CN102035837B - 一种分层连接可信网络的方法及系统 - Google Patents
一种分层连接可信网络的方法及系统 Download PDFInfo
- Publication number
- CN102035837B CN102035837B CN 201010588246 CN201010588246A CN102035837B CN 102035837 B CN102035837 B CN 102035837B CN 201010588246 CN201010588246 CN 201010588246 CN 201010588246 A CN201010588246 A CN 201010588246A CN 102035837 B CN102035837 B CN 102035837B
- Authority
- CN
- China
- Prior art keywords
- network
- terminal
- platform
- control point
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 230000007774 longterm Effects 0.000 claims abstract description 14
- 238000012795 verification Methods 0.000 claims abstract description 8
- 238000003780 insertion Methods 0.000 claims description 18
- 230000037431 insertion Effects 0.000 claims description 18
- 230000000712 assembly Effects 0.000 claims description 6
- 238000000429 assembly Methods 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000013475 authorization Methods 0.000 claims description 3
- 238000002360 preparation method Methods 0.000 claims description 3
- 238000012360 testing method Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 64
- 238000005516 engineering process Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000005259 measurement Methods 0.000 description 3
- 241000721662 Juniperus Species 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 241001315286 Damon Species 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种分层连接可信网络的方法及系统,其步骤包括:1)终端平台接入可信网络控制域,由可信网络管理域发送长期平台身份PIK或AIK证书给经验证的终端平台;2)任意终端接入网络服务域,网络连接控制点调用可信网络管理域中的平台身份管理服务及平台完整性管理服务,判定终端是否能接入网络服务域;3)终端访问任一网络服务,该网络服务根据返回的完整性属性确定终端是否可以访问该网络服务。其系统包括接入终端域、可信网络控制域、可信网络管理域及网络服务域。利用本发明的方法和系统网络服务可以直接利用接入时的验证结果,降低了验证所带来的网络以及管理负载;接入控制点可以实时监控终端完整性,从而保证过程的持续可信。
Description
技术领域
本发明涉及可信网络连接的方法及系统,尤其涉及分层连接可信网络的方法及系统。属于信息安全技术领域。
背景技术
随着互联网规模的扩张和应用的深化,网络安全与监管面临巨大挑战,解决网络安全问题的关键方法之一就是建立网络空间信任技术体系,实现跨异构管理域网络身份管理、认证授权、责任认定、平台信任。网络空间信任体系主要包括两个方面,一是用户身份信任体系,二是设备平台信任体系。有了用户身份信任体系,用户在网络上的行为活动就变得可管可控,从用户登录网络应用系统开始,到网上购物、网上投票、网络言论、网上办公等,任何活动都有据可查,同时保护用户的个人和行为隐私不受侵犯,保证特殊用户的匿名特性和通信机密性,因此,建设和谐的网络环境迫切需要建立基于用户身份的网络空间信任体系。平台信任体系保证网络设备和网络环境的可信,保证建设一个安全可靠的网络环境,建立起设备平台信任体系将使得非法设备或非法软件在网络上的接入有据可查,并且可管可控。可信计算平台技术的发展,为网络设备平台空间信任体系的建立提供了良好的技术基础。
终端信任链技术是建立网络信任体系终端平台信任的基础,它从TPM/TCM信任根开始到硬件平台,到操作系统,再到应用程序,一级认证一级,一级信任一级,把这种信任扩展到可信计算平台,从而保证了网络空间每一个节点的可信。信任链的构建方法多种多样,IBM研究中心提出了IMA(Integrity Measure Archecture),研发了第一个基于TCG标准的信任链构建系统。IMA通过对系统中的可执行文件、动态加载器、内核模块以及动态库进行度量来保证系统的完整性。随后IBM研究中心改进IMA方案,提出了PRIMA(Policy-Reduced Integrity Measure Architecture)信任链构建方法,它通过强制访问控制策略减少了不可信信息流的度量,通过完整性度量建立起系统信息流图,从而保证可信平台运行状态可信。除此之外,还有LKIM信任链构建方法,它主要针对操作系统内核,在静态的度量基础上增加内核状态变量度量,即定义一系列变量(例如文件操作表和inode节点操作表等)表示系统的状态,而当这些变量值发生变化的时候,相应的重新进行度量,从而建立可信计算平台动态信任。
