可信網絡跨域接入技術研究

計 龍，鄢楚平，張先國，張鈞媛，張立茹

（華北計算技術研究所，北京100083）

0 引 言

隨著移動互聯網的迅猛發展，人們對信息交互和共享的要求越來越高，跨越多管理域接入網絡訪問資源成為一種迫切的需求，信息安全與網絡可信的重要性和必要性也日益凸顯。當前，跨越不同安全管理域接入網絡訪問資源，從而實現信息資源的高效共享已經成為信息資源合理配置的一種普遍方式。在高可信網絡環境下，為了實現可信跨域接入控制，使可信網絡在跨域互聯環境下對信息資源進行高效共享成為可能，需要解決安全域間的身份認證與授權管理等問題。

1 TNC的發展與架構

1.1 TNC的發展

“可信計算組織”（trusted computing group，TCG）的前身為 “可信計算平臺聯盟” （trusted computing platform alliance，TCPA），重組為TCG后加強了對軟件安全性的關注，可信計算研究進入了發展的新高潮。2004年5月，TCG成立了可信網絡連接分組 （trusted network connection sub group，TNC－SG），相繼研究和制定了可信網絡連接（trusted network connection，TNC）的架構和相關規范標準，加速了可信計算在網絡訪問控制和終端安全領域制定開放規范的發展。TNC于2009年5月發布了TNC1.4版本的架構規范，規范中新增了Federated TNC規范，描述了兩種跨域場景框架和跨域協議規范；并于2012年5月發布了TNC1.5版本的架構規范，其中增加了管理客戶端 （administrative client），其通過IF－MAP （interface for metadata access point）接口與 MAP Server相連接，加強了對MAP Server的管理與控制。

1.2 跨域環境下的TNC體系架構

TCG提出的TNC體系架構模型將網絡訪問控制機制和訪問授權機制相結合，新增加了完整性評估層與完整性度量層，可以實現對接入平臺的身份認證與完整性驗證，通過將現有的訪問控制技術和可信計算技術進行結合來實現網絡環境的可信。TNC1.5版本中更新了TNC體系架構，新增了管理客戶端，通過IF－MAP接口與MAP Server相連接。我們在TNC1.5版TNC體系架構的基礎上新增 “跨域管理點”，形成了跨域環境下的TNC體系架構?？缬颦h境下的TNC體系架構如圖1所示。

圖1 跨域環境下的TNC體系架構

從邏輯功能的角度來看，可以將TNC體系結構中的組件分成6類，分別是:訪問請求者、策略執行點、策略決策點、元數據接入點、元數據接入點客戶端和跨域管理點。各個功能組件的詳細介紹如下所述:

（1）訪問請求者 （access requestor，AR）:是請求訪問被保護網絡的實體。AR由多個功能組件構成，主要包括:網絡訪問請求者、訪問終端以及完整性度量收集器。

（2）策略執行點 （policy enforcement point，PEP）:與AR相連接，執行策略決策點所做出的決策結果。PEP只包含策略執行點，策略執行點根據策略決策點的決策結果來實施相應的訪問控制。

（3）策略決策點 （policy decision point，PDP）:依據預先制定的訪問控制策略和本次所獲得的訪問請求者的平臺完整性狀態信息來對本次發出訪問請求的終端進行可信性判定，并做出是否允許請求接入者訪問網絡資源的決定。PDP由網絡訪問授權者、TNC服務器和完整性度量驗證器組成。

（4）元數據接入點 （metadata access point，MAP）:是用來收集并提供AR的狀態信息以便后續策略的制定和實施的實體。MAP組件用來收集其它TNC組件發布的信息，同時響應其它組件對于TNC元素狀態信息的 “訂閱”或“查詢”請求。

（5）元數據接入點客戶端 （MAP client，MAPC）:是向MAP發布或訂閱信息的實體。MAPC中主要包括流控制器 （如內部防火墻、流限制器等）和傳感器 （如入侵檢測設備、網絡病毒檢測設備等）。這些設備根據MAP發布的網絡狀態信息來采取相應的操作，以控制網絡來執行可信的操作。

