用户可信度(精选4篇)
用户可信度 篇1
0 引言
电子政务需要一种经授权后才能访问政府机关网站的性能卓越、且可实施管理的安全机制。无论电子化申请/注册,还是在线公务以及电子化政策的制定,都需要引入保密性、完整性、鉴权性和不可否认性。限制外界访问重要信息和资源的传统安全机制己无法满足时下陆续增长的各类现实需求。
已有研究证明了:在电子政务外网采用带有用户可信度的PKI/PMI安全机制即是一个有效的技术解决方案。PKI能认证用户的身份,PMI能证明用户的权限,将PMI的属性证书(AC)与公钥证书(PKC)捆绑在一起,这样既可以认证用户身份,又可以分配具体的权限,实现认证与授权的分离[1]。
1 新安全机制拓扑结构
1.1 拓扑结构
访问控制是OSI网络安全体系结构的一类安全服务[2],其目的是对访问行为进行合法性判断,并允许或禁止这种访问行为的发生。然而这种安全性的一个重要前提是假设用户声称的身份是真实的,即用户身份的表示与用户本人是一致的。而目前确定用户身份最常见的方法是采用基于用户名及密码的身份认证机制。在访问控制应用中,尤其是在分布式系统中,这种方式存在的安全问题是:某个用户的身份信息被他人非法获取并篡改,冒充主体非法进入系统,从而使访问控制模型失去安全防护作用,带来极大安全隐患。针对这个问题,目前的解决办法是采用审计或入侵检测的方法[3]。但这只是一种事后检测,冒充用户对客体的操作已经发生,由其造成的损失在很多情况下是难于弥补的。而实时入侵检测技术则往往会误报或漏报非法用户的入侵。
本文提出的带有用户可信度的PKI/PMI安全机制由一次性口令管理,身份认证、访问控制模型、可信度计算、可信度控制及重新认证等模块组成。具体地,设计实现基本原理如图1所示。
为方便后续描述,约定:S表示主体,O表示客体。并作如下的定义:
访问会话(Access Session)中,S得到访问控制模块许可之后,进入O所在的应用模块到S退出这个模块为止,此过程的逻辑映像称为一次访问会话。
针对传统防火墙技术对内部威胁防范能力不足的问题,该机制对内部用户实施可信度评估,通过对用户的网上行为进行学习并建立习惯模式,对用户请求实现了习惯行为模式匹配,据此来判断用户当前行为的异常程度,如果发现行为异常,则对该行为追加安全策略过滤;如果属于禁止行为,则需要:
1)修订用户习惯行为文档。
2)学习构造新的用户行为模式:修改可信度表,降低用户可信度,根据可信度级别做出处理。该方法能够对来自网络内部的行为执行有效的监控,预防可能出现的安全威胁。
1.2 实现思路
该安全机制将PKI身份认证与PMI访问控制这2种安全服务有效地结合起来。通过建立主体的可信度计算方法,实时检测主体的可信度变化,当其下降到某个设定值后,采用一次性口令[4]方法对主体的身份进行重新认证。同时,在一次性口令实现中结合了基于公开密钥的密码序列处理,因此,能否通过一次性口令认证就反映了用户身份的可信度。身份认证是保证用户身份合法性及唯一性的方法,而访问控制的有效性也需要建立在合法主体的基础之上。有效地将两者结合起来,发挥各自的优势,能提高整个系统的安全性与灵活性。
2 系统模块
本系统设计原则是:标准化、易配置、易管理、易扩展。系统中的PKI和PMI初始化为:上级对下级的管理主要体现在上级CA、AA签发下级CA、AA的PKC和AC,并对下级证书负责。
2.1 PKI/PMI模块
本模块的特点:
1)采用PKI/PMI双证书体系结构,由PKI和PMI分别通过PKC和AC完成身份鉴别和权限管理的服务功能。但两者并非对等关系,PMI的授权服务是建立在PKI提供的身份认证服务基础之上的。
2)对AC采用“Pull”模式。这样可沿用已有的通信协议,使系统的灵活性更大,同时避免了当用户的PKC验证都未通过,却上传了2张证书的错误,减少了用户与代理验证服务器之间不必要的通信开销,加快了系统的执行效率。
3)2个系统在底层进行了一定程度的融合,虽然签发AC的人与颁发PKC的可以毫无关联,但如果这样,代理验证服务器就需要验证2条独立的证书路径:PKC路径和AC路径。本方案使用同一个CA对属性权威AA及其特权持有者颁发证书,无疑可以提高证书路径的验证效率。
2.2 用户可信度控制模块
