摘要:分析Google公司的BeyondCorp安全訪問模型,基于TCM標準的可信計算平臺,借鑒 BeyondCorp企業安全方法,結合TNC可信網絡接入、用戶PKC證書驗證和基于屬,性證書的訪問 控制,實現網絡訪問過程中的設備、用戶身份認證和應用服務權限管理,從而提供一種適用于內 網的身份認證、授權和訪問控制的網絡安全訪問模型,以解決“企業內網不可信”的問題。最后, 對該模型的安全性設計進行了描述。
引言
傳統網絡采用的是“邊界”防護的安全模型,“內網”是假定無條件安全和可信的。這種安全模 型存在問題:一方面,邊界防護無法防護企業內網 的非法訪問行為;另一方面,一旦邊界被突破,攻 擊者就可以暢通無阻地訪問企業內網的所有資源。Google公司針對這種情況,部署實施了_種新的企 業安全方法 BeyondCorpo本文借鑒其設計思路, 基于可信密碼模塊(Trusted Cryptographic Module, TCM)的可信計算平臺,通過使用多種安全認證和 授權手段,提出了一套輕量化的、適用于企業內網 的安全訪問模型。
1 BeyondCorp企業安全方法
2014 年 12 月,Google 陸續發表了 5 篇 BeyondCorp 論文,全面介紹了 BeyondCorp的結構和實施情況。
BeyondCorp的核心思想是摒棄企業特權網絡,即“零 信任網絡”概念:不信任任何網絡,訪問只依賴于 設備和用戶憑證,不再關心網絡位置。用戶可以從任何網絡發起訪問,除網絡延遲以外,對企業資源 的本地和遠程訪問體驗基本一致。
BeyondCorp的關鍵組件包括:( 1 ) 安全識別 設備,包括設備清單數據庫、設備標識;( 2 ) 安全識別用戶,包括用戶和群組數據庫、單點登錄系統;( 3 ) 從網絡中消除信任,包括部署無特權網絡、 有線和無線網絡接入的802.1X認證;( 4 ) 外化應用和工作流,包括面向互聯網的訪問代理、公共的DNS記錄;( 5 ) 實現基于清單的訪問控制,包括 對設備和用戶的信任推斷、訪問控制引擎、訪問控 制引擎的消息管道。
BeyondCorp的組件和訪問流如圖1所示。
圖片
圖1 BeyondCorp組件和訪問流
BeyondCorp的核心在業務,關注的是數據,是 網絡流量的不可信。Google從2011年開始實施和 部署BeyondCorp,投入了大量資源,是小公司和機 構無法負擔的。本文借鑒其安全設計思路,剝離主 要用于互聯網的訪問代理、信任推斷以及更高階的 自學習自適應,保留關鍵組件中的驗證用戶、驗證 設備和權限控制,將其引用到傳統的內網安全訪問 中,形成一種輕量化的網絡安全訪問模型,即基于 TCM的網絡安全訪問模型。
2 關鍵技術
2.1 TCM可信計算平臺
國際上通用的可信計算規范由可信計算組織 (Trusted Computing Group, TCG)制定,核心是可信 平臺芯片(Trusted Platform Module, TPM )和可信軟 件棧(Trusted Software Stack,TSS ) o TCM 對應 TPM, 是我國具有自主知識產權的可信芯片。對應TSS的 是 TCM 服務模塊(TCM Service Module, TSM )。TCM和TPM的主要區別如表1所示囹,其中TCM 存儲主密鑰(Storage Master Key, SMK )獨創性地使用了對稱密鑰。
表1 TCM和TPM的區別
圖片
基于TCM和TSM,對本地進行軟硬件可信度 量后的計算環境稱為TCM可信計算平臺。可信度 量的依據是信任鏈傳遞:每一步的度量值作為下一 步度量輸入的一部分,逐步計算出最后的度量結 果乳信任鏈傳遞的過程如圖2所示。
BIOS f自檢f 主引導區-> OS裝載器—? OS內核-> 驅動
圖2 信任鏈傳遞
度量初始值記錄在TCM可信存儲區中,設備 完成初始度量后的每次開啟過程執行度量比對,比 對不一致則認為設備不再可信。
2.2 可信網絡接入
可信網絡接入(Trusted Network Connect, TNC ) 是TCG在網絡安全方面提出的可信接入控制技術, 主要基于802.lx接入控制協議,實現基于端口的網 絡接入控制,架構如圖3所示。
圖3 TNC體系架構
TNC架構中,PDP負責對終端進行平臺身份認 可以充當PEP和PDP的角色,滿足終端接入可信網 證和完整性驗證,PEP根據PDP的驗證結果進行授 絡的應用需求o可信交換機應用方式如圖4所示。權訪問控制。基于TCM和TNC實現的可信交換機。
圖4 可信交換機應用方式
2.3 基于屬性證書的訪問控制
2000年,ITUX.509(2000)頒布(RFC3281), 其中完整定義了屬性證書(Attribute Certificate, AC ), 該標準也被稱為X.509 V4O AC將持有者的名字和 一系列“屬性”綁定,這些屬性用來表明證書持有 人的用戶群組身份、角色以及安全權限等。
