基于可信计算的可信认证模型研究.pdf

基于可信计算的可信认证模型研 究 李 炜 张仕斌 安 宇俊 成都信息工程学院 网络工程学院 四川 成都 6 1 0 2 2 5 了 种基于可信计算的可信认证模型 通过计算评估当前网络用户 安全状 份的可信认证 保证 了网络用户接 入的安 全性 曩 蕊 鞲 臻 A Tr u s t e d Ce r t i f i c a t i o n Mo d e I L I We i Z H A N G S h b a s e d o n Tr u s t e d Co mp u t i n g b i n A N Y u j u n C h e n g d u U n i v e r s i y o Y m f 御a 初 n T s c h n o l o g y C k e n g d u S c k zi a n 6 1 0 Z 2 5 c m a Ab s t r a c t n t h e t r a d i t io n a l n e t wo r k c o n s id e r in g s e c u r it y is s u e s a b o u t u s e r a c c e s s t h is p a p e r p r o p o s e d a c r e d ib l e c e r t i f ic m t i o n mo d e l b a s e d o n t r u s t e d c o mp u t in g T h o u g h c o mp u t in g a n d e v a lu a t i n g s e c u r it y s t a t e o f c u r r e n t n e t wo r k u s e r s u s in g t h e c o r r e s p o n d i n g a c c e s s c o n t r o l p o l ic y we c a n id e n t i f y t h e c r e d ib i li t y o f t h e n e t wo r k u s e r wh ic h e n s u r e t h e s e c u r it y o f u s e r a c c e s s Ke y wo r d s T r u s t e d C o mp u t in g t r u s t e d a c c e s s i n g c o n n e c t io n a u t h e n t i c a t io n n e t wo r k s e c u r i t y 1引言 对于计算机安全 传统的手段如反病毒 防火 墙 人侵检测等在一定程度上解决了计算机 系统的 一 些安 全 问题 但是 对于 信 息安 全敏 感 的用户 如 金 融 电信 电力 等 行业 部 门的专 用 网络 他 们在 物理 网络上是与外界隔离的 来 自内部的人为攻击 就成 了整个系统的主要威胁 这种情况下 确保接 入内网的终端可信 以及终端行为的可信就成了我们 需要解 决 的主 要 问题 为了解决这些问题 需要对每个接入的网络用 户进行可信认证 这样就 明确了接入用户当前是否 处于安全状态 并在提供服务前辨别待接入网络用 户本身是否安全可信 从而解决网络用户接入的安 全 可信 的认 证 问题 2可信计算技术介绍 计 算机 硬 件 最底 层 和软 件最 底 层 是整 个 安全 的 基础 要解决计算机终端的安全问题 就要在源头 上抓 起 来保 证 整个 系统 的安 全 可 信计 算 的概 念 最早由可信计算组织 T r u s t e d C o mp u t i n g G r o u p TCG 提出 其主要思路是在 PC机的硬件平台上 2 9 l 固E 1 0 豳2 0 1 1 0 3 1 www F I S C or g c n 引入安全芯片 TP M 架构 通过该芯片所提供的 安 全特性 来提 高终 端 系统 的 安全性 可信计算平台基 于 TCG的相关规范规定 了三 种可信根 分别是可信度量根 RTM 可信存储 根 RT S 可信报告根 RTR0 其中 可信存储 根和可信报告根存 储在不可篡 改的可信平 台模块 T r u s t e d P l a t f o r m Mo d u l e T