web環(huán)境下的TNC

馬亞蕾

(陜西職業(yè)技術(shù)學(xué)院，陜西西安 710100)

0 前言

TNC是由于網(wǎng)絡(luò)訪問(wèn)控制出現(xiàn)的一種技術(shù)。傳統(tǒng)的網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)主要集中關(guān)注認(rèn)證機(jī)制，也就是說(shuō)，阻止未授權(quán)的設(shè)備連接到局域網(wǎng)內(nèi)。但是，他們不能避免可疑狀態(tài)下的網(wǎng)絡(luò)設(shè)備接入網(wǎng)絡(luò)的可能性。網(wǎng)絡(luò)設(shè)備不在當(dāng)前的安全狀態(tài)，比如，沒(méi)有安全更新，沒(méi)有適當(dāng)?shù)牟《绢A(yù)防措施，或者個(gè)人防火墻軟件，可能威脅服務(wù)器的安全和其他連接到同一個(gè)網(wǎng)絡(luò)的工作站。

但是，TNC受限于局域網(wǎng)和個(gè)人虛擬網(wǎng)絡(luò)場(chǎng)景。也就是說(shuō)，TNC規(guī)范和實(shí)施只允許TNC被用于使用網(wǎng)絡(luò)鏈接等級(jí)協(xié)議的受控環(huán)境下。基于WEB的應(yīng)用是TNC感興趣的新領(lǐng)域，因?yàn)門(mén)NC被廣泛使用并經(jīng)常牽涉安全敏感信息的處理。

本文中，我們提出了一個(gè)基于web環(huán)境下的TNC協(xié)議棧。

1 TNC概述

TNC架構(gòu)已經(jīng)被設(shè)計(jì)地對(duì)廠商和技術(shù)不偏不倚。這個(gè)架構(gòu)，就如在[1]中詳述的一樣，包含以下三個(gè)實(shí)體。

訪問(wèn)請(qǐng)求者是一個(gè)客戶(hù)端，比如一個(gè)PC或者一個(gè)筆記本，試圖訪問(wèn)網(wǎng)絡(luò)。它的完整性狀態(tài)被度量并報(bào)告給策略決策點(diǎn)。策略決策點(diǎn)是決定是否允許AR訪問(wèn)網(wǎng)絡(luò)的實(shí)體。這些決策是基于描述一個(gè)客戶(hù)端必須滿(mǎn)足的完整性要求的策略。策略執(zhí)行點(diǎn)（PEP）是負(fù)責(zé)執(zhí)行PDP做出的決定，比如交換機(jī)。

評(píng)估階段從AR想要訪問(wèn)受保護(hù)的資源（比如網(wǎng)絡(luò)）開(kāi)始。在這個(gè)階段，完整性度量是集中在AR上的，通過(guò)完整性收集者和TNC客戶(hù)端的積累。TNC用基于XML形式概括度量結(jié)果并發(fā)送到PDP（策略決策點(diǎn)）的TNC服務(wù)器。這些基于XML的消息，在PDP上的TNCC和TNCS之間進(jìn)行交換。

每一個(gè)AR的IMC在PDP上有一個(gè)相對(duì)應(yīng)的部件，叫做完整性度量驗(yàn)證者(IMV).TNCS把度量信息傳遞到相關(guān)的IMV，對(duì)度量信息和網(wǎng)絡(luò)訪問(wèn)策略進(jìn)行比較。這個(gè)策略陳述了客戶(hù)端想要訪問(wèn)網(wǎng)絡(luò)必須滿(mǎn)足的最低安全需求。在IMV可以把一個(gè)AR的安全狀態(tài)和一個(gè)策略進(jìn)行比較之前，它可能必須進(jìn)一步請(qǐng)求來(lái)自于IMC的度量，因此要求幾個(gè)回合。

2 自適應(yīng)的體系結(jié)構(gòu)

原始的TNC模型，正如在前一部分介紹的那樣，不能直接用在基于web環(huán)境的用例。這是因?yàn)椋╝）沒(méi)有集中的策略執(zhí)行點(diǎn)（比如一個(gè)交換機(jī)）來(lái)處理所有的訪問(wèn)請(qǐng)求，(b)并非只訪問(wèn)一個(gè)實(shí)體，一個(gè)用戶(hù)可能代表性的訪問(wèn)多個(gè)服務(wù)器（比如在線銀行，電子商務(wù)和電子政務(wù)網(wǎng)站）。由于這個(gè)不同的環(huán)境，對(duì)基于TNC的體系結(jié)構(gòu)應(yīng)用了以下擴(kuò)展要求。

