楊 帆，楊玉發(fā)，李春林

（中國電子科技集團(tuán)公司第三十研究所，四川 成都 60045）

0 引言

隨著終端安全技術(shù)的逐漸完善，網(wǎng)絡(luò)安全的問題日益突出?？尚啪W(wǎng)絡(luò)控制技術(shù)是業(yè)內(nèi)的研究重點?？尚啪W(wǎng)絡(luò)期望網(wǎng)絡(luò)像人類社會一樣形成類似人與人之間的信任關(guān)系，并通過信任關(guān)系的度量和評估來決定是否發(fā)生直接的網(wǎng)絡(luò)交互。這種關(guān)系的建立需要在網(wǎng)絡(luò)中建立信任體系，不僅可以實現(xiàn)網(wǎng)絡(luò)訪問的身份認(rèn)證和授權(quán)監(jiān)控，而且可以動態(tài)驗證用戶或設(shè)備的信任屬性?？尚啪W(wǎng)絡(luò)控制技術(shù)從技術(shù)層面上將可信計算機制延伸到網(wǎng)絡(luò)，盡可能在網(wǎng)絡(luò)入口處阻止非法和不可信計算終端接入，以保護(hù)整個網(wǎng)絡(luò)環(huán)境的安全[1]。目前，網(wǎng)絡(luò)接入控制技術(shù)包括可信計算組織的TNC、微軟的NAP 以及思科的NAC 等。

1 當(dāng)前可信接入的局限性

當(dāng)前的可信網(wǎng)絡(luò)連接技術(shù)（Trusted Network Connect，TNC）的基礎(chǔ)體系主要基于IEEE 802.1x協(xié)議，實現(xiàn)與網(wǎng)絡(luò)訪問請求者之間的數(shù)據(jù)交互和對網(wǎng)絡(luò)端口的控制。802.1x 協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，主要解決以太網(wǎng)內(nèi)認(rèn)證和安全方面的問題。802.1x 定義了驗證機制和架構(gòu)，但缺乏更詳細(xì)的接入驗證方法。802.1x 協(xié)議中的認(rèn)證服務(wù)由AAA（認(rèn)證、授權(quán)、計費）服務(wù)器來實現(xiàn)。Diameter 協(xié)議[2]是由IETF 的AAA 工作組制定的下一代AAA 協(xié)議標(biāo)準(zhǔn)和體制，是對Radius 協(xié)的改進(jìn)，目前已廣泛應(yīng)用于因特網(wǎng)和電信運營商網(wǎng)絡(luò)。而現(xiàn)有的可信接入?yún)f(xié)議及應(yīng)用多基于AAA 協(xié)議族中的上一代Radius 協(xié)議。

通過對比表1 中的Radius 和Diameter 協(xié)議在網(wǎng)絡(luò)安全和網(wǎng)絡(luò)擴展等方面的特點可以看出，Diameter協(xié)議架構(gòu)更適應(yīng)于大型網(wǎng)絡(luò)和廣域網(wǎng)的AAA應(yīng)用。

表1 DIAMETER 與RADIUS 對比

因為Radius 架構(gòu)采用Client/Server 架構(gòu)的訪問控制和認(rèn)證協(xié)議，與TNC 的訪問請求者[3]（Network Access Requestor，NAR）、訪問控制者（Network Access Controller，NAC） 和策略管理器（Policy Manager，PM）完全符合，因此在局域網(wǎng)使用Radius 協(xié)議架構(gòu)作為可信接入?yún)f(xié)議的比較廣泛，且應(yīng)用部署簡單、實用性良好。但是，隨著網(wǎng)絡(luò)環(huán)境越來越復(fù)雜，網(wǎng)絡(luò)終端的數(shù)量擴大，網(wǎng)絡(luò)跨網(wǎng)跨域的應(yīng)用越來越廣泛，基于局域網(wǎng)內(nèi)協(xié)議架構(gòu)的可信接入認(rèn)證在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計上的深層次缺陷，使得可信接入的應(yīng)用和部署受到限制。

