【Security】可信网络连接

一、可信网络连接需求

目前，计算机之间互联使用远程登录验证、SSL协议、VPN机制等方式来验证和保护计算机之间的连接。但这些机制一般只能确认远程用户的身份和保证数据在网络间的安全传输，并不能保证远端机器是否已经感染了病毒或者被黑客攻陷，也不能保证数据在网络传输过程中有足够的安全控制措施。

【现有机制不能保证远端机器是可信任的，也不能保证数据在网络传输过程中有足够的安全控制措施】

二、TNC可信网络连接架构

TNC是TCG（Trusted Computing Group）组织提出的基于可信2.0的可信网络连接架构。该架构实现一个基于点对点可信网络连接的方案，其结构如图所示：

前言

AR：访问请求者

PDP：策略决定点

PEP：策略执行点

TNCC：TNC客户端

TNCS：TNC服务端

IMC：完整性度量收集器

IMV：完整性度量验证器

IF-PEP：为PDP与PEP的接口，维护PDP和PEP之间的信息传输

IF-T：维护AR与PDP之间的信息传输，并对上层接口协议提供封装，针对EAP方法和TLS分别制定了规范

IF-TNCCS：TNCC和TNCS之间的接口，定义了TNCC与TNCS之间传递信息的协议

IF-IMC：TNCC与IMC组件之间的接口，定义了TNCC与IMC之间的传递信息的协议

IF-IMV：TNCS与IMV组件之间的接口，定义了TNCS与IMV之间的传递信息的协议

IF-M：IMC与IMV组件之间的接口，定义了IMC与IMV之间传递信息的协议

基本流程

①连接请求：访问请求者AR发出访问请求，收集平台完整性可信信息，发送给PDP，申请建立网络连接；

②决策判定：策略决定点PDP根据本地安全策略对AR的访问请求进行决策判定，判定依据包括AR的身份与AR的平台完整性状态，判定结果为允许、禁止、隔离；

③决策执行：策略执行点PEP控制对被保护网络的访问，执行PDP的访问控制决策。

组成构造

AR包括三个组件：

①网络访问请求（发出访问请求，申请建立网络连接，在AR中可以有多个）

②TNC客户端TNCC（收集完整性度量收集器IMC的完整性测量信息，同时测量和报告平台和IMC自身的完整性信息）

③完整性度量收集器IMC（测量AR中各个组件的完整性，在AR中可以有多个）。

PDP包括三个组件：

①网络访问授权者（对AR的网络访问请求进行决策，咨询上层的可信网络连接服务器来决定AR的完整性状态是否与PDP的安全策略一致，从而决定AR的访问请求是否被允许）

②TNC服务端TNCS（与TNC客户端进行通信收集来自完整性度量验证器的决策，形成一个全局的访问决策传递给网络访问授权NAA）

③完整性度量验证器IMV（将IMC传递过来的AR各个部件的完整性测量信息进行验证，并给出访问决策）

处理层次

网络访问层：支持传统的网络连接技术，如802.1X和VPN等机制
完整性评估层：进行平台的认证，并评估AR的完整性
完整性度量层：收集和校验AR的完整性相关信息

具体执行过程

步骤0：初始化IMC和IMV

步骤1：发送连接请求

步骤2：网络访问决策请求。用户认证（NAA与AR之间）->平台认证（AR与TNCS之间）->完整性检查（AR与TNCS之间）

步骤3：NAA通知TNCS连接请求到来

步骤4：TNCS与TNCC进行平台验证

步骤5：TNCS通知IMV新的连接请求发生，需要进行完整性验证。TNCC通知IMC新的连接骑牛已经发生，需要准备完整性相关信息。IMC通过IF-IMC向TNCC返回IF-M消息

步骤6A：TNCC和TNCS交换完整性验证相关的各种信息。这些信息将会被NAR、PEP、NAA转发，直到AR的完整性状态满足TNCS的要求。

步骤6B：TNCS将每个IMC信息发送给相应的IMV。IMV对IMC信息进行分析，如果IMV需要更多完整性信息，它将通过IF-IMV接口向TNCS发送信息。如果IMV已经对IMC的完整性信息做出判断，它将结果通过IF-IMV接口发送给TNCS。

