馬亞蕾

(陜西職業(yè)技術(shù)學(xué)院，陜西西安 710100)

0 前言

TNC是由于網(wǎng)絡(luò)訪問控制出現(xiàn)的一種技術(shù)。傳統(tǒng)的網(wǎng)絡(luò)訪問控制系統(tǒng)主要集中關(guān)注認(rèn)證機(jī)制，也就是說，阻止未授權(quán)的設(shè)備連接到局域網(wǎng)內(nèi)。但是，他們不能避免可疑狀態(tài)下的網(wǎng)絡(luò)設(shè)備接入網(wǎng)絡(luò)的可能性。網(wǎng)絡(luò)設(shè)備不在當(dāng)前的安全狀態(tài)，比如，沒有安全更新，沒有適當(dāng)?shù)牟《绢A(yù)防措施，或者個人防火墻軟件，可能威脅服務(wù)器的安全和其他連接到同一個網(wǎng)絡(luò)的工作站。

但是，TNC受限于局域網(wǎng)和個人虛擬網(wǎng)絡(luò)場景。也就是說，TNC規(guī)范和實施只允許TNC被用于使用網(wǎng)絡(luò)鏈接等級協(xié)議的受控環(huán)境下?；赪EB的應(yīng)用是TNC感興趣的新領(lǐng)域，因為TNC被廣泛使用并經(jīng)常牽涉安全敏感信息的處理。

本文中，我們提出了一個基于web環(huán)境下的TNC協(xié)議棧。

1 TNC概述

TNC架構(gòu)已經(jīng)被設(shè)計地對廠商和技術(shù)不偏不倚。這個架構(gòu)，就如在[1]中詳述的一樣，包含以下三個實體。

訪問請求者是一個客戶端，比如一個PC或者一個筆記本，試圖訪問網(wǎng)絡(luò)。它的完整性狀態(tài)被度量并報告給策略決策點。策略決策點是決定是否允許AR訪問網(wǎng)絡(luò)的實體。這些決策是基于描述一個客戶端必須滿足的完整性要求的策略。策略執(zhí)行點（PEP）是負(fù)責(zé)執(zhí)行PDP做出的決定，比如交換機(jī)。

評估階段從AR想要訪問受保護(hù)的資源（比如網(wǎng)絡(luò)）開始。在這個階段，完整性度量是集中在AR上的，通過完整性收集者和TNC客戶端的積累。TNC用基于XML形式概括度量結(jié)果并發(fā)送到PDP（策略決策點）的TNC服務(wù)器。這些基于XML的消息，在PDP上的TNCC和TNCS之間進(jìn)行交換。

每一個AR的IMC在PDP上有一個相對應(yīng)的部件，叫做完整性度量驗證者(IMV).TNCS把度量信息傳遞到相關(guān)的IMV，對度量信息和網(wǎng)絡(luò)訪問策略進(jìn)行比較。這個策略陳述了客戶端想要訪問網(wǎng)絡(luò)必須滿足的最低安全需求。在IMV可以把一個AR的安全狀態(tài)和一個策略進(jìn)行比較之前，它可能必須進(jìn)一步請求來自于IMC的度量，因此要求幾個回合。

2 自適應(yīng)的體系結(jié)構(gòu)

原始的TNC模型，正如在前一部分介紹的那樣，不能直接用在基于web環(huán)境的用例。這是因為（a）沒有集中的策略執(zhí)行點（比如一個交換機(jī)）來處理所有的訪問請求，(b)并非只訪問一個實體，一個用戶可能代表性的訪問多個服務(wù)器（比如在線銀行，電子商務(wù)和電子政務(wù)網(wǎng)站）。由于這個不同的環(huán)境，對基于TNC的體系結(jié)構(gòu)應(yīng)用了以下擴(kuò)展要求。

可信驗證者。一個TNC完整性校驗顯示了PC機(jī)上的軟件安裝和執(zhí)行的詳細(xì)信息。一個惡意驗證者可以使用這個信息通過瞄準(zhǔn)這些軟件產(chǎn)品的已知漏洞來實施攻擊。眾所周知,比如一個系統(tǒng)沒有應(yīng)用最新的操作系統(tǒng)補(bǔ)丁，可能給一個攻擊者提供了攻擊的機(jī)會，在基于web的場景中，潛在的服務(wù)提供方（包括惡意方）可以請求完整性校驗，因此避免用戶被一個惡意驗證者執(zhí)行完整性校驗的影響是很重要的。

隱私憂慮。如上述，關(guān)于PC的詳細(xì)信息在完整性校驗過程中揭露。在未受控制的網(wǎng)絡(luò)中，比如互聯(lián)網(wǎng)，用戶代表性的和多方相互配合，可能不想給他們公開完整性信息。因此融合隱私保護(hù)機(jī)制到任何一個方案里是很重要的。

可用性和用戶經(jīng)驗。不像在企業(yè)環(huán)境里，IT服務(wù)員工對于基于互聯(lián)網(wǎng)服務(wù)的用戶是不可見的。因此保持TNC完整性校驗過程簡單和對用戶透明是非常必要的。

原來的TNC體系結(jié)構(gòu)必須適應(yīng)并滿足以上要求。盡管它不可能完全滿足每一個要求，必須找到可行的折中方法。

下面提出了適應(yīng)TNC的三個可能的模型。

2.1 直接證明

直接證明模型，基于文獻(xiàn)[2]，它牽涉兩個實體：一個客戶端（c）和一個服務(wù)提供者(sp)。除了提供服務(wù)（比如在線銀行服務(wù)），SP也執(zhí)行了完整性校驗。在授權(quán)訪問服務(wù)之前，SP要求校驗C的TNC完整性。