2.2.1 可信度计算
主体可信度是这个安全机制的核心,可以通过如下几种途径获得:
1)根据主体在进行身份认证时所获得的信息来计算,包括主体通过认证的时间、主体的认证位置、主体所在的客户机信息等。
2)根据主体在访问客体时所表现出来的属性计算,如在某个客体上的停留时间、在客体上的资料输入方式等。
3)通过预测主体访问客体的序列来计算预测主体下一步访问中选择某个客体的可能性,这可以作为主体可信度计算的参考值。
2.2.2 基于可信度的控制
根据主体不同的可信度值,对其行为进行适当的控制,尽量减少错误判断,同时又能拒绝冒充用户访问。该机制采用重新认证的方法解决这个问题。为了避免重新认证时,采用与首次身份认证所使用的密码一样,增加认证的可信度,这里使用一次性口令认证方法,其优点是关于窃听者对主机上密码文件的窃取具有很好的抵抗能力,因为密码只在一段时间内有效,而且即使获得了当前的密码,也不可能知道下一次的密码[5]。
一次性口令认证的两个关键参数是:初始口令(某一个秘密串R)和所要生成的一次性口令个数N。通常情况下,这2个参数是由客户端提出的。本文中,R可取主体在身份认证时设置的密码,N则由主机随机生成。一次性口令的生成及反馈算法描述如图2所示。
3 功能定义
3.1 机制功能设计
1)PKI保证了身份的真实性。
2)PMI保证了权限控制的正确性。
3)用户可信度控制保证了拒绝冒充用户的访问。
3.2 各模块功能描述
1)身份认证。采用基于用户名及密码的身份认证方式,允许或禁止用户进入应用系统。向访问控制模块提供一个经过认证的、且代表用户身份的用户名,同时为可信度计算模块提供计算可信度所必要的信息,如认证时间、认证地点以及运行环境等。
2)访问控制。对主体的访问请求进行判断,得到是否允许访问的结论。同时为可信度计算模块提供在每个访问行为前提下,对主体可信度计算的信息,如主体请求、访问会话中的环境信息等。
3)可信度计算。对身份认证及访问控制模块提供的信息,实时计算主体的可信度,计算结果是动态的,随着所得到的信息而变化。可信度是一个位于[-1,1]区间上的值,-1表示主体绝对不可信,1表示主体绝对可信。
4)可信度控制。根据主体当前的可信度及访问控制模块的判断结果,决定主体的访问请求是否继续,是否要求对主体进行重新认证。
5)重新认证。按照一次性口令的认证方式,通知访问控制模块对主体进行重新认证。
6)一次性口令管理。生成当前访问会话的一次性口令,加密并发送给客户端。
3.3 安全机制的创新
3.3.1 身份认证与访问控制的集成
1)接受并验证用户对PKC的请求,处理该请求,为用户签发PKC。
2)接受并验证用户对AC的请求,处理该请求,为用户签发AC。
3)实现对PKC整个生命周期包括撤销、查询、更新、存档等操作的管理。
4)实现对AC整个生命周期包括撤销、查询、更新、存档等操作的管理。
5)PKI与PMI的有机结合。
3.3.2 基于可信度的控制
1)对用户提供的相关信息进行采集和处理。
2)根据1)得出的可信度实现对用户访问的控制。
4 机制的安全性分析
该安全机制中,当主体的可信度下降到某个阈值之后,采用一次性口令认证方法进行重新认证,这能有效提高访问控制对假冒用户访问的监测及控制能力,保证在用户身份不确定情况下的安全性仍然具有较高的访问控制能力。
该安全机制严格规定非信任网络与可信任网络的连接必须采用安全连接协议,广泛使用了双向认证的HTTP(SSL)协议。在客户端与内网服务提供者之间建立无连接安全绑定。由于外代理没有安全绑定中的必要信息,在外代理被攻击者占领的极端恶劣的情况下,也无法与内网进行有效的通讯。因此,该模型能够很好地保证密级不同的网络之间的安全交互。特别适用于政务、公安等保密要求较高的单位,能够为多种结构(C/S、B/S和Socket)同时提供安全控制服务。
5 结束语
电子政务因其较高的安全需求和内外网密级不同的特性,传统的限制外界访问的安全机制己无法满足。带有用户可信度的PKI/PMI安全机制是一种经授权后才能访问政府机关网站的坚固、可靠、可管理的安全机制。可最大限度杜绝假冒用户对政务网的攻击。
参考文献
[1]宋福英.电子政务系统若干安全问题的研究[D].兰州:西北师范大学,2007.