借助Diameter 協(xié)議的廣域網(wǎng)網(wǎng)絡(luò)架構(gòu)設(shè)計，將可信網(wǎng)絡(luò)接入認(rèn)證擴展到廣域網(wǎng)成為可能，通過繼承Diameter 架構(gòu)，通過在遠(yuǎn)程可信網(wǎng)絡(luò)接入中引入代理設(shè)備（中繼代理、委托代理）、重定向設(shè)備、不同架構(gòu)AAA 協(xié)議之間的翻譯代理、錯誤處理機制和完善的IPSec（TLS 可選）網(wǎng)絡(luò)安全傳輸機制，并通過可信網(wǎng)絡(luò)節(jié)點間的可信互聯(lián)協(xié)議，可實現(xiàn)廣域網(wǎng)的可信接入及多節(jié)點、多層級、分布式的可信認(rèn)證服務(wù)，為用戶規(guī)模化的廣域網(wǎng)和城域網(wǎng)建立統(tǒng)一的可信接入認(rèn)證服務(wù)提供了可能。

2 廣域網(wǎng)可信網(wǎng)絡(luò)接入的體系架構(gòu)設(shè)計

為了在廣域網(wǎng)可信網(wǎng)絡(luò)中建立可靠的信任傳遞關(guān)系，參與可信網(wǎng)絡(luò)接入認(rèn)證、鑒權(quán)和路由的相關(guān)網(wǎng)元（含中繼代理、委托代理、以及重定向設(shè)備）都可按照圖1 的安全可信雙體系進(jìn)行設(shè)計，為可信網(wǎng)絡(luò)系統(tǒng)及基礎(chǔ)設(shè)施實施保護(hù)和支撐。

圖1 可信網(wǎng)絡(luò)設(shè)備自身的安全可信雙體系架構(gòu)設(shè)計

如圖2 所示，廣域網(wǎng)可信網(wǎng)絡(luò)接入以三元對等的實體鑒別可信連接構(gòu)架模型為藍(lán)本，將可信網(wǎng)絡(luò)控制設(shè)備等網(wǎng)絡(luò)設(shè)備作為可信對等三元中的訪問控制者，通過可信計算和可信接入?yún)f(xié)議，對訪問請求者、訪問控制者自身進(jìn)行可信度量和身份認(rèn)證，并采用基于訪問請求者的可信度量基線的Vlan 網(wǎng)絡(luò)隔離機制，在保障訪問請求者接入可信網(wǎng)絡(luò)的同時，確保自身的可信，以及與訪問控制者（可信網(wǎng)絡(luò)節(jié)點）可信連接的鑒別和度量能力。

圖2 廣域網(wǎng)可信網(wǎng)絡(luò)接入的總體流程

基于可信接入?yún)f(xié)議，通過網(wǎng)絡(luò)訪問請求，交互雙方搜集自身的完整性信息，將其發(fā)往可信第三方；可信第三方依據(jù)請求網(wǎng)絡(luò)自己制定的安全策略，評估這些信息的正確性與完整性，并根據(jù)評估結(jié)果決定是否允許請求者與網(wǎng)絡(luò)連接，從而確保平臺與網(wǎng)絡(luò)之間的可信連接。同時，通過策略和Vlan 技術(shù)將經(jīng)過評估的不可信終端隔離在可信網(wǎng)絡(luò)之外，并在可控范圍內(nèi)建立隔離網(wǎng)絡(luò)，支撐終端在線補救和安全升級。

通過遠(yuǎn)程可信接入?yún)f(xié)議技術(shù)在廣域網(wǎng)中實現(xiàn)可信互聯(lián)/可信接入的協(xié)議解析、基于可信第三方證書的度量和鑒別、可信連接策略的執(zhí)行、不可信終端網(wǎng)絡(luò)隔離等機制和措施，使三元架構(gòu)中的訪問控制者（可信網(wǎng)絡(luò)控制設(shè)備）具備完整的可信能力，使得可信網(wǎng)絡(luò)中的三元即訪問請求者（可信終端）、訪問控制者（可信網(wǎng)絡(luò)控制設(shè)備）和策略管理器都具備可信的身份鑒別、平臺鑒別以及可信度量等能力。

3 遠(yuǎn)程可信接入?yún)f(xié)議設(shè)計

EAP 數(shù)據(jù)包封裝在EAPOL 協(xié)議分組中[4]的方式，遵循802.1x 協(xié)議標(biāo)準(zhǔn)規(guī)范。EAP 數(shù)據(jù)包作為Diameter 協(xié)議分組的TLV 屬性封裝在Diameter 分組中的方式，遵循RFC 6733和RFC 4072協(xié)議標(biāo)準(zhǔn)規(guī)范。