可信网络连接是可信计算平台在网络应用上的延伸和扩展,其主要基于TPM/TCM提供的平台完整性度量、身份证明、属性证明,通过远程证明协议,验证平台计算环境的安全属性,以此作为接入网络的重要依据。Juniper在其统一连接控制方案(UAC)中同时支持NAC和TNC 两大标准,并成功实现和其它厂商产品的互操作,达到与现有的安全基础设施无缝集成。ConSentry则重点关注局域网底层结构的直接安全嵌入,提供了一整套完整的权限管理用来保护企业的信息资源。该公司的LANShield系列路由器与控制器可直接替换传统网络中的路由器,实现了透明实用的、由企业主导的网络部署。Wave公司也研制了TNC网络完整性访问控制产品,它将Embassy
Trust Suite软件产品运行于Juniper公司的网络访问控制方案之上,完全实现了基于可信计算的平台完整性服务。国际上可信网络连接产品发展迅速,TCG的可信网络连接(TNC)标准也不断升级,TNC体系结构标准从1.0升级到1.3,新增IF-MAP、IF-T等新的接口标准。我国基于TCM的可信网络连接标准也正在制定中,国内企业同方、清大安科等都拥有自己的支持TCM的可信网络连接解决方案。
然而,在国际互联网这样的大规模网络环境下构建网络实体间的信任,现有技术尚存在以下几点问题:
1、扩展性不足。现有体系架构主要着眼于局域网环境中的接入控制,然而,为了构建可信网络环境,需要实现互联网环境中实体间的信任关系建立。
2、软件的升级更新可能导致网络安全隐患。在现有方案中,对于完整性的验证由处于服务器内部的IMV组件进行,然而,该组件通常实现为软件厂商发布的共享库文件,因此可能导致由于服务器未及时更新IMV组件从而使不安全终端接入网络,带来恶意代码传播、敏感信息泄露等问题。
发明内容
本发明包括的可信网络空间体系系统将整个网络划分为四个层次,分别为接入终端域、可信网络控制域、可信网络管理域以及网络服务域。其中接入终端域是各种终端设备的网络接入系统,在可信网络空间中,要求终端包含TPM/TCM芯片。可信网络控制域为终端提供接入服务,通常由各类交换机、路由器以及网关等网络控制设备组成,负责提供以太网、无线局域网等网络环境下的接入控制。网络服务域包含各类网络在线服务,例如WEB服务、邮件服务等。可信网络管理域主要提供三类服务:用户身份管理服务、平台完整性管理服务以及平台身份管理服务。用户身份管理服务管理用户身份的相关信息,包括证书和基于身份的公钥信息,主要负责用户访问网络资源时对用户身份的认证。平台身份管理服务主要提供TPM/TCM的平台身份颁发、认证、撤销和监控,主要负责终端访问网络时的平台身份认证。平台完整性管理服务管理平台组件的完整性度量信息以及平台安全性等安全属性进行管理,管理员可通过平台完整性管理服务发布、更新或删除完整性属性关系,在网络接入中,基于平台完整性管理服务实现平台完整性属性的判定和验证。
下面对在该体系系统中,对分层连接可信网络的方法进行说明:
1)终端平台接入可信网络控制域,可信网络管理域对终端平台的连接请求进行验证,并由可信网络管理域发送长期平台身份PIK或AIK证书给经验证的终端平台;
2)获得证书的终端平台中的任意终端接入网络服务域,可信网络管理域的网络控制点根据终端平台接入时提供的身份证明和终端平台完整性属性,通过调用可信网络管理域中的平台身份管理服务以及平台完整性管理服务,判定终端是否能接入网络服务域;
3)接入网络服务域的终端访问网络服务域中的任一网络服务,该网络服务利用平台身份向可信网络管理域查询平台完整性属性,根据返回的完整性属性确定终端是否可以访问该网络服务。
所述终端平台连接入可信网络控制域的方法为:
A、终端平台向可信网络控制域的网络连接控制点发送请求;
B、网络连接控制点收到请求后,将请求发送给可信网络管理域的平台身份管理服务进行验证;
C、通过验证后,平台身份管理服务发送长期平台身份PIK或AIK证书给网络连接控制点;
D、网络连接控制点将证书发送给终端平台;
所述请求包括管理员用户名及密码、PIK或AIK请求包和终端平台的自身描述。终端平台的自身描述是指平台所处部门,平台物理位置。
所述验证平台身份证书请求的方法为:
a.平台身份管理服务接收平台发送的PIK或AIK请求包。
b.将随机数通过网络连接控制点发送给平台。
c.平台的TPM/TCM产生密钥对,并向平台身份管理服务证明该密钥对是TPM/TCM产生的不可迁移签名密钥。
d.验证不可迁移签名密钥,若通过,则为TPM/TCM产生的密钥对的公钥颁发长期平台身份PIK或AIK证书,并记录在证书库。
所述终端连接入网络服务域的方法为:
A、终端向网络连接控制点发送网络接入请求,接入请求中包括终端用户名与密码;
B、网络连接控制点向可信网络管理域的用户身份管理服务查询当前用户名与密码的正确性,查询结果返回给网络连接控制点;
C、网络连接控制点发送完整性证明请求给终端;
D、终端调用不同的完整性收集组件完成完整性收集,并将收集到的完整性数据用PIK或AIK签名发送给网络连接控制点;
E、网络连接控制点根据长期平台身份PIK或AIK证书对完整性数据签名进行验证;
F、网络连接控制点将完整性数据发送给可信网络管理域的平台完整性管理服务,验证终端是否满足平台完整性属性关系,验证结果发送网络连接控制点;
G、网络连接控制点根据验证结果,确定接入策略。
所述的接入策略是允许,拒绝或隔离。
所述完整性证明请求包含需要终端进行收集的完整性属性列表。