P M 中 核心可信 度量根 CRTM 存储在基本输入输出系统 Ba s i c I n p u t O u t p u t S y s t e m B I O S 中 可信度量根是 建 立 可信 链 的重 要部件 是不 需要 度量 的初 始化 可 信部件 由该部件度量可信计算环境中的其他部件 开 始信 任链 的 建立 和传 递 在 各计 算模 块之 间实 现 信任 的传 递 基于可信平台模块 的可信网络接入 TN C 技 术 最 早是 由 T C G提 出的 其 主 要 目的 是 通 过 使用 可 信主机 提 供 的终端 技 术 实现 网络 访 问控制 的协 同工 作 TNC的 主要 思 想 是 当终 端 要 访 问 网络之前 对终端的身份进行识别 对其完整性进 行检 测 以及 对其 安全 策略 进 行判 定 对满 足安 全策 略要 求 的终端 允许 接入 网络 否则 拒绝 接入 或进 行隔 离修 复 3基于可信计算的可信认证模型 本 文 所 提 出 的 可 信 网 络 认 证 模 型 有 四 个 实 体 接入请求者 Ac c e s s Re q u e s t o r AR 一般 是 PC机 智能手机等 安全策略执行者 Po l i c y E n f o r c e me n t Po i n t P E P 一般 是 交换机 路 由器 防火墙等 策略决策者 Po l i c y De c i s i O i l P o i n t P DP 和策略服务提供商 P o l i c y S e r v i c e P r o v i d e r P S P 这部分是可信网络连接技术体系 结构的核心部分 根据事先制定的安全策略 对请 求接入网络 的终端 系统的完整性和安全性进行评估 判 定 另外 在 这 个认 证 模型 中还 包含 一个 隔 离 的 网 络环境 即修复网络 R e me d y Ne t wo r k R N 用 于修复不合规的接入请求者 图 1 给出了可信网络 接 人 的认证 模 型 图 1 可 信接 八 认 证 模 型 3 1认证模型层次结构 参照 TCG的 TNC架构规范 我们将模型分为 四个抽象层 如图 2所示 分别为 网络访问层 完整性评估层 完整性测量层 系统修复层 各层 的主要功能描述如下 1 网络访 问层 主要负责接入主机和服务器之 间网络连接 的建立 数据传输通道 基本 的数据安 全等 功 能 为 上层 提 供 发送 与 接 收数 据 的接 口 该 层包括网络访问请求模块 策略执行端 P E P 和网 络 访 问授 权模 块 2 完整性 评估层 该层根据不 同的安全策略 从不同的角度去评估 A R的完整性 和安全性 并决 定 和 实现 相 关访 问 权 限 该层 主 要 包括 可 信 客 户端 模块 和可 信服 务端 模块 两 部分 3 完整性测量层 主要负责收集和测量与 A R 可 信性相关 的完整性 信息 并 将验证 结果发送给 完整性评估层 该 层主要包括 可信信 息测量模块 I MC 和可信信息验证模块 I MV 4 系统修复层 该层主要通过建议修改安全策 略 等方 式或 通过 某种 手段 使 系统恢 复 至可 信状 态 晰 求 饿 舶 饿嘶 决 傲 x M l 采 臻修蛆 俘疆豫 I I 图 2 认 证 模 型 层 次 结 构 3 2接入 认证建 立过程 步 骤 0 开 始 网 络 连 接 网络 访 问请 求者 需 要 准备好所需要的完整性信息 交给 I MC 步骤 1 客户端 上的网络访 问点向策略实施 点 发 起 网络 访 问请 求 这 个 策 略实 施 点通 常 是一 个 网 络 接入 网关 步骤 2 策略 实施点接收到连 接请求后 将访 问请求 描述 发往 网络访 问授 权者 步骤 3 假 设 授 权 被 允许 了 网络 访 问授 权 者 将请求发送至上层的 TNC服务端 步骤 4 T NC服务 端开 始 对客 户端 的授 权验 证 步骤 5 TN C客户端告诉完整性收集器开始 了 一 个新的网络连接 需要进行身份认证和完整性校 验 并获取 TP M 芯片的平台证书和 P I K证书作为 客户端的身份信息 完整性收集器返回所需信息 步骤 6 TN C服 务端 接 收到 这 些信 息并 将其 交 给 完整 性校 验 者 这 个 网络 连 接需 要 一个 完 整性 握 手协议 在这个过程中 TNC客户端和 T NC服务 