網(wǎng)絡(luò)竊密、監(jiān)聽和防泄密技術(shù)課件

第13章安全接入和身份認(rèn)證13.1可信計(jì)算技術(shù)13.2網(wǎng)絡(luò)安全接入13.3網(wǎng)絡(luò)身份認(rèn)證第13章安全接入和身份認(rèn)證13.1可信計(jì)算技術(shù) 13.1可信計(jì)算技術(shù)

可信計(jì)算組織(TrustedComputingGroup，TCG)對“可信”的定義是：一個實(shí)體在實(shí)現(xiàn)給定目標(biāo)時，若其行為總是如同預(yù)期，則該實(shí)體是可信的。這個定義將可信計(jì)算和當(dāng)前的安全技術(shù)分開，可信強(qiáng)調(diào)行為結(jié)果可預(yù)期，但并不等于確認(rèn)行為是安全的，這是兩個不同的概念。從TCG的定義來看，可信實(shí)際上還包含了容錯計(jì)算里可靠性的概念。可靠性保證硬件或者軟件系統(tǒng)性能可預(yù)測。 13.1可信計(jì)算技術(shù)

可信計(jì)算組織(Trus13.1.1可信計(jì)算概述

1999年10月，為了解決PC機(jī)結(jié)構(gòu)上的不安全問題，從基礎(chǔ)上提高其可信性，由幾大IT巨頭Compaq、HP、IBM、Intel和Microsoft牽頭組織了可信計(jì)算平臺聯(lián)盟(TrustedComputingPlatformAlliance，TCPA)，成員包括190家公司。TCPA定義了具有安全存儲和加密功能的可信任平臺模塊(TrustedPlatformModule，TPM)，致力于數(shù)據(jù)安全的可信計(jì)算，包括研制密碼芯片、特殊的CPU、主板或操作系統(tǒng)安全內(nèi)核。2003年3月TCPA改組為TCG，TCG在原TCPA強(qiáng)調(diào)安全硬件平臺構(gòu)建的宗旨之外，更進(jìn)一步增加了對軟件安全性的關(guān)注，旨在從跨平臺和操作環(huán)境的硬件組件和軟件接口兩方面，促進(jìn)不依賴特定廠商開發(fā)可信計(jì)算環(huán)境。TCG組織以TPM為核心，逐步把可信由TPM推向網(wǎng)絡(luò)和各種應(yīng)用?，F(xiàn)在TCG組織分成下列幾個工作組：13.1.1可信計(jì)算概述

1999年10月，為了解決

(1)認(rèn)證工作組。該組定義可信計(jì)算平臺的認(rèn)證機(jī)制的規(guī)范，包括生物識別與認(rèn)證、智能卡等。

(2)硬件復(fù)制工作組。該組定義用于硬件復(fù)制設(shè)備的、開放的、與廠商無關(guān)的規(guī)范，硬件復(fù)制設(shè)備可利用TCG組織構(gòu)建自己的可信根。

(3)基礎(chǔ)結(jié)構(gòu)工作組。該組定義結(jié)構(gòu)框架以及整合結(jié)構(gòu)的接口標(biāo)準(zhǔn)和元數(shù)據(jù)。

(4)移動工作組。該組定義可信的移動設(shè)備，包括手機(jī)、PDA等。

(5)?PC客戶端工作組。該組為使用TCG組織的PC客戶端提供公共的功能、接口及與安全性私密性相關(guān)的必要支撐條件。

(6)服務(wù)器工作組。該組為TCG技術(shù)實(shí)現(xiàn)服務(wù)器提供定義、規(guī)范、指南等。(1)認(rèn)證工作組。該組定義可信計(jì)算平臺的認(rèn)證機(jī)制的規(guī)范

(7)軟件棧工作組。該組為利用TPM的應(yīng)用系統(tǒng)廠商提供一組標(biāo)準(zhǔn)的API接口，目標(biāo)是對使用TPM功能的應(yīng)用程序提供一個唯一入口：提供對TPM的同步訪問；管理TPM的資源；適當(dāng)?shù)臅r候釋放TPM的資源等。

(8)存儲工作組。該組重點(diǎn)制定專用存儲系統(tǒng)的安全服務(wù)標(biāo)準(zhǔn)。

(9)可信網(wǎng)絡(luò)連接(TrustedNetworkConnect，TNC)工作組。該組負(fù)責(zé)制定在接入控制階段和接入后對端點(diǎn)進(jìn)行完整性驗(yàn)證的方法、策略、標(biāo)準(zhǔn)和協(xié)議。

(10)?TPM工作組。該組制定TPM規(guī)范。TPM是可信根，該根是其他工作組的基礎(chǔ)。

(11)虛擬化平臺工作組。該組著重虛擬化平臺上的可信計(jì)算。(7)軟件棧工作組。該組為利用TPM的應(yīng)用系統(tǒng)廠商提供可信計(jì)算的主要手段是進(jìn)行身份確認(rèn)，使用加密進(jìn)行存儲保護(hù)及使用完整性度量進(jìn)行完整性保護(hù)?；舅枷胧窃谟?jì)算機(jī)系統(tǒng)中首先建立一個信任根，再建立一條信任鏈，一級測量認(rèn)證一級，一級信任一級，把信任關(guān)系擴(kuò)大到整個計(jì)算機(jī)系統(tǒng)，從而確保計(jì)算機(jī)系統(tǒng)的可信。

可信計(jì)算的主要思想是在硬件平臺上引入安全芯片架構(gòu)，提供硬件級底層安全保護(hù)、可靠身份識別、高強(qiáng)度加密等功能，從而將部分或整個計(jì)算平臺變?yōu)椤翱尚拧钡挠?jì)算平臺?？尚庞?jì)算平臺的安全性根植于具有一定安全防護(hù)能力的安全硬件，它基于安全硬件實(shí)現(xiàn)隔離計(jì)算、計(jì)算環(huán)境完整性保證和遠(yuǎn)程安全性質(zhì)證明等服務(wù)，以保證平臺上計(jì)算實(shí)體行為的可信性，從而解決遠(yuǎn)程信任問題?？尚庞?jì)算的主要手段是進(jìn)行身份確認(rèn)，使用加密進(jìn)行存儲保護(hù)及基于以上的思想，TCG計(jì)算機(jī)使用TPM安全芯片對硬盤中的數(shù)據(jù)進(jìn)行加密。TPM安全芯片可以插入主板或直接以焊接到主板上的方式進(jìn)入主機(jī)，還可以將它們與BIOS集成在一起。TPM實(shí)際上就是在計(jì)算機(jī)系統(tǒng)中加入了一個可信第三方，通過可信第三方對系統(tǒng)的度量和約束來保證一個系統(tǒng)可信?；谝陨系乃枷?，TCG計(jì)算機(jī)使用TPM安全芯片對硬盤中的在硬件級底層安全保護(hù)方面，TCG計(jì)算機(jī)使用自主可信計(jì)算根技術(shù)，在計(jì)算機(jī)啟動時對操作系統(tǒng)進(jìn)行校驗(yàn)，使只有用戶設(shè)定的操作系統(tǒng)和應(yīng)用軟件才能正常加載運(yùn)行。可信計(jì)算根會在啟動之初對計(jì)算機(jī)系統(tǒng)中所有的運(yùn)行軟件進(jìn)行可信性(完整性)分析，由此判定它們是否被非授權(quán)篡改。若判定不可信則阻止該軟件運(yùn)行，并自動恢復(fù)其合法的版本。因此計(jì)算機(jī)一旦嵌入了該技術(shù)，即可在啟動操作系統(tǒng)時發(fā)現(xiàn)內(nèi)核已改，并根據(jù)用戶需求進(jìn)行阻止和恢復(fù)。由此，不僅能從硬件安全基礎(chǔ)層面提升安全性，也能避免非法軟件自運(yùn)行的情況發(fā)生。在硬件級底層安全保護(hù)方面，TCG計(jì)算機(jī)使用自主可信計(jì)算根13.1.2安全芯片的國內(nèi)外發(fā)展現(xiàn)狀

在可信計(jì)算理論的實(shí)現(xiàn)上，目前國內(nèi)外均致力于安全芯片的研制，主要分為國外的TPM和國內(nèi)的TCM兩大陣營。

TPM安全芯片是指符合TPM標(biāo)準(zhǔn)的安全芯片，TPM標(biāo)準(zhǔn)由TCG制定。TCG是專門致力于制定可信計(jì)算標(biāo)準(zhǔn)的非營利性機(jī)構(gòu)，它從安全的BIOS、安全的硬件、安全的操作系統(tǒng)、安全的網(wǎng)絡(luò)連接等PC平臺的各個方面入手來重新構(gòu)建一個可信的計(jì)算機(jī)平臺標(biāo)準(zhǔn)，作為安全產(chǎn)業(yè)基礎(chǔ)的TCG標(biāo)準(zhǔn)將滲透到IT各個領(lǐng)域，包括PC平臺(臺式和筆記本)、手持移動設(shè)備平臺、可信網(wǎng)絡(luò)接入及應(yīng)用中間件、服務(wù)器平臺、存儲系統(tǒng)、應(yīng)用軟件等所有環(huán)節(jié)。TCG提出了TPM標(biāo)準(zhǔn)。符合TPM標(biāo)準(zhǔn)的芯片首先必須具有產(chǎn)生加密密鑰和解密密鑰的功能，此外還必須能夠進(jìn)行高速的資料加密和解密，以及充當(dāng)保護(hù)BIOS和操作系統(tǒng)不被修改的輔助處理器。13.1.2安全芯片的國內(nèi)外發(fā)展現(xiàn)狀

在可信計(jì)算理論為避免影響國家戰(zhàn)略安全的核心技術(shù)控制在某些特定的國家/機(jī)構(gòu)手中，中國及很多其他的國家/組織也在同步進(jìn)行可信計(jì)算平臺的研究和部署工作。其中，部署可信計(jì)算體系中，密碼技術(shù)是最重要的核心技術(shù)。具體的方案是以密碼算法為突破口，依據(jù)嵌入芯片技術(shù)，完全采用我國自主研發(fā)的密碼算法和引擎，來構(gòu)建一個安全芯片，稱為可信密碼模塊(TCM)。TCM安全芯片主要通過三個功能保護(hù)用戶計(jì)算環(huán)境的可信：為避免影響國家戰(zhàn)略安全的核心技術(shù)控制在某些特定的國家/機(jī)

(1)底層安全加固。安全芯片在開機(jī)時就會監(jiān)控系統(tǒng)程序的裝載，一旦發(fā)現(xiàn)某個程序狀態(tài)異常就發(fā)出警報乃至禁止其運(yùn)行。

(2)用戶身份證明。TCM安全芯片中存儲有標(biāo)識平臺身份的密鑰，會在必要時通過簽名或者數(shù)字證書的相關(guān)機(jī)制，向外界表明自己的身份，而且標(biāo)識號是全球唯一的。

(3)數(shù)據(jù)加密。經(jīng)過TCM安全芯片進(jìn)行加密的數(shù)據(jù)就只能在該平臺上進(jìn)行解密和處理，從而把機(jī)密數(shù)據(jù)綁定在該平臺上，即使數(shù)據(jù)被盜，因?yàn)槊撾x了對應(yīng)平臺而離開了解密密鑰，數(shù)據(jù)將無法被識別，從而實(shí)現(xiàn)機(jī)密數(shù)據(jù)盜走也看不到，看到也傳播不了的效果。(1)底層安全加固。安全芯片在開機(jī)時就會監(jiān)控系統(tǒng)程序的13.1.3可信任平臺模塊(TPM)

