楊 帆，楊玉發(fā)，李春林

（中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 60045）

0 引言

隨著終端安全技術(shù)的逐漸完善，網(wǎng)絡(luò)安全的問(wèn)題日益突出?？尚啪W(wǎng)絡(luò)控制技術(shù)是業(yè)內(nèi)的研究重點(diǎn)。可信網(wǎng)絡(luò)期望網(wǎng)絡(luò)像人類社會(huì)一樣形成類似人與人之間的信任關(guān)系，并通過(guò)信任關(guān)系的度量和評(píng)估來(lái)決定是否發(fā)生直接的網(wǎng)絡(luò)交互。這種關(guān)系的建立需要在網(wǎng)絡(luò)中建立信任體系，不僅可以實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)的身份認(rèn)證和授權(quán)監(jiān)控，而且可以動(dòng)態(tài)驗(yàn)證用戶或設(shè)備的信任屬性。可信網(wǎng)絡(luò)控制技術(shù)從技術(shù)層面上將可信計(jì)算機(jī)制延伸到網(wǎng)絡(luò)，盡可能在網(wǎng)絡(luò)入口處阻止非法和不可信計(jì)算終端接入，以保護(hù)整個(gè)網(wǎng)絡(luò)環(huán)境的安全[1]。目前，網(wǎng)絡(luò)接入控制技術(shù)包括可信計(jì)算組織的TNC、微軟的NAP 以及思科的NAC 等。

1 當(dāng)前可信接入的局限性

當(dāng)前的可信網(wǎng)絡(luò)連接技術(shù)（Trusted Network Connect，TNC）的基礎(chǔ)體系主要基于IEEE 802.1x協(xié)議，實(shí)現(xiàn)與網(wǎng)絡(luò)訪問(wèn)請(qǐng)求者之間的數(shù)據(jù)交互和對(duì)網(wǎng)絡(luò)端口的控制。802.1x 協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，主要解決以太網(wǎng)內(nèi)認(rèn)證和安全方面的問(wèn)題。802.1x 定義了驗(yàn)證機(jī)制和架構(gòu)，但缺乏更詳細(xì)的接入驗(yàn)證方法。802.1x 協(xié)議中的認(rèn)證服務(wù)由AAA（認(rèn)證、授權(quán)、計(jì)費(fèi)）服務(wù)器來(lái)實(shí)現(xiàn)。Diameter 協(xié)議[2]是由IETF 的AAA 工作組制定的下一代AAA 協(xié)議標(biāo)準(zhǔn)和體制，是對(duì)Radius 協(xié)的改進(jìn)，目前已廣泛應(yīng)用于因特網(wǎng)和電信運(yùn)營(yíng)商網(wǎng)絡(luò)。而現(xiàn)有的可信接入?yún)f(xié)議及應(yīng)用多基于AAA 協(xié)議族中的上一代Radius 協(xié)議。

通過(guò)對(duì)比表1 中的Radius 和Diameter 協(xié)議在網(wǎng)絡(luò)安全和網(wǎng)絡(luò)擴(kuò)展等方面的特點(diǎn)可以看出，Diameter協(xié)議架構(gòu)更適應(yīng)于大型網(wǎng)絡(luò)和廣域網(wǎng)的AAA應(yīng)用。

表1 DIAMETER 與RADIUS 對(duì)比

因?yàn)镽adius 架構(gòu)采用Client/Server 架構(gòu)的訪問(wèn)控制和認(rèn)證協(xié)議，與TNC 的訪問(wèn)請(qǐng)求者[3]（Network Access Requestor，NAR）、訪問(wèn)控制者（Network Access Controller，NAC） 和策略管理器（Policy Manager，PM）完全符合，因此在局域網(wǎng)使用Radius 協(xié)議架構(gòu)作為可信接入?yún)f(xié)議的比較廣泛，且應(yīng)用部署簡(jiǎn)單、實(shí)用性良好。但是，隨著網(wǎng)絡(luò)環(huán)境越來(lái)越復(fù)雜，網(wǎng)絡(luò)終端的數(shù)量擴(kuò)大，網(wǎng)絡(luò)跨網(wǎng)跨域的應(yīng)用越來(lái)越廣泛，基于局域網(wǎng)內(nèi)協(xié)議架構(gòu)的可信接入認(rèn)證在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)上的深層次缺陷，使得可信接入的應(yīng)用和部署受到限制。

