張紅紅 李昌明

【摘要】隨著網(wǎng)絡(luò)的不斷發(fā)展，信息安全問題愈加突顯。為了使網(wǎng)絡(luò)可信可控，本文在可信網(wǎng)絡(luò)的基礎(chǔ)上，提出了基于信任鏈的可控網(wǎng)絡(luò)，并研究了其關(guān)鍵技術(shù)。主要包括信任鏈及其可信度量，基于信任鏈的可控網(wǎng)絡(luò)架構(gòu)、可控網(wǎng)絡(luò)連接和訪問控制等。該研究為網(wǎng)絡(luò)信息系統(tǒng)控制機(jī)制的設(shè)計提供了一定的理論基礎(chǔ)。

【關(guān)鍵詞】可控網(wǎng)絡(luò);信任鏈;可信網(wǎng)絡(luò)

1.引言

隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和網(wǎng)絡(luò)應(yīng)用的日益廣泛，因特網(wǎng)在人們的生活、學(xué)習(xí)和工作中的地位愈發(fā)重要。與此同時，信息的安全問題成為大家關(guān)注的焦點(diǎn)，可以說安全問題已經(jīng)成為制約網(wǎng)絡(luò)應(yīng)用與發(fā)展的一個瓶頸。

國內(nèi)著名的信息安全專家沈昌祥院士早在上世紀(jì)九十年代初就提出要從終端入手解決信息安全問題，基于這一思想，近年來興起了“可信計算”。隨著可信計算技術(shù)的研究發(fā)展，應(yīng)用于網(wǎng)絡(luò)的“可信網(wǎng)絡(luò)”應(yīng)運(yùn)而生。從訪問源端就開始進(jìn)行安全分析，盡可能地將不信任的訪問操作控制在源端。本文提出了基于信任鏈的可控網(wǎng)絡(luò)，并對其關(guān)鍵技術(shù)展開了相應(yīng)的研究。

2.相關(guān)研究

2.1 研究現(xiàn)狀

目前，大部分的網(wǎng)絡(luò)安全系統(tǒng)都是由老三樣（防火墻、入侵檢測、防病毒）構(gòu)成，無法從根本上解決安全問題，只有從終端安全入手才能有效地解決整個網(wǎng)絡(luò)系統(tǒng)的安全問題。目前具有代表性的技術(shù)包括以下三種：一是可信計算組織（TCG：Trusted Computing Group）的可信網(wǎng)絡(luò)連接技術(shù)TNC;二是微軟的網(wǎng)絡(luò)接入保護(hù)技術(shù)（NAP：Network Access Protection）;三是思科的網(wǎng)絡(luò)接入控制技術(shù)（NAC：Network Admission Control）。下面對上述三種技術(shù)作以簡介。

TCG制定的可信網(wǎng)絡(luò)連接TNC（Trusted Network Connection）規(guī)范采用標(biāo)準(zhǔn)的接口定義了一個公開的標(biāo)準(zhǔn)，把可信硬件集成到訪問控制框架中。TNC規(guī)范立足終端，要求鑒別身份，檢查終端的當(dāng)前完整性是否與組織定義的安全策略一致。其過程是：當(dāng)用戶（Access Requestor：AR）試圖訪問被保護(hù)網(wǎng)絡(luò)，該網(wǎng)絡(luò)被策略執(zhí)行點(diǎn)（Policy Enforcement Point：PEP）保護(hù)，它將根據(jù)策略決策點(diǎn)（Policy Decision Point：PDP）來決定用戶能否訪問被保護(hù)網(wǎng)絡(luò)。網(wǎng)絡(luò)接入保護(hù)NAP技術(shù)是微軟為下一代操作系統(tǒng)設(shè)計的新一套操作系統(tǒng)組件，提供了一套完整性校驗的方法來判斷接入網(wǎng)絡(luò)的終端的安全狀態(tài)，對不符合安全策略需求的終端限制其網(wǎng)絡(luò)訪問權(quán)限。而且，NAP能提供自動補(bǔ)救功能。網(wǎng)絡(luò)接入控制NAC技術(shù)是Cisco公司提出的，用于確保終端設(shè)備在接入網(wǎng)絡(luò)前完全遵循本地組織定義的安全策略，保證不符合安全策略的終端無法接入該網(wǎng)絡(luò)，并設(shè)置可補(bǔ)救的隔離區(qū)供終端修正其安全策略，或者限制其可訪問的資源。

2.2 相關(guān)技術(shù)分析

從以上論述可以看出，TNC、NAP和NAC三種技術(shù)的目標(biāo)和體系結(jié)構(gòu)具有一定的相似性。首先，其目標(biāo)都是保證終端的安全接入，即當(dāng)終端接入本地網(wǎng)絡(luò)時，通過特殊的協(xié)議對其進(jìn)行校驗，除了驗證用戶名、密碼和用戶證書等用戶身份信息外，還驗證終端是否符合管理員制定好的安全策略;其次，三種技術(shù)的體系結(jié)構(gòu)也比較相似，都分為客戶端、安全策略以及接入控制三個主要部分：TNC分為AR、PEP和PDP三部分;NAP分為客戶端、服務(wù)器端和接入組件三部分;NAC分為網(wǎng)絡(luò)訪問終端、網(wǎng)絡(luò)訪問設(shè)備和策略決策點(diǎn)三部分。