（6） 跨 域 管 理 點 （cross－domain management point，CDMP）:與策略決策點相連接，與可信第三方數字證書管理中心交互實現遠程雙向認證，并對跨越不同管理域的訪問請求者進行身份認證與授權管理。采用我們設計的跨域遠程雙向認證與接入控制協議和跨安全域統一身份認證與授權管理系統，有效實現可信跨域接入控制。

2 跨域遠程雙向認證與接入控制協議設計

高可信網絡對信息交互和共享提出了更高的要求，跨越多管理域訪問網絡將成為常態，針對跨域環境下終端平臺間缺乏有效的雙向認證與接入控制機制，我們重點研究突破跨域環境下遠程雙向認證技術，設計跨域遠程雙向認證與接入控制協議，為構建高可信網絡系統的信息完整和流程可控機制奠定堅實的基礎，保障終端平臺接入可信與可控，從而實現在跨域環境下終端平臺的即時高效接入。如圖2所示，為跨域遠程雙向認證與接入控制示意圖。

如圖2所示，管理域A的訪問請求者AR＿A，申請跨域接入管理域B，首先管理域A對AR＿A進行身份認證與完整性度量，之后管理域A與管理域B通過數字證書管理中心相互進行遠程雙向證明與可信驗證，確定可信性后，管理域A與管理域B建立跨域可信鏈接，管理域B向AR＿A發送接入決策，并給予相應的訪問資源權限。

下面詳細介紹跨域遠程雙向認證與接入控制協議流程，如圖3所示。

圖2 跨域遠程雙向認證與接入控制

圖3 跨域遠程雙向認證與接入控制協議流程

（1）首先終端AR＿A向管理域A的策略執行點PEP發送訪問請求與跨域申請。

（2）管理域A的網絡訪問授權者NAA對AR＿A進行終端身份驗證，確定其身份。如果驗證失敗，則拒絕AR＿A訪問請求。

（3）身份驗證通過，由管理域A調用完整性度量校驗者（integrity measurement verifier，IMV）根據完整性列表，對AR＿A進行終端完整性度量，驗證AR＿A完整性列表中各個組件的完整性，然后根據驗證結果確定AR＿A的可信性。如果完整性數據未被篡改，則準許其接入；如果其完整性數據被篡改，則拒絕其接入，并將AR＿A進行安全隔離。

（4）管理域B為防止AR＿A所屬的管理域A被偽造，需要驗證其可信性，向數字證書管理中心查詢驗證管理域A是否可信，同時數字證書管理中心也對管理域B進行可信性驗證。如果管理域A的可信性驗證通過，則向管理域A遠程證明管理域B的可信性，同時向管理域B返回管理域A已驗證通過，管理域B直接與管理域A的跨域管理點之間建立可信鏈接；如果管理域A驗證未通過，則向管理域B返回管理域A驗證未通過，并將管理域A進行安全隔離。

（5）管理域B的跨域管理點CDMP與管理域A的跨域管理點CDMP協商AR＿A的訪問資源權限，根據數字證書管理中心評定的安全等級，給予相應的訪問資源權限，并由管理域B的NAA發出接入決策。

（6）AR＿A通過接入推薦實現跨域接入管理域B，根據被授予的權限對管理域B的資源進行訪問查詢。

通過以上流程實現高可信網絡終端平臺遠程雙向認證與終端節點的跨域接入控制，不僅可驗證終端節點宿主管理域A與接入管理域B的可信性，而且通過完整性度量確認了終端節點的完整性，信任鏈傳遞確定其可信性，可滿足高可信網絡對跨域的需求，從而實現跨域環境下的信息共享。

3 跨域認證與授權管理系統的設計和實現

現代化高可信網絡對不同管理域、不同層次及不同密級之間的信息交互和共享提出了更高的要求，為支持跨域環境下可信網絡接入控制，實現互聯環境下的信息資源的高效共享。特別針對信息共享服務的安全保密、權限控制和管理控制的需求，構建以數據為中心的用戶資源授權管理系統，實現跨安全域的統一身份認證，以支持跨域授權，全面提升信息系統的數據安全防護和安全共享能力，我們提出了跨域認證和授權管理系統，由跨域認證管理子系統和跨域授權管理子系統組成，如圖4所示。