可信驗(yàn)證者。一個(gè)TNC完整性校驗(yàn)顯示了PC機(jī)上的軟件安裝和執(zhí)行的詳細(xì)信息。一個(gè)惡意驗(yàn)證者可以使用這個(gè)信息通過(guò)瞄準(zhǔn)這些軟件產(chǎn)品的已知漏洞來(lái)實(shí)施攻擊。眾所周知,比如一個(gè)系統(tǒng)沒(méi)有應(yīng)用最新的操作系統(tǒng)補(bǔ)丁，可能給一個(gè)攻擊者提供了攻擊的機(jī)會(huì)，在基于web的場(chǎng)景中，潛在的服務(wù)提供方（包括惡意方）可以請(qǐng)求完整性校驗(yàn)，因此避免用戶(hù)被一個(gè)惡意驗(yàn)證者執(zhí)行完整性校驗(yàn)的影響是很重要的。

隱私憂(yōu)慮。如上述，關(guān)于PC的詳細(xì)信息在完整性校驗(yàn)過(guò)程中揭露。在未受控制的網(wǎng)絡(luò)中，比如互聯(lián)網(wǎng)，用戶(hù)代表性的和多方相互配合，可能不想給他們公開(kāi)完整性信息。因此融合隱私保護(hù)機(jī)制到任何一個(gè)方案里是很重要的。

可用性和用戶(hù)經(jīng)驗(yàn)。不像在企業(yè)環(huán)境里，IT服務(wù)員工對(duì)于基于互聯(lián)網(wǎng)服務(wù)的用戶(hù)是不可見(jiàn)的。因此保持TNC完整性校驗(yàn)過(guò)程簡(jiǎn)單和對(duì)用戶(hù)透明是非常必要的。

原來(lái)的TNC體系結(jié)構(gòu)必須適應(yīng)并滿(mǎn)足以上要求。盡管它不可能完全滿(mǎn)足每一個(gè)要求，必須找到可行的折中方法。

下面提出了適應(yīng)TNC的三個(gè)可能的模型。

2.1 直接證明

直接證明模型，基于文獻(xiàn)[2]，它牽涉兩個(gè)實(shí)體：一個(gè)客戶(hù)端（c）和一個(gè)服務(wù)提供者(sp)。除了提供服務(wù)（比如在線銀行服務(wù)），SP也執(zhí)行了完整性校驗(yàn)。在授權(quán)訪問(wèn)服務(wù)之前，SP要求校驗(yàn)C的TNC完整性。

這個(gè)模型可能引發(fā)了隱私憂(yōu)慮，因?yàn)樗械耐暾孕畔l(fā)送給SP，SP可以把它們和用戶(hù)的身份連接。更重要的是，為了能夠熟練地做出關(guān)于用戶(hù)PC安全狀態(tài)的決定，必須記錄不同版本的安全相關(guān)軟件和他們的更新。這是一個(gè)復(fù)雜的任務(wù)，因?yàn)槊刻鞎?huì)發(fā)現(xiàn)很多漏洞[4]。讓服務(wù)提供商管理他們的用戶(hù)的安全漏洞和更新，這不屬于一個(gè)典型的業(yè)務(wù)范圍，所以這種方法有嚴(yán)重的實(shí)際局限性。

2.2 轉(zhuǎn)達(dá)認(rèn)證

在中繼證明模型中，第三方實(shí)體存在：驗(yàn)證服務(wù)提供者（VSP）。從一個(gè)用戶(hù)的角度來(lái)看，這個(gè)模型和前一個(gè)模型是一樣的。SP擔(dān)當(dāng)一個(gè)透明的客戶(hù)代理；TNC通過(guò)SP轉(zhuǎn)發(fā)VSP和客戶(hù)端之間的消息。然而，這種方法會(huì)影響性能優(yōu)化并且SP有可能成為瓶頸，因?yàn)樗械南⒃谵D(zhuǎn)發(fā)之前必須被解密和重新加密。

