基于信任鏈的可控網(wǎng)絡(luò)關(guān)鍵技術(shù)研究

張紅紅 李昌明

【摘要】隨著網(wǎng)絡(luò)的不斷發(fā)展，信息安全問題愈加突顯。為了使網(wǎng)絡(luò)可信可控，本文在可信網(wǎng)絡(luò)的基礎(chǔ)上，提出了基于信任鏈的可控網(wǎng)絡(luò)，并研究了其關(guān)鍵技術(shù)。主要包括信任鏈及其可信度量，基于信任鏈的可控網(wǎng)絡(luò)架構(gòu)、可控網(wǎng)絡(luò)連接和訪問控制等。該研究為網(wǎng)絡(luò)信息系統(tǒng)控制機制的設(shè)計提供了一定的理論基礎(chǔ)。

【關(guān)鍵詞】可控網(wǎng)絡(luò);信任鏈;可信網(wǎng)絡(luò)

1.引言

隨著計算機網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和網(wǎng)絡(luò)應(yīng)用的日益廣泛，因特網(wǎng)在人們的生活、學(xué)習(xí)和工作中的地位愈發(fā)重要。與此同時，信息的安全問題成為大家關(guān)注的焦點，可以說安全問題已經(jīng)成為制約網(wǎng)絡(luò)應(yīng)用與發(fā)展的一個瓶頸。

國內(nèi)著名的信息安全專家沈昌祥院士早在上世紀九十年代初就提出要從終端入手解決信息安全問題，基于這一思想，近年來興起了“可信計算”。隨著可信計算技術(shù)的研究發(fā)展，應(yīng)用于網(wǎng)絡(luò)的“可信網(wǎng)絡(luò)”應(yīng)運而生。從訪問源端就開始進行安全分析，盡可能地將不信任的訪問操作控制在源端。本文提出了基于信任鏈的可控網(wǎng)絡(luò)，并對其關(guān)鍵技術(shù)展開了相應(yīng)的研究。

2.相關(guān)研究

2.1 研究現(xiàn)狀

目前，大部分的網(wǎng)絡(luò)安全系統(tǒng)都是由老三樣（防火墻、入侵檢測、防病毒）構(gòu)成，無法從根本上解決安全問題，只有從終端安全入手才能有效地解決整個網(wǎng)絡(luò)系統(tǒng)的安全問題。目前具有代表性的技術(shù)包括以下三種：一是可信計算組織（TCG：Trusted Computing Group）的可信網(wǎng)絡(luò)連接技術(shù)TNC;二是微軟的網(wǎng)絡(luò)接入保護技術(shù)（NAP：Network Access Protection）;三是思科的網(wǎng)絡(luò)接入控制技術(shù)（NAC：Network Admission Control）。下面對上述三種技術(shù)作以簡介。

TCG制定的可信網(wǎng)絡(luò)連接TNC（Trusted Network Connection）規(guī)范采用標準的接口定義了一個公開的標準，把可信硬件集成到訪問控制框架中。TNC規(guī)范立足終端，要求鑒別身份，檢查終端的當前完整性是否與組織定義的安全策略一致。其過程是：當用戶（Access Requestor：AR）試圖訪問被保護網(wǎng)絡(luò)，該網(wǎng)絡(luò)被策略執(zhí)行點（Policy Enforcement Point：PEP）保護，它將根據(jù)策略決策點（Policy Decision Point：PDP）來決定用戶能否訪問被保護網(wǎng)絡(luò)。網(wǎng)絡(luò)接入保護NAP技術(shù)是微軟為下一代操作系統(tǒng)設(shè)計的新一套操作系統(tǒng)組件，提供了一套完整性校驗的方法來判斷接入網(wǎng)絡(luò)的終端的安全狀態(tài)，對不符合安全策略需求的終端限制其網(wǎng)絡(luò)訪問權(quán)限。而且，NAP能提供自動補救功能。網(wǎng)絡(luò)接入控制NAC技術(shù)是Cisco公司提出的，用于確保終端設(shè)備在接入網(wǎng)絡(luò)前完全遵循本地組織定義的安全策略，保證不符合安全策略的終端無法接入該網(wǎng)絡(luò)，并設(shè)置可補救的隔離區(qū)供終端修正其安全策略，或者限制其可訪問的資源。