所述完整性属性列表获得的方法为:
a、网络连接控制点查询用户名表,获得用户名所属的用户组ID;
b、根据用户组ID查询所有的平台完整性分组ID列表;
c、获得列表中每个平台完整性分组ID包含的属性值;
d、根据属性ID和属性值生成完整性属性列表。完整性分组ID是用来表示完整性分组,每个完整性分组中又包含多个完整性属性,每个属性是一个(属性ID,属性值)。
所述完整性数据验证结果为资源组成列表。
所述资源组成列表的获得方法为:
a、平台完整性管理服务查询用户名表,获得用户名所属的用户组ID;
b、根据用户组ID查询所有的平台完整性分组ID列表;
c、生成空的平台完整性分组ID列表;
d、获得查询的列表中每个平台完整性分组ID包含的属性值列表;
e、将属性值列表与收到的完整性数据进行对比,如果列表中的每一项属性在完整性数据中都存在,则将该完整性分组ID加入空的完整性分组ID列表中,形成结果列表;
f、根据结果列表和用户组ID,获得可访问资源ID列表;
g、根据可访问资源ID列表,获得所有资源分组中的资源组成形成资源组成列表。
所述终端访问网络服务域中网络服务的方法:
A、终端请求访问网络服务;
B、网络服务向网络连接控制点发送完整性证明请求;
C、网络连接控制点将完整性证明请求发送给可信网络管理域的平台完整性管理服务
D、可信网络管理域的平台完整性管理服务根据终端接入时获得的终端完整性数据,给出完整性证明结果,并将该结果通过网络连接控制点发送给网络服务;
E、网络服务根据接收到的完整性证明结果中包含的属性判定结果决定是否允许该终端的访问,并将访问结果返回给终端。
所述终端上绑定有可信密码模块。
本发明的的另一目的是提供一种分层连接可信网络系统,包括接入终端域、可信网络控制域、可信网络管理域及网络服务域。可信网络控制域为终端提供接入服务,包括网络连接控制点。
所述接入终端域包括网络接入引擎、终端网络接入服务组件、完整性收集组件和用户交互界面,其中,网络接入引擎针对网络接入环境和技术实施接入控制消息的底层交互;
终端网络接入服务组件进行可信网络接入时的终端信息的管理;
完整性收集组件进行终端的完整性状态收集;
用户交互界面为终端用户提供操作窗口。
网络连接控制点包括进行连接控制的网络设备和负责基于用户身份、平台身份以及平台完整性进行接入的授权子系统。
本发明的有益效果:在传统可信网络接入框架中,只考虑了局域网的接入,接入验证发生在接入控制点,而在本发明中,接入扩展到整个互联网,接入控制发生在局域网的接入和网络服务的接入两层控制中。
另一方面,在传统可信网络接入中,网络接入点需要对接入网络的终端完整性继续验证,当用户访问具体网络服务时,网络服务如果需要保证终端的可信性,仍然需要获得完整的完整性度量结果进行验证,这必将加大网络通信负载。同时网络服务提供方也需要维护大量的软件参考值信息。本发明提出的方案考虑了互联网访问过程中的具体网络服务对于终端完整性的安全要求以及网络服务与接入控制点所具有验证能力的不同,采用分层证明的方法实现了终端完整性的验证,因此更加适合于互联网环境下的可信网络实现。利用本发明给出的分层验证方法,网络服务可以直接利用接入时的验证结果,从而降低了验证所带来的网络以及管理负载;还使得网络服务可以委托接入控制点实时监控终端的完整性,从而保证过程的持续可信。
附图说明
图1是分层连接可信网络系统结构示意图;
图2是终端平台连接入可信网络控制域的方法流程示意图;
图3是终端连接入网络服务域的方法流程示意图;
图4是终端访问网络服务的方法流程示意图。
具体实施方式
本发明的方法是由以下的系统实现的。包括终端平台或设备上的网络接入系统,即接入终端域,可信网络控制域的网络连接控制点,可信网络管理域的平台身份管理服务、平台完整性管理服务以及用户身份管理服务。网络服务域对应于现实中各类网络服务商提供的具体网络服务,例如门户网站、电子邮件服务等。参见图1,网络接入系统通过可信网络控制域的网络连接控制点接入网络服务域中的各个网络服务,而可信网络管理域通过网络连接控制点对这个连接过程提供平台管理服务、用户身份管理服务和完整性管理服务。
终端平台上的网络接入系统划分为多个松耦合组件,具体包括网络接入引擎(NAA)、终端网络接入服务组件(TNCC)、完整性收集组件(IMC)和用户交互界面(GUI)。网络接入引擎针对具体网络接入环境和技术(例如以太网、无线局域网)实施接入控制消息的底层交互,具体实现形式包括VPN客户端或802.1x客户端等;终端网络接入服务组件完成可信网络接入时终端信息的管理,包括完整性收集组件的管理、终端身份注册,接入协议控制等;完整性收集组件负责完成终端的某一方面的完整性状态收集,通常由各个厂商自行发布;用户交互界面主要为终端用户提供操作窗口。下面对终端网络接入服务组件的设计进行详细描述。
终端网络接入服务组件运行为Windows的一个系统服务,是用C实现的一个WebService应用程序,为GUI模块提供Web Service API。具体提供如下服务:
IMC管理服务:
输入:管理指令,包括增加IMC,删除IMC
IMC文件名
输出:该IMC可收集的完整性属性ID列表
网络接入服务:
输入:接入用户名,口令
输出:接入结果
平台身份注册服务:
输入:管理员用户名,管理员密码,设备描述信息(所属部门,地理位置等)
返回:接入结果
网络接入日志查询:
输入:空
输出:接入日志
可信网络控制域的网络连接控制点,可以分解为两个组件,一个是支持802.1X的交换机 或者是可以调用主动调用外部服务,同时向外部程序提供接口进行连接控制的交换机或路由器以及网关等网络设备,另外一个是负责基于用户身份、平台身份以及平台完整性进行接入的授权子系统。接入授权子系统运行为一个Linux下的damon服务,通过Web Service方式对外提供远程服务。
本发明的分层连接可信网络的方法包括如下步骤:
