王志皓，安寧鈺，張 鵬，王 雪

（1.全球能源互聯(lián)網(wǎng)研究院有限公司，國家電網(wǎng)公司先進計算及大數(shù)據(jù)技術(shù)聯(lián)合實驗室，北京 102209；2.北京智芯微電子科技有限公司，國家電網(wǎng)公司重點實驗室電力芯片設(shè)計分析實驗室，北京 100192；3.國網(wǎng)遼寧省電力有限公司信息通信分公司，遼寧 沈陽 110016）

0 引言

當前，解決網(wǎng)絡通信可信性問題的技術(shù)，國內(nèi)外較為通用的為可信計算組織（Trusted Computing Group, TCG）[1]提出的可信計算機制與網(wǎng)絡接入控制技術(shù)相結(jié)合可信網(wǎng)絡連接（Trusted Network Connection, TNC）[2]，該技術(shù)由2004年5月TCG組織成立的可信網(wǎng)絡連接分組（TNC Sub Group，TNCSG）[3]提出，旨在將終端的可信狀態(tài)延續(xù)到網(wǎng)絡中，使信任鏈從終端擴展到網(wǎng)絡[4]，在傳統(tǒng)的基于身份認證網(wǎng)絡接入控制技術(shù)基礎(chǔ)上，增加基于平臺硬件模塊的平臺身份認證與完整性驗證[5]，有獨創(chuàng)性的優(yōu)勢，符合解決通信可信性的需求。但其面向主機提供通用平臺環(huán)境下三元對等[6]的鑒別、針對終端進行單向可信認證等機制導致其面向工業(yè)控制等特定行業(yè)、產(chǎn)業(yè)環(huán)境的應用有一定的局限性。針對上述問題，本文結(jié)合可信身份證明技術(shù)的產(chǎn)業(yè)化應用現(xiàn)狀，分析面向行業(yè)的應用需求，給出了一種可行的可信通信解決方案。

1 產(chǎn)業(yè)化應用現(xiàn)狀

1.1 產(chǎn)業(yè)化發(fā)展進程

隨著網(wǎng)絡的普及應用，網(wǎng)絡攻擊越來越多，特別是以惡意代碼為主的新型攻擊手段常常使得傳統(tǒng)的基于防火墻和病毒查殺的網(wǎng)絡安全防護手段失去作用?？尚啪W(wǎng)絡技術(shù)的出現(xiàn)，改變了傳統(tǒng)的被動防御的模式。從近年來國內(nèi)外產(chǎn)業(yè)化應用情況來看，可信網(wǎng)絡技術(shù)的發(fā)展階段可分為網(wǎng)絡接入控制、可信網(wǎng)絡連接等兩個階段。

網(wǎng)絡接入控制（Network Access Control，NAC）框架通過引入用戶身份認證和終端安全狀態(tài)認證兩種安全機制來提高網(wǎng)絡的安全性。首先，它要求用戶在接入網(wǎng)絡時必須提供自己的身份信息，只允許合法的用戶接入網(wǎng)絡，這種認證能夠有效隔離網(wǎng)絡中的非法用戶；其次，它要求對接入終端的安全狀態(tài)進行認證，終端接入時需要將自身的安全狀態(tài)信息（例如操作系統(tǒng)是否更新，殺毒軟件和防火墻是否啟動等）提交給網(wǎng)絡接入服務器進行認證，只有符合服務器限定安全策略的終端才能允許接入。網(wǎng)絡接入控制框架通過驗證接入終端身份和安全狀態(tài)的合法性，不但阻止了非法用戶的接入，而且還防止了不安全的終端（例如感染了惡意代碼）接入網(wǎng)絡，保證了網(wǎng)絡環(huán)境的安全。但是，網(wǎng)絡接入控制還存在互操作性和擴展性差、安全狀態(tài)容易偽造、缺乏接入后控制等方面的安全問題。