任何可信都是建立在某一個層次上的，如果能直接訪問更低的層次，那么上一個層次的保護(hù)將是毫無作用的。傳統(tǒng)的系統(tǒng)中，密鑰和授權(quán)信息都直接存儲在內(nèi)存和硬盤中，攻擊者有很多方法來獲取它們。在可信計(jì)算的體系中，所有這些機(jī)密數(shù)據(jù)都是由TPM來保護(hù)的。這樣，攻擊者只有攻破TPM才能攻破系統(tǒng)的防護(hù)。這樣，TPM成為系統(tǒng)可信的最低層次，它提供了整個系統(tǒng)可信的基礎(chǔ)。在TCG系統(tǒng)中，可信根(Rootoftrust)是無條件被信任的，系統(tǒng)并不檢測可信根的行為，因此可信根是否真正值得信任，是系統(tǒng)可信的關(guān)鍵。13.1.3可信任平臺模塊(TPM)

任何可信都是建

TPM安全芯片是可信根的基礎(chǔ)。TPM是一個含有密碼運(yùn)算部件和存儲部件的小型片上系統(tǒng)，其規(guī)格往往是作為單個獨(dú)立芯片產(chǎn)品來提供的，但是也可以作為另一個芯片的一部分出現(xiàn)，比如以太網(wǎng)接口。如圖13-1所示，TPM安全芯片包含了分別實(shí)現(xiàn)RSA、SHA-1和HMAC算法的多個硬件處理引擎，以及一個隨機(jī)數(shù)字生成器。它既是密鑰生成器，又是密鑰管理器件，同時還提供了統(tǒng)一的編程接口。TPM通過提供密鑰管理和配置管理等特性，與配套的應(yīng)用軟件一起，主要用于完成計(jì)算平臺的可靠性認(rèn)證、防止未經(jīng)授權(quán)的軟件修改、用戶身份認(rèn)證、數(shù)字簽名以及全面加密硬盤和可擦寫媒體的數(shù)據(jù)等功能。TPM安全芯片是可信根的基礎(chǔ)。TPM是一個含有密碼運(yùn)算部圖13-1TPM內(nèi)部結(jié)構(gòu)圖13-1TPM內(nèi)部結(jié)構(gòu)將TPM安裝在輸入/輸出控制器(I/OController)，即連接外部設(shè)備與內(nèi)存的總線中，讓TPM可以監(jiān)視每一個從外存裝載入內(nèi)存的軟件。由于TPM處于硬件層，所以只要用戶選擇了打開TCG功能，任何行為都無法逃避監(jiān)視。TPM安全芯片首先驗(yàn)證當(dāng)前底層固件的完整性，如正確則完成正常的系統(tǒng)初始化，然后由底層固件依次驗(yàn)證BIOS和操作系統(tǒng)完整性，如正確則正常運(yùn)行操作系統(tǒng)，否則停止運(yùn)行。之后，利用TPM安全芯片內(nèi)置的加密模塊生成系統(tǒng)中的各種密鑰，對應(yīng)用模塊進(jìn)行加密和解密，向上提供安全通信接口，以保證上層應(yīng)用模塊的安全。將TPM安裝在輸入/輸出控制器(I/OControll

TPM會按照整個系統(tǒng)及應(yīng)用軟件棧的裝載順序來監(jiān)視裝載到計(jì)算平臺上的所有軟件，TPM采用哈希擴(kuò)展算法，以哈希值特征的形式來存儲所有能夠被平臺裝載的全部軟件。例如，在X86平臺運(yùn)行過程中，從機(jī)器加電啟動開始，TPM將按照如下的順序監(jiān)視/度量軟硬件系統(tǒng)及應(yīng)用軟件棧的裝載過程：BIOS、MBR(引導(dǎo)扇區(qū)內(nèi)容)、OS裝載器(MBR所指向的一個足夠大的磁盤區(qū)域，從其能夠?qū)胍粋€足夠大的程序來執(zhí)行OS的裝載)、OS、用戶應(yīng)用程序1、用戶應(yīng)用程序2……用戶應(yīng)用程序n。如此順序裝載的程序叫做一個鏈(Chain)，監(jiān)視/度量的過程就是對該軟件哈希計(jì)算的過程。TPM將計(jì)算平臺上的整個軟件鏈的哈希值進(jìn)行記錄，之后就能夠把該平臺上的軟件加載狀況向管理/安全中心報告。TPM可以對每個報告進(jìn)行數(shù)字簽名，確保報告的真實(shí)性。TPM會按照整個系統(tǒng)及應(yīng)用軟件棧的裝載順序來監(jiān)視裝載到計(jì)假定在這樣一個鏈中的這些程序都是正確的，則這個從底部BIOS開始到頂部用戶應(yīng)用程序的鏈就叫做信任鏈(aChainofTrust)，而BIOS又叫做信任根(theRootofaChainofTrust)。通過TCG技術(shù)，管理/安全機(jī)構(gòu)可以通過TPM實(shí)時獲得平臺軟件狀況，據(jù)此判斷處于各邏輯層次軟件的合法性、安全性等，進(jìn)而完成之后的管理和防御工作。假定在這樣一個鏈中的這些程序都是正確的，則這個從底部BI13.1.4TPM在關(guān)鍵行業(yè)的應(yīng)用

1．軍隊(duì)?wèi)?yīng)用

可信計(jì)算技術(shù)在軍隊(duì)的應(yīng)用主要集中在“身份驗(yàn)證”上。考慮到軍隊(duì)?wèi)?yīng)用環(huán)境比較復(fù)雜，可以采取單機(jī)版和網(wǎng)絡(luò)版相結(jié)合的混合部署。網(wǎng)絡(luò)版掛接可信服務(wù)器，配合實(shí)施雙網(wǎng)隔離、并通過雙因素手段提高授權(quán)人身份可信度?，F(xiàn)代化的軍隊(duì)機(jī)動性很強(qiáng)，組網(wǎng)模式多變，可信安全方面的需求也會隨之發(fā)生較大變化。運(yùn)用集成化的可信安全平臺，可實(shí)現(xiàn)動態(tài)、高效的可信管理。13.1.4TPM在關(guān)鍵行業(yè)的應(yīng)用

1．軍隊(duì)?wèi)?yīng)用

2．政府應(yīng)用

各級政府職能部門主要使用可信計(jì)算的“數(shù)據(jù)加密”功能。政府部門每天都要面對公眾處理日常事務(wù)，對象相對復(fù)雜，增加了流失和泄露機(jī)密文件的概率，因此其數(shù)據(jù)交換的加密要硬件級的，而且密碼必須存于硬件中。應(yīng)用于政府部門的安全計(jì)算機(jī)通常會實(shí)現(xiàn)基于TCM安全芯片的硬件級加密方案，保護(hù)計(jì)算機(jī)上的機(jī)密數(shù)據(jù)。2．政府應(yīng)用

各級政府職能部門主要使用可信計(jì)算的“數(shù)

3．企業(yè)應(yīng)用

大型企業(yè)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，應(yīng)用眾多，需要進(jìn)行大量的跨部門信息傳遞。因此，它對可信計(jì)算技術(shù)的需求最為強(qiáng)烈，以解決底層安全、身份認(rèn)證、數(shù)據(jù)加密、集成管理等一系列問題。伴隨著行業(yè)競爭的加劇，各級企業(yè)對非法竊取本公司商業(yè)機(jī)密的行為也都給予了足夠的重視，其中，利用可信應(yīng)用進(jìn)行數(shù)據(jù)保全無疑是最好的解決辦法。企業(yè)用戶的部門觀念都相對較強(qiáng)，有些甚至達(dá)到了各自為營的地步，而集成管理平臺可提供“授權(quán)密網(wǎng)”功能，為部門間的信息溝通與密文阻隔搭建平臺。域令牌被實(shí)時存儲于TCM芯片中，隨用隨取，而機(jī)要文件始終以域的方式存在。數(shù)據(jù)永遠(yuǎn)都處于企業(yè)網(wǎng)域的授權(quán)控制下，以增加信息資料的保密程度。3．企業(yè)應(yīng)用

大型企業(yè)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，應(yīng)用眾多，需

13.2網(wǎng)絡(luò)安全接入

13.2.1概念和原理

雖然多數(shù)用戶并沒有惡意企圖，但未授權(quán)的計(jì)算機(jī)會給機(jī)構(gòu)帶來巨大的安全風(fēng)險。安全接入技術(shù)的主要思路是從終端著手，通過定義和管理安全策略，并引入性能評估和增強(qiáng)化的方法，對接入私有網(wǎng)絡(luò)的主機(jī)進(jìn)行安全性檢測，自動拒絕不安全的主機(jī)接入保護(hù)網(wǎng)絡(luò)，同時還可以禁用或控制那些用戶計(jì)算機(jī)上的高風(fēng)險應(yīng)用程序，直到這些主機(jī)符合網(wǎng)絡(luò)內(nèi)的安全策略為止，從而可以減少機(jī)構(gòu)的漏洞，避免了某些含有較多安全漏洞的終端成為整個網(wǎng)絡(luò)的“安全短板”的可能。 13.2網(wǎng)絡(luò)安全接入

13.2.1概念和原網(wǎng)絡(luò)接入控制(NAC)關(guān)鍵要求是確認(rèn)并阻止欺詐性計(jì)算機(jī)，它已成為阻止?jié)撛诘母Q探和攻擊者的一種重要工具，也可用于管理復(fù)雜的Web許可和授權(quán)，這些許可和授權(quán)可適應(yīng)于不同的用戶組訪問不同的網(wǎng)絡(luò)部分。NAC還有助于企業(yè)與外部的規(guī)章和內(nèi)部的策略保持一致性，并可以保護(hù)網(wǎng)絡(luò)資源免受不斷發(fā)展的網(wǎng)絡(luò)威脅的危害。NAC的主要功能可分為以下三個部分：

(1)減少0天攻擊風(fēng)險。此功能防止缺乏反病毒、補(bǔ)丁、主機(jī)入侵防御軟件的終端訪問網(wǎng)絡(luò)資源，并可阻止這種設(shè)備將其他計(jì)算機(jī)置于風(fēng)險之中。網(wǎng)絡(luò)接入控制(NAC)關(guān)鍵要求是確認(rèn)并阻止欺詐性計(jì)算機(jī)，

(2)增強(qiáng)策略。此功能允許網(wǎng)絡(luò)操作員定義策略，例如，具體指定允許訪問網(wǎng)絡(luò)的用戶角色或計(jì)算機(jī)類型，并在交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備中強(qiáng)化這些策略。

(3)身份和訪問管理。傳統(tǒng)的IP網(wǎng)絡(luò)根據(jù)IP地址增強(qiáng)訪問策略，而NAC環(huán)境根據(jù)用戶身份來增強(qiáng)安全性。

如圖13-2所示，安全接入系統(tǒng)的基本結(jié)構(gòu)包含三個基本部分：訪問請求者、策略決策點(diǎn)和策略執(zhí)行點(diǎn)。策略決策點(diǎn)和策略執(zhí)行點(diǎn)的單獨(dú)功能可包含在一臺服務(wù)器上，也可分散在多臺服務(wù)器之間。一般而言，訪問請求者負(fù)責(zé)請求訪問，策略決策點(diǎn)負(fù)責(zé)指定策略，而策略執(zhí)行點(diǎn)負(fù)責(zé)執(zhí)行策略。(2)增強(qiáng)策略。此功能允許網(wǎng)絡(luò)操作員定義策略，例如，具圖13-2安全接入技術(shù)理論模型圖13-2安全接入技術(shù)理論模型訪問請求者是試圖訪問網(wǎng)絡(luò)的節(jié)點(diǎn)，它可以是由安全接入系統(tǒng)管理的任何設(shè)備，包括工作站、服務(wù)器、打印機(jī)、照相機(jī)及具有IP功能的其他設(shè)備。訪問請求者可能自行執(zhí)行主機(jī)評估，也有可能由另外某個系統(tǒng)來評估主機(jī)。訪問請求者的評估結(jié)果被發(fā)送到策略決策點(diǎn)。策略決策點(diǎn)是核心部分。根據(jù)訪問請求者的狀況和定義的策略，策略決策點(diǎn)確定應(yīng)當(dāng)授予哪種訪問權(quán)。在許多情況下，安全接入產(chǎn)品管理系統(tǒng)可能充當(dāng)策略決策點(diǎn)。策略決策點(diǎn)依賴后端系統(tǒng)(包括反病毒、補(bǔ)丁管理或者用戶目錄)，以便幫助確定主機(jī)的條件。舉例來說，反病毒軟件管理器會確定主機(jī)的反病毒軟件和特征版本是不是最新的，然后通知策略決策點(diǎn)。一旦策略決策點(diǎn)確定運(yùn)用哪個策略，就會把訪問控制決策傳送給策略執(zhí)行點(diǎn)以便執(zhí)行。策略執(zhí)行點(diǎn)可能是網(wǎng)絡(luò)設(shè)備(如交換機(jī)、防火墻或者路由器)，可能是管理動態(tài)主機(jī)配置協(xié)議(DHCP)或者地址解析協(xié)議(ARP)的帶外設(shè)備，也可能是訪問請求者機(jī)器上安裝的訪問代理軟件。訪問請求者是試圖訪問網(wǎng)絡(luò)的節(jié)點(diǎn)，它可以是由安全接入系統(tǒng)管13.2.2安全接入技術(shù)實(shí)現(xiàn)方式分類