[2]中国信息安全产品测评认证中心编著.信息安全理论与技术[M].北京:人民邮电出版社,2013.
[3]钟诚,赵跃华.信息安全概论[M].武汉:武汉理工大学出版社,2009.
[4]邵力军,张景,魏长华.人工智能基础[M].北京:科学出版社,2011.
[5]曹剑平,郭东辉.一种基于可信度计算的集成身份认证与访问控制的安全机制[J].计算机工程,2005,31(24):30-32.
用户可信度 篇2
云计算 (cloud computing) 掀起了IT信息技术业的第三次浪潮, 将成为一种新的网络化IT服务模式。其目标旨在像供水电气等生活必须品一样, 向云端用户提供大规模的信息与计算资源, 为用户提供全面、方便、快捷的服务。
云计算的迅猛发展, 其安全问题越显突出, 已成为制约云计算发展领域最为突出的问题。云计算服务中心集成的基础设施即服务 (IaaS) 、平台即服务 (PaaS) 、软件即服务 (SaaS) 规模巨大, 其前所未有的开放性与复杂性, 将成为黑客攻击的重点。云客户的信息安全与隐私保护, 对云服务运营商提出了巨大的挑战。因此, 为用户提供一个安全可信的运行环境、防止云的内外攻击, 成为该领域最迫切的解决的问题。
本文的结构, 首先提出了云计算存在的安全风险, 接着引入了可信计算技术并阐明其内涵, 在此基础上构建了云用户安全模型。
2 云计算的安全风险
由于云计算服务规模巨大, 其前所未有的开放性与复杂性, 对云服务运营商和管理者, 提出了严峻的考验。
首先, 云数据传输存在安全风险。用户数据在传输过程中, 虽然在租户与云管理中心的边界路由器上能采用VPN技术对数据进行加密、验证、身份确认等行为, 但对于众多普通的租户不可能在用户端去购置价格昂贵的路由器、防火墙设备, 传输存在安全风险。
其次, 云数据存储存在安全风险。云服务商从经济性和可用性出发, 对众多的云用户数据会采用多租户模式混合存储, 这种方式不能阻止非法用户对数据的访问, 外部的恶意攻击可能窃取用户信息与数据。
第三, 身份管理与访问控制存在安全风险。尽管云服务平台中用户可通过虚拟化技术来共享资源, 在虚拟化技术下, 用户非法取得虚拟机的权限, 能够进一步的威胁到物理服务器上的虚拟机。多租户共享云环境仍然是云安全的最大挑战。
另外, 云计算中多层服务模式引发的安全问题。不同的云服务提供商之间没有统一的安全协议, 使得服务在多层转包的过程中存在安全风险。
3 可信计算技术
目前各云服务提供商为了实现云计算的安全, 通常会在网络层部署安全设备, 如网络中间件防火墙、防毒墙、包过滤、入侵检查系统等, 并将计算资源存储在区域网络 (SANs) 。但这些作法都停留在网络层, 即在Internet上传输这个过程。如果能在硬件芯片层就保证云计算的安全, 那么, 云计算的大规模应用将指日可待。而可信计算技术可以实现这个假设。
可信计算是信息安全领域中的一个重要概念, 其主要思想是在硬件平台植入安全芯片——可信平台模块 (RPM) 来提高终端系统的安全性。其基本思想是, 建立一个物理安全的信任根部件, 并基于该信任根建立一条认证和信任链, 如果能在云中植入一个信任根, 让计算机从BIOS到操作系统内核层, 再到云应用层都构建信任关系;以此为基础, 扩大到云中的网络, 建立相应的信任关系链。通过信任链的扩充, 就建立起可信云。这样, 可以从根本上解决云计算的安全问题。
可信计算平台是以可信平台模块 (TPM) 为根, 由TPM、CPU、操作系统、可信软件、应用软件、网络基础设备融为一体的完整体系结构。可信计算平台能够从硬件底层开始实现对用户身份地鉴别, 用户身份不再依赖操作系统, 而由可信计算技术支撑, 用户身份鉴别不会被旁路;底层部件对上层进行度量和认证, 从系统的启动开始对BIOS、操作系统的加载模块、操作系统都要被一一可信验证, 确保其不被篡改。