針對上述問題，TCG提出了一種開放的網(wǎng)絡接入控制解決方案——可信網(wǎng)絡連接（Trusted Network Connection, TNC），并推出了一系列的標準。TNC的主要思想是：突出架構(gòu)的開放性，不限定實現(xiàn)TNC架構(gòu)所使用的技術(shù)以支持所有主流計算平臺、網(wǎng)絡設(shè)備和操作系統(tǒng)，并結(jié)合了可信計算技術(shù)的特點。TCG將TNC設(shè)計為與其它網(wǎng)絡接入控制解決方案兼容，并推出了包括體系結(jié)構(gòu)、組件接口和支撐技術(shù)等完備的標準體系。

我國企業(yè)和研究機構(gòu)在網(wǎng)絡接入控制方面也做出了很多貢獻。我國提出了支持IEEE 802.1X標準、符合TNC標準的統(tǒng)一接入控制（UAC2.0）方案，在網(wǎng)絡上實時執(zhí)行動態(tài)的可信身份策略管理，將用戶身份、端點完整性及定位信息與接入控制進行捆綁，解決平衡接入和安全控制的問題；我國還提出了三元對等架構(gòu)的訪問控制機制（TePA-based access control，TePA-AC），設(shè)計了TCA可信網(wǎng)絡連接架構(gòu)，發(fā)布了國家標準GB/T 29828-2013《信息安全技術(shù) 可信計算規(guī)范 可信連接架構(gòu)》，全票通過形成ISO/IEC JTC1/SC27國際標準，其WAPI安全無線局域網(wǎng)在我國物聯(lián)網(wǎng)、無線城市、三網(wǎng)融合等領(lǐng)域的安全可控方面發(fā)揮著積極作用。

1.2 當前我國產(chǎn)業(yè)界主要技術(shù)路線

我國產(chǎn)業(yè)界在可信網(wǎng)絡相關(guān)技術(shù)和產(chǎn)品方面主要采用兼容可信網(wǎng)絡連接和三元對等架構(gòu)的訪問控制機制的技術(shù)路線。

（1）主要產(chǎn)品類型

當前我國在可信網(wǎng)絡產(chǎn)業(yè)中的主要產(chǎn)品類型主要包含可信網(wǎng)絡設(shè)備、可信終端與可信服務單元。

可信網(wǎng)絡設(shè)備主要包括可信交換機、可信接入網(wǎng)關(guān)等網(wǎng)絡設(shè)備，旨在從網(wǎng)絡基礎(chǔ)設(shè)施的層面提升網(wǎng)絡的安全性。

可信終端當前主要包含安全接入終端、手持類終端以及USB-Key等產(chǎn)品，安全終端中通常包含安全芯片或安全固件用以表征終端身份和度量終端安全性，在應用時需要與可信安全網(wǎng)關(guān)等設(shè)備共同交互使用。

可信服務單元為軟件，需要安裝在應用系統(tǒng)和可信終端之上，與硬件配合對外提供可信服務。

（2）主要應用方式和解決的業(yè)務問題

可信網(wǎng)絡產(chǎn)品主要包括“端到端”和“端入網(wǎng)”兩種應用方式。

“端到端”應用方式主要解決移動辦公等遠程端對端安全傳輸?shù)臉I(yè)務問題。該方式中的參與實體主要包含可信終端和可信接入網(wǎng)關(guān)?？尚沤K端借助可信芯片，可以遠程向可信接入網(wǎng)關(guān)證明自身的身份和終端的安全狀態(tài)；可信接入網(wǎng)關(guān)根據(jù)可信終端提供的身份信息和安全狀態(tài)，決定是否允許遠程終端接入。

“端入網(wǎng)”應用方式主要解決終端接入業(yè)務網(wǎng)絡的安全問題。該方式中的終端和網(wǎng)絡設(shè)備通常需兼容NAC及各類安全協(xié)議，并不限定實現(xiàn)可信網(wǎng)絡所使用的技術(shù)以支持所有主流計算平臺、網(wǎng)絡設(shè)備和操作系統(tǒng)。

