可信网络连接研究.docx

1、可信网络连接研究可信网络连接研究张焕国1),2) 陈璐1) 张立强3)1) (武汉大学计算机学院，武汉，430072)2)(空天信息安全与可信计算教育部重点实验室，武汉，430072）3)(武汉大学软件工程国家重点实验室，武汉，430072)摘 要 本文详细地介绍了可信网络连接的发展历程、体系结构、消息流程、相关规范，对TCG的可信网络连接架构的优点与局限性进行了分析。针对如何将可信计算机制拓展到网络，使得网络成为可信的计算环境这一问题进行了分析论述，并对可信网络连接技术未来的发展趋势进行了展望。关键词 可信计算；可信网络连接；可信网络；网络安全；信息安全中图法分类号 TP309 DOI号：

2、Research on Trusted Network Connection1）2）Zhang-Huanguo 1）Chen-Lu 3）Zhang-Liqiang ,1）(School of Computer, Wuhan University, Wuhan 430072)2）(Key Lab of Aerospace Information Security and Trusted Computing, Wuhan University, Wuhan 430072 )3）(State Key Lab of Software Engineering , Wuhan University, Wu

3、han 430072)Abstract This paper introduces the development history, architecture, information flow and related specification of Trusted Network Connection in details. Analyses are given on Trusted Network Connection architecture; merits and restriction are pointed out. Focusing on how to extend the T

4、rusted Computing mechanism into network and make network to be a trusted computing environment, related research work are analyzed and summarized. Some research trends and directions are advised on the future research and development on Trusted Network Connection.Key Words Trusted Computing, Trusted

5、 Network Connection, Trusted Network, Network Security，Information Security1 引言自从2003年可信计算组织（Trusted Computing Group，TCG）1成立以来，可信计算技术得到了迅速的发展。人们已经意识到，在面对现有各种安全风险与威胁时，不仅需要自顶向下的安全体系设计，还需要从终端开始自底向上地保证计算系统的可信；不仅要保证终端计算环境的可信，还要把终端计算环境的可信扩展到网络，使得网络成为一个可信的计算环境。2004 年5 月TCG 成立了可信网络连接分组2(Trusted Network Conn

6、ection Sub Group, TNC-SG)，主要负责研究及制定可信网络连接（Trusted Network Connection，TNC）框架3及相关的标准45678910。经过几年的发展，TNC已经具有70多名成员，形成了以TNC架构为核心、多种组件之间交互接口为支撑的规范体系结构，实现了与Microsoft的网络访问保护（Network Access Protection，NAP）11之间的互操作，并将一些规范作为建议草稿提交到互联网工程任务组（International Engineer Task Force，IETF）的网络访问控制（Network Access Control

7、，NAC）规范中。目前已经有多家企业的产品支持TNC体系结构，如Extreme Networks、HP ProCureve、Juniper Networks、Meru Networks、OpSwat、Patchlink、Q1Labs、StillSecure、Wave Systems等；也有开放源代码的软件，如libTNC12、FHH13、Xsupplicant14等。TNC是对可信平台应用的扩展，也是可信计算机制与网络接入控制机制的结合。它是指在终端接入网络之前，对用户的身份进行认证；如果认证通过，对终端平台的身份进行认证；如果认证通过，对终端的平台可信状态进行度量，如果度量结果满足网络接入的

8、安全策略，则允许终端接入网络，否则将终端连接到指定的隔离区域，对其进行安全性修补和升级。TNC旨在将终端的可信状态延续到网络中，使信任链从终端扩展到网络。TNC是网络接入控制的一种实现方式，是一种主动性的防御方法，能够将大部分的潜在攻击在发生之前进行抑制。TNC是从技术层面上将可信计算机制延伸到网络的一种尝试。但是，TNC在研究层面还有很多基本的问题亟待解决。TNC的理论研究落后于技术开发，至今尚没有公认的可信网络环境理论模型；远程证明是TNC的基础，但是目前尚缺少软件动态可信性的度量方法与理论，缺少经过形式化验证的远程证明协议；一些关键的技术如软件动态可信性度量机制等尚待攻克。虽然TNC的发

9、展目前还存在的一些问题。但是TNC的出发点是为了从终端入手解决网络的安全和可信问题，无论是理论还是技术都非常符合解决网络可信的需求。目前，各国研究机构和大学、企业的研究部门、军事和国防机构都对TNC开展深入的研究。针对这种情况，本文将TNC技术的现状和发展进行了介绍和总结，对TNC的优势与局限性进行了分析，对如何将可信机制延伸到网络的研究进行了分析，并对TNC的未来发展趋势进行了探讨，力求对TNC技术的研究与发展进行客观和全面的介绍。本文的组织如下：第2部分对TCG的TNC架构与规范进行介绍；第3部分对TNC架构进行分析；第4部分将如何将可信机制延伸到网络的研究进行分析；第5部分对TNC的未来