2.2 相關(guān)技術(shù)分析

從以上論述可以看出，TNC、NAP和NAC三種技術(shù)的目標和體系結(jié)構(gòu)具有一定的相似性。首先，其目標都是保證終端的安全接入，即當終端接入本地網(wǎng)絡(luò)時，通過特殊的協(xié)議對其進行校驗，除了驗證用戶名、密碼和用戶證書等用戶身份信息外，還驗證終端是否符合管理員制定好的安全策略;其次，三種技術(shù)的體系結(jié)構(gòu)也比較相似，都分為客戶端、安全策略以及接入控制三個主要部分：TNC分為AR、PEP和PDP三部分;NAP分為客戶端、服務(wù)器端和接入組件三部分;NAC分為網(wǎng)絡(luò)訪問終端、網(wǎng)絡(luò)訪問設(shè)備和策略決策點三部分。

但是，TNC與NAP、NAC是有本質(zhì)區(qū)別的。首先，NAP和NAC是廠商的專有技術(shù)，而TNC是開放標準，在任何廠商產(chǎn)品之間可以調(diào)用或提供操作接口;其次，NAP和NAC都需要依靠終端代理提供的信息，如果終端不可信，則NAP和NAC將不可信;再次，NAP和NAC的終端收集本地計算機的軟件及配置信息傳送給服務(wù)器進行驗證，這種做法會暴露終端平臺上的各種敏感信息。TNC的研究取得了重要的成果，但仍處于研究與實踐的發(fā)展階段，還存在著一些問題。本文基于可信網(wǎng)絡(luò)連接的基礎(chǔ)，對基于信任鏈的可控網(wǎng)絡(luò)進行了關(guān)鍵技術(shù)研究。

3.信任鏈可信度量研究

3.1 信任鏈

基于信任鏈的可控網(wǎng)絡(luò)的基本思想是：在網(wǎng)絡(luò)系統(tǒng)中首先建立一個信任根，然后建立一條信任鏈，上級認證信任下級，一級傳遞一級，直至把信任關(guān)系擴大至整個網(wǎng)絡(luò)系統(tǒng)，使網(wǎng)絡(luò)達到一個可控的狀態(tài)。所謂信任根，是整個網(wǎng)絡(luò)系統(tǒng)可信可控的基點，信任根本身的安全性由物理安全和管理安全來保證。信任鏈就是在信任根的基礎(chǔ)上進行信任傳遞：首先信任根認證下一級的可信度，如果可信，則信任傳遞到下一級;同樣，第二級若確認第三級可信，則信任擴大至第三級，該過程循環(huán)往復(fù)，信任范圍不斷擴大。

對于終端平臺，信任鏈的傳遞過程要從信任根開始，系統(tǒng)控制權(quán)由可信任的BIOS傳遞到可信任的boot、再到可信任的OS loader，接著到可信任的OS，最后傳遞到可信任的應(yīng)用。因此，需要建立信任鏈傳遞的“層次理論模型”，確保信任逐層傳遞。在此過程中，信任鏈的傳遞從信任根到操作系統(tǒng)具有單一性和順序性，只要保證信任根的物理安全、信任鏈傳遞過程中的時空隔離性，便可建立信任鏈的“層次理論模型”：在最初的硬件平臺h0和最終的運行實體hn中劃分出若干層次：h1、h2、h3…h(huán)n-1，使得hn能夠順利運行。層與層之間僅有單方向依賴關(guān)系，高層hi依賴低層hi-1：如果hi-1層是可信的，并且對hi層的可信度進行檢查確認后再傳遞控制權(quán)，則hi層也是可信的，即信任可以逐層傳遞，進而形成一個信任鏈。

3.2 可信度量策略

為了進行信任鏈的可信度量，首先設(shè)定幾個概念。一是實體，實體是一個合法用戶或一個計算機資源：如內(nèi)存、物理設(shè)備、數(shù)據(jù)文件、進程等。二是主體，主體是一個主動實體，可以對其他實體施加動作，可以是用戶、進程等。三是客體，客體是一個被動實體，可以接受其他實體的動作。主體和客體不是固定的，而是在不同時間根據(jù)其功能決定的。

可信度量策略把客體的可執(zhí)行權(quán)限以及相關(guān)的輸入數(shù)據(jù)作為研究對象，提取客體的摘要作為擴展安全屬性，對信任鏈提供更完善的安全策略。在可信度量策略中，從訪問控制角度，針對惡意代碼濫用權(quán)限的本質(zhì)，對執(zhí)行權(quán)限進行嚴格的描述。首先，客體的執(zhí)行權(quán)限必須由可信主體授權(quán)，也就是說只有在可信度量集合S中的客體才能被允許執(zhí)行。為了維護可信度量的一致性，對于集合S的維護也需由可信主體操作。比如在安裝新軟件時，要求軟件發(fā)布者對其發(fā)布的軟件的摘要進行數(shù)字簽名，由可信主體驗證數(shù)據(jù)簽名后，才能把它加入到集合S中。另一方面，針對惡意代碼利用終端OS對執(zhí)行代碼不檢查一致性的缺陷，將代碼嵌入到執(zhí)行程序，進行嚴格的可信度量之后，再允許客體執(zhí)行。

