《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 基于TCM的網(wǎng)絡(luò)安全訪問(wèn)模型

基于TCM的網(wǎng)絡(luò)安全訪問(wèn)模型

2020-12-09
來(lái)源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心

  摘要:分析Google公司的BeyondCorp安全訪問(wèn)模型,基于TCM標(biāo)準(zhǔn)的可信計(jì)算平臺(tái),借鑒 BeyondCorp企業(yè)安全方法,結(jié)合TNC可信網(wǎng)絡(luò)接入、用戶PKC證書驗(yàn)證和基于屬,性證書的訪問(wèn) 控制,實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)過(guò)程中的設(shè)備、用戶身份認(rèn)證和應(yīng)用服務(wù)權(quán)限管理,從而提供一種適用于內(nèi) 網(wǎng)的身份認(rèn)證、授權(quán)和訪問(wèn)控制的網(wǎng)絡(luò)安全訪問(wèn)模型,以解決“企業(yè)內(nèi)網(wǎng)不可信”的問(wèn)題。最后, 對(duì)該模型的安全性設(shè)計(jì)進(jìn)行了描述。

  引言

  傳統(tǒng)網(wǎng)絡(luò)采用的是“邊界”防護(hù)的安全模型,“內(nèi)網(wǎng)”是假定無(wú)條件安全和可信的。這種安全模 型存在問(wèn)題:一方面,邊界防護(hù)無(wú)法防護(hù)企業(yè)內(nèi)網(wǎng) 的非法訪問(wèn)行為;另一方面,一旦邊界被突破,攻 擊者就可以暢通無(wú)阻地訪問(wèn)企業(yè)內(nèi)網(wǎng)的所有資源。Google公司針對(duì)這種情況,部署實(shí)施了_種新的企 業(yè)安全方法 BeyondCorpo本文借鑒其設(shè)計(jì)思路, 基于可信密碼模塊(Trusted Cryptographic Module, TCM)的可信計(jì)算平臺(tái),通過(guò)使用多種安全認(rèn)證和 授權(quán)手段,提出了一套輕量化的、適用于企業(yè)內(nèi)網(wǎng) 的安全訪問(wèn)模型。

  1 BeyondCorp企業(yè)安全方法

  2014 年 12 月,Google 陸續(xù)發(fā)表了 5 篇 BeyondCorp 論文,全面介紹了 BeyondCorp的結(jié)構(gòu)和實(shí)施情況。

  BeyondCorp的核心思想是摒棄企業(yè)特權(quán)網(wǎng)絡(luò),即“零 信任網(wǎng)絡(luò)”概念:不信任任何網(wǎng)絡(luò),訪問(wèn)只依賴于 設(shè)備和用戶憑證,不再關(guān)心網(wǎng)絡(luò)位置。用戶可以從任何網(wǎng)絡(luò)發(fā)起訪問(wèn),除網(wǎng)絡(luò)延遲以外,對(duì)企業(yè)資源 的本地和遠(yuǎn)程訪問(wèn)體驗(yàn)基本一致。

  BeyondCorp的關(guān)鍵組件包括:( 1 ) 安全識(shí)別 設(shè)備,包括設(shè)備清單數(shù)據(jù)庫(kù)、設(shè)備標(biāo)識(shí);( 2 ) 安全識(shí)別用戶,包括用戶和群組數(shù)據(jù)庫(kù)、單點(diǎn)登錄系統(tǒng);( 3 ) 從網(wǎng)絡(luò)中消除信任,包括部署無(wú)特權(quán)網(wǎng)絡(luò)、 有線和無(wú)線網(wǎng)絡(luò)接入的802.1X認(rèn)證;( 4 ) 外化應(yīng)用和工作流,包括面向互聯(lián)網(wǎng)的訪問(wèn)代理、公共的DNS記錄;( 5 ) 實(shí)現(xiàn)基于清單的訪問(wèn)控制,包括 對(duì)設(shè)備和用戶的信任推斷、訪問(wèn)控制引擎、訪問(wèn)控 制引擎的消息管道。

