一種增強安全性的可信網絡連接系統的制作方法

專利名稱：一種增強安全性的可信網絡連接系統的制作方法
技術領域：
本發明屬于網絡安全技術領域，具體渉及一種增強安全性的可信網絡連接系統。
技術背景隨著信息化的發展，病毒、蠕蟲等惡意軟件的問題異常突出。目前已經出現了鵬三萬五千種的惡意軟件，每特瞎^il四千萬的計^m被感染。要遏制住這類攻擊，不僅需要解決安全的傳輸和i^輸入時的檢查，還要從源頭即從每一臺連接到網絡的終端開始防御。而傳統的安全防御技術已經無法防御種類繁多的惡意攻擊。國際可信計算組織TCG針對這個問題，專門制定了一個基于可信計算技術的網絡 連接規范可信網絡連接TNC，簡記為TCG-TNC，其包括了開放的終端完整性架構 和一套確保安全互操作的標準。這辯示準可以在用戶需要時《斜戶一個網絡，且由用戶自 定義傲戶至U什么禾鍍。TCG-INC本質上就是要從終端的完整性開始^^接。首先， 要創建一KE可信網絡內部系統運行狀況的策略。只有遵守網絡設定策略的終端才斷方 問網絡，網絡將隔離和定^l陛不遵守策略的設備。由于《頓了可信平臺模塊，所以還 可以阻擋root kits的攻擊。root kits是一種攻擊腳本、經修改的系統程序，或者)^X文擊 腳本和工具，用于在一個目標系統中輞嫌取系統的最高控制權限。現有TCG-TKC架構如圖1所示，具有訪問請求者AR、策略執行點PEP、策略決 策點PDP三l^輯實體實體，可以分布在網絡的任意^B。該TCG-TNC架構在縱向上 可分為網絡訪問層、完整性ifi古層、完整性度4il三個層次。網絡訪問層具有網絡訪問 請求者NAR、策B^l行者PEP和網絡訪問授權者NAA三個組件，以及網絡授權#^> 議接口 IF-T和策略實施接口 IF-PEP。網絡訪問層用于支J射專統的網絡連接技術。， 性評估層負責i啊古所有請求訪問網絡的實體的完整性。該層有兩個重要的接口完整性 度量收集接口 IF-MC和完整十娘量校驗接口 EF-IMV。此外，在TNC客戶端和TNC服 務端之間還具有一個完整性ifj古接口 IF-TNCCS。完整IW量層有完整性收集者MC和 完整性校驗者MV兩個組件，負責收集和校斷青求訪問者的魏性相劉言息。現有TCG-TNC架構一次完整的可信網絡連接的信息〗銷俞過程是在建立網絡連接 之前，TNC客戶端TNCC需要準備好所需要的平臺完整性信息，交給完整性收集者IMC。在一個擁有可信平臺模塊的終端里面，這也就是將網絡策略所需的平臺信息經散列后存入各個平臺配置寄存器，INC月艮務端TNCS需要預先制定平臺完整性的斷正要求，并交 給完整性校驗者MV。具體過程是①.網絡訪問請求者NAR向策1 1##^^訪問請 求。②.策E^/[話將訪問請求描述縦給網絡訪問授權者。③網絡訪問授權者收至啊絡 訪問請求者NAR的訪問請求描述后，與網絡訪問請求者NAR執行用戶鑒別協議。當用 戶鑒別成功時，網絡訪問授權者將訪問請求和用戶鑒別成功的信息發往TNC服務端 TNCS。
.TNC月艮務端TNCS收至啊絡訪問授權者發送的訪問請求和用戶鑒另喊功的信 息后，與TNC客戶端TKCC開始執行雙向平臺憑證認證，比如^&i正平臺的身份i正明密 鑰AIK。 (D.當平臺憑證認證成功時，TNC客戶端INCC告訴完整性收集者MC開始了 一個新的網絡連接且需要進行一個完整性握手協議。完整性收集者IMC艦完整隨量 收集接口 IF-MC返回所需平臺完整性信息。TNC月艮務端TNCS將這，臺完整性信息 M完整'腿量校驗接口正-MV交給完整性校驗者磨。⑥在完整性握手協i^S程中， TNC客戶端TNCC與TNC月艮務端TNCS要交換一次或多^f^，直到TNC月艮務端TNCS 滿意為止。⑦.當TNC月艮務端TNCS完成了對TNC客戶端TNCC的完整性握手協議， 它將發送一個推薦信給網絡訪問授權者，要求允許訪問。如販有另夕卜的安全考慮，此 時策略決策點仍舊可以不允許訪問請求者AR的訪問。⑧.網絡訪問授權者將訪問決定傳 遞給策H^^話，策B^丸行者最鄉斜劃說個決定，來控制訪問請求者AR的訪問。目前，尚無成熟的TCG-TNC架構產品i4A市場。TCG-TNC架構的一些重要技術 還處于研敬規范階段，其主要還存在如下缺陷1. 可擴展性差。由于在策IB^l行點和策略決策點之間存在預定義的安^ffi道，而策 略決策點可能管理著大量的策B^l行點，這將迫使它配置大量的安全鵬，造成管理的 缺性，@此，可擴展性差。2. 密鑰助滴過程，。因為要對網絡訪問層之上的 進行*保護，所以需要在訪問請求者AR和策略決策點之間粒安^Iil，即在它們之間進行^i舌密鑰協商;但是， 訪問請求者AR和策ffl^丸行點之間也需要進行l^保護，從而需要在訪問請求者AR和策 斷丸行點之間再次進行^i舌密鑰協商，使密鑰協商過程 化。