可容忍非信任组件的可信网络接入架构及其接入方法

暂无

可容忍非信任组件的可信网络接入架构及其接入方法\n[0001] 技术领域：\n[0002] 本发明涉及一种网络连接方法，尤其涉及一种具有TPM功能的终端与计算机网络进行可信网络连接的可容忍非信任组件的可信网络接入架构及其接入方法。\n[0003] 背景技术：\n[0004] 如图1所示，可信网络连接TNC（Trusted Network Connect）由TCG组织制订，目的是保障具有TPM的终端与计算机网络的可信网络连接。可信网络连接通过网络访问请求，搜集和验证请求者的完整性信息，依据一定的安全策略对这些信息进行评估，决定是否允许请求者与网络连接，从而确保网络连接的可信性。TNC体系结构保证从终端发送到服务器的信息是可信的，因此不存在被攻击的终端提供虚假信息的可能。\n[0005] 可信网络连接TNC的实体（Entity）包括：\n[0006] 1）访问请求者AR（Access Requestor），必须的实体。指拟接入保护网络的终端。\n[0007] 2）策略决定点PDP(Policy Decision Point) ，必须的实体。基于策略决定是否接受AR的接入请求。\n[0008] 3）策略执行点PEP(Policy Enforcement Point)，可选的实体。根据PDP的决定，决定是否允许AR的接入。\n[0009] 4）元数据接入点MAP（the Metadata Access Point ），可选的实体。存储和发布AR的状态信息，以供PDP决策。\n[0010] 5）流控制器和传感器（Flow Controllers and Sensors），可选的实体。流控制器基于MAP的信息执行网络活动控制；传感器检测网络的活动并向MAP提供信息。\n[0011] 访问请求者AR试图接入保护网络，这个网络被策略执行点PEP保护，PEP根据策略决策点PDP的判定，决定是否允许AR接入被保护网络。访问请求者AR包括TNC客户（TNC-Client）、完整性度量采集器IMCS（Integrity Measurement Collectors）和完整性评估等组件，IMCS从终端中收集可信属性。PDP中包含服务器和完整性度量验证器(Integrity Measurement Verifiers ,IMVS)，它根据安全策略验证终端当前的完整性及其他安全属性。在网络访问的认证和授权阶段的执行流程如下：\n[0012] （1）PDP上的TNC服务（TNC-Server）初始化完整性检测；\n[0013] （2）TNC客户利用IMCS收集宿主平台的完整性度量值；\n[0014] （3）TNC客户通过PEP把收集的完整性度量值发送到PDP的TNC服务；\n[0015] （4）TNC-Server把完整性度量值发送给IMVS，IMVS将根据安全策略对完整性度量值验证，并作出判定结果发送给TNC-Server；\n[0016] （5）TNC-Server作出最后决定，把它发送给PEP和AR。\n[0017] 三元对等可信网络连接规范：\n[0018] 如图2所示，以沈昌祥、张兴等组成的中国可信计算规范标准起草小组，对我国可信网络连接规范做了深入的研究，提出了基于三元对等鉴别的访问控制方法，对TCG的TNC[123]\n规范做了修改，提出了三元对等可信网络连接规范 ，。\n[0019] 三元对等的可信网络连接架构中，存在三个实体：访问请求者、访问控制器和策略管理器，从上至下分为三个层次：完整性度量层、可信平台评估层和网络访问控制层。并引入了三元可扩展鉴别协议TePA-AC (Tri-element Extensible Authentication Protocol)，基于三元对等鉴别的访问控制方法（Access Control Method based on Tri-element Peer Authentication）进行鉴别和评估。在三元对等的TNC网络架构中，文[18]\n献[123]还结合TNC规范 定义了IF-IM、IF-IMC、IF_TNCCS、IF-TNT、IF-APS和IF-EPS等接口。\n[0020] 在网络访问控制层，网络访问请求者、网络访问控制者通过执行用户身份鉴别协议实现双向用户身份鉴别，策略管理器作为可信的第三方提供鉴别服务。\n[0021] 在可信平台评估层，可信网络连接客户端和可信网络连接服务端在策略管理器（可信第三方）的配合下，执行可信平台评估协议，实现访问请求者和访问控制器之间的双向可信平台评估（包括平台身份鉴别和平台完整性校验）。在可信平台评估过程中，不管哪个平台（访问请求者、访问控制者）身份未成功鉴别，均断开连接；否则，验证平台完整性校验是否成功通过。若平台完整性校验成功通过，访问请求者连接访问控制器并可访问保护[123]\n网络。否则，接入隔离域对自身平台进行修补，修补后可重新进行可信平台评估过程 。\n[0022] 在完整性度量层，完整性收集者收集访问请求者和访问控制器的平台完整性度量值，完整性校验者校验这些平台完整性度量值，并通过相关接口为可信平台评估层服务。\n[0023] 但是，TCG规范的TNC仅仅关注对接入终端的完整性验证，没有考虑策略执行点遭到攻击、破坏时的安全问题，为此中国可信联盟提出了三元对等鉴别的访问控制方法，加强了策略执行点的完整性保护，但其协议过于复杂。另一方面，TNC平台各组件的完整性参照值是可信度量的基准值，各组件升级、改版后无法快速部署，严重制约了TNC的应用。\n[0024] 发明内容：\n[0025] 本发明的目的在于克服现有技术中存在地不足而提供一种可容忍非信任组件的可信网络接入架构及其接入方法。\n[0026] 本发明的目的是这样实现的：\n[0027] 一种可容忍非信任组件的可信网络接入架构，其特征在于：整个可信网络接入架构由可容忍非信任组件的可信终端、可信接入网关、认证鉴别策略管理服务器器、组件信息收集与发布节点MAP、数据安全交换平台五部分实体组成，\n[0028] 所述的可信终端可以容忍非信任组件。所谓“非信任组件”，按照TCG可信计算组织的观点，一个组件是“不可信”的，说明该组件没有通过完整性度量，不能被启动和加载。\n但实际上，不可信的组件并不代表该组件就一定恶意破坏过，如版本升级、新的组件等，在这种情况下，被判定不可信的组件也许是可以信任的。针对这种情况，可容忍非信任组件的可信终端允许非信任组件加载，但不管终端加载的组件是否可信，都可保证安全结果的可预测和可控性，保证访问网络所涉及信息的机密性，保证终端本地信息的机密性和完整性。\n[0029] 可信终端的关键部件由嵌入式可信系统承担，嵌入式可信系统自身是一个独立、完整的具有可信TPM功能的片上系统SOC，一个由安全芯片、通信模块、Flash芯片和Linux系统共同组成。该系统不受上层操作系统的影响和控制，即使操作系统存在Bug或隐通道，也不会对网络访问控制造成实质性安全损害，还解决目前的终端设备缺少TPM模块支持这一问题，使得架构具有更好的可实现性，\n[0030] 所述的可信接入网关和可信终端之间采用双向非对等可信评估，所谓双向，是指可信终端和可信接入网关之间互相评估对方是否可信；所谓非对等，是指对可信接入网关，仅评估其完整性，而对可信终端，要综合评估其平台完整性、身份认证强度和历史访问记录等属性信息，\n[0031] 所述的认证鉴别策略管理服务器，负责向可信终端和可信接入网关发布身份证书和计算平台证书，向可信终端发布访问本地资源的访问控制策略，根据MAP提供的信息及时调整可信平台评估策略，提供可信终端计算平台的修补资源，\n[0032] 所述的组件信息收集与发布节点MAP反映可信网络连接的状态，对网络访问产生的元数据信息进行记录和统计，\n[0033] 所述的数据安全交换平台在接入网和专用信息网（内网）之间裸数据级实现格式统一和结构透明的数据交换。\n[0034] （1）可信终端与普通终端的不同在于嵌入式可信系统。嵌入式可信系统基于USB嵌入式可信系统实现。该系统是一个由安全芯片、通信模块、Flash芯片和Linux系统共同组成的片上系统SOC（System On Chip）。\n[0035] 安全芯片SCCII_U+是一款带有USB接口的32位RISC安全芯片，它与工业标准的ARM9单片机指令集完全兼容，该安全芯片配置自主密码算法引擎，内置硬件真随机数发生器和安全防护单元。安全芯片完成TPM的功能和密码服务功能，同时它还完成策略管理与控制的功能。\n[0036] Flash芯片采用K9G8G08U0M NAND Flash芯片（2G×8Bit），它挂接在安全芯片的后面，在安全芯片的控制下提供非易失可信存储的功能。\n[0037] 通信模块采用双模移动通信模块SIM4100,它既支持TD-SCDMA通信网络，也支持GSM/GPRS通信网络。它挂接在安全芯片的后面，在安全芯片的控制下，实现网络访问控制。\n[0038] USB嵌入式可信系统通过USB接口和终端设备交换信息，并向终端提供上述的通信和安全服务功能。\n[0039] （2）可信接入网关是具有TPM功能的接入设备，其具体实现可以由VPN等通用设备来完成。\n[0040] （3）认证鉴别策略管理服务器的功能可由CA服务器或3A认证服务器等实体承担。\n[0041] （4）组件信息收集与发布节点MAP由审计监控服务器承担，对访问网络产生的数据信息进行记录和统计。\n[0042] (5) 数据安全交换平台。 数据安全交换平台是接入网和专用信息网之间的边界保护设备，是整个安全架构中的重要环节，它在裸数据级实现格式统一和结构透明的数据交换。\n[0043] 数据安全交换平台采用两机系统体系结构：前置机、后置机。前置机/后置机数据传输通道采用专有的数据传输协议，数据安全交换平台需要获得访问主体及该主体所访问的客体信息，根据主体信息进行授权访问控制。安全数据交换平台组成形式为“前置机 + 自定义协议 + 后置机”，实现接入网和专用信息网之间的裸数据交换和命令级授权访问。\n[0044] 在交换层，后置机和前置机基于内部传输协议构建数据传输总线，实现裸数据交换；接入网和专用信息网之间进行数据交换时，由应用适配插件对数据流实现通信协议的剥离原为裸数据，经格式、内容检查后封装成数据对象，经数据传输总线传输到对方。为支持多任务多进程，数据传输总线采用消息队列方式。\n[0045] 在管理层，实现应用插件的管理、注册，只有注册的插件才可以通过交换层提供的数据总线传输数据；任务调度模块实现前后端应用插件交互任务的定时执行；而访问控制策略模块定义了访问主体和应用资源的授权访问关系，防止访问主体对应用资源的非授权访问。\n[0046] 在插件层，驻留专用信息网应用的适配插件。前置机驻留的应用插件对终端提供应用代理服务，并把用户的业务请求转化成格式化的数据经传输层传输到与之配对的后置机应用适配插件；而在后置机，与之配对的应用适配插件代表终端访问专用信息网指定的信息系统，并将结果以相同的方式反向返回。应用适配插件支持主动访问模式，可以根据任务调度机制自动从数据源或信息系统提取信息并向配对适配插件传输。前置机和后置机的应用适配插件的对应关系可以是一对一、一对多和多对多，以支持异构、多系统之间的复杂信息交互。