网络信任体系发展趋势研究
2020-12-30
来源:汇智旅游网
2011年第07期 Ill doi:10.3969 ̄issn.1671-1122 2011 07 024 张立武 (中国科学院软件研究所,北京100190) 摘要:文章介绍了网络信任体系的相关概念,对网络信任技术发展趋势进行了归纳总结。文章将网络 信任体系发展划分为三个阶段,包括PKI研究建设阶段、跨域鉴别授权中间件研究阶段、云安全服务阶段。 并对云安全服务阶段网络空间信任体系架构进行了描述。 关键词:网络空间;数字身份管理;认证;授权;责任认定 中图分类号:TP393.08 文献标识码:A 文章编号:1671—1122(2011)07—0069—03 Development Trends of Network Trust System ZHANG Li—WU (InstituteofSof ̄vare,ChineseAcademyofScience,Beij'ing 100190,China) Abstract:This paper introduces the concept of network trust system,and discussed its development trends. We divide the network tust system developmentr into three phases:including PKI research&construction stage. cross—domain authentication and authorization middleware research phases,cloud security services phases,and describes the envision ofcyberspace tust rsystem in cloud securiy tservices phase. Key words:CyberSpace;IDM;authentication;authorization;accountability O引言 网络信任问题是信息安全中的核心问题,电子商务、电子政务、信息共享都需要在各种实体间建立信任。在彼此了解的小型 网络中,用户实体间很容易建立网络信任关系,这种网络信任关系建立在物理社会互相熟悉的基础上,可以由物理世界运作的社 会力量维持秩序。当网络应用扩展到—定规模时,物理社会力量就不能满足维持网络信任的要求,特别是网络中的实体不单单 与熟悉的实体进行交互时,就需要建立网络信任体系来维护网络空间社会秩序。 网络信任的建立包括三个基本过程:首先,需要一个信任源,也就是该信任谁,通常大家引人・个可信权威来解决这个问题; 其次,需要鉴别实体是否是其所声称的实体,这通常采用鉴别协议实现实体身份鉴别;再次,确认实体的权限,控制实体访问 资源或者服务范围;通过这三个过程可以完成网络信任的建立,然而仅有信任建立还不够维持网络秩序,因为信任建立过程可 能会有技术上的缺陷、管理上的漏洞、甚至是误操作;这些都会造成网络应用活动中信任过程出现安全问题,需要建立一种信 任追踪机制,这种机制就是责任认定。因此网络信任体系建立需要包括身份认证、授权管理、责任认定三个部分。 《关于网络信任体系建设的若干意见》(国办发[2006]11号文件)中指出网络信任体系是指以密码技术为基础,包括法律法规, 技术标准和基础设施等内容,目的是解决网络应用中的身份认证、授权管理和责任认定问题的完整体系。其中,身份认证是通 过技术手段确认网络信息系统中主、客体真实身份的过程和方法;授权管理是综合利用身份认证、访问控制、权限管理等技术 措施解决访问者合理使用网络信息资源的过程和方法;责任认定是应用数据保留、证据保全、行为审计、取证分析等技术,记 录、保留、审计网络事件,确定网络行为主体责任的过程和方法。网络信任体系也被列为《国家中长期科学和技术发展规划纲要》 2006—2020的重点领域优先主题[1】。本文只从技术层面讨论网络信任体系研究与建设。 随着信息技术的迅速发展,特别是云计算、物联网、泛在网等概念的提出,使得网络信任体系研究建设成为信息安全的重 中之重。物联网的出现使得虚拟世界与物理世界的界限被打破,云计算的发展使得信息时代网络资源联系更加紧密、信息共享 空前提速,而泛在网的到来将会保障人与设备随时随地通过各种无线或有线手段接入网络,信息时代开始步入云o ̄4- ̄。在这种 ● 收稿时间:2011—05—30 基金项目:国家自然科学基金(60803129);下一代互联网业务试商用及设备产业化专项(CNGI一09—03—03) 作者简介:张立武(1976一),男,山东,高级工程师,硕士生导师,主要研究方向:网络与系统安全。 