2014年1月 计算机工程与设计 Jan.2014 第35卷第1期 COMPUTER ENGINEERING AND DESIGN Vo1.35 No.1 可信网络跨域接人技术研究 计龙,鄢楚平,张先国,张钧媛,张立茹 (华北计算技术研究所,北京100083) 摘要:介绍了可信网络的发展历程和体系架构,针对现有高可信网络对跨多管理域接入网络的迫切需求,在可信网络架 构基础上,设计了跨域远程双向认证与接入控制协议流程,并设计实现了跨域认证与授权管理系统,采用跨安全管理域的 统一身份认证方法,可有效地支持跨域授权管理,使不同安全管理域的网络可以安全高效地跨域接入,实现了可信网络跨 域环境下信息资源的高效共享。 关键词:可信网络;跨域接入技术;跨域认证协议;网络安全;信息安全 中图法分类号:TP393 文献标识号:A 文章编号:1000—7024(2014)01—0001—05 Trusted network cross—domain access technology research JI Long,YAN Chu—ping,ZHANG Xian-guo,ZHANG Jun-yuan,ZHANG Li—ru (North China Institute of Computing Technology,Beijing 100083,China) Abstract:The development course and architecture of trusted network are introduced.Aiming at the need of cross-muhiple-ma- nagement-domain access network of the existing high trusted network,based on the trusted network architecture,the cross-do— main remote bi—directional authentication and access control protocol process is designed,and the cross-domain authentication and authorization management system is implemented,which adopts the unified identity authentication method of cross—security- management-domain,to support the cross-domain authorization management effectively,and the networks of different security management domains can access cross-domain securely and efficiently,the efficient sharing of information resources in the trusted network cross-domain environment is realized. Key words:trusted network;cross—domain access technology;cross—domain authentication protocol;network security;informa— tion security 0引 言 1 TNC的发展与架构 随着移动互联网的迅猛发展,人们对信息交互和共享 1.1 TNC的发展 .的要求越来越高,跨越多管理域接人网络访问资源成为一 “可信计算组织”(trusted computing group,TCG)的 种迫切的需求,信息安全与网络可信的重要性和必要性也 前身为“可信计算平台联盟”(trusted computing platform 日益凸显。当前,跨越不同安全管理域接入网络访问资源, alliance,TCPA),重组为TCG后加强了对软件安全性的 从而实现信息资源的高效共享已经成为信息资源合理配置 关注,可信计算研究进入了发展的新高潮。2004年5月, 的一种普遍方式。在高可信网络环境下,为了实现可信跨 TCG成立了可信网络连接分组(trusted network connection 域接入控制,使可信网络在跨域互联环境下对信息资源进 sub group,TNC-SG),相继研究和制定了可信网络连接 行高效共享成为可能,需要解决安全域间的身份认证与授 (trusted network connection,TNC)的架构和相关规范标 权管理等问题。 