站内搜索:
学会动态

学会新闻

您当前的位置:首页 > 学会动态 > 学会新闻

船舶电子信息系统可信网络连接要求

来源:中国指挥与控制学会发布时间:2019-12-23浏览次数:
目   次
前言 II
1 范围 1
2 规范性引用文件 1
3 术语 1
4 缩略语 1
5 一般要求 2
6 详细要求 5
 
 
前  言
本标准按照GB/T 1.1-2009《标准化工作导则 第1部分:标准的结构和编写》的规则起草。
本标准由中国船舶集团有限公司提出。
本标准由中国指挥与控制学会归口。
本标准起草单位:中国船舶重工集团公司第七一六研究所、北京工业大学、南京航空航天大学、中国船舶重工集团公司第七一〇研究所。
本标准主要起草人:张振华、孔祥营、凌云锋、曾玮妮、胡俊、王进宁、庄毅、宁振虎、刁子朋、黄蔚、乔塨哲、汪自旺、顾晶晶、陈杰、应杰、余玲玲。

 

船舶电子信息系统可信网络连接要求
1 范围
本标准规定了船舶电子信息系统可信网络连接的架构、架构中包含的组件及功能要求、可信网络连接流程要求、各实体之间的身份鉴别和完整性鉴别过程要求以及鉴别服务器群组的协同和选举要求。
本标准适用于船舶电子信息系统的可信网络连接设计。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 29828-2013  信息安全技术 可信计算规范 可信连接架构
3 术语
GB/T 29828-2013相关术语适用于本文件。
3.1  
可信平台控制模块 trusted platform control module
可信平台控制模块是一种集成在可信计算平台中,用于建立和保障信任源点的硬件核心模块,为可信计算提供完整性度量、安全存储、可信报告和密码服务等功能。
3.2  
可信计算平台 trusted computing platform
通过可信平台控制模块在计算系统中建立的支撑系统,用于实现可信计算功能的,对计算系统实施保护和管理。
3.3  
可信网络连接 trusted network connection
终端连接到受保护网络的过程,包括用户身份鉴别、平台身份鉴别和平台完整性评估过程。
4 缩略语
下列缩略语适用于本文件。
AC  访问控制器(Access Controller)
APS  鉴别策略服务者(Authentication Policy Server)
AS  鉴别服务器(Authentication Server)
ASG  鉴别服务器群组(Authentication Server Group)
AR  访问请求者(Access Requestor)
BIOS  基本输入输出系统(Basic Input Output System)
EPS  评估策略服务者(Evaluation Policy Server)
IF-APS  鉴别策略服务接口(Authentication Policy Service Interface)
IF-EPS  评估策略服务接口(Evaluation Policy Server Interface)
IF-TNT  可信网络传输接口(Trusted Network Transport Interface)
IMC  完整性度量收集者(Integrity Measurement Collector)
IMV  完整性度量校验者(Integrity Measurement Verifier)
NAC  网络访问控制者(Network Access Controller)
NAR  网络访问请求者(Network Access Requestor)
PCR  平台配置寄存器(Platform Configuration Register)
PIK  平台身份密钥(Platform Identity Key)
SML  度量存储日志(Storage Measurement Log)
TCA  可信连接架构(Trusted Connect Authentication)
TPA  可信平台鉴别模块(Trusted Platform Authentication)
5 一般要求
5.1 可信网络连接架构
可信网络连接架构参照GB/T 29828-2013设计,一般包含访问请求者(AR)、访问控制器(AC)和鉴别服务器群组(ASG)三类实体,每类实体中包含完整性度量层、可信平台评估层和网络访问控制层三个层次。图1为可信网络连接架构图。