1)终端平台连接入可信网络控制域,可信网络控制域对终端平台的连接请求进行验证,并由可信网络管理域发送长期平台身份PIK(Platform Identity Key)或AIK证书给经验证的终端平台:
A、管理员在终端平台输入管理员用户名及密码,填写终端平台自身的描述(平台所处部门,平台物理位置)。
B、终端平台上绑定的可信密码模块TPM/TCM产生PIK请求包或AIK请求包,并连同管理员用户名及密码、终端平台描述一起发送给可信网络控制域的网络连接控制点。
C、网络连接控制点收到包含上述内容的平台身份注册请求后,检查该请求中管理员用户名与密码的正确性,将其中的PIK或AIK请求包发送给平台身份管理服务。
D、平台身份管理服务验证该请求的合法性,为该平台颁发长期平台身份PIK或AIK证书,将该证书发给网络连接控制点。具体的证书验证过程如下:
a.平台身份管理服务接收平台发送的PIK或AIK请求包。
b.将随机数通过网络连接控制点发送给平台。
c.平台的TPM/TC产生密钥对,并向CA证明该密钥对是TPM/TCM产生的不可迁移签名密钥。
d.验证不可迁移签名密钥,若通过,则为TPM/TCM产生的密钥对的公钥颁发长期平台身份PIK或AIK证书,并记录在证书库。
E、网络连接控制点转发该证书给终端平台,从而完成平台身份注册。
2)获得证书的终端平台中的任意终端接入网络服务域,网络连接控制点根据终端平台身份证明和终端平台完整性属性判定终端平台是否能接入网络服务域:
A、终端用户输入用户名及密码,请求接入网络;
B、终端向网络连接控制点发送网络接入请求,该请求中包含了用户名和密码;
C、网络连接控制点判定当前接入认证方法为可信网络接入,则向用户身份管理服务查询当前用户名与密码的正确性;
D、用户身份管理服务确认用户名与密码的正确性后,将查询结果返回给网络连接控制点;
E、网络连接控制点根据该网络接入的完整性要求,发送完整性证明请求给网络接入终端; 该请求中包含了需要终端进行收集的完整性属性列表。具体步骤为:
a、查询数据库中的用户名表,查询接入用户名所属的用户组ID
b、根据用户组ID查询所有的平台完整性分组ID列表
c、对于每一个平台完整性分组ID
a)获得其分组ID包含的属性
b)将查到的属性ID以及value添加到返回的完整性属性列表中。
d、返回属性列表。
F、终端根据完整性证明请求,调用不同的完整性收集组件完成完整性收集,并将收集到的完整性数据用PIK或AIK签名发送给网络连接控制点。
G、网络连接控制点向平台身份管理服务发出PIK或AIK证书查询请求;
H、平台身份管理服务根据该请求,发送该平台的PIK或AIK证书给网络连接控制点,网络连接控制点根据该证书完成对完整性数据签名的验证;
I、网络连接控制点将接收到的完整性属性数据以及需要验证的完整性属性发送给平台完整性管理服务;
J、平台完整性管理服务根据自身管理的平台完整性属性关系,验证当前终端是否满足,并将属性验证结果发送给网络连接控制点,具体步骤为:
a、查询接入用户名所属的用户组ID
b、根据用户组ID查询所有的平台完整性分组ID列表
c、生成空的平台完整性分组ID列表(结果列表)
d、对于查到的列表中每个平台完整性分组ID
a)获得该分组ID中包含的属性列表
b)检查该属性列表中的每一项属性在输入的完整性属性描述中是否都存在,如果都存在,则将该完整性分组ID加入空的完整性分组ID列表(结果列表)中
e、根据结果列表和用户组ID,获得可访问资源ID列表
f、根据可访问资源ID列表,将所有资源分组中包含的资源组成列表返回。
K、网络连接控制点根据资源组成列表实施网络决策(允许,拒绝,隔离),并将网络接入结果发送给终端用户
3)接入本地域的终端接入网络服务,该网络服务利用平台身份向可信网络管理域查询平台完整性属性,根据返回的完整性属性确定终端是否可以访问该网络服务:
A、终端请求访问网络服务;
B、网络服务向网络连接控制点发送完整性证明请求;
C、网络连接控制点将完整性证明请求发送给可信网络管理域的平台完整性管理服务
D、可信网络管理域的平台完整性管理服务根据终端接入时获得的终端完整性数据,给出完整性证明结果,并将该结果通过网络连接控制点发送给网络服务;
E、网络服务根据接收到的完整性证明结果中包含的属性判定结果决定是否允许该终端的访问,并将访问结果返回给终端。
Claims (5)
1.一种分层连接可信网络的方法,包括如下步骤:
1)终端平台接入可信网络控制域,可信网络管理域对终端平台的连接请求进行验证,并由可信网络管理域发送长期平台身份PIK或AIK证书给经验证的终端平台,所述终端平台连接入可信网络控制域的方法为:
a、终端平台向网络连接控制点发送请求;
b、网络连接控制点收到请求后,将请求发送给平台身份管理服务进行验证;
c、通过验证后,平台身份管理服务发送长期平台身份PIK或AIK证书给网络连接控制点;
d、网络连接控制点将证书发送给终端平台;
所述请求包括管理员用户名及密码、PIK或AIK请求包和终端平台的自身描述;
2)获得证书的终端平台中接入网络服务域,可信网络管理域的网络连接控制点根据终端平台接入时提供的身份证明和终端平台完整性属性,通过调用可信网络管理域中的平台身份管理服务及平台完整性管理服务,判定终端是否能接入网络服务域;所述终端连接入网络服务域的方法为:
a、终端向网络连接控制点发送网络接入请求,接入请求中包括终端用户名与密码;
b、网络连接控制点向可信网络管理域的用户身份管理服务查询当前用户名与密码的正确性,查询结果返回给网络连接控制点;
c、网络连接控制点发送完整性证明请求给终端;
d、终端调用不同的完整性收集组件完成完整性收集,并将收集到的完整性数据用PIK或AIK签名发送给网络连接控制点;
e、网络连接控制点根据长期平台身份PIK或AIK证书对完整性数据签名进行验证;