2 行業(yè)應用需求分析

當前的可信網(wǎng)絡產(chǎn)業(yè)化成果中面向通用計算平臺和B/S、C/S架構(gòu)的業(yè)務系統(tǒng)的可信網(wǎng)絡通信技術(shù)和產(chǎn)業(yè)化成果已經(jīng)相對比較成熟并有較大范圍應用，但由于其主要面向通用計算平臺進行設(shè)計，可信網(wǎng)絡連接和三元對等架構(gòu)的訪問控制機制面向諸如石油、化工、電力、交通等關(guān)系到國計民生的重要行業(yè)的工業(yè)控制系統(tǒng)較為復雜，目前在工業(yè)控制系統(tǒng)中并未得到廣泛應用。

隨著工控系統(tǒng)的復雜化、IT化和通用化加劇了系統(tǒng)的安全隱患。通用開發(fā)標準與互聯(lián)網(wǎng)技術(shù)的廣泛使用，使針對工業(yè)控制系統(tǒng)的病毒、木馬等攻擊行為大幅度增長，結(jié)果導致整體控制系統(tǒng)的故障，甚至惡性安全事故，對人員、設(shè)備和環(huán)境造成嚴重的威脅。

通信安全是工控系統(tǒng)安全中的重要環(huán)節(jié)，由于工控系統(tǒng)內(nèi)的設(shè)備功能相對簡單、設(shè)計較為規(guī)范，完成工控協(xié)議的逆向工程并不困難，而且大部分的工控協(xié)議都不具備安全防護特征，而且工控系統(tǒng)中的終端具有數(shù)量多、分布廣、通信手段多樣的特點，導致面臨的網(wǎng)絡安全風險種類多，范圍大，層次深入，對于終端身份及狀態(tài)可信鑒別和認證的需求尤為迫切，同時需要確保終端網(wǎng)絡通信過程中的數(shù)據(jù)機密性和完整性，防止由于終端身份被仿冒、完整性被破壞以及數(shù)據(jù)或指令被竊取或篡改所帶來的網(wǎng)絡安全事件和經(jīng)濟損失。

3 可行的可信通信解決方案

3.1 應用場景

本方案適用于可抽象為圖1所示的業(yè)務模型的通信場景，此場景多出現(xiàn)于工業(yè)控制系統(tǒng)中，現(xiàn)場終端設(shè)備可通過多種通信方式與主站系統(tǒng)進行通信，通信雙方多采用符合相關(guān)標準的工業(yè)控制協(xié)議進行報文交互，主要實現(xiàn)嵌入式終端量測數(shù)據(jù)的上報、主站系統(tǒng)控制命令的下發(fā)等業(yè)務。在此種環(huán)境下，對通信雙方的身份、安全狀態(tài)、數(shù)據(jù)機密性以及嵌入式終端設(shè)備的在線狀態(tài)等都有安全需求。

圖1 本方案適用的業(yè)務模型

3.2 安全目標

本方案在通信雙方建立連接時和通信過程中進行安全防護。在嵌入式終端設(shè)備與主站系統(tǒng)建立連接時，完成主站系統(tǒng)與接入終端的雙向身份認證、接入終端的可信狀態(tài)檢測，確保接入終端的身份可信和計算環(huán)境可信，同時協(xié)商通信密鑰，實現(xiàn)對通信數(shù)據(jù)的機密性和完整性保護；在通信時，通信數(shù)據(jù)采用在建立連接時協(xié)商的通信密鑰對全部通信數(shù)據(jù)進行機密性保護，主站系統(tǒng)與嵌入式終端設(shè)備定期進行身份認證和狀態(tài)檢測，并對終端在線狀態(tài)進行監(jiān)測，發(fā)現(xiàn)問題時可強制終端離線。

3.3 關(guān)鍵技術(shù)