基于AC的訪問控制機制有基于角色的訪問控 制(Role-Based Access Control, RBAC ) 和基于 屬性的權限控制(Attribute-Based Access Control, ABAC ) 等。兩者實現較為復雜,在內網環境中 可釆用基于屬性證書實現的安全訪問服務方案。該方案的應用體系結構如圖5所示。
圖5 基于屬性證書的應用體系結構
3 基于TCM的網絡安全訪問模型
借鑒Google的BeyondCorp架構,基于TCM可 惜計算平臺,結合可信交換機、用戶公鑰證書(Public Key Certificate, PKC )驗證和基于屬性證書的訪問 控制技術,構建了一個輕量化的基于TCM的網絡 安全訪問模型,模型架構如圖6所示。
圖6 基于TCM的網絡安全訪問模型架構
3.1 系統初始化
3.1.1 人 員
人事部門根據人員、部門以及業務等信息,制 定“用戶/組數據庫”,同時為每一個員工配發唯 —的 TCM 模塊。證書權威(Certificate Authority, CA)依據用戶/組數據庫信息,為每一個用戶簽發 PKC,這是用戶的唯一標識。PKC作為模塊證書, 存儲在TCM中。所有的PKC同步在PKC目錄服務 器上,供對外查詢使用。
3.1.2 設 備
全部設備均由企業統一采購,預裝TSM,并建 立設備資產庫。資產庫建立設備和人員的綁定關系。CA為每一臺設備簽發設備證書,設備證書作為平 臺身份證書寫入到與人員配對的TCM中。
TCM接插到設備上,第一次加電啟動完成初始 化度量,完成TCM和設備的強綁定。經過可信度 量的設備被記錄到可信設備白名單中。可信設備白 名單可動態管理設備狀態,如已報失的設備將被至 為不可信/掛失,該設備將不再具有安全訪問能力。
3.1.3 權 限
企業根據人員、業務和安全考慮,制定用于資 源訪問的資源庫。資源庫統一管理企業內網中的應 用服務資源。根據粒度不同,資源可以是服務器級 別的、服務級別的,也可以是微服務架構中“微服務。
CA 為屬性權威(Attribute Authority, AA)授權。AA根據用戶/組和資源信息,為每個用戶簽發屬性 證書。屬性證書中詳細定義用戶訪問每個資源的權限。
3.2 安全訪問過程
系統初始化完成后,當新的終端需要接入企業 內網時,要進行一次完整的安全訪問過程,包括設 備認證、用戶認證和訪問控制請求。統一認證核心 負責整個安全訪問請求的調度和判決。統一認證過 程(不包括TNC )交互如圖7所示。
圖7 安全訪問過程
3.2.1 設備認證
終端設備接入可信交換機,即進行TNC接入 認證過程。認證使用的是終端上TCM中的平臺身 份證書。TNC認證通過后,終端可向應用服務發起 連接請求。應用服務接收到請求后,首先要求終端 (TSM實現客戶端代理功能)回復TCM模塊的唯 一標識(TCM Identity, TCMID ),然后向統一認證 發送安全訪問請求。安全訪問請求至少包含要求網 絡訪問的終端TCMID和被訪問的資源信息。
統一認證根據TCMID在可信設備白名單中查 詢該終端的相關信息,并以此判斷終端設備是否合 法。設備認證成功后,繼續用戶認證過程,否則返 回判決失敗。
3.2.2 用戶認證
完成設備認證后,統一認證向請求網絡訪問的 用戶終端發送挑戰請求,請求中包含挑戰碼。終端 使用TCM平臺加密私鑰對挑戰碼等信息進行簽名, 然后作為挑戰應答回復給統一認證。
統一認證收到挑戰應答后,向PKC目錄服務 請求TCMID對應的PKC,使用該PKC驗證挑戰應 答報文。如果查詢PKC失敗或者驗證挑戰應答失敗, 則向應用服務返回判決失敗,否則繼續進行下一步 的訪問控制過程。
3.2.3 訪問控制
統一認證根據終端TCMID和資源信息,向AC 目錄服務查詢對應的屬性證書。統一認證根據獲得 的AC,驗證用戶是否具有所授資源的權限,最終 將判決結果返回應用服務器。應用服務器根據判決 結果確定是否響應用戶發起的訪問請求。
4 安全性設計
4.1 抗重放
在安全訪問過程的每一個協議包中,都設置時間戳(timestamp)和隨機數(nonce)。隨機數保證數據包不被重放,時間戳用來設置一個時間間隔如60s,以縮小nonce的規模。60s的取值來源于 HTTP請求的常見延遲時間。
4.2 身份/權限撤銷
在保留原有X.509有效期的同時,為了降低 CRL撤銷列表帶來的復雜性,通過PKC/AC目錄服務, 將過期的證書直接做刪除索引處理。這樣既可以減 少證書驗證的時間,也可以有效實現身份/權限撤銷。
4.3 屬性加密
使用TCM平臺加密證書對屬性證書中的涉密 屬性進行加密,只有能夠解密該屬性的驗證者,才 能獲知屬性的內容,降低屬性外泄造成損失的風險。
5 結語
基于TCM的網絡安全訪問模型,是對Beyond Corp框架的思考和探索。模型中的組件已經具備成 熟的技術和工程實現,如TCM計算平臺和可信交 換機;授權過程獨立使用AC,可以不必改造現有 證書系統,不影響原有PKC的簽發和使用。輕量 化的實現思路,易于系統的構建、移植和部署,在 保證安全性的同時,提供了較強的可用性。