图1 可信网络连接架构
5.2 实体
5.2.1 网络访问请求组件(NAR)
网络访问请求组件一般具有如下功能:
a) 向AC发起访问请求,与NAC和APS执行用户身份鉴别协议来实现与AC之间的用户身份鉴别;
b) 传送和接收用户身份鉴别协议和平台鉴别协议数据;
c) 向TPA发送平台鉴别请求,从TPA接收它所做出的访问决策,依据NAR所做出的访问决策以及从TPA接收到的访问决策执行访问控制。
5.2.2 网络访问控制组件(NAC)
网络访问控制组件一般具有如下功能:
a) 启动用户身份鉴别协议,与NAR和APS执行用户身份鉴别协议来实现与AR之间的用户身份鉴别;
b) 传送和接收用户身份鉴别协议和平台鉴别协议数据;
c) 向TPA发送平台鉴别请求,从TPA接收它所做出的访问决策,依据NAC所做出的访问决策以及从TPA接收到的访问决策执行访问控制。
5.2.3 鉴别策略服务组件(APS)
鉴别策略服务组件一般具有如下功能:
a) 作为可信第三方与NAR和NAC执行用户身份鉴别协议,协助AR和AC实现用户身份鉴别;
b) 传送和接收用户身份鉴别协议和平台鉴别协议数据。
5.2.4 可信平台鉴别组件(TPA)
可信平台鉴别组件一般具有如下功能:
a) 调用其上端的各个IMC,与另一类实体上的TPA和EPS执行一轮或多轮平台鉴别协议,实现AR和AC之间的双向平台鉴别;
b) 平台鉴别过程完成时,生成访问决策并发送给网络访问控制层。
5.2.5 可信评估策略服务组件(EPS)
可信评估策略服务组件一般具有如下功能:
a) 与其上端的各个IMV交互,并评估AR和AC的平台完整性;
b) 作为可信第三方与AR和AC的TPA执行平台鉴别协议,协助AR和AC实现平台鉴别。
5.2.6 完整性度量收集组件(IMC)
完整性度量收集组件一般具有如下功能:
a) 收集平台完整性度量值;
b) 返回完整性度量结果给可信平台鉴别组件。
5.2.7 完整性度量校验组件(IMV)
完整性度量校验组件一般具有如下功能:
a) 校验和评估所接收到的AR和AC的平台完整性度量值;
b) 返回完整性度量校验结果给可信评估策略服务组件。
5.3 可信网络连接流程
当AR需要接入AC和ASG所在的受保护网络时,遵循可信网络连接流程执行身份鉴别和平台完整性鉴别过程。在开始可信网络连接之前,执行可信网络连接的准备过程。针对船舶电子信息系统具备的确定性特点,可信网络连接的准备过程宜在AR、AC和AS上通过管理手段预先执行。
可信网络连接的准备过程执行完成后,方可执行可信网络连接流程。图2为可信网络连接流程示意图。

图2 可信网络连接流程示意图
可信网络连接流程如下:
a) 在建立可信网络连接之前,AR和AC分别加载它们上端的各个完整性度量信息采集模块,各个AS的评估策略服务模块分别加载它们上端的各个完整性度量信息校验模块;
b) AR向受保护网络发起网络访问请求;
c) AC收到网络访问请求后,与AR和ASG执行身份鉴别协议来实现与AR之间的双向身份鉴别,其中ASG充当可信第三方;
d) AC向AR发送平台鉴别请求,AR收到请求后,启动平台鉴别过程,调用TPA组件与其上的IMC组件进行交互,获取平台完整性信息后,将信息发送至ASG进行完整性度量校验和评估;
e) 各个AS的EPS组件调用其上的各个相应的IMV组件来校验和评估AR的平台完整性度量值,生成AR的平台完整性评估结果,并由主AS将其发送给AC;
f) AC依据ASG的平台完整性评估结果生成访问决策并发送给NAC组件执行,决定是否允许AR加入网络;
g) 若AR需要对AC进行平台鉴别,可向AC发送平台鉴别请求,AC收到请求后,执行与AR相同的平台鉴别过程,由ASG生成AC的平台完整性评估结果并发送给AR,AR依据ASG的平台完整性评估结果生成访问决策并发送给NAR组件执行,决定是否加入网络。
其中,流程a)、b)为AC对AR的身份鉴别过程,流程c)、d)为AC对AR的平台完整性鉴别过程。流程f)为AR对AC的身份鉴别过程和平台完整性鉴别过程。一次完整的可信连接过程,应该包含AC对AR的身份鉴别过程和平台完整性鉴别过程,以及AR对AC的身份鉴别过程和平台完整性鉴别过程。在AR信任AC的情况下,AR对AC的身份鉴别过程和平台完整性鉴别过程为可选步骤,用以满足船舶电子信息系统快速可信接入的需求。
6 详细要求
6.1 准备过程要求
6.1.1 AS数字证书导入与可信设备信息注册
可信设备采用可确保安全的方式导入AS的数字证书,并在AS上完成自身信息的注册。具体过程如下:
a) 采用可确保安全的方式将AS的数字证书导入可信设备;
b) 基于可信设备的PIK公钥以及可信设备平台信息导入AS,由AS生成该可信设备的PIK证书;
c) AS存储可信设备的信息,完成可信设备信息的注册;
d) 可信设备导入AS生成的PIK证书,作为身份证明证书使用。
6.1.2 签名和绑定密钥生成
签名密钥只用于对数据和信息进行签名,不可用于加密。绑定密钥只用于加密小规模数据,不可用于签名。签名密钥和绑定密钥生成流程在可信设备本地执行,在生成签名和绑定密钥的同时,还生成密钥的对应证明。签名/绑定密钥及其证明的生成流程如下:
a) 可信设备基于可信根功能生成签名/绑定密钥,并使用存储密钥来封装所生成的签名/绑定密钥私钥;
b) 可信设备可从可信根中导出由存储密钥封装的签名/绑定密钥私钥及其对应的公钥,以文件方式存放在密钥目录下;
c) 可信设备基于可信根功能生成签名/绑定密钥的可信证明,证明包含签名/绑定密钥公钥的摘要值以及密钥属性和用PIK私钥生成的数字签名信息;
d) 可信设备存储可信证明数据,建立可信证明和密钥之间的关联关系。
6.1.3 可信设备完整性基准值生成及注册
可信设备完整性基准值在确保生成环境安全的范本系统上进行采集和生成,生成完成后,采用确保安全的方式将其导入到AS上进行注册和统一管理。可信设备完整性基准值生成流程如下:
a) 启动范本系统,将启动过程中可度量对象(可包括BIOS,引导程序,操作系统,应用程序,配置文件等)的度量值分别进行计算,生成完整性度量基准值并按顺序写入相应的PCR中,同时,将每一步的度量操作、中间状态和度量结果保存至度量存储日志(SML)中;
b) 将范本系统中的基准PCR值和SML导出,并采用确保安全的方式将它们导入到AS中;
c) 在AS中建立完整性度量基准值信息数据库,根据从范本系统导出的信息为每个可信设备建立完整性度量基准值信息表,并将该信息表与在系统中注册的可信设备建立关联关系,完成完整性度量基准值在AS中的注册。
6.2 可信网络连接过程要求
6.2.1 AC对AR的身份鉴别过程
在一次可信网络连接过程中,网络访问控制层的NAR、NAC和APS执行身份鉴别过程来实现AC对AR的平台身份和用户身份鉴别,其中,APS在身份鉴别过程中充当可信第三方。AC对AR的身份鉴别过程示意图如图3所示。