端需要交换一次或多次数据 直到 TN C服务器端 2 0 1 1 0 3 圆l 豳 3 0 nvW nSC 0r a cD 1 满 意为止 步骤 7 当 T NC服务器完成对客户端的完整性 握 手时 它将 发 送消 息给 网络 访 问授权 者 要 求 允 许访 问 这时 网 络访 问授 权者 若还 有 别的 安全 考虑 仍然 可 以不 允许 网络访 问者 访 问 步 骤 8 网 络 访 问授 权 者 将 最 终 的 决 定 传递 给 PEP 步骤 9 PE P根据接收到的接入决策对网络请 求发 起者 执行 允许 接入 网 络 允 许 接入 受限 子 网或 拒绝 接入 3 3可信平台信任链 的建立过程 可信度量依据的是信任链传递的思想 安全计 算机 以安全 BI OS系统和 TPM 安全芯片为信任链 的信任源 与上层的客户端软件一起 完成整个系 统 启动和 接入认 证过程 中的信任 链的建 立过 程 1 启动计 算机 首先 BI OS得到响应 位于 BI OS中的 RTM 随之 启动 RTM 是 不 需要 度 量 的初始化可信部件 RTM 启动后 要求开启一个 TP M 指令信号来进行初始化 TPM 进行 自测 在 这个 过程 中 就 成功 地 完成 了 TPM 的 度量 保 证 了 T P M 的可 信 后 再执 行下一 步 的测量 2 RTM 将对 B1 0S的相关模块进行度量 判 断 是否 可信 对 BI OS度量结 束后 按 照 正常的启 动流程 BI OS要对操作 系统装载器的完整性进行 度 量 负责 对加 载器 代码 的 完整 性进 行度 量 并和 预 期 的完整性 值 进行 对 比 在 完整 性 没有遭 受破 坏 的情况下 操作系统装载器开始运行 3 RTM 对操作 系统内核模块进行度量 即对 所有的操作系统内核文件进行完整性度量运算 若 这些文件的完整性值和预期的值一样 则 RTM 将 控 制权 移 交给操 作 系统 这 时操 作 系统 内核模 块 开 始运 行 并 陆续 加载 操 作 系统 其 他关 键 启动服 务 和 模块 到此为止 就完成 了从 TP M 到 BI OS 从 BI OS到操 作 系统 装载 器 从 操作 系统 装 载器 到 操 作 系统 内核 模块 的 完整性 度量 过程 也成 功地 将信 任链从 RT M 可信根 传递 到 了操 作 系统 3 1 固 晒圈2 0 1 1 0 3 WV e c V n s c or g c 4 操作系统开始启动后 运行于安全计算机上 的客户端系统监控程序 收集操作 系统的运行情况 信 息 并将 收 集 结果 保存 于 TPM 芯 片 中 作 为 接 入认 证 时提 交 的 完整性 度 量信 息 信任 链 由驱动 加 载过 程传 递到 操作 系统工 作过 程 5 此时发起网络连接请求 客户端监控程序访 问 TP M 芯片 从指定 PCR寄存器上读出 2 3 4 步骤 中记录下来的度量结果和驱动加载标识信 息 根据 这 些信 息判 断操 作 系统 加载 过程 中 的可信 状况 同时根据 4 步骤中收集的操作系统运行情 况信息判断操作系统运行状态下的可信状况 如果 认 为 系统 启动 或者 目前 的工作过 程 处于 一种 不 可信 的状态 则限制本客户端的一切 网络请求 直到本 终端修复完成 此步巾 信任链 由本机操作系统传 递 到客户 端 的接入 控制 器 6 待接入终端发起网络连接请求后 服务器根 据接入主机提交的操作系统运行情况信息和完整性 数据对该主机进行接入授权 只有处于 可信 状 态下的可信计算机才能正常的访问网络 客户端系 统 中的 可信 网络 接入 控 制器根 据 服务 器 的接入 授权 结 果 实现 对 本机 的 网络接 入控 制 此 步 中 信 任链 由客 户端 的接 入控 制 器传 递到 整个 网络 环 境 中 至 此 经过 以上 1 一 6 过程 在 TP M 芯片和客户 端系统交互作用的基础上 完成可信计算机 中信任 关系的逐级建立和传递 根据这个启动的流程以及 可信 传递 的过程 将影 响可信 平 台模 块的 因素 划分 为 TPM BI OS 操 作 系统 装载 器 操作 系统 内核 四 个 因素 4结束语 本 文 以可 信 计算 平 台为 背景 结 合 已 有的认 证 模 型 利 用 了 TP M 安全 芯 片惟 一 硬件 标 识信 息为 签名的身份认证和完整性信息度量等功能 