摘要：分析Google公司的BeyondCorp安全訪問(wèn)模型，基于TCM標(biāo)準(zhǔn)的可信計(jì)算平臺(tái)，借鑒 BeyondCorp企業(yè)安全方法，結(jié)合TNC可信網(wǎng)絡(luò)接入、用戶PKC證書驗(yàn)證和基于屬，性證書的訪問(wèn) 控制，實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)過(guò)程中的設(shè)備、用戶身份認(rèn)證和應(yīng)用服務(wù)權(quán)限管理，從而提供一種適用于內(nèi) 網(wǎng)的身份認(rèn)證、授權(quán)和訪問(wèn)控制的網(wǎng)絡(luò)安全訪問(wèn)模型，以解決“企業(yè)內(nèi)網(wǎng)不可信”的問(wèn)題。最后， 對(duì)該模型的安全性設(shè)計(jì)進(jìn)行了描述。

　　引言

　　傳統(tǒng)網(wǎng)絡(luò)采用的是“邊界”防護(hù)的安全模型，“內(nèi)網(wǎng)”是假定無(wú)條件安全和可信的。這種安全模 型存在問(wèn)題：一方面，邊界防護(hù)無(wú)法防護(hù)企業(yè)內(nèi)網(wǎng) 的非法訪問(wèn)行為；另一方面，一旦邊界被突破，攻 擊者就可以暢通無(wú)阻地訪問(wèn)企業(yè)內(nèi)網(wǎng)的所有資源。Google公司針對(duì)這種情況，部署實(shí)施了_種新的企 業(yè)安全方法 BeyondCorpo本文借鑒其設(shè)計(jì)思路， 基于可信密碼模塊（Trusted Cryptographic Module, TCM）的可信計(jì)算平臺(tái)，通過(guò)使用多種安全認(rèn)證和 授權(quán)手段，提出了一套輕量化的、適用于企業(yè)內(nèi)網(wǎng) 的安全訪問(wèn)模型。

　　1 BeyondCorp企業(yè)安全方法

　　2014 年 12 月，Google 陸續(xù)發(fā)表了 5 篇 BeyondCorp 論文，全面介紹了 BeyondCorp的結(jié)構(gòu)和實(shí)施情況。

　　BeyondCorp的核心思想是摒棄企業(yè)特權(quán)網(wǎng)絡(luò)，即“零 信任網(wǎng)絡(luò)”概念：不信任任何網(wǎng)絡(luò)，訪問(wèn)只依賴于 設(shè)備和用戶憑證，不再關(guān)心網(wǎng)絡(luò)位置。用戶可以從任何網(wǎng)絡(luò)發(fā)起訪問(wèn)，除網(wǎng)絡(luò)延遲以外，對(duì)企業(yè)資源 的本地和遠(yuǎn)程訪問(wèn)體驗(yàn)基本一致。

　　BeyondCorp的關(guān)鍵組件包括：（ 1 ） 安全識(shí)別 設(shè)備，包括設(shè)備清單數(shù)據(jù)庫(kù)、設(shè)備標(biāo)識(shí)；（ 2 ） 安全識(shí)別用戶，包括用戶和群組數(shù)據(jù)庫(kù)、單點(diǎn)登錄系統(tǒng)；（ 3 ） 從網(wǎng)絡(luò)中消除信任，包括部署無(wú)特權(quán)網(wǎng)絡(luò)、 有線和無(wú)線網(wǎng)絡(luò)接入的802.1X認(rèn)證；（ 4 ） 外化應(yīng)用和工作流，包括面向互聯(lián)網(wǎng)的訪問(wèn)代理、公共的DNS記錄；（ 5 ） 實(shí)現(xiàn)基于清單的訪問(wèn)控制，包括 對(duì)設(shè)備和用戶的信任推斷、訪問(wèn)控制引擎、訪問(wèn)控 制引擎的消息管道。

　　BeyondCorp的組件和訪問(wèn)流如圖1所示。

　　圖片

　　圖1 BeyondCorp組件和訪問(wèn)流

　　BeyondCorp的核心在業(yè)務(wù)，關(guān)注的是數(shù)據(jù)，是 網(wǎng)絡(luò)流量的不可信。Google從2011年開(kāi)始實(shí)施和 部署B(yǎng)eyondCorp,投入了大量資源，是小公司和機(jī) 構(gòu)無(wú)法負(fù)擔(dān)的。本文借鑒其安全設(shè)計(jì)思路，剝離主 要用于互聯(lián)網(wǎng)的訪問(wèn)代理、信任推斷以及更高階的 自學(xué)習(xí)自適應(yīng)，保留關(guān)鍵組件中的驗(yàn)證用戶、驗(yàn)證 設(shè)備和權(quán)限控制，將其引用到傳統(tǒng)的內(nèi)網(wǎng)安全訪問(wèn) 中，形成一種輕量化的網(wǎng)絡(luò)安全訪問(wèn)模型，即基于 TCM的網(wǎng)絡(luò)安全訪問(wèn)模型。