按部署的位置而言，安全接入控制技術(shù)主要分為兩大類：基于網(wǎng)絡(luò)的接入控制和基于主機(jī)的接入控制?；诰W(wǎng)絡(luò)的接入控制主要有EAPOL(ExtensibleAuthenticationProtocolOverLAN)技術(shù)、EAPOU(ExtensibleAuthenticationProtocolOverUDP)技術(shù)；基于主機(jī)的接入控制主要有應(yīng)用接入控制、客戶端接入控制。

1．基于網(wǎng)絡(luò)的接入控制

基于網(wǎng)絡(luò)的接入控制方案的典型代表是CiscoNAC技術(shù)。網(wǎng)絡(luò)接入的概念是由Cisco普及的，Cisco的NAC除了EAPOL，還有EAPOU(EAPOverUDP)。13.2.2安全接入技術(shù)實(shí)現(xiàn)方式分類

按部署的位置而

(1)?EAPOL。EAP是ExtensibleAuthenticationProtocol的縮寫，EAP最初作為PPP的擴(kuò)展認(rèn)證協(xié)議，使PPP的認(rèn)證更具安全性。無線局域網(wǎng)興起后，人們在無線局域網(wǎng)接入領(lǐng)域引入了EAP認(rèn)證，同時設(shè)計(jì)了專門封裝和傳送EAP認(rèn)證數(shù)據(jù)的IEEE802.1x協(xié)議格式。802.1x協(xié)議除了支持WLAN外，也支持傳統(tǒng)的局域網(wǎng)類型，比如以太網(wǎng)、FDDI、TokenRing。EAP與802.1x的結(jié)合就是EAPOL(EAPOverLAN)，或者稱為EAPover802.1x。作為一種標(biāo)準(zhǔn)局域網(wǎng)的數(shù)據(jù)包協(xié)議，802.1x幾乎得到所有網(wǎng)絡(luò)設(shè)備廠商的支持。EAPOL不僅能用來解決終端計(jì)算機(jī)身份認(rèn)證的問題，也可以用來認(rèn)證計(jì)算機(jī)的安全狀態(tài)。在進(jìn)行身份認(rèn)證的同時檢查終端計(jì)算機(jī)的安全狀態(tài)，并能根據(jù)認(rèn)證狀態(tài)設(shè)置端口狀態(tài)，動態(tài)切換VLAN，或者下載ACL列表。因?yàn)?02.1x協(xié)議被網(wǎng)絡(luò)廠商廣泛支持，所以EAPOL是支持范圍最廣的網(wǎng)絡(luò)接入技術(shù)。EAPOL的優(yōu)點(diǎn)是它可以做到最嚴(yán)格的接入控制，控制點(diǎn)是網(wǎng)絡(luò)的接入層交換機(jī)，最接近終端計(jì)算機(jī)，對不符合策略的計(jì)算機(jī)可以完全禁止其訪問任何網(wǎng)絡(luò)，使其對網(wǎng)絡(luò)的危害最小。(1)?EAPOL。EAP是ExtensibleAu

(2)?EAPOU。與EAPOL國際標(biāo)準(zhǔn)協(xié)議不同的是，EAPOU是Cisco的專有協(xié)議，即獨(dú)家技術(shù)。EAPOU是CiscoNAC技術(shù)的第一個實(shí)現(xiàn)版本，2003年最早在Cisco的路由器上實(shí)現(xiàn)，后來在Cisco的3層交換機(jī)上也實(shí)現(xiàn)了EAPOU。EAPOL是在網(wǎng)絡(luò)接入層進(jìn)行接入控制，而EAPOU則是在網(wǎng)絡(luò)的分布層或核心層進(jìn)行接入控制。EAPOU的工作原理是當(dāng)支持EAPOU的分布層設(shè)備接收到終端設(shè)備發(fā)來的數(shù)據(jù)包時，分布層EAPOU設(shè)備將要求終端設(shè)備進(jìn)行EAP認(rèn)證。EAP認(rèn)證包封裝在UDP包內(nèi)，在EAP認(rèn)證的內(nèi)容中，身份認(rèn)證其實(shí)并不重要，重要的則是安全狀態(tài)認(rèn)證。如果安全狀態(tài)不符合企業(yè)策略，分布層EAPOU設(shè)備將從策略服務(wù)器上下載ACL，限制不安全的客戶端的網(wǎng)絡(luò)訪問，并對其進(jìn)行修復(fù)。EAPOU技術(shù)的優(yōu)點(diǎn)是它對網(wǎng)絡(luò)接入設(shè)備要求不高，因而覆蓋面較高，而且分布層設(shè)備一般明顯少于接入層設(shè)備，因此部署相對要容易一些。(2)?EAPOU。與EAPOL國際標(biāo)準(zhǔn)協(xié)議不同的是，思科的網(wǎng)絡(luò)接入控制NAC技術(shù)，微軟的網(wǎng)絡(luò)訪問保護(hù)技術(shù)NAP以及TCG組織的可信網(wǎng)絡(luò)連接TNC技術(shù)是很有代表性的安全接入技術(shù)，在目標(biāo)和實(shí)現(xiàn)上具有很大相似性。

首先，其目標(biāo)都是保證主機(jī)的安全接入，即當(dāng)PC或筆記本接入本地網(wǎng)絡(luò)時，通過特殊的協(xié)議對其進(jìn)行校驗(yàn)。除驗(yàn)證用戶名密碼、用戶證書等用戶身份信息外，還驗(yàn)證終端是否符合管理員制定好的安全策略，如操作系統(tǒng)補(bǔ)丁、病毒庫版本等信息。并各自制定了自己的隔離策略，通過接入設(shè)備(防火墻、交換機(jī)、路由器等)，強(qiáng)制將不符合要求的終端設(shè)備隔離在一個指定區(qū)域，只允許其訪問補(bǔ)丁服務(wù)器進(jìn)行下載更新。在終端主機(jī)沒有安全問題后，再允許其接入被保護(hù)的網(wǎng)絡(luò)。思科的網(wǎng)絡(luò)接入控制NAC技術(shù)，微軟的網(wǎng)絡(luò)訪問保護(hù)技術(shù)NA其次，三種技術(shù)的實(shí)現(xiàn)思路也比較相似，都分為客戶端、策略服務(wù)以及接入控制三個主要層次。NAC分為主機(jī)請求網(wǎng)絡(luò)接入(HostsAttemptingNetworkAccess)、網(wǎng)絡(luò)接入設(shè)備(NetworkAccessDevice)、策略決策點(diǎn)(PoliceDecisionPoints)三層；NAP分為NAP客戶端、NAP服務(wù)器端、NAP接入組件(DHCP、VPN、IPsec、802.1x)；TNC分為AR、PEP、PDP三層。其次，三種技術(shù)的實(shí)現(xiàn)思路也比較相似，都分為客戶端、策略服同時，由于三種技術(shù)的發(fā)布者自身的背景，三種技術(shù)又存在不同的偏重性。NAC由于是Cisco發(fā)布的，所以更強(qiáng)調(diào)網(wǎng)絡(luò)接入硬件設(shè)備(如交換機(jī)等)在其架構(gòu)中的重要性；NAP則偏重在終端代理以及接入服務(wù)組件；而TNC技術(shù)則重點(diǎn)放在與TPM綁定的主機(jī)身份認(rèn)證與主機(jī)完整性驗(yàn)證上，TNC的目的是給TCG發(fā)布的TPM提供一種應(yīng)用支持。表13-1對兩種典型的安全接入方式進(jìn)行了比較。同時，由于三種技術(shù)的發(fā)布者自身的背景，三種技術(shù)又存在不同網(wǎng)絡(luò)竊密、監(jiān)聽和防泄密技術(shù)課件從產(chǎn)品實(shí)現(xiàn)的角度而言，廠商提供的NAC產(chǎn)品類型有很多種。根據(jù)其使用的主要方法，可將NAC分為如下幾種類型：

(1)基于代理的NAC。這種NAC產(chǎn)品依賴于安裝到端點(diǎn)設(shè)備上的一個軟件，即所謂代理。此代理與一個具有網(wǎng)絡(luò)連接的NAC服務(wù)器或設(shè)備通信。這種方法相對簡單，但不太靈活，并要求在終端設(shè)備上安裝和運(yùn)用特定的軟件。

(2)無代理的NAC。這種方法不要求在個人桌面和筆記本電腦等終端設(shè)備上安裝一個特別代理。與之相反，代理是被存儲在一個臨時目錄中的。不使用代理可使部署更簡單，并可簡化NAC的操作。從產(chǎn)品實(shí)現(xiàn)的角度而言，廠商提供的NAC產(chǎn)品類型有很多種。

(3)內(nèi)聯(lián)NAC。NAC的運(yùn)行就如同一個網(wǎng)絡(luò)訪問層的防火墻一樣，它掌管著通過它的所有客戶端通信，并可以增強(qiáng)安全策略。這種方法相對簡單，但在較大的網(wǎng)絡(luò)中會產(chǎn)生吞吐量瓶頸。這種方法會隨著時間的推移而引起成本增加，因?yàn)樵谕ㄐ帕吭黾訒r，會要求增加更多的內(nèi)聯(lián)設(shè)備。

(4)帶外NAC。這種方法使用現(xiàn)有的架構(gòu)來增強(qiáng)性能，典型情況下它是分布式的，因?yàn)榭蛻舳艘獙?shù)據(jù)傳輸給中心控制臺，控制臺根據(jù)獲得的實(shí)時信息，及時調(diào)整交換機(jī)的安全控制策略。相對而言，這種方法頗為復(fù)雜，不過它對網(wǎng)絡(luò)性能造成的負(fù)面影響更小一些。(3)內(nèi)聯(lián)NAC。NAC的運(yùn)行就如同一個網(wǎng)絡(luò)訪問層的防

2．基于主機(jī)的接入控制

目前采用基于主機(jī)的接入控制技術(shù)的典型產(chǎn)品有微軟NAP。

如果用戶的網(wǎng)絡(luò)設(shè)備不支持網(wǎng)絡(luò)接入，或不想花費(fèi)部署和管理時間，還可以進(jìn)行基于主機(jī)的接入控制。主機(jī)的概念包含網(wǎng)絡(luò)中除網(wǎng)絡(luò)設(shè)備之外的計(jì)算機(jī)主機(jī)，包括服務(wù)器和計(jì)算機(jī)終端?；谥鳈C(jī)的接入控制最大特點(diǎn)就是容易部署。系統(tǒng)及應(yīng)用接入是在服務(wù)器的操作系統(tǒng)中安裝接入控制軟件，當(dāng)計(jì)算機(jī)終端訪問服務(wù)器時，接入控制軟件會檢查對方的安全狀態(tài)。如果符合策略則允許訪問，如果不符合將拒絕對方的訪問，并給出相關(guān)提示。而客戶端接入控制是終端相互之間進(jìn)行訪問時，安裝在終端上的軟件也會檢查對方的安全狀態(tài)。基于主機(jī)的接入控制點(diǎn)一般安裝在代理服務(wù)器、郵件服務(wù)器、內(nèi)網(wǎng)Web服務(wù)器、DNS服務(wù)器上或DHCP服務(wù)器上。這些服務(wù)器是企業(yè)內(nèi)部員工最常訪問的服務(wù)器，因此接入效果較好，覆蓋面廣。實(shí)際部署時，一般只需在一到兩個服務(wù)器上部署控制點(diǎn)即可做到對全局的接入控制。2．基于主機(jī)的接入控制

