面向網路虛擬化的網路層可信身份驗證機制研究

在現有網際網路架構下，網路中間設備無法在網路層對數據包源主機、用戶進行身份驗證，導致大量網路安全事故發生，且追溯定位極為困難。現有機制偏重於在目標主機、套用層、網路接入時進行身份驗證。本項目擬建立一種網路層可信身份驗證機制，中間節點可檢查數據包是否由可信的主機和用戶所傳送。在這種機制里，用可信平台模組TPM身份密鑰和eID來標識主機、用戶身份；源主機只需與目標主機在套用層執行基於簽名的身份驗證和MAC密鑰協商，基於該密鑰產生廣播同態MAC，作為身份證明信息，不用與每箇中間節點進行密鑰協商、為每箇中間節點生成一個MAC值；該機制支持IP分片，中間節點對所獲取的部分證明信息進行組合，基於源主機所給予的授權碼，即可完成身份認證。本項目擬基於SDN控制器和OpenFlow交換機實現中間節點網路層身份驗證，這些網路虛擬化技術將數據與控制相分離，易在現有網際網路架構上演進發展，給網路安全帶來了新思路。

在現有網際網路架構下，網路中間設備無法在網路層對數據包源主機、用戶進行身份驗證，導致大量網路安全事故發生，且追溯定位極為困難。現有機制偏重於在目標主機、套用層、網路接入時進行身份驗證。本項目試圖建立一種網路層可信身份驗證機制，中間節點可檢查數據包是否由可信的主機和用戶所傳送。本項目面向虛擬網路，在OpenVSwitch上開展工作。虛擬化網路主要基於伺服器及數據中心，本項目提出了一種基於BMC的伺服器可信啟動與信任傳遞方案、一種基於BMC的伺服器硬體可信性保護方法。在物理伺服器及其系統可信的基礎上，本項目提出了一種虛擬TPM動態信任擴展方法，以滿足雲計算、網路虛擬化等場景下虛擬機頻繁遷移的需求，讓每個虛擬機擁有自己專屬的TPM，且將對物理TPM的信任擴展到虛擬TPM上。有了虛擬TPM的支持後，本項目用虛擬TPM的身份密鑰來標識虛擬網路主機，提出了一種雲平台虛擬可信區域網路構建機制，基於虛擬TPM協商出MAC密鑰，用於在後續通信過程中的完整性保護和身份驗證，防止VLAN環境被惡意主機攻擊。本項目提出的機制能將虛擬化網路與物理網路相結合，易在現有網際網路架構上演進發展，給網路安全帶來了新思路。