4 云用户的安全模型
4.1 可信终端架构
在可信计算体系中, 最核心的是可信芯片平台TPM。TPM是一个含有各种密码部件和存储部件的小型片上系统, 能够提供一系列密码处理功能, 如RSA加速器、算法引擎、随机数发生器以及存放密钥等功能。
在互联网构成的云计算平台中, 各种终端包含了PC、手机以及其它移动智能终端等, 其中手机以及其它移动智能终端等多为嵌入式系统。在这些智能终端中引入TPM, 由TPM芯片完成嵌入式终端信息安全的核心算法, 而由软件调用TPM的计算结果来实现相应的安全功能, 控制嵌入式终端从启动到运行的全过程。
嵌入式可信终端包括可信的硬件层、OS层和应用层, 这3个层次相互配合, 从而使得可信终端具备可靠的安全支持, 其中该架构的核心是TPM。可信终端架构如图1所示。
4.2 基于可信计算的云用户安全模型
当前, 对用户的数据安全主要加密技术 (DES、3DES、AES等) 保证数据的隐私性, 用hash算法 (md5、sha1等) 对数据的完整性进行验证, 并在数据接收方对发送源进行身份确定。但是这只能保证数据包在互联网上传递的安全, 没有解决数据因内部因素产生的自身的安全问题, 因而不能真正起到保证用户的数据安全与身份隐私保护的作用。
我们在客户端底层硬件嵌入可信平台模块TPM, 并采用虚拟技术, 实现了多租户可信计算环境模型。在本模型中, 我们提出了“双信任链传递”的概念, 一条信任链是从可信根的启动到虚拟机的加载, 确保基础设施环境的可信;另一条信任链是从客户操作系统到应用, 确保虚拟机的可信。
在多租户可信计算环境下, 存在多个虚拟机共用一个TPM的情况, 这样造成了单TPM负荷过重。因此, 我们应用可信平台仿真器提供多个虚拟TPM, 为每一个虚拟机提供可信根, 解决了多个虚拟机共用一个TPM负荷过重问题, 并在每一个虚拟TPM中配置安全策略, 构建基于可信计算的云用户安全模型, 如图2所示。
本模型构建的主体思路:
(1) 以可信管理模块 (TPCM) 为可信根, 对硬件资源的BIOS、虚拟化平台进行可信验证, 保证底层启动的可信。通过TPCM仿真为每一个虚拟机提供虚拟的可信管理VTPCM, 并对每个虚拟机进行可信验证将信任传递到虚拟机。
(2) 当云用户需要申请云服务前, 向可信第三方提出申请, 可信第三方再向云服务商提出申请, 这样通过了中间代理, 云服务商并不知道最终云用户是谁, 从而实现云用户身份隐匿。
(3) 信任链的构建, 首先从物理可信根开始到硬件平台、虚拟机监视器、可信管理VTPCM、客户操作系统、应用程序构建信任链, 构建云基础设施的可信运行环境。并将执行控制权传递给引导扇区;其次, 引导扇区对虚拟机监视器进行完整性度量, 并将执行控制权传递给虚拟机监视器。VTPCM对虚拟机操作系统加载模块、操作系统、应用程序进行完整性度量, 就如终端系统一样, 如果上述所有的完整性度量结果是可信的, 就实现了从可信根到虚拟机的信任传递。
5 结束语
本文根据云用户所面临的安全风险, 构建了基于可信计算的云用户安全模型。本模型通过引入了可信计算技术, 为云计算的基础设施软硬件提供了可信的运行环境, 具有参考价值。对于云计算中虚拟机的管理问题有待进一步的研究。
参考文献
[1]孙晶晶, 蔡勉, 赵阳.基于可信计算的云用户安全模型[J].计算机安全, 2012 (4) :19-24.
[2]王海峰, 程广河, 郝惠娟, 王尚斌.云计算模式下可信平台设计[J].山东科学, 2010 (8) :99-102.
[3]季一木, 康家邦, 潘俏羽等.一种云计算安全模型与架构设计研究[J].信息网络安全, 2012, (06) :6-8.
