CN104079570A - 一种基于IPsec的可信网络连接方法 - Google Patents
一种基于IPsec的可信网络连接方法 Download PDFInfo
- Publication number
- CN104079570A CN104079570A CN201410294716.7A CN201410294716A CN104079570A CN 104079570 A CN104079570 A CN 104079570A CN 201410294716 A CN201410294716 A CN 201410294716A CN 104079570 A CN104079570 A CN 104079570A
- Authority
- CN
- China
- Prior art keywords
- service end
- tnc
- ike
- client
- ipsec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于可信网络连接(TNC)技术领域,具体而言,本发明涉及一种基于IPsec的可信网络连接方法,使得终端和服务器之间通过IKE会话,周期性更新安全联盟(SA)时,也周期性进行了双向平台身份认证、完整性验证。从而既保证了终端平台的动态可信,保证了应用服务器的访问安全;也保证了终端从网络中获取的服务可信。
Description
技术领域
本发明属于可信网络连接(TNC)技术领域,具体而言,本发明涉及一种基于IPsec的可信网络连接方法。
背景技术
在标准的可信网络连接(TNC)架构中,只是在终端接入网络的过程中对终端进行了平台身份认证与完整性验证,在终端接入网络之后就没有相应的措施对网络和终端进行保护。终端平台有可能在接入后发生可信状态的改变,因此有必要增加整个接入过程的控制机制,保证终端平台的动态可信。
同时,传统可信网络连接(TNC)的出发点是保证网络的安全性,因此该架构没有考虑如何保护终端的安全。终端在接入网络之前,除了要提供自身的平台可信性证据之外,还应该具有对接入网络进行可信性评估,否则无法保证从网络中获取的服务可信。
发明内容
本发明主要是解决现有技术所存在的技术问题,提供一种能够使终端和服务器之间通过IKE会话,周期性更新安全联盟(SA)时,也周期性进行了双向平台身份认证、完整性验证,从而既保证了终端平台的动态可信、应用服务器的访问安全,也保证了终端从网络中获取的服务可信的一种基于IPsec的可信网络连接方法
本发明的上述技术问题主要是通过下述技术方案得以解决的:
一种基于IPsec的可信网络连接方法,基于一个基本架构,即:可信终端在访问可信服务器的过程中,底层通讯通路使用IPsec安全通道,IPsec安全通道所使用安全联盟的生命周期结束前,需要双方进行IKE会话,生成新的安全联盟;其特征在于,包括以下步骤:
步骤1、IKE客户端向IKE服务端发起密钥协商;成功后IKE服务端通知TNC服务端有一个IKE协商请求到来,若不成功则整个步骤结束;
步骤2、TNC服务端和TNC客户端进行双向平台验证,并根据验证结果进行如下操作:
选择操作一: TNC客户端和TNC服务端之间的平台验证成功完成,TNC服务端通知认证中心新的IKE协商请求已经发生,需要进行完整性验证。同时TNC客户端通知完整性收集器新的IKE协商请求已经发生,需要准备完整性相关信息。完整性收集器向TNC客户端返回平台完整性消息;并继续进行下一步的操作;
选择操作二:TNC客户端和TNC服务端之间的平台验证失败,则整个步骤结束;
步骤3、完整性收集器和认证中心之间进行完整性消息交换、验证,该完整性消息交换、验证通过TNC客户端和TNC服务端进行;同时完整性消息将会被IPsec客户端、IPsec服务端转发,直到可信终端的完整性状态满足TNC服务端的要求;
步骤4、当TNC服务端完成和TNC客户端的完整性验证握手之后,它发送TNC服务端推荐操作给IKE服务端;
步骤5、IKE服务端将IKE协商的结果通知相关各方。
在上述的一种基于IPsec的可信网络连接方法,所述步骤3中,完整性消息交换、验证的具体方法是:
步骤3.1、TNC客户端和TNC服务端交换完整性验证相关的各种信息。这些信息将会被IPsec客户端、IPsec服务端转发,直到可信终端的完整性状态满足TNC服务端的要求。
步骤3.2、TNC服务端将每个完整性收集器收集的完整性信息发送给认证中心。认证中心对完整性收集器收集的完整性信息进行分析,如果认证中心需要更多的完整性信息,它将通过IF-IMV接口向TNC服务端发送信息。如果认证中心已经对完整性收集器收集的完整性信息做出判断,它将结果通过IF-IMV接口发送给TNC服务端。
步骤3.3、TNC客户端也要转发来自TNC服务端的信息给相应的完整性收集器,并将来自完整性收集器的信息发给TNC服务端。
在上述的一种基于IPsec的可信网络连接方法,所述步骤5中,具体需要通知的对象如下:
通知对象一:IKE服务端将IKE协商结果通知给IKE客户端,IKE协商完成;
通知对象二:IKE服务端将IKE协商结果通知给网络访问授权模块,并根据协商结果对该终端的访问控制策略进行更新;具体是:若IKE协商结果为协商成功,则对网络访问授权模块的访问控制策略进行禁止访问的更新;若IKE协商结果为协商失败,则对网络访问授权模块的访问控制策略进行允许访问的更新;
通知对象三:IKE服务端将协商成功的终端与服务器之间安全联盟通告给IPsec服务端,IKE客户端将协商成功的终端与服务器之间安全联盟通告给IPsec客户端。
因此,本发明具有如下优点:能够使终端和服务器之间通过IKE会话,周期性更新安全联盟(SA)时,也周期性进行了双向平台身份认证、完整性验证。从而既保证了终端平台的动态可信、应用服务器的访问安全;也保证了终端从网络中获取的服务可信。
附图说明
附图1是本发明的一种方法原理示意图。
具体实施方式
下面通过实施例并结合附图对本发明的技术方案作进一步具体的说明。
