西電捷通:可信網(wǎng)絡(luò)連接技術(shù)TCA和TNC架構(gòu)對比
伴隨著互聯(lián)網(wǎng)的迅速普及,人們與網(wǎng)絡(luò)的關(guān)系也越來越緊密,然而開放互聯(lián)的互聯(lián)網(wǎng),也存在著很多不安全因素,惡意軟件、木馬病毒、黑客破壞等行為嚴(yán)重威脅著網(wǎng)絡(luò)安全和人們的利益安全,需要一套完整的安全解決方案。可信網(wǎng)絡(luò)連接技術(shù)在此背景下應(yīng)運而生。可信網(wǎng)絡(luò)連接技術(shù)通過利用身份鑒別、平臺鑒別、完整性度量、訪問控制等技術(shù)實現(xiàn)了安全連接。目前全球范圍內(nèi)主要的兩大可信網(wǎng)絡(luò)連接技術(shù)是:可信網(wǎng)絡(luò)連接TNC(Trusted Network Connect,簡稱TNC)和可信連接架構(gòu)TCA(Trusted Connect Architecture,簡稱TCA)。TNC是由2004年可信計算組織(Trusted Computing Group,簡稱TCG)成立的可信網(wǎng)絡(luò)連接分組(Trusted Network Connection Sub Group,TCG-SG)負責(zé)研究提出,TCA是2007年由中國可信計算標(biāo)準(zhǔn)網(wǎng)絡(luò)組組長單位西電捷通主導(dǎo)研究提出。
TNC是對可信平臺應(yīng)用的擴展,也是可信計算機制與網(wǎng)絡(luò)連接控制機制的結(jié)合。它是指在終端連接網(wǎng)絡(luò)之前,對用戶的身份進行鑒別。如果鑒別通過,對終端平臺的身份進行鑒別,如果鑒別通過,對終端的平臺可信狀態(tài)進行度量,如果度量結(jié)果滿足網(wǎng)絡(luò)連接的安全策略,則允許終端連接網(wǎng)絡(luò),否則將終端連接到指定的隔離區(qū)域,對其進行安全性修補和升級。
TCA是我國自主創(chuàng)新的一套三元(訪問請求者、訪問控制器、策略管理者)三層(完整性度量層、可信平臺評估層、網(wǎng)絡(luò)訪問控制層)的可信網(wǎng)絡(luò)連接架構(gòu),通過基于身份鑒別、平臺鑒別來實現(xiàn)基于端口的訪問控制。其身份鑒別可提供對身份合法性的驗證,其平臺鑒別可提供對平臺安全狀態(tài)的評估,包括對平臺中各個組件的完整性、運行狀態(tài)、端口狀態(tài)、補丁狀態(tài)等的評估,支持對連接兩端設(shè)備的隔離/修補,可確保網(wǎng)絡(luò)連接兩端設(shè)備的平臺是可信賴的。
TNC 的基本架構(gòu)如圖1所示,主要包括三個實體、三個層次和若干個接口組件等,三個層次包括網(wǎng)絡(luò)訪問層、完整性評估層和完整性度量層,而三個實體包括訪問請求者(Access Requestor,簡稱AR)、PEP策略執(zhí)行者(Policy Enforcement Point,簡稱PEP)和策略決策者(Policy Decision Point,簡稱PDP)。仔細分析該架構(gòu),不難發(fā)現(xiàn)其是在傳統(tǒng)的網(wǎng)絡(luò)接入層次上增加了兩層,可實現(xiàn)平臺間的完整性驗證,具體講是對具有可信平臺模塊(Trusted Platform Module,簡稱TPM)AR的平臺鑒別,屬于單向鑒別,并不涉及對網(wǎng)絡(luò)側(cè)設(shè)備的平臺鑒別問題,存在一定的安全缺陷。
圖1 TNC基本架構(gòu)
TCA采用了三元三實體的可信連接架構(gòu),其架構(gòu)如圖2所示。三元結(jié)構(gòu)中有訪問請求者AR、訪問控制器(Access Controller,簡稱AC)和策略管理器(Policy Manager,簡稱PM)三個實體, 而且根據(jù)組件的功能把不同實體中的組件分為三個抽象層次,分別為:
網(wǎng)絡(luò)訪問層(Network Access Layer)、可信平臺評估層(Trusted Platform Evaluation Layer)和完整性度量層(Integrity Measurement Layer)。涉及用戶鑒別和平臺鑒別兩個核心機制,其中AR和AC都具有可信平臺控制模塊(TPCM,Trusted Platform Control Module),支持AR和AC之間的雙向平臺鑒別,AC參與身份鑒別和平臺鑒別協(xié)議處理,同時架構(gòu)也對用戶鑒別與平臺鑒別進行了綁定處理,提供了原子性安全。
圖2 可信連接架構(gòu)(TCA)