  BeyondCorp的組件和訪問(wèn)流如圖1所示。

  圖片

  圖1 BeyondCorp組件和訪問(wèn)流

  BeyondCorp的核心在業(yè)務(wù),關(guān)注的是數(shù)據(jù),是 網(wǎng)絡(luò)流量的不可信。Google從2011年開(kāi)始實(shí)施和 部署B(yǎng)eyondCorp,投入了大量資源,是小公司和機(jī) 構(gòu)無(wú)法負(fù)擔(dān)的。本文借鑒其安全設(shè)計(jì)思路,剝離主 要用于互聯(lián)網(wǎng)的訪問(wèn)代理、信任推斷以及更高階的 自學(xué)習(xí)自適應(yīng),保留關(guān)鍵組件中的驗(yàn)證用戶、驗(yàn)證 設(shè)備和權(quán)限控制,將其引用到傳統(tǒng)的內(nèi)網(wǎng)安全訪問(wèn) 中,形成一種輕量化的網(wǎng)絡(luò)安全訪問(wèn)模型,即基于 TCM的網(wǎng)絡(luò)安全訪問(wèn)模型。

  2 關(guān)鍵技術(shù)

  2.1 TCM可信計(jì)算平臺(tái)

  國(guó)際上通用的可信計(jì)算規(guī)范由可信計(jì)算組織 (Trusted Computing Group, TCG)制定,核心是可信 平臺(tái)芯片(Trusted Platform Module, TPM )和可信軟 件棧(Trusted Software Stack,TSS ) o TCM 對(duì)應(yīng) TPM, 是我國(guó)具有自主知識(shí)產(chǎn)權(quán)的可信芯片。對(duì)應(yīng)TSS的 是 TCM 服務(wù)模塊(TCM Service Module, TSM )。TCM和TPM的主要區(qū)別如表1所示囹,其中TCM 存儲(chǔ)主密鑰(Storage Master Key, SMK )獨(dú)創(chuàng)性地使用了對(duì)稱密鑰。

  表1 TCM和TPM的區(qū)別

  圖片

  基于TCM和TSM,對(duì)本地進(jìn)行軟硬件可信度 量后的計(jì)算環(huán)境稱為TCM可信計(jì)算平臺(tái)??尚哦?量的依據(jù)是信任鏈傳遞:每一步的度量值作為下一 步度量輸入的一部分,逐步計(jì)算出最后的度量結(jié) 果乳信任鏈傳遞的過(guò)程如圖2所示。

  BIOS f自檢f 主引導(dǎo)區(qū)-> OS裝載器—? OS內(nèi)核-> 驅(qū)動(dòng)

  圖2 信任鏈傳遞

  度量初始值記錄在TCM可信存儲(chǔ)區(qū)中,設(shè)備 完成初始度量后的每次開(kāi)啟過(guò)程執(zhí)行度量比對(duì),比 對(duì)不一致則認(rèn)為設(shè)備不再可信。

  2.2 可信網(wǎng)絡(luò)接入

  可信網(wǎng)絡(luò)接入(Trusted Network Connect, TNC ) 是TCG在網(wǎng)絡(luò)安全方面提出的可信接入控制技術(shù), 主要基于802.lx接入控制協(xié)議,實(shí)現(xiàn)基于端口的網(wǎng) 絡(luò)接入控制,架構(gòu)如圖3所示。

  圖3 TNC體系架構(gòu)

  TNC架構(gòu)中,PDP負(fù)責(zé)對(duì)終端進(jìn)行平臺(tái)身份認(rèn) 可以充當(dāng)PEP和PDP的角色,滿足終端接入可信網(wǎng) 證和完整性驗(yàn)證,PEP根據(jù)PDP的驗(yàn)證結(jié)果進(jìn)行授 絡(luò)的應(yīng)用需求o可信交換機(jī)應(yīng)用方式如圖4所示。權(quán)訪問(wèn)控制?;赥CM和TNC實(shí)現(xiàn)的可信交換機(jī)。

  圖4 可信交換機(jī)應(yīng)用方式

  2.3 基于屬性證書的訪問(wèn)控制

  2000年,ITUX.509(2000)頒布(RFC3281), 其中完整定義了屬性證書(Attribute Certificate, AC ), 該標(biāo)準(zhǔn)也被稱為X.509 V4O AC將持有者的名字和 一系列“屬性”綁定,這些屬性用來(lái)表明證書持有 人的用戶群組身份、角色以及安全權(quán)限等。

  基于AC的訪問(wèn)控制機(jī)制有基于角色的訪問(wèn)控 制(Role-Based Access Control, RBAC ) 和基于 屬性的權(quán)限控制(Attribute-Based Access Control, ABAC ) 等。兩者實(shí)現(xiàn)較為復(fù)雜,在內(nèi)網(wǎng)環(huán)境中 可釆用基于屬性證書實(shí)現(xiàn)的安全訪問(wèn)服務(wù)方案。該方案的應(yīng)用體系結(jié)構(gòu)如圖5所示。

