主動安全網絡架構的協議族

劉建兵 王振欣 趙振學 邱成軍

1(北京北信源軟件股份有限公司 北京 100195)2(中國石油西北銷售公司 蘭州 730060)3(北部灣大學 廣西欽州 535000)(fqy-vrv@wo.cn)

上一篇[1]描述了主動網絡安全架構(active security network, ASN)的運行過程和業務流程，明確了各組成部件功能，以及主動安全網絡架構下獲得的安全新特性，主要從全局的視角展示了主動網絡安全架構，對其實現細節未作詳細描述.實際上，主動安全網絡架構是對傳統網絡架構的補充和完善，與傳統網絡架構并不沖突，傳統網絡的TCP/IP協議在主動安全網絡架構上仍然可以運行，在此基礎上主動安全網絡架構補充了和安全相關的一族協議，以此實現相關的網絡安全能力.本篇主要介紹主動安全網絡架構協議族的實現和工作邏輯，以及在其支撐下主動安全網絡架構的工作過程.

1 主動安全網絡架構的協議組成

主動網絡安全架構包括接入認證、管理控制、業務交互、開放集成、信任互聯5個協議，在架構中的位置如圖1所示.

各協議支撐業務如下：

1) 接入認證協議(access authentication protocal, AAP).在網絡接入層完成并維持接入設備在邊界認證機的認證和準入功能執行.AAP基于內嵌認證技術[2]，是短程協議，定位在網絡模型的接入層[3]，運行在OSI模型[4]的第2層，是與IP地址無關的.

2) 管理控制協議(management control protocal, MCP).其是決定管理控制服務器管理范圍的協議，工作在管理服務器和邊界認證機、第三方平臺之間，支持所管轄的邊界認證機和第三方平臺的注冊互認、維持通信、建立安全隧道，為業務交互協議和開放集成協議工作提供先決條件.MCP是應用層協議，基于TCP協議和端口.

3) 業務交互協議(business interaction protocal, BIP).用于邊界認證機與管理控制服務器之間的業務交互，包括MCL(MAC list)更新下發、終端認證信息的請求和下發、終端認證信息上報、終端安全策略下發等.BIP是應用協議，運行在MCP協議建立的安全隧道中.

4) 開放集成協議(open integration protocal, OIP).定位在管理控制服務器和第三方平臺之間，用于管理控制服務器與第三方平臺之間業務數據交互.OIP是應用協議，亦運行在MCP協議建立的安全隧道中.

5) 信任互聯協議(trust interconnection protocal, TIP).用于同一局域網的邊界認證機之間的認證和安全連接的建立，維護網絡范圍和邊界安全完整，保障局域網邊界認證機之間的通信加密.TIP運行在OSI模型的第2層，與IP地址無關.該協議需要結合BIP協議實現邊界認證機之間的認證，但不影響BIP協議和其他協議運行.

密碼技術是信息安全的重要支撐，主動安全網絡架構協議族以密碼技術為基礎，每個協議都應用了密碼技術.

2 主動安全網絡架構的密碼技術支撐

2.1 密碼技術的重要性

國家高度重視密碼工作，明確密碼是保障網絡安全的核心技術和基礎支撐，是網絡免疫體系的基因，是實現網絡被動防御向主動免疫的必由之路；密碼技術是構建網絡信任體系的基石[5]，是網絡安全空間傳遞價值和信任的重要手段；密碼技術是網絡安全的殺手锏，是實現安全可控的突破口.

《中華人民共和國密碼法》發布實施，要求重要基礎設施和信息系統需要采用國密技術保障安全[6]，并提倡逐步替換國外密碼技術和產品，實現密碼領域技術和產品的自主可控.

以前，我國網絡技術應用的密碼技術和產品基本上都依賴國外密碼技術，自主可控性差.近年來，國家密碼管理局推出了我國自主研發創新的一套數據加密處理系列的國密算法，如SM2[7],SM3[8],SM4[9]等，從根本上擺脫我國對國外密碼技術的依賴，實現了從密碼算法層面掌控核心的信息安全技術.隨著國密算法推廣的延伸[10]，我國多個技術領域已經開始使用國密算法替換國外算法[11].