2.3 基于斷言認(rèn)證

基于斷言認(rèn)證模型，和轉(zhuǎn)達(dá)認(rèn)證很相似。但是，不需要通過(guò)SP轉(zhuǎn)達(dá)通信，VSP和客戶(hù)端直接通信。這個(gè)模型的基礎(chǔ)理念就是SP以一種高水平策略報(bào)表的形式陳述它的安全需求。客戶(hù)端選擇一個(gè)VSP并發(fā)送策略需求到這個(gè)VSP。VSP執(zhí)行完整性校驗(yàn)并決定客戶(hù)端是否符合規(guī)定的策略。這個(gè)決定隨后被發(fā)送給SP。因?yàn)镾P和VSP之間的通信是通過(guò)客戶(hù)端轉(zhuǎn)達(dá)的，所以需要提供機(jī)制來(lái)保護(hù)這些消息的完整性（避免客戶(hù)端設(shè)備編造一個(gè)對(duì)自己有利的決定）。

3 IF-T上基于web的TNC完整性校驗(yàn)

我們提出了一個(gè)體系結(jié)構(gòu)和標(biāo)準(zhǔn)消息形式執(zhí)行基于TNC的完整性校驗(yàn)。然而，傳輸機(jī)制也必須能夠交換TNC相關(guān)數(shù)據(jù)。在這一部分，IF—T上的一個(gè)可能的傳輸機(jī)制得到認(rèn)可。在描述這個(gè)方法前，首先說(shuō)明IF—T的總體要求。

圖 1 TNC架構(gòu)示意圖

3.1 條件

幾個(gè)應(yīng)用程序工件必須在消息交換中參與的三方之間進(jìn)行傳遞，如在前一部分描述的那樣：一個(gè)在VSP上，用戶(hù)認(rèn)證SAML斷言，描述可信VSPs需求的策略，一個(gè)包含TNC完整性要求的策略文件。這些必須在實(shí)質(zhì)校驗(yàn)執(zhí)行前被發(fā)送。在度量過(guò)程中，基于XML的TNC消息被交換。最后，用戶(hù)收到作為完整性校驗(yàn)結(jié)果的SAML斷言，繼而SAML斷言被傳遞給SP。

3.2 在HTTP上傳輸XML

需要在VSP和客戶(hù)端之間傳送的所有應(yīng)用程序工件，比如SAML斷言，策略描述，和TNC消息交換，都是基于XML的。在HTTP上發(fā)送XML數(shù)據(jù)的最常見(jiàn)的方式是使用SOAP。除了其他約束，SOAP定義了一個(gè)消息格式來(lái)傳送XML有效載荷連同HTTP的頭部信息。為了用SOAP交換消息，需要定義一個(gè)XML消息格式。使用已有的可提供擴(kuò)展可能性的標(biāo)準(zhǔn)，而不是為T(mén)NC定義一個(gè)固定的格式。在下面的部分簡(jiǎn)要介紹的WS-可信[3]，提供這個(gè)標(biāo)準(zhǔn)格式。

3.3 WS-可信概述

WS-可信是提供WSS擴(kuò)展的OASIS標(biāo)準(zhǔn)。除了XML加密和XML簽名功能，WSS提供了一個(gè)基于認(rèn)證機(jī)制的安全令牌。WS-可信 定義了發(fā)布和交換這個(gè)安全令牌的機(jī)制。

WSS認(rèn)證提供了包括安全令牌在一個(gè)SOAP請(qǐng)求的頭元素里。安全令牌種類(lèi)的例子包含用戶(hù)令牌和SAML斷言。在SOAP請(qǐng)求被處理之前，附加的安全令牌生效。因而斷定，WSS認(rèn)證和其他認(rèn)證系統(tǒng)工作方式是一樣的，在一個(gè)請(qǐng)求被處理前證實(shí)用戶(hù)的身份和授權(quán)。

4 結(jié)論與展望

本文中，我們提出了四種實(shí)現(xiàn)一個(gè)基于web的TNC校驗(yàn)的構(gòu)建部分。這種架構(gòu)提供對(duì)客戶(hù)端的隱私保護(hù)并限制SP的實(shí)施復(fù)雜性。使用安全令牌來(lái)封裝TNC結(jié)果允許TNC作為基于web應(yīng)用的認(rèn)證過(guò)程的一個(gè)方面被實(shí)施。

[1]. Trusted Computing Group, TCG Trusted Network Connect TNC Architecture for Interoperability –Specification Version 1.2, 2007.

[2]. S. Yoshihama, T. Ebringer, M. Nakamura, S.Munetoh, H. Maruyama, WS-Attestation： efficient and fine-grained remote attestation on web services, in：ICWS’05： Proceedings of the IEEE International Conference on Web Services,IEEE Computer Society, 2005, pp. 743–750.

[3]. A. Nadalin, M. Goodner, M. Gudgin, A. Barbir, H.Granqvist, WS-Trust 1.3,March 2007.