3. 安全性相對較低。訪問請求者AR和策略決策點協商出來的主密鑰由策略決策點傳 遞給策輸行點。密鑰在網絡上傳遞，弓l入了新的安全攻擊點，使安全性斷氐。ltW卜， 兩次^i舌密鑰協商4頓了相同的主密鑰，也^ ^可信網絡連接架構的安全性陶氐。4. 訪問請求者AR可育玩法^i正策略決策點的AIK證書有效性。在平臺憑證認iBl程 中，訪問請求者AR和策略決策點4頓AIK私鑰及證書進行雙向平臺憑證認證，兩端都需 要對AIK證書進行有效性驗證。若策略決策點是訪問請求者AR的上網服^f共者，訪問 請求者AR在可信網絡連接之前不慰方問網絡，也即無法飽碟略決策點的AIK證書的有 效性，所以是不安全的。5. 平臺完整性iff古是不X搏的。^tcg-tnc架構中，策略決策點對訪問請求者AR 進行平臺完整性評估，但訪問請求者ARX寸策略決策點不進行平臺完整性評估。如果策略 決策點的平臺不可信，那么訪問請求者ARi^接到不可信的設備上是不安全的。而贈可 〈t^Ad hoc網絡中是必須的。發明內容本發明的目的在于樹共一種增強安全性的可信網絡連接系統，其解決了背景技術中 安全性相對較低、訪問請求者AR可能無法魁正AIK證書有效性和平臺完整性M古不對 等的技術問題。本發明的技術實現方案如下一種增強安全性的可信網絡連接系統，包掛方問請求者AR和策斷丸行點PEP，其 特征在于，它還包括訪問授權者AA和策略管理器PM;所述的訪問請求者AR與策略 執行點PEP以認證協議方式網絡連通，所述的訪問i青求者AR與訪問授權者AAilil網鄉^f權ftirt辦議接口 if-t及完整性ifl古接口 if-tnccs網絡^ii，戶;M的訪問請求者AR與訪問授權者AA均具有完整性度量接口正-M，所述的策H^l行點PEP與訪問授權 者AA fflil策略實施接口 IF-PEP網絡皿，所述的訪問授權者AA與策略管理器PM通 過用戶鑒別授權接口 EF-UAA及平臺Wftg權接口 IF-PEA網絡,；所述的網纟^f權 傳車tt辦議接口 IF-T是實現訪問請求者AR與訪問授權者AA之間的雙向用戶鑒別和密鑰 協商、以及實現訪問請求者AR與訪問授權者AA相互訪問控制的協議接口 ，戶腿的完 整性i刊古接口 F-TNOCS^Mil策略管理器PM-^i正訪問i青求者AR及訪問授權者AA的 AIK證書有效性、以M31策略管理器PM校^i方問請求者AR及訪問授權者AA的平 臺完整tt實現訪問請求者AR與訪問授權者AA之間的平臺完整性評估的協議接口， 所述的完整fffl量接口正-M是收集和校驗訪問請求者AR和訪問授權者AA的平臺完 整性相劉言息的幼、議接口，戶脫的策略實施接口 IF-PEP是拋，方問授權者AA的決策的 協議接口，所述的用戶鑒別授權接口 IF-UAA是實現訪問請求者AR與訪問授權者AA之間的雙向用戶鑒別和密鑰協商、以及實現訪問請求者AR與訪問授權者AA相互訪問 控帝啲協議接口，戶滿的平臺評估授權接口 IF-PEA是實現訪問請求者AR與訪問授權 者AA之間的平臺完整性ifi古、實fim略管理器PM ^i正訪問請求者AR及訪問授權者 AA的AIK證書有效性、以及實現策略管理器PM校^i方問請求者AR及訪問授權者AA 的平臺完整性的協i^接口。Jl^訪問i青求者AR包括網絡訪問請求者NAR、 TNC客戶端TNCC及訪問i青求者 AR的完整性收集者Md禾口完整性校驗者IMVi，戶皿的網絡訪問請求者NAR與TNC 客戶端TNCC以數據承載方式 ，所述的TNC客戶端TNCC與訪問請求者AR的完 整性收集者IMG M完整性度量收集接口 IF-IMC相連通，所述的TNC客戶端TNCC 與訪問請求者AR的完整性校驗者IMVi ffl31完整tffi量校驗接口 IF-MV相M;戶員 的策H^l行點PEP包括執fiH方問授權者AA的決策的策B^l^豬PE;戶脫的訪問授權 者AA包括網絡訪問請求者NAR、 TNC月艮務端TNCS及訪問授權者AA的完整性校驗 者MV2和完整性收集者MC2，戶皿的網絡訪問請求者NAR與INC月艮務端TNCS以 婁娥承載方式M，戶/M的TNC月艮務端TNCS與訪問授權者AA的完整性收集者MC2 M31完整性度量收集接口正-IMC相 ，戶脫的TNC月艮務端TNCS與訪問授權者AA 的完整性校驗者MV2 M完整性度量校驗接口 IF-MV相 ;戶，的策略管理器PM 包括用戶鑒別服務單元UASU及平臺評估服務單元PESU,戶腐的用戶鑒別服務單元 UASU與平臺iff刮艮務單元PESU以翻7承載方式M;戶脫的網絡訪問請求者NAR 與策B^l行者PE以認證協議方式魏，戶腿的策Bm/f話PE與網絡訪問授權者NAA