西電捷通:可信網(wǎng)絡(luò)連接技術(shù)TCA和TNC架構(gòu)對(duì)比
伴隨著互聯(lián)網(wǎng)的迅速普及,人們與網(wǎng)絡(luò)的關(guān)系也越來(lái)越緊密,然而開放互聯(lián)的互聯(lián)網(wǎng),也存在著很多不安全因素,惡意軟件、木馬病毒、黑客破壞等行為嚴(yán)重威脅著網(wǎng)絡(luò)安全和人們的利益安全,需要一套完整的安全解決方案。可信網(wǎng)絡(luò)連接技術(shù)在此背景下應(yīng)運(yùn)而生。可信網(wǎng)絡(luò)連接技術(shù)通過(guò)利用身份鑒別、平臺(tái)鑒別、完整性度量、訪問(wèn)控制等技術(shù)實(shí)現(xiàn)了安全連接。目前全球范圍內(nèi)主要的兩大可信網(wǎng)絡(luò)連接技術(shù)是:可信網(wǎng)絡(luò)連接TNC(Trusted Network Connect,簡(jiǎn)稱TNC)和可信連接架構(gòu)TCA(Trusted Connect Architecture,簡(jiǎn)稱TCA)。TNC是由2004年可信計(jì)算組織(Trusted Computing Group,簡(jiǎn)稱TCG)成立的可信網(wǎng)絡(luò)連接分組(Trusted Network Connection Sub Group,TCG-SG)負(fù)責(zé)研究提出,TCA是2007年由中國(guó)可信計(jì)算標(biāo)準(zhǔn)網(wǎng)絡(luò)組組長(zhǎng)單位西電捷通主導(dǎo)研究提出。
TNC是對(duì)可信平臺(tái)應(yīng)用的擴(kuò)展,也是可信計(jì)算機(jī)制與網(wǎng)絡(luò)連接控制機(jī)制的結(jié)合。它是指在終端連接網(wǎng)絡(luò)之前,對(duì)用戶的身份進(jìn)行鑒別。如果鑒別通過(guò),對(duì)終端平臺(tái)的身份進(jìn)行鑒別,如果鑒別通過(guò),對(duì)終端的平臺(tái)可信狀態(tài)進(jìn)行度量,如果度量結(jié)果滿足網(wǎng)絡(luò)連接的安全策略,則允許終端連接網(wǎng)絡(luò),否則將終端連接到指定的隔離區(qū)域,對(duì)其進(jìn)行安全性修補(bǔ)和升級(jí)。
TCA是我國(guó)自主創(chuàng)新的一套三元(訪問(wèn)請(qǐng)求者、訪問(wèn)控制器、策略管理者)三層(完整性度量層、可信平臺(tái)評(píng)估層、網(wǎng)絡(luò)訪問(wèn)控制層)的可信網(wǎng)絡(luò)連接架構(gòu),通過(guò)基于身份鑒別、平臺(tái)鑒別來(lái)實(shí)現(xiàn)基于端口的訪問(wèn)控制。其身份鑒別可提供對(duì)身份合法性的驗(yàn)證,其平臺(tái)鑒別可提供對(duì)平臺(tái)安全狀態(tài)的評(píng)估,包括對(duì)平臺(tái)中各個(gè)組件的完整性、運(yùn)行狀態(tài)、端口狀態(tài)、補(bǔ)丁狀態(tài)等的評(píng)估,支持對(duì)連接兩端設(shè)備的隔離/修補(bǔ),可確保網(wǎng)絡(luò)連接兩端設(shè)備的平臺(tái)是可信賴的。