准,加速了可信计算在网络访问控制和终端安全领域 制定 收稿日期:2013—06—18;修订日期:2013—08—19 基金项目:国家973重点基础研究发展计划基金项目(2010CB731401);国家自然科学基金项目(61071133、91024011);核高基重大专项 基金项目(2O1OZXO1O42—002—003—004) 作者简介:计龙(1988一),男,宁夏固原人,硕士研究生,研究方向为可信网络与移动计算技术;鄢楚平(1965一),男,湖北洪湖人,正 研究员,研究方向为通信与移动计算技术;张先国(1981一),男,安徽合肥人,高级工程师,研究方向为网络与信息安全;张钧嫒(1988一), 女(土家族),湖南张家界人,硕士,研究方向为无线网络安全;张立茹(1987一),女,河北保定人,硕士研究生,研究方向为可信网络与 信息安全。E-mail:jilong007@163.com 第35卷第1期 计龙,鄢楚平,张先国,等:可信网络跨域接入技术研究 .3. 突破跨域环境下远程双向认证技术,设计跨域远程双向认 证与接入控制协议,为构建高可信网络系统的信息完整和 流程可控机制奠定坚实的基础,保障终端平台接人可信与 可控,从而实现在跨域环境下终端平台的即时高效接人。 如图2所示,为跨域远程双向认证与接入控制示意图。 如图2所示,管理域A的访问请求者AR—A,申请跨 域接人管理域B,首先管理域A对AR—A进行身份认证与 完整性度量,之后管理域A与管理域B通过数字证书管理 中心相互进行远程双向证明与可信验证,确定可信性后, 管理域A与管理域B建立跨域可信链接,管理域B向 AR—A发送接入决策,并给予相应的访问资源权限。 下面详细介绍跨域远程双向认证与接人控制协议流程, 如图3所示。 图2跨域远程双向认证与接入控制 ,一…………两或 ………………………一、 一…一………一吾瑾 ………………………、 … ̄N一…oO…,O…、、 AR_*1(PEP) 网网网 CDM f IAR —BI l f\ /PEP] TNCS CDⅣ 管理中心 数字证书 访问请求 终端 份认证 终端完整 生验证 强入推荐 接入决簟 跨域]人 证 牵询 管理 可信性 远程 双 证明 与可信性 认证 回 跨域可f i链接 查询验证结果 AR 跨域访 问权限协 商 陵入决角 决策 障递 接入决策 接入推者 接入决焦 跨域. 尝入 i、 图3跨域远程双向认证与接入控制协议流程 (1)首先终端AR—A向管理域A的策略执行点PEP 信性验证。如果管理域A的可信性验证通过,则向管理域 发送访问请求与跨域申请。 A远程证明管理域B的可信性,同时向管理域B返回管理 (2)管理域A的网络访问授权者NAA对AR—A进行 域A已验证通过,管理域B直接与管理域A的跨域管理点 终端身份验证,确定其身份。如果验证失败,则拒绝AR— 之间建立可信链接;如果管理域A验证未通过,则向管理 A访问请求。 域B返回管理域A验证未通过,并将管理域A进行安 (3)身份验证通过,由管理域A调用完整性度量校验 全隔离。 者(integrity measurement verifier,IMV)根据完整性列 (5)管理域B的跨域管理点CDMP与管理域A的跨域 表,对AR—A进行终端完整性度量,验证AR—A完整性 管理点CDMP协商AR—A的访问资源权限,根据数字证 列表中各个组件的完整性,然后根据验证结果确定AR—A 书管理中心评定的安全等级,给予相应的访问资源权限, 的可信性。如果完整性数据未被篡改,则准许其接人;如 并由管理域B的NAA发出接入决策。 果其完整性数据被篡改,则拒绝其接人,并将AR—A进行 (6)AR—A通过接人推荐实现跨域接入管理域B,根 安全隔离。 据被授予的权限对管理域B的资源进行访问查询。 (4)管理域B为防止AR—A所属的管理域A被伪造, 通过以上流程实现高可信网络终端平台远程双向认证 需要验证其可信性,向数字证书管理中心查询验证管理域 与终端节点的跨域接入控制,不仅可验证终端节点宿主管 A是否可信,同时数字证书管理中心也对管理域B进行可 理域A与接入管理域B的可信性,而且通过完整性度量确 ・ 4・ 计算机工程与设计 2014正 认了终端节点的完整性,信任链传递确定其可信性,可满 足高可信网络对跨域的需求,从而实现跨域环境下的信 息共享。 环境下可信网络接人控制,实现互联环境下的信息资源的 高效共享。特别针对信息共享服务的安全保密、权限控制 和管理控制的需求,构建以数据为中心的用户资源授权管 理系统,实现跨安全域的统一身份认证,以支持跨域授权, 3跨域认证与授权管理系统的设计和实现 现代化高可信网络对不同管理域、不同层次及不同密 级之间的信息交互和共享提出了更高的要求,为支持跨域 全面提升信息系统的数据安全防护和安全共享能力,我们 提出了跨域认证和授权管理系统,由跨域认证管理子系统 和跨域授权管理子系统组成,如图4所示。 图4跨域认证与授权管理系统框架 3.1跨域认证管理子系统 跨域认证管理子系统,由身份认证服务模块、动态授 权管理模块和跨域行为追踪模块3部分组成。 