　　2 關(guān)鍵技術(shù)

　　2.1　TCM可信計(jì)算平臺(tái)

　　國(guó)際上通用的可信計(jì)算規(guī)范由可信計(jì)算組織 （Trusted Computing Group, TCG）制定，核心是可信 平臺(tái)芯片（Trusted Platform Module, TPM ）和可信軟 件棧（Trusted Software Stack,TSS ） o TCM 對(duì)應(yīng) TPM, 是我國(guó)具有自主知識(shí)產(chǎn)權(quán)的可信芯片。對(duì)應(yīng)TSS的 是 TCM 服務(wù)模塊（TCM Service Module, TSM ）。TCM和TPM的主要區(qū)別如表1所示囹，其中TCM 存儲(chǔ)主密鑰（Storage Master Key, SMK ）獨(dú)創(chuàng)性地使用了對(duì)稱密鑰。

　　表1 TCM和TPM的區(qū)別

　　圖片

　　基于TCM和TSM,對(duì)本地進(jìn)行軟硬件可信度 量后的計(jì)算環(huán)境稱為TCM可信計(jì)算平臺(tái)?？尚哦?量的依據(jù)是信任鏈傳遞：每一步的度量值作為下一 步度量輸入的一部分，逐步計(jì)算出最后的度量結(jié) 果乳信任鏈傳遞的過(guò)程如圖2所示。

　　BIOS f自檢f 主引導(dǎo)區(qū)-> OS裝載器—？ OS內(nèi)核-> 驅(qū)動(dòng)

　　圖2 信任鏈傳遞

　　度量初始值記錄在TCM可信存儲(chǔ)區(qū)中，設(shè)備 完成初始度量后的每次開(kāi)啟過(guò)程執(zhí)行度量比對(duì)，比 對(duì)不一致則認(rèn)為設(shè)備不再可信。

　　2.2　可信網(wǎng)絡(luò)接入

　　可信網(wǎng)絡(luò)接入（Trusted Network Connect, TNC ） 是TCG在網(wǎng)絡(luò)安全方面提出的可信接入控制技術(shù)， 主要基于802.lx接入控制協(xié)議，實(shí)現(xiàn)基于端口的網(wǎng) 絡(luò)接入控制，架構(gòu)如圖3所示。

　　圖3 TNC體系架構(gòu)

　　TNC架構(gòu)中，PDP負(fù)責(zé)對(duì)終端進(jìn)行平臺(tái)身份認(rèn) 可以充當(dāng)PEP和PDP的角色，滿足終端接入可信網(wǎng) 證和完整性驗(yàn)證，PEP根據(jù)PDP的驗(yàn)證結(jié)果進(jìn)行授 絡(luò)的應(yīng)用需求o可信交換機(jī)應(yīng)用方式如圖4所示。權(quán)訪問(wèn)控制?；赥CM和TNC實(shí)現(xiàn)的可信交換機(jī)。

　　圖4 可信交換機(jī)應(yīng)用方式

　　2.3　基于屬性證書的訪問(wèn)控制

　　2000年，ITUX.509（2000）頒布（RFC3281）， 其中完整定義了屬性證書（Attribute Certificate, AC ）， 該標(biāo)準(zhǔn)也被稱為X.509 V4O AC將持有者的名字和 一系列“屬性”綁定，這些屬性用來(lái)表明證書持有 人的用戶群組身份、角色以及安全權(quán)限等。

　　基于AC的訪問(wèn)控制機(jī)制有基于角色的訪問(wèn)控 制（Role-Based Access Control, RBAC ） 和基于 屬性的權(quán)限控制（Attribute-Based Access Control, ABAC ） 等。兩者實(shí)現(xiàn)較為復(fù)雜，在內(nèi)網(wǎng)環(huán)境中 可釆用基于屬性證書實(shí)現(xiàn)的安全訪問(wèn)服務(wù)方案。該方案的應(yīng)用體系結(jié)構(gòu)如圖5所示。

　　圖5 基于屬性證書的應(yīng)用體系結(jié)構(gòu)