TNC 的基本架構(gòu)如圖1所示,主要包括三個(gè)實(shí)體、三個(gè)層次和若干個(gè)接口組件等,三個(gè)層次包括網(wǎng)絡(luò)訪問(wèn)層、完整性評(píng)估層和完整性度量層,而三個(gè)實(shí)體包括訪問(wèn)請(qǐng)求者(Access Requestor,簡(jiǎn)稱AR)、PEP策略執(zhí)行者(Policy Enforcement Point,簡(jiǎn)稱PEP)和策略決策者(Policy Decision Point,簡(jiǎn)稱PDP)。仔細(xì)分析該架構(gòu),不難發(fā)現(xiàn)其是在傳統(tǒng)的網(wǎng)絡(luò)接入層次上增加了兩層,可實(shí)現(xiàn)平臺(tái)間的完整性驗(yàn)證,具體講是對(duì)具有可信平臺(tái)模塊(Trusted Platform Module,簡(jiǎn)稱TPM)AR的平臺(tái)鑒別,屬于單向鑒別,并不涉及對(duì)網(wǎng)絡(luò)側(cè)設(shè)備的平臺(tái)鑒別問(wèn)題,存在一定的安全缺陷。
圖1 TNC基本架構(gòu)
TCA采用了三元三實(shí)體的可信連接架構(gòu),其架構(gòu)如圖2所示。三元結(jié)構(gòu)中有訪問(wèn)請(qǐng)求者AR、訪問(wèn)控制器(Access Controller,簡(jiǎn)稱AC)和策略管理器(Policy Manager,簡(jiǎn)稱PM)三個(gè)實(shí)體, 而且根據(jù)組件的功能把不同實(shí)體中的組件分為三個(gè)抽象層次,分別為:
網(wǎng)絡(luò)訪問(wèn)層(Network Access Layer)、可信平臺(tái)評(píng)估層(Trusted Platform Evaluation Layer)和完整性度量層(Integrity Measurement Layer)。涉及用戶鑒別和平臺(tái)鑒別兩個(gè)核心機(jī)制,其中AR和AC都具有可信平臺(tái)控制模塊(TPCM,Trusted Platform Control Module),支持AR和AC之間的雙向平臺(tái)鑒別,AC參與身份鑒別和平臺(tái)鑒別協(xié)議處理,同時(shí)架構(gòu)也對(duì)用戶鑒別與平臺(tái)鑒別進(jìn)行了綁定處理,提供了原子性安全。
圖2 可信連接架構(gòu)(TCA)
相比之下,TCA的三元三層可信連接架構(gòu)讓它的安全可信性能更勝一籌。這一架構(gòu)在縱向上把網(wǎng)絡(luò)訪問(wèn)、可信評(píng)估和可信度量分層處理,使得系統(tǒng)的結(jié)構(gòu)清晰,控制有序。在橫向上則進(jìn)行訪問(wèn)請(qǐng)求者、訪問(wèn)控制者和策略仲裁者之間的三重控制和鑒別,實(shí)現(xiàn)了服務(wù)器集中控管的網(wǎng)絡(luò)可信連接模式,提高了架構(gòu)的策略和可管理性。同時(shí)對(duì)訪問(wèn)請(qǐng)求者和訪問(wèn)控制者實(shí)現(xiàn)統(tǒng)一的策略管理,提高了系統(tǒng)整體的可信性。
TCA和TNC對(duì)比分析表:
需要指出的是TCA在身份鑒別和平臺(tái)鑒別中所采用的三元對(duì)等架構(gòu)是TePA國(guó)際標(biāo)準(zhǔn)ISO/IEC 9798-3:1998/Amd.1:2010中給出安全機(jī)制,該安全機(jī)制也是近10年來(lái)全球范圍內(nèi)在實(shí)體鑒別-非對(duì)稱機(jī)制領(lǐng)域內(nèi)惟一新技術(shù),TePA國(guó)際標(biāo)準(zhǔn)則是中國(guó)在信息安全基礎(chǔ)共性技術(shù)領(lǐng)域提交并獲通過(guò)的第一個(gè)國(guó)際標(biāo)準(zhǔn)。
