的双向用户身份鉴别。在用户身份鉴别协议中, NAR 和 NAC 协商出 AR 和 AC 之间的主密钥或会话密钥。若用户身份鉴别完成后要求立即做出访问决策,则 NAR 和 NAC 分别依据用户身份鉴别结果生成访问决策,然后跳至步骤 7 )。
4 )若 NAR 需要执行平台鉴别过程,则 NAR 向 TNC 客户端发送平台鉴别请求,若 NAC 需要执行平台鉴别过程,则 NAC 向 TNC 接入点发送平台鉴别请求。
5 )当 TNC 接入点收到平台鉴别请求信息时,启动平台鉴别过程,与 TNC 客户端和 EPS 执行 1 轮或多轮平台鉴别协议来实现 AR 和 AC 之间的平台鉴别。当 TNC 客户端收到 NAR 的平台鉴别请求信息,或 1 轮平台鉴别协议结束后还没完成对 AC 的平台鉴别时, TNC 客户端等待 TNC 接入点发起的一轮平台鉴别协议。
在平台鉴别过程中, TNC 客户端通过 IF-IMC 与它上端的各个 IMC 进行信息交互。 TNC 接入点通过 IF-IMC 与它上端的各个 IMC 进行信息交互。
评估策略服务者负责验证 AR 和 AC 的证书,并通过 IF-IMV 调用它上端的各个 IMV 来校验和评估 AR 和 AC 的平台完整性度量值。 EPS 依据平台完整性评估策略生成 AR 和 AC 的平台完整性评估结果,最后将 PIK 证书验证结果和平台完整性评估结果发送给 TNC 客户端和 TNC 接入点。
6 )当 AR 和 AC 的平台鉴别完成时, TNC 客户端和 TNC 接入点分别依据 EPS 生成 AR 和 AC 的 PIK 证书验证结果和平台完整性评估结果生成访问决策(允许 / 禁止 / 隔离),并分别发送给 NAR 和 NAC 。
7 ) NAR 依据它所生成的访问决策或从 TNC 客户端接收到的访问决策执行访问控制, NAC 依据它所生成的访问决策或从 TNC 接入点接收到的访问决策执行访问控制,从而实现可信网络连接,即 AC 依据访问决策控制 AR 对受保护网络的访问, AR 依据访问决策判定是否连接至该受保护网络。
隔离和修补功能是TCA中的重要组成部分。若平台身份未被成功鉴别,则断开连接;否则,校验和评估平台完整性。若平台完整性校验和评估未成功通过,则接入隔离域对平台进行修补,通过平台修补后可重新执行平台鉴别过程。
2.2 相关支撑技术
1) TePA-AC
采用基于三元对等架构的访问控制( TePA-based access control , TePA-AC )来实现 TCA 的网络传输功能和访问控制功能:
① 基于三元鉴别可扩展协议( TAEP )来封装
TCA 的用户鉴别协议和平台鉴别协议数据。
② 在 TAEP 封装基础上,采用端口控制(部分端口和全端口控制)来实现 TCA 的访问控制。
③ 可确保为访问网络资源的所有终端设备(如 PC 、笔记本电脑、服务器、智能电话或 PDA 等)提供足够保护,以防御网络安全威胁。
TePA-AC 是基于端口的访问控制方法,其端口控制系统如下图所示。
在图3中,访问请求者系统和访问控制器系统都具有2个层次的端口控制:一个是用户鉴别层次,另一个是可信平台评估层次。其中,非受控端口只通行鉴别协议信息和平台评估协议信息;而受控端口则在鉴别通过或平台评估通过后通行应用服务信息。策略管理器系统中的鉴别策略服务实体和评估策略服务实体为两个层次的端口控制提供决策。TePA-AC适用于各种有线和无线网络。
2) TAEP
如图 1 所示,网络访问控制层接口 IF-TNT 和 IF-APS 都需要实现本层数据和上层数据的封装与传输,于是需要定义适用基于三元对等鉴别访问控制方法的封装格式三元鉴别可扩展协议( Tri-element authentication extensible protocol , TAEP )。可信平台评估层和网络访问控制层之间的消息封装在 TAEP 包中传输,其中访问控制器需要对访问请求者或策略管理器发送过来的 TAEP 包进行解析,然后再封装成 TAEP 包发送给访问请求者或策略管理器。
TAEP 提供信息安全服务,使用 UDP 的端口号 5111 。 TAEP 的格式参见 GB/T 28455 ― 2012 的 5.4.5 部分。
3) 与国内其他可信计算相关技术的关系
我国在可信计算领域目前已形成了《 GB/T 29827 ― 2013 信息安全技术可信计算规范可信平台主板功能接口》、《 GB/T 29828 ― 2013 信息安全技术可信计算规范可信连接架构》、《 GB/T 29829 ― 2013 信息安全技术可信计算密码支撑平台功能与接口规范》 3 个国家标准,目前正在制定的还有可信软件基 TSB ,可信平台控制模块 TPCM 等标准,这些标准一起形成了我国自主的可信计算体系结构,该结构提出了透明于业务应用的双体系结构的思想。
