可信網絡連接安全協議與訪問控制體系設計

王明書

(總參通信工程設計研究院，遼寧 沈陽110005)

?

可信網絡連接安全協議與訪問控制體系設計

王明書

(總參通信工程設計研究院，遼寧 沈陽110005)

針對現階段可信網絡在連接與控制方面存在問題，分析現有可信網絡實體功能、結構層次和接口協議，提出包含完整度量收集器在內的全新可信網絡連接體系架構，重新設計以EAP-TNC數據包為核心的安全網絡協議及訪問控制體系。通過設置網絡帶寬、終端狀態和可信等級等多項指標，對體系訪問控制和連接性能進行實驗測試。結論表明，可信網絡連接安全協議和訪問控制體系可使終端以安全可控的方式訪問網絡，具備良好的安全性和可用性。

可信網絡；連接體系；安全協議；訪問控制

0　引言

由于傳統網絡存在固有的脆弱性，用戶行為難以得到有效控制，網絡安全無法得到可靠保障。為解決該問題，隸屬于可信計算組織(TCG)[1]的可信網絡連接工作組提出了以終端為出發點將可信計算引入網絡的觀點，將計算信任鏈延伸擴展至網絡。目前，國際上流行3種可信網絡體系架構：NAC、NAP和TNC等，其基本原理都是在終端接入網絡前對用戶的身份進行認證，如通過則對終端平臺進行認證，再對其可信狀態進行度量，滿足接入策略則允許其接入網絡，否則將被連接至指定區域進行隔離修復以提升其安全性[2]。三種架構中，NAC側重于接入設備，NAP側重于終端，TNC側重于可信計算。通過全新可信網絡連接與訪問控制體系架構設計，解決了現階段可信網絡在連接與控制方面存在的管控措施不完善等問題，通過實時監測終端安全狀態變化，動態調整網絡訪問權限等手段，提升了訪問終端與接入網絡信息交互的安全性。

1　可信網絡連接概述

1.1可信網絡連接原理

可信網絡連接是接入網絡控制系統，對接入網絡的終端的可信狀態進行判斷，根據安全狀態的不同，實現相應的網絡接入控制[3]。可信網絡連接的工作原理是在終端發出接入請求后，對終端進行身份認證和安全認證，若其可信狀態滿足系統接入策略則允許接入網絡，否則將被連接至隔離區域，對不符合接入策略的部分進行修復直至成功接入網絡[4]。整個流程保證了網絡的安全性和終端的可信性。

1.2可信網絡連接架構

連接架構分為網絡訪問層、完整評估層和完整度量層3個層次，包括訪問請求者和策略執行點等實體，通過IF-M、IF-PEP等接口進行通信。

架構實體由訪問請求者(AR)、策略執行點(PEP)、策略決策點(PDP)、元數據訪問點服務器(MAP)和元數據訪問點客戶端(MAPC)等五部分組成。AR通過收集終端平臺完整性可信信息并發送至PDP以建立網絡連接，包括完整度量收集器(IMC)、TNC客戶端(TNCC)和網絡訪問請求者(NAR)三個子實體；PDP依據本地安全策略對AR的訪問請求進行決策判定，包括完整度量驗證器(IMV)、TNC服務器(TNCS)和網絡訪問決策者(NAA)；PEP通過征詢PDP以決定是否允許AR接入；MAP負責存儲終端狀態和策略信息；MAPC利用來自MAP信息生成系統策略控制網絡訪問行為，同時負責向MAP回饋動態安全信息。

接口協議包括IF-TNCCS、IF-M、IF-T和IF-PEP等4類。TNCC和TNCS通過IF-TNCCS接口連接，保證IMC和IMV間的測量信息傳遞；IMC和IMV通過IF-M接口連接，保證提供商信息傳遞；IF-T用于網絡授權傳遞，負責可信終端中AR實體與PDP實體間的信息傳送；IF-PEP是策略執行點接口協議，負責PDP與PEP間的信息傳送。