目前采用基于主機(jī)的接入控制技基于主機(jī)的接入控制優(yōu)點(diǎn)：

(1)容易部署。一般網(wǎng)絡(luò)接入配置起來都較復(fù)雜，不同型號的設(shè)備的配置都各不相同，如果網(wǎng)絡(luò)規(guī)模較大，配置的工作量極其巨大，而基于主機(jī)的接入控制只需要在對應(yīng)的主機(jī)上安裝一個軟件，相對而言容易得多。

(2)適應(yīng)性好，覆蓋面廣，不依賴任何網(wǎng)絡(luò)設(shè)備的支持。

(3)對網(wǎng)絡(luò)性能沒有影響?；诰W(wǎng)絡(luò)的接入控制在運(yùn)行時會根據(jù)客戶端的認(rèn)證狀態(tài)和安全狀態(tài)改變自己的狀態(tài)，比如VLAN切換和動態(tài)ACL加載，這或多或少都將影響設(shè)備或網(wǎng)絡(luò)的性能，特別是在大規(guī)模網(wǎng)絡(luò)環(huán)境下?；谥鳈C(jī)的接入控制將其控制分散到每個終端和主機(jī)，終端的狀態(tài)變化對網(wǎng)絡(luò)沒有任何影響?；谥鳈C(jī)的接入控制優(yōu)點(diǎn)：

(1)容易部署。一般網(wǎng)絡(luò)

(4)訪問控制功能最強(qiáng)?；谥鳈C(jī)的接入控制能夠做到基于進(jìn)程的訪問控制，以及基于進(jìn)程的帶寬管理，因此對蠕蟲、木馬的防治就能更加積極主動?；谥鳈C(jī)的接入控制的缺點(diǎn)主要是控制強(qiáng)度較弱，系統(tǒng)及應(yīng)用接入控制點(diǎn)處于企業(yè)網(wǎng)絡(luò)的核心，遠(yuǎn)離終端，而客戶端接入依賴于網(wǎng)絡(luò)中已經(jīng)廣泛部署的客戶端。(4)訪問控制功能最強(qiáng)?；谥鳈C(jī)的接入控制能夠做到基于13.2.3網(wǎng)絡(luò)安全接入的實(shí)現(xiàn)步驟

NAC方案通過評估并強(qiáng)化計(jì)算機(jī)的安全狀態(tài)而準(zhǔn)許授權(quán)的計(jì)算機(jī)訪問。當(dāng)終端計(jì)算機(jī)遵循企業(yè)的安全策略時，就允許其訪問；當(dāng)不遵循時，就要對其進(jìn)行隔離或禁止。通過使用基于網(wǎng)絡(luò)的和基于客戶端的增強(qiáng)組合(如DHCP、802.1X、無線局域網(wǎng)、SSL或者IPSecVPN，以及基于客戶端的增強(qiáng)等)，這些功能在執(zhí)行起來最為有效。在多數(shù)情況下，網(wǎng)絡(luò)和客戶端軟件提供了必須的增強(qiáng)和隔離機(jī)制。如圖13-3所示，網(wǎng)絡(luò)安全接入的實(shí)現(xiàn)步驟可分為四步：

(1)終端接入和識別。在連接到網(wǎng)絡(luò)時，即訪問資源之前發(fā)現(xiàn)端點(diǎn)。13.2.3網(wǎng)絡(luò)安全接入的實(shí)現(xiàn)步驟

NAC方案通過評

(2)評估和策略執(zhí)行。只有對系統(tǒng)進(jìn)行評估并確認(rèn)其遵從IT策略后，才準(zhǔn)予該系統(tǒng)進(jìn)行全面的網(wǎng)絡(luò)訪問。對于不遵從IT策略或不滿足企業(yè)最低安全要求的系統(tǒng)，將對其進(jìn)行隔離，限制或拒絕其對網(wǎng)絡(luò)進(jìn)行訪問。

(3)安全控制。對不遵從的端點(diǎn)自動采取補(bǔ)救措施使管理員能夠?qū)⑦@些端點(diǎn)快速變?yōu)樽駨臓顟B(tài)，隨后再改變網(wǎng)絡(luò)訪問權(quán)限。管理員可以將補(bǔ)救過程完全自動化，這樣會使該過程對最終用戶完全透明；也可以將信息提供給用戶，以便進(jìn)行手動補(bǔ)救。

(4)持續(xù)監(jiān)視和評估。以預(yù)先設(shè)置的時間間隔主動監(jiān)視所有端點(diǎn)的遵從狀況。如果在某一時刻端點(diǎn)的遵從狀態(tài)發(fā)生了變化，那么該端點(diǎn)的網(wǎng)絡(luò)訪問權(quán)限也會隨之變化。(2)評估和策略執(zhí)行。只有對系統(tǒng)進(jìn)行評估并確認(rèn)其遵從I圖13-3網(wǎng)絡(luò)安全接入實(shí)現(xiàn)步驟圖13-3網(wǎng)絡(luò)安全接入實(shí)現(xiàn)步驟

13.3網(wǎng)絡(luò)身份認(rèn)證

13.3.1新型多因素認(rèn)證技術(shù)

為保證敏感信息受到保護(hù)，在用戶訪問資源之前，必須提供足夠強(qiáng)的身份識別信息。這些信息必須由多種識別和因素組成。一個用戶提供的因素越多，應(yīng)用的安全性就越高。從理論上講，身份認(rèn)證的主要判別標(biāo)準(zhǔn)有三種：

(1)用戶所知道的(Somethingyouknow)。此標(biāo)準(zhǔn)根據(jù)所知道的信息來證明身份，假設(shè)某些信息只有某人知道，比如暗號等，通過詢問這個信息就可以確認(rèn)此人的身份。 13.3網(wǎng)絡(luò)身份認(rèn)證

13.3.1新型多因

(2)用戶所擁有的(Somethingyouhave)。此標(biāo)準(zhǔn)根據(jù)所擁有的物品來證明身份，假設(shè)某一物品只有某人才有，比如印章等，通過出示該物品也可以確認(rèn)個人的身份。

(3)用戶本來就是的(Somethingyouare)。此標(biāo)準(zhǔn)直接根據(jù)獨(dú)一無二的身體特征來證明身份，如指紋、虹膜等。而從信息化發(fā)展的進(jìn)程來看，指紋、虹膜這樣的生物認(rèn)證技術(shù)將是未來的潮流。(2)用戶所擁有的(Somethingyouhav目前，口令保護(hù)依然是主流的訪問認(rèn)證方式?？诹钜呀?jīng)植根于社會和公司文化之中。在公司，用戶可能需要進(jìn)入15～20個不同的應(yīng)用才能完成工作，并且每進(jìn)入一個應(yīng)用，都得輸入一個密碼，此時，密碼認(rèn)證不僅成了一種低級的認(rèn)證方式，而且還會影響員工的工作效率。另外，對于那些不常用的應(yīng)用程序，密碼很容易被忘記，從而造成時間的浪費(fèi)。密碼保護(hù)很容易被破壞。面對如此多的密碼，許多用戶為了圖方便而忽視了安全性。往往選擇很容易被猜中的密碼，而且在多個賬戶上使用同一個密碼，甚至把密碼放在容易被復(fù)制或盜取的地方。所有這些不良習(xí)慣，都可能造成在線密碼的失竊。此外，各種間諜軟件、鍵盤記錄工具的泛濫，也給密碼保護(hù)帶來了新的威脅。目前，口令保護(hù)依然是主流的訪問認(rèn)證方式。口令已經(jīng)植根于社采用多因素認(rèn)證可以保證客戶端登錄網(wǎng)絡(luò)的唯一性和高安全性。近幾年，多因素認(rèn)證取得了巨大的發(fā)展，已經(jīng)有PIN碼認(rèn)證、智能卡、生物識別、CHAP認(rèn)證、多因素認(rèn)證等多種認(rèn)證體系，不同安全級別的認(rèn)證方法有很大的區(qū)別。對于那些密碼保護(hù)不能提供足夠價值的應(yīng)用而言，多因素認(rèn)證技術(shù)不僅可以增強(qiáng)安全性，而且還可提高用戶的方便性，降低成本。一般可根據(jù)不同的安全需求，從以下認(rèn)證方式中選擇一個或多個搭配口令使用：采用多因素認(rèn)證可以保證客戶端登錄網(wǎng)絡(luò)的唯一性和高安全性。

(1)生物識別(Biometrics)。生物識別是一種基于個體的身體和行為特征對個體進(jìn)行識別的自動化方法。比較通用的方法有指紋(fingerprint)、面孔(face)、虹膜(iris)、手型(handgeometry)、語音(voice)和簽名(dynamicsignature)等。生物識別系統(tǒng)對生物特征進(jìn)行取樣，提取其唯一的特征并且轉(zhuǎn)化成數(shù)字代碼，并進(jìn)一步將這些代碼組成特征模板，人們同識別系統(tǒng)交互進(jìn)行身份認(rèn)證時，識別系統(tǒng)獲取其特征并與數(shù)據(jù)中的特征模板進(jìn)行比對，以確定是否匹配。典型的解決方案用于機(jī)場、海關(guān)等部門，使用一種叫做“移動虹膜”的生物識別方法，該方法在人們以正常步行速度移動時尋找人的面孔，能夠在遠(yuǎn)距離和寬視野范圍內(nèi)捕捉虹膜圖像/面部圖像，快速完成對大量人群的自動化識別和檢查工作，提高檢查效率，避免出現(xiàn)出入境管制瓶頸，改善客戶體驗(yàn)。(1)生物識別(Biometrics)。生物識別是一種

(2)?TPM安全芯片。TPM安全芯片技術(shù)通常與指紋識別模塊一起使用。普通的指紋識別技術(shù)一般是把指紋驗(yàn)證信息儲存在硬盤中，而TPM安全芯片技術(shù)則是直接將指紋識別信息置于安全芯片中。一旦遭到破解，安全芯片就啟動自毀功能，企業(yè)的信息資料也就不會泄密了。安全芯片通過LPC總線下的系統(tǒng)管理總線來與處理器進(jìn)行通信，安全芯片的密碼數(shù)據(jù)只能輸入而不能輸出。即關(guān)鍵的密碼加密與解密的運(yùn)算將在安全芯片內(nèi)完成，而只將結(jié)果輸出到上層。安全芯片和指紋識別配合能達(dá)到最高的安全級別。

(3)智能卡。智能卡是一種用于存儲個人信息的硬件設(shè)備。除非智能卡的所有者通過口令或PIN碼登錄該卡，否則存儲在智能卡的信息無法被訪問，這與用戶輸入一個PIN碼來使用ATM卡的方法十分相似。智能卡在PKI及VPN體系中為私鑰和證書提供安全存儲的載體。(2)?TPM安全芯片。TPM安全芯片技術(shù)通常與指紋識