M策略實施接口 IF-PEP連通，所述的網絡訪問i青求者NAR與訪問授權者NAA Mil 網絡授權傳trt辦議接口正-T M，戶，的網絡訪問授權者NAA與用戶鑒別服務單元 UASU Mil用戶鑒別授權接口 IF-UAA 戶脫的TNC客戶端INCC與TNC月艮務端 TNCS M完整性i啊古接口正-TNCCS ，戶腿的TNC月艮務端TNCS與平臺WJ古服 務單元PESU Mil平臺iff古授權接口 IF-PEA魏；戶腿訪問請求者AR的完整性收集 者MdiM完整'ffit量接口 IF-M與訪問授權者AA的完整性校l^t MV2^1，所述 訪問請求者AR的完整性校驗者MV, iffii完整性度量接口 IF-M與訪問授權者AA的完 整性收集者IMC2翻。，訪問請求者AR的完整性收集者Md是收集TNC客戶端TNCC預先準備的平 臺完整性信息的組件，戶;M訪問請求者AR的完整性校M MVi是校驗TNC服務端TNCS發送的訪問授權者AA的平臺完整性信息的組件，所述訪問授權者AA的完整性 收集者MC2是收集INC服務端TNCS預先準備的平臺完整性信息的組件，所述訪問授 權者AA的完整性校驗者MV2是校驗TNC客戶端TNCC發送的訪問請求者AR的平臺 完整性信息的組件。i^l訪問請求者AR包括網絡訪問請求者NAR、 TNC客戶端TNCC和訪問請求者 AR的完整性收集者MQ，所悉的網絡訪問請求者NAR與TNC客戶端TNCC以 承載方式 ，所述的TNC客戶端TNCC與訪問請求者AR的完整性收集者Md Mil 完整性度量收集接口正-IMC相連通；所述的策B&^行點PEP包括執行訪問授權者AA 的決策的策B^丸行者PE;戶欣的訪問授權者AA包括網絡訪問請求者NAR、 TNC月艮務 端TNCS及訪問授權者AA的完整性收集者MC2，戶，的網絡訪問請求者NAR與TNC 月艮務端TNCS以 承載方式 ，戶腿的INC月艮務端TNCS與訪問授權者AA的完 整性收集者MC2M完對4it量收集接口正-MC相M;所述的策略管理器PM包括 用戶鑒別服務單元UASU、平臺刑刮艮務單元PESU及完整性校驗者IMV，戶腿的用戶 鑒別服務單元UASU與平臺刑刮艮務單元PESU以繊承載方式M，戶腿的平臺i啊古 月艮務單元PESU與完整性校驗者雨ffiil完整'腿量校驗接口 IF-雨相魏；戶脫的 網絡訪問請求者NAR與策B^丸行者PE以認證協議方式魏，戶服的策fflm行者PE與 網絡訪問授權者NAA ffil策略實施接口 IF-PEP連通，阮述的網絡訪問請求者NAR與 訪問授權者NAA衝i網^g權傳 tt辦議接口 IF-T ia，呢悉的網絡訪問授權者NAA 與用戶鑒別服務單元UASU通過用戶鑒別授權接口 EF-UAA M;戶，的TNC客戶端 TNCC與INC月艮務端TNCS通過識性刑據口 IF-TNCCS魏，戶腿的INC月艮務端 TNCS與平臺評估服務單元PESU艦平臺ifj古授權接口 IF-PEA翻;戶;f^訪問請求者 AR的完整性收集者Md ilii完整〖ffl量接口 IF-M與策略管理器PM的完整性校M MV ，戶jf^訪問授權者AA的完整性收集者MC2M31完整個ffl量接口 IF-M與策略 管理器PM的完整性校驗者MV 。上述訪問請求者AR的完整性收集者Md是收集TNC客戶端TNCC預先準備的平 臺完整性信息的組件，戶艦的訪問授權者AA的完整性收集者MC2是收集TNC月艮務端 TNCS預先準備的平臺完整性信息的組件，所述策略管理器PM的完整性校驗者MV是 接收TNC客戶端TNCC與TNC月艮務端TNCS預先制定的平臺完整性衞正要求、并對訪 問請求者AR和訪問授權者AA進行平臺完整性校驗的組件。，訪問請求者AR和訪問授豐又者AA均是具有可信平臺模塊的邏輯實體。本發明具有如下tt;點1. 增強了可信網絡連接架構的安全性，簡化了密鑰管理。在網絡訪問層采用了基于三^t^鑒別的訪問控制方式，增強了可信網絡連微構 的安全性，簡化了i魏構的密鑰管理。2. 可增強可信網絡連接架構的安全性，簡化密鑰管 完整性校驗機制。平臺完整性評估可根據實際瞎皿用實現方式。第一種是由策略管理器實現訪問請求者和訪問授權者的AIK證書的集中鑒別，而由訪問請求者和訪問授權者在本地實IJM方平臺完整性的校驗，這種方式適用于訪問請求者和訪問授權者者阿訪問存儲有M組 件的標準完整( 量值的類 庫，可增強可信網絡連接架構的安全性，簡化可信網絡連接架構的密鑰管理。第二種是訪問請求者和訪問授權者的AIK證書的鑒別和平臺完整性 的校驗都由策略管理器完成，其簡化了可信網絡連 魏構的密鑰管理和完整性校驗機制, ma—步地增強可信網絡連接架構的安全性，而且可擴展可信網絡連接的適用范圍。3. 可提高旨可信網絡連接架構的^:性。不但在網絡訪問層實現了訪問請求者和訪問授權者的雙向用戶鑒別，而且在，性評估層也實現了訪問請求者和訪問授權者的雙向平臺完整性評估，因ITPT提高旨可信 網絡連接架構的安全性。4. 在網絡訪問層和完整性ifj古層都采用了三^t等鑒別協議，也就是基于第三方的 雙向鑒別協議，進一步增強了可信網絡連接架構的安全性。