2011年第07期\ 趋势下,人与终端设备、传感控制设备以及各种网络应用逐渐 融为一体,也就形成了海、陆、空、太空之外的第五大空间一“网 络空间”。网络空间中海量的人、机器、传感设备等实体进行 网络活动都需要建立信任关系,缺乏大规模的网络信任服务 基础设施,成为制约信息网络发展的瓶颈之・。 1网络信任体系的三个阶段 网络信任体系研究与建设目前可划分三个发展阶段:第一 阶段是以公钥基础设施PKI为代表的技术研究建设阶段;第 二阶段是鉴别与授权等安全中间件发展阶段;第三阶段是正 在开启的云安全服务时代。 1.1第一阶段PKI/CA研究建设 在第一阶段,网络信任体系建设的重点集中于PKI体系 的建设,而身份鉴别、授权、访问控制等安全功能并没有从 应用业务系统中抽象出来,还是以内嵌安全代码或安全模块 的形式,并且主要面向单一信任域提供安全功能。 随着X.509证书为代表的公钥证书体系标准化,PKI系 统的建设得到了长足发展,许多政府部门和金融机构都完成 了自己的PKI体系建设。PKI/CA使用私钥为用户颁发数字证书, 实现用户数字身份与其公钥的绑定,利用CA作为可信机构解 决了互不相识的实体间建立信任有可信源的问题,在电子商务、 电子政务等应用中发挥着重要作用。 这一阶段在如何保护PKI/CA系统的自身安全问题上涌现 了许多研究成果,特别是入侵容忍CA技术受到广泛关注,比 较有代表性的方案有IBM的ITTC方案 ]、V.Shoup 2000方 案 】、Jing etc03 方案。对于用户拿到公钥证书之后如何进 行身份鉴别的过程并没有进行规范。由于实际应用基本都是 靠业务系统内嵌的安全代码或安全模块来完成鉴别授权功能, 这样使得安全功能和业务功能耦合度过高,不利于安全模块 升级与复用、不利于系统扩展与维护。 1.2第二阶段鉴别与授权安全中间件 随着互联网应用业务的快速发展,用户活动不再局限于 单一的信任域,出现了跨域的业务需求。由于应用业务跨域 的需求,随之用户量扩大,应用提供服务时需要鉴别用户身份、 判断权限、并对事件动作进行审计,也就是解决动态信任的建 立问题。这种情况下,鉴别授权功能与具体业务应用紧密耦 合给系统扩展和维护带来很大麻烦,内嵌安全代码的方式已 经不能适应上规模的用户安全需求,促进了跨域鉴别、单点 登录等新需求的产生。 由于身份鉴别与访问控制执行功能与具体应用无关,因 此可以分离出来形成中间件产品,这样会有效降低建设与维护 成本,大幅提高鉴别与访问控制系统的复用度与方案灵活度。 鉴别与授权中间件的出现为解决应用业务跨域的身份鉴别、 授权管理问题提供了安全可靠的技术方案。 上述需求的推动下,国际涌现出一大批安全中间件的相 关项目,比较有代表性的工作有集中鉴别服务(CAS,Central Authentication Service)与Shibboleth、OpenlD等项目;在授权 访问控制方面,比较有代表性的工作有PERMIS和Cardea项目。 CAS嘲是耶鲁大学的统一鉴别开源项目,它是一个比较典 型的身份鉴别与应用分离的解决方案。它提供了一套独立的、 适用于分布式环境下的、兼容各种异构平台的身份鉴别框架系 统。整个框架的基础思想是基于Kerberos的票据方式,它在需 要保护的应用系统中插入CAS客户端插件,过滤从用户端发来 的每次请求,由CAS服务器端充当鉴别中心为用户颁发票据, 过滤端通过票据验证为多种应用提供统一鉴别、 登录服务; 当应用需要修改身份鉴别的业务逻辑时,只需要修改CAS系统, 与应用业务无关,因而减少了升级与维护的代价。 Shibboleth 是Internet2/MACE和IBM联合开发的一・个 针对域内或跨域的Web单点登录安全中间件开源项目,它 使得站点能以保护隐私的方式决定授权个体是否可以访问被 保护的资源。它实现了被广泛应用的OASIS SAML(Securitv Assertion Markup Language安全断言标记语言)‘ 标准来提供 联盟式单点登录和属性交换框架,而且提供了扩展的隐私保 护功能使得浏览器用户和归属域都能控制披露给应用的属性。 Shibboleth最初开发动机是在各个大学之间建立信任关系并共 享Web资源。Shibboleth体系的主体包含身份提供者(IDP)和 资源提供者(SP)两部分,其中每个IDP对应一个信任域,负 责维护用户的身份,SP则负责维护一些受控制的资源和Web 服务,每个SP可以配置允许哪些域的用户进行访问。此外系 统中还包括一个wAYF(Where are you from)服务,负责帮助 用户定位其身份所在信任域的IDPo Shibboleth只考虑了一些授 权应用,但对用户属性的安全管理和访问控制却没有考虑。 