步骤6C：TNCC转发来自TNCS的信息给相应的IMC，并将来自IMC的信息发送给TNCS。

步骤7：当TNCS完成和TNCC的完整检查握手之后，它发送TNCS推荐操作给NAA

步骤8：NAA发送网络访问决策给PEP实施。NAA也必须向TNCS说明它最后的网络访问决定，这个决定也将会发送给TNCC。PEP执行NAA的决策，这一次的网络连接过程结束。

如果完整性验证没通过AR通过PRA访问PRR对相关组件进行更新和修复，然后再次执行上述流程，更新和修复可能存在多次，直到完整性验证通过。

优缺点

优点：

开放性：TNC架构本身就是针对互操作的，所有规范都面向公众开放，研究者可以免费获得相关的规范文档

安全性：TNC是对传统网络接入技术的扩展，再传统的基于用户身份认证的基础上增加了平台身份认证与完整性验证

指导性：TNC的规范内容详细，考虑的问题全面，易于知道产品的实现

系统性：TNC规范自身为一个完整的体系结构，每一个相应接口都有具体规范文档进行详细定义。

缺点：

TNC将可信计算技术应用到网络接入控制，但尚缺乏可信理论的支撑

局限于完整性。完整性只能保证信息的来源可信和未被修改，并不能保证信息的内容可信

单向性的可信评估。TNC的出发点是保证网络的安全性，因此该架构没有考虑如何保护终端的安全

缺乏安全协议支持

缺乏网络接入后的安全保护

应用范围具有局限性

TNC架构处理的是一个点对点的可信问题，在架构中，终端和服务端先进行身份认证协议，策略执行点只是负责身份认证协议的透传。策略执行点利用所获得的秘密信息与终端之间的身份认证只是身份认证确认。而安全要求较高的环境在安全和可信方面一般是集中管理模式。集中管理模式下很多安全和可信的需求是TNC这种点对点的可信处理方式难以解决的。如合谋攻击问题。

在实施集中安全管理的场合，安全策略应该由安全管理中心决定。但是从性能角度考虑，具体的策略决策和执行一般还是要下放到服务器等网络服务设备中。在服务器可信的情况下，TNC可以较好的发挥作用，但如果服务器被攻击者劫持、服务器管理员为恶意用户，与外部的恶意访问请求者之间进行串通合谋，向策略执行点部署不恰当的策略，或者策略执行点的策略被恶意篡改，导致系统出现安全问题时，由于策略点不参与可信协议，安全管理中心对系统并没有有限的验证和控制方法。

集中安全管理是我国等级保护系统和分级保护系统的普遍要求，同时也适用于云计算、物联网、工控系统、电子政务等多种信息系统场合，因此，提出适合集中安全管理模式的可信连接架构是信息系统安全可信的紧迫需求。

三、TCA可信网络连接架构

TCA是我国自主创新的一套三元（访问请求者、访问控制器、策略管理者）三层（完整性度量层、可信平台评估层、网络访问控制层）的可信网络连接架构，通过基于身份鉴别、平台鉴别来实现基于端口的访问控制。其身份鉴别可提供对身份合法性的验证，其平台鉴别可提供对平台安全状态的评估，包括对平台中各个组件的完整性、运行状态、端口状态、补丁状态等的评估，支持对连接两端设备的隔离/修补，可确保网络连接两端设备的平台是可信赖的。

TCA采用了三元三实体的可信连接架构，其架构如图所示。三元结构中有访问请求者AR、访问控制器（Access Controller，简称AC）和策略管理器（Policy Manager，简称PM）三个实体, 而且根据组件的功能把不同实体中的组件分为三个抽象层次，分别为：网络访问层(Network Access Layer)、可信平台评估层(Trusted Platform Evaluation Layer)和完整性度量层(Integrity Measurement Layer)。涉及用户鉴别和平台鉴别两个核心机制，其中AR和AC都具有可信平台控制模块（TPCM，Trusted Platform Control Module），支持AR和AC之间的双向平台鉴别，AC参与身份鉴别和平台鉴别协议处理，同时架构也对用户鉴别与平台鉴别进行了绑定处理，提供了原子性安全。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-m1DLyzIx-1642574232984)(TCA架构.png)]