f、网络连接控制点将完整性数据发送给可信网络管理域的平台完整性管理服务,验证终端是否满足平台完整性属性关系,验证结果发送网络连接控制点;
g、网络连接控制点根据验证结果,确定接入策略;
所述完整性证明请求包含需要终端进行收集的完整性属性列表,所述完整性数据验证结果为资源组成列表;
所述完整性属性列表的获得方法为:
a、网络连接控制点查询用户名表,获得用户名所属的用户组ID;
b、根据用户组ID查询所有的平台完整性分组ID列表;
c、获得列表中每个平台完整性分组ID包含的属性值;
d、根据属性ID和属性值生成完整性属性列表;
所述资源组成列表的获得方法为:
a、平台完整性管理服务查询用户名表,获得用户名所属的用户组ID;
b、根据用户组ID查询所有的平台完整性分组ID列表;
c、生成空的平台完整性分组ID列表;
d、获得查询的列表中每个平台完整性分组ID包含的属性值列表;
e、将属性值列表与收到的完整性数据进行对比,如果列表中的每一项属性在完整性数据中都存在,则将该完整性分组ID加入空的完整性分组ID列表中,生成结果列表;
f、根据结果列表和用户组ID,获得可访问资源ID列表;
g、根据可访问资源ID列表,获得所有资源分组中的资源组成生成资源组成列表;
3)接入网络服务域的终端访问网络服务域中的任一网络服务,该网络服务利用平台身份向可信网络管理域查询平台完整性属性,根据返回的完整性属性确定终端是否可以访问该网络服务;所述终端访问网络服务的方法为:
a、终端请求访问网络服务;
b、网络服务向网络连接控制点发送完整性证明请求;
c、网络连接控制点将完整性证明请求发送给平台完整性管理服务;
d、平台完整性管理服务根据终端接入时获得的终端完整性数据,给出完整性证明结果,并将该结果通过网络连接控制点发送给网络服务;
e、网络服务根据接收到的完整性证明结果中包含的属性判断结果决定是否允许该终端的访问,并将访问结果返回给终端。
2.根据权利要求1所述的分层连接可信网络的方法,其特征在于所述验证PIK或AIK请求的方法为:
a.平台身份管理服务接收平台发送的PIK或AIK请求包;
b.将随机数通过网络连接控制点发送给终端平台;
c.终端平台上的TPM/TCM产生密钥对,并向平台身份管理服务证明该密钥对是TPM/TCM产生的不可迁移签名密钥;
d.验证不可迁移签名密钥,若通过验证,则为TPM/TCM产生的密钥对的公钥颁发长期平台身份PIK或AIK证书。
3.一种分层连接可信网络的系统,其特征在于包括接入终端域、可信网络控制域、可信网络管理域及网络服务域,其中,
接入终端域是终端设备上的网络接入系统;
可信网络控制域为终端提供接入服务,包括网络连接控制点;
所述终端域连接入可信网络控制域的方法为:
a、终端平台向网络连接控制点发送请求;
b、网络连接控制点收到请求后,将请求发送给平台身份管理服务进行验证;
c、通过验证后,平台身份管理服务发送长期平台身份PIK或AIK证书给网络连接控制点;
d、网络连接控制点将证书发送给终端平台;
所述请求包括管理员用户名及密码、PIK或AIK请求包和终端平台的自身描述;
可信网络管理域包括用户身份管理服务、平台完整性管理服务及平台身份管理服务,用户身份管理服务负责用户访问网络资源时对用户身份的认证;平台身份管理服务负责终端访问网络时的平台身份认证;平台完整性管理服务在网络接入实现平台完整性属性的判定和验证;
所述终端访问网络服务的方法:
a、终端请求访问网络服务;
b、网络服务向网络连接控制点发送完整性证明请求;
c、网络连接控制点将完整性证明请求发送给平台完整性管理服务;
d、平台完整性管理服务根据终端接入时获得的终端完整性数据,给出完整性证明结果,并将该结果通过网络连接控制点发送给网络服务;
e、网络服务根据接收到的完整性证明结果中包含的属性判断结果决定是否允许该终端的访问,并将访问结果返回给终端;
网络服务域是指各种网络在线服务;
所述终端域连接入网络服务域的方法为:
a、终端向网络连接控制点发送网络接入请求,接入请求中包括终端用户名与密码;
b、网络连接控制点向可信网络管理域的用户身份管理服务查询当前用户名与密码的正确性,查询结果返回给网络连接控制点;
c、网络连接控制点发送完整性证明请求给终端;
d、终端调用不同的完整性收集组件完成完整性收集,并将收集到的完整性数据用PIK或AIK签名发送给网络连接控制点;
e、网络连接控制点根据长期平台身份PIK或AIK证书对完整性数据签名进行验证;
f、网络连接控制点将完整性数据发送给可信网络管理域的平台完整性管理服务,验证终端是否满足平台完整性属性关系,验证结果发送网络连接控制点;
g、网络连接控制点根据验证结果,确定接入策略;
所述完整性证明请求包含需要终端进行收集的完整性属性列表,所述完整性数据验证结果为资源组成列表。
4.根据权利要求3所述分层连接可信网络的系统,其特征在于接入终端域包括网络接入引擎、终端网络接入服务组件、完整性收集组件和用户交互界面,其中,
网络接入引擎实施接入控制消息的底层交互;
终端网络接入服务组件进行可信网络接入时的终端信息的管理;
完整性收集组件进行终端的完整性状态收集;
用户交互界面为终端用户提供操作窗口。
5.根据权利要求3所述分层连接可信网络的系统,其特征在于网络连接控制点包括进行连接控制的网络设备和负责基于用户身份、平台身份以及平台完整性进行接入的授权子系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010588246 CN102035837B (zh) | 2010-12-07 | 2010-12-07 | 一种分层连接可信网络的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010588246 CN102035837B (zh) | 2010-12-07 | 2010-12-07 | 一种分层连接可信网络的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102035837A CN102035837A (zh) | 2011-04-27 |