架構自下而上分為網絡訪問層、完整評估層和完整度量層。網絡訪問層用于兼容802.1X和VPN等傳統網絡技術，包括網絡訪問請求者(NAR)、網絡訪問決策者(NAA)和網絡訪問執行者(NAE)等實體；完整評估層負責評估請求訪問網絡的實體的完整性，包含TNC服務器(TNCS)和TNC客戶端(TNCC)等實體；完整度量層負責收集和鑒別可信終端的完整性信息，包括完整度量收集器(IMC)和完整度量驗證器(IMV)等實體。

2　可信網絡連接體系設計

2.1全新可信網絡連接架構設計

當前，TNC體系發展較為成熟，在可信網絡構建全生命周期應用十分廣泛。然而，在應用中仍然存在以下幾點問題：可信終端安全保護機制不夠完善、缺乏雙向評估機制、缺乏有效的安全協議支持[5]、訪問控制體系僵化及無法根據可信等級實現動態控制[6]。為解決以上問題，設計可信網絡連接架構和功能實體如圖1所示。

圖1中，在內部網絡中增加了完整度量收集器(IMC)，用于收集內部網絡中各個節點的安全屬性，發送至完整度量驗證器(IMV)進行認證，實現對可信終端的有效度量，對于不可信的終端直接拒絕或隔離修復，有效保證內部網絡安全；元數據訪問點客戶端負責實時收集終端可信狀態，可信等級控制器根據狀態予以分析評估，從而實現控制終端可信等級并分配訪問權限，保證各個實體間信息交互安全。

圖1　可信網絡連接架構和功能實體

2.2安全網絡協議設計

安全網絡協議主要保障實體間信息傳遞的安全性[7]。根據圖1所示內容，需在以下4個部分建立安全保護機制：① 完整度量層和完整評估層間的信息交互過程；② 完整度量收集器(IMC)和完整度量驗證器(IMV)間的信息交互過程；③ 認證信息交互過程；④ 決策信息交互過程。①和②主要依托完整度量層和完整評估層實現，③和④主要依托網絡訪問層在交換機、服務器和AR間實現。

在①和②的實現過程中，TNC服務器在接收接入請求后通知網絡和終端提交實時安全狀態，完整度量收集器(IMC)將兩者的度量信息傳遞至完整度量驗證器(IMV)，后者認證后將網絡可信狀態和終端認證結果轉發至服務器，通過后對內部節點信息進行加密，發送至外部終端，解密后顯示內部節點的可信狀態。整個過程實現了外部終端和內部節點的雙向安全度量，有效提高了可信網絡的可靠性。

網絡訪問層中，為保證數據包跨網絡傳送，其應符合EAP-TNC數據包格式要求?，F有EAP-TNC數據包尚無法對數據完整性實施有效校驗，難以保證數據包不被篡改，不能確保有序實現安全屬性的傳送[8]。為解決以上問題，對EAP-TNC數據包和Flag標簽進行重新設計和分配，將EAP-TNC數據包的R標簽屬性擴展至2 bit，VER標簽屬性擴展至3 bit。通過擴展標簽屬性，在提供一定的預留空間的基礎上，實現有序傳送安全度量信息，全新EAP-TNC數據包Flag標簽屬性如表1所示。

表1　Flag標簽屬性

2.3訪問控制體系設計

在深入研究TNC體系的基礎上，設計可信網絡訪問控制體系如圖2所示。按照可信網絡訪問控制邏輯設計要求劃分四個層級，分別部署相應的安全技術，形成安全可靠的有機整體。

圖2　可信網絡訪問控制體系

與現有TNC體系[9]相比較，在結構層次設計方面，可信網絡訪問控制體系可劃分為系統訪問控制層、網絡訪問控制層、用戶訪問控制層和網絡態勢感知層。其中，系統訪問控制層評估訪問請求者安全等級，并根據評估結果分配訪問角色和訪問權限；網絡訪問控制層負責訪問請求者的完整性度量和網絡接入，動態監控網絡活動，執行可信邏輯策略；用戶訪問控制層負責訪問請求者的身份認證維護和密鑰生成管理；網絡態勢感知層基于規則庫提取指標信息，用于反映系統管理、監控、網絡連接及應用服務狀態，同時運用SPA方法[10]和D-S證據理論方法[11]加權評估不同時段的網絡安全態勢，結合評估結論運用Box-Jenkins等計算模型[12]預測可信網絡安全態勢變化趨勢。