但是，TNC與NAP、NAC是有本質(zhì)區(qū)別的。首先，NAP和NAC是廠商的專有技術(shù)，而TNC是開放標(biāo)準(zhǔn)，在任何廠商產(chǎn)品之間可以調(diào)用或提供操作接口;其次，NAP和NAC都需要依靠終端代理提供的信息，如果終端不可信，則NAP和NAC將不可信;再次，NAP和NAC的終端收集本地計算機(jī)的軟件及配置信息傳送給服務(wù)器進(jìn)行驗證，這種做法會暴露終端平臺上的各種敏感信息。TNC的研究取得了重要的成果，但仍處于研究與實踐的發(fā)展階段，還存在著一些問題。本文基于可信網(wǎng)絡(luò)連接的基礎(chǔ)，對基于信任鏈的可控網(wǎng)絡(luò)進(jìn)行了關(guān)鍵技術(shù)研究。

3.信任鏈可信度量研究

3.1 信任鏈

基于信任鏈的可控網(wǎng)絡(luò)的基本思想是：在網(wǎng)絡(luò)系統(tǒng)中首先建立一個信任根，然后建立一條信任鏈，上級認(rèn)證信任下級，一級傳遞一級，直至把信任關(guān)系擴(kuò)大至整個網(wǎng)絡(luò)系統(tǒng)，使網(wǎng)絡(luò)達(dá)到一個可控的狀態(tài)。所謂信任根，是整個網(wǎng)絡(luò)系統(tǒng)可信可控的基點(diǎn)，信任根本身的安全性由物理安全和管理安全來保證。信任鏈就是在信任根的基礎(chǔ)上進(jìn)行信任傳遞：首先信任根認(rèn)證下一級的可信度，如果可信，則信任傳遞到下一級;同樣，第二級若確認(rèn)第三級可信，則信任擴(kuò)大至第三級，該過程循環(huán)往復(fù)，信任范圍不斷擴(kuò)大。

對于終端平臺，信任鏈的傳遞過程要從信任根開始，系統(tǒng)控制權(quán)由可信任的BIOS傳遞到可信任的boot、再到可信任的OS loader，接著到可信任的OS，最后傳遞到可信任的應(yīng)用。因此，需要建立信任鏈傳遞的“層次理論模型”，確保信任逐層傳遞。在此過程中，信任鏈的傳遞從信任根到操作系統(tǒng)具有單一性和順序性，只要保證信任根的物理安全、信任鏈傳遞過程中的時空隔離性，便可建立信任鏈的“層次理論模型”：在最初的硬件平臺h0和最終的運(yùn)行實體hn中劃分出若干層次：h1、h2、h3…h(huán)n-1，使得hn能夠順利運(yùn)行。層與層之間僅有單方向依賴關(guān)系，高層hi依賴低層hi-1：如果hi-1層是可信的，并且對hi層的可信度進(jìn)行檢查確認(rèn)后再傳遞控制權(quán)，則hi層也是可信的，即信任可以逐層傳遞，進(jìn)而形成一個信任鏈。

3.2 可信度量策略

為了進(jìn)行信任鏈的可信度量，首先設(shè)定幾個概念。一是實體，實體是一個合法用戶或一個計算機(jī)資源：如內(nèi)存、物理設(shè)備、數(shù)據(jù)文件、進(jìn)程等。二是主體，主體是一個主動實體，可以對其他實體施加動作，可以是用戶、進(jìn)程等。三是客體，客體是一個被動實體，可以接受其他實體的動作。主體和客體不是固定的，而是在不同時間根據(jù)其功能決定的。

可信度量策略把客體的可執(zhí)行權(quán)限以及相關(guān)的輸入數(shù)據(jù)作為研究對象，提取客體的摘要作為擴(kuò)展安全屬性，對信任鏈提供更完善的安全策略。在可信度量策略中，從訪問控制角度，針對惡意代碼濫用權(quán)限的本質(zhì)，對執(zhí)行權(quán)限進(jìn)行嚴(yán)格的描述。首先，客體的執(zhí)行權(quán)限必須由可信主體授權(quán)，也就是說只有在可信度量集合S中的客體才能被允許執(zhí)行。為了維護(hù)可信度量的一致性，對于集合S的維護(hù)也需由可信主體操作。比如在安裝新軟件時，要求軟件發(fā)布者對其發(fā)布的軟件的摘要進(jìn)行數(shù)字簽名，由可信主體驗證數(shù)據(jù)簽名后，才能把它加入到集合S中。另一方面，針對惡意代碼利用終端OS對執(zhí)行代碼不檢查一致性的缺陷，將代碼嵌入到執(zhí)行程序，進(jìn)行嚴(yán)格的可信度量之后，再允許客體執(zhí)行。