(4)?USBKey。安全證書的生成可以提取其一些信息，比如網(wǎng)卡MAC地址、客戶端CPU的序列號等，以便生成一個唯一對應(yīng)的證書。所有的認(rèn)證信息都可以導(dǎo)入認(rèn)證服務(wù)器，從而在用戶登錄過程中可實(shí)現(xiàn)對客戶端唯一性的檢查。銀行已經(jīng)在網(wǎng)上銀行系統(tǒng)中采用安全數(shù)字證書，并通過USBKey的方式進(jìn)行保存。USBKey中存放的是用戶個人的數(shù)字證書，銀行和用戶各有一份公鑰和私鑰，用戶僅需記憶一個密碼就可以使用。(4)?USBKey。安全證書的生成可以提取其一些信

(5)動態(tài)令牌。動態(tài)令牌根據(jù)基于時間的算法，每分鐘都產(chǎn)生一個5～6位的認(rèn)證串號。在客戶端，用戶通過一個類似電子表的硬件，計(jì)算出每分鐘產(chǎn)生的令牌串號。那么用戶登錄系統(tǒng)，只要輸入用戶名和相應(yīng)時間段的串號，就可以安全登錄。動態(tài)令牌避免了記憶密碼的過程，其壽命一般為三年。動態(tài)令牌分硬件令牌和軟件令牌，通常，建議使用傳統(tǒng)的、帶動態(tài)PIN生成器的硬件令牌(hardwaretoken)。這些硬件令牌效果明顯且容易擴(kuò)展，但是部署困難，價格也很昂貴。在某些情況下，金融機(jī)構(gòu)傾向于使用軟件令牌(softtokens)，或者使用基于軟件的PIN生成工具，用戶能夠進(jìn)行下載然后安裝在手持移動設(shè)備上。經(jīng)過一個簡單的注冊過程以后，用戶可以在他們的移動設(shè)備上生成PIN密碼，其實(shí)質(zhì)是把它們變成了個人的硬件令牌。這種方法性價比更高，可作為硬件令牌的替代方案。(5)動態(tài)令牌。動態(tài)令牌根據(jù)基于時間的算法，每分鐘都產(chǎn)

(6)一次性密碼(OTP)。一次性密碼有時也叫做交易認(rèn)證數(shù)字(TAN)。在這種系統(tǒng)中，金融機(jī)構(gòu)會發(fā)給每個用戶一張?zhí)貏e的卡片，上面印有一次性密碼或者密碼短語列表。用戶每次進(jìn)行身份認(rèn)證時，需要使用其中的一個密碼或者短語(按順序)，然后把使用過的密碼從表格中劃掉。金融機(jī)構(gòu)建立并維護(hù)著一個用戶數(shù)據(jù)庫及其相應(yīng)的密碼列表，還能追蹤哪個OTP正在被使用。(6)一次性密碼(OTP)。一次性密碼有時也叫做交易認(rèn)

(7)特殊的“bingocards(類似填字圖)”。它們上面有一個網(wǎng)格，網(wǎng)格的一個軸上印有數(shù)字，另外一個軸上印有字母，在網(wǎng)格內(nèi)部還印有一些數(shù)據(jù)。當(dāng)用戶要登錄銀行應(yīng)用程序時，首先需要輸入用戶名和密碼，然后根據(jù)提示輸入一系列在網(wǎng)格上的數(shù)據(jù)進(jìn)行認(rèn)證。每個卡片都是獨(dú)一無二的，如果卡片丟失，重新辦理一個也很方便，而且價格便宜。其他的系統(tǒng)能夠生成OTP，并且把它們通過帶外(OOB)的方法(如SMS、電子郵件和電話等)發(fā)送給用戶。(7)特殊的“bingocards(類似填字圖)”。

(8)設(shè)備標(biāo)識。由于網(wǎng)絡(luò)罪犯的目標(biāo)是網(wǎng)上信用卡交易、新賬戶的注冊以及賬戶登錄，金融機(jī)構(gòu)如果想確認(rèn)試圖使用賬戶的人是否是用戶本人，那么需要驗(yàn)證的已不僅僅是用戶的IP地址和登錄/密碼了。設(shè)備標(biāo)識是通過使用“設(shè)備指紋”來減少欺詐風(fēng)險的。設(shè)備指紋就是一個設(shè)備標(biāo)識符，它以用戶系統(tǒng)的IP位置以及配置的方式為基礎(chǔ)。這個指紋隨著時間的推移會允許金融機(jī)構(gòu)分配和跟蹤“信譽(yù)值(reputation)”，即分配給用戶系統(tǒng)的一個風(fēng)險值，它取決于數(shù)字指紋數(shù)值，以及當(dāng)這個設(shè)備不在終端用戶手中時金融機(jī)構(gòu)確定的風(fēng)險值，這是一個從用戶交易歷史中提取的數(shù)值。(8)設(shè)備標(biāo)識。由于網(wǎng)絡(luò)罪犯的目標(biāo)是網(wǎng)上信用卡交易、新13.3.2統(tǒng)一身份認(rèn)證

不少大型企業(yè)和機(jī)構(gòu)內(nèi)網(wǎng)計(jì)算機(jī)的數(shù)量已經(jīng)達(dá)到了相當(dāng)?shù)囊?guī)模，網(wǎng)內(nèi)資源和應(yīng)用也越來越多。各應(yīng)用系統(tǒng)在建設(shè)時，根據(jù)系統(tǒng)的安全性要求，都建有各自的用戶管理和身份認(rèn)證機(jī)制，這就導(dǎo)致了許多問題的產(chǎn)生，如：

(1)不同系統(tǒng)都采用自身的一套認(rèn)證和用戶管理機(jī)制，不利于統(tǒng)一管理，更會帶來一些不可預(yù)料的紕漏。

(2)有些用戶離開部門以后，管理員需要逐個刪除每個系統(tǒng)的賬號。由于缺乏統(tǒng)一管理，經(jīng)常會有遺漏，用戶依然可以登錄一些業(yè)務(wù)系統(tǒng)。13.3.2統(tǒng)一身份認(rèn)證

不少大型企業(yè)和機(jī)構(gòu)內(nèi)網(wǎng)計(jì)算

(3)一個用戶登錄不同系統(tǒng)就需要采用多個賬號，不容易記憶。因?yàn)榕侣闊?，很多用戶在不同系統(tǒng)里面都采用同樣的賬號密碼，違背了安全的原則。

(4)系統(tǒng)管理員重復(fù)管理各應(yīng)用系統(tǒng)的身份信息，并要保持身份信息的更新同步。這種繁雜的工作增加了管理員的工作強(qiáng)度，并容易造成系統(tǒng)中用戶身份管理機(jī)制的不統(tǒng)一，為系統(tǒng)安全管理留下隱患。(3)一個用戶登錄不同系統(tǒng)就需要采用多個賬號，不容易記各自為政的身份認(rèn)證方式不能滿足網(wǎng)絡(luò)應(yīng)用的擴(kuò)展，統(tǒng)一身份認(rèn)證體系正是在此情況下形成并發(fā)展的，滿足日益高漲的對信息安全、更高層次的服務(wù)及權(quán)限管理的要求。統(tǒng)一認(rèn)證系統(tǒng)是一個集中的用戶認(rèn)證管理和集成環(huán)境，可管理和分發(fā)用戶的權(quán)限和身份，為不同的應(yīng)用系統(tǒng)提供用戶和權(quán)限管理服務(wù)。各應(yīng)用系統(tǒng)只需保留角色和權(quán)限控制，用戶數(shù)據(jù)庫資源統(tǒng)一保存在認(rèn)證服務(wù)器中，用戶和角色的管理由應(yīng)用系統(tǒng)自行管理，從而簡化了應(yīng)用系統(tǒng)中用戶管理模塊的建設(shè)。各自為政的身份認(rèn)證方式不能滿足網(wǎng)絡(luò)應(yīng)用的擴(kuò)展，統(tǒng)一身份認(rèn)統(tǒng)一身份認(rèn)證的實(shí)現(xiàn)建立在單點(diǎn)登錄技術(shù)(SingleSign-On，SSO)和多因素認(rèn)證技術(shù)的基礎(chǔ)上，減少了基于口令的訪問控制所帶來的管理負(fù)擔(dān)、成本及用戶煩惱。提供所有這些優(yōu)點(diǎn)的同時可以加強(qiáng)安全性并提高用戶的生產(chǎn)效率。內(nèi)網(wǎng)安全技術(shù)中的所有模塊都可以與其進(jìn)行整合，使企業(yè)的VPN、動態(tài)VPN包括認(rèn)證系統(tǒng)都可以使用相同的AD賬戶，從而實(shí)現(xiàn)單點(diǎn)登錄(SingleSignOn)。統(tǒng)一身份認(rèn)證的實(shí)現(xiàn)建立在單點(diǎn)登錄技術(shù)(SingleSi感謝感謝謝謝，精品課件資料搜集謝謝，精品課件資料搜集第13章安全接入和身份認(rèn)證13.1可信計(jì)算技術(shù)13.2網(wǎng)絡(luò)安全接入13.3網(wǎng)絡(luò)身份認(rèn)證第13章安全接入和身份認(rèn)證13.1可信計(jì)算技術(shù) 13.1可信計(jì)算技術(shù)

可信計(jì)算組織(TrustedComputingGroup，TCG)對“可信”的定義是：一個實(shí)體在實(shí)現(xiàn)給定目標(biāo)時，若其行為總是如同預(yù)期，則該實(shí)體是可信的。這個定義將可信計(jì)算和當(dāng)前的安全技術(shù)分開，可信強(qiáng)調(diào)行為結(jié)果可預(yù)期，但并不等于確認(rèn)行為是安全的，這是兩個不同的概念。從TCG的定義來看，可信實(shí)際上還包含了容錯計(jì)算里可靠性的概念。可靠性保證硬件或者軟件系統(tǒng)性能可預(yù)測。 13.1可信計(jì)算技術(shù)

可信計(jì)算組織(Trus13.1.1可信計(jì)算概述

1999年10月，為了解決PC機(jī)結(jié)構(gòu)上的不安全問題，從基礎(chǔ)上提高其可信性，由幾大IT巨頭Compaq、HP、IBM、Intel和Microsoft牽頭組織了可信計(jì)算平臺聯(lián)盟(TrustedComputingPlatformAlliance，TCPA)，成員包括190家公司。TCPA定義了具有安全存儲和加密功能的可信任平臺模塊(TrustedPlatformModule，TPM)，致力于數(shù)據(jù)安全的可信計(jì)算，包括研制密碼芯片、特殊的CPU、主板或操作系統(tǒng)安全內(nèi)核。2003年3月TCPA改組為TCG，TCG在原TCPA強(qiáng)調(diào)安全硬件平臺構(gòu)建的宗旨之外，更進(jìn)一步增加了對軟件安全性的關(guān)注，旨在從跨平臺和操作環(huán)境的硬件組件和軟件接口兩方面，促進(jìn)不依賴特定廠商開發(fā)可信計(jì)算環(huán)境。TCG組織以TPM為核心，逐步把可信由TPM推向網(wǎng)絡(luò)和各種應(yīng)用?，F(xiàn)在TCG組織分成下列幾個工作組：13.1.1可信計(jì)算概述

1999年10月，為了解決

(1)認(rèn)證工作組。該組定義可信計(jì)算平臺的認(rèn)證機(jī)制的規(guī)范，包括生物識別與認(rèn)證、智能卡等。

(2)硬件復(fù)制工作組。該組定義用于硬件復(fù)制設(shè)備的、開放的、與廠商無關(guān)的規(guī)范，硬件復(fù)制設(shè)備可利用TCG組織構(gòu)建自己的可信根。

(3)基礎(chǔ)結(jié)構(gòu)工作組。該組定義結(jié)構(gòu)框架以及整合結(jié)構(gòu)的接口標(biāo)準(zhǔn)和元數(shù)據(jù)。