OpenID[8 是一个以用户为中心的数字身份鉴别框架,它 具有开放、分散、自由等特性。OpenID的基本思想是:可以 通过URI(或者URL网址)来识别一个网站。同样,也可以 通过这样的方式来鉴别一个用户的身份。OpenlD系统就是通 过URI(或者URL网址)鉴别用户身份。目前绝大部分网站 都是通过用户名/口令来登录鉴别用户身份,这就要求大家在 每个使用的网站上注册帐号。而对于OpenlD来说,用户可以 在一个OpenID的网站上注册身份,实现登录多个网站。 PERMISl9 是英国Kent大学的一个关于授权的项目,目标 是验证PMI的适应性和可用性,并尝试标准化电子商务应用 中所需的权限。它主要思想是:用户访问某组织资源时的权限 取决于该组织或者该组织信任的第三方屙l生权威授予该用户 的角色。第三方屙l生权威授予用户的角色必须是该组织认可的。 PERMIS项目充分考虑了分布式环境下用户属性(主要是角色 属性)和安全策略的可信发布问题,采用了属性证书来保护策 略的完整性和增强策略的可用性。 Cardeall 是美国NASA(美国国家航空航天局)开发的一 个项目,其目标是为跨域的动态资源访问提供一个安全的分布 201 1年第07期 式环境,允许用户正确地访问一个没有维护其标识信息的信 任域应用资源,即对用户进行授权的过程不依赖于用户的本 地标识,而是结合当前的访问请求(这包含了访问模式和访问 资源),访问发起者的属性,当前的环境信息(如时间)等因 素进行授权。授权系统不需要维护用户的本地标识,发出访 问请求的用户可以是来自信任域内部或者信任域外部。 2006年以来,我国国家高技术研究发展计划、CNGI示 范工程、国家科技支撑计划等相继部署了有关跨域认证授权 最佳的安全解决方案。 TCI(Trusted Cloud Initiative)[131计划是2010年由Novell 与CSA共同发起,为了实现按需计算服务战略,需要将企业 身份管理服务延伸到云计算模式中;由于目前的云生态系统 并不成熟,需要对企业基于云的身份和访问管理(IAM)服务 进行评估。TCI提出用第三方服务的形式为云计算提供身份 管理功能,目的是建立云计算环境下用户身份管理规范,并 明确其发展方向。TCI给出了每个具体的IAM功能在不同的 关键技术与系统课题,中科院软件所、中科院研究生院等单 位承担了相关课题研究,形成了较完整的跨域认证授权中间 件架构与原型系统,起草了跨域认证中间件框架与相关互操 作语言的国家标准草案。 在分布式计算网络环境下,网络信任体系发展的第二阶段 体现出安全模块与应用逐渐分离、安全应用构件化、信任技 术体系化、交互语言标准化的特点。这种标准化的安全中间 件形态不仅降低了应用程序开发的代价,也增强了鉴别授权系 统的安全性,因此得到了广泛的应用。 此外,由于计算机病毒、恶意软件等安全威胁的增强,使 得人们考虑通过改变计算机体系架构来改善安全状况。TCG组 织 推出可信计算技术,并引人防篡改的硬件安全芯片,装在 主板上作为信任根,从系统启动时进行逐个组件度量,建立平台 信任环境。可唐计算技术使得网络信任体系有了环境上的保障。 1.3第三阶段开启云安全服务时代 随着云计算、泛在网、物联网等概念的提出,人、机器、 传感器网络设备、信息系统等呈现一体化趋势。安全产品中间 件接口形式对于新型网络环境需求开始力不从心。在应用即服 务的时代,由专业人员部署和维护跨应用的安全服务成为网络 信任技术发展新方向。在上述需求的推动下,一批国家级重要 战略项目相继启动,包括美国网络空间可信身份国家战略—— 身份标识生态系统、CSA云安全联盟的TCI计划以及中科院知 识创新工程重要方向项目“网络空间信任技术与支撑平台”,这 些项目启动标志着研究网络信任服务体系正逐渐成为各国政府 和大型企业关注的焦点,安全即服务成为安全技术发展的趋势。 2010年6月提出的美国《网络空间可信身份国家战略》 (National Strategy for Trusted Identities in Cyberspace,简称 NSTIC)草案[1210 NSTIC是为了响应奥巴马总统批准的《网 络空间政策评估》中的提出的要求,综合政府关键部门、企 业和个人隐私等各方面的需求与应用撰写而成,其最终目 的是建立一个以用户为中心的数字身份生态系统(Identity Ecosystem),实现在线实施用户身份鉴别时,—方面使用户对 必须提供的个人信息实施严格控制,另—方面防止用户提供多 余的个人隐私及相关信息。 2009年RSA大会宣布成立云安全联盟CSA,企业成员 涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安 全厂商、云计算提供商等。