基于信任链的可控网络关键技术研究

【摘要】随着网络的不断发展，信息安全问题愈加突显。为了使网络可信可控，本文在可信网络的基础上，提出了基于信任链的可控网络，并研究了其关键技术。主要包括信任链及其可信度量，基于信任链的可控网络架构、可控网络连接和访问控制等。该研究为网络信息系统控制机制的设计提供了一定的理论基础。

【关键词】可控网络;信任链;可信网络

1.引言

随着计算机网络技术的迅猛发展和网络应用的日益广泛，因特网在人们的生活、学习和工作中的地位愈发重要。与此同时，信息的安全问题成为大家关注的焦点，可以说安全问题已经成为制约网络应用与发展的一个瓶颈。

国内著名的信息安全专家沈昌祥院士早在上世纪九十年代初就提出要从终端入手解决信息安全问题，基于这一思想，近年来兴起了“可信计算”。随着可信计算技术的研究发展，应用于网络的“可信网络”应运而生。从访问源端就开始进行安全分析，尽可能地将不信任的访问操作控制在源端。本文提出了基于信任链的可控网络，并对其关键技术展开了相应的研究。

2.相关研究

2.1 研究现状

目前，大部分的网络安全系统都是由老三样（防火墙、入侵检测、防病毒）构成，无法从根本上解决安全问题，只有从终端安全入手才能有效地解决整个网络系统的安全问题。目前具有代表性的技术包括以下三种：一是可信计算组织（TCG：Trusted Computing Group）的可信网络连接技术TNC;二是微软的网络接入保护技术（NAP：Network Access Protection）;三是思科的网络接入控制技术（NAC：Network Admission Control）。下面对上述三种技术作以简介。

TCG制定的可信网络连接TNC（Trusted Network Connection）规范采用标准的接口定义了一个公开的标准，把可信硬件集成到访问控制框架中。TNC规范立足终端，要求鉴别身份，检查终端的当前完整性是否与组织定义的安全策略一致。其过程是：当用户（Access Requestor：AR）试图访问被保护网络，该网络被策略执行点（Policy Enforcement Point：PEP）保护，它将根据策略决策点（Policy Decision Point：PDP）来决定用户能否访问被保护网络。网络接入保护NAP技术是微软为下一代操作系统设计的新一套操作系统组件，提供了一套完整性校验的方法来判断接入网络的终端的安全状态，对不符合安全策略需求的终端限制其网络访问权限。而且，NAP能提供自动补救功能。网络接入控制NAC技术是Cisco公司提出的，用于确保终端设备在接入网络前完全遵循本地组织定义的安全策略，保证不符合安全策略的终端无法接入该网络，并设置可补救的隔离区供终端修正其安全策略，或者限制其可访问的资源。

2.2 相关技术分析

从以上论述可以看出，TNC、NAP和NAC三种技术的目标和体系结构具有一定的相似性。首先，其目标都是保证终端的安全接入，即当终端接入本地网络时，通过特殊的协议对其进行校验，除了验证用户名、密码和用户证书等用户身份信息外，还验证终端是否符合管理员制定好的安全策略;其次，三种技术的体系结构也比较相似，都分为客户端、安全策略以及接入控制三个主要部分：TNC分为AR、PEP和PDP三部分;NAP分为客户端、服务器端和接入组件三部分;NAC分为网络访问终端、网络访问设备和策略决策点三部分。

但是，TNC与NAP、NAC是有本质区别的。首先，NAP和NAC是厂商的专有技术，而TNC是开放标准，在任何厂商产品之间可以调用或提供操作接口;其次，NAP和NAC都需要依靠终端提供的信息，如果终端不可信，则NAP和NAC将不可信;再次，NAP和NAC的终端收集本地计算机的软件及配置信息传送给服务器进行验证，这种做法会暴露终端平台上的各种敏感信息。TNC的研究取得了重要的成果，但仍处于研究与实践的发展阶段，还存在着一些问题。本文基于可信网络连接的基础，对基于信任链的可控网络进行了关键技术研究。

3.信任链可信度量研究

3.1 信任链

基于信任链的可控网络的基本思想是：在网络系统中首先建立一个信任根，然后建立一条信任链，上级认证信任下级，一级传递一级，直至把信任关系扩大至整个网络系统，使网络达到一个可控的状态。所谓信任根，是整个网络系统可信可控的基点，信任根本身的安全性由物理安全和管理安全来保证。信任链就是在信任根的基础上进行信任传递：首先信任根认证下一级的可信度，如果可信，则信任传递到下一级;同样，第二级若确认第三级可信，则信任扩大至第三级，该过程循环往复，信任范围不断扩大。

对于终端平台，信任链的传递过程要从信任根开始，系统控制权由可信任的BIOS传递到可信任的boot、再到可信任的OS loader，接着到可信任的OS，最后传递到可信任的应用。因此，需要建立信任链传递的“层次理论模型”，确保信任逐层传递。在此过程中，信任链的传递从信任根到操作系统具有单一性和顺序性，只要保证信任根的物理安全、信任链传递过程中的时空隔离性，便可建立信任链的“层次理论模型”：在最初的硬件平台h0和最终的运行实体hn中划分出若干层次：h1、h2、h3…hn-1，使得hn能够顺利运行。层与层之间仅有单方向依赖关系，高层hi依赖低层hi-1：如果hi-1层是可信的，并且对hi层的可信度进行检查确认后再传递控制权，则hi层也是可信的，即信任可以逐层传递，进而形成一个信任链。

3.2 可信度量策略

为了进行信任链的可信度量，首先设定几个概念。一是实体，实体是一个合法用户或一个计算机资源：如内存、物理设备、数据文件、进程等。二是主体，主体是一个主动实体，可以对其他实体施加动作，可以是用户、进程等。三是客体，客体是一个被动实体，可以接受其他实体的动作。主体和客体不是固定的，而是在不同时间根据其功能决定的。

可信度量策略把客体的可执行权限以及相关的输入数据作为研究对象，提取客体的摘要作为扩展安全属性，对信任链提供更完善的安全策略。在可信度量策略中，从访问控制角度，针对恶意代码滥用权限的本质，对执行权限进行严格的描述。首先，客体的执行权限必须由可信主体授权，也就是说只有在可信度量集合S中的客体才能被允许执行。为了维护可信度量的一致性，对于集合S的维护也需由可信主体操作。比如在安装新软件时，要求软件者对其的软件的摘要进行数字签名，由可信主体验证数据签名后，才能把它加入到集合S中。另一方面，针对恶意代码利用终端OS对执行代码不检查一致性的缺陷，将代码嵌入到执行程序，进行严格的可信度量之后，再允许客体执行。

4.基于信任链的可控网络连接

根据前面对于信任链的可信度量策略，构建一个可控网络，保证局域网应用环境的安全。

4.1 可控网络架构

基于信任链的可控网络架构如图1所示，由三种实体组成：AR、PE、PD。AR是Access Requestor，即接入请求者;PE是Policy Enforcer，即策略执行者;PD是Policy Decider，即策略决策者。接入请求者，通常是个人计算机，掌上电脑，移动终端等。策略执行者保护局域网安全的屏障，通常是防火墙、网关等。策略决策者是安全策略的决定，通常是允许、拒绝客体的访问等操作，这些决定由策略执行者来执行。策略决策者是核心，根据实际需求制定具体策略，对整个网络实现基于信任链的访问控制，保证网络的安全。

图1 可控网络架构图

4.2 可控网络连接

在上述可控网络架构中，策略决策者可由TNC可信服务器构成。TNC服务器在接收到AR终端的请求信息后，首先验证终端的身份。TNC Server用自己的私有密钥对接收的信息进行可信验证，终端的验证采用基于可信芯片的方式来进行。身份验证通过后，要对其信息完整性进行粗、细两种粒度的判别。粗粒度定性，细粒度定量。假定所有主体在最初有一个初始可信度，在之后的访问操作中，可信服务器对其可信度进行相应的增减变化。可信度越高，其访问权限越大，反之访问权限越小。

4.3 可控网络访问控制

用户通过身份验证进入网络系统之后，可以对网络进行各种各样的访问和操作。这些访问请求提交到服务器之后，由专门的访问控制模块检查用户相应的权限，决定是否允许用户进行相应的访问。若访问超出他的权限范围，则提示出错信息，否则允许其访问。为了方便用户权限的管理，可以对用户进行分组，每组分配相应的角色权限。根据用户所属的角色，来确定用户最终的权限范围。用户的违规访问将使其可信度降低，可信度的调节遵循日常“下坡容易上坡难”的原则，调节时可信度下降快上升慢。

5.总结

本文基于可信网络连接的基础，提出了基于信任链的可控网络系统，着重论述了信任链及其可信度量，基于信任链的可控网络架构、可控网络连接及可控网络的访问控制等关键技术。但是，相关的理论研究不够深入，需要进一步深入细致地研究，使可信可控网络更加完善，为信息安全的研究贡献力量。

参考文献

[1]马卓.可证明安全的可信网络连接协议模型[J].计算机学报2011（9）：1669-1678.

[2]段新东，马建峰.可证明安全的可信网络存储协议[J].通信学报，2011（5）：169-174.

[3]袭正虎，卓董.网络态势感知研究[J].软件学报，2010（7）：1605-1619.

2014年度河南省教育厅科学技术研究重点项目（编号：14B520015）可信可控网络关键技术研究。

作者简介：

张红红（1979-），河南济源人，硕士，研究方向：计算机网络及安全。

李昌明（1978-），贵州万山人，大学本科，志高空调工程师。