一种可信接入架构的设计

【摘要】随着互联网技术不断发展，网络安全问题也日趋严峻，如何来有效构建可信网络已成为当前业界所关注的热点之一。本文在对可信网络连接模型进行深入研究的基础上设计了一种可信接入架构，给出了终端用户接入可信网络的具体实施方案，有效解决了可信网络连接模型中只注重终端用户在接入网络前的决策判定而缺乏在接入网络过程中的实时控制等问题。

【关键词】可信性测评；用户当前可信度；接入控制；访问控制

1.引言

当前大多数网络的攻击事件都是由内部终端首先发起，因此研究基于终端网络的连接控制显得尤为重要[1]。可信网络连接（TNC）技术[2-3]是在保障了终端硬件安全地基础上，将信任链拓展到网络中，从而来提升网络的可靠性和可信性。本文在原有TNC模型的基础上设计了一种可信接入架构，该接入架构不但要求对终端在接入网络前进行接入判定，而且要求在终端接入网络的整个过程中进行实时监控，以便于实施接入策略的动态更新。

2.架构总体设计

TNC模型体系结构包括三大功能模块：分别是网络接入请求者NAR，策略执行者PEP和策略决策者PDP。其中网络接入请求者NAR通常是指需要接入网络的用户及相关网络的终端接入设备；策略执行者PEP通常是指对网络起安全防护作用的控制设备；策略决策者PDP的主要功能是依据网络安全需求来设定相应可问策略，通常是由可以实现接入认证及网络访问控制的服务器充当。本文设计的可信接入架构在TNC原有实体模块的基础上对其功能进行了扩展，如图1所示。

3.终端用户的可信性测评

架构总体设计中，在基于TNC客户端的网络接入请求者NAR终端平台上增设了两个功能模块，即平台信息收集模块和终端属性信息收集模块；在TNC服务器端增设了一个可信性测评模块；在可信网络系统的内部增加了一个历史行为监控模块。

（1）平台信息获取模块：它的主要职责是获取可信网络连接过程中的终端平台身份认证信息及完整性度量等信息。其中终端平台的完整性度量信息是自平台启动之后通过信任链传递方式对平台各硬件和软件部件执行完整性度量机制所获得的相关平整性的证明信息。

（2）终端属性信息获取模块：它的主要职责是获取描述用户身份特征的属性信息，该类信息一般是用户与系统交互过程中所主动提交的静态信息，信息获取模块将会依据评估策略选择其中对评估结果将会产生影响的相关属性信息。

（3）历史行为监控模块：在TNC模型中，NAR进入网络系统后，没有相应监控措施，规范其的资源访问行为，即不能够保证NAR的长期可信性，这直接导致了终端接入网络后带来的安全隐患。为了让终端用户在身份及平台状态都符合接入要求的前提下，对网络资源执行权限范围内的无恶意违规操作的访问，有必要在整个资源访问过程中增设相应的实时监控机制[4-5]来约束用户在网络中的资源访问行为。因此，在总体架构设计中增设了一个历史行为监控模块，由它来负责记录用户在可信网络中的操作行为，并将记录信息反馈到可信性测评模块，作为一个操作周期以后再次对终端用户可信性进行测评地重要依据之一。

（4）可信性测评模块的主要职责是利用收集到的测评信息对终端用户进行可信性评定，首先依据收集到的终端用户各种认证信息和行为监控信息是否满足系统安全策略，来判定是否将其列为可信任的NAR，若判定结果为可信任的NAR，则进一步分析评估其的安全状态以确定终端用户的当前可信程度，即用户当前可信度T（u）并实施接入控制策略，其过程大致分为两个阶段：①根据收集到的各种测评信息来评定终端用户当前受信任的程度即用户当前可信度T（u），若T（u）的值大于系统事先所设定的网络接入可信度NST时，则将其列入受信任的NAR，允许其接入网络，并执行随后的资源访问授权活动，否则把该NAR列为非法接入者，禁止接入网络或者将其转入受控子网要求进行隔离修复。②根据用户当前可信度T（u）的评定结果，确定NAR受信任的程度，以实施相应的授权操作。T（u）值越大，说明他在网络系统中的受信任程度越高，所对应的操作权限就越大；反之，T（u）值越小，说明他在网络系统中的受信任的程度越低，相应操作权限也就越小。

