| 发明名称 | 一种可信网络接入框架 | ||
| 摘要 | 本发明属于信息安全领域。本框架存在三个实体:访问请求者、访问控制器和策略管理器,策略管理器对访问请求者和访问控制器进行管理并实现它们之间的双向用户身份鉴别和平台完整性评估,访问请求者和访问控制器依据策略管理器的决策对本地端口进行控制;可信网络连接架构在终端接入网络之前对其平台状态进行度量。本发明利用基于可信第三方的安全协议来实现访问请求者和访问控制器的双向用户身份鉴别和双向平台完整性评估,确保了可信网络连接架构TNCA体系结构的安全性。策略管理器的引入,简化该架构的密钥管理,提高了该结构可扩展性,平台完整性评估具有更高安全性,实现了完整性集中校验,有较高普适性。 | ||
| 申请公布号 | CN101136928A | 申请公布日期 | 2008.03.05 |
| 申请号 | CN200710176091.4 | 申请日期 | 2007.10.19 |
| 申请人 | 北京工业大学 | 发明人 | 沈昌祥;张兴;于昇;祝璐;周明;周艺华 |
| 分类号 | H04L29/06(2006.01);H04L12/56(2006.01);H04L12/28(2006.01);H04L12/66(2006.01) | 主分类号 | H04L29/06(2006.01) |
| 代理机构 | 北京思海天达知识产权代理有限公司 | 代理人 | 刘萍 |
| 主权项 | 1.一种可信网络接入框架,其特征在于,该框架分为三个功能层次:网络访问控制层、可信平台评估层和完整性度量层;具有三个实体:访问请求者、访问控制器和策略管理器;可信网络连接架构具有三个实体:访问请求者:请求连接的实体;其功能为发出访问请求,完成与访问控制器的双向用户身份鉴别,收集完整性度量值发送给访问控制器,完成与访问控制器之间的平台完整性评估,等待建立网络连接;该实体包括以下组件:网络访问请求者、可信网络连接客户端和完整性收集者;访问控制器:功能为控制访问请求者对网络的访问,接收策略管理器分发的平台可信鉴别策略和评估策略;接收访问请求者的完整性度量值,收集自身的完整性度量值,将这些完整性度量值发送给策略管理器;依据策略管理器的决策执行;该实体包括以下组件:网络访问控制者、可信网络连接服务端和完整性收集者;策略管理器:策略管理器负责制定和分发网络访问控制策略和可信性评估策略,协助访问请求者和访问控制器进行用户身份鉴别,验证访问请求者和访问控制器的证明身份密钥证书的有效性,校验访问请求者和访问控制器的平台完整性,生成访问请求者和访问控制器的网络访问控制的策略结果;该实体包括以下组件:鉴别策略服务者、评估策略服务者和完整性校验者;可信网络连接架构从下至上分为三个层次:网络访问控制层:访问请求者、访问控制器和策略管理器实现双向用户身份鉴别在,访问请求者和访问控制器在鉴别过程中是对等的;访问请求者和访问控制器依据网络访问控制层的用户身份鉴别结果和可信平台评估层的接入决策对自身的端口进行控制,从而实现相互的访问控制;可信平台评估层:可信网络连接客户端和可信网络连接服务端的平台完整性评估,利用可信第三方,即评估策略服务者来实现;平台完整性评估包括平台凭证鉴别和平台完整性校验;在可信平台评估过程中,访问请求者和访问控制器的证明身份密钥证书的验证以及平台完整性校验由策略管理器来完成;策略管理器对访问请求者和访问控制器的平台完整性做出决策,网络访问控制层依据该决策执行连接控制;完整性度量层:负责收集和校验访问请求者和访问控制器的平台完整性;访问请求者和访问控制器的完整性收集者分别收集各自平台的完整性信息,策略管理器的完整性校验者负责校验访问请求者和访问控制器的平台完整性;可信网络连接架构包括以下功能组件:网络访问请求者:功能为负责向访问控制器发起访问请求,与网络访问控制者和鉴别策略服务者实现在网络访问控制层上的双向用户身份鉴别;负责向访问控制器或策略管理器转发可信平台评估层的数据;依据鉴别策略服务者生成的策略结果以及评估策略服务者生成的策略结果,对自身的端口进行控制以实现对访问控制器的连接控制;网络访问控制者:与网络访问请求者和鉴别策略服务者实现访问请求者和访问控制器的双向用户身份鉴别;负责向网络访问请求者和鉴别策略服务者转发可信平台评估层的数据;依据鉴别策略服务者生成的策略结果以及评估策略服务者生成的策略结果,对自身的端口进行控制以实现对访问请求者的接入控制;鉴别策略服务者:功能为充当可信第三方,负责实现访问请求者和访问控制器之间的双向用户身份鉴别;可信网络连接客户端:功能为通过完整性度量收集接口向上层完整性收集者请求和接收完整性度量值,实现访问请求者和访问控制器的双向平台完整性评估,依据评估策略服务者生成的评估结果生成连接决策并发送给网络访问请求者; 可信网络连接服务端:功能为通过完整性度量收集接口向上层完整性收集者请求和接收完整性度量值,实现访问请求者和访问控制器的双向平台完整性评估,依据评估策略服务者生成的评估结果生成接入决策并发送给网络访问控制者;评估策略服务者:功能为充当可信第三方,实现访问请求者和访问控制器的双向平台完整性评估;评估策略服务者验证访问请求者和访问控制器的证明身份密钥证书的有效性,通过完整性度量校验接口向上层完整性校验者发送访问请求者和访问控制器的平台完整性度量值,并接收由完整性校验者返回的访问请求者和访问控制器的平台完整性度量值的校验结果;完整性收集者:功能为利用可信计算平台所提供的完整性服务,收集访问请求者和访问控制器的平台完整性信息;完整性校验者:功能为:利用完整性管理机制,校验访问请求者和访问控制器的平台完整性信息;可信网络连接架构具有多个接口,这些接口为:可信网络传输接口:网络访问请求者和网络访问控制者之间的接口,定义了网络访问请求者和网络访问控制者之间的信息交换;鉴别策略服务接口:网络访问控制者和鉴别策略服务者之间的接口,定义了网络访问控制者和鉴别策略服务者之间的信息交换;可信网络连接客户端-可信网络连接服务端接口:可信网络连接客户端和可信网络连接服务端之间的接口,定义了可信网络连接客户端和可信网络连接服务端之间的信息交换;评估策略服务接口:可信网络连接客户端可信网络连接服务端和评估策略服务者之间的接口,定义了可信网络连接服务端和评估策略服务者之间的信息交换;完整性度量接口:完整性收集者和完整性校验者之间的接口,该接口定义各厂商生产的完整性收集者和完整性校验者之间的互操作协议;完整性度量收集接口:可信网络连接客户端和完整性收集者之间以及可信网络连接服务端和完整性收集者之间的协议接口,该接口定义请求和接收平台完整性信息;完整性度量校验接口:评估策略服务者和完整性校验者之间的接口,该接口定义发送平台完整性信息给完整性校验者和接收平台完整性信息校验结果的协议信息。 | ||
| 地址 | 100022北京市朝阳区平乐园100号 | ||