  圖5 基于屬性證書的應(yīng)用體系結(jié)構(gòu)

  3 基于TCM的網(wǎng)絡(luò)安全訪問(wèn)模型

  借鑒Google的BeyondCorp架構(gòu),基于TCM可 惜計(jì)算平臺(tái),結(jié)合可信交換機(jī)、用戶公鑰證書(Public Key Certificate, PKC )驗(yàn)證和基于屬性證書的訪問(wèn) 控制技術(shù),構(gòu)建了一個(gè)輕量化的基于TCM的網(wǎng)絡(luò) 安全訪問(wèn)模型,模型架構(gòu)如圖6所示。

  圖6  基于TCM的網(wǎng)絡(luò)安全訪問(wèn)模型架構(gòu)

  3.1 系統(tǒng)初始化

  3.1.1 人 員

  人事部門根據(jù)人員、部門以及業(yè)務(wù)等信息,制 定“用戶/組數(shù)據(jù)庫(kù)”,同時(shí)為每一個(gè)員工配發(fā)唯 —的 TCM 模塊。證書權(quán)威(Certificate Authority, CA)依據(jù)用戶/組數(shù)據(jù)庫(kù)信息,為每一個(gè)用戶簽發(fā) PKC,這是用戶的唯一標(biāo)識(shí)。PKC作為模塊證書, 存儲(chǔ)在TCM中。所有的PKC同步在PKC目錄服務(wù) 器上,供對(duì)外查詢使用。

  3.1.2 設(shè) 備

  全部設(shè)備均由企業(yè)統(tǒng)一采購(gòu),預(yù)裝TSM,并建 立設(shè)備資產(chǎn)庫(kù)。資產(chǎn)庫(kù)建立設(shè)備和人員的綁定關(guān)系。CA為每一臺(tái)設(shè)備簽發(fā)設(shè)備證書,設(shè)備證書作為平 臺(tái)身份證書寫入到與人員配對(duì)的TCM中。

  TCM接插到設(shè)備上,第一次加電啟動(dòng)完成初始 化度量,完成TCM和設(shè)備的強(qiáng)綁定。經(jīng)過(guò)可信度 量的設(shè)備被記錄到可信設(shè)備白名單中??尚旁O(shè)備白 名單可動(dòng)態(tài)管理設(shè)備狀態(tài),如已報(bào)失的設(shè)備將被至 為不可信/掛失,該設(shè)備將不再具有安全訪問(wèn)能力。

  3.1.3 權(quán) 限

  企業(yè)根據(jù)人員、業(yè)務(wù)和安全考慮,制定用于資 源訪問(wèn)的資源庫(kù)。資源庫(kù)統(tǒng)一管理企業(yè)內(nèi)網(wǎng)中的應(yīng) 用服務(wù)資源。根據(jù)粒度不同,資源可以是服務(wù)器級(jí) 別的、服務(wù)級(jí)別的,也可以是微服務(wù)架構(gòu)中“微服務(wù)。

  CA 為屬性權(quán)威(Attribute Authority, AA)授權(quán)。AA根據(jù)用戶/組和資源信息,為每個(gè)用戶簽發(fā)屬性 證書。屬性證書中詳細(xì)定義用戶訪問(wèn)每個(gè)資源的權(quán)限。

  3.2 安全訪問(wèn)過(guò)程

  系統(tǒng)初始化完成后,當(dāng)新的終端需要接入企業(yè) 內(nèi)網(wǎng)時(shí),要進(jìn)行一次完整的安全訪問(wèn)過(guò)程,包括設(shè) 備認(rèn)證、用戶認(rèn)證和訪問(wèn)控制請(qǐng)求。統(tǒng)一認(rèn)證核心 負(fù)責(zé)整個(gè)安全訪問(wèn)請(qǐng)求的調(diào)度和判決。統(tǒng)一認(rèn)證過(guò) 程(不包括TNC )交互如圖7所示。

  圖7 安全訪問(wèn)過(guò)程

  3.2.1 設(shè)備認(rèn)證

  終端設(shè)備接入可信交換機(jī),即進(jìn)行TNC接入 認(rèn)證過(guò)程。認(rèn)證使用的是終端上TCM中的平臺(tái)身 份證書。TNC認(rèn)證通過(guò)后,終端可向應(yīng)用服務(wù)發(fā)起 連接請(qǐng)求。應(yīng)用服務(wù)接收到請(qǐng)求后,首先要求終端 (TSM實(shí)現(xiàn)客戶端代理功能)回復(fù)TCM模塊的唯 一標(biāo)識(shí)(TCM Identity, TCMID ),然后向統(tǒng)一認(rèn)證 發(fā)送安全訪問(wèn)請(qǐng)求。安全訪問(wèn)請(qǐng)求至少包含要求網(wǎng) 絡(luò)訪問(wèn)的終端TCMID和被訪問(wèn)的資源信息。