國密算法強度、復雜度，性能等方面都與國外同類算法持平甚至優于同類算法，具有算法安全等方面的優越性[12]，如SM2相比RSA算法，性能更優更安全，密碼復雜度高、處理速度快、機器性能消耗更小.

本著安全自主可控的理念，在ASN架構中著力采用國密技術來支撐架構運行，提高ASN架構的自主可控性和安全強度，保障ASN架構的安全可靠.

2.2 標識公鑰技術

標識公鑰體系屬于非對稱的公鑰密碼體系.與PKI[13]不同，標識公鑰體系中不需要第三方證書，而是將網絡中的設備、終端或系統的標識直接作為公鑰，通過數學計算生成與之對應的私鑰，從而完成設備、終端或系統之間的身份認證與授權.

標識公鑰基于成熟的公鑰密碼技術[14]，實現了標識與密鑰的關聯，支持ECDSA，SM2算法，兼容CPK，SM9等標識體制，簽名和加密所產生的附加數據量小、運算量小，使用高效.

標識公鑰體系具有的標識特性、基于標識算法技術支撐的鑒權和加解密的高效特性，在網絡安全領域有著廣泛的應用前景，為網絡安全增添了一種更靈活、有效的安全認證技術.

2.3 架構運行密碼支撐

基于標識公鑰體系密鑰技術的特點和國密算法的支持，ASN架構中采用標識公鑰技術，運用國密算法支撐整體架構安全運行.

主動安全網絡架構利用設備唯一物理特征(MAC)構造設備的唯一標識CID(combination ID)，通過唯一標識對設備進行認證、準入和策略的制定下發.基于唯一標識的認證和準入保證了訪問控制、安全追溯、目標定位的準確性和實時性，提高了安全防護工作的效率.

在設備認證、安全業務交互過程中，采用國密SM2和SM4算法，SM2算法主要實現設備的認證，而SM4算法主要實現安全業務數據的加密傳輸.ASN架構將國產密碼技術作為架構的重要基石之一，在各個支撐協議中充分融合了標識公鑰密碼技術和國密SM2,SM4算法，支撐架構安全運行，如圖2所示:

圖2 主動安全網絡架構密碼支撐

3 ASN協議族的描述

3.1 接入認證協議

接入認證協議AAP基于國家專利——內嵌認證技術完成網絡接入設備的接入認證和準入控制，其核心功能是通過SM2算法進行認證交互報文的加解密，以完成認證工作[15].

基于非對稱算法SM2構建主動認證協議AAP，以非對稱密碼算法的密鑰對的對應性為認證依據，主體以客體的公鑰加密認證數據，客體以本身私鑰解密認證數據并返回給主體，由主體驗證解密數據與認證數據原文的一致性，從而確認客體的私鑰與主體加密認證數據的公鑰對應關系，從而確認客體的身份合法性.AAP協議認證過程是由主體主動發起客體被動響應，協議運行在OSI 7層網絡協議的第2層，協議主體以2層的MAC地址發現客體的存在[16]，并通過2層協議向客體發起認證挑戰.認證成功后主體打開網絡通路，失敗保持關閉狀態.客體首次認證成功后進行周期認證，周期認證如果失敗則關閉網絡通路.

3.2 管理控制協議

管理控制協議(MCP)是邊界認證機、第三方平臺與管理控制服務器協同工作的保障協議，完成邊界認證機、第三方平臺在管理控制服務器的注冊認證、建立并維持后續業務加密通道；采用SM2和SM4算法.

MCP協議作為應用協議，通過TCP協議建立連接.邊界認證機、第三方平臺和管理控制服務器建立TCP連接后，控制服務器發送認證請求，邊界認證機和第三方平臺響應認證，管理控制服務器通過響應信息作出認證判斷，認證通過后生成分組密鑰，以SM4算法在二者之間建立加密通道，供后續業務報文加解密使用.認證成功后，連接在整個TCP連接生命期內有效；如果認證失敗則斷開TCP連接.

3.3 業務交互協議

業務交互協議(BIP)工作在MCP協議之上，在MCP建立的加密通道內部完成與認證、準入、安全策略相關的安全業務數據交互和傳輸，完成終端接入信息上報、策略分發等安全業務.