| CN102035837B true CN102035837B (zh) | 2013-06-05 |
Family
ID=43888160
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010588246 Active CN102035837B (zh) | 2010-12-07 | 2010-12-07 | 一种分层连接可信网络的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102035837B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103079200B (zh) * | 2011-10-26 | 2016-08-03 | 国民技术股份有限公司 | 一种无线接入的认证方法、系统及无线路由器 |
| CN103312675B (zh) * | 2012-03-13 | 2016-05-18 | 中国科学院软件研究所 | 一种面向属性保护的数字身份服务方法及其系统 |
| CN102685126A (zh) * | 2012-05-08 | 2012-09-19 | 国民技术股份有限公司 | 一种网络平台身份认证系统和方法 |
| CN103023922B (zh) * | 2012-12-05 | 2014-07-02 | 清华大学 | 基于控制流模型行为的动态远程证明方法 |
| CN103139221B (zh) * | 2013-03-07 | 2016-07-06 | 中国科学院软件研究所 | 一种可信虚拟平台及其构建方法、平台之间数据迁移方法 |
| CN104333541A (zh) * | 2014-10-21 | 2015-02-04 | 广东金赋信息科技有限公司 | 一种可信自助服务系统 |
| CN104735054B (zh) * | 2015-02-06 | 2018-03-02 | 西安电子科技大学 | 数字家庭设备可信接入平台及认证方法 |
| CN107196905B (zh) * | 2017-03-31 | 2020-09-08 | 山东超越数控电子股份有限公司 | 一种Windows平台可信网络接入客户端及接入方法 |
| CN108011873B (zh) * | 2017-11-28 | 2020-09-04 | 江苏方天电力技术有限公司 | 一种基于集合覆盖的非法连接判断方法 |
| CN109413107A (zh) * | 2018-12-18 | 2019-03-01 | 北京可信华泰信息技术有限公司 | 一种可信平台连接方法 |
| CN112910659B (zh) * | 2021-02-23 | 2024-03-08 | 华能(浙江)能源开发有限公司玉环分公司 | 一种基于可信网络引导构建可信链的方法和系统 |
| CN112966260A (zh) * | 2021-03-03 | 2021-06-15 | 北京中安星云软件技术有限公司 | 一种基于国产化可信计算平台的数据安全代理系统及方法 |
| CN115987629A (zh) * | 2022-12-22 | 2023-04-18 | 四川启睿克科技有限公司 | 基于分布式加密隧道的网络系统及组网方法 |
| CN117082147B (zh) * | 2023-10-16 | 2023-12-15 | 中国电子科技集团公司第三十研究所 | 应用程序网络访问控制方法、系统、设备和介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101136928A (zh) * | 2007-10-19 | 2008-03-05 | 北京工业大学 | 一种可信网络接入框架 |
| CN101350721A (zh) * | 2007-07-20 | 2009-01-21 | 华为技术有限公司 | 一种网络系统、网络接入方法及网络设备 |
| CN101425903A (zh) * | 2008-07-16 | 2009-05-06 | 冯振周 | 一种基于身份的可信网络架构 |
-
2010
- 2010-12-07 CN CN 201010588246 patent/CN102035837B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350721A (zh) * | 2007-07-20 | 2009-01-21 | 华为技术有限公司 | 一种网络系统、网络接入方法及网络设备 |
| CN101136928A (zh) * | 2007-10-19 | 2008-03-05 | 北京工业大学 | 一种可信网络接入框架 |
| CN101425903A (zh) * | 2008-07-16 | 2009-05-06 | 冯振周 | 一种基于身份的可信网络架构 |
Non-Patent Citations (4)
| Title |
|---|
| 《可信计算环境证明方法研究》;冯登国等;《计算机学报》;20080930;第31卷(第9期);全文 * |
| 《基于可信芯片的终端平台匿名身份建立方法研究》;于爱民等;《计算机学报》;20100930;第33卷(第9期);第2页第1栏第9-27行,第8页第2栏第8-16行,第2栏的图2,图3 * |
| 于爱民等.《基于可信芯片的终端平台匿名身份建立方法研究》.《计算机学报》.2010,第33卷(第9期), |
