西电捷通详解可信网络连接TCA技术

随着信息化的发展，网络安全的问题变得异常突出。传统网络连接仅仅建立在身份鉴别的基础上，它的脆弱性主要体现在缺少对设备平台进行安全状态评估，无法保障网络中的设备平台的安全可信。在全国信息安全标准化技术委员会（SAC/TC 260）的指导下，由北京工业大学、西电捷通、瑞达信息等国内数十家企业联合起草的可信连接架构国家标准经过近五年的标准化推进，于2013年由国家质量监督检验检疫总局、国家标准化管理委员会批准发布，标准号为GB/T 29828-2013《信息安全技术可信计算规范 可信连接架构》。该标准采纳西电捷通提出的可信网络连接可信连接架构（Trusted ConnectArchitecture，TCA）技术，具体包括可信连接架构的层次、实体、组件、接口、实现流程、评估、隔离和修补以及各个接口的具体实现,解决终端连接到网络的双向用户身份鉴别和平台鉴别问题,实现终端连接到网络的可信网络连接。该标准适用于具有可信平台控制模块的终端与网络的可信网络连接。

TCA是一种基于三元对等架构的可信网络连接架构，实现双向用户身份鉴别和平台鉴别。其核心支撑技术已于2010年被国际标准ISO/IEC 9798-3:1998/Amd.1:2010所采纳并获发布。本文将从TCA涉及的实体、层、组建、接口、运行过程等角度对TCA技术进行详细介绍。

TCA技术架构

如图1所示，TCA提供了一套三元三层的可信网络连接架构，TCA的三元三层的架构由实体、层、组件和组件间的接口组成。TCA框图中有三列, 对应三个实体AR、AC 和PM。图中矩形框表示实体中的组件。图中三行对应TCA中的三个抽象层。下面对TCA架构的元素进行详细定义：

 

图1 可信连接架构TCA

1、实体（Entity）

实体是网络中具有对应角色的逻辑实体（不一定是物理实体）, TCA的三元结构中有AR、AC和PM 等三个实体:

（1）访问请求者（Access Requestor，AR）：AR是请求接入受保护网络的实体(可能是一台或多台物理计算机,或一个独立的程序)。

（2）访问控制器(Access Controller，AC)：控制AR访问受保护网络的实体，能够依据本地所做出的访问决策执行访问控制。

（3）基于策略管理器（Policy Manager，PM）：AR和AC的集中管理方，在用户身份鉴别和平台鉴别过程中，PM充当AR和AC的可信第三方。

2、层（Layer）

根据组件的功能把不同实体中的组件分为三个抽象层次:

（1）网络访问层(Network Access Layer): 包含组件的功能属于传统网络连接和安全, 用于实现网络访问控制层的用户身份鉴别功能、网络传输功能和访问控制功能。

（2）可信平台评估层(Trusted Platform Evaluation Layer): 包含的组件功能是, 从不同访问策略的角度来评估AR实体的整体完整性。

（3）完整性度量层(Integrity Measurement Layer): 包含插件(Plug-in)组件, 这些组件的功能是为安全程序收集和校验AR 实体中与完整性有关的信息。

3、 组件（Component）

组件是实体中完成具体功能的逻辑功能模块，下面对TCA的实体的组件进行定义。（见图2 TCA组件）

图2   TCA组件

 AR 实体中的组件有:

（1）网络访问请求者NAR (Network Access Requestor):NAR是AR中的一个组件，负责向AC发起访问请求，与NAC和APS执行用户身份鉴别协议来实现AR和AC之间的双向用户身份鉴别，传送和接收用户身份鉴别协议和平台鉴别协议数据，向TNCC发送平台鉴别请求，从TNCC接收它所做出的访问决策，依据NAR所做出的访问决策或从TNCC接收到的访问决策执行访问控制。

（2）TNC客户端TNCC (TNC Client):TNCC执行网络连接管理，集成了IMC 的完整性度量功能, 另外还协助完成完整性验证， 度量并报告平台以及IMC 的完整性。

（3）完整性度量收集者IMC (Integrity Measurement Collector):IMC是运行在AR和AC上的组件，它收集AR和AC的平台完整性度量值，并发送给相应的IMV。

AC实体中的组件有:

（1）网络访问控制者NAC (Network Access Controller):NAC是AC中的一个组件，其功能为：负责启动用户身份鉴别协议，与NAR和APS执行用户身份鉴别协议来实现AR和AC之间的双向用户身份鉴别，传送和接收用户身份鉴别协议和平台鉴别协议数据，向TNCAP发送平台鉴别请求，从TNCAP接收它所做出的访问决策，依据NAC所做出的访问决策或从TNCAP接收到的访问决策执行访问控制。

（2）TNC接入点TNCCAP (TNC Access Point)：TNCCAP执行网络连接管理，通过IMC接口与它上端的各个IMC进行信息交互，与TNCC和EPS执行平台鉴别协议，实现AR和AC之间的双向平台鉴别。

（3）完整性度量收集者IMC(Integrity Measurement Collector):IMC是运行在AR和AC上的组件，它收集AR和AC的平台完整性度量值，并发送给相应的IMV。

PM实体中的组件有:

（1）鉴别策略服务者APS（Authentication Policy Server）:APS是PM中的一个组件，其功能为：作为可信第三方与NAR和NAC执行用户身份鉴别协议来实现AR和AC之间的双向用户身份鉴别，传送和接收用户身份鉴别协议和平台鉴别协议数据。值得注意的是：APS可以不参与用户身份鉴别协议。