4.基于信任鏈的可控網(wǎng)絡(luò)連接

根據(jù)前面對于信任鏈的可信度量策略，構(gòu)建一個可控網(wǎng)絡(luò)，保證局域網(wǎng)應(yīng)用環(huán)境的安全。

4.1 可控網(wǎng)絡(luò)架構(gòu)

基于信任鏈的可控網(wǎng)絡(luò)架構(gòu)如圖1所示，由三種實體組成：AR、PE、PD。AR是Access Requestor，即接入請求者;PE是Policy Enforcer，即策略執(zhí)行者;PD是Policy Decider，即策略決策者。接入請求者，通常是個人計算機，掌上電腦，移動終端等。策略執(zhí)行者保護局域網(wǎng)安全的屏障，通常是防火墻、網(wǎng)關(guān)等。策略決策者是安全策略的決定，通常是允許、拒絕客體的訪問等操作，這些決定由策略執(zhí)行者來執(zhí)行。策略決策者是核心，根據(jù)實際需求制定具體策略，對整個網(wǎng)絡(luò)實現(xiàn)基于信任鏈的訪問控制，保證網(wǎng)絡(luò)的安全。

圖1 可控網(wǎng)絡(luò)架構(gòu)圖

4.2 可控網(wǎng)絡(luò)連接

在上述可控網(wǎng)絡(luò)架構(gòu)中，策略決策者可由TNC可信服務(wù)器構(gòu)成。TNC服務(wù)器在接收到AR終端的請求信息后，首先驗證終端的身份。TNC Server用自己的私有密鑰對接收的信息進行可信驗證，終端的驗證采用基于可信芯片的方式來進行。身份驗證通過后，要對其信息完整性進行粗、細兩種粒度的判別。粗粒度定性，細粒度定量。假定所有主體在最初有一個初始可信度，在之后的訪問操作中，可信服務(wù)器對其可信度進行相應(yīng)的增減變化。可信度越高，其訪問權(quán)限越大，反之訪問權(quán)限越小。

4.3 可控網(wǎng)絡(luò)訪問控制

用戶通過身份驗證進入網(wǎng)絡(luò)系統(tǒng)之后，可以對網(wǎng)絡(luò)進行各種各樣的訪問和操作。這些訪問請求提交到服務(wù)器之后，由專門的訪問控制模塊檢查用戶相應(yīng)的權(quán)限，決定是否允許用戶進行相應(yīng)的訪問。若訪問超出他的權(quán)限范圍，則提示出錯信息，否則允許其訪問。為了方便用戶權(quán)限的管理，可以對用戶進行分組，每組分配相應(yīng)的角色權(quán)限。根據(jù)用戶所屬的角色，來確定用戶最終的權(quán)限范圍。用戶的違規(guī)訪問將使其可信度降低，可信度的調(diào)節(jié)遵循日常“下坡容易上坡難”的原則，調(diào)節(jié)時可信度下降快上升慢。

5.總結(jié)

本文基于可信網(wǎng)絡(luò)連接的基礎(chǔ)，提出了基于信任鏈的可控網(wǎng)絡(luò)系統(tǒng)，著重論述了信任鏈及其可信度量，基于信任鏈的可控網(wǎng)絡(luò)架構(gòu)、可控網(wǎng)絡(luò)連接及可控網(wǎng)絡(luò)的訪問控制等關(guān)鍵技術(shù)。但是，相關(guān)的理論研究不夠深入，需要進一步深入細致地研究，使可信可控網(wǎng)絡(luò)更加完善，為信息安全的研究貢獻力量。

參考文獻

[1]馬卓.可證明安全的可信網(wǎng)絡(luò)連接協(xié)議模型[J].計算機學(xué)報2011（9）：1669-1678.

[2]段新東，馬建峰.可證明安全的可信網(wǎng)絡(luò)存儲協(xié)議[J].通信學(xué)報，2011（5）：169-174.

[3]襲正虎，卓董.網(wǎng)絡(luò)態(tài)勢感知研究[J].軟件學(xué)報，2010（7）：1605-1619.

2014年度河南省教育廳科學(xué)技術(shù)研究重點項目（編號：14B520015）可信可控網(wǎng)絡(luò)關(guān)鍵技術(shù)研究。

作者簡介：

張紅紅（1979-），河南濟源人，碩士，研究方向：計算機網(wǎng)絡(luò)及安全。

李昌明（1978-），貴州萬山人，大學(xué)本科，志高空調(diào)工程師。