| 冯登国等.《可信计算环境证明方法研究》.《计算机学报》.2008,第31卷(第9期), |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102035837A (zh) | 2011-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102035837B (zh) | 一种分层连接可信网络的方法及系统 | |
| Esposito et al. | Blockchain-based authentication and authorization for smart city applications | |
| Javaid et al. | Blockpro: Blockchain based data provenance and integrity for secure iot environments | |
| CN112417037B (zh) | 一种工业领域分布式身份认证的区块链构建方法 | |
| US20200213305A1 (en) | Managing internet of things devices using blockchain operations | |
| Metke et al. | Smart grid security technology | |
| Metke et al. | Security technology for smart grid networks | |
| CN107528864A (zh) | 异构网络数据处理方法及系统 | |
| Talib et al. | Security framework of cloud data storage based on multi agent system architecture: Semantic literature review | |
| Dwivedi et al. | Smart contract and IPFS-based trustworthy secure data storage and device authentication scheme in fog computing environment | |
| Cui et al. | IoT data management and lineage traceability: A blockchain-based solution | |
| CN101594386A (zh) | 基于分布式策略验证的可信虚拟组织构建方法及装置 | |
| Meziane et al. | A Study of Modelling IoT Security Systems with Unified Modelling Language (UML) | |
| Xiao et al. | A novel blockchain-based digital forensics framework for preserving evidence and enabling investigation in industrial Internet of Things | |
| Adebayo et al. | Blockchain Technology: A Panacea for IoT Security Challenge | |
| Malik et al. | An approach to secure mobile agents in automatic meter reading | |
| Hao et al. | Dbac: Directory-based access control for geographically distributed iot systems | |
| Xu et al. | DecentRAN: Decentralized Radio Access Network for 5.5 G and beyond | |
| Bobelin | Zero Trust in the Context of IoT: Industrial Literature Review, Trends, and Challenges. | |
| Reed et al. | Bulwark: A framework to store iot data in user accounts | |
| Zhou | Industrial internet sensor node construction and system construction based on blockchain technology | |
| Pavlov | Security aspects of digital twins in IoT platform | |
| Tu et al. | A Blockchain‐Enabled Trusted Protocol Based on Whole‐Process User Behavior in 6G Network | |
| Bravi et al. | Exploiting the DICE specification to ensure strong identity and integrity of IoT devices | |