实施例:
可信终端在访问可信服务器的过程中,底层通讯通路使用的是IPsec安全通道。IPsec安全通道所使用安全联盟(SA)的生命周期结束前,需要双方进行IKE会话,生成新的安全联盟(SA)。
本专利将平台身份认证、完整性验证加入IKE会话连接建立的过程中,使得终端和服务器之间通过IKE会话,周期性更新安全联盟(SA)时,也周期性进行了平台身份认证、完整性验证。步骤如下:
1) IKE客户端向IKE服务端发起协商,第一步进行密钥协商。
2) IKE客户端和IKE服务端之间密钥协商成功,则IKE服务端通知TNC服务端有一个IKE协商请求到来。
3) TNC服务端和TNC客户端进行双向平台验证。
4) 假定TNC客户端和TNC服务端之间的平台验证成功完成,TNC服务端通知认证中心新的IKE协商请求已经发生,需要进行完整性验证。同时TNC客户端通知完整性收集器新的IKE协商请求已经发生,需要准备完整性相关信息。完整性收集器向TNC客户端返回平台完整性消息。
5) 第五步主要涉及完整性收集器、认证中心之间进行完整性消息交换、验证
a) TNC客户端和TNC服务端交换完整性验证相关的各种信息。这些信息将会被IPsec客户端、IPsec服务端转发,直到可信终端的完整性状态满足TNC服务端的要求。
b) TNC服务端将每个完整性收集器收集的完整性信息发送给认证中心。认证中心对完整性收集器收集的完整性信息进行分析,如果认证中心需要更多的完整性信息,它将通过IF-IMV接口向TNC服务端发送信息。如果认证中心已经对完整性收集器收集的完整性信息做出判断,它将结果通过IF-IMV接口发送给TNC服务端。
c) TNC客户端也要转发来自TNC服务端的信息给相应的完整性收集器,并将来自完整性收集器的信息发给TNC服务端。
6) 当TNC服务端完成和TNC客户端的完整性验证握手之后,它发送TNC服务端推荐操作给IKE服务端;
7) IKE服务端将IKE协商的结果通知相关各方,
a) IKE服务端将IKE协商结果通知给IKE客户端,IKE协商完成;
b) IKE服务端将IKE协商结果通知给网络访问授权模块,并根据协商结果(成功OR失败)对该终端的访问控制策略进行更新(禁止访问OR允许访问);
c) IKE服务端将协商成功的终端与服务器之间安全联盟(SA)通告给IPsec服务端,IKE客户端将协商成功的终端与服务器之间安全联盟(SA)通告给IPsec客户端。
到此,一次完整的IKE会话结束。在IKE会话中,服务器再次确认终端的平台身份、完整性状态后,终端和服务器使用新的安全联盟(SA)建立IPsec通道,传输终端访问应用服务器的数据包。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。
Claims (3)
1.一种基于IPsec的可信网络连接方法,基于一个基本架构,即:可信终端在访问可信服务器的过程中,底层通讯通路使用IPsec安全通道,IPsec安全通道所使用安全联盟的生命周期结束前,需要双方进行IKE会话,生成新的安全联盟;其特征在于,包括以下步骤:
步骤1、IKE客户端向IKE服务端发起密钥协商;成功后IKE服务端通知TNC服务端有一个IKE协商请求到来,若不成功则整个步骤结束;
步骤2、TNC服务端和TNC客户端进行双向平台验证,并根据验证结果进行如下操作:
选择操作一: TNC客户端和TNC服务端之间的平台验证成功完成,TNC服务端通知认证中心新的IKE协商请求已经发生,需要进行完整性验证;同时TNC客户端通知完整性收集器新的IKE协商请求已经发生,需要准备完整性相关信息;完整性收集器向TNC客户端返回平台完整性消息;并继续进行下一步的操作;
选择操作二:TNC客户端和TNC服务端之间的平台验证失败,则整个步骤结束;
步骤3、完整性收集器和认证中心之间进行完整性消息交换、验证,该完整性消息交换、验证通过TNC客户端和TNC服务端进行;同时完整性消息将会被IPsec客户端、IPsec服务端转发,直到可信终端的完整性状态满足TNC服务端的要求;
步骤4、当TNC服务端完成和TNC客户端的完整性验证握手之后,它发送TNC服务端推荐操作给IKE服务端;
步骤5、IKE服务端将IKE协商的结果通知相关各方。
2.根据权利要求1所述的一种基于IPsec的可信网络连接方法,其特征在于,所述步骤3中,完整性消息交换、验证的具体方法是:
步骤3.1、TNC客户端和TNC服务端交换完整性验证相关的各种信息;这些信息将会被IPsec客户端、IPsec服务端转发,直到可信终端的完整性状态满足TNC服务端的要求;
步骤3.2、TNC服务端将每个完整性收集器收集的完整性信息发送给认证中心;认证中心对完整性收集器收集的完整性信息进行分析,如果认证中心需要更多的完整性信息,它将通过IF-IMV接口向TNC服务端发送信息;如果认证中心已经对完整性收集器收集的完整性信息做出判断,它将结果通过IF-IMV接口发送给TNC服务端;
步骤3.3、TNC客户端也要转发来自TNC服务端的信息给相应的完整性收集器,并将来自完整性收集器的信息发给TNC服务端。
3.根据权利要求1所述的一种基于IPsec的可信网络连接方法,其特征在于,所述步骤5中,具体需要通知的对象如下:
通知对象一:IKE服务端将IKE协商结果通知给IKE客户端,IKE协商完成;
通知对象二:IKE服务端将IKE协商结果通知给网络访问授权模块,并根据协商结果对该终端的访问控制策略进行更新;具体是:若IKE协商结果为协商成功,则对网络访问授权模块的访问控制策略进行禁止访问的更新;若IKE协商结果为协商失败,则对网络访问授权模块的访问控制策略进行允许访问的更新;