（2）评估策略服务者EPS(Evaluation Policy Server)：EPS不参与TNCC与TNCAP之间的网络连接管理，通过IMV接口与它上端的各个IMV进行信息交互，作为可信第三方与TNCC和TNCAP执行平台鉴别协议，实现AR和AC之间的双向平台鉴别。在平台鉴别协议中，EPS验证AR和AC的PIK证书的有效性，以及评估AR和AC的平台完整性。

（3）完整性度量校验者IMV (Integrity Measurement Verifier)：IMV是运行在PM上的组件，它校验和评估所接收到的AR和AC的平台完整性度量值。

4、接口（Interface）

接口定义了组件之间的协议和消息。

（1）可信网络传输接口IF-TNT (Trusted Network Transport Interface)  

（2）鉴别策略服务接口IF-APS (Authentication Policy Service Interface)

（3）TNC客户端－TNC接入点接口IF-TNCCAP(TNCClient-Server Interface)

（4）评估策略服务接口IF-EPS(Evaluation Policy Server Interface)

（5）完整性度量接口IF-IM(Integrity Measurement Interface)

（6）完整性度量收集接口IF-IMC (Integrity Measurement Collector Interface)

（7）完整性度量校验接口IF-IMV (Integrity Measurement Verifier Interface)

5、TCA的运行过程

图3为TCA的工作原理图，工作步骤如下：

图3   TCA的工作原理

（1）在建立可信网络连接之前，访问请求者AR的TNC客户端和访问控制器AC的TNC接入点必须分别根据特定平台绑定函数来加载它们上端的各个完整性度量收集者（IMC），而策略管理器PM的评估策略服务者必须根据特定平台绑定函数加载它上端的各个完整性度量验证者（IMV）。

（2）访问请求者AR的NAR向访问控制器AC的NAC发起网络访问请求。

（3）NAC收到NAR的网络访问请求后，与NAR和鉴别策略服务者执行用户身份鉴别协议来实现AR和AC之间的双向用户身份鉴别。在用户身份鉴别协议中，NAR和NAC协商出AR和AC之间的主密钥或会话密钥。若用户身份鉴别完成后要求立即做出访问决策，则NAR和NAC分别依据用户身份鉴别结果生成访问决策，然后跳至步骤（7）。

（4）若NAR需要执行平台鉴别过程，则NAR向TNC客户端发送平台鉴别请求，若NAC需要执行平台鉴别过程，则NAC向TNC接入点发送平台鉴别请求。

（5）当TNC接入点收到平台鉴别请求信息时，启动平台鉴别过程，与TNC客户端和EPS执行一轮或多轮平台鉴别协议来实现AR和AC之间的平台鉴别。当TNC客户端收到NAR的平台鉴别请求信息，或一轮平台鉴别协议结束后还没完成对AC的平台鉴别时，TNC客户端等待TNC接入点发起的一轮平台鉴别协议。

（6）在平台鉴别过程中，TNC客户端通过IF-IMC与它上端的各个IMC进行信息交互。TNC接入点通过IF-IMC与它上端的各个IMC进行信息交互。

（7）评估策略服务者负责验证AR和AC的证书，并通过IF-IMV调用它上端的各个IMV来校验和评估AR和AC的平台完整性度量值。EPS依据平台完整性评估策略生成AR和AC的平台完整性评估结果，最后将PIK证书验证结果和平台完整性评估结果发送给TNC客户端和TNC接入点。

（8）当AR和AC的平台鉴别完成时，TNC客户端和TNC接入点分别依据EPS生成AR和AC的PIK证书验证结果和平台完整性评估结果生成访问决策（允许/禁止/隔离），并分别发送给NAR和NAC。

（9）NAR依据它所生成的访问决策或从TNC客户端接收到的访问决策执行访问控制，NAC依据它所生成的访问决策或从TNC接入点接收到的访问决策执行访问控制，从而实现可信网络连接，即AC依据访问决策控制AR对受保护网络的访问，AR依据访问决策判定是否连接至该受保护网络。

以上消息流程定义了TCA中实体的基本行为。而在不同的实际网络环境中, 可能有不同的策略配置和网络拓扑结构, 因此可能需要额外的辅助流程。

可信连接架构TCA应用场景

TCA是一套通用的三元三层可信网络连接架构，通过基于身份鉴别、平台鉴别来实现基于端口的访问控制。其身份鉴别可提供对身份合法性的验证，其平台鉴别是基于平台完整性度量进行评估的，可确保网络连接两端设备的平台的可信赖。TCA支持配置多种平台完整性评估策略，用户可针对性的设置需要评估的组件并设置灵活的或者多层次的评估策略，根据最终的度量结果，给予不同的访问权限。同时，TCA还支持对不满足要求的设备进行隔离/修补，待新一轮评估验证确认满足要求后，再给予对应的访问权限。

作为一种通用的可信网络连接结构，TCA可适用于P2P模式，也适用于C/S模式网络。TCA用于网络接入控制时，可用于保护数据连接层的网络连接过程，也可用于保护网络层、传输层甚至应用层的网络连接过程。用户在使用TCA提升网络可信连接能力时，或许现有网络已部署了一些安全机制，比如已提供了链路层或者网络层的身份鉴别机制，可确保接入用户的合法性。这种情况下，在结合使用TCA时，则无需更改现有网络的身份鉴别机制，TCA完全可以和已有的身份鉴别机制结合使用，仅需要对网络中设备升级的就是让这些设备支持完整性度量及可信平台评估以及对应的访问控制即可。

西电捷通TCA技术目前已实现了在无线局域网、有线局域网、IP网络的可信网络连接的应用，并结合可信软件基（TSB）和可信芯片（TPCM或TCM）正在获得更为广泛的应用。当然，除用于网络接入控制，TCA也可用于网络已有鉴别协议的完整性保护，第三方客户端完整性保护、工控等特定领域的设备完整性保护等。