提 出了 一 个完整的基于可信计算的可信认证模型 解决了 基 于可信 计算 平 台下的认 证 国 下转第 3 5 页 提示出错信息 i f i p v 6 一 l e n i p h NULL S wi t c h n t o h s p i p h n h 检 查下 一个包头 调用对应的扩展头或上 层协议解码 函数 c a s e I P HEAD TCP D e c o d e TC P c a s e I PHEAD UDP D e c o d e UD P l 经 测 试 添 加 了 I PV 6解 码模 块 的 S n o r t 能 够解析 出报头 各个 域值 的信 息 使 S n o r t 具有 检 测 I P v 6数据 包的 能力 7结论 协 议 分析 技 术 是新 一 代入 侵 检 测 系统探 测入 侵 的主 要技 术 它利 用 网络 协 议的 高度 规则 性快 速探 测攻 击 的存在 与传 统 的模式 匹配 技 术相 比 协议 分析 技 术 在 准确 性 和 整 体性 等方 面 具 有 一定 优 势 协 议分 析 技术 能够 智能 地解 析 协议 避 免 了大 量无 用功 减 少 匹配 计算 量 明显提 升 系统性 能 理论 上 协议 分 析技 术能 够 解决 入侵 检 测领域 长 期 以来 应 用 的瓶 颈 问题 检 测 准确性 以及大 流量 应 用网络 环 境下 的 系统性 能也得 到 了改善 参考文献 1 王艳秋 赵 昭灵 兰 巨龙 一种 基于 IP v 6 的网络入 侵检测 系统 f J 计算机应 用研 究 2 0 0 7 2 1 4 2 1 4 4 1 4 7 2 E F C 2 4 6 0 I n t e r n e t P r o t o c o l V e r s io n 6 S p e c i f ic a t io n S 5 赵慧 周 清雷 基于 S n o r t 的 I P v 6入侵监测 系统 的研 究 J 网络通讯和安 全 2 O O 7 4 李振 强 赵 晓宇 马严等 I P v 6 技 术揭 密 人 民邮 电 出 版 社 2 0 0 6 5 S i J V i a H a g e n 著 技桥译 I P v 6 精髓 清华大学 出版 杠 200 4 6 李振 强 徐 一元 马严 基于 S n o r t的入 侵检 测 系统的 研 究和 实现 J 电信科 学 2 0 0 5 0 8 作者 简介 王 全 民 1 9 6 男 北京 工 业大 学计算 机 学 院 计算 中心 主 任 副教 授 硕 士 生导 师 研 究方 向 信 息安 全 张 丽艳 1 9 8 2 女 北 京工 业 大学 计算机 学 院 2 0 0 8级硕士研究生 研究方向 信息安全 金华锋 1 9 8 5 一 男 北京工业 大学计算机 学院 2 0 0 8级硕 士研 究生 研 究方 向 信息安 全 王淞 1 9 8 5 男 北京 工业 大学计算机 学院 2 0 0 8级硕士研 究生 研 究方 向 信 息安 全 收稿 日期 2 0 1 0 1 2 2 2 上接第 3 1 页 参考文献 1 林 闯 彭 雪 海 可 信 网 络 研 究 J 计 算 机 学 报 2 0 0 5 2 8 o 5 7 5 1 7 5 8 2 王 新 成 可 信 计 算 与 系统 安 全 芯 片设 计 研 究 DB O L 2 0 0 5 0 5 0 7 h t t P b I o g S i n a c 0 m c n S b i o g 538 e e f 9 601 00 c s x7 h t m1 5 I S O I K C 1 1 8 8 9 1 2 0 0 9 I n f o r m a t i o n t e c h n o l o g y T r u s t e d P l a t f o r m M 0 d u e D B O L 2 0 0 9 0 5 1 5 P a r t 1 O v e r v i e w h t t p w w w t r u s t e d c 0 m p u t fn g g r o u p o r g h o m e 4 S e a n W S m i t h 著 冯登 国 徐 震等译 可信 计算平 台 设计与应 用 M 北京 清华大学 出版社 2 0 0 6 1 0 5 樊亚 军 刘久 文 T P M安 全芯 片设 计与实现 J