用户可信度 篇3
通过调查研究发现, 如今的用户域安全保护方案逐渐暴露出来了一系列的安全问题, 传统的身份认证方案是基于PIN实现的, 因为只有较短的密钥长度, 将用户的个人信息给包含了过来, 那么就容易遭到攻击。在智能手机或者PDA等移动平台上, 仅仅应用了基于生物特征的身份认证方法, 也容易遭受到攻击。
在2004年10月, TCG在硬件资源紧张和电池容量有限的移动终端引入了可信计算的思想, 并且提出了三个技术标准草案, 涵盖了软件体系、硬件体系以及协议等方面, 可以将端到端的安全移动计算环境给提供出来。在TMP标准中, 已经分开了认证和授权, 并且开始对用户权限进行考虑。本文结合移动终端的特性, 在硬件方面采用了OMAP730, 提出了一种新的移动终端用户认证技术。
2 基于OMAP730的可信移动平台
在某公司, 采用的主流智能手机处理器就是OMAP730, 它对GSM/GPRS数字基带单芯片处理器进行了集成, SRAM、SDRAM以及FLASH都是其携带的。另外, OMAP还对安全ROM以及安全RAM进行了集成, 并且将硬件的安全算法加速器以及随机数产生器给配置了过来。虽然采用单纯的OMAP730无法促使可信计算的要求得到满足, 因此, 但是这些硬件资源可以有效的构建TMP;因此, 为了促使TMP要求饿到满足, 只需要将这些硬件配置于OMAP730之上即可。
(1) TPM的添加, 结合TMP的标准以及TPM的标准, 在构建TPM的时候, 可以选取三种不同的方式。首先是封装整合OMAP730内部已配置的硬件安全算法模块、随机数产生器以及安全RAM等资源, 以便对内置TPM进行构建。对独立的外置TPM芯片进行选择, 在连接OMAP730的时候, 利用的是总线SM Bus。为了促使硬件成本得到节约, 就可以将OMAP730内部ARM9和存储器给应用起来, 通过纯软件的方式, 来促使TPM需要具备的功能得到实现。
(2) 在安全ROM中固化CRTM, 这样配合TPM就可以促使可信启动得到完成。TPM在对ROM中的代码进行读取时, 利用的是DMA的方式。
(3) 对于设备BR的读取, 则是利用高速UART接口外接生物特征来读取的, 在这个部分, 通常将指纹采集仪应用过来, 这可以对单纯口令认证方式的脆弱性进行有效的弥补, 促使TMP安全等级3对认证方式的要求得到满足。
(4) 将可信模式指示器添加于外围, 这样可以对平台当前状态进行指示, 判断是否可信。
3 基于口令、指纹和USIM的用户域认证方案
通过研究发现, 相较于目前单纯口令或者指纹的用户域认证方案, 本方案的总体工作流程具有一些不同的特点:
当需要对移动终端进行使用时, 用户需要首先将USIM卡插入进来, 以便对平台的合法性进行验证, 平台当前状态得到确认之后, 用户通过键盘将口令输入进来, 并且将BR提供自己的指纹给充分利用起来, 以便避免恶意终端窃取到用户的敏感信息。在本方案中, 不是简单的比较口令或指纹与模板, 而是借助于RSA0KEN体制和Hash算法, 来有效融合指纹和口令, 并且计算过程在TMP的可信边界内完成, 促使TMP中安全等级要求得到满足。另外, 用户、ME以及USIM制件的认证也可以分别实现。将用户的临时身份以及与网络的共享密钥给利用起来, 借助于无线网络, USIM可以对TPM证书与签名的合法性进行在线校验, 以便促使不同CA域中TPM和USIM的认证得到实现。
在本方案中, 用户将自己的口令给脊柱, 并且持有USIM卡, 本卡是无线网络运营商所颁发的, 本USIM卡除了可以将基本的密码运算完成之外, 还可以对用户的数字证书以及敏感信息等进行存储, 比如认证参数、指纹模板以及匹配软件等等。其中, 认证参数包括两个方面的内容, 分别是用户接入无线网络时需要的参与以及用户与终端进行认证的参数。
在安全性分析方面, 通过研究发现, 本方案借助于可信移动平台框架, 促使用户、USIM和ME之间的双向认证得到实现, 在认证过程中, 用户口令以及指纹数据的安全性得到了保证, 用户对ME或者USIM中数据的访问控制得到了强化, 并且ME或者USIM丢失后造成的危害也可以得到减少。同时, 将在线认证方式给应用过来, 本方案还可以促使ME和其所有者之间的认证得到实现, 也可以让合法用户将自己的USIM利用起来, 按照规定权限, 来对其他合法移动终端进行使用, 并且不同CA下的用户和ME之间的认证也可以非常便捷的实现。
4 结语
通过上文的叙述分析我们可以得知, 随着时代的进步和发展, 移动终端的安全性受到了越来越多人的重视。传统的移动终端用户认证技术在实践过程中逐渐显露出来了一系列的问题, 那么就可以将可信计算给应用过来, 通过实践研究表明, 基于可信计算的移动终端用户认证技术具有一系列的优点, 需要大力推广和应用。
摘要:随着时代的进步和社会经济的发展, 无线通信技术和计算机技术不断革新, 并且互相融合, 移动终端在人们生活和工作中占据了越来越重要的位置;但是存储资源以及计算资源的丰富, 逐渐出现了诸多的移动操作系统和无线应用, 移动终端的安全威胁也需要引起人们足够的重视。针对这种情况, 本文结合可信计算, 提出了一种移动终端用户认证技术, 希望可以提供一些有价值的参考意见。
关键词:可信计算,移动终端,用户认证
参考文献
[1]郑宇, 何大可.基于可信计算的移动终端用户认证方案[J].计算机学报, 2006, 2 (8) :123-125.