本方案在三元對等架構(gòu)的訪問控制機制基礎(chǔ)上進行調(diào)整，簡化了訪問控制器、策略管理器以及可信平臺評估層相關(guān)功能，提出基于可信計算技術(shù)的透明于工控協(xié)議的可信通信協(xié)議，結(jié)合數(shù)字證書技術(shù)實現(xiàn)可信安全通信系統(tǒng)，構(gòu)建終端可信網(wǎng)絡連接通信應用環(huán)境。

（1）可信計算技術(shù)

本方案主要應用靜態(tài)度量技術(shù)和動態(tài)度量技術(shù)實現(xiàn)通信雙方狀態(tài)可信度量和校驗。

靜態(tài)度量過程主要在嵌入式終端或主站系統(tǒng)啟動時進行，從嵌入式終端或主站系統(tǒng)加電開始建立信任鏈，并基于白名單機制在應用程序啟動時對應用程序進行可信度量，度量結(jié)果作為通信雙方雙向驗證計算環(huán)境狀態(tài)可信的依據(jù)。

圖2 終端系統(tǒng)動態(tài)度量機制

靜態(tài)度量和動態(tài)度量是本方案中實現(xiàn)可信TCP/IP協(xié)議的網(wǎng)絡層和應用層，適用于使用以太網(wǎng)、以太無源光網(wǎng)絡、無線公網(wǎng)（GPRS、3G、TD-SCDMA等）進行通信的系統(tǒng)，實現(xiàn)主站系統(tǒng)前置服務器和嵌入式終端設(shè)備間端到端的安全，可在不改變系統(tǒng)網(wǎng)絡架構(gòu)并極少改變系統(tǒng)設(shè)置的情況下實現(xiàn)智能終端設(shè)備的安全接入，其交互流程如圖3所示。

圖3 可信通信協(xié)議交互流程

可信通信協(xié)議主要包含記錄協(xié)議和握手協(xié)通信的基礎(chǔ)，為保證方案的安全性，應使用TPCM、TCM或TPM等可信硬件實現(xiàn)相關(guān)過程，通信雙方應為采用上述可信硬件的可信計算平臺。

（2）可信通信協(xié)議

本方案給出了一種支撐終端身份認證、可信狀態(tài)認證、機密性保護和完整性保護的可行的輕量級可信通信協(xié)議?？尚磐ㄐ艆f(xié)議工作于議兩層，其中記錄協(xié)議建立在其他可靠的傳輸協(xié)議如TCP/IP之上，用于封裝高層協(xié)議如握手協(xié)議，而握手協(xié)議使通信雙方相互進行認證，并協(xié)商加密算法和密鑰。在可信通信協(xié)議中調(diào)用可信計算技術(shù)實現(xiàn)終端身份和狀態(tài)的證明，包括獲取并驗證終端身份證書，獲取并驗證嵌入式終端的靜態(tài)度量結(jié)果。完成終端身份和狀態(tài)的證明之后交換公鑰證書。在電力終端與系統(tǒng)主站首次協(xié)商即將建立通信會話之前，上述握手過程已經(jīng)完成?？尚磐ㄐ艆f(xié)議的握手交互流程如圖3所示。

依據(jù)具體業(yè)務需求，在握手階段，可以采用三種認證模式：

1）基于數(shù)字證書的認證：嵌入式終端設(shè)備重新加電與主站系統(tǒng)建立連接時采用該種認證方式，通過數(shù)字證書進行身份認證，通過靜態(tài)度量進行狀態(tài)認證，認證完成后協(xié)商用于保護通信數(shù)據(jù)的工作密鑰；

2）基于對稱算法的認證：嵌入式終端設(shè)備與主站系統(tǒng)在正常通信流程中，若出現(xiàn)某種情況導致連接終端重新建立連接時采用該種認證方式，通過協(xié)商的工作密鑰進行身份認證，通過動態(tài)度量進行狀態(tài)認證；

如圖3，△ABC中，AC=BC，點D是線段AB上一動點，∠EDF繞點D旋轉(zhuǎn)，在旋轉(zhuǎn)過程中始終保持∠A=∠EDF．若射線DE與邊AC交于點M，射線DE與邊BC交于點N，連結(jié)MN．