可信网络连接架构 TCA 是可信计算体系结构的重要组成部分,具有可信平台控制模块 TPCM 或平台密码模块 TCM 、可信平台模块 TPM 的终端接入计算机网络,通过 TCA 可使信任链从终端扩展到网络,将单个终端的可信状态可扩展到互联系统和可信软件基 TSB 。可通过 TPCM\TCM\TPM 向可信计算平台提供的完整性度量报告,所得到的结果即度量值可用于实现 TCA 的平台鉴别,然后 通过可信软件基向可信计算平台提供完整性、数据机密性和身份管理等可信服务。
2.3TCA实现功能 1) 身份鉴别
基于对等控制思想,可完成用户与网络之间直接的对等双向鉴别。在网络访问控制层,网络访问请求者 AR 、访问控制者 AC 和鉴别策略服务者执行用户身份鉴别协议,实现访问请求者 AR 和访问控制器之间的双向用户身份鉴别。
如果网络已部署了安全机制提供身份鉴别机制,可确保接入设备的合法性。结合 TCA 时,可无需更改网络的身份鉴别机制, TCA 完全可以和已有的身份鉴别机制结合使用。但需要对网络中设备升级使其支持完整性度量及可信平台评估以及对应的访问控制。
2) 平台鉴别
在可信平台评估层,可信网络连接客户端、可信网络连接接入点和评估策略服务者执行可信平台评估协议,实现访问请求者 AR 和访问控制器之间的双向可信平台评估(包括平台身份鉴别和平台完整性校验),可信网络连接客户端和可信网络连接接入点依据可信平台评估结果生成连接决策并分别发送给网络访问请求者 AR 和访问控制者 AC 。
访问请求者 AR 和访问控制器都设置“对自身的保护策略”和“对对方的评估策略”,防止对方探询本地的平台配置隐私信息;
在可信平台评估过程中,若平台身份未成功鉴别,则断开连接;否则,验证平台完整性校验是否成功通过。若平台完整性校验未成功通过,则接入隔离域对自身平台进行修补。修补后可重新进行可信平台评估过程;否则,访问请求者 AR 连接访问控制器并可访问保护网络。
3) 完整性度量
在完整性度量层,完整性收集者收集访问请求者 AR 和访问控制器的平台完整性度量值,完整性校验者校验这些平台完整性度量值,并通过 IF-IMC 和 IF-IMV 接口为可信平台评估层服务。
4) 策略管理
上述用户身份鉴别协议和可信平台评估协议都是基于可信方策略管理器 PM 的双向对等鉴别协议,称为三元对等鉴别协议。策略管理器 PM 在用户鉴别和平台鉴别过程中为访问请求者和访问控制器所信任,可实现访问请求者和访问控制器的双向用户鉴别和平台鉴别。
5) 保密通信
保密通信也是可信网络重要的组成部分,通过保密通信协议为网络通信数据提供保护,确保网络通信数据的保密性、完整性。
3.TCA 构建可信无线、有线、 IP 网络
使用TCA可以实现广泛的设备访问控制,可实现对用户身份合法性的管控,可实现对用户和用户所用设备的平台安全状态的评估,包括证书合法性验证和平台验证,如果两个都通过则打开应用服务受控端口,如果只验证通过合法证书并且未通过平台验证,需要进行平台修补,这时需要隔离服务受控端口。如果验证为非法证书,则受控端口状态为关闭。因此TCA根据不同的平台安全状态设置不同的访问控制策略,还可为用户所用设备的平台提供隔离/修补服务。
TCA 目前已实现了在无线局域网、有线局域网、 IP 网络的可信网络连接的应用,并结合可信软件基( TSB )和可信芯片( TPCM 或 TCM 或 TPM )正在获得更为广泛的应用。当然,除用于网络接入控制, TCA 也可用于网络已有鉴别协议的完整性保护,第三方客户端完整性保护、工控等特定领域的设备完整性保护等。
3.1 无线局域网可信连接应用示例
无线局域网安全 WAPI ,全称为无线局域网鉴别与保密基础结构( WLAN authentication and privacy infrastructure , WAPI ),旨在构建安全、信任、可靠的无线局域网,芯片 / 设备厂商通过集成 WAPI 可快速形成无线局域网安全产品。 WAPI 作用在无线局域网的数据链路层,提供身份强鉴别、端口访问控制以及数据的机密性、完整性和抗抵赖等安全服务。 WAPI 安全架构不仅具有有效的安全鉴别机制、灵活的密钥管理技术,而且实现了整个基础网络的集中用户管理,从而满足更多用户和更复杂的安全性要求。