  統(tǒng)一認(rèn)證根據(jù)TCMID在可信設(shè)備白名單中查 詢?cè)摻K端的相關(guān)信息,并以此判斷終端設(shè)備是否合 法。設(shè)備認(rèn)證成功后,繼續(xù)用戶認(rèn)證過(guò)程,否則返 回判決失敗。

  3.2.2 用戶認(rèn)證

  完成設(shè)備認(rèn)證后,統(tǒng)一認(rèn)證向請(qǐng)求網(wǎng)絡(luò)訪問(wèn)的 用戶終端發(fā)送挑戰(zhàn)請(qǐng)求,請(qǐng)求中包含挑戰(zhàn)碼。終端 使用TCM平臺(tái)加密私鑰對(duì)挑戰(zhàn)碼等信息進(jìn)行簽名, 然后作為挑戰(zhàn)應(yīng)答回復(fù)給統(tǒng)一認(rèn)證。

  統(tǒng)一認(rèn)證收到挑戰(zhàn)應(yīng)答后,向PKC目錄服務(wù) 請(qǐng)求TCMID對(duì)應(yīng)的PKC,使用該P(yáng)KC驗(yàn)證挑戰(zhàn)應(yīng) 答報(bào)文。如果查詢PKC失敗或者驗(yàn)證挑戰(zhàn)應(yīng)答失敗, 則向應(yīng)用服務(wù)返回判決失敗,否則繼續(xù)進(jìn)行下一步 的訪問(wèn)控制過(guò)程。

  3.2.3 訪問(wèn)控制

  統(tǒng)一認(rèn)證根據(jù)終端TCMID和資源信息,向AC 目錄服務(wù)查詢對(duì)應(yīng)的屬性證書。統(tǒng)一認(rèn)證根據(jù)獲得 的AC,驗(yàn)證用戶是否具有所授資源的權(quán)限,最終 將判決結(jié)果返回應(yīng)用服務(wù)器。應(yīng)用服務(wù)器根據(jù)判決 結(jié)果確定是否響應(yīng)用戶發(fā)起的訪問(wèn)請(qǐng)求。

  4 安全性設(shè)計(jì)

  4.1 抗重放

  在安全訪問(wèn)過(guò)程的每一個(gè)協(xié)議包中,都設(shè)置時(shí)間戳(timestamp)和隨機(jī)數(shù)(nonce)。隨機(jī)數(shù)保證數(shù)據(jù)包不被重放,時(shí)間戳用來(lái)設(shè)置一個(gè)時(shí)間間隔如60s,以縮小nonce的規(guī)模。60s的取值來(lái)源于 HTTP請(qǐng)求的常見(jiàn)延遲時(shí)間。

  4.2 身份/權(quán)限撤銷

  在保留原有X.509有效期的同時(shí),為了降低 CRL撤銷列表帶來(lái)的復(fù)雜性,通過(guò)PKC/AC目錄服務(wù), 將過(guò)期的證書直接做刪除索引處理。這樣既可以減 少證書驗(yàn)證的時(shí)間,也可以有效實(shí)現(xiàn)身份/權(quán)限撤銷。

  4.3 屬性加密

  使用TCM平臺(tái)加密證書對(duì)屬性證書中的涉密 屬性進(jìn)行加密,只有能夠解密該屬性的驗(yàn)證者,才 能獲知屬性的內(nèi)容,降低屬性外泄造成損失的風(fēng)險(xiǎn)。

  5 結(jié)語(yǔ)

  基于TCM的網(wǎng)絡(luò)安全訪問(wèn)模型,是對(duì)Beyond Corp框架的思考和探索。模型中的組件已經(jīng)具備成 熟的技術(shù)和工程實(shí)現(xiàn),如TCM計(jì)算平臺(tái)和可信交 換機(jī);授權(quán)過(guò)程獨(dú)立使用AC,可以不必改造現(xiàn)有 證書系統(tǒng),不影響原有PKC的簽發(fā)和使用。輕量 化的實(shí)現(xiàn)思路,易于系統(tǒng)的構(gòu)建、移植和部署,在 保證安全性的同時(shí),提供了較強(qiáng)的可用性。

  

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。