3）工作密鑰過期重新認證：當工作密鑰使用一定周期后，采用基于數(shù)字證書的認證方式重新進行身份認證和狀態(tài)認證，并協(xié)商新的工作密鑰。

3.4 實現(xiàn)方式

本方案可通過設(shè)計并研發(fā)部署于系統(tǒng)主站側(cè)的可信安全通信網(wǎng)關(guān)和部署于嵌入式終端側(cè)的可信安全通信模塊實現(xiàn)。

（1）可信安全通信網(wǎng)關(guān)

可信安全通信網(wǎng)關(guān)擁有代表主站身份的數(shù)字證書，部署于系統(tǒng)主站前置機端，用于對接入業(yè)務系統(tǒng)的嵌入式終端進行身份認證、狀態(tài)認證和通信數(shù)據(jù)保護。

可信安全通信網(wǎng)關(guān)可以采用雙網(wǎng)口的設(shè)計，分別與主站系統(tǒng)前置機和可信安全通信模塊進行數(shù)據(jù)通信，與業(yè)務前置機通信的網(wǎng)絡接口工作于網(wǎng)絡層，收發(fā)IP報文分組，與可信安全通信模塊通信的網(wǎng)絡接口工作于應用層，其載荷為另一網(wǎng)口收發(fā)的IP報文分組。

可信安全通信網(wǎng)關(guān)可以由可信通信協(xié)議模塊、工作密鑰管理模塊、終端管理模塊、數(shù)字證書管理模塊、終端監(jiān)控模塊和應用映射模塊等部分組成。

（2）可信安全通信模塊

可信安全通信模塊部署于嵌入式終端側(cè)，內(nèi)置數(shù)字證書代表終端身份，用于業(yè)務終端和業(yè)務前置機的身份認證和可信保護，實現(xiàn)業(yè)務前置機與業(yè)務終端間的可信身份認證和可信通信。

可信安全通信模塊應可實現(xiàn)對嵌入式終端的靜態(tài)度量、動態(tài)度量、可信通信協(xié)議等功能。

可信安全通信模塊可以采用外置串接、終端內(nèi)嵌或軟件模塊三種實現(xiàn)方式。外置串接模塊應有兩個通信接口，通信接口需根據(jù)嵌入式終端的通信接口進行設(shè)計，可以為雙網(wǎng)絡接口、雙串行接口、單網(wǎng)絡接口單串行接口的形式，外置串接模塊的一個通信端口與嵌入式終端連接，另一網(wǎng)口與本地交換機、ONU等網(wǎng)絡設(shè)備連接，此種方式無需嵌入式終端進行軟硬件改造；終端內(nèi)嵌模塊以插針方式內(nèi)置于嵌入式終端內(nèi)，應根據(jù)嵌入式終端的尺寸和通信模式進行設(shè)計，此種模塊的技術(shù)原理及實現(xiàn)方式與外置串接模塊相同，但更加節(jié)省空間，其缺點是需要嵌入式終端進行硬件改造；軟件模塊應為與通信協(xié)議棧集成的軟件，需要根據(jù)嵌入式終端操作系統(tǒng)或通信協(xié)議棧的具體實現(xiàn)形式和版本進行開發(fā)，此種方式成本最低。

3.5 應用實例

本方案的一個典型應用為其在配電自動化系統(tǒng)中的應用。配電系統(tǒng)將電力逐步傳送到用戶，是電力系統(tǒng)直接面向電力用戶的環(huán)節(jié)，TPCM芯片實現(xiàn)可信度量和密碼算法，可信安全通信系統(tǒng)的部署方式如圖4所示。

圖4 可信安全通信系統(tǒng)應用部署架構(gòu)