[2]陈书义, 闻友达, 赵宏.基于可信计算的移动平台设计方案[J].东北大学学报, 2008, 2 (8) :55-57.
用户可信度 篇4
近年来,环境问题和能源问题已成为全球可持续发展战略中迫切需要解决的问题,能源互联网作为可再生能源和互联网技术结合的产物,能够从本质上改变对传统能源的依赖,保障全球能源的可持续性供应[1]。目前,全球能源互联网正成为国内外学术界的研究热点,但对能源互联网尚未达成统一的概念。简单而言,能源互联网可理解为将大量分布式能源节点互联起来,实现能量对等交换和共享的智能电网。可以认为,能源互联网是智能电网概念的发展和深化。
与传统电网相比,智能电网具有“网络更广、用户更泛、交互更多、技术更新”等特点,信息安全隐患更加突出[2],如无线通信技术和智能传感技术在信息传输过程中存在被非法窃听、篡改和破坏的风险[3,4];海量交互信息往往导致数据吞吐量过大,造成网络波动、业务过载;终端用户交互信息存在泄露、篡改和破坏的风险;用户终端存在信息泄露、非法接入、被控制的风险;新型技术、智能设备本身存在安全缺陷,广泛应用后各类信息安全问题可能凸显。
尤其是随着智能表计、智能家电、分布式清洁能源设备等多种智能终端的大量接入,在加快智能电网发展的同时也带来了巨大的安全风险。传统“垒高墙,堵漏洞,防外攻”的被动式防御对于抵抗电网内部攻击见效甚微,对于已经接入电网内部的终端如果感染病毒或发起恶意攻击,已有的被动式防御方式已经不能有效抵抗。几乎所有的攻击事件追根溯源都是由终端发起[5],如果在终端接入电网时能够对其进行安全评估,对不符合要求的终端进行限制接入或阻断,从而保证电网中的每一个终端都事先经过安全检查,就从根源上控制了恶意攻击事件。对于数量庞大、类型多样的用户终端的存在,可以考虑采取终端可信接入技术对终端进行认证和授权,但由于传统的终端可信接入方式只在终端接入时对其进行身份认证,并没有动态地实时监测终端行为[6]。也就是说,在网络接入时的可信终端在运行过程中并不能保证一直是安全可信的,有可能被非法冒用、远程控制等,从而进行一系列非法操作。
1 可信网络连接
目前,保证终端安全可靠接入的技术主要有3 种:Cisco公司的网络准入控制(Network Admission Control,NAC)、Microsoft公司的网络访问保护(Network Access Protection,NAP)和TCG的可信网络连接(Trusted Network Connection,TNC)[7]。本文基于TNC思想提出基于用户行为的电网终端可信接入方法。
自可信计算组织(Trusted Computing Group,TCG)[8]2003 年成立以来,制定了一系列可信计算相关的标准规范,其中包括TNC[9,10,11,12]。可信计算的核心思想是将底层芯片作为信任根,层层认证,直到将这种信任扩展到整个计算机系统,从而保证终端计算环境的可信。TNC在其基础上,继续将这种信任扩展到整个网络中,保证这个网络成为一个可信的计算环境。具体来说,是在终端接入网络时对其进行身份认证,认证通过则对终端的完整性状态进行度量和验证[13],如果度量结果满足系统的安全策略,则允许终端接入网络。否则根据度量结果将终端接入隔离网络或者禁止终端接入,对于接入隔离网络的终端需要对其进行安全修复,直到满足系统的安全策略时才允许其接入。这样,信任就扩展到了整个网络,整个网络的安全性得到了很大提高。
TNC基础架构模型如图1 所示。
基于可信网络连接的思想,在终端接入过程中,当终端发出访问请求后,需对其进行身份认证和平台完整性度量,当终端满足网络预设的安全策略时被允许接入;当终端不满足上述要求时,被禁止接入或进行隔离修复。但从整个终端接入的过程看,这种接入方法只是在终端接入时对其进行认证,一旦终端被允许接入网络,则该终端的行为就不受制约,也就是说,终端如果被恶意控制,就可能以其合法身份做出威胁网络安全的行为。TNC只在终端接入网络时对其进行了身份和完整性认证,在接入之后没有对终端进行任何安全性保护,这种保护机制只能保护终端接入网络时的安全性,不能保证接入后网络的安全[8]。因此,在终端接入网络后,需从用户终端行为入手,对用户行为进行实时监控,才能保证终端接入后的安全。