通知对象三:IKE服务端将协商成功的终端与服务器之间安全联盟通告给IPsec服务端,IKE客户端将协商成功的终端与服务器之间安全联盟通告给IPsec客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410294716.7A CN104079570B (zh) | 2014-06-27 | 2014-06-27 | 一种基于IPsec的可信网络连接方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410294716.7A CN104079570B (zh) | 2014-06-27 | 2014-06-27 | 一种基于IPsec的可信网络连接方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104079570A true CN104079570A (zh) | 2014-10-01 |
| CN104079570B CN104079570B (zh) | 2017-09-22 |
Family
ID=51600613
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410294716.7A Expired - Fee Related CN104079570B (zh) | 2014-06-27 | 2014-06-27 | 一种基于IPsec的可信网络连接方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104079570B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109802954A (zh) * | 2018-12-29 | 2019-05-24 | 北京奇安信科技有限公司 | 一种用于数据传输中对IPSec SA进行删除的方法及装置 |
| CN112134777A (zh) * | 2020-09-09 | 2020-12-25 | 中国科学院信息工程研究所 | 一种可信IPSec模组与VPN隧道构建方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1848722A (zh) * | 2005-04-14 | 2006-10-18 | 联想(北京)有限公司 | 建立可信虚拟专用网连接的方法和系统 |
| CN101136928A (zh) * | 2007-10-19 | 2008-03-05 | 北京工业大学 | 一种可信网络接入框架 |
| CN101159640A (zh) * | 2007-11-16 | 2008-04-09 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制系统 |
| CN101242268A (zh) * | 2007-08-03 | 2008-08-13 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接系统 |
| CN101242266A (zh) * | 2007-08-01 | 2008-08-13 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接方法 |
| CN101350721A (zh) * | 2007-07-20 | 2009-01-21 | 华为技术有限公司 | 一种网络系统、网络接入方法及网络设备 |
| EP2211570A1 (en) * | 2007-11-16 | 2010-07-28 | China Iwncomm Co., Ltd | A trusted network access controlling method based on tri-element peer authentication |
| CN102970293A (zh) * | 2012-11-20 | 2013-03-13 | 杭州华三通信技术有限公司 | 一种设备间安全联盟同步方法及装置 |
-
2014
- 2014-06-27 CN CN201410294716.7A patent/CN104079570B/zh not_active Expired - Fee Related
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1848722A (zh) * | 2005-04-14 | 2006-10-18 | 联想(北京)有限公司 | 建立可信虚拟专用网连接的方法和系统 |
| CN101350721A (zh) * | 2007-07-20 | 2009-01-21 | 华为技术有限公司 | 一种网络系统、网络接入方法及网络设备 |
| CN101242266A (zh) * | 2007-08-01 | 2008-08-13 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接方法 |
| CN101242268A (zh) * | 2007-08-03 | 2008-08-13 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接系统 |
| CN101136928A (zh) * | 2007-10-19 | 2008-03-05 | 北京工业大学 | 一种可信网络接入框架 |
| CN101159640A (zh) * | 2007-11-16 | 2008-04-09 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制系统 |
| EP2211570A1 (en) * | 2007-11-16 | 2010-07-28 | China Iwncomm Co., Ltd | A trusted network access controlling method based on tri-element peer authentication |