與現有TNC體系相比較，在功能實體設計方面，可信網絡訪問控制體系增加了跨域管理控制、身份管理控制、密鑰管理控制、認證服務控制、時間約束控制、應用管理控制、角色權限控制和安全評估控制等實體。在用戶訪問控制層中，跨域管理控制負責域間實體的身份注冊和交叉認證；身份管理控制和密鑰管理控制針對用戶設計，負責對其身份進行標識和維護，以及為應用生成和維護密鑰；認證服務控制針對訪問請求者設計，負責對其身份進行認證。在系統訪問控制層中，時間約束控制為會話分配訪問時間；應用管理控制負責管理應用及針對用戶訪問進行授權；角色權限控制負責為訪問請求者分配訪問角色和權限；安全評估控制負責對訪問請求者可信狀態進行綜合評估。

3　仿真實驗分析

為全面檢驗可信網絡連接與訪問控制體系各方面性能，結合訪問終端安全狀態多樣化特征實際，建立仿真實驗環境，通過模擬終端安全屬性變化，對網絡訪問控制能力和網絡連接性能進行綜合測試。

3.1實驗環境及結論

客戶端實驗環境包括安裝CentOS 7操作系統和Windows 7操作系統的計算機、WPA-Supplicant客戶端和TPM2.0組件等；服務器實驗環境包括認證服務器和資源管理服務器、FreeRadius-Server服務器軟件和TPM2.0組件等；內部網絡采用支持802.1X和Radius協議的Cisco交換機搭建。

在網絡訪問控制測試實驗中，根據訪問終端類型和狀態選擇不同的測試方式，得出相應的測試結論。訪問控制測試要素及結論如表2所示。

表2　訪問控制測試要素及結論

在網絡連接性能測試實驗中，為盡量減少干擾因素，保證性能分析結論的準確性和適用性，每輪測試分20次進行，結果取20次實驗結果的平均值。性能測試結論如表3所示。

表3　連接性能測試要素及結論

3.2性能分析

根據實驗結論數據可知，在網絡訪問控制方面，體系具備如下特點：① 體系具備隔離修復和拒絕訪問的功能。終端在身份認證無法通過的情況下直接拒絕訪問；可信等級為Untrusted時隔離修復，修復后若仍為Untrusted則視為認證失敗，拒絕訪問；② 體系具備動態訪問控制功能。在終端通過認證后，體系通過監測機制實時監測終端，當發生攻擊行為后，動態改變體系可信等級，實時調整訪問權限；③ 體系具備分層次網絡訪問功能。體系能夠根據接入終端狀態評估其可信等級并授予相應的訪問權限，同時建立網絡資源分層機制，在滿足終端網絡訪問需求的基礎上，有效避免不對稱訪問帶來的安全隱患。

在網絡連接性能方面，基于同等網絡環境和操作系統的前提下，全新設計的TNC相比現有TNC在認證時間上具備一定優勢；當操作系統相同而網絡環境不同時，認證時間隨著網絡環境質量的提升而縮短；當網絡環境相同而操作系統不同時，基于CentOS 7操作系統的認證時間要優于基于Windows 7操作系統的認證時間。

通過結論分析可得：可信網絡連接與訪問控制機制可針對終端實現統一身份認證和訪問授權；實時動態監測終端，使之嚴格按照可信等級對稱訪問網絡；可預測可信網絡安全態勢變化；具備一定的連接性能優勢。