3.1 終端接入控制協(xié)議

局域網(wǎng)可信接入?yún)f(xié)議使用基于802.1x 接入控制協(xié)議EAPoL，擴充了認(rèn)證挑戰(zhàn)幀，并細(xì)化了可信接入數(shù)據(jù)的TLV 數(shù)據(jù)屬性及格式，通過數(shù)據(jù)分組劃片解決可信協(xié)議分組攜帶較大的可信認(rèn)證數(shù)據(jù)超出1 518 Byte 的限制?？尚沤尤?yún)f(xié)議幀及分組格式，如圖3 所示。

圖3 可信接入?yún)f(xié)議幀及分組格式

局域網(wǎng)可信接入?yún)f(xié)議分組類型包括發(fā)起幀、應(yīng)答幀、退出幀、信息幀以及挑戰(zhàn)幀等，如表2 所示。

表2 可信接入?yún)f(xié)議數(shù)據(jù)報文分組類型表

認(rèn)證信息幀中包含了具體的協(xié)議數(shù)據(jù)內(nèi)容，包括認(rèn)證請求及具體內(nèi)容、認(rèn)證鑒別及結(jié)果、認(rèn)證成功或失敗以及保活請求等。具體可信接入業(yè)務(wù)數(shù)據(jù)為TLV 格式，由于數(shù)據(jù)的格式較多，數(shù)據(jù)長度較長，在設(shè)計中需考慮數(shù)據(jù)分組的分片傳輸。

3.2 遠(yuǎn)程可信認(rèn)證協(xié)議

可信網(wǎng)絡(luò)控制設(shè)備到可信接入服務(wù)器之間，認(rèn)證流程、傳輸機制及報文格式也可采用和兼容Diameter 協(xié)議標(biāo)準(zhǔn)的基礎(chǔ)架構(gòu)，相關(guān)協(xié)議基礎(chǔ)內(nèi)容及格式遵照RFC 6733 和RFC 4072 等標(biāo)準(zhǔn)，自定義的可信互聯(lián)協(xié)議部分參照5.2.7 節(jié)說明。遠(yuǎn)程遠(yuǎn)程可信認(rèn)證協(xié)議消息格式如圖4 所示。

表3 可信度量值相關(guān)參數(shù)及特征值

圖4 Diameter 消息格式

AVP 屬性值對（Attribute-Value-Pairs）。在Diameter 基礎(chǔ)協(xié)議中，路由信息、對等端節(jié)點的資源利用情況以及用戶的認(rèn)證、授權(quán)和計費、路由、安全消息等消息內(nèi)容信息都封裝在AVPs 中進(jìn)行傳輸[5]。廣域網(wǎng)可信協(xié)議中也是在AVP 封裝中集成了可信度量值、設(shè)備證書以及隨機數(shù)等相關(guān)可信協(xié)議相關(guān)屬性值。

可信參數(shù)和命令的AVP Code 序號需排在Radius 協(xié)議的屬性和支持Diameter 標(biāo)準(zhǔn)命令之后。其中，數(shù)據(jù)內(nèi)容仍已TVL 格式進(jìn)行封裝（參看表1的列表值），也為實現(xiàn)對局域網(wǎng)接入?yún)f(xié)議的TLV 翻譯及轉(zhuǎn)發(fā)提供了便利。

3.3 遠(yuǎn)程可信認(rèn)證流程

遠(yuǎn)程可信認(rèn)證流程，如圖5 所示。

步驟1：訪問請求者A（待接入可信網(wǎng)絡(luò)的設(shè)備）作為認(rèn)證發(fā)起者，發(fā)送接入認(rèn)證發(fā)起可信接入Start報文，開始認(rèn)證；