圖1為現有TCG-TNC基本架構的示意圖。 圖2為本發明TNC基本架構的示意圖。圖3為本發明第一種平臺完整性評估方JW應的一次完整的信息傳輸過程示意圖。 圖4為本發明第二種平臺完整性荊古方煩應的一次完整的信I傳輸過程示意圖。 附圖符號說明如下PDP:策略決策點；AR:訪問請求者；PEP:策H^/[亍點；AA:訪問授權者；PM: 策略管理器；MC1:訪問請求者AR的完整性收集者；MV1:訪問請求者AR的完整性 校驗者；MV2:訪問授權者AA的完整性校驗者；MC2:訪問授權者AA的完整性收 集者；MV:策略管理器PM的完整性校驗者；TNCC: TNC客戶端；1NCS: TNC服務端；PESU:平臺i啊刮艮務單元；NAR:網絡訪問請求者；PE:策1 ^豬；NAA: 網絡訪問授權者；UASU:用戶鑒別服務單元；IF-T:網^嫩權傳f繊、議接口，是網絡 訪問請求者NAR與策B^^行者PE之間的協議接口； IF-PEP:策略實施接口，是策1 1行者PE與網絡訪問授權者NAA之間的協議接口； IF-UAA:用戶鑒別授權接口，是網 絡訪問授權者NAA與用戶鑒別服務單元UASU之間的協議接口； IF-TNCCS:完整性 評估接口，是INC客戶端TNCC與TNC月艮務端TNCS之間的協議接口； IF-PEA:平 臺評估授權接口 ，是TNC月艮務端TNCS與平臺ifj古服務單元PESU的協議接口; IF-MC: 完整性度量收集接口，是TNC客戶端TNCC與訪問請求者AR的完整性收集者Md 之間的協議接口 ，也是TNC月艮務端INCS與訪問授權者AA的完整性收集者MC2之間 的協議接口； IF-IMV:完整f被量校驗接口，是TNC客戶端TNCC與訪問i青求者AR 的完整性校驗者MVi之間的協議接口，是TNC月艮務端TNCS與訪問授權者AA的整性 校驗者MV2之間的助、議接口，也是平臺評估服務單元PESU與策略管理器PM的完整 性校驗者MV之間的幼、議接口； IF-M:完整性度量接口，是訪問請求者AR的完整性 收集者Md與訪問授權者AA的完整性校驗者MV2之間的協議接口；是訪問請求者 AR的完整性校驗者MV,與訪問授權者AA的完整性收集者MC2之間的協議接口；是 訪問授權者AA的完整性收集者MC2與策略管理器PM的完整性校驗者MV之間的協 議接口；也是訪問請求者AR的完整性收集者Md與策略管理器PM的完整性校M MV之間的協議接口。 具體實駄式由于現有的各種網絡大部分采用TCG-TNC的架構部署，尤其是有線網絡，所以， 本發明是在TCG-TNC架構上建立的一種增強安全性的可信網絡連接架構。參見圖2，本發明主要由訪問請求者AR、策ffl^^行點PEP、訪問授權者AA和策略 管理器PM四個邏輯實體構成，其可以分布在網絡的任意j體。訪問請求者AR又稱為 請求者、用戶站等，策略管理器PM又稱為鑒另鵬務器、可信服務器、后臺服務器等。 訪問請求者AR與策K^行點PEP以認證協議方式網絡連通，策ffl^丸行點PEP與訪問授 權者AA Mil策略實施接口 IF-PEP網絡超通，訪問請求者AR與訪問授權者AA M網 鄉娥權^irt辦議接口 IF-T及完整性評估接口 IF-TNCCS網絡連通，訪問請求者AR和訪 問授權者AA都具有完整M量接口 IF-M，訪問授權者AA與策略管理器PM M用戶 鑒別授權接口正-UAA和平臺if^S權接口 IF-PEA網絡連通。本發明實施例1中，訪問請求者AR主要由網絡訪問請求者NAR、 TNC客戶端 TNCC、訪問請求者AR的完整性收集者Md和訪問請求者AR的完整性校M MV, 構成。網絡訪問請求者NAR與TKC客戶端TNCC以m^承載方式連通，用于TNC客 戶端INCC轉發消息。TNC客戶端INCC與訪問請求者AR的完整性收集者Md艦 完整t被量收集接口 IF-IMC相連通，而與訪問請求者AR的完整性校驗者IM^ Mil完 整性度量校驗接口正-IMV相連通，以實現訪問請求者AR的完整性收集者Md與訪問 授權者AA的完整性^^驗者IMV2以及訪問請求者AR的完整性校驗者IMV,與訪問授權 者AA的完整性收集者MC2的通信。策B^l行點PEP主要由策ffl^丸行者PE構成，負責執^i方問授權者的決策。 