(4)移動工作組。該組定義可信的移動設(shè)備，包括手機(jī)、PDA等。

(5)?PC客戶端工作組。該組為使用TCG組織的PC客戶端提供公共的功能、接口及與安全性私密性相關(guān)的必要支撐條件。

(6)服務(wù)器工作組。該組為TCG技術(shù)實(shí)現(xiàn)服務(wù)器提供定義、規(guī)范、指南等。(1)認(rèn)證工作組。該組定義可信計(jì)算平臺的認(rèn)證機(jī)制的規(guī)范

(7)軟件棧工作組。該組為利用TPM的應(yīng)用系統(tǒng)廠商提供一組標(biāo)準(zhǔn)的API接口，目標(biāo)是對使用TPM功能的應(yīng)用程序提供一個唯一入口：提供對TPM的同步訪問；管理TPM的資源；適當(dāng)?shù)臅r候釋放TPM的資源等。

(8)存儲工作組。該組重點(diǎn)制定專用存儲系統(tǒng)的安全服務(wù)標(biāo)準(zhǔn)。

(9)可信網(wǎng)絡(luò)連接(TrustedNetworkConnect，TNC)工作組。該組負(fù)責(zé)制定在接入控制階段和接入后對端點(diǎn)進(jìn)行完整性驗(yàn)證的方法、策略、標(biāo)準(zhǔn)和協(xié)議。

(10)?TPM工作組。該組制定TPM規(guī)范。TPM是可信根，該根是其他工作組的基礎(chǔ)。

(11)虛擬化平臺工作組。該組著重虛擬化平臺上的可信計(jì)算。(7)軟件棧工作組。該組為利用TPM的應(yīng)用系統(tǒng)廠商提供可信計(jì)算的主要手段是進(jìn)行身份確認(rèn)，使用加密進(jìn)行存儲保護(hù)及使用完整性度量進(jìn)行完整性保護(hù)?；舅枷胧窃谟?jì)算機(jī)系統(tǒng)中首先建立一個信任根，再建立一條信任鏈，一級測量認(rèn)證一級，一級信任一級，把信任關(guān)系擴(kuò)大到整個計(jì)算機(jī)系統(tǒng)，從而確保計(jì)算機(jī)系統(tǒng)的可信。

可信計(jì)算的主要思想是在硬件平臺上引入安全芯片架構(gòu)，提供硬件級底層安全保護(hù)、可靠身份識別、高強(qiáng)度加密等功能，從而將部分或整個計(jì)算平臺變?yōu)椤翱尚拧钡挠?jì)算平臺?？尚庞?jì)算平臺的安全性根植于具有一定安全防護(hù)能力的安全硬件，它基于安全硬件實(shí)現(xiàn)隔離計(jì)算、計(jì)算環(huán)境完整性保證和遠(yuǎn)程安全性質(zhì)證明等服務(wù)，以保證平臺上計(jì)算實(shí)體行為的可信性，從而解決遠(yuǎn)程信任問題?？尚庞?jì)算的主要手段是進(jìn)行身份確認(rèn)，使用加密進(jìn)行存儲保護(hù)及基于以上的思想，TCG計(jì)算機(jī)使用TPM安全芯片對硬盤中的數(shù)據(jù)進(jìn)行加密。TPM安全芯片可以插入主板或直接以焊接到主板上的方式進(jìn)入主機(jī)，還可以將它們與BIOS集成在一起。TPM實(shí)際上就是在計(jì)算機(jī)系統(tǒng)中加入了一個可信第三方，通過可信第三方對系統(tǒng)的度量和約束來保證一個系統(tǒng)可信?；谝陨系乃枷耄琓CG計(jì)算機(jī)使用TPM安全芯片對硬盤中的在硬件級底層安全保護(hù)方面，TCG計(jì)算機(jī)使用自主可信計(jì)算根技術(shù)，在計(jì)算機(jī)啟動時對操作系統(tǒng)進(jìn)行校驗(yàn)，使只有用戶設(shè)定的操作系統(tǒng)和應(yīng)用軟件才能正常加載運(yùn)行?？尚庞?jì)算根會在啟動之初對計(jì)算機(jī)系統(tǒng)中所有的運(yùn)行軟件進(jìn)行可信性(完整性)分析，由此判定它們是否被非授權(quán)篡改。若判定不可信則阻止該軟件運(yùn)行，并自動恢復(fù)其合法的版本。因此計(jì)算機(jī)一旦嵌入了該技術(shù)，即可在啟動操作系統(tǒng)時發(fā)現(xiàn)內(nèi)核已改，并根據(jù)用戶需求進(jìn)行阻止和恢復(fù)。由此，不僅能從硬件安全基礎(chǔ)層面提升安全性，也能避免非法軟件自運(yùn)行的情況發(fā)生。在硬件級底層安全保護(hù)方面，TCG計(jì)算機(jī)使用自主可信計(jì)算根13.1.2安全芯片的國內(nèi)外發(fā)展現(xiàn)狀

在可信計(jì)算理論的實(shí)現(xiàn)上，目前國內(nèi)外均致力于安全芯片的研制，主要分為國外的TPM和國內(nèi)的TCM兩大陣營。

TPM安全芯片是指符合TPM標(biāo)準(zhǔn)的安全芯片，TPM標(biāo)準(zhǔn)由TCG制定。TCG是專門致力于制定可信計(jì)算標(biāo)準(zhǔn)的非營利性機(jī)構(gòu)，它從安全的BIOS、安全的硬件、安全的操作系統(tǒng)、安全的網(wǎng)絡(luò)連接等PC平臺的各個方面入手來重新構(gòu)建一個可信的計(jì)算機(jī)平臺標(biāo)準(zhǔn)，作為安全產(chǎn)業(yè)基礎(chǔ)的TCG標(biāo)準(zhǔn)將滲透到IT各個領(lǐng)域，包括PC平臺(臺式和筆記本)、手持移動設(shè)備平臺、可信網(wǎng)絡(luò)接入及應(yīng)用中間件、服務(wù)器平臺、存儲系統(tǒng)、應(yīng)用軟件等所有環(huán)節(jié)。TCG提出了TPM標(biāo)準(zhǔn)。符合TPM標(biāo)準(zhǔn)的芯片首先必須具有產(chǎn)生加密密鑰和解密密鑰的功能，此外還必須能夠進(jìn)行高速的資料加密和解密，以及充當(dāng)保護(hù)BIOS和操作系統(tǒng)不被修改的輔助處理器。13.1.2安全芯片的國內(nèi)外發(fā)展現(xiàn)狀

在可信計(jì)算理論為避免影響國家戰(zhàn)略安全的核心技術(shù)控制在某些特定的國家/機(jī)構(gòu)手中，中國及很多其他的國家/組織也在同步進(jìn)行可信計(jì)算平臺的研究和部署工作。其中，部署可信計(jì)算體系中，密碼技術(shù)是最重要的核心技術(shù)。具體的方案是以密碼算法為突破口，依據(jù)嵌入芯片技術(shù)，完全采用我國自主研發(fā)的密碼算法和引擎，來構(gòu)建一個安全芯片，稱為可信密碼模塊(TCM)。TCM安全芯片主要通過三個功能保護(hù)用戶計(jì)算環(huán)境的可信：為避免影響國家戰(zhàn)略安全的核心技術(shù)控制在某些特定的國家/機(jī)

(1)底層安全加固。安全芯片在開機(jī)時就會監(jiān)控系統(tǒng)程序的裝載，一旦發(fā)現(xiàn)某個程序狀態(tài)異常就發(fā)出警報乃至禁止其運(yùn)行。

(2)用戶身份證明。TCM安全芯片中存儲有標(biāo)識平臺身份的密鑰，會在必要時通過簽名或者數(shù)字證書的相關(guān)機(jī)制，向外界表明自己的身份，而且標(biāo)識號是全球唯一的。

(3)數(shù)據(jù)加密。經(jīng)過TCM安全芯片進(jìn)行加密的數(shù)據(jù)就只能在該平臺上進(jìn)行解密和處理，從而把機(jī)密數(shù)據(jù)綁定在該平臺上，即使數(shù)據(jù)被盜，因?yàn)槊撾x了對應(yīng)平臺而離開了解密密鑰，數(shù)據(jù)將無法被識別，從而實(shí)現(xiàn)機(jī)密數(shù)據(jù)盜走也看不到，看到也傳播不了的效果。(1)底層安全加固。安全芯片在開機(jī)時就會監(jiān)控系統(tǒng)程序的13.1.3可信任平臺模塊(TPM)

任何可信都是建立在某一個層次上的，如果能直接訪問更低的層次，那么上一個層次的保護(hù)將是毫無作用的。傳統(tǒng)的系統(tǒng)中，密鑰和授權(quán)信息都直接存儲在內(nèi)存和硬盤中，攻擊者有很多方法來獲取它們。在可信計(jì)算的體系中，所有這些機(jī)密數(shù)據(jù)都是由TPM來保護(hù)的。這樣，攻擊者只有攻破TPM才能攻破系統(tǒng)的防護(hù)。這樣，TPM成為系統(tǒng)可信的最低層次，它提供了整個系統(tǒng)可信的基礎(chǔ)。在TCG系統(tǒng)中，可信根(Rootoftrust)是無條件被信任的，系統(tǒng)并不檢測可信根的行為，因此可信根是否真正值得信任，是系統(tǒng)可信的關(guān)鍵。13.1.3可信任平臺模塊(TPM)

任何可信都是建

TPM安全芯片是可信根的基礎(chǔ)。TPM是一個含有密碼運(yùn)算部件和存儲部件的小型片上系統(tǒng)，其規(guī)格往往是作為單個獨(dú)立芯片產(chǎn)品來提供的，但是也可以作為另一個芯片的一部分出現(xiàn)，比如以太網(wǎng)接口。如圖13-1所示，TPM安全芯片包含了分別實(shí)現(xiàn)RSA、SHA-1和HMAC算法的多個硬件處理引擎，以及一個隨機(jī)數(shù)字生成器。它既是密鑰生成器，又是密鑰管理器件，同時還提供了統(tǒng)一的編程接口。TPM通過提供密鑰管理和配置管理等特性，與配套的應(yīng)用軟件一起，主要用于完成計(jì)算平臺的可靠性認(rèn)證、防止未經(jīng)授權(quán)的軟件修改、用戶身份認(rèn)證、數(shù)字簽名以及全面加密硬盤和可擦寫媒體的數(shù)據(jù)等功能。TPM安全芯片是可信根的基礎(chǔ)。TPM是一個含有密碼運(yùn)算部圖13-1TPM內(nèi)部結(jié)構(gòu)圖13-1TPM內(nèi)部結(jié)構(gòu)將TPM安裝在輸入/輸出控制器(I/OController)，即連接外部設(shè)備與內(nèi)存的總線中，讓TPM可以監(jiān)視每一個從外存裝載入內(nèi)存的軟件。由于TPM處于硬件層，所以只要用戶選擇了打開TCG功能，任何行為都無法逃避監(jiān)視。TPM安全芯片首先驗(yàn)證當(dāng)前底層固件的完整性，如正確則完成正常的系統(tǒng)初始化，然后由底層固件依次驗(yàn)證BIOS和操作系統(tǒng)完整性，如正確則正常運(yùn)行操作系統(tǒng)，否則停止運(yùn)行。之后，利用TPM安全芯片內(nèi)置的加密模塊生成系統(tǒng)中的各種密鑰，對應(yīng)用模塊進(jìn)行加密和解密，向上提供安全通信接口，以保證上層應(yīng)用模塊的安全。將TPM安裝在輸入/輸出控制器(I/OControll