当一个操作周期结束，可信性测评模块将启动周期性测评机制，来对接入网络的终端用户其可信性进行重新评定。

4.架构中的接入控制

架构总体设计中，TNC客户端将用户身份认证信息及平台认证信息传递给实施策略执行者PEP及策略决策者PDP功能于一身的TNC服务器端，在TNC服务器端接收到相关接入认证信息后，首先会对用户身份进行可信性的检验，待用户身份认证通过以后，继续进行平台的认证，包括对平台身份和平整性的检验，其中在对基于可信芯片的终端平台执行平台身份认证时，根据可信服务机构例如privacy CA颁发的平台AIK证书即能检验接入终端平台身份的真实有效性；平整性检验则是在TNC客户端的完整性度量收集者IMC与TNC服务器端的完整性度量验证者IMV之间通过信息交互来实现认证。TNC服务器端的IMV利用IF-IMV接口从TNC客户端的IMC处接收完整性度量报告，以获取相关的完整性度量信息，再将其与先前制定的网络安全策略来进行比较，根据终端平整性度量信息是否能满足网络的安全策略需求来为TNC服务器提供适合的访问建议，然后由TNC服务器端的PDP根据访问建议及其它相关认证信息对来自TNC客户端的接入请求做出最终访问控制决策，并通过IF-PEP接口把该访问控制决策传达给TNC服务器端的PEP，PEP将依照决策的结果对终端用户实施入网决策：是否允许其接入网络或者要求对其进行隔离修复。

5.架构中的访问控制

为了提高网络的可控性、可管理性，让整个系统资源的访问过程更为安全，终端用户在接入网络以后，需要定时对用户的合法性及资源的一致性进行检验，使得在当前操作周期内的终端用户只允许按照已经授权地访问控制规则去执行相应操作。将从可信性测评模块评估得到的用户当前可信度T（u）作为系统的授权依据之一，用户的当前操作权限由其受信任程度T（u）值来决定，T（u）值越大则其操作权限范围也越大，反之亦然。在架构的总体设计中，终端用户顺利进入网络以后，可能会对系统资源提出不同的各种访问请求，此时依照既定的访问控制策略判定用户提交的访问请求是否合法，若提交的访问请求在用户当前所拥有的操作权限范围之内，则为合法请求，允许用户执行该操作，否则为违规请求，禁止操作的执行。各种资源访问行为还将被系统中的历史行为监控模块所记录，成为一个周期后用户当前可信度评估的重要依据，用户执行的合法操作行为将提升T（u）值，而违规操作行为则会使T（u）值降低。

6.总结

本文所设计的可信接入架构是在对各种认证信息进行综合测评的基础上提出的一种能够保证整个接入过程安全、可信的应用架构，通过相应模块获取用户及平台的相关信息来作为终端用户当前可信度评定和动态更新的依据，并要求在规定时间后对终端用户实施新的接入授权决策，提高了整个网络接入过程的可信性和可控性。

参考文献

[1]沈昌祥，张焕国，冯登国，等.信息安全综述[J].中国科学E辑，2007，37（2）：129-150.

[2]Trusted Network Connect TNC Architecture for Interoperability Specification Version1.4[EB/OL].http：///resources/tcg_architecture_overview_version_14，2009，5.

[3]张焕国，陈璐，张立强.可信网络连接研究[J].计算机学报，2010，33（4）：706-716.

[4]吴逸伦，张博锋，赖志权，等.基于消息语义解析的软件网络行为分析[J].计算机应用，2012，32（1）：25-29.

[5]李焕洲，胡勇，张健，林宏刚，等.基于终端资源的内网监控系统研究与实现[J].四川大学学报（工程科学版），2007， 39（04）：118-122.