身份认证服务模块:是集用户身份注册、用户身份认 3.2跨域授权管理子系统 该子系统主要实现用户身份管理、资源管理、数据访 问策略管理、用户授权管理、行为审计分析等功能。当系 统需要为其它域的用户进行授权时,由域间访问控制服务 证与单点登录处理于一体的服务框架。主要功能是对用户 身份的全生命周期管理,保证用户身份的真实性同时确保 用户一次登录,多次使用,最终实现用户对于系统资源的 访问控制。当用户在本域中完成注册后,本域的域间访问 获取其它域的该用户的全部身份信息,并保存到目录服 务器中。 用户身份管理完成用户身份信息的维护,定义用户的 主体安全属性,并定义用户的委托授权策略。用户可以分 为不同的组,对用户组定义主体安全属性,并对用户组进 行增、删、改、查等操作。 用户授权管理是生成权限角色,对用户和用户组赋予 不同的角色,并调用PMI基础设施的服务生成用户权限属 性证书。 控制服务将该用户的基本信息广播到其它域,其它域在目 录服务中建立该用户的基本信息。同样的,如果该用户被 注销,那么本域的域间访问控制服务通知其它域将该用户 的身份信息删除。 动态授权管理模块:分为动态授权、域间授权两大子 模块。主要功能是为资源承载等有关应用系统提供统一化 的授权管理服务,既保证同一安全域内的权限证书的发布 与管理,又能保障跨安全域的权限管理服务。特别是能根 据用户执行任务的变化,根据用户的资源访问权限也发生 变化的情况,提供用户身份到权限证书的动态授权映 射功能。 行为审计分析主要完成对用户操作日志的数据挖掘, 记录、分析和检查用户行为及系统状况,判断其是否符合 预定的安全策略。通过分析和检查发现系统存在的安全漏 洞和威胁,并对其造成的后果进行分析、评估和报告。 4安全性分析 跨域远程双向认证与接人控制协议设计中我们采用数 字证书管理中心作为可信第三方认证的方式有效避免了中 间人攻击的漏洞,使跨域身份认证过程更加安全可信。 跨域行为追踪模块:用于对所有用户的所有操作进行 详细的日志审计,并支持日志可信检验机制,保证日志的 可信,实现对用户的审计追踪功能。 第35卷第1期 计龙,鄢楚平,张先国,等:可信网络跨域接入技术研究 trustedcomputinggroup.org. .5. 跨域认证采用双向身份认证,既要保证网络的安全, 也要保证终端能接入到一个可信的网络中。在实施过程中 采用了CAP—TI'LS协议实现双向身份认证,在TLS隧道建 E43 TNC Web Site[-EB/OL]. [2012—11—2o1.httpsI {wWⅥ. trustedcomputinggroup.org/network/. 立阶段通过验证服务器提供的证书,证明了网络的可信性, 确保终端接入到一个可信的网络中。在随后的TLS隧道内 认证终端的身份并度量平台完整性,确保了终端的合法性。 TLS隧道的会话密钥是在TLS建立阶段由会话双方协商出 来的,只有会话双方可以获得,使用该密钥加密的消息不 可能被第三方获得,从而保证隧道内进行的身份验证和平 台完整性度量过程的安全性。基于隧道的保护,内层的身 份认证方法和平台度量在安全方面的考虑就较少了,以传 递认证过程中的数据交换为主,尽可能减少协议复杂性和 传输开销。 跨域认证与授权管理系统采用统一的身份认证方式, 有效解决了用户跨管理域后安全等级评定的难题,在管理 中心存储统一的身份标识,将数据同步给各个管理域后, 各管理域则根据统一身份标识与自己系统中的安全等级相 匹配,用户跨域接入后根据其安全等级访问相应的资源, 实现了高效地跨域接入,简化了系统管理,使得跨域身份 管理及数据同步的工作量和难度成倍降低。 5结束语 本文在TNC架构的基础上,根据高可信网络对信息交 互和共享更高的要求,设计了跨域远程双向认证与接入控 制协议流程,有效地实现了远程双向认证与跨域接人控制。 并在此基础上设计了跨域认证和授权管理系统,实现了跨 安全管理域的统一身份认证,可有效地支持跨域授权管理, 全面提升高可信网络信息系统的数据安全防护和安全共享 能力,实现可信网络跨域环境下信息资源的高效共享。在 下一步的工作中,我们将针对完整性度量机制基于静态完 整性、缺乏动态度量的现状,提出较为完整的系统度量模 型,深入研究动态度量技术。 参考文献: [1]ZHANG Huanguo,CHEN Lu,ZHANG Liqiang.Research on trusted network connection EJ].Chinese Journal of OCm— puter,2010,33(4):706—717(in Chinese). [张焕国,陈 璐,张立强.可信网络连接研究EJ].计算机学报,2010,33 (4):706—717.] E21 SHEN Changxiang,ZHANG Huanguo,WANG Huaimin,et a1.Research and development of trusted computing[J].Sc nee China:Science Information,2010,40(2):139—166(in Chinese).