基于TrustZone的分布式可信接入方案研究与实现

◆赵楠楠 肖卡飞

基于TrustZone的分布式可信接入方案研究与实现

◆赵楠楠1肖卡飞2

（1.上海市国有资产信息中心 上海 200001；2.百度（中国）有限公司 上海 200120）

随着B/S模式访问盛行，其访问的安全性受到越来越多的关注。当前几乎全部单位允许自己的员工通过终端访问应用系统，以满足通信需求。显然，这种访问并未在安全认证环境下进行。此时，做好终端认证、用户认证、接入认证及应用系统认证尤为重要。所以我们需要一种可信接入方案，以保护通信和敏感信息。本文采用VUE及KONG LUA架构，基于零信任核心理念和原则提出一种分布式可信接入方案。从应用访问、接口调用两个维度，保证终端可信、身份可信、访问可信及动态控制，解决终端可信问题、身份可信问题、行为可控问题。并采用分布式设计，解决并发连接的问题，提升用户体验。

零信任；可信接入；分布式

典型的企业网络基础设施变得日益复杂。一个企业可以运行多个内部网络及应用云服务，这种复杂性超越了网络边界安全的传统方法，因为企业网络边界并不是一个单一的存在，且难以识别，基于边界的网络安全也被证明是不够的，因为一旦攻击者突破边界，进一步横向移动便会畅通无阻[1]。

针对复杂的企业，形成了一种新型网络安全模式，称之为“零信任”（TrustZone），零信任方法主要侧重于数据保护，但也可以且应该包括所有企业资产（例如：设备、基础架构组件、应用、虚拟和云组件等等）和主体（从资源请求信息的终端用户、应用以及其他非人类实体）[2]。在零信任安全模型中，企业必须不能隐形信任，需要制定防护措施通常包括尽可能减少对资源（数据、计算资源及应用服务等）的访问，只允许那些确定为需要访问的用户和资产访问，并对每个访问请求的身份和安全态势进行持续认证和授权。认证和授权成功的接入称之为可信接入。

1 传统接入方案及痛点

1.1 传统接入方案

传统的接入方案一般有C/S和B/S两种。C/S为客户机服务器模式，此模式比较旧，且访问模式比较简单，此处不予赘述。B/S为浏览器服务器模式，这种模式的主要事务逻辑在服务器端实现[3]。浏览器同数据库进行数据交互是通过Web Server实现的，访问机制如图1所示。

图1 传统接入方案

具体工作流程为[4]：

首先，客户端发送请求。然后，服务器端处理请求。接下来，服务器端发送响应。最后，浏览器解释执行HTML文件，呈现用户界面。

1.2 痛点

传统接入方案的通讯安全性仅通过传统安全设备防火墙等进行边界保护，其保障力度是远远不够的[5]。云大物移智等新技术应用，网络暴露面增加，内外部威胁形势愈发严峻，传统接入方案痛点主要体现在以下3个方面：

（1）身份可信问题。业务人员身份管理、资源管控、权限管控问题未得到解决。

（2）终端可信问题。终端环境安全状态感知缺失，无法确保终端安全。

（3）访问行为不可控。未做到对异常行为的检测及动态控制。

2 分布式可信接入方案研究与实现

2.1 分布式可信接入方案研究

基于传统接入方案痛点，提出一种基于TrustZone的分布式可信接入方案，此方案致力于打造访问主体和客体之间构建以身份为基石的动态可信访问控制体系[6]。核心思想如下：

（1）将身份作为访问控制的基础。零信任架构的基础是对所有参与对象进行身份验证。没有参与对象是天生可信的，都需要首先进行身份验证。

（2）动态授权实时最小权限。在零信任架构中，针对所有业务场景、所有资源的每一个访问请求进行强制身份鉴别和授权判定，按需分配资源，仅授予执行任务所需的最小权限，限制资源的可见性和可访问性。

（3）对每一访问请求构建安全通道，实施访问控制。零信任架构确保访问主体对资源的所有业务访问都以安全的方式进行，对所有访问请求和通信提供机密性、完整性保护。

（4）基于实时多源数据开展持续评估，实现动态访问控制。实时多源数据包括访问主体身份、计算环境可信度、权限策略、访问行为等，用于分析和计算数据种类、数据可靠性有效提升、持续评估准确性，同时兼顾数据安全性与可用性之间平衡。

方案架构如图2所示。

图2 方案架构图

传统接入方案访问模式是用户使用终端浏览器通过URL访问应用。前面已经论述过，设备安全、用户安全、应用安全、系统安全均未得到安全认证。这里提出分布式可信接入方案用户访问流如下：