圖4 跨域認證與授權管理系統框架

3.1 跨域認證管理子系統

跨域認證管理子系統，由身份認證服務模塊、動態授權管理模塊和跨域行為追蹤模塊3部分組成。

身份認證服務模塊:是集用戶身份注冊、用戶身份認證與單點登錄處理于一體的服務框架。主要功能是對用戶身份的全生命周期管理，保證用戶身份的真實性同時確保用戶一次登錄，多次使用，最終實現用戶對于系統資源的訪問控制。當用戶在本域中完成注冊后，本域的域間訪問控制服務將該用戶的基本信息廣播到其它域，其它域在目錄服務中建立該用戶的基本信息。同樣的，如果該用戶被注銷，那么本域的域間訪問控制服務通知其它域將該用戶的身份信息刪除。

動態授權管理模塊:分為動態授權、域間授權兩大子模塊。主要功能是為資源承載等有關應用系統提供統一化的授權管理服務，既保證同一安全域內的權限證書的發布與管理，又能保障跨安全域的權限管理服務。特別是能根據用戶執行任務的變化，根據用戶的資源訪問權限也發生變化的情況，提供用戶身份到權限證書的動態授權映射功能。

跨域行為追蹤模塊:用于對所有用戶的所有操作進行詳細的日志審計，并支持日志可信檢驗機制，保證日志的可信，實現對用戶的審計追蹤功能。

3.2 跨域授權管理子系統

該子系統主要實現用戶身份管理、資源管理、數據訪問策略管理、用戶授權管理、行為審計分析等功能。當系統需要為其它域的用戶進行授權時，由域間訪問控制服務獲取其它域的該用戶的全部身份信息，并保存到目錄服務器中。

用戶身份管理完成用戶身份信息的維護，定義用戶的主體安全屬性，并定義用戶的委托授權策略。用戶可以分為不同的組，對用戶組定義主體安全屬性，并對用戶組進行增、刪、改、查等操作。

用戶授權管理是生成權限角色，對用戶和用戶組賦予不同的角色，并調用PMI基礎設施的服務生成用戶權限屬性證書。

行為審計分析主要完成對用戶操作日志的數據挖掘，記錄、分析和檢查用戶行為及系統狀況，判斷其是否符合預定的安全策略。通過分析和檢查發現系統存在的安全漏洞和威脅，并對其造成的后果進行分析、評估和報告。

4 安全性分析

跨域遠程雙向認證與接入控制協議設計中我們采用數字證書管理中心作為可信第三方認證的方式有效避免了中間人攻擊的漏洞，使跨域身份認證過程更加安全可信。

跨域認證采用雙向身份認證，既要保證網絡的安全，也要保證終端能接入到一個可信的網絡中。在實施過程中采用了EAP－TTLS協議實現雙向身份認證，在TLS隧道建立階段通過驗證服務器提供的證書，證明了網絡的可信性，確保終端接入到一個可信的網絡中。在隨后的TLS隧道內認證終端的身份并度量平臺完整性，確保了終端的合法性。TLS隧道的會話密鑰是在TLS建立階段由會話雙方協商出來的，只有會話雙方可以獲得，使用該密鑰加密的消息不可能被第三方獲得，從而保證隧道內進行的身份驗證和平臺完整性度量過程的安全性?；谒淼赖谋Ｗo，內層的身份認證方法和平臺度量在安全方面的考慮就較少了，以傳遞認證過程中的數據交換為主，盡可能減少協議復雜性和傳輸開銷。

跨域認證與授權管理系統采用統一的身份認證方式，有效解決了用戶跨管理域后安全等級評定的難題，在管理中心存儲統一的身份標識，將數據同步給各個管理域后，各管理域則根據統一身份標識與自己系統中的安全等級相匹配，用戶跨域接入后根據其安全等級訪問相應的資源，實現了高效地跨域接入，簡化了系統管理，使得跨域身份管理及數據同步的工作量和難度成倍降低。