這個模型可能引發(fā)了隱私憂慮，因為所有的完整性信息發(fā)送給SP，SP可以把它們和用戶的身份連接。更重要的是，為了能夠熟練地做出關(guān)于用戶PC安全狀態(tài)的決定，必須記錄不同版本的安全相關(guān)軟件和他們的更新。這是一個復(fù)雜的任務(wù)，因為每天會發(fā)現(xiàn)很多漏洞[4]。讓服務(wù)提供商管理他們的用戶的安全漏洞和更新，這不屬于一個典型的業(yè)務(wù)范圍，所以這種方法有嚴(yán)重的實際局限性。

2.2 轉(zhuǎn)達(dá)認(rèn)證

在中繼證明模型中，第三方實體存在：驗證服務(wù)提供者（VSP）。從一個用戶的角度來看，這個模型和前一個模型是一樣的。SP擔(dān)當(dāng)一個透明的客戶代理；TNC通過SP轉(zhuǎn)發(fā)VSP和客戶端之間的消息。然而，這種方法會影響性能優(yōu)化并且SP有可能成為瓶頸，因為所有的消息在轉(zhuǎn)發(fā)之前必須被解密和重新加密。

2.3 基于斷言認(rèn)證

基于斷言認(rèn)證模型，和轉(zhuǎn)達(dá)認(rèn)證很相似。但是，不需要通過SP轉(zhuǎn)達(dá)通信，VSP和客戶端直接通信。這個模型的基礎(chǔ)理念就是SP以一種高水平策略報表的形式陳述它的安全需求?？蛻舳诉x擇一個VSP并發(fā)送策略需求到這個VSP。VSP執(zhí)行完整性校驗并決定客戶端是否符合規(guī)定的策略。這個決定隨后被發(fā)送給SP。因為SP和VSP之間的通信是通過客戶端轉(zhuǎn)達(dá)的，所以需要提供機(jī)制來保護(hù)這些消息的完整性（避免客戶端設(shè)備編造一個對自己有利的決定）。

3 IF-T上基于web的TNC完整性校驗

我們提出了一個體系結(jié)構(gòu)和標(biāo)準(zhǔn)消息形式執(zhí)行基于TNC的完整性校驗。然而，傳輸機(jī)制也必須能夠交換TNC相關(guān)數(shù)據(jù)。在這一部分，IF—T上的一個可能的傳輸機(jī)制得到認(rèn)可。在描述這個方法前，首先說明IF—T的總體要求。

圖 1 TNC架構(gòu)示意圖

3.1 條件

幾個應(yīng)用程序工件必須在消息交換中參與的三方之間進(jìn)行傳遞，如在前一部分描述的那樣：一個在VSP上，用戶認(rèn)證SAML斷言，描述可信VSPs需求的策略，一個包含TNC完整性要求的策略文件。這些必須在實質(zhì)校驗執(zhí)行前被發(fā)送。在度量過程中，基于XML的TNC消息被交換。最后，用戶收到作為完整性校驗結(jié)果的SAML斷言，繼而SAML斷言被傳遞給SP。

3.2 在HTTP上傳輸XML

需要在VSP和客戶端之間傳送的所有應(yīng)用程序工件，比如SAML斷言，策略描述，和TNC消息交換，都是基于XML的。在HTTP上發(fā)送XML數(shù)據(jù)的最常見的方式是使用SOAP。除了其他約束，SOAP定義了一個消息格式來傳送XML有效載荷連同HTTP的頭部信息。為了用SOAP交換消息，需要定義一個XML消息格式。使用已有的可提供擴(kuò)展可能性的標(biāo)準(zhǔn)，而不是為TNC定義一個固定的格式。在下面的部分簡要介紹的WS-可信[3]，提供這個標(biāo)準(zhǔn)格式。

3.3 WS-可信概述

WS-可信是提供WSS擴(kuò)展的OASIS標(biāo)準(zhǔn)。除了XML加密和XML簽名功能，WSS提供了一個基于認(rèn)證機(jī)制的安全令牌。WS-可信 定義了發(fā)布和交換這個安全令牌的機(jī)制。

WSS認(rèn)證提供了包括安全令牌在一個SOAP請求的頭元素里。安全令牌種類的例子包含用戶令牌和SAML斷言。在SOAP請求被處理之前，附加的安全令牌生效。因而斷定，WSS認(rèn)證和其他認(rèn)證系統(tǒng)工作方式是一樣的，在一個請求被處理前證實用戶的身份和授權(quán)。

4 結(jié)論與展望

本文中，我們提出了四種實現(xiàn)一個基于web的TNC校驗的構(gòu)建部分。這種架構(gòu)提供對客戶端的隱私保護(hù)并限制SP的實施復(fù)雜性。使用安全令牌來封裝TNC結(jié)果允許TNC作為基于web應(yīng)用的認(rèn)證過程的一個方面被實施。

[1]. Trusted Computing Group, TCG Trusted Network Connect TNC Architecture for Interoperability –Specification Version 1.2, 2007.

[2]. S. Yoshihama, T. Ebringer, M. Nakamura, S.Munetoh, H. Maruyama, WS-Attestation： efficient and fine-grained remote attestation on web services, in：ICWS’05： Proceedings of the IEEE International Conference on Web Services,IEEE Computer Society, 2005, pp. 743–750.

[3]. A. Nadalin, M. Goodner, M. Gudgin, A. Barbir, H.Granqvist, WS-Trust 1.3,March 2007.