借助Diameter 協(xié)議的廣域網(wǎng)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，將可信網(wǎng)絡(luò)接入認(rèn)證擴(kuò)展到廣域網(wǎng)成為可能，通過(guò)繼承Diameter 架構(gòu)，通過(guò)在遠(yuǎn)程可信網(wǎng)絡(luò)接入中引入代理設(shè)備（中繼代理、委托代理）、重定向設(shè)備、不同架構(gòu)AAA 協(xié)議之間的翻譯代理、錯(cuò)誤處理機(jī)制和完善的IPSec（TLS 可選）網(wǎng)絡(luò)安全傳輸機(jī)制，并通過(guò)可信網(wǎng)絡(luò)節(jié)點(diǎn)間的可信互聯(lián)協(xié)議，可實(shí)現(xiàn)廣域網(wǎng)的可信接入及多節(jié)點(diǎn)、多層級(jí)、分布式的可信認(rèn)證服務(wù)，為用戶規(guī)?；膹V域網(wǎng)和城域網(wǎng)建立統(tǒng)一的可信接入認(rèn)證服務(wù)提供了可能。

2 廣域網(wǎng)可信網(wǎng)絡(luò)接入的體系架構(gòu)設(shè)計(jì)

為了在廣域網(wǎng)可信網(wǎng)絡(luò)中建立可靠的信任傳遞關(guān)系，參與可信網(wǎng)絡(luò)接入認(rèn)證、鑒權(quán)和路由的相關(guān)網(wǎng)元（含中繼代理、委托代理、以及重定向設(shè)備）都可按照?qǐng)D1 的安全可信雙體系進(jìn)行設(shè)計(jì)，為可信網(wǎng)絡(luò)系統(tǒng)及基礎(chǔ)設(shè)施實(shí)施保護(hù)和支撐。

圖1 可信網(wǎng)絡(luò)設(shè)備自身的安全可信雙體系架構(gòu)設(shè)計(jì)

如圖2 所示，廣域網(wǎng)可信網(wǎng)絡(luò)接入以三元對(duì)等的實(shí)體鑒別可信連接構(gòu)架模型為藍(lán)本，將可信網(wǎng)絡(luò)控制設(shè)備等網(wǎng)絡(luò)設(shè)備作為可信對(duì)等三元中的訪問(wèn)控制者，通過(guò)可信計(jì)算和可信接入?yún)f(xié)議，對(duì)訪問(wèn)請(qǐng)求者、訪問(wèn)控制者自身進(jìn)行可信度量和身份認(rèn)證，并采用基于訪問(wèn)請(qǐng)求者的可信度量基線的Vlan 網(wǎng)絡(luò)隔離機(jī)制，在保障訪問(wèn)請(qǐng)求者接入可信網(wǎng)絡(luò)的同時(shí)，確保自身的可信，以及與訪問(wèn)控制者（可信網(wǎng)絡(luò)節(jié)點(diǎn)）可信連接的鑒別和度量能力。

圖2 廣域網(wǎng)可信網(wǎng)絡(luò)接入的總體流程

基于可信接入?yún)f(xié)議，通過(guò)網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，交互雙方搜集自身的完整性信息，將其發(fā)往可信第三方；可信第三方依據(jù)請(qǐng)求網(wǎng)絡(luò)自己制定的安全策略，評(píng)估這些信息的正確性與完整性，并根據(jù)評(píng)估結(jié)果決定是否允許請(qǐng)求者與網(wǎng)絡(luò)連接，從而確保平臺(tái)與網(wǎng)絡(luò)之間的可信連接。同時(shí)，通過(guò)策略和Vlan 技術(shù)將經(jīng)過(guò)評(píng)估的不可信終端隔離在可信網(wǎng)絡(luò)之外，并在可控范圍內(nèi)建立隔離網(wǎng)絡(luò)，支撐終端在線補(bǔ)救和安全升級(jí)。

通過(guò)遠(yuǎn)程可信接入?yún)f(xié)議技術(shù)在廣域網(wǎng)中實(shí)現(xiàn)可信互聯(lián)/可信接入的協(xié)議解析、基于可信第三方證書(shū)的度量和鑒別、可信連接策略的執(zhí)行、不可信終端網(wǎng)絡(luò)隔離等機(jī)制和措施，使三元架構(gòu)中的訪問(wèn)控制者（可信網(wǎng)絡(luò)控制設(shè)備）具備完整的可信能力，使得可信網(wǎng)絡(luò)中的三元即訪問(wèn)請(qǐng)求者（可信終端）、訪問(wèn)控制者（可信網(wǎng)絡(luò)控制設(shè)備）和策略管理器都具備可信的身份鑒別、平臺(tái)鑒別以及可信度量等能力。

3 遠(yuǎn)程可信接入?yún)f(xié)議設(shè)計(jì)

EAP 數(shù)據(jù)包封裝在EAPOL 協(xié)議分組中[4]的方式，遵循802.1x 協(xié)議標(biāo)準(zhǔn)規(guī)范。EAP 數(shù)據(jù)包作為Diameter 協(xié)議分組的TLV 屬性封裝在Diameter 分組中的方式，遵循RFC 6733和RFC 4072協(xié)議標(biāo)準(zhǔn)規(guī)范。