訪問授權者AA主要由網絡訪問請求者NAR、 TNC月艮務端TNCS、訪問授權者AA 的完整性校驗者MV2和訪問授權者AA的完整性收集者MC2構成。網絡訪問請求者 NAR與TNC服務端TNCS 承載方式 ，用于INC服務端TNCS轉發消息。TNC 服務端TNCS與訪問授權者AA的完整性收集者MC2M31完整'ffit量收集接口 IF-MC 相3iil，而與訪問授權者AA的完整性校驗者MV2iffil完整ffit量校驗接口 IF-MV相 M，以實現訪問授權者AA的完整性校驗者MV2與訪問請求者AR的完整性收集者 MC,以及訪問授禾又者AA的完整性收集者MC2與訪問請求者AR的完整性校驗者IM^ 的通信。策略管理器PM主要由用戶鑒別服務單元UASU和平臺iff刮艮務單元PESU構成。 用戶鑒別服務單元UASU與平臺評估服務單元PESU以 承載方式連通，用于平臺評 估服務單元PESU轉發消息。本發明實施例2中，訪問請求者AR主要由網絡訪問i青求者NAR、TNC客戶端TNCC 和訪問請求者AR的完整性收集者Md構成。網絡訪問請求者NAR與TNC客戶端 TNCC以 承載方式^1，用于TNC客戶端TNCC轉發消息。TNC客戶端TNCC與 訪問請求者AR的完整性收集者Md Mil完整性度量收集接口 IF-MC相連通，以實現 訪問請求者AR的完整性收集者Md與策略管理器PM的完整性校驗者MV的通信。策斷丸行點PEP主要由策fflm/[話PE構成，負責拋？i方問授權者的決策。訪問授權者AA主要由網絡訪問請求者NAR、TNC月艮務端TNCS和訪問授權者AA 的完整性收集者MC2構成。網絡訪問請求者NAR與INC月艮務端INCS 承載方式 魏，用于TNC月艮務端TNCS轉發消息。INC月艮務端TNCS與訪問授權者AA的完整性收集者MC2iM:完整性度量收集接口 IF-MC相連通，以實現訪問授權者AA的， 性收集者MC2與策略管理器PM的完整性校驗者MV的通信。策略管理器PM主要由用戶鑒別服務單元UASU、平臺評估服務單元PESU及完整 性校儲歸構成。用戶鑒別服務單元UASU與平臺評估服務單元PESU以娜承載 方式 ，用于平臺刑刮艮務單元PESU轉發消息。平臺i啊刮艮務單元PESU與魏性 校驗者MV 3!31完整性度量校驗接口 IF-MV相M，以實現完整性校M MV與訪 問請求者AR的完整性收集者IMd及訪問授權者AA的完整性收集者MC2的通信。本發明的網絡訪問請求者NAR、策輸t話PE、網絡訪問授權者NAA和用戶鑒 另鵬務單元UASU四個組件構成網絡訪問層。網絡訪問請求者NAR與網絡訪問授權者 NAA iKl網絡授權4銷lrt辦議接口 IF-T連通，策艦行者PE與網絡訪問授權者NAA通 過策略實施接口正-PEP連通，網絡訪問授權者NAA與用戶鑒別月艮務單元UASU JM:用 戶鑒別授權接口F-UAA魏。在網絡訪問層，策(Wl行點PEP與訪問授權者AA之間 預先te有一^^ilit。網絡訪問請求者NAR、網絡訪問授權者NAA與用戶鑒別月艮 務單元UASU艦策B^l行者PE執行三湖等鑒別協議，以實現訪問請求者AR和訪 問授權者AA的雙向用戶鑒別及密鑰協商。鑒別過程生成的主密鑰由網絡訪問授權者 NAA M安全通道傳送給策艦行者PE。策ffl^丸行者PE利用主密鑰與訪問請求者AR 進行密鑰幼、商，以保護策ffl^l行點PEP與訪問請求者AR之間數據4辨俞的安全。網絡訪 問層負責實現訪問請求者AR與訪問授權者AA之間的雙向用戶鑒別及密鑰協商、訪問 請求者AR與策H^l行點PEP之間的密鑰協商，訪問授權者AA與訪問請求者AR之間 的相互訪問控制。TNC客戶端TNCC、 TNC服務端INCS和平臺刑刮艮務單元PESU三個實^^I成 完整性iff古層。TNC客戶端INCC與TNC月艮務端TNCS ilil完整性評《維口 IF-1NCCS M， TNC月艮務端TNCS與平臺刑刮艮務單元PESU Mil平臺ifj古授權接口 IF-PEA連 通。在完整性i啊古層，完整性荊古包括平臺完整性校驗和平臺憑證認證。完整性iff古層 的平臺完整性荊古方式有二種。第一種平臺完整性評估方式參見圖3 ，是由策略管理器PM -^i正訪問請求者AR和 訪問授權者AA的AIK證書的有效性，而由訪問請求者AR和訪問授權者AA在本地校 驗對方平臺的完整性，該方式適用于訪問請求者AR和訪問授權者AA者阿訪問存儲有 各個平臺組件的標準完整性度量值的 庫，可增強可信網絡連接架構的安全性，簡化可信網絡連接架構的密鑰管理。第一種平臺完整性評估的實現方式為①.平臺魏性校驗訪問請求者AR的平臺完整性校驗在TNC月艮務端TNCS進行，訪問授權者AA 的平臺完整性校驗在TNC客戶端TNCC進行。