| Bitebo et al. | Design and Implementation of Distributed Identity and Access Management Framework for Internet of Things (IoT) Enabled Distribution Automation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: GUANGZHOU KAMFU INFORMATION TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: INST. OF SOFTWARE, CHINESE ACADEMY OF SCIENCES Effective date: 20130116 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100190 HAIDIAN, BEIJING TO: 528200 FOSHAN, GUANGDONG PROVINCE |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20130116 Address after: No. 5 on the third floor of the 528200 Guangdong Province Nanhai District of Foshan City, Guicheng deep sea No. 17 Han day science and technology city A District Applicant after: Guangdong Kamfu Information Technology Co., Ltd. Address before: 100190 Beijing, Zhongguancun, South Street, No. four, No. 4, No. Applicant before: Institute of Software, Chinese Academy of Sciences |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Method and system for hierarchically connecting trusted networks Effective date of registration: 20131024 Granted publication date: 20130605 Pledgee: Guangdong Nanhai rural commercial bank Limited by Share Ltd Guicheng branch Pledgor: Guangdong Kamfu Information Technology Co., Ltd. Registration number: 2013990000781 |
|
| PLDC | Enforcement, change and cancellation of contracts on pledge of patent right or utility model | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20141118 Granted publication date: 20130605 Pledgee: Guangdong Nanhai rural commercial bank Limited by Share Ltd Guicheng branch Pledgor: Guangdong Kamfu Information Technology Co., Ltd. Registration number: 2013990000781 |
|
| PLDC | Enforcement, change and cancellation of contracts on pledge of patent right or utility model | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 528200 Guangdong Province, Southeast of Foshan City Nanhai District Guicheng Street East Road salt block B6 Guicheng electronic city comprehensive area on the third floor Patentee after: Guangdong Jin Fu Polytron Technologies Inc Address before: No. 5 on the third floor of the 528200 Guangdong Province Nanhai District of Foshan City, Guicheng deep sea No. 17 Han day science and technology city A District Patentee before: Guangdong Kamfu Information Technology Co., Ltd. |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Method and system for hierarchically connecting trusted networks Effective date of registration: 20180615 Granted publication date: 20130605 Pledgee: Guangdong Nanhai rural commercial bank Limited by Share Ltd Guicheng branch Pledgor: Guangdong Jin Fu Polytron Technologies Inc Registration number: 2018440000151 |