3.1 終端接入控制協(xié)議

局域網(wǎng)可信接入?yún)f(xié)議使用基于802.1x 接入控制協(xié)議EAPoL，擴(kuò)充了認(rèn)證挑戰(zhàn)幀，并細(xì)化了可信接入數(shù)據(jù)的TLV 數(shù)據(jù)屬性及格式，通過(guò)數(shù)據(jù)分組劃片解決可信協(xié)議分組攜帶較大的可信認(rèn)證數(shù)據(jù)超出1 518 Byte 的限制。可信接入?yún)f(xié)議幀及分組格式，如圖3 所示。

圖3 可信接入?yún)f(xié)議幀及分組格式

局域網(wǎng)可信接入?yún)f(xié)議分組類型包括發(fā)起幀、應(yīng)答幀、退出幀、信息幀以及挑戰(zhàn)幀等，如表2 所示。

表2 可信接入?yún)f(xié)議數(shù)據(jù)報(bào)文分組類型表

認(rèn)證信息幀中包含了具體的協(xié)議數(shù)據(jù)內(nèi)容，包括認(rèn)證請(qǐng)求及具體內(nèi)容、認(rèn)證鑒別及結(jié)果、認(rèn)證成功或失敗以及保活請(qǐng)求等。具體可信接入業(yè)務(wù)數(shù)據(jù)為T(mén)LV 格式，由于數(shù)據(jù)的格式較多，數(shù)據(jù)長(zhǎng)度較長(zhǎng)，在設(shè)計(jì)中需考慮數(shù)據(jù)分組的分片傳輸。

3.2 遠(yuǎn)程可信認(rèn)證協(xié)議

可信網(wǎng)絡(luò)控制設(shè)備到可信接入服務(wù)器之間，認(rèn)證流程、傳輸機(jī)制及報(bào)文格式也可采用和兼容Diameter 協(xié)議標(biāo)準(zhǔn)的基礎(chǔ)架構(gòu)，相關(guān)協(xié)議基礎(chǔ)內(nèi)容及格式遵照RFC 6733 和RFC 4072 等標(biāo)準(zhǔn)，自定義的可信互聯(lián)協(xié)議部分參照5.2.7 節(jié)說(shuō)明。遠(yuǎn)程遠(yuǎn)程可信認(rèn)證協(xié)議消息格式如圖4 所示。

表3 可信度量值相關(guān)參數(shù)及特征值

圖4 Diameter 消息格式

AVP 屬性值對(duì)（Attribute-Value-Pairs）。在Diameter 基礎(chǔ)協(xié)議中，路由信息、對(duì)等端節(jié)點(diǎn)的資源利用情況以及用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)、路由、安全消息等消息內(nèi)容信息都封裝在AVPs 中進(jìn)行傳輸[5]。廣域網(wǎng)可信協(xié)議中也是在AVP 封裝中集成了可信度量值、設(shè)備證書(shū)以及隨機(jī)數(shù)等相關(guān)可信協(xié)議相關(guān)屬性值。

可信參數(shù)和命令的AVP Code 序號(hào)需排在Radius 協(xié)議的屬性和支持Diameter 標(biāo)準(zhǔn)命令之后。其中，數(shù)據(jù)內(nèi)容仍已TVL 格式進(jìn)行封裝（參看表1的列表值），也為實(shí)現(xiàn)對(duì)局域網(wǎng)接入?yún)f(xié)議的TLV 翻譯及轉(zhuǎn)發(fā)提供了便利。

3.3 遠(yuǎn)程可信認(rèn)證流程

遠(yuǎn)程可信認(rèn)證流程，如圖5 所示。

步驟1：訪問(wèn)請(qǐng)求者A（待接入可信網(wǎng)絡(luò)的設(shè)備）作為認(rèn)證發(fā)起者，發(fā)送接入認(rèn)證發(fā)起可信接入Start報(bào)文，開(kāi)始認(rèn)證；

步驟2：訪問(wèn)控制者B 向訪問(wèn)請(qǐng)求者A 發(fā)送請(qǐng)求認(rèn)證報(bào)文，攜帶產(chǎn)生的隨機(jī)數(shù)。

步驟3：訪問(wèn)請(qǐng)求者A 收到訪問(wèn)控制者B 認(rèn)證啟動(dòng)報(bào)文，發(fā)送認(rèn)證請(qǐng)求報(bào)文，包括終端可信度量值、標(biāo)識(shí)、特征值以及身份信息；