相比之下,TCA的三元三層可信連接架構(gòu)讓它的安全可信性能更勝一籌。這一架構(gòu)在縱向上把網(wǎng)絡(luò)訪問、可信評估和可信度量分層處理,使得系統(tǒng)的結(jié)構(gòu)清晰,控制有序。在橫向上則進行訪問請求者、訪問控制者和策略仲裁者之間的三重控制和鑒別,實現(xiàn)了服務(wù)器集中控管的網(wǎng)絡(luò)可信連接模式,提高了架構(gòu)的策略和可管理性。同時對訪問請求者和訪問控制者實現(xiàn)統(tǒng)一的策略管理,提高了系統(tǒng)整體的可信性。
TCA和TNC對比分析表:
需要指出的是TCA在身份鑒別和平臺鑒別中所采用的三元對等架構(gòu)是TePA國際標(biāo)準(zhǔn)ISO/IEC 9798-3:1998/Amd.1:2010中給出安全機制,該安全機制也是近10年來全球范圍內(nèi)在實體鑒別-非對稱機制領(lǐng)域內(nèi)惟一新技術(shù),TePA國際標(biāo)準(zhǔn)則是中國在信息安全基礎(chǔ)共性技術(shù)領(lǐng)域提交并獲通過的第一個國際標(biāo)準(zhǔn)。
總體來說,從以上的對比可以看出,雖然TNC也采用了三層架構(gòu),也有三個實體,但在架構(gòu)設(shè)計上并沒有考慮對網(wǎng)絡(luò)接入端PEP的平臺鑒別和平臺完整性評估,在TNC架構(gòu)的安全性設(shè)計上實質(zhì)等同于是一個兩元的架構(gòu),雖然對接入網(wǎng)絡(luò)的終端進行了身份及平臺的鑒別,確認(rèn)了終端身份的合法性和平臺環(huán)境的完整性,但往往是從方便網(wǎng)絡(luò)提供者進行識別、計費等管理出發(fā)考慮的;對網(wǎng)絡(luò)側(cè)則并沒有相同的要求,從棱鏡門事件可知,構(gòu)建網(wǎng)絡(luò)的大量的無人值守的交換機、路由器等網(wǎng)絡(luò)設(shè)備,其本身的合法性和安全性也是同等重要的。因此,TNC并不適用于重要信息系統(tǒng)的安全,因為重要信息系統(tǒng)一般要求符合等級保護的集中式安全管理模式,這一模式防內(nèi)重于防外,防范內(nèi)部人員作案是重中之重。而TNC的可信鑒別方式無法防范內(nèi)外勾結(jié)的合謀攻擊行為。
綜合而言,TCA三元三層的可信網(wǎng)絡(luò)連接架構(gòu)在集中管理的應(yīng)用場合,如局域網(wǎng)辦公自動化環(huán)境、工控系統(tǒng)、云計算、物聯(lián)網(wǎng)等領(lǐng)域具有廣泛的適用性。
責(zé)任編輯:售電衡衡
-
權(quán)威發(fā)布 | 新能源汽車產(chǎn)業(yè)頂層設(shè)計落地:鼓勵“光儲充放”,有序推進氫燃料供給體系建設(shè)
2020-11-03新能源,汽車,產(chǎn)業(yè),設(shè)計 -
中國自主研制的“人造太陽”重力支撐設(shè)備正式啟運
2020-09-14核聚變,ITER,核電 -
探索 | 既耗能又可供能的數(shù)據(jù)中心 打造融合型綜合能源系統(tǒng)
2020-06-16綜合能源服務(wù),新能源消納,能源互聯(lián)網(wǎng)
-
新基建助推 數(shù)據(jù)中心建設(shè)將迎爆發(fā)期
2020-06-16數(shù)據(jù)中心,能源互聯(lián)網(wǎng),電力新基建 -
泛在電力物聯(lián)網(wǎng)建設(shè)下看電網(wǎng)企業(yè)數(shù)據(jù)變現(xiàn)之路
2019-11-12泛在電力物聯(lián)網(wǎng) -
泛在電力物聯(lián)網(wǎng)建設(shè)典型實踐案例
2019-10-15泛在電力物聯(lián)網(wǎng)案例
-
新基建之充電樁“火”了 想進這個行業(yè)要“心里有底”
2020-06-16充電樁,充電基礎(chǔ)設(shè)施,電力新基建 -
燃料電池汽車駛?cè)雽こ0傩占疫€要多久?
-
備戰(zhàn)全面電動化 多部委及央企“定調(diào)”充電樁配套節(jié)奏
-
權(quán)威發(fā)布 | 新能源汽車產(chǎn)業(yè)頂層設(shè)計落地:鼓勵“光儲充放”,有序推進氫燃料供給體系建設(shè)
2020-11-03新能源,汽車,產(chǎn)業(yè),設(shè)計 -
中國自主研制的“人造太陽”重力支撐設(shè)備正式啟運
2020-09-14核聚變,ITER,核電 -
能源革命和電改政策紅利將長期助力儲能行業(yè)發(fā)展
-
探索 | 既耗能又可供能的數(shù)據(jù)中心 打造融合型綜合能源系統(tǒng)
2020-06-16綜合能源服務(wù),新能源消納,能源互聯(lián)網(wǎng) -
5G新基建助力智能電網(wǎng)發(fā)展
2020-06-125G,智能電網(wǎng),配電網(wǎng) -
從智能電網(wǎng)到智能城市