　　3 基于TCM的網(wǎng)絡(luò)安全訪問(wèn)模型

　　借鑒Google的BeyondCorp架構(gòu)，基于TCM可 惜計(jì)算平臺(tái)，結(jié)合可信交換機(jī)、用戶公鑰證書（Public Key Certificate, PKC ）驗(yàn)證和基于屬性證書的訪問(wèn) 控制技術(shù)，構(gòu)建了一個(gè)輕量化的基于TCM的網(wǎng)絡(luò) 安全訪問(wèn)模型，模型架構(gòu)如圖6所示。

　　圖６  基于TCM的網(wǎng)絡(luò)安全訪問(wèn)模型架構(gòu)

　　3.1　系統(tǒng)初始化

　　3.1.1　人　員

　　人事部門根據(jù)人員、部門以及業(yè)務(wù)等信息，制 定“用戶/組數(shù)據(jù)庫(kù)”，同時(shí)為每一個(gè)員工配發(fā)唯 —的 TCM 模塊。證書權(quán)威（Certificate Authority, CA）依據(jù)用戶/組數(shù)據(jù)庫(kù)信息，為每一個(gè)用戶簽發(fā) PKC,這是用戶的唯一標(biāo)識(shí)。PKC作為模塊證書， 存儲(chǔ)在TCM中。所有的PKC同步在PKC目錄服務(wù) 器上，供對(duì)外查詢使用。

　　3.1.2　設(shè)　備

　　全部設(shè)備均由企業(yè)統(tǒng)一采購(gòu)，預(yù)裝TSM,并建 立設(shè)備資產(chǎn)庫(kù)。資產(chǎn)庫(kù)建立設(shè)備和人員的綁定關(guān)系。CA為每一臺(tái)設(shè)備簽發(fā)設(shè)備證書，設(shè)備證書作為平 臺(tái)身份證書寫入到與人員配對(duì)的TCM中。

　　TCM接插到設(shè)備上，第一次加電啟動(dòng)完成初始 化度量，完成TCM和設(shè)備的強(qiáng)綁定。經(jīng)過(guò)可信度 量的設(shè)備被記錄到可信設(shè)備白名單中?？尚旁O(shè)備白 名單可動(dòng)態(tài)管理設(shè)備狀態(tài)，如已報(bào)失的設(shè)備將被至 為不可信/掛失，該設(shè)備將不再具有安全訪問(wèn)能力。

　　3.1.3　權(quán)　限

　　企業(yè)根據(jù)人員、業(yè)務(wù)和安全考慮，制定用于資 源訪問(wèn)的資源庫(kù)。資源庫(kù)統(tǒng)一管理企業(yè)內(nèi)網(wǎng)中的應(yīng) 用服務(wù)資源。根據(jù)粒度不同，資源可以是服務(wù)器級(jí) 別的、服務(wù)級(jí)別的，也可以是微服務(wù)架構(gòu)中“微服務(wù)。

　　CA 為屬性權(quán)威（Attribute Authority, AA）授權(quán)。AA根據(jù)用戶/組和資源信息，為每個(gè)用戶簽發(fā)屬性 證書。屬性證書中詳細(xì)定義用戶訪問(wèn)每個(gè)資源的權(quán)限。

　　3.2　安全訪問(wèn)過(guò)程

　　系統(tǒng)初始化完成后，當(dāng)新的終端需要接入企業(yè) 內(nèi)網(wǎng)時(shí)，要進(jìn)行一次完整的安全訪問(wèn)過(guò)程，包括設(shè) 備認(rèn)證、用戶認(rèn)證和訪問(wèn)控制請(qǐng)求。統(tǒng)一認(rèn)證核心 負(fù)責(zé)整個(gè)安全訪問(wèn)請(qǐng)求的調(diào)度和判決。統(tǒng)一認(rèn)證過(guò) 程（不包括TNC ）交互如圖7所示。

　　圖7 安全訪問(wèn)過(guò)程

　　3.2.1　設(shè)備認(rèn)證

　　終端設(shè)備接入可信交換機(jī)，即進(jìn)行TNC接入 認(rèn)證過(guò)程。認(rèn)證使用的是終端上TCM中的平臺(tái)身 份證書。TNC認(rèn)證通過(guò)后，終端可向應(yīng)用服務(wù)發(fā)起 連接請(qǐng)求。應(yīng)用服務(wù)接收到請(qǐng)求后，首先要求終端 （TSM實(shí)現(xiàn)客戶端代理功能）回復(fù)TCM模塊的唯 一標(biāo)識(shí)（TCM Identity, TCMID ），然后向統(tǒng)一認(rèn)證 發(fā)送安全訪問(wèn)請(qǐng)求。安全訪問(wèn)請(qǐng)求至少包含要求網(wǎng) 絡(luò)訪問(wèn)的終端TCMID和被訪問(wèn)的資源信息。