TPM會按照整個系統(tǒng)及應(yīng)用軟件棧的裝載順序來監(jiān)視裝載到計(jì)算平臺上的所有軟件，TPM采用哈希擴(kuò)展算法，以哈希值特征的形式來存儲所有能夠被平臺裝載的全部軟件。例如，在X86平臺運(yùn)行過程中，從機(jī)器加電啟動開始，TPM將按照如下的順序監(jiān)視/度量軟硬件系統(tǒng)及應(yīng)用軟件棧的裝載過程：BIOS、MBR(引導(dǎo)扇區(qū)內(nèi)容)、OS裝載器(MBR所指向的一個足夠大的磁盤區(qū)域，從其能夠?qū)胍粋€足夠大的程序來執(zhí)行OS的裝載)、OS、用戶應(yīng)用程序1、用戶應(yīng)用程序2……用戶應(yīng)用程序n。如此順序裝載的程序叫做一個鏈(Chain)，監(jiān)視/度量的過程就是對該軟件哈希計(jì)算的過程。TPM將計(jì)算平臺上的整個軟件鏈的哈希值進(jìn)行記錄，之后就能夠把該平臺上的軟件加載狀況向管理/安全中心報告。TPM可以對每個報告進(jìn)行數(shù)字簽名，確保報告的真實(shí)性。TPM會按照整個系統(tǒng)及應(yīng)用軟件棧的裝載順序來監(jiān)視裝載到計(jì)假定在這樣一個鏈中的這些程序都是正確的，則這個從底部BIOS開始到頂部用戶應(yīng)用程序的鏈就叫做信任鏈(aChainofTrust)，而BIOS又叫做信任根(theRootofaChainofTrust)。通過TCG技術(shù)，管理/安全機(jī)構(gòu)可以通過TPM實(shí)時獲得平臺軟件狀況，據(jù)此判斷處于各邏輯層次軟件的合法性、安全性等，進(jìn)而完成之后的管理和防御工作。假定在這樣一個鏈中的這些程序都是正確的，則這個從底部BI13.1.4TPM在關(guān)鍵行業(yè)的應(yīng)用

1．軍隊(duì)?wèi)?yīng)用

可信計(jì)算技術(shù)在軍隊(duì)的應(yīng)用主要集中在“身份驗(yàn)證”上?？紤]到軍隊(duì)?wèi)?yīng)用環(huán)境比較復(fù)雜，可以采取單機(jī)版和網(wǎng)絡(luò)版相結(jié)合的混合部署。網(wǎng)絡(luò)版掛接可信服務(wù)器，配合實(shí)施雙網(wǎng)隔離、并通過雙因素手段提高授權(quán)人身份可信度?，F(xiàn)代化的軍隊(duì)機(jī)動性很強(qiáng)，組網(wǎng)模式多變，可信安全方面的需求也會隨之發(fā)生較大變化。運(yùn)用集成化的可信安全平臺，可實(shí)現(xiàn)動態(tài)、高效的可信管理。13.1.4TPM在關(guān)鍵行業(yè)的應(yīng)用

1．軍隊(duì)?wèi)?yīng)用

2．政府應(yīng)用

各級政府職能部門主要使用可信計(jì)算的“數(shù)據(jù)加密”功能。政府部門每天都要面對公眾處理日常事務(wù)，對象相對復(fù)雜，增加了流失和泄露機(jī)密文件的概率，因此其數(shù)據(jù)交換的加密要硬件級的，而且密碼必須存于硬件中。應(yīng)用于政府部門的安全計(jì)算機(jī)通常會實(shí)現(xiàn)基于TCM安全芯片的硬件級加密方案，保護(hù)計(jì)算機(jī)上的機(jī)密數(shù)據(jù)。2．政府應(yīng)用

各級政府職能部門主要使用可信計(jì)算的“數(shù)

3．企業(yè)應(yīng)用

大型企業(yè)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，應(yīng)用眾多，需要進(jìn)行大量的跨部門信息傳遞。因此，它對可信計(jì)算技術(shù)的需求最為強(qiáng)烈，以解決底層安全、身份認(rèn)證、數(shù)據(jù)加密、集成管理等一系列問題。伴隨著行業(yè)競爭的加劇，各級企業(yè)對非法竊取本公司商業(yè)機(jī)密的行為也都給予了足夠的重視，其中，利用可信應(yīng)用進(jìn)行數(shù)據(jù)保全無疑是最好的解決辦法。企業(yè)用戶的部門觀念都相對較強(qiáng)，有些甚至達(dá)到了各自為營的地步，而集成管理平臺可提供“授權(quán)密網(wǎng)”功能，為部門間的信息溝通與密文阻隔搭建平臺。域令牌被實(shí)時存儲于TCM芯片中，隨用隨取，而機(jī)要文件始終以域的方式存在。數(shù)據(jù)永遠(yuǎn)都處于企業(yè)網(wǎng)域的授權(quán)控制下，以增加信息資料的保密程度。3．企業(yè)應(yīng)用

大型企業(yè)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，應(yīng)用眾多，需

13.2網(wǎng)絡(luò)安全接入

13.2.1概念和原理

雖然多數(shù)用戶并沒有惡意企圖，但未授權(quán)的計(jì)算機(jī)會給機(jī)構(gòu)帶來巨大的安全風(fēng)險。安全接入技術(shù)的主要思路是從終端著手，通過定義和管理安全策略，并引入性能評估和增強(qiáng)化的方法，對接入私有網(wǎng)絡(luò)的主機(jī)進(jìn)行安全性檢測，自動拒絕不安全的主機(jī)接入保護(hù)網(wǎng)絡(luò)，同時還可以禁用或控制那些用戶計(jì)算機(jī)上的高風(fēng)險應(yīng)用程序，直到這些主機(jī)符合網(wǎng)絡(luò)內(nèi)的安全策略為止，從而可以減少機(jī)構(gòu)的漏洞，避免了某些含有較多安全漏洞的終端成為整個網(wǎng)絡(luò)的“安全短板”的可能。 13.2網(wǎng)絡(luò)安全接入

13.2.1概念和原網(wǎng)絡(luò)接入控制(NAC)關(guān)鍵要求是確認(rèn)并阻止欺詐性計(jì)算機(jī)，它已成為阻止?jié)撛诘母Q探和攻擊者的一種重要工具，也可用于管理復(fù)雜的Web許可和授權(quán)，這些許可和授權(quán)可適應(yīng)于不同的用戶組訪問不同的網(wǎng)絡(luò)部分。NAC還有助于企業(yè)與外部的規(guī)章和內(nèi)部的策略保持一致性，并可以保護(hù)網(wǎng)絡(luò)資源免受不斷發(fā)展的網(wǎng)絡(luò)威脅的危害。NAC的主要功能可分為以下三個部分：

(1)減少0天攻擊風(fēng)險。此功能防止缺乏反病毒、補(bǔ)丁、主機(jī)入侵防御軟件的終端訪問網(wǎng)絡(luò)資源，并可阻止這種設(shè)備將其他計(jì)算機(jī)置于風(fēng)險之中。網(wǎng)絡(luò)接入控制(NAC)關(guān)鍵要求是確認(rèn)并阻止欺詐性計(jì)算機(jī)，

(2)增強(qiáng)策略。此功能允許網(wǎng)絡(luò)操作員定義策略，例如，具體指定允許訪問網(wǎng)絡(luò)的用戶角色或計(jì)算機(jī)類型，并在交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備中強(qiáng)化這些策略。

(3)身份和訪問管理。傳統(tǒng)的IP網(wǎng)絡(luò)根據(jù)IP地址增強(qiáng)訪問策略，而NAC環(huán)境根據(jù)用戶身份來增強(qiáng)安全性。

如圖13-2所示，安全接入系統(tǒng)的基本結(jié)構(gòu)包含三個基本部分：訪問請求者、策略決策點(diǎn)和策略執(zhí)行點(diǎn)。策略決策點(diǎn)和策略執(zhí)行點(diǎn)的單獨(dú)功能可包含在一臺服務(wù)器上，也可分散在多臺服務(wù)器之間。一般而言，訪問請求者負(fù)責(zé)請求訪問，策略決策點(diǎn)負(fù)責(zé)指定策略，而策略執(zhí)行點(diǎn)負(fù)責(zé)執(zhí)行策略。(2)增強(qiáng)策略。此功能允許網(wǎng)絡(luò)操作員定義策略，例如，具圖13-2安全接入技術(shù)理論模型圖13-2安全接入技術(shù)理論模型訪問請求者是試圖訪問網(wǎng)絡(luò)的節(jié)點(diǎn)，它可以是由安全接入系統(tǒng)管理的任何設(shè)備，包括工作站、服務(wù)器、打印機(jī)、照相機(jī)及具有IP功能的其他設(shè)備。訪問請求者可能自行執(zhí)行主機(jī)評估，也有可能由另外某個系統(tǒng)來評估主機(jī)。訪問請求者的評估結(jié)果被發(fā)送到策略決策點(diǎn)。策略決策點(diǎn)是核心部分。根據(jù)訪問請求者的狀況和定義的策略，策略決策點(diǎn)確定應(yīng)當(dāng)授予哪種訪問權(quán)。在許多情況下，安全接入產(chǎn)品管理系統(tǒng)可能充當(dāng)策略決策點(diǎn)。策略決策點(diǎn)依賴后端系統(tǒng)(包括反病毒、補(bǔ)丁管理或者用戶目錄)，以便幫助確定主機(jī)的條件。舉例來說，反病毒軟件管理器會確定主機(jī)的反病毒軟件和特征版本是不是最新的，然后通知策略決策點(diǎn)。一旦策略決策點(diǎn)確定運(yùn)用哪個策略，就會把訪問控制決策傳送給策略執(zhí)行點(diǎn)以便執(zhí)行。策略執(zhí)行點(diǎn)可能是網(wǎng)絡(luò)設(shè)備(如交換機(jī)、防火墻或者路由器)，可能是管理動態(tài)主機(jī)配置協(xié)議(DHCP)或者地址解析協(xié)議(ARP)的帶外設(shè)備，也可能是訪問請求者機(jī)器上安裝的訪問代理軟件。訪問請求者是試圖訪問網(wǎng)絡(luò)的節(jié)點(diǎn)，它可以是由安全接入系統(tǒng)管13.2.2安全接入技術(shù)實(shí)現(xiàn)方式分類

按部署的位置而言，安全接入控制技術(shù)主要分為兩大類：基于網(wǎng)絡(luò)的接入控制和基于主機(jī)的接入控制?；诰W(wǎng)絡(luò)的接入控制主要有EAPOL(ExtensibleAuthenticationProtocolOverLAN)技術(shù)、EAPOU(ExtensibleAuthenticationProtocolOverUDP)技術(shù)；基于主機(jī)的接入控制主要有應(yīng)用接入控制、客戶端接入控制。

1．基于網(wǎng)絡(luò)的接入控制

基于網(wǎng)絡(luò)的接入控制方案的典型代表是CiscoNAC技術(shù)。網(wǎng)絡(luò)接入的概念是由Cisco普及的，Cisco的NAC除了EAPOL，還有EAPOU(EAPOverUDP)。13.2.2安全接入技術(shù)實(shí)現(xiàn)方式分類

按部署的位置而

(1)?EAPOL。EAP是ExtensibleAuthenticationProtocol的縮寫，EAP最初作為PPP的擴(kuò)展認(rèn)證協(xié)議，使PPP的認(rèn)證更具安全性。無線局域網(wǎng)興起后，人們在無線局域網(wǎng)接入領(lǐng)域引入了EAP認(rèn)證，同時設(shè)計(jì)了專門封裝和傳送EAP認(rèn)證數(shù)據(jù)的IEEE802.1x協(xié)議格式。802.1x協(xié)議除了支持WLAN外，也支持傳統(tǒng)的局域網(wǎng)類型，比如以太網(wǎng)、FDDI、TokenRing。EAP與802.1x的結(jié)合就是EAPOL(EAPOverLAN)，或者稱為EAPover802.1x。作為一種標(biāo)準(zhǔn)局域網(wǎng)的數(shù)據(jù)包協(xié)議，802.1x幾乎得到所有網(wǎng)絡(luò)設(shè)備廠商的支持。EAPOL不僅能用來解決終端計(jì)算機(jī)身份認(rèn)證的問題，也可以用來認(rèn)證計(jì)算機(jī)的安全狀態(tài)。在進(jìn)行身份認(rèn)證的同時檢查終端計(jì)算機(jī)的安全狀態(tài)，并能根據(jù)認(rèn)證狀態(tài)設(shè)置端口狀態(tài)，動態(tài)切換VLAN，或者下載ACL列表。因?yàn)?02.1x協(xié)議被網(wǎng)絡(luò)廠商廣泛支持，所以EAPOL是支持范圍最廣的網(wǎng)絡(luò)接入技術(shù)。EAPOL的優(yōu)點(diǎn)是它可以做到最嚴(yán)格的接入控制，控制點(diǎn)是網(wǎng)絡(luò)的接入層交換機(jī)，最接近終端計(jì)算機(jī)，對不符合策略的計(jì)算機(jī)可以完全禁止其訪問任何網(wǎng)絡(luò)，使其對網(wǎng)絡(luò)的危害最小。(1)?EAPOL。EAP是ExtensibleAu