②.平臺憑證認證訪問請求者AR和訪 問授權者AA的平臺憑證認iiE^用三^X寸等鑒別協議來實現。訪問請求者AR和訪問授 權者AA的的AIK證書鑒別均由平臺評估服務單元PESU來完成。第二種平臺完整性i啊古方式參見圖4，訪問請求者AR和訪問授權者AA的AIK證 書有效性魁正和平臺完整性的校驗都由策略管理器PM完成，其簡化了可信網絡連接架 構的密鑰管理和完整性校驗機制，M—步地增強可信網絡連接架構的安全性，且可擴 展可信網絡連接的適用范圍。第二種平臺完整性評估的實現方式為①.平臺完整性校 驗訪問請求者AR和訪問授權者AA的平臺完整性校驗均由平臺評估服務單元PESU 來完成。②.平臺憑證認證訪問請求者AR和訪問授權者AA的平臺憑證認i!E^用三 ^(寸等鑒別幼、i，實現。訪問請求者AR和訪問授權者AA的AIK證書有效性飽正均由 平臺i糊服務單元PESU來完成。完整性度量層負責收集和校驗訪問請求者AR和訪問授權者AA的平臺完整性信息。當采用第一種平臺完整性刑古方式時，訪問請求者AR和訪問授權者AA 二者既要 收集平臺的完整性信息，又要校驗平臺完整性信息。該結構的完整性度量層主要由訪問 請求者AR的完整性收集者Md、訪問請求者AR的完整性校驗者IM^、訪問授權者 AA的完整性校驗者MV2和訪問授權者AA的完整性收集者MC2四個組件構成。訪問 請求者AR的完整性收集者Md 3M完整t艘量接口 IF-M與訪問授權者AA的完整性 校驗者MV2i I，訪問請求者AR的完整性校M MV, ilil完整M量接口 EF-M與 訪問授權者AA的完整性收集者IMC2Mo當采用第二種平臺完整性i科古方式時，訪問請求者AR和訪問授權者AA只需收集 平臺完整性信息，而平臺完整性信息的校驗由策略管理器PM來實現。該結構的識性 度量層主要由訪問請求者AR的完整性收集者Md、訪問授權者AA的完整性收集者 IMC2和策略管理器PM的完整性校驗者MV三個組件構成。訪問請求者AR的完整性 收集者Md與策略管理器PM的完整性校驗者證通過完整'鵬量接口 IF-M跳 訪問授權者AA的完整性收集者MC2與策略管理器PM的完整性校驗者MV il31完整 t被量接口IF-M艦。參見圖3、圖4，采用本發明實現增強安全性的可信網絡連接的具體步驟如下(1.)進行初始化。在，網絡連接之前，進行下列步驟(1.1) 訪問請求者AR的TNC客戶端INCC預先準備平臺完整性信息，交給訪問請 求者AR的完整性收集者MC1;訪問授權者AA的TNC月艮務端TNCS預先準備平臺完 整性信息，交^i方問授權者AA的完整性收集者IMC20(1.2) TNC客戶端TNCC和TNC服務端TNCS預先制定識性^i正要求，該離性 _斷正要求包括訪問請求者AR與訪問授權者AA相互請,方驗i正的PCRs表。對于第 一種平臺完整性評估方式，TNC客戶端TNCC和TNC月艮務端TNCS將預先制定的完整 性魁正要求直接交給訪問請求者AR的完整性校驗者MVi和訪問授權者AA的完整性 校驗者MV2。對于第二種平臺完整性刑古方式，TNC客戶端TNCC和TNC月艮務端TNCS 在平臺完整性荊古過程中才將預先帝啶的完整性魁正要求交給策略管理器PM的魏性 校驗者MV，參見圖4。(1.3)訪問請求者AR和訪問授權者AA的可信平臺模±央將網絡策略所需平臺信息 經散列后存入平臺酉己置寄存器。 (2.)進行用戶鑒別。(2.1) 在網絡訪問層，網絡訪問請求者NAR向策略執行者PE:^訪問請求，策略 執行者PE將該訪問請求轉發給網絡訪問授權者NAA。(2.2) 網絡訪問授權者NAA收到訪問請求后，啟動雙向用戶鑒別過程，網絡訪問 層的網絡訪問請求者NAR、網絡訪問授權者NAA和用戶鑒別服務單元UASU之間開始 執行三自等鑒別協議，實現訪問請求者AR與訪問授權者AA的雙向用戶鑒別及密鑰 協商。之后，網絡訪問授權者NAA將雙向用戶鑒別過程生成的主密鑰M予M立的安 全通道傳送給策B^l行點PEP。最后，策略執行點PEP用主密鑰與訪問請求者AR進行 密鑰協商。(2.3) 當雙向用戶鑒別成功時，網絡訪問請求者NAR和網絡訪問授權者NAA將用 戶鑒別成功的信息分別發往完整性Wf古層的TNC客戶端TNCC和TNC服務端TNCS。(3.)進行完整性刑古。當訪問授權者AA的TNC月艮務端TNCS收至啊絡訪問授權者NAA錢的用戶鑒別 成功的信息時，訪問授權者AA的TNC服務端TNCS、訪問請求者AR的TNC客戶端 TNCC和策略管理器PM的平臺評估服務單元PESU禾傭三^)(寸等鑒別協議來實現訪問 請求者AR和訪問授權者AA的雙向平臺完整性ifj古。參見圖3，第一種平臺完整性iff古的實現方式是①.