可信安全通信網(wǎng)關(guān)部署在主站前置機前，通過網(wǎng)口連接主站前置機進行主站數(shù)據(jù)通信，配電自動化系統(tǒng)主要實現(xiàn)配電系統(tǒng)的正常運行及事故情況下的監(jiān)測、保護、控制和配電管理，配電自動化系統(tǒng)由配電主站、子站和配電終端構(gòu)成，目前相當一部分配電自動化系統(tǒng)不包含子站，由配電終端直接和配電主站進行通信。

應用本方案設(shè)計并實現(xiàn)的可信安全通信系統(tǒng)由可信安全通信網(wǎng)關(guān)和外置型可信安全通信模塊構(gòu)成，其數(shù)字證書由統(tǒng)一的數(shù)字證書管理系統(tǒng)進行簽發(fā)，可信安全通信網(wǎng)關(guān)使用PCI-E形態(tài)的TPCM實現(xiàn)可信度量和密碼算法，外置型可信安全通信模塊采用由以TCM為核心的通過網(wǎng)口連接交換機等網(wǎng)絡設(shè)備與可信安全通信模塊交互確保終端安全接入。

外置型可信安全通信模塊具有兩個網(wǎng)口，一個網(wǎng)口與業(yè)務終端連接，另一網(wǎng)口與本地網(wǎng)絡交換機或無線通信模塊等設(shè)備連接。

此應用實例中的可信安全通信系統(tǒng)在部署時將各組成部分串接進了整個通信網(wǎng)絡中，未進行業(yè)務系統(tǒng)的大規(guī)模軟硬件改造，但由于增加了系統(tǒng)中的設(shè)備數(shù)量，此種應用的方式增加了部分可能的故障點。

3.6 產(chǎn)業(yè)化前景

本方案在電力系統(tǒng)中進行應用，同時可應用于石油、化工、水利、交通等類似工業(yè)控制系統(tǒng)中，具有廣泛的產(chǎn)業(yè)化前景。

4 結(jié)語

本文對可信網(wǎng)絡通信技術(shù)的發(fā)展進行了分析，調(diào)研并分析了可信網(wǎng)絡通信技術(shù)發(fā)展到可信網(wǎng)絡連接和三元對等架構(gòu)方向的產(chǎn)業(yè)化現(xiàn)狀和主要的應用場景及方式，目前市場上面向通用計算平臺和B/S、C/S架構(gòu)的業(yè)務系統(tǒng)的可信網(wǎng)絡通信技術(shù)和產(chǎn)業(yè)化成果已經(jīng)相對比較成熟并有較大范圍應用，但從產(chǎn)業(yè)化的角度看重要行業(yè)工業(yè)控制系統(tǒng)對于通信安全的需求仍然比較迫切，本文面向廣泛應用的工業(yè)控制系統(tǒng)業(yè)務模型提出了一種可行的可信通信解決方案，實現(xiàn)終端身份和可信狀態(tài)證明，給出了應用案例，在石油、化工、水利、交通等類似工業(yè)控制系統(tǒng)中，具有廣泛的產(chǎn)業(yè)化前景。

[1]TNC Specification Trusted Network Connect-TNC Architecture for Interoperability Revision11,[EB/OL].Trusted Computing Group, 2006.5,http//:www.trustedcomputinggroup.org.

[2]Trusted Computing Group.TNC Architecture for Interoperability[EB/OL].(2011-01-25)[2017-02-15].http//:www.trustedcomputinggroup.org/resources/tnc_Architecture_for_Interoperability_specification.

[3]TNC Specification Trusted Network Connect-TNC IF-PEP:Protocol Binding for Radius Revision07, [EB/OL],2006.5,http//:www.trustedcomputinggroup.org

[4]張煥國,陳璐,張立強.可信網(wǎng)絡連接研究[J].計算機學報,2010.4,33(4):706-717.

[5]李興國,顧震蘇.基于可信網(wǎng)絡連接的安全接入技術(shù)[J].微計算機信息,2007.5,23(5-3):28-29,46.

[6]曹軍,雷肖躍,葛莉,等. 一種基于三元對等鑒別(TePA)的可信平臺驗證方法[D]. CN.