2 基于用户行为的电网终端可信接入技术
针对现有技术的不足,本文提出一种基于用户行为的电网终端可信接入方法,在TNC的基础上从终端入手解决电网信息安全问题,从终端行为入手,对网络攻击进行主动防御,将大部分潜在攻击在发生前进行抑制。
2.1 可信接入架构
基于用户行为的电网终端可信接入架构如图2所示。该架构的核心思想是:在对终端进行身份认证和平台完整性度量的基础上,对电网用户的实时行为证据进行收集,周期性地判断用户行为是否可信,从而决定是否允许终端继续接入网络以及以何种身份接入等问题,并以此决定对用户采取实时监控的力度。
基于用户行为的电网终端可信接入架构包含3 个实体:电网接入终端,相当于TNC中的访问请求者(Access Requestor,AR);接入网关,相当于TNC中的策略执行点(Policy Enforcement Point,PEP);认证服务器,相当于TNC中的策略决策点(Policy Decision Point,PDP)。基于用户行为的电网终端可信接入架构从纵向考虑,包含3 个逻辑实体:终端访问层、可信评估层、可信度量层。
1)终端访问层。负责处理底层的通信数据,在该层次,AR和PDP分别需要建立可靠的数据传输通道,而PEP则根据PDP的判定结果执行允许、禁止和隔离等网络接入操作,完成电网接入终端的访问请求,申请建立网络连接。
2)可信评估层。 包括可信网络连接客户端(TNC Client,TNCC)和可信网络连接服务器(TNC Server,TNCS)2 个部分,负责处理网络接入策略,以及完整性和行为验证结果的评估,TNC客户端解析网络接入策略,指导完成相关数据收集,而TNC服务器则根据接入策略进行接入判定。
3)可信度量层。负责处理原始的、与具体接入策略无关的可信数据,AR需要收集可信数据,而对应的PDP则需要验证可信数据的正确性。可信度量层除了包括TNC基础架构中的完整性度量收集者(Integrity Measurement Collector,IMC)和完整性度量验证者(Integrity Measurement Verifier,IMV),还包括新增定义的用户行为证据收集(User Behavior Evidence Collector,UBEC)和用户行为统计检查(User Behavior Count Judge,UBCJ)。UBEC负责实时收集电网终端AR的行为证据,形成AR历史行为证据集。UBCJ根据行为证据集,周期性地加权判断用户行为是否可信,从而决定是否允许终端继续接入网络以及以何种身份接入等问题,并以此决定对用户采取实时监控的力度。
2.2 可信接入流程
在TNC可信网络连接的基础上增加行为可信判断过程,基于用户行为的电网终端可信接入流程如图3 所示。
具体流程如下。
1)在对终端进行身份认证之前,TNCC需要对IMC和UBEC进行初始化,确保TNCC拥有与IMC和UBEC的有效连接状态。TNCS也要对IMV和UBCJ进行初始化,确保TNCS拥有与IMV和UBCJ的有效连接状态。
2)当终端发出连接请求时,NAR就向PEP发送连接请求消息。
3)当PEP收到NAR的终端访问请求后,向NAA发送网络访问决策请求。NAA按照用户身份认证、平台身份认证、平台完整性验证和用户行为可信判断的顺序进行决策,如果其中有一个认证没有达到系统策略要求,则禁止用户接入。
4)终端通过用户身份认证后,NAA通知TNCS有一个连接请求到来。
5)TNCS和TNCC进行平台身份验证。
6)终端通过平台验证后,TNCS通知IMV需要进行完整性验证。同时,TNCC通知IMC需要准备完整性验证的相关信息。IMC向TNCC返回完整性相关信息。