平臺完整性校驗訪問請求者 校^i方問授權者的平臺完整性，而訪問授權者校斷方問請求者的完整性；②.平臺憑證 認證由策略管理器^i正訪問請求者和訪問授權者的AIK證書有效性。參見圖4，第二種平臺完整性刑古的實現方式是①.平臺完整性校驗由策略管理 器校驗訪問請求者和訪問授權者的平臺完整性；②.平臺憑證認證由策略管理器斷正訪問請求者和訪問授權者的AIK證書有效性。 (4.)進柳、鵬制。TNC客戶端TNCC和TNC月艮務端TNCS各自匯總訪問授權者AA和訪問請求者 AR的平臺完整性評估結果。然后，分別向網絡訪問請求者NAR和網絡訪問授權者NAA 發送推薦。網絡訪問請求者NAR和網絡訪問授權者NAA分別依據各自te啲推薦對端 口進行控制，實現訪問請求者AR和訪問授權者AA的相互訪問控制。TNC客戶端TNCC 和TNC月艮務端TNCS向網絡訪問i青求者NAR和網絡訪問授權者NAA發送的推薦是允 許訪問信窗、、禁止訪問信息或隔離修補信息等。
權利要求
1.一種增強安全性的可信網絡連接系統，包括訪問請求者AR和策略執行點PEP，其特征在于，它還包括訪問授權者AA和策略管理器PM；所述的訪問請求者AR與策略執行點PEP以認證協議方式網絡連通，所述的訪問請求者AR與訪問授權者AA通過網絡授權傳輸協議接口IF-T及完整性評估接口IF-TNCCS網絡連通，所述的訪問請求者AR與訪問授權者AA均具有完整性度量接口IF-M，所述的策略執行點PEP與訪問授權者AA通過策略實施接口IF-PEP網絡連通，所述的訪問授權者AA與策略管理器PM通過用戶鑒別授權接口IF-UAA及平臺評估授權接口IF-PEA網絡連通；所述的網絡授權傳輸協議接口IF-T是實現訪問請求者AR與訪問授權者AA之間的雙向用戶鑒別和密鑰協商、以及實現訪問請求者AR與訪問授權者AA相互訪問控制的協議接口，所述的完整性評估接口IF-TNCCS是通過策略管理器PM驗證訪問請求者AR及訪問授權者AA的AIK證書有效性、以及通過策略管理器PM校驗訪問請求者AR及訪問授權者AA的平臺完整性來實現訪問請求者AR與訪問授權者AA之間的平臺完整性評估的協議接口，所述的完整性度量接口IF-M是收集和校驗訪問請求者AR和訪問授權者AA的平臺完整性相關信息的協議接口，所述的策略實施接口IF-PEP是執行訪問授權者AA的決策的協議接口，所述的用戶鑒別授權接口IF-UAA是實現訪問請求者AR與訪問授權者AA之間的雙向用戶鑒別和密鑰協商、以及實現訪問請求者AR與訪問授權者AA相互訪問控制的協議接口，所述的平臺評估授權接口IF-PEA是實現訪問請求者AR與訪問授權者AA之間的平臺完整性評估、實現策略管理器PM驗證訪問請求者AR及訪問授權者AA的AIK證書有效性、以及實現策略管理器PM校驗訪問請求者AR及訪問授權者AA的平臺完整性的協議接口。
2. 根據權利要求1戶腿的增強安全性的可信網絡連接系統，欺寺征在于， 戶脫的訪問請求者AR包括網絡訪問請求者NAR、 TNC客戶端TNCC及訪問i青求者AR的完整性收集者IMd和完整性校驗者IM^ ，戶，的網絡訪問請求者NAR與1NC 客戶端TNCC以 承載方式 ，所述的TNC客戶端TNCC與訪問請求者AR的完 整性收集者Md i!31完整性度量收集接口 IF-MC相連通，所述的TNC客戶端TNCC 與訪問請求者AR的完整性校驗者IM^ S31完整ffit量校驗接口 IF-IMV相，；戸;m的策斷丸行點pep包括拋 i方問授權者aa的決策的策sm行者pe;戶膽的訪問授豐又者AA包括網絡訪問請求者NAR、 TNC服務端TNCS及訪問授權 者AA的完整性校MIMV2和完整性收集者IMC2，阮述的網絡訪問請求者NAR與TNC 月艮務端TNCS以類爐承載方式M，戶腿的TNC月艮務端TNCS與訪問授權者AA的完 整性收集者MC2iM:完整f被量收集接口 IF-MC相M，戶腿的TNC月艮務端INCS 與訪問授權者AA的完整性校驗者IMV2M:完整性度量校驗接口 IF-MV相iiil;戶腿的策略管理器PM包括用戶鑒別服務單元UASU及平臺iff刮艮務單元PESU， 戶脫的用戶鑒別服務單元UASU與平臺iff刮艮務單元PESU以繊承載方式魏；戶脫的網絡訪問請求者NAR與策艦4話PE以認證協議方式翻，戶誠的策 行者PE與網絡訪問授權者NAA ffiii策略實施接口 IF-PEP魏，戶脫的網絡訪問請求 者NAR與訪問授權者NAA Mil網絡授權傳lrt辦議接口 EF-T超通，所述的網絡訪問授 權者NAA與用戶鑒別月艮務單元UASU i!31用戶鑒別授權接口 IF-UAA ;戶腿的TNC客戶端TNCC與TNC月艮務端TNCS M錢性iff古接口 IF-TNCCS 魏，戶腿的TNC月艮務端TNCS與平臺荊刮艮務單元PESU M平臺刑古授權接口戶;M訪問請求者AR的完整性收集者Md M:完整性度量接口 IF-M與訪問授權者 AA的完整性校驗者MV2 ■，戶/M訪問請求者AR的完整性校M Mil完整性 度量接口正-M與訪問授權者AA的完整性收集者MC2 。