4　結束語

當前網絡環境復雜多變，傳統網絡安全解決方案在保護物理安全、拓撲安全、應用安全和管理安全等方面顯現出諸多不足[13]，使網絡信息交互風險日益增大?？尚啪W絡連接安全協議與訪問控制體系將被動防御轉變為主動檢測，通過擴展EAP-TNC數據包Flag標簽屬性，細分訪問控制結構層次，對接入網絡的終端實施身份認證、權限等級評估和安全等級劃分等可信操作，改善現有架構在網絡安全協議和動態控制方面存在的問題，從而提供差異化服務，使網絡連接和安全防護能力得以全方位提升。

[1]Robert D D.Optical Network Management and Control[J].Proceedings of the IEEE,2012,100(5):132-159.

[2]Trusted Computing Group.TCG Trusted Network Connect TNC Architecture for Inter operability[EB/OL].http://www.trusted computinggroup.org,2012.

[3]崔善童.基于改進型可信網絡連續的動態網絡控制的設計和研究[D].上海:東華大學,2014:6-7.

[4]LIANG Zhi-gang,CHEN Yu-hai.The Design and Implementation of Single Sign-on based on Hybrid Architecture[J].Journal of Networks,2012(1):178-186.

[5]Rexford J,Dovrolis C.Future Internet Architecture:Cleanslate Versus Evolutionary Research[J].Communications of the ACM,2010,53(9):19-23.

[6]MA Jian-feng,MA Zhuo,WANG Chang-guang,et al.Architecture of Trusted Network Connect[J].Security Access in Wireless Local Area Networks,2009:411-433.

[7]Martinez-Garcia A,Moreno-Conde A,Jodar-Sanchez F,et al.Sharing Clinical Decisions for Multimorbidity Case Management Using Social Network and Open-Source Tools[J].J Biomed Inform,2013,46(6):978-982.

[8]Poritz J,Schunter M,Van H E,et al.Property Attestation-Scalable and Privacy-Friendly Security Assessment of Peer Computers[R].Technical Report RZ3548,2004.

[9]Chen L,Landfermann R,Loehr H,et al.A Protocol for Property-Based Attestation.Proceedings of the First ACM Workshop On Scalable Trusted Computing[M].USA:ACM Press,2006:7-15.

[10]Yu R W,Wang L N.Behavior-based Attestation of Policy Enforcement among Trusted Virtual Domains[J].Journal of Networks,2010,6(5):643-649.

[11]Ulrich G,Benjamin J,Dennis L.Mutual Remote Attestation:Enabling System Cloning for TPM based Platforms[J].Security and Trust Management Lecture Notes in Computer Science,2012:193-203.

[12]Ma Z,Ma J F.An Efficient Authentication Protocol for WLAN Mesh Networks in Trusted Environment[J].IEICE Transactions on Information and Systems,2010,E93-D(3):430-435.

[13]Mansfield-Devine S.Singlesign-on:Matching Convenience with Security[J].Biometric Technology Today,2011(7),2011(7):6-16.

Design of Trusted Network Connection Security Protocol and Access Control Architecture

WANG Ming-shu

(Communication Engineering Design and Research Institute of the General Staff of PLA，Shenyang Liaoning 110005，China)

In order to solve the connection and control problems of trusted network，the entity function，architecture and interface protocol of trusted network are analyzed，a new trusted network connection architecture，including the integrity measurement collector，is proposed，the security network protocol and access control architecture based on EAP-TNC data packet are designed.By setting specifications such as network bandwidth，terminal state and reliability level，the performance of the basic connection and access control is tested.The result shows that based on the connection security protocol and access control architecture of trusted network，the terminal equipment can access the network in a secure and controllable way，and the security and availability are improved.

trusted network；connection architecture；security protocol；access control

10.3969/j.issn.1003-3114.2016.05.04

引用格式：王明書.可信網絡連接安全協議與訪問控制體系設計[J].無線電通信技術,2016,42(5):14-17.

2016-05-11

王明書(1983—)，男，工程師，主要研究方向：計算機軟件與信息安全。

TP393.08

A

1003-3114(2016)04-14-4