7)完整性验证分为以下3 个步骤:TNCC和TNCS之间根据AR的完整性状态进行交互,直到满足系统要求;IMC发送给IMV的消息通过TNCS进行转发,IMV对IMC收集到的完整性消息进行分析。如果收集到的信息足够支撑IMV作出判断,IMV将结果通过相关接口发送给TNCS;TNCC转发TNCS与IMV之间的交互信息。
在用户身份认证、平台验证和完整性检查完成之后,就要对用户行为进行可信判断,主要分为以下3 个步骤。
8a)TNCS向UBCJ表示行为可信判断开始,UBCJ完成策略制定、异常行为判断阈值AAddabormal、周期性判断时间间隔TTimeint,证据信任的信任范围(Tlow,Thigh)等值的初始化,这些初始值的设定可以根据用户行为的判定情况进行调整。TNCC向UBEC发送请求收集用户实时行为证据,设实时获得用户行为证据值为Enew,并对以往用户行为证据进行统计存储,假设该用户过去的累加证据值为AAddevi。UBEC将用户行为证据收集结果汇报给TNCC。
8b)TNCC将用户行为证据信息发送给相应的TNCS,通过NAR、PEP和NAA进行转发。
8c)TNCS转发用户行为证据信息给相应的UBCJ。在预先设定的时间间隔TTimeint内,UBCJ根据UBEC收集到的实时用户行为证据判定用户行为是否可信,具体的判定过程如下:根据用户的累加证据值AAddevi判定收集到的用户实时证据Enew是否可信。如果不可信,则判断该实时证据为不可信,本次实时监控得到的证据为AnewAddevi。如果Enew可信,就将该实时证据与用户以往的信任结合起来,与自己的历史行为证据比较判断行为是否可信,|Enew–AAddevi|<D是否成立,D为异常行为的偏离度。 如果上式成立,则Enew为可信证据,如果不成立,则Enew列为有可能为不可信证据的怀疑证据。对于怀疑证据,需要进一步进行判断,将怀疑证据与整个系统行为证据信任化的信任范围比较判断,判断Tlow<Tnew<Thigh是否成立,如果成立则为可信证据,否则为不可信证据,即Enew=Eabnormal,也就是异常行为证据,并对该行为证据进行记录。在预先设定的时间TTimeint内,将异常行为的证据值按照预设的权重进行加权计算,判断∑iαiEabnormal>AAddabnormal是否成立,ai为各个异常行为的恶意指数。如果上式成立,则认为该用户的行为是不可信的,对于有不可信访问行为的用户在NAA的执行过程中应及时终止用户访问,禁止用户接入。UBCJ将用户行为是否可信的判定结果返回给TNCS。
9)TNCS根据完整性验证和行为可信判断结果,将操作建议发送给NAA。
10)最终的网络访问操作决策通过PEP执行,而这个结果通过TNCS发送给TNCC。
11)如果允许终端AR接入网络,那么在终端接入网络后,UBEC对用户行为证据进行周期性地收集,在预先设定的时间间隔TTimeint内对用户行为进行可信判断,将判断结果上报给TNCS。一旦发现用户行为异常,及时告知PEP对AR进行阻断连接,阻止有异常行为的用户访问网络。
3 结语
面对能源互联网的终端接入需求,本文基于可信网络连接思想,提出一种基于用户行为的电网终端可信接入方法。在原有对用户进行身份验证和平台完整性验证的基础上,增加了对用户行为的可信判断,实现了终端可信接入以及接入后的可信管控,解决了电网终端的安全可信接入问题。
摘要:未来能源发展的基本格局将以电力为中心,能源互联网可理解为将大量分布式能源节点互联起来,实现能量对等交换和共享的智能电网。随着全球能源互联网的发展,国家电网公司逐渐在信息外网开展互动化业务系统应用,电网智能终端的广泛使用在加快电网发展的同时也带来了安全隐患。文章基于可信网络连接的思想,提出了基于用户行为的电网终端可信接入方法,在对终端进行身份认证和平台完整性验证的基础上,增加了对用户行为进行周期性可信判断的过程,从而实现了终端的全过程实时管控,解决了电网终端的安全可信接入问题。