3.艱據權利要求2戶服的增強安全性的可信網絡連接系統, 特征在于，用戶訪問請求者AR的完整性收集者是收集TNC客戶端TNCC予!5fe準備的平臺完整性信息 的組件，戶;M訪問請求者AR的完整性校儲IMV,是校驗TNC月艮務端TNCS縦的訪 問授權者AA的平臺完整性信息的組件，所述訪問授權者AA的完整性收集者IMC2是 收集TNC月艮務端TNCS預先準備的平臺完整性信息的組件，戶腿訪問授權者AA的完 整性校驗者MV2是校驗TNC客戶端TNCC發送的訪問請求者AR的平臺完整性信息的 組件。
4.根據權利要求1戶脫的增強安全性的可信網絡連接系統，^#征在于， 所述的訪問請求者AR包括網絡訪問請求者NAR、 TNC客戶端TNCC和訪問請求 者AR的完整性收集者Md，所述的網絡訪問請求者NAR與TNC客戶端TNCC以數 據承載方式連通，所述的TNC客戶端TNCC與訪問請求者AR的完整性收集者MdM完整十被量收集接口 if-imc相iiil;戶脫的策B^m行點PEP包括執fi^方問授權者AA的決策的策H^l行者PE;戶，的訪問授禾又者AA包括網絡訪問請求者NAR、 TNC月艮務端TNCS及訪問授權 者AA的完整性收集者MC2，戶艦的網絡訪問i青求者NAR與INC月艮務端TNCS以數 據承載方式 ，戶/M的TNC月艮務端TNCS與訪問授權者AA的完整性收集者MC2 M完整性度量收集接口 IF-MC相魏；所述的策略管理器PM包括用戶鑒別服務單元UASU、平臺iff古服務單元PESU及 完整性校驗者IMV，所述的用戶鑒別服務單元UASU與平臺評估服務單元PESU以數 據承載方式魏，戶腿的平臺粥刮艮務單元PESU與完整性校儲IMV fflil完謝頓量 校驗接口IF-證相魏；戶脫的網絡訪問請求者NAR與策B^/f話PE以認證協議方式魏，戶服的策艦 行者PE與網絡訪問授權者NAA M31策略實施接口正-PEP連通，阮述的網絡訪問請求 者NAR與訪問授權者NAA遞寸網絡授權傳^t辦議接口 IF-T超雖，所述的網絡訪問授 權者naa與用戶鑒別月艮務單元uasu ilii用戶鑒別授權接口 IF-uaa戶腿的TOC客戶端TNCC與TNC月艮務端TNCS通過完整性評估接口 IF-TNCCS 魏，戶脫的TNC月艮務端TNCS與平臺評估服務單元PESU艦平臺刑跟權接口 IF-PEA3 !;戶;M訪問請求者ar的完整性收集者Md m完整性度量接口正-m與策略管理器PM的完整性校驗者MV皿，戶Jf^訪問授權者AA的完整性收集者IMC2M31完整性 度量接口 IF-M與策略管理器PM的完整性校驗者IMV皿。
5. 根據權利要求4戶脫的增強安全性的可信網絡連接系統，^m正在于，戶;f^訪問請求者AR的完整性收集者MQ是收集TNC客戶端TNCC預先準備的平臺完整性信息 的組件，戶腿的訪問授權者AA的完整性收集者MC2是收集TNC月艮務端TNCS預先準 備的平臺完整性信息的組件，所述策略管理器PM的完整性校驗者MV是接收INC客 戶端TNCC與TNC月艮務端TNCS預先審啶的平臺完整性^i正要求、并對訪問請求者AR 和訪問授權者AA進行平臺完整性校驗的組件。
6. 根據權利要求1至5之任一戶服的增強安全性的可信網絡連接系統，欺寺征在于， 戶;M的訪問請求者AR和訪問授權者AA均是具有可信平臺模塊的邏輯實體。
全文摘要
一種增強安全性的可信網絡連接系統，其訪問請求者與策略執行點以認證協議方式網絡連通，訪問請求者與訪問授權者通過網絡授權傳輸協議接口、完整性評估接口及完整性度量接口網絡連通，策略執行點與訪問授權者通過策略實施接口網絡連通，訪問授權者與策略管理器通過用戶鑒別授權接口、平臺評估授權接口及完整性度量接口網絡連通，訪問請求者與策略管理器通過完整性度量接口網絡連通。本發明解決了背景技術中安全性相對較低、訪問請求者可能無法驗證AIK證書有效性和平臺完整性評估不對等的技術問題。本發明在網絡訪問層和完整性評估層都采用了三元對等鑒別協議，提高了整個可信網絡連接架構的安全性，且擴展了可信網絡連接的適用范圍。
文檔編號H04L29/06GK101242401SQ20071001843
公開日2008年8月13日 申請日期2007年8月8日 優先權日2007年8月8日
發明者軍 曹, 肖躍雷, 賴曉龍, 黃振海 申請人:西安西電捷通無線網絡通信有限公司