该联盟致力于为云计算环境提供 云结构(如IaaS,PaaS,SaaS)中相关的IAM实施建议,并 提出数字身份即服务的理念(IDaaS),认为IDaaS作为第三方 服务提供身份管理功能,除了应具备原有身份管理功能和机 制之外,还需要增强隐私l生、完整性和可审计性。 2009年12月,中科院发起知识创新工程重要方向项目《网 络空间信任技术与支撑平台》,该项目由中科院软件所牵头, 中科院计算所、中科院研究生院联合承担。项目针对新型环 境下网络空间信任建立的新需求和挑战,提出建立网络空间 信任体系,以解决网络空间中的信任问题为目标,涉及网络空 间应用中的用户及平台数字身份管理、跨应用身份鉴别、授权 管理、访问控制和责任认定等安全功能。 该项目提出了数字身份管理即服务、身份鉴别即服务、访 问控制即服务、责任认定即服务等安全服务概念,并把可信 环境保障纳入到网络信任体系技术范围内,形成网络空间信 任生态系统的初步框架。 以云计算、物联网为代表的新型网络环境 跨多种应用、 海量人机物实体信任建立、可信环境保障成为网络空间信任中的 新需求,数字身份管理、鉴别、授权、访问控制、 ̄it-W责任认 定作为一种安全服务成为云时代网络空间信任体系的发展趋势。 2网络空间信任服务基础设施 云计算时代的网络空间信任服务体系将主要由以下基础 设施组成。 1)PKI/CA:已有的PKI基础设施是实现强用户身份鉴别、 支撑电子签名的一种重要基础设施,它为终端用户颁发公钥 证书,实现用户身份与其公钥的绑定。 2)数字身份管理服务基础设施:数字身份是多种多样的, 包括用户身份、平台身份、传感设备身份、甚至文件电子标识等。 其中,用户身份管理将依托于各级行政主管机构作为权威信 任源,实现网络真实数字身份管理,并为上层的应用业务提 供身份证明及属性证明服务,解决用户隐私保护与网络实名管 控的矛盾,一种正在建立的用户身份管理基础设施就是电子身 份证eID系统。 3)跨应用鉴别服务基础设施:为多种应用提供身份鉴别 服务,支持单点登录、身份联合、隐私保护等安全功能。 4)授权管理服务基础设施:针对具体的应用业务,为业 务用户提供授权屙『生定制服务,为终端用户颁发授权属性。 下转第78页 7’r 2011年第07期 他无关账号;限制默认帐户的访问权限,重命名系统默认帐户, 修改默认口令;2)访问控制。主要包括启用访问控制功能,依 据安全策略控制用户对资源的访问;具有远程连接的安全性配 置,针对系统远程访问、认证和授权进行相关访问控制;3)入 侵防范。主要包括Web服务器由于其版本较低或者设置不当; 没有 b通用漏洞,如SQL注人漏洞,跨站脚本漏洞,远程 建设的同时,安全管理的同步建设。 4结束语 随着网络面临的威胁呈现复杂多变、难以预测的趋势,运 营商的安全防护工作也日益严峻,只在安全运维阶段进行事后 安全防护,已显得力不从心,必须将安全防护工作前移,加强 拒绝服务漏洞,目录遍历等漏洞、路径跨越漏洞;4)日志审计。 主要包括应用系统具有日志记录功能和安全审计能力,提供覆 安全源头管理,开展新建网络工程安全验收T作。本文根据各 专业工程项目的安全需求,充分考虑各环节的安全因素,建立 盖到每个用户的安全审计功能,对应用系统重要安全事件进行 了新建工程通用安全验收技术体系,对于安全验收工作具有参 考意义,已在相关的网络安全验收中进行试点应用,取得了较 好的效果,屏蔽了多项严重安全漏洞,降低了潜在风险,为确 保新建工程上线后的稳定运营提供安全保障。 参考文献: 审计;5)通信保密性。主要包括应用系统模块设计中具有数据 通信完整牲措施,敏感信息应加密传输。 3.5管理层安全 “三分技术,七分管理”,再安全的网络设备离不开人的 管理,再好的安全策略最终要靠人来实现,因此管理安全是 整个安全验收中最为重要的一环。主要考虑内容包括:安全 管理机构和人员的配套、安全管理制度的配套、人员安全管 理技能的配套等。验收时将查看各系统需要制定账号口令、日 志管理、安全审计、安全事件应急、信息保密、接入控制、介 质管理、第三方安全等相关的安全管理制度,保证安全技术 上接第71页 (责编张岩) [1]GB/T2223VZ9-2008,信息安全技术信息系统安全等级保护基本 要求l S】 【2]YD/T 1756—2008,电信网和互联网管理安全等级保护要求『Sl [3]YD/T 1732—2008,固定通信网安全防护要求【s] [4]YD/T 1734—2008,移动通信网安全防护要求【Sl 【5]YD/T 1736—2008,互联网安全防护要求fSl [6]YD/T 1758—2008,非核心生产单元安全防护要求fS1. 