前言

AR：访问请求者

AC：访问控制器

PM：策略管理器

NAR：网络访问请求者

TNCC：TNC客户端

NAC：网络访问控制者

TNCAP：TNC接入点

IMC：完整性度量收集者

APS：鉴别策略服务者

EPS：评估策略服务者

IMV：完整性度量校验者

IF-TNT：NAR与NAC之间的可信网络传输接口

IF-APS：NAC和APS之间的鉴别策略服务接口

IF-TNCCAP：TNCC和TNCAP之间的接口

IF-EPS：TNCAP和EPS之间的鉴别策略服务接口

IF-IM：IMC和IMV之间的完整性度量借口

组成构造

AR包含三个组件：

①NAR

②TNCC

③IMC

AC包含三个组件：

①NAC

②TNCAP

③IMC

PM包含三个组件：

①APS

②EPS

③IMV

处理层次

网络访问控制层：网络传输机制采用三元鉴别可扩展协议（TAEP），利用隧道方法来建立AR和AC之间的安全隧道，在安全隧道中传输内TAEP包。控制机制采用基于三元对等鉴别的访问控制方法（TePA-AC），利用外TAEP鉴别方法来实现AR和AC之间双向用户身份鉴别。
可信平台评估层：利用平台鉴别基础设施（PAI）来实现AR和AC之间的双向平台鉴别，包括PAI管理模型和PAI协议两部分。PAI管理模型制定了网络连接管理的相关角色与管理约定。PAI协议制定了PAI的相关角色、协议分组格式定义以及协议流程。
完整性度量层：制定了IF-IM、IF-IMC、IF-IMV消息协议。

相比之下，TCA的三元三层可信连接架构让它的安全可信性能更胜一筹。这一架构在纵向上把网络访问、可信评估和可信度量分层处理，使得系统的结构清晰，控制有序。在横向上则进行访问请求者、访问控制者和策略仲裁者之间的三重控制和鉴别，实现了服务器集中控管的网络可信连接模式，提高了架构的策略和可管理性。同时对访问请求者和访问控制者实现统一的策略管理，提高了系统整体的可信性。但总体而言，它仍然具有与TNC类似的局限性，包括局限于完整性验证、缺乏接入之后的安全保护、缺乏安全交互协议支持以及缺少应用支撑等。

TCA和TNC对比分析

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zcmIrNkO-1642574232985)(TNC与TCA对比.png)]

需要指出的是TCA在身份鉴别和平台鉴别中所采用的三元对等架构是TePA国际标准ISO/IEC 9798-3:1998/Amd.1:2010中给出安全机制，该安全机制也是近10年来全球范围内在实体鉴别-非对称机制领域内惟一新技术，TePA国际标准则是中国在信息安全基础共性技术领域提交并获通过的第一个国际标准。

总体来说，从以上的对比可以看出，虽然TNC也采用了三层架构，也有三个实体，但在架构设计上并没有考虑对网络接入端PEP的平台鉴别和平台完整性评估，在TNC架构的安全性设计上实质等同于是一个两元的架构，虽然对接入网络的终端进行了身份及平台的鉴别，确认了终端身份的合法性和平台环境的完整性，但往往是从方便网络提供者进行识别、计费等管理出发考虑的；对网络侧则并没有相同的要求，从棱镜门事件可知，构建网络的大量的无人值守的交换机、路由器等网络设备，其本身的合法性和安全性也是同等重要的。因此，TNC并不适用于重要信息系统的安全，因为重要信息系统一般要求符合等级保护的集中式安全管理模式，这一模式防内重于防外，防范内部人员作案是重中之重。而TNC的可信鉴别方式无法防范内外勾结的合谋攻击行为。

综合而言，TCA三元三层的可信网络连接架构在集中管理的应用场合，如局域网办公自动化环境、工控系统、云计算、物联网等领域具有广泛的适用性。

四、直接匿名证明DAA

个人认为在TNC点对点基础上进行直接匿名证明方式可以解决其存在的一些安全性问题，但目前只是个人想法。相对技术的成熟性来说，直接匿名证明现阶段在可信方面的直接利用较少，且安全性还待验证。