图3 AC对AR的身份鉴别过程示意图
AC对AR的身份鉴别过程活动说明如下:
“1”:NAR向NAC发起网络访问请求,携带用自身签名密钥私钥签名、APS公钥加密的身份信息和平台ID。
“2”:NAC将NAR的请求包转发给APS。
“3”:APS使用自身私钥解密网络访问请求,获取AR的平台ID和身份信息,并查找与AR平台ID对应的签名密钥公钥。
“4”:APS通过AR的签名密钥公钥以及AR的网络访问请求信息的数字签名对获取的AR平台ID和身份信息进行完整性验证。
“5”:如验证通过,APS基于预设策略执行身份认证过程,验证AR身份的合法性;如不通过,则身份认证失败,结束接入过程。
“6”:身份认证通过后,APS向NAC返回认证通过包,并发送AR的签名密钥公钥和绑定密钥公钥。
“7”:NAC向NAR发送身份鉴别结果。
6.2.2 AR对AC的身份鉴别过程
在一次可信网络连接过程中,网络访问控制层的NAR和NAC执行身份鉴别过程来实现AR对AC的平台身份鉴别。AR对AC的身份鉴别过程示意图如图4所示。

图4 AR对AC的身份鉴别过程示意图
AR对AC的身份鉴别过程活动说明如下:
“1”:NAR向NAC发起平台身份鉴别请求。
“2”:NAC将AC的PIK证书发送给NAR。
“3”:NAR使用AS的公钥对AC的PIK证书进行验证。
“4”:验证通过后,NAR向NAC请求AC的签名密钥公钥和绑定密钥公钥。如不通过,则验证失败,结束接入过程。
“5”:NAC将自身的签名密钥公钥和绑定密钥公钥以及相应的密钥证明文件通过AR的绑定密钥公钥加密后发送给NAR。
“6”:NAR使用自身的绑定密钥私钥进行解密后,使用AC的PIK公钥对AC的签名密钥公钥和绑定密钥公钥进行验证。
6.2.3 AC对AR的平台完整性鉴别过程
在一次可信网络连接过程中,AR和AC的可信平台评估层的TPA和EPS执行平台鉴别过程来实现AC对AR的平台完整性鉴别,其中,EPS在平台完整性鉴别过程中充当可信第三方。AC对AR的平台完整性鉴别过程示意图如图5所示。

