一种混合可信网络接入协议研究与设计.docVIP

一种混合可信网络接入协议研究与设计 　　 摘 要：本文介绍了可信网络连接的概念、体系结构、消息流程、相关规范，对可信网络连接TNC架构的优点与局限性进行了分析。描述了一种混合可信网络协议的认证方案，并对其设计方法、优越性和使用范围进行了较为详尽的阐述。 　　 关键词：可信网络；TNC；数字认证 　　 　　 1 引言 　　 以往那种单一的、孤立的、以外在插件或系统植入式的网络安全系统所能提供的网络监控和防护功能，在日益多元化和更加随机更加隐蔽的网络攻击手段面前愈来愈显得力不从心[1]。 　　 鉴于此，应加强网络访问控制机制以及终端主机接入网络的安全性保证和完整性保护，对网络中的每一台终端都要进行一系列严格的安全校验。只有符合安全策略要求的才允许其接入网络，进而形成一种可信的网络环境。就像美国工程院院士Patterson所指出的那样，过去的计算机系统研究的目标是追求高效行为，而当今的网络系统需要建立可信的网络服务，可信必须成为可以衡量和验证的性能[2]。 　　 　　 2 可信网络概述 　　 一个可信的网络应该是网络系统的行为及其结果是可以预期的，能够做到行为状态可监测，行为结果可评估，异常行为可控制。 　　 自从2003年可信计算组织（Trusted Computing Group，TCG）成立以来，可信计算技术得到了迅速的发展。TCG于2005年5月制定可信网络连接规范(Trusted Network Connection,TNC)，并在2008年4月发布了TNC规范V1.3版[3]。该规范提出“终端完整性度量”的思想，即使用一系列由客户所在组织的IT部门制定的策略和预定的平台配置，对尝试连接网络的客户终端的可信性进行评估，从而防止不可信终端设备连接到网络，实施破坏行动。 　　 　　 3 可信网络连接（TNC）及其局限性 　　 3.1 TNC架构及其工作原理 　　 TNC基础架构如图所示，其主要包括三个实体，它们分别是访问请求者（Access Requestor，AR）、策略执行点（Policy Enforcement Point，PEP）以及策略决定点（Policy Decision Point,PDP）。AR是请求访问受保护网络的实体，它包含网络访问请求者(Network Access Requestor,NAR)、TNC客户端(TNC Client，TNCC)和完整性度量收集器(Integrity Measurement Collector,IMC)3个组件。PEP是执行网络访问授权决定的实体。PDP是做出网络访问授权决定的实体，它包含网络访问授权(Network Access Authority，NAA)、TNC服务器(TNC Server,TNCS)和完整性度量验证器(Integrity Measurement Verifier,IMV)这3个组件。TNC架构中的3个抽象层次是根据实体的功能和角色划分的，自底向上分别为网络访问层、完整性评估层和完整性度量层。当AR向PDP发出申请建立网络连接请求时，PDP根据安全策略决策是否允许AR接入，并将决策结果发送给PEP，由PEP执行PDP的决策。 　　 　　TNC架构及工作方式 　　 3.2 TNC架构的局限性 　　 虽然，TNC规范针对服务器与终端工作站之间的完整性验证有着很大的优势，但其只适用传统C/S模式下的可信网络接入控制环境。随着移动终端的大量普及和分布式计算的飞速发展，对等计算的大量出现将导致服务器和客户端的界限日渐模糊。这样以来势必会增加网络复杂性，同时导致服务器可能在不知情的情况下遭受木马攻击，给终端用户造成严重的经济损失[4]。 　　 　　 4 混合可信网络接入协议 　　 这种混合可信网络接入协议具有更高通用性，允许对不同网络采取不同的完整性度量策略。总体而言，完整性数据主要从端口活动状态、最佳第三方安全软件应用的存在/版本(如防火墙、杀毒软件、入侵检测系统等)以及当前运行的程序等方面来考虑。 　　 4.1 方案设计 　　 根据TNC架构对可信平台身份认证完整性评估和平台可信环境等可信评估需求，在现有认证流程的基础上设计了一种混合可信网络连接双向认证方案。 　　 4.2 方案分析 　　 混合可信认证方案与传统网络接入认证方案相比，在安全性上得到了很大提高，以下是对终端请求接入过程的安全性分析。 　　 首先是客户端及服务器端的平台身份认证。在终端请求接入网络时，通过验证平台身份证书（对终端及服务器端平台的双向认证克服了TNC架构中单向性认证的缺陷），保证服务器端的可信性；其次，在AR试图接入网络前，服务器端PDP对平台AR的安全状态进行检测，从而决定是否同意AR接入网络执行相应的权限。这个过程保证了终端的完