| CN102970293A (zh) * | 2012-11-20 | 2013-03-13 | 杭州华三通信技术有限公司 | 一种设备间安全联盟同步方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109802954A (zh) * | 2018-12-29 | 2019-05-24 | 北京奇安信科技有限公司 | 一种用于数据传输中对IPSec SA进行删除的方法及装置 |
| CN112134777A (zh) * | 2020-09-09 | 2020-12-25 | 中国科学院信息工程研究所 | 一种可信IPSec模组与VPN隧道构建方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104079570B (zh) | 2017-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10986083B2 (en) | Hardware identification-based security authentication service for IoT devices | |
| CN107734502B (zh) | 基于区块链的微基站通信管理方法、系统及设备 | |
| US11843950B2 (en) | Protecting a telecommunications network using network components as blockchain nodes | |
| JP7159328B2 (ja) | 車両内電子制御ユニット間のセキュアな通信 | |
| CN112260995B (zh) | 接入认证方法、装置及服务器 | |
| CN111355684B (zh) | 一种物联网数据传输方法、装置、系统、电子设备及介质 | |
| US9232391B2 (en) | Authentication system for device-to-device communication and authentication method therefor | |
| EP2590356A1 (en) | Method, device and system for authenticating gateway, node and server | |
| CN104811433A (zh) | 一种c/s架构的分布式物联网解决方案 | |
| CN102571792A (zh) | 智能移动无线终端访问云服务器的身份认证方法 | |
| CN108650261B (zh) | 基于远程加密交互的移动终端系统软件烧录方法 | |
| CN109587142B (zh) | 一种面向业务流的数据安全接入模块和设备 | |
| CN110192399B (zh) | 重新建立无线电资源控制连接 | |
| CN105072132A (zh) | 验证方法、验证系统和通信设备 | |
| CN102255904B (zh) | 一种通信网络以及对终端的认证方法 | |
| EP3337125B1 (en) | Authenticating for an enterprise service | |
| CN104079570A (zh) | 一种基于IPsec的可信网络连接方法 | |
| JP2023535474A (ja) | アソシエーション制御方法及び関連装置 | |
| CN105162794B (zh) | 一种使用约定方式的ipsec密钥更新方法及设备 | |
| CN105828330A (zh) | 一种接入方法及装置 | |
| CN115623013A (zh) | 一种策略信息同步方法、系统及相关产品 | |
| CN109639666B (zh) | 气象数据文件传输方法和装置 | |
| CN114301967A (zh) | 窄带物联网控制方法、装置及设备 | |
| US20230124455A1 (en) | Method for testing core network function entity, testing device and non-transitory computer-readable medium | |
| US20240214816A1 (en) | Protecting a telecommunications network using network components as blockchain nodes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20171227 Address after: The East Lake new technology development zone of Hubei Province, Wuhan City Road 430074 No. 1 central China Shuguang software A8 building 3 layer 311-313 Patentee after: Wuhan Neusoft Hui Medical Information Technology Co.,Ltd. Address before: 430070 Hubei Province, Wuhan city Wuchang District Kuanshan road Optics Valley Software Park Building 3 floor A8 Patentee before: EAST-LAKE SOFTWARE SCIENCE-PARK Corp.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170922 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |