一种可信接入架构设计.docVIP

一种可信接入架构设计 　　【摘要】随着互联网技术不断发展，网络安全问题也日趋严峻，如何来有效构建可信网络已成为当前业界所关注的热点之一。本文在对可信网络连接模型进行深入研究的基础上设计了一种可信接入架构，给出了终端用户接入可信网络的具体实施方案，有效解决了可信网络连接模型中只注重终端用户在接入网络前的决策判定而缺乏在接入网络过程中的实时控制等问题。 　　【关键词】可信性测评；用户当前可信度；接入控制；访问控制 　　1.引言 　　当前大多数网络的攻击事件都是由内部终端首先发起，因此研究基于终端网络的连接控制显得尤为重要[1]。可信网络连接（TNC）技术[2-3]是在保障了终端硬件安全地基础上，将信任链拓展到网络中，从而来提升网络的可靠性和可信性。本文在原有TNC模型的基础上设计了一种可信接入架构，该接入架构不但要求对终端在接入网络前进行接入判定，而且要求在终端接入网络的整个过程中进行实时监控，以便于实施接入策略的动态更新。 　　2.架构总体设计 　　TNC模型体系结构包括三大功能模块：分别是网络接入请求者NAR，策略执行者PEP和策略决策者PDP。其中网络接入请求者NAR通常是指需要接入网络的用户及相关网络的终端接入设备；策略执行者PEP通常是指对网络起安全防护作用的控制设备；策略决策者PDP的主要功能是依据网络安全需求来设定相应可信访问策略，通常是由可以实现接入认证及网络访问控制的服务器充当。本文设计的可信接入架构在TNC原有实体模块的基础上对其功能进行了扩展，如图1所示。 　　3.终端用户的可信性测评 　　架构总体设计中，在基于TNC客户端的网络接入请求者NAR终端平台上增设了两个功能模块，即平台信息收集模块和终端属性信息收集模块；在TNC服务器端增设了一个可信性测评模块；在可信网络系统的内部增加了一个历史行为监控模块。 　　（1）平台信息获取模块：它的主要职责是获取可信网络连接过程中的终端平台身份认证信息及完整性度量等信息。其中终端平台的完整性度量信息是自平台启动之后通过信任链传递方式对平台各硬件和软件部件执行完整性度量机制所获得的相关平台完整???的证明信息。 　　（2）终端属性信息获取模块：它的主要职责是获取描述用户身份特征的属性信息，该类信息一般是用户与系统交互过程中所主动提交的静态信息，信息获取模块将会依据评估策略选择其中对评估结果将会产生影响的相关属性信息。 　　（3）历史行为监控模块：在TNC模型中，NAR进入网络系统后，没有相应监控措施，规范其的资源访问行为，即不能够保证NAR的长期可信性，这直接导致了终端接入网络后带来的安全隐患。为了让终端用户在身份及平台状态都符合接入要求的前提下，对网络资源执行权限范围内的无恶意违规操作的访问，有必要在整个资源访问过程中增设相应的实时监控机制[4-5]来约束用户在网络中的资源访问行为。因此，在总体架构设计中增设了一个历史行为监控模块，由它来负责记录用户在可信网络中的操作行为，并将记录信息反馈到可信性测评模块，作为一个操作周期以后再次对终端用户可信性进行测评地重要依据之一。 　　（4）可信性测评模块的主要职责是利用收集到的测评信息对终端用户进行可信性评定，首先依据收集到的终端用户各种认证信息和行为监控信息是否满足系统安全策略，来判定是否将其列为可信任的NAR，若判定结果为可信任的NAR，则进一步分析评估其的安全状态以确定终端用户的当前可信程度，即用户当前可信度T（u）并实施接入控制策略，其过程大致分为两个阶段：①根据收集到的各种测评信息来评定终端用户当前受信任的程度即用户当前可信度T（u），若T（u）的值大于系统事先所设定的网络接入可信度NST时，则将其列入受信任的NAR，允许其接入网络，并执行随后的资源访问授权活动，否则把该NAR列为非法接入者，禁止接入网络或者将其转入受控子网要求进行隔离修复。②根据用户当前可信度T（u）的评定结果，确定NAR受信任的程度，以实施相应的授权操作。T（u）值越大，说明他在网络系统中的受信任程度越高，所对应的操作权限就越大；反之，T（u）值越小，说明他在网络系统中的受信任的程度越低，相应操作权限也就越小。 　　当一个操作周期结束，可信性测评模块将启动周期性测评机制，来对接入网络的终端用户其可信性进行重新评定。 　　4.架构中的接入控制 　　架构总体设计中，TNC客户端将用户身份认证信息及平台认证信息传递给实施策略执行者PEP及策略决策者PDP功能于一身的TNC服务器端，在TNC服务器端接收到相关接入认证信息后，首先会对用户身份进行可信性的检验，待用户身份认证通过以后，继续进行平台的认证，包括对平台身份和平台完整性的检验，其中在对基于可信芯片的终端平台执行平台身份认证时，根据可信服务机构例如privacy CA颁