\n[0047] 一种可容忍非信任组件的可信网络接入架构的方法，其特征在于：该可信接入架构的具体接入步骤如下：\n[0048] 在接入网络之前，首先由系统管理员通过认证鉴别策略管理服务器部署接入网络相应的安全策略，确定可信接入网关设备身份、工作密钥、证书，\n[0049] （1）可信终端向可信接入网关发起访问请求；\n[0050] （2）在认证鉴别策略管理服务器的配合下，可信终端和可信接入网关完成基于数字证书的双向身份认证；\n[0051] （3）可信终端和可信接入网关基于相应的安全协议，交换密钥材料并进行密钥计算，协商生成会话密钥，形成两者之间的安全传输通道；\n[0052] （4）在认证鉴别策略管理服务器的配合下，可信终端和可信接入网关采用双向非对等可信评估，可信终端主要评估接入网关的配置完整性，而可信接入网关主要评估可信终端的配置完整性、历史交互信息和当前可信终端的认证情况；\n[0053] （5）认证鉴别策略管理服务器对可信终端的配置完整性、历史交互信息和当前可信终端的认证情况进行综合信任评估，决定可信终端能否访问其想访问的资源，并通过可信接入网关向可信终端签发相应的资源授权凭证；\n[0054] （6）可信终端持资源授权凭证访问专用信息网的资源；数据交换平台要验证可信终端持有的资源授权凭证，并验证资源授权凭证和实际资源的授权访问策略是否一致，只有满足访问策略的可信终端，才可以访问相应的信息资源；资源访问的请求以严格规范的数据格式经数据交换平台转发，以支撑交换信息的细粒度的监控和审计。\n[0055] 可信终端和可信接入网关之间采用双向非对等可信评估，所谓双向，是指可信终端和可信接入网关之间互相评估对方是否可信；所谓非对等，是指对可信接入网关，仅评估其完整性，而对可信终端，要综合评估其平台完整性、身份认证强度和历史访问记录等属性信息，评估步骤如下：\n[0056] (1) 对可信接入网关的可信评估：仅评估可信接入网关的完整性，评估方法采用TCG规范的远程证明协议，\n[0057] (2) 对可信终端的可信评估：可信接入网关对可信终端的可信评估如下：\n[0058] 1) 可信接入网关发送消息A{Nonce}，向可信终端发出可信评估挑战；可信接入网关在两者完成双向身份认证后，开始消息A的发送； \n[0059] 2) 可信终端按TCG完整性报告协议收集自身组件的完整性报告，向可信接入网关返回消息B，消息B包括：可信终端的完整性报ReportME、AIK证书、日志SML和用户身份认证信息Identity Authentication.；\n[0060] 3) 可信接入网关将这些评估信息，连同可信终端访问的历史交互记录作为消息C发送给认证鉴别策略管理服务器，管理服务器将终端设备平台完整性度量报告和评估策略库中标准的完整性参照值进行比较，结合历史交互情况、用户认证情况，对终端平台进行综合评估分级；\n[0061] 4) 管理服务器将签名的评估结果以消息D的形式送给可信接入网关，可信接入网关生成访问允许、禁止，隔离之一的控制决策，根据决策决定是否让可信终端接入网络；\n如果允许，向可信终端发送访问凭证Access-Ticket；\n[0062] 5) 可信接入网关向可信终端转发消息D，可信终端持访问凭证接入专用信息网络；\n[0063] 本发明吸取了TCG组织的TNC规范、中国可信联盟三元对等可信网络连接规范的优点，与现有的TNC规范相比，有如下优点：\n[0064] 1、在平台可信，且安全结果具有可控性和可预测性的前提下，终端计算平台允许有非信任组件的存在，提高了应用部署的灵活性和便捷性；\n[0065] 2、在TNA架构中，增加了嵌入式可信系统层。嵌入式可信系统自身是一个独立、完整的片上系统SOC，不受上层操作系统的影响和控制。这样，即使操作系统存在Bug或隐通道，也不会对网络访问控制造成实质性安全损害，提高了系统的安全性。另一方面，嵌入式可信系统的引入，可解决目前的终端设备缺少TPM模块支持这一问题，使得TNA具有更好的可实现性；\n[0066] TNA在访问控制器和专用信息网之间增加了一个数据交换平台，该平台只能在裸数据级实现格式统一和结构透明的数据交换，可防止基于协议缺陷的攻击，相对TNC架构对保护网络提供了更高的安全保护机制。\n附图说明\n[0067] 图1为 TNC架构。\n[0068] 图2 为三元对等的TNC网络连接架构。\n[0069] 图3为可容忍非信任组件的可信网络接入的架构。\n[0070] 图4 为可容忍非信任组件的可信网络接入架构具体接入步骤。\n[0071] 图5 为公安信息网移动安全可信接入网络架构。\n具体实施方式\n[0072] 下面以公安信息网为例，说明可容忍非信任组件的可信网络接入架构在接入公安信息专网时具体的网络部署架构及工作原理如图5所示。整个架构分为接入网和公安信息网两部分，公安信息网和接入网之间通过数据安全交换平台交换数据，防止基于协议漏洞或协议缺陷的安全攻击，保障公安信息网的安全性。接入网包括可信移动终端，可信接入网关，认证鉴别管理服务器，审计监控服务器。\n[0073] 终端是配备安全SIM卡或PCMCIA卡的手机或笔记本等移动终端设备，由这些安全卡提供TPM可信功能，构建出移动可信终端。\n[0074] 架构中可信接入网关类型有SSL、SMS或IPsec安全接入网关，允许分别基于SSL协议、安全短消息协议或IPsec协议与移动可信终端建立安全传输信道。\n[0075] 架构中认证鉴别管理服务器认证接入网关身份，分发终端和网关的相关身份和平台证书。制定安全访问控制策略并分发至可信接入网关，对移动终端和接入网关进行可信评估。\n[0076] 架构中组件信息收集与发布节点MAP由审计监控服务器承担，对访问网络产生的数据信息进行记录和统计。\n[0077] 架构中数据安全交换平台负责将接入网数据和公安信息网之间的数据进行交换，以严格规范的数据格式实现格式统一和结构透明的数据交换。\n[0078] 整个接入网络的基本工作原理如下：\n[0079] 1）安全接入网关（IPsec/SSL/SMS）在管理IC卡的控制下开机启动。\n[0080] 2）安全接入网关首先使用基于设备的身份认证机制到认证鉴别管理服务器登录认证，认证通过后建立双方之间的安全隧道。\n[0081] 3）当移动可信终端需要接入公安信息网时，首先拨号接入到移动运营商为该单位设定的APN(或VPN),不是该APN(或VPN)的用户，登陆失败，可以防止非法移动终端MT接入TAP而访问网络并占用网络资源。\n[0082] 4）移动终端登录至安全接入网关，基于安全协议建立网络连接；\n[0083] 5）移动终端向安全接入网关发起接入身份鉴别请求，根据双向身份认证鉴别协议，认证鉴别管理服务器的配合下，完成双向身份认证鉴别；\n[0084] 6）如果证书鉴别成功，安全接入网关和移动终端验证对方的私钥，以确认他们是证书的合法持有者。在私钥验证的同时，进行会话密钥的协商。\n[0085] 7）安全接入网关和移动终端协商用于数据保密通信的密钥，形成两者之间的安全传输通道。移动终端和安全接入网关采用双向非对等可信评估，可信终端主要评估接入网关的配置完整性，而可信接入网关主要评估可信终端的配置完整性、历史交互信息和当前可信终端的认证情况；认证鉴别策略管理服务器在审计监控服务器的配合下，根据可信终端的配置完整性、审计监控服务器所提供的历史交互信息和当前可信终端的认证情况进行综合信任评估，决定可信终端能否访问其想访问的资源，并通过可信接入网关向可信终端签发相应的资源授权凭证；\n[0086] 8）移动可信终端持资源授权凭证通过安全交换平台和公安信息网交互信息。\n[0087] 9）后台相关服务通过已经建立的安全通道将处理、返回的结果发送到移动终端。\n[0088] 10）移动终端解密信息，移动终端的应用系统按相应的格式显示相关信息。\n[0089] 11）从8）~10）如此反复。