五、参考资料与补充

参考资料

《可信计算》张焕国、赵波

西电捷通：可信网络技术TCA和TNC架构对比

可信计算技术

补充

可信计算相关国际标准

TCG规范：TCG于2003年到2008年已经建立起比较完整的TPM1.2技术规范标准体系。包括：TPM功能与实现规范（TPM main specification 1.2）；TSS功能与实现规范（TSS specification version 1.2）；针对PC平台的TCG规范（PC client specific implementation specification，for conventional BIOS，Version 1.2）；针对服务器平台的TCG规范（TCG server specific implementation specification for TCG version 1.2和TCG IPF architecture server specification）；针对手机平台的TCG规范（mobile phone technical specification 1.0和use case）；基础设施技术规范，包括身份证书、网络认证协议、完整性收集和完整性服务等规范。其中一个可信网络连接工作小组，已经制定出一系列可信网络连接的协议、接口规范，将对网络安全技术发展产生重要的影响；针对外设在可信计算架构中的技术规范；针对网络安全存储的TCG规范（storage architecture core specification 1.0）基于CC（common criteria）的相关符合性的测评规范等。从TCG的技术标准体系涵盖的范围可以看出，TCG 技术标准已经渗透到IT技术每一个层面。

美国可信计算机安全评价标准（TCSEC）：TCSEC 标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。《可信计算机系统评价准则》第一次提出可信计算机和可信计算基（TBC， Trusted Computing Base)的概念，并将TBC作为系统安全的基础。该准则于1970 年由美国国防科学委员会提出，1985年，国防部国家计算机安全中心代表国防部制定并出版《可信计算机安全评价标准》，即著名的“桔皮书”。TCSEC将计算机系统的安全划分为4个等级、7个安全级别，如表1所示。

欧洲信息安全评价标准（ITSEC）：ITSEC 是英国、法国、德国和荷兰制定的 IT安全评估准则，较美国军方制定的TCSEC准则在功能的灵活性和有关评估技术方面均有很大的进步。ITSEC是欧洲多国安全评价方法的综合产物，应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。功能准则从F1～F10共分10级。1～5级对应于TCSEC的D到A。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。评估准则分为6级，分别是测试、配置控制和可控的分配、能访问详细设计和源码、详细的脆弱性分析、设计与源码明显对应以及设计与源码在形式上一致。

可信计算相关国家标准

2020

信息安全技术可信计算可信计算体系架构

https://www.doc88.com/p-51573103630409.html

信息安全技术可信计算可信连接测试方法

https://www.doc88.com/p-99139714216972.html

2019

信息安全技术可信计算规范可信软件基

https://www.doc88.com/p-9962912263079.html

2018

信息安全技术可信计算规范服务器可信支撑平台

https://www.doc88.com/p-2863982669536.html

2014

系统与软件工程可信计算平台可信性度量第1部分：概述与词汇

https://www.doc88.com/p-9877401502414.html

系统与软件工程可信计算平台可信性度量第2部分：信任链

https://www.doc88.com/p-0733840029795.html

2013

信息安全技术可信计算规范可信平台主板功能接口

https://www.doc88.com/p-9055916778356.html

信息安全技术可信计算规范可信连接架构

https://www.doc88.com/p-5864718296818.html

信息安全技术可信计算密码支撑平台功能与接口规范

https://www.doc88.com/p-2304486915272.html?s=rel&id=2

可信计算相关行业标准

2020

可信计算平台直接匿名证明规范

https://www.doc88.com/p-98761769579972.html

可信计算可信密码模块接口规范

https://www.doc88.com/p-61073076907976.html

2018

可信计算TCM服务模块接口规范

https://www.doc88.com/p-1071737897841.html

2012

可信计算可信密码模块符合性检测规范

https://www.doc88.com/p-9485017972219.html

可信计算可信密码支撑平台功能与接口规范

https://www.doc88.com/p-9723836961133.html