總體來(lái)說(shuō),從以上的對(duì)比可以看出,雖然TNC也采用了三層架構(gòu),也有三個(gè)實(shí)體,但在架構(gòu)設(shè)計(jì)上并沒(méi)有考慮對(duì)網(wǎng)絡(luò)接入端PEP的平臺(tái)鑒別和平臺(tái)完整性評(píng)估,在TNC架構(gòu)的安全性設(shè)計(jì)上實(shí)質(zhì)等同于是一個(gè)兩元的架構(gòu),雖然對(duì)接入網(wǎng)絡(luò)的終端進(jìn)行了身份及平臺(tái)的鑒別,確認(rèn)了終端身份的合法性和平臺(tái)環(huán)境的完整性,但往往是從方便網(wǎng)絡(luò)提供者進(jìn)行識(shí)別、計(jì)費(fèi)等管理出發(fā)考慮的;對(duì)網(wǎng)絡(luò)側(cè)則并沒(méi)有相同的要求,從棱鏡門事件可知,構(gòu)建網(wǎng)絡(luò)的大量的無(wú)人值守的交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備,其本身的合法性和安全性也是同等重要的。因此,TNC并不適用于重要信息系統(tǒng)的安全,因?yàn)橹匾畔⑾到y(tǒng)一般要求符合等級(jí)保護(hù)的集中式安全管理模式,這一模式防內(nèi)重于防外,防范內(nèi)部人員作案是重中之重。而TNC的可信鑒別方式無(wú)法防范內(nèi)外勾結(jié)的合謀攻擊行為。
綜合而言,TCA三元三層的可信網(wǎng)絡(luò)連接架構(gòu)在集中管理的應(yīng)用場(chǎng)合,如局域網(wǎng)辦公自動(dòng)化環(huán)境、工控系統(tǒng)、云計(jì)算、物聯(lián)網(wǎng)等領(lǐng)域具有廣泛的適用性。
責(zé)任編輯:售電衡衡
-
西電捷通解析物聯(lián)網(wǎng)安全技術(shù)之鑒別技術(shù)
-
協(xié)同調(diào)度策略的計(jì)算流程
-
以太網(wǎng)安全系列之:TLSec基于證書的鑒別協(xié)議分析
-
低速電動(dòng)汽車行業(yè)洗牌即將展開!
2018-04-19電動(dòng)汽車 -
新能源電動(dòng)汽車資訊,純電動(dòng)汽車驅(qū)動(dòng)系統(tǒng)電力如何傳輸方向
-
新能源汽車熱銷,只需要四部,按好電動(dòng)汽車充電樁
2018-04-19新能源汽車
-
石墨烯又來(lái)了,新型導(dǎo)電劑在高能量密度鋰離子電池中的應(yīng)用
-
鋰電材料漲勢(shì)迅猛 尤其是鈷
2018-04-19鋰電材 -
必和必拓提高鎳產(chǎn)量 助力中國(guó)電動(dòng)汽車市場(chǎng)轉(zhuǎn)型
-
建設(shè)堅(jiān)強(qiáng)智能電網(wǎng) 國(guó)網(wǎng)浙江能源互聯(lián)網(wǎng)生機(jī)勃發(fā)
-
電網(wǎng)也要智能化 極簡(jiǎn)網(wǎng)絡(luò)讓大唐臨清熱電公司信息化快速進(jìn)階
-
堅(jiān)強(qiáng)電網(wǎng)護(hù)航建設(shè)新福建 為經(jīng)濟(jì)發(fā)展注入強(qiáng)大動(dòng)力
-
西電捷通:可信網(wǎng)絡(luò)連接技術(shù)TCA和TNC架構(gòu)對(duì)比
-
西電捷通解析物聯(lián)網(wǎng)安全技術(shù)之鑒別技術(shù)
-
以太網(wǎng)安全系列之:TLSec基于證書的鑒別協(xié)議分析