(2)?EAPOU。與EAPOL國際標(biāo)準(zhǔn)協(xié)議不同的是，EAPOU是Cisco的專有協(xié)議，即獨(dú)家技術(shù)。EAPOU是CiscoNAC技術(shù)的第一個實(shí)現(xiàn)版本，2003年最早在Cisco的路由器上實(shí)現(xiàn)，后來在Cisco的3層交換機(jī)上也實(shí)現(xiàn)了EAPOU。EAPOL是在網(wǎng)絡(luò)接入層進(jìn)行接入控制，而EAPOU則是在網(wǎng)絡(luò)的分布層或核心層進(jìn)行接入控制。EAPOU的工作原理是當(dāng)支持EAPOU的分布層設(shè)備接收到終端設(shè)備發(fā)來的數(shù)據(jù)包時，分布層EAPOU設(shè)備將要求終端設(shè)備進(jìn)行EAP認(rèn)證。EAP認(rèn)證包封裝在UDP包內(nèi)，在EAP認(rèn)證的內(nèi)容中，身份認(rèn)證其實(shí)并不重要，重要的則是安全狀態(tài)認(rèn)證。如果安全狀態(tài)不符合企業(yè)策略，分布層EAPOU設(shè)備將從策略服務(wù)器上下載ACL，限制不安全的客戶端的網(wǎng)絡(luò)訪問，并對其進(jìn)行修復(fù)。EAPOU技術(shù)的優(yōu)點(diǎn)是它對網(wǎng)絡(luò)接入設(shè)備要求不高，因而覆蓋面較高，而且分布層設(shè)備一般明顯少于接入層設(shè)備，因此部署相對要容易一些。(2)?EAPOU。與EAPOL國際標(biāo)準(zhǔn)協(xié)議不同的是，思科的網(wǎng)絡(luò)接入控制NAC技術(shù)，微軟的網(wǎng)絡(luò)訪問保護(hù)技術(shù)NAP以及TCG組織的可信網(wǎng)絡(luò)連接TNC技術(shù)是很有代表性的安全接入技術(shù)，在目標(biāo)和實(shí)現(xiàn)上具有很大相似性。

首先，其目標(biāo)都是保證主機(jī)的安全接入，即當(dāng)PC或筆記本接入本地網(wǎng)絡(luò)時，通過特殊的協(xié)議對其進(jìn)行校驗(yàn)。除驗(yàn)證用戶名密碼、用戶證書等用戶身份信息外，還驗(yàn)證終端是否符合管理員制定好的安全策略，如操作系統(tǒng)補(bǔ)丁、病毒庫版本等信息。并各自制定了自己的隔離策略，通過接入設(shè)備(防火墻、交換機(jī)、路由器等)，強(qiáng)制將不符合要求的終端設(shè)備隔離在一個指定區(qū)域，只允許其訪問補(bǔ)丁服務(wù)器進(jìn)行下載更新。在終端主機(jī)沒有安全問題后，再允許其接入被保護(hù)的網(wǎng)絡(luò)。思科的網(wǎng)絡(luò)接入控制NAC技術(shù)，微軟的網(wǎng)絡(luò)訪問保護(hù)技術(shù)NA其次，三種技術(shù)的實(shí)現(xiàn)思路也比較相似，都分為客戶端、策略服務(wù)以及接入控制三個主要層次。NAC分為主機(jī)請求網(wǎng)絡(luò)接入(HostsAttemptingNetworkAccess)、網(wǎng)絡(luò)接入設(shè)備(NetworkAccessDevice)、策略決策點(diǎn)(PoliceDecisionPoints)三層；NAP分為NAP客戶端、NAP服務(wù)器端、NAP接入組件(DHCP、VPN、IPsec、802.1x)；TNC分為AR、PEP、PDP三層。其次，三種技術(shù)的實(shí)現(xiàn)思路也比較相似，都分為客戶端、策略服同時，由于三種技術(shù)的發(fā)布者自身的背景，三種技術(shù)又存在不同的偏重性。NAC由于是Cisco發(fā)布的，所以更強(qiáng)調(diào)網(wǎng)絡(luò)接入硬件設(shè)備(如交換機(jī)等)在其架構(gòu)中的重要性；NAP則偏重在終端代理以及接入服務(wù)組件；而TNC技術(shù)則重點(diǎn)放在與TPM綁定的主機(jī)身份認(rèn)證與主機(jī)完整性驗(yàn)證上，TNC的目的是給TCG發(fā)布的TPM提供一種應(yīng)用支持。表13-1對兩種典型的安全接入方式進(jìn)行了比較。同時，由于三種技術(shù)的發(fā)布者自身的背景，三種技術(shù)又存在不同網(wǎng)絡(luò)竊密、監(jiān)聽和防泄密技術(shù)課件從產(chǎn)品實(shí)現(xiàn)的角度而言，廠商提供的NAC產(chǎn)品類型有很多種。根據(jù)其使用的主要方法，可將NAC分為如下幾種類型：

(1)基于代理的NAC。這種NAC產(chǎn)品依賴于安裝到端點(diǎn)設(shè)備上的一個軟件，即所謂代理。此代理與一個具有網(wǎng)絡(luò)連接的NAC服務(wù)器或設(shè)備通信。這種方法相對簡單，但不太靈活，并要求在終端設(shè)備上安裝和運(yùn)用特定的軟件。

(2)無代理的NAC。這種方法不要求在個人桌面和筆記本電腦等終端設(shè)備上安裝一個特別代理。與之相反，代理是被存儲在一個臨時目錄中的。不使用代理可使部署更簡單，并可簡化NAC的操作。從產(chǎn)品實(shí)現(xiàn)的角度而言，廠商提供的NAC產(chǎn)品類型有很多種。

(3)內(nèi)聯(lián)NAC。NAC的運(yùn)行就如同一個網(wǎng)絡(luò)訪問層的防火墻一樣，它掌管著通過它的所有客戶端通信，并可以增強(qiáng)安全策略。這種方法相對簡單，但在較大的網(wǎng)絡(luò)中會產(chǎn)生吞吐量瓶頸。這種方法會隨著時間的推移而引起成本增加，因?yàn)樵谕ㄐ帕吭黾訒r，會要求增加更多的內(nèi)聯(lián)設(shè)備。

(4)帶外NAC。這種方法使用現(xiàn)有的架構(gòu)來增強(qiáng)性能，典型情況下它是分布式的，因?yàn)榭蛻舳艘獙?shù)據(jù)傳輸給中心控制臺，控制臺根據(jù)獲得的實(shí)時信息，及時調(diào)整交換機(jī)的安全控制策略。相對而言，這種方法頗為復(fù)雜，不過它對網(wǎng)絡(luò)性能造成的負(fù)面影響更小一些。(3)內(nèi)聯(lián)NAC。NAC的運(yùn)行就如同一個網(wǎng)絡(luò)訪問層的防

2．基于主機(jī)的接入控制

目前采用基于主機(jī)的接入控制技術(shù)的典型產(chǎn)品有微軟NAP。

如果用戶的網(wǎng)絡(luò)設(shè)備不支持網(wǎng)絡(luò)接入，或不想花費(fèi)部署和管理時間，還可以進(jìn)行基于主機(jī)的接入控制。主機(jī)的概念包含網(wǎng)絡(luò)中除網(wǎng)絡(luò)設(shè)備之外的計(jì)算機(jī)主機(jī)，包括服務(wù)器和計(jì)算機(jī)終端?；谥鳈C(jī)的接入控制最大特點(diǎn)就是容易部署。系統(tǒng)及應(yīng)用接入是在服務(wù)器的操作系統(tǒng)中安裝接入控制軟件，當(dāng)計(jì)算機(jī)終端訪問服務(wù)器時，接入控制軟件會檢查對方的安全狀態(tài)。如果符合策略則允許訪問，如果不符合將拒絕對方的訪問，并給出相關(guān)提示。而客戶端接入控制是終端相互之間進(jìn)行訪問時，安裝在終端上的軟件也會檢查對方的安全狀態(tài)?；谥鳈C(jī)的接入控制點(diǎn)一般安裝在代理服務(wù)器、郵件服務(wù)器、內(nèi)網(wǎng)Web服務(wù)器、DNS服務(wù)器上或DHCP服務(wù)器上。這些服務(wù)器是企業(yè)內(nèi)部員工最常訪問的服務(wù)器，因此接入效果較好，覆蓋面廣。實(shí)際部署時，一般只需在一到兩個服務(wù)器上部署控制點(diǎn)即可做到對全局的接入控制。2．基于主機(jī)的接入控制

目前采用基于主機(jī)的接入控制技基于主機(jī)的接入控制優(yōu)點(diǎn)：

(1)容易部署。一般網(wǎng)絡(luò)接入配置起來都較復(fù)雜，不同型號的設(shè)備的配置都各不相同，如果網(wǎng)絡(luò)規(guī)模較大，配置的工作量極其巨大，而基于主機(jī)的接入控制只需要在對應(yīng)的主機(jī)上安裝一個軟件，相對而言容易得多。

(2)適應(yīng)性好，覆蓋面廣，不依賴任何網(wǎng)絡(luò)設(shè)備的支持。

(3)對網(wǎng)絡(luò)性能沒有影響?；诰W(wǎng)絡(luò)的接入控制在運(yùn)行時會根據(jù)客戶端的認(rèn)證狀態(tài)和安全狀態(tài)改變自己的狀態(tài)，比如VLAN切換和動態(tài)ACL加載，這或多或少都將影響設(shè)備或網(wǎng)絡(luò)的性能，特別是在大規(guī)模網(wǎng)絡(luò)環(huán)境下?；谥鳈C(jī)的接入控制將其控制分散到每個終端和主機(jī)，終端的狀態(tài)變化對網(wǎng)絡(luò)沒有任何影響。基于主機(jī)的接入控制優(yōu)點(diǎn)：

(1)容易部署。一般網(wǎng)絡(luò)

(4)訪問控制功能最強(qiáng)?；谥鳈C(jī)的接入控制能夠做到基于進(jìn)程的訪問控制，以及基于進(jìn)程的帶寬管理，因此對蠕蟲、木馬的防治就能更加積極主動?；谥鳈C(jī)的接入控制的缺點(diǎn)主要是控制強(qiáng)度較弱，系統(tǒng)及應(yīng)用接入控制點(diǎn)處于企業(yè)網(wǎng)絡(luò)的核心，遠(yuǎn)離終端，而客戶端接入依賴于網(wǎng)絡(luò)中已經(jīng)廣泛部署的客戶端。(4)訪問控制功能最強(qiáng)?；谥鳈C(jī)的接入控制能夠做到基于13.2.3網(wǎng)絡(luò)安全接入的實(shí)現(xiàn)步驟

NAC方案通過評估并強(qiáng)化計(jì)算機(jī)的安全狀態(tài)而準(zhǔn)許授權(quán)的計(jì)算機(jī)訪問。當(dāng)終端計(jì)算機(jī)遵循企業(yè)的安全策略時，就允許其訪問；當(dāng)