图5 AC对AR的平台完整性鉴别过程示意图
AC对AR的平台完整性鉴别过程活动说明如下:
“1”:AC的TPA向AR的TPA发起平台完整性鉴别请求。
“2”:AR的TPA获取其上各个IMC收集的完整性度量信息,生成平台的完整性报告,并使用自身的PIK私钥签名后发送给AC的TPA。
“3”:AC的TPA将AR的平台完整性报告发送给EPS。
“4”:EPS使用AR的PIK公钥对平台完整性报告进行验证。
“5”:验证通过后,EPS调用完整性评估流程,基于预设策略生成AR的平台完整性评估结果。如不通过,则验证失败,结束接入过程。
“6”:EPS采用自己的私钥对AR的完整性评估结果进行签名并发送给AC的TPA。
“7”:AC的TPA使用AS的公钥对EPS生成的平台完整性评估结果进行验证。
“8”:验证通过后,AC的TPA根据对AR的平台完整性评估结果,基于本地策略生成访问控制决策并发送给NAC执行,对AR进行相应的访问控制。如不通过,则验证失败,结束接入过程。
6.2.4 AR对AC的平台完整性鉴别过程
在一次可信网络连接过程中,AR和AC的可信平台评估层的TPA和EPS执行平台鉴别过程来实现AR对AC的平台完整性鉴别,其中,EPS在平台完整性鉴别过程中充当可信第三方。AR对AC的平台完整性鉴别过程示意图如图6所示。

图6 AR对AC的平台完整性鉴别过程示意图
AR对AC的平台完整性鉴别过程活动说明如下:
“1”:AR的TPA向AC的TPA发起平台完整性鉴别请求。
“2”:AC的TPA获取其上各个IMC收集的完整性信息,生成平台的完整性报告,并使用自身的PIK私钥签名后发送给AR的TPA。
“3”:AR的TPA将AC的平台完整性报告用自身的签名密钥私钥签名后发送给AC,AC将该报告转发给EPS。
“4”:EPS使用AR的签名密钥公钥和AC的PIK公钥对平台完整性报告进行验证。
“5”:验证通过后,EPS调用完整性评估流程,基于预设策略生成AC的平台完整性评估结果。如不通过,则验证失败,结束接入过程。
“6”:EPS采用自己的私钥对AC的完整性评估结果进行签名并发送给AC, AC将其转发给AR的TPA。
“7”:AR的TPA使用AS的公钥对EPS生成的平台完整性评估结果进行验证。
“8”:验证通过后,AR的TPA根据对AC的平台完整性评估结果,基于本地策略生成访问控制决策并发送给NAR执行,决定是否接入网络。如不通过,则验证失败,结束接入过程。
6.3 ASG协同过程要求
在可信网络连接过程中,多个AS通过协同策略保证鉴别策略服务和可信评估策略服务的高可用性,协同提供对网络中各实体的身份鉴别和完整性评估服务。
ASG协同过程具体要求如下:
a) ASG由不少于2个AS构成,各个AS之间通过网络进行互连;
b) 每个AS启动完成后默认开始监听其他AS发送的消息;
c) 若AS在三个周期内未收到当前主AS发送的ALIVE-MASTER消息,则执行流程d),开始主AS选举过程;否则将自身角色设置为从AS,不向外提供鉴别策略服务和可信评估策略服务; 
d) 若进入主AS选举过程,则AS周期性向外发送包含自身ID的ALIVE-SLAVE消息,并接收其他AS发送的ALIVE-SLAVE消息;
e) 若在三个周期内收到其他AS发送的ALIVE-SLAVE消息,则执行流程f);否则执行流程g);
f) 从接收到的ALIVE-SLAVE消息中提取消息发送方ID并与自身ID比较,若自身ID较小,则重置定时器并继续发送包含自身ID的ALIVE-SLAVE消息,并执行流程e);否则,停止向外发送ALIVE-SLAVE消息,直到三个周期内未收到ALIVE-MASTER消息或比自己ID小的ALIVE-SLAVE消息时方恢复发送包含自身ID的ALIVE-SLAVE消息,并执行流程d),重新开始主AS选举过程;
g) 将自身角色设为主AS,开始向网络提供鉴别策略服务和可信评估策略服务,并向外周期性发送ALIVE-MASTER消息。