TCA 应用于无线局域网时,无线局域网可信连接过程见图 4 所示:
在图4所示的方案中,通过WAPI的身份鉴别机制WAI建立STA和AP之间的单播密钥及组播密钥,用于无线局域网保密基础设施WPI以及保护STA和AP之间的PAI鉴别数据。
对于STA与AS之间、AP与AS之间的PAI鉴别数据,使用数字信封技术进行安全保护。
PAI鉴别过程实现了STA和AP之间的双向平台身份及平台完整性验证。
在上述验证都通过的情况下,由WPI提供无线局域网数据保密通信功能。
上述过程为无线局域网提供了安全可信保障能力。
3.2 有线局域网可信连接应用示例
有线局域网安全TLSec,全称为基于三元对等架构的局域网媒体访问控制安全(TePA-based LAN security,TLSec),旨在构建安全可信的有线局域网,芯片/设备厂商通过集成后可快速形成有线局域网安全产品。TLSec作用在有线局域网数据链路层,提供身份强鉴别、端口访问控制、以及链路数据的完整性、机密性和抗抵赖等安全服务。
TCA应用于有线局域网时,有线局域网可信连接过程 如 图5所示:
在图5所示的方案中,通过TISec中的TLA身份鉴别机制建立REQ和AAC之间的单播密钥及组播密钥。
然后执行PAI鉴别过程,对于REQ与AS之间、AAC与AS之间的PAI鉴别数据,使用数字信封技术进行安全保护。
PAI鉴别过程实现了REQ和AAC之间的双向平台身份及平台完整性验证。
在上述验证都通过的情况下,由TLSec的保密通信机制TLP提供有线局域网数据保密通信功能。
上述过程为有线局域网提供了安全可信保障能力。
3.3IP网络可信连接应用示例
TISec是一种IP端到端安全可信解决方案,全称为IP安全可信技术( t rust of IP security,TISec),旨在为用户构建安全可信的IP网络,设备和服务厂商通过集成TISec后可快速增强产品的IP安全功能或开发新的IP安全产品。以三元对等架构设计开发的TISec支持IPv4和IPv6协议,在保障网络通信节点之间的身份安全和IP安全的同时,为用户构建灵活的IP安全可信网络。
TCA应用于IP网络时, IP网络可信连接过程 如 图6所示:
客户端作为REQ发起注册过程,首先通过TISec的身份鉴别机制完成用户身份鉴别过程并建立REQ和AAC之间的密钥。
用户身份鉴别过程完成后,服务器AAC与客户端REQ之间建立数据隧道TUE,并将隧道控制权递交给平台鉴别PAI过程。PAI过程未完成之前,限制TUE隧道数据仅能用于PAI过程,其他数据均不允许通过。
执行PAI平台鉴别过程,实现REQ与AAC双向的平台身份及平台完整性验证。对于REQ与PAS之间、AAC与PAS之间的PAI鉴别数据,使用数字信封技术进行安全保护。AS和PAS可以是一个设备也可以是分开的。
在上述验证都通过的情况下,REQ与AAC分别执行端口打开操作,允许正常数据通道建立;通过TISec中的隧道通用封装 ( tunnel universal encapsulating, TUE ) 技术IP网络通信数据提供保密通信功能。
上述过程为IP网络提供了安全可信保障能力。
4. 结语
传统的信息安全网络系统只以接入终端是否通过认证和授权来判断终端是否可以接入受保护的网络,并不关心接入终端本身是否安全可信。
可信网络连接技术应用立足于终端,从源头抓起,对每个试图连接到网络的终端,不仅要求鉴别身份,证明它们被授权允许访问网络;还检查终端当前的完整性及其他安全属性是否与组织定义的安全策略一致,从而提供对终端计算机和企业网络环境更完善的安全防护,能够为企业计算环境、网络应用环境安全稳定地运行提供可靠保证。
本文在对可信计算体系必要构成技术的可信网络连接架构 TCA 技术进行深入分析研究的基础上,给出实现 TCA 所需的相关支撑技术,可通过对现有的可信网络连接架构 TCA 技术的实现,有助于构建我国自主的可信计算体系结构,最后探讨了可信网络连接架构 TCA 技术的应用领域和应用方式。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 美国家标准和技术研究所提出可信云架构概念
- 观点 | 信任:可信第三方、人性与利益冲突
- LAST_INSERT_ID()可信吗
- 安全可信的全球智能云,助中国企业赢得世界
- 【交易技术前沿】区块链驱动金融信息系统的可信安全
- [译] 揭秘电商评分系统的核心原理:如何让评分更可信?
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