5 結束語

本文在TNC架構的基礎上，根據高可信網絡對信息交互和共享更高的要求，設計了跨域遠程雙向認證與接入控制協議流程，有效地實現了遠程雙向認證與跨域接入控制。并在此基礎上設計了跨域認證和授權管理系統，實現了跨安全管理域的統一身份認證，可有效地支持跨域授權管理，全面提升高可信網絡信息系統的數據安全防護和安全共享能力，實現可信網絡跨域環境下信息資源的高效共享。在下一步的工作中，我們將針對完整性度量機制基于靜態完整性、缺乏動態度量的現狀，提出較為完整的系統度量模型，深入研究動態度量技術。

[1]ZHANG Huanguo，CHEN Lu，ZHANG Liqiang.Research on trusted network connection[J].Chinese Journal of Computer，2010，33 （4）:706－717 （in Chinese）.[張煥國，陳璐，張立強.可信網絡連接研究[J].計算機學報，2010，33（4）:706－717.]

[2]SHEN Changxiang，ZHANG Huanguo，WANG Huaimin，et al.Research and development of trusted computing[J].Science China:Science Information，2010，40 （2）:139－166 （in Chinese）.[沈昌祥，張煥國，王懷民，等.可信計算的研究與發 展[J]. 中 國 科 學: 信 息 科 學，2010，40 （2）:139－166.]

[3]TCG Web Site[EB／OL].[2012－10－25].https:／／www.trustedcomputinggroup.org.

[4]TNC Web Site[EB／OL].[2012－11－20].https:／／www.trustedcomputinggroup.org／network／.

[5]YU Aimin，FENG Dengguo， WANG Dan.Property－based remote attestation model[J].Journal on Communications，2010，31 （8）:1－8 （in Chinese）.[于愛民，馮登國，汪丹.基于屬性的遠程證明模型[J].通信學報，2010，31 （8）:1－8.]

[6]TCG trusted network conNect TNC architecture for interoperability specification version 1.5[EB／OL].[2012－05－04].http:／／ www.trustedcomputinggroup.org／resources／tcg ＿architecture＿overview＿version＿15.

[7]TCG trusted network connect federated TNC specification version 1.0revision 26[EB／OL] .[2009－05－18].https:／／www.trustedcomputinggroup.org.

[8]LUO Anan，LIN Chuang，WANG Yuanzhuo，et al.Security quantifying method and enhanced mechanisms of TNC[J].Chinese Journal of Computers，2009，32 （5）:887－898 （in Chinese）.[羅安安，林闖，王元卓，等.可信網絡連接的安全量化分析與協議改進[J].計算機學報，2009，32 （5）:887－898.]

[9]Trust＠FHH.What is TNC＠FHH？[EB／OL].[2008－11－30].http:／／trust.inform.fh－hannover.de／joomla／index.php／about.

[10]MA Zhuo，MA Jianfeng，LI Xinghua，et al.Provable security model for trusted network connect protocol[J].Chinese Journal of Computer，2011，34 （9）:1669－1678 （in Chinese）.[馬卓，馬建峰，李興華，等.可證明安全的可信網絡連 接 協 議 模 型[J]. 計 算 機 學 報，2011，34 （9）:1669－1678.]

[11]LI Xiaoyong，GUI Xiaolin.Trust quantitative model with multiple decision factors in trusted network[J].Chinese Journal of Computer，2009，32 （3）:405－416 （in Chinese）.[李小勇，桂小林.可信網絡中基于多維決策屬性的信任量化模型[J].計算機學報，2009，32 （3）:405－416.]

[12]Jouni Malinen.Linux WPA／WPA2／IEEE 802.1Xsupplicant[EB／OL].[2012－03－31].https:／／hostap.epitest.fi／wpa＿supplicant／.

[13]TCG specification trusted network connect IF－MAP revision 25[EB／OL].[2008－01－04].https:／／www.trustedcomputinggroup.org.

[14]Network RADIUS Inc TheFreeRADIUS Project[EB／OL].[2011－09－30].http:／／freeradius.org.

[15]JIN Xin，WANG Jing，LI Wei.Extended privilege management model based on RBAC[J].Computer Systems ＆ Applications，2012，21 （6）:20－24 （in Chinese）.[金鑫，王晶，李煒.基于RBAC的擴展權限管理模型[J].計算機系統應用，2012，21 （6）:20－24.]