圖5 可信認(rèn)證建立流程

步驟4：訪問(wèn)控制者B 向策略管理器C 發(fā)送認(rèn)證鑒別請(qǐng)求報(bào)文（可通過(guò)中繼設(shè)備路由和轉(zhuǎn)發(fā)進(jìn)行廣域網(wǎng)傳送），內(nèi)含來(lái)自訪問(wèn)請(qǐng)求者A 的認(rèn)證請(qǐng)求報(bào)文中的所有可信認(rèn)證信息；

步驟5：策略管理器C 獲取認(rèn)證鑒別請(qǐng)求報(bào)文，對(duì)A 的可信認(rèn)證信息有效性進(jìn)行有效判斷，向訪問(wèn)控制者B 發(fā)送認(rèn)證鑒別結(jié)果報(bào)文；

步驟6A-6B：訪問(wèn)控制者B 解析來(lái)自策略管理器C 的認(rèn)證鑒別結(jié)果，失敗則向訪問(wèn)請(qǐng)求者A 發(fā)送認(rèn)證失敗報(bào)文，中斷流程；正確則向訪問(wèn)請(qǐng)求者A發(fā)認(rèn)證結(jié)果報(bào)文；

步驟7：訪問(wèn)請(qǐng)求者A 解析來(lái)自策略管理器C的認(rèn)證鑒別結(jié)果，失敗則向訪問(wèn)控制者B 發(fā)送認(rèn)證失敗報(bào)文，中斷流程，回到認(rèn)證初始狀態(tài)；正確則向訪問(wèn)控制者B 發(fā)送認(rèn)證成功報(bào)文，同時(shí)進(jìn)入認(rèn)證成功狀態(tài)；認(rèn)證中間方收到認(rèn)證成功報(bào)文，則進(jìn)入認(rèn)證成功狀態(tài)；

步驟8：訪問(wèn)請(qǐng)求者A 成功入網(wǎng)，并發(fā)送認(rèn)證成功消息給策略管理器C。

4 全網(wǎng)分布式可信接入?yún)f(xié)同應(yīng)用

為了增加可信網(wǎng)絡(luò)的可靠性冗余，系統(tǒng)支持本地和遠(yuǎn)程兩種可信接入控制模式。本地模式可在本地服務(wù)域部署可信接入服務(wù)器作為本地策略決策點(diǎn)，輔助廣域網(wǎng)的可信接入服務(wù)器進(jìn)行可信接入的策略決策。遠(yuǎn)程模式下，可在其他服務(wù)域內(nèi)及管理域內(nèi)部署多個(gè)可信接入服務(wù)器，實(shí)現(xiàn)遠(yuǎn)程可信接入的策略決策。網(wǎng)絡(luò)之間通過(guò)可信中繼代理、可信委托代理以及可信重定向設(shè)備進(jìn)行中繼、路由和路由重定向。本地和遠(yuǎn)程的可信接入控制模式的應(yīng)用，如圖6 所示。

應(yīng)用中可將可信交換機(jī)作為可信網(wǎng)絡(luò)控制者?？尚沤粨Q機(jī)節(jié)點(diǎn)之間可基于可信接入?yún)f(xié)議完成可信節(jié)點(diǎn)互聯(lián)，使得整個(gè)網(wǎng)絡(luò)實(shí)現(xiàn)可信網(wǎng)絡(luò)的規(guī)?；渴饝?yīng)用。同時(shí)，可信接入認(rèn)證網(wǎng)絡(luò)也按照Diameter AAA 網(wǎng)絡(luò)的部署設(shè)置了服務(wù)域和管理域，可信服務(wù)域是實(shí)施可信終端接入控制的局域網(wǎng)區(qū)域。管理域是可以一個(gè)或多個(gè)服務(wù)域內(nèi)的可信終端提供可信接入認(rèn)證服務(wù)的區(qū)域，為可信管理域。

圖6 局域網(wǎng)和廣域網(wǎng)中的可信接入認(rèn)證的應(yīng)用部署

5 結(jié)語(yǔ)

通過(guò)基于Diameter 的遠(yuǎn)程可信接入網(wǎng)絡(luò)架構(gòu)技術(shù)、協(xié)議設(shè)計(jì)以及可信接入認(rèn)證流程，提出了一個(gè)新的遠(yuǎn)程可信接入認(rèn)證的方法，可以實(shí)現(xiàn)可信接入在廣域網(wǎng)上的應(yīng)用部署，解決當(dāng)前局域網(wǎng)可信接入的網(wǎng)絡(luò)的架構(gòu)缺陷，提供遠(yuǎn)程可信認(rèn)證的部署應(yīng)用，解決局域網(wǎng)多點(diǎn)部署難題，實(shí)現(xiàn)廣域網(wǎng)接入鑒權(quán)統(tǒng)一化管理，更加符合廣域網(wǎng)認(rèn)證要求。