用户通过终端的浏览器访问应用时，在访问请求发出前，首先由环境感知系统判断设备是否安全，安全则继续访问，不安全则拒绝。通过设备安全性检测后用户带着终端唯一ID（记为terTicket）将请求传给接入代理，接入代理将请求转给认证中心验证用户及设备身份，认证中心根据可信控制中心策略判断用户身份及终端身份是否可信，并将结果返回给可信接入代理，代理接收到结果后，若返回结果可信且用户活跃则直接返回给用户应用界面，若需要重新认证则跳转至单点登录界面，待用户认证成功后返回给用户应用界面。

因用户访问均需通过可信接入代理，代理可能压力过大，解决方案为在接入代理前部署负载均衡服务器，配置转发策略。实现分布式转发功能。

考虑到实际应用场景中，加载数据的需求量较大的情况，通过redis分布式缓存集群来实现提速，提升用户体验。

控制中心主要进行策略控制，共有三种策略：路由策略、流量策略、熔断策略。路由策略指用户访问应用时使用何种代理路由。流量策略用来控制后台加载流量，用户可根据需求设置希望最大并发连接数、最大流量等。熔断策略使用场景为，若用户通过单点登录访问多个系统，其中一个系统数据量较大，加载时间超过用户较优体验，则可设置加载最长时间，若一定时间（如30s）未返回结果则拒绝等待，重新建立连接进行访问。

2.2 分布式可信安全接入方案实现

本方案采用分布式集群部署，前端采用JS语言，VUE架构。后端采用LUA语言，KONG LUA架构。

（1）单点登录的实现

用户访问应用系统时需要身份验证，首先将请求发送给可信接入代理，可信接入代理将请求转发给认证中心，需要认证情况下，返回给用户单点登录页面，用户输入用户名密码后，通过认证后方可访问系统。正是因为有了此验证过程，才保证了接入的安全性和可靠性，界面如图3所示。

图3 单点登录页面实现

（2）分布式负载均衡集群的实现

因用户访问均需通过可信接入代理，代理可能压力过大，解决方案为在接入代理前部署负载均衡服务器，配置转发策略。实现分布式转发功能，分布式负载均衡策略配置如图4所示。

图4 负载均衡策略配置

（3）权限控制管理功能实现

零信任的核心思想为：从不信任，总是验证。为更好地践行零信任理念，方案采用对用户全隐藏URL访问应用。访问前，用户需在可信控制中心配置访问策略，以决定后续访问应用的访问路径。权限控制管理功能实现如图5所示。

图5 权限控制管理功能图

3 结论

本文基于零信任，采用VUE 及 KONG LUA架构，提出了一种分布式可信接入方案。该方案基于零信任核心理念“从不信任，总是验证”，从应用访问、接口调用两个维度保证终端可信、身份可信、访问可信及动态控制[7]，解决了终端可信问题、身份可信问题、行为可控问题。分布式设计，解决了并发连接问题[8]。实验结果表明，本文提出的分布式可信接入方案能够有效实现用户终端在接入应用系统过程中的安全认证，保护好用户访问全过程安全。方案具有较好可扩展性，其整体运行效率较高，终端并发用户数能力在可接受范围内。

至此，本方案已经达到设计要求并且模块功能已实现。当然，设计方面还有一些不足之处，如本方案未给出一套可行的日志审计方案，界面美观方面还有提升空间等。

[1]Lin-ge Wang，Trusted Connect Technology of Bioinformatics Authentication Cloud Platform Based on Point Set Topology Transformation Theory[c].ICAICA.2019.

[2]HUSSEIN D，BERTIN E，FREY V．A community-driven access control approach in distributed IoT environments[J]．IEEE Communications Magazine，2017.

[3]CRUZPIRIS L，RIVERA D，MARSAMAESTRE I，et al．Access control mechanism for IoT environments based on modelling communication procedures as resources[J]．Sensors，2018．

[4]Zhao B，Yan F，Zhang LQ，Wang J. Build trusted cloud computing environment. Communications of CCF（China Computer Federation），2012.

[5]张英骏，冯登国，秦宇，等.基于TrustZone的强安全需求环境下可信代码执行方案[J].计算机研究与发展，2015.

[6]林钰趿.专用网络中终端安全接入系统的设计与实践[D].成都：电子科技大学，2014.

[7]国家密码管理局. GM/T 0011-2012.可信计算.可信密码支撑平台功能与接口规范[S]. 2012.

[8]王澎．基于可信计算的终端安全防护系统[J]．信息安全与通信保密，2010.