5)访问控制服务基础设施:针对资源的访问请求,结合 访问控制策略和授权属性进行判断,并返回控制结果。该基 础设施还包括业务用户的访问控制策略定制服务。 6)平台信任服务基础设施:对于机器平台身份进行管理、 提供平台完整性属性管理服务,通过可信网络准人技术,引 入一个权威机构一一网络接入主管部门实现网络终端环境的 管控,并向应用业务方提供平台身份及环境证明。 7)审计服务基础设施:提供服务对网络空间中所有数字 身份及其活动时间的审计日志进行记录,供责任认定系统查 询。该基础设施还包括业务用户的审计策略定制服务。 8)责任认定服务基础设施:提供对审计日志的事件信息 抽取和分析,根据一定的责任认定规则进行系统安全事件责 任判定和事后追查。 上述网络空间信任服务基础设施的建立将为云时代多种网 络应用提供最基本的信任建立与责任追踪服务,使得安全功能 变为一种服务,不再从属于某一应用。独立于应用业务的安全 服务出现,标志着安全功能成为信息系统的神经中枢,从而占 据主导地位,先有业务再考虑安全功能的时代已经过去了0 立信任关系,使得网络空间中信任建立地位空前提升,把安 全功能作为一种服务成为技术发展的趋势,并且最终将发展为 网络空间信任服务基础设施。 参考文献: [1】国家中长期科学和技术发展规划纲要2006-2020[EB/OL]http://polifcs. people com cn/GB/1026/4089311.html,2006—02—09/2011-05—24 (责编张岩) 【2】Thomas Wu,Michael Malkin,Dan Boneh Building Intrusion Tolerant App1ications[C].In the 8th USENIX Security Symposium August,1999 23—24. 【3]V.Shoup Practical Threshold Signatures[C]In Eurocrypt’00,LNCS 1807,Springer—Veflag,2000,207—220 【4I ji—WU Jing,Peng Liu,Deng—guo Feng,ji Xang,Neng Gao.A Highly Attack Resilient Certiifcation Authority[C]2003 ACM Workshop on Survivable and Self-Regenerative Systems,2003.53—63. [5]CAS.Central Authentication Service project website[EB/OL].http:// www.jasig.org/cas,201 1—05—24 【6】Shibboleth website[EB/O L].http://shibboleth.internet2 edu [7】Cantor S,Kemp J,et al Security Assertion Markup Language(SAML) version 2.0,OASIS Standard,2005. [8】OpenID website[EB/OL].http://openid.net/ 【9】PRIME:Privacy and Identity Management for Europe[EB/OLJ https://www.prime—project.eu/. 【10】Rebekah Lepro.Cardea:Dynamic Access Control in Distributed Systems.NASA Technical Report NAS一03—020 November 2003. 3结束语 随着信息时代的变革,安全系统在信息系统中的地位逐 步增强,网络信任体系作为安全系统中的核心部分也一天比一 [1 1】Trusted Computing Group(TCG)website[EB/OL】http://www trustedcomputinggroup org/ 【12】The National Strategy for Trusted Identities in Cyberspace(NSTIC) website[EB/OL].http f f .nist.gov/nstic/. [13]Tru sted Cloud Initiative(TCI)web siteIEB/OL J.http s:// 天重要,特别是正在开启的云时代里,人与信息系统、传感设 备融为一体,各种数字身份实体在进行业务活动时都需要建 78 cloudsecuriyaltliance org/research/proje.cts/trusted—cloud—initiative.