CN104079570B - 一种基于IPsec的可信网络连接方法 - Google Patents

一种基于IPsec的可信网络连接方法 Download PDF

Info

Publication number
CN104079570B
CN104079570B CN201410294716.7A CN201410294716A CN104079570B CN 104079570 B CN104079570 B CN 104079570B CN 201410294716 A CN201410294716 A CN 201410294716A CN 104079570 B CN104079570 B CN 104079570B
Authority
CN
China
Prior art keywords
tnc
service ends
ike
clients
integrity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201410294716.7A
Other languages
English (en)
Other versions
CN104079570A (zh
Inventor
刘毅
周艳钢
余发江
肖霄
冯振新
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Neusoft Hui Medical Information Technology Co ltd
Original Assignee
EAST-LAKE SOFTWARE SCIENCE-PARK CORP Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by EAST-LAKE SOFTWARE SCIENCE-PARK CORP Ltd filed Critical EAST-LAKE SOFTWARE SCIENCE-PARK CORP Ltd
Priority to CN201410294716.7A priority Critical patent/CN104079570B/zh
Publication of CN104079570A publication Critical patent/CN104079570A/zh
Application granted granted Critical
Publication of CN104079570B publication Critical patent/CN104079570B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于可信网络连接(TNC)技术领域,具体而言,本发明涉及一种基于IPsec的可信网络连接方法,使得终端和服务器之间通过IKE会话,周期性更新安全联盟(SA)时,也周期性进行了双向平台身份认证、完整性验证。从而既保证了终端平台的动态可信,保证了应用服务器的访问安全;也保证了终端从网络中获取的服务可信。

Description

一种基于IPsec的可信网络连接方法
技术领域
本发明属于可信网络连接(TNC)技术领域,具体而言,本发明涉及一种基于IPsec的可信网络连接方法。
背景技术
在标准的可信网络连接(TNC)架构中,只是在终端接入网络的过程中对终端进行了平台身份认证与完整性验证,在终端接入网络之后就没有相应的措施对网络和终端进行保护。终端平台有可能在接入后发生可信状态的改变,因此有必要增加整个接入过程的控制机制,保证终端平台的动态可信。
同时,传统可信网络连接(TNC)的出发点是保证网络的安全性,因此该架构没有考虑如何保护终端的安全。终端在接入网络之前,除了要提供自身的平台可信性证据之外,还应该具有对接入网络进行可信性评估,否则无法保证从网络中获取的服务可信。
发明内容
本发明主要是解决现有技术所存在的技术问题,提供一种能够使终端和服务器之间通过IKE会话,周期性更新安全联盟(SA)时,也周期性进行了双向平台身份认证、完整性验证,从而既保证了终端平台的动态可信、应用服务器的访问安全,也保证了终端从网络中获取的服务可信的一种基于IPsec的可信网络连接方法
本发明的上述技术问题主要是通过下述技术方案得以解决的:
一种基于IPsec的可信网络连接方法,基于一个基本架构,即:可信终端在访问可信服务器的过程中,底层通讯通路使用IPsec安全通道,IPsec安全通道所使用安全联盟的生命周期结束前,需要双方进行IKE会话,生成新的安全联盟;其特征在于,包括以下步骤:
步骤1、IKE客户端向IKE服务端发起密钥协商;成功后IKE服务端通知TNC服务端有一个IKE协商请求到来,若不成功则整个步骤结束;
步骤2、TNC服务端和TNC客户端进行双向平台验证,并根据验证结果进行如下操作:
选择操作一: TNC客户端和TNC服务端之间的平台验证成功完成,TNC服务端通知认证中心新的IKE协商请求已经发生,需要进行完整性验证。同时TNC客户端通知完整性收集器新的IKE协商请求已经发生,需要准备完整性相关信息。完整性收集器向TNC客户端返回平台完整性消息;并继续进行下一步的操作;
选择操作二:TNC客户端和TNC服务端之间的平台验证失败,则整个步骤结束;
步骤3、完整性收集器和认证中心之间进行完整性消息交换、验证,该完整性消息交换、验证通过TNC客户端和TNC服务端进行;同时完整性消息将会被IPsec客户端、IPsec服务端转发,直到可信终端的完整性状态满足TNC服务端的要求;
步骤4、当TNC服务端完成和TNC客户端的完整性验证握手之后,它发送TNC服务端推荐操作给IKE服务端;
步骤5、IKE服务端将IKE协商的结果通知相关各方。
在上述的一种基于IPsec的可信网