10、发展趋势进行探讨；第6部分对我们的研究工作做简单介绍；第7部分给出结论。2 TNC架构与规范2.1 TNC的发展历程 2004年5月TCG建立的TNC-SG，意图在网络访问控制和终端安全领域制定开放的规范。2005年5月， TNC发布了V1.0版本的架构规范和相应的接口规范，确定了TNC的核心，并在Interop LasVegas 中进行了理念的展示。2006年5月，TNC发布了V1.1版本的架构规范，添加了完整性度量模型的相关内容，展示了完整性度量与验证的示例，发布了第一个部署实例，针对无线局域网、完整性度量与验证、网络访问、服务器通讯等相关的产品进行了发布。2007年5月，TNC发布了V1

11、.2版本的架构规范，增加了与Microsoft NAP之间的互操作，对一些已有规范进行了更新，并发布了一些新的接口规范，更多的产品开始支持TNC架构。2008年，TNC架构中最上层的IF-M接口规范进入了公开评审阶段，这意味着耗时3年多的TNC架构规范终于完整公开。2008年4月，TNC发布了V1.3版本的架构规范，增加了可信网络连接协议IF-MAP15（Interface for Metadata Access Point），使得TNC架构具有安全信息共享和动态策略调整功能。2009年5月，TNC发布了TNC1.4版本的架构规范16，同时增加了IF-T: Binding to TLS17、F

12、ederated TNC18和Clientless Endpoint Support Profile19三个规范，进一步对跨域场景和无TNC客户端的场景进行支持。2.2 TNC架构TNC基础架构如图1所示，包括三个实体、三个层次和若干个接口组件。该架构在传统的网络接入层次上增加了完整性评估层与完整性度量层，实现对接入平台的身份验证与完整性验证。图1 TNC基础架构三个实体分别是访问请求者（Access Requestor，AR）、策略执行点（Policy Enforcement Point，PEP）和策略决定点（Policy Decision Point，PDP）。其中AR发出访问请求，收集平

13、台完整性可信信息，发送给PDP，申请建立网络连接； PDP根据本地安全策略对AR的访问请求进行决策判定，判定依据包括AR的身份与AR的平台完整性状态，判定结果为允许/禁止/隔离；PEP控制对被保护网络的访问，执行PDP的访问控制决策。AR包括三个组件：网络访问请求者(Network Access Requestor，NAR) 发出访问请求，申请建立网络连接，在一个AR中可以有多个NAR；TNC客户端(TNC Client，TNCC) 收集完整性度量收集器（Integrity Measurement Collector，IMC）的完整性测量信息，同时测量和报告平台和IMC 自身的完整性信息；IM

14、C测量AR中各个组件的完整性，在一个AR 上可以有多个不同的IMC。PDP包括三个组件：网络访问授权者(Network Access Authority，NAA) 对AR 的网络访问请求进行决策。NAA 可以咨询上层的可信网络连接服务器（Trusted Network Connection Server，TNCS）来决定AR 的完整性状态是否与PDP的安全策略一致，从而决定AR 的访问请求是否被允许；TNCS负责与TNCC之间的通信，收集来自完整性度量验证器（Integrity Measurement Verifier，IMV） 的决策，形成一个全局的访问决策传递给NAA； IMV将IMC传递

15、过来的AR各个部件的完整性测量信息进行验证，并给出访问决策意见。三个层次分别是网络访问层、完整性评估层与完整性度量层。网络访问层支持传统的网络连接技术，如802.1X和VPN等机制。完整性评估层进行平台的认证，并评估AR的完整性。完整性度量层收集和校验AR的完整性相关信息。在TNC架构中存在多个实体，为了实现实体之间的互操作，需要制定实体之间的接口。接口自底向上包括IF-PEP4、IF-T5、IF-TNCCS6、IF-IMC7、IF-IMV8和IF-M9。 IF-PEP为PDP和PEP之间的接口，维护PDP 和PEP 之间的信息传输；IF-T维护AR和PDP之间的信息传输，并对上层接口协议提供

16、封装，针对EAP方法和TLS分别制定了规范；IF-TNCCS是TNCC 和TNCS 之间的接口，定义了TNCC与TNCS之间传递信息的协议；IF-IMC是TNCC与各个IMC组件之间的接口，定义了TNCC与IMC之间传递信息的协议；IF-IMV是TNCS与各个IMV组件之间的接口，定义了TNCS与IMV之间传递信息的协议；IF-M是IMC与IMV之间的接口，定义了IMC与IMV之间传递消息的协议。目前各个接口的定义都已经公布，接口与协议的定义非常详细，有的甚至给出了编程语言与操作系统的绑定。在TNC架构中，平台的完整性状态将直接导致其是否被允许访问网络。如果终端由于某些原因不能符合相关安全策略时，TNC架构还考虑提供终端修补措施。在修补阶段中终端连接的是隔离区域。TNC并没有强制要求终端具有可信平台，但是如果终端具有可信平台，那么针对可信平台的