　　統(tǒng)一認(rèn)證根據(jù)TCMID在可信設(shè)備白名單中查 詢?cè)摻K端的相關(guān)信息，并以此判斷終端設(shè)備是否合 法。設(shè)備認(rèn)證成功后，繼續(xù)用戶認(rèn)證過(guò)程，否則返 回判決失敗。

　　3.2.2　用戶認(rèn)證

　　完成設(shè)備認(rèn)證后，統(tǒng)一認(rèn)證向請(qǐng)求網(wǎng)絡(luò)訪問(wèn)的 用戶終端發(fā)送挑戰(zhàn)請(qǐng)求，請(qǐng)求中包含挑戰(zhàn)碼。終端 使用TCM平臺(tái)加密私鑰對(duì)挑戰(zhàn)碼等信息進(jìn)行簽名， 然后作為挑戰(zhàn)應(yīng)答回復(fù)給統(tǒng)一認(rèn)證。

　　統(tǒng)一認(rèn)證收到挑戰(zhàn)應(yīng)答后，向PKC目錄服務(wù) 請(qǐng)求TCMID對(duì)應(yīng)的PKC,使用該P(yáng)KC驗(yàn)證挑戰(zhàn)應(yīng) 答報(bào)文。如果查詢PKC失敗或者驗(yàn)證挑戰(zhàn)應(yīng)答失敗， 則向應(yīng)用服務(wù)返回判決失敗，否則繼續(xù)進(jìn)行下一步 的訪問(wèn)控制過(guò)程。

　　3.2.3　訪問(wèn)控制

　　統(tǒng)一認(rèn)證根據(jù)終端TCMID和資源信息，向AC 目錄服務(wù)查詢對(duì)應(yīng)的屬性證書。統(tǒng)一認(rèn)證根據(jù)獲得 的AC,驗(yàn)證用戶是否具有所授資源的權(quán)限，最終 將判決結(jié)果返回應(yīng)用服務(wù)器。應(yīng)用服務(wù)器根據(jù)判決 結(jié)果確定是否響應(yīng)用戶發(fā)起的訪問(wèn)請(qǐng)求。

　　4 安全性設(shè)計(jì)

　　4.1　抗重放

　　在安全訪問(wèn)過(guò)程的每一個(gè)協(xié)議包中，都設(shè)置時(shí)間戳（timestamp）和隨機(jī)數(shù)（nonce）。隨機(jī)數(shù)保證數(shù)據(jù)包不被重放，時(shí)間戳用來(lái)設(shè)置一個(gè)時(shí)間間隔如60s,以縮小nonce的規(guī)模。60s的取值來(lái)源于 HTTP請(qǐng)求的常見(jiàn)延遲時(shí)間。

　　4.2　身份/權(quán)限撤銷

　　在保留原有X.509有效期的同時(shí)，為了降低 CRL撤銷列表帶來(lái)的復(fù)雜性，通過(guò)PKC/AC目錄服務(wù)， 將過(guò)期的證書直接做刪除索引處理。這樣既可以減 少證書驗(yàn)證的時(shí)間，也可以有效實(shí)現(xiàn)身份/權(quán)限撤銷。

　　4.3　屬性加密

　　使用TCM平臺(tái)加密證書對(duì)屬性證書中的涉密 屬性進(jìn)行加密，只有能夠解密該屬性的驗(yàn)證者，才 能獲知屬性的內(nèi)容，降低屬性外泄造成損失的風(fēng)險(xiǎn)。

　　5 結(jié)語(yǔ)

　　基于TCM的網(wǎng)絡(luò)安全訪問(wèn)模型，是對(duì)Beyond Corp框架的思考和探索。模型中的組件已經(jīng)具備成 熟的技術(shù)和工程實(shí)現(xiàn)，如TCM計(jì)算平臺(tái)和可信交 換機(jī)；授權(quán)過(guò)程獨(dú)立使用AC,可以不必改造現(xiàn)有 證書系統(tǒng)，不影響原有PKC的簽發(fā)和使用。輕量 化的實(shí)現(xiàn)思路，易于系統(tǒng)的構(gòu)建、移植和部署，在 保證安全性的同時(shí)，提供了較強(qiáng)的可用性。