4.基于信任鏈的可控網(wǎng)絡(luò)連接

根據(jù)前面對于信任鏈的可信度量策略，構(gòu)建一個可控網(wǎng)絡(luò)，保證局域網(wǎng)應(yīng)用環(huán)境的安全。

4.1 可控網(wǎng)絡(luò)架構(gòu)

基于信任鏈的可控網(wǎng)絡(luò)架構(gòu)如圖1所示，由三種實體組成：AR、PE、PD。AR是Access Requestor，即接入請求者;PE是Policy Enforcer，即策略執(zhí)行者;PD是Policy Decider，即策略決策者。接入請求者，通常是個人計算機(jī)，掌上電腦，移動終端等。策略執(zhí)行者保護(hù)局域網(wǎng)安全的屏障，通常是防火墻、網(wǎng)關(guān)等。策略決策者是安全策略的決定，通常是允許、拒絕客體的訪問等操作，這些決定由策略執(zhí)行者來執(zhí)行。策略決策者是核心，根據(jù)實際需求制定具體策略，對整個網(wǎng)絡(luò)實現(xiàn)基于信任鏈的訪問控制，保證網(wǎng)絡(luò)的安全。

圖1 可控網(wǎng)絡(luò)架構(gòu)圖

4.2 可控網(wǎng)絡(luò)連接

在上述可控網(wǎng)絡(luò)架構(gòu)中，策略決策者可由TNC可信服務(wù)器構(gòu)成。TNC服務(wù)器在接收到AR終端的請求信息后，首先驗證終端的身份。TNC Server用自己的私有密鑰對接收的信息進(jìn)行可信驗證，終端的驗證采用基于可信芯片的方式來進(jìn)行。身份驗證通過后，要對其信息完整性進(jìn)行粗、細(xì)兩種粒度的判別。粗粒度定性，細(xì)粒度定量。假定所有主體在最初有一個初始可信度，在之后的訪問操作中，可信服務(wù)器對其可信度進(jìn)行相應(yīng)的增減變化?？尚哦仍礁?，其訪問權(quán)限越大，反之訪問權(quán)限越小。

4.3 可控網(wǎng)絡(luò)訪問控制

用戶通過身份驗證進(jìn)入網(wǎng)絡(luò)系統(tǒng)之后，可以對網(wǎng)絡(luò)進(jìn)行各種各樣的訪問和操作。這些訪問請求提交到服務(wù)器之后，由專門的訪問控制模塊檢查用戶相應(yīng)的權(quán)限，決定是否允許用戶進(jìn)行相應(yīng)的訪問。若訪問超出他的權(quán)限范圍，則提示出錯信息，否則允許其訪問。為了方便用戶權(quán)限的管理，可以對用戶進(jìn)行分組，每組分配相應(yīng)的角色權(quán)限。根據(jù)用戶所屬的角色，來確定用戶最終的權(quán)限范圍。用戶的違規(guī)訪問將使其可信度降低，可信度的調(diào)節(jié)遵循日?！跋缕氯菀咨掀码y”的原則，調(diào)節(jié)時可信度下降快上升慢。

5.總結(jié)

本文基于可信網(wǎng)絡(luò)連接的基礎(chǔ)，提出了基于信任鏈的可控網(wǎng)絡(luò)系統(tǒng)，著重論述了信任鏈及其可信度量，基于信任鏈的可控網(wǎng)絡(luò)架構(gòu)、可控網(wǎng)絡(luò)連接及可控網(wǎng)絡(luò)的訪問控制等關(guān)鍵技術(shù)。但是，相關(guān)的理論研究不夠深入，需要進(jìn)一步深入細(xì)致地研究，使可信可控網(wǎng)絡(luò)更加完善，為信息安全的研究貢獻(xiàn)力量。

參考文獻(xiàn)

[1]馬卓.可證明安全的可信網(wǎng)絡(luò)連接協(xié)議模型[J].計算機(jī)學(xué)報2011（9）：1669-1678.

[2]段新東，馬建峰.可證明安全的可信網(wǎng)絡(luò)存儲協(xié)議[J].通信學(xué)報，2011（5）：169-174.

[3]襲正虎，卓董.網(wǎng)絡(luò)態(tài)勢感知研究[J].軟件學(xué)報，2010（7）：1605-1619.

2014年度河南省教育廳科學(xué)技術(shù)研究重點(diǎn)項目（編號：14B520015）可信可控網(wǎng)絡(luò)關(guān)鍵技術(shù)研究。

作者簡介：

張紅紅（1979-），河南濟(jì)源人，碩士，研究方向：計算機(jī)網(wǎng)絡(luò)及安全。

李昌明（1978-），貴州萬山人，大學(xué)本科，志高空調(diào)工程師。