3.4 開放集成協議

開放集成協議(OIP)工作在MCP協議之上，在MCP建立的加密通道內部完成與第三方平臺的數據交互.OIP協議是ASN對外集成的開放接口，規定了第三方安全產品與ASN進行安全策略交互的規程和消息格式，通過該協議將各種安全應用緊密集成到ASN架構中來.

ASN通過OIP協議向態勢感知平臺推動自身產生的相關數據；與其他安全應用或系統進行安全策略交互，并通過集成的安全策略進行網絡安全防護.OIP協議實現了組織安全能力的統一集成，實現了安全應用的安全協同防護，并支撐安全態勢的感知和展示.

3.5 信任互聯協議

TIP是局域網中的邊界認證機互聯的安全協議，在相鄰互聯的邊界認證機之間運行，主要作用是解決邊界認證機開放互聯的不可控問題和邊界認證機之間信息安全傳輸問題，防止邊界認證機設備被隨意增加和替換，以維護網絡范圍和邊界的安全完整性，并提供邊界認證機之間的信息傳輸加密服務.

邊界認證機之間相互認證時，邊界認證機利用BIP協議向管理控制服務器查詢其他邊界認證機的認證信息，從而完成邊界認證機之間的互認證.邊界認證機互認證完成后，由Master邊界認證機使用同局域網中其他邊界認證機的公鑰通過SM2算法加密團體密鑰(對稱密鑰)分發至其他邊界認證機，其他邊界認證機私鑰解密后得到對稱密鑰，后續通信使用團體密鑰和SM4算法實現邊界認證機之間的信息加密傳輸.

4 ASN架構協議的運行描述

4.1 ASN架構運行環境準備

ASN架構運行需要做好相關準備工作，包括設備/平臺CID和私鑰的生成與導入；邊界認證機、第三方平臺到管理控制服務器的注冊認證；邊界認證機之間的認證與對稱密鑰分發.密鑰管理平臺為終端、邊界認證機、管理控制服務器、第三方平臺分別生成唯一標識CID和私鑰，終端私鑰導入認證客戶端軟件，CID導入管理控制服務器；邊界認證機私鑰導入邊界認證機，CID導入邊界認證機和管理控制服務器；第三方平臺私鑰導入第三方平臺，CID導入管理控制服務器；管理控制服務器私鑰和CID導入管理控制服務器；公私鑰的導入為后續的認證和業務數據加密打好基礎.

為了確保網絡接入邊界的完整性和安全性，邊界認證機的所有接口開啟認證功能，施行嚴格的網絡接入策略.邊界認證機到管理控制服務器的通信、邊界認證機之間的局域網通信首先完成，保證邊界認證機可先行完成到管理控制服務器的認證注冊、邊界認證機之間的認證和團體密鑰分發工作，為后續其他業務運行做好準備工作.

邊界認證機、第三方平臺通過MCP協議完成向管理控制服務器進行認證注冊，為后續安全業務構建加密通道，MCP協議運行過程如圖3所示：

圖3 MCP協議運行

邊界認證機、第三方平臺是認證客體，管理控制服務器是認證主體.客體和主體建立TCP連接后，主體發送自身CID至客體；客體用主體的CID加密自身CID和隨機數，發送回主體；主體用自身私鑰解密返回數據，若客體的CID存在則認證成功，用客體CID通過SM2算法加密SM4分組密鑰發送給客體，用于后續OIP和BIP的通信加密；若客體CID不存在則認證失敗，斷開TCP連接.

邊界認證機之間的互認證和團體密鑰分發依托TIP協議實現.邊界認證機接入網絡，向同一局域網周期廣播發送本設備的CID(作為Master的邊界認證機要將表明本設備作為Master的身份信息一并廣播)，保證同一局域網中所有邊界認證機具有其他邊界認證機的CID，并知曉局域網中的Master邊界認證機；邊界認證機之間的認證借助于BIP協議，由管理控制服務器下發MAC認證消息的方式完成邊界認證機之間的互認證；互認證完成后由Master邊界認證機使用其他邊界認證機的CID加密團體密鑰，分發給同局域網的所有邊界認證機，用于后續邊界認證機之間的通信加密.

同一局域網的邊界認證機在終端認證成功、重認證失敗、離線等情況時，通過團體密鑰加密終端認證成功、重認證失敗或離線的消息發送到其他邊界認證機，便于其他邊界認證機對同一終端作避免重復認證處理.

4.2 ASN架構協議業務運行

ASN架構運行準備工作完成后，通過AAP協議、BIP協議和OIP協議實現MCL下發、終端認證和準入、終端認證信息上報更新、安全策略制定下發、第三方平臺安全策略執行交互、安全態勢信息發送等安全業務，主要業務流程如圖4所示:

圖4 主動網絡安全架構協議運行

終端至邊界認證機的業務交互依靠AAP協議支撐；邊界認證機至管理控制服務器的業務交互通過BIP實現；管理控制服務器至第三方平臺的業務交互使用OIP協議.

邊界認證機注冊認證成功后，管理控制服務器下發MCL給邊界認證機.邊界認證機捕獲終端MAC地址后，判斷MCL中MAC是否存在，存在則拒絕認證，不存在則向管理控制服務器請求MAC對應的認證信息.

若管理控制服務器無MAC對應的認證信息，則返回相關信息，邊界認證機拒絕認證；若管理控制服務器返回MAC對應的CID信息，但無該MAC已經在其他邊界認證機認證成功的消息，邊界認證機對終端進行認證，具體認證流程如圖5所示：

圖5 AAP協議運行

邊界認證機在捕獲終端MAC地址后，使用管理控制服務器返回的MAC對應的CID，通過SM2算法加密隨機數，向終端發起認證挑戰；終端使用私鑰解密挑戰報文，將解密后數據作為挑戰響應報文發送回邊界認證機，邊界認證機依據返回的信息進行認證和準入判斷；認證成功則打開端口，否則保持端口阻塞.

終端認證成功后，邊界認證機將終端狀態信息發送至管理控制服務器.

管理控制服務器的MCL、終端認證信息、終端狀態信息發生變化時，將實時更新至邊界認證機，具體過程如圖6所示：

圖6 BIP協議運行-終端信息更新

邊界認證機根據最新信息進行以下處理：MCL中新增MAC若是認證通過狀態，則強制該終端離線；終端認證信息發生變化后重新認證終端；終端由認證成功狀態變成其他狀態，清除本地終端認證相關信息.

終端認證成功，與上線終端相關的安全策略的下發執行依托于BIP協議實現，第三方平臺的安全策略和態勢感知數據的發送依托于OIP協議實現.BIP協議和OIP協議在MCP建立的加密通道中進行數據交互，確保數據安全，協議運行過程如圖7所示.

圖7 BIP和OIP協議運行

終端認證成功后，管理控制服務器依據終端CID下發預先制定的精細化的終端安全管控策略至邊界認證機，若存在需要下發至終端的安全策略，則邊界認證機轉發至終端.

管理控制服務器在本地策略發生變化或者收到第三方平臺發送的安全策略后，根據最新策略變化情況重新調整策略，并下發至對應的邊界認證機，并將第三方平臺安全策略接收和執行情況反饋至第三方平臺；若存在需要下發至終端的安全策略，則邊界認證機轉發至終端.

在第三方策略生效時間已到但還未收到第三方平臺的安全策略撤銷消息時，或者先收到第三方平臺的安全策略撤銷信息時，管理控制服務器撤銷第三方平臺到時的安全策略并通知邊界認證機撤銷策略，邊界認證機同步撤銷相關策略.

管理控制服務器將態勢感知所需要的各種信息發送至第三方平臺(態勢感知平臺)，為態勢感知提供數據支撐.

5 總 結

主動網絡安全架構通過5個重要協議協同配合，支撐了架構整體運行，協議充分融合使用了國密技術，確保了架構運行的安全性.5大協議各司其職又相互配合，全面實現了基于唯一物理標識(CID)的認證準入，終端、邊界認證機等網絡資產的集中管理，安全策略的集中管控、全網安全能力的統一集成、安全防護的主動協同.