[沈昌祥,张焕国,王怀民,等.可信计算的研究 与发展[J].中国科学:信息科学,2010,40(2): 139—166.]  ̄31 TCG Web Site[EB/OL]. E2o12—10—25_].https:?fwww. [5]Yu Aimin,FENG Dengguo,WANG Dan.Property-based remote attestation model LJ].Journal on Communications, 2010,31(8):1-8(in Chinese).[于爱民,冯登国,汪丹. 基于属性的远程证明模型[J].通信学报,2010,31(8): 1—8.] [6]TCG trusted network connect TNC architecture for interopera— bility specification version 1.5 FEB/OL]. [2012—05—04]. http://www.trustedcomputinggroup.org/resources/tcg— architecture—overviewversion一15. [7]TCG trusted network connect federated TNC specification ver— siGn 1.0 revision 26[EB/OL1.[2009—05—18].https:// 、=lnvw.trustedcomputinggroup.org. [8]LUO Anan,LIN Chuang,WANG Yuanzhuo,et a1.Security quantifying method and enhanced mechanisms of TNC[J]. Chinese Journal of Computers,2009,32(5):887—898(in Chinese).[罗安安,林闯,王元卓,等.可信网络连接的安 全量化分析与协议改进[J].计算机学报,2009,32(5): 887—898.] [9]Trust@FHH.What is TNC@FHH?[EB/OL]. ̄2008—11— 3o].http://trust.inform.fh-hannover.de/joomla/index.php/ about. [1O]MA Zhuo,MA Jianfeng,LI Xinghua,et a1.Provable secu- rity model for trusted network connect protocol[J].Chinese Journal of Computer,2011,34(9):1669—1678(in Chi— nese).[马卓,马建峰,李兴华,等.可证明安全的可信网 络连接协议模型[J].计算机学报,2011,34(9): 1669—1678.] [11]LI Xiaoyong,GUI Xiaolin.Trust quantitative model with multiple decision factors in trusted network[J].Chinese Journal of Computer,2009,32(3):405—416(in Chinese). [李小勇,桂小林.可信网络中基于决策属性的信任量化 模型[J].计算机学报,2009,32(3):405—416.] [12]Jouni Malinen.Linux WPA/WPA2/IEEE 802.1X supplicant [EB/OL]. ̄2012—03—31].https://hostap.epitest.fi/wpa—sup— plicant/. [13]TCG specification trusted network connect IF-MAP revision 25 [EB/OL].[2008—01—04].https://www.trustedcomputing— group.org. [14]Network RADIUS Ine TheFreeRADIUS Projeet[EB/OL ̄. [201 1—09 30].http://freeradius.org. [15]JIN Xin,WANG Jing,L1 wei.Extended privilege manage— ment model based on RBAC[J].Computer Systems&Appli— cations,2012,21(6):20—24(in Chinese).[金鑫,王晶, 李炜.基于RBAC的扩展权限管理模型_J].计算机系统应 用,2012,21(6):20—24.]