步驟2：訪問控制者B 向訪問請求者A 發(fā)送請求認(rèn)證報文，攜帶產(chǎn)生的隨機數(shù)。

步驟3：訪問請求者A 收到訪問控制者B 認(rèn)證啟動報文，發(fā)送認(rèn)證請求報文，包括終端可信度量值、標(biāo)識、特征值以及身份信息；

圖5 可信認(rèn)證建立流程

步驟4：訪問控制者B 向策略管理器C 發(fā)送認(rèn)證鑒別請求報文（可通過中繼設(shè)備路由和轉(zhuǎn)發(fā)進(jìn)行廣域網(wǎng)傳送），內(nèi)含來自訪問請求者A 的認(rèn)證請求報文中的所有可信認(rèn)證信息；

步驟5：策略管理器C 獲取認(rèn)證鑒別請求報文，對A 的可信認(rèn)證信息有效性進(jìn)行有效判斷，向訪問控制者B 發(fā)送認(rèn)證鑒別結(jié)果報文；

步驟6A-6B：訪問控制者B 解析來自策略管理器C 的認(rèn)證鑒別結(jié)果，失敗則向訪問請求者A 發(fā)送認(rèn)證失敗報文，中斷流程；正確則向訪問請求者A發(fā)認(rèn)證結(jié)果報文；

步驟7：訪問請求者A 解析來自策略管理器C的認(rèn)證鑒別結(jié)果，失敗則向訪問控制者B 發(fā)送認(rèn)證失敗報文，中斷流程，回到認(rèn)證初始狀態(tài)；正確則向訪問控制者B 發(fā)送認(rèn)證成功報文，同時進(jìn)入認(rèn)證成功狀態(tài)；認(rèn)證中間方收到認(rèn)證成功報文，則進(jìn)入認(rèn)證成功狀態(tài)；

步驟8：訪問請求者A 成功入網(wǎng)，并發(fā)送認(rèn)證成功消息給策略管理器C。

4 全網(wǎng)分布式可信接入?yún)f(xié)同應(yīng)用

為了增加可信網(wǎng)絡(luò)的可靠性冗余，系統(tǒng)支持本地和遠(yuǎn)程兩種可信接入控制模式。本地模式可在本地服務(wù)域部署可信接入服務(wù)器作為本地策略決策點，輔助廣域網(wǎng)的可信接入服務(wù)器進(jìn)行可信接入的策略決策。遠(yuǎn)程模式下，可在其他服務(wù)域內(nèi)及管理域內(nèi)部署多個可信接入服務(wù)器，實現(xiàn)遠(yuǎn)程可信接入的策略決策。網(wǎng)絡(luò)之間通過可信中繼代理、可信委托代理以及可信重定向設(shè)備進(jìn)行中繼、路由和路由重定向。本地和遠(yuǎn)程的可信接入控制模式的應(yīng)用，如圖6 所示。

應(yīng)用中可將可信交換機作為可信網(wǎng)絡(luò)控制者?？尚沤粨Q機節(jié)點之間可基于可信接入?yún)f(xié)議完成可信節(jié)點互聯(lián)，使得整個網(wǎng)絡(luò)實現(xiàn)可信網(wǎng)絡(luò)的規(guī)?；渴饝?yīng)用。同時，可信接入認(rèn)證網(wǎng)絡(luò)也按照Diameter AAA 網(wǎng)絡(luò)的部署設(shè)置了服務(wù)域和管理域，可信服務(wù)域是實施可信終端接入控制的局域網(wǎng)區(qū)域。管理域是可以一個或多個服務(wù)域內(nèi)的可信終端提供可信接入認(rèn)證服務(wù)的區(qū)域，為可信管理域。

圖6 局域網(wǎng)和廣域網(wǎng)中的可信接入認(rèn)證的應(yīng)用部署

5 結(jié)語

通過基于Diameter 的遠(yuǎn)程可信接入網(wǎng)絡(luò)架構(gòu)技術(shù)、協(xié)議設(shè)計以及可信接入認(rèn)證流程，提出了一個新的遠(yuǎn)程可信接入認(rèn)證的方法，可以實現(xiàn)可信接入在廣域網(wǎng)上的應(yīng)用部署，解決當(dāng)前局域網(wǎng)可信接入的網(wǎng)絡(luò)的架構(gòu)缺陷，提供遠(yuǎn)程可信認(rèn)證的部署應(yīng)用，解決局域網(wǎng)多點部署難題，實現(xiàn)廣域網(wǎng)接入鑒權(quán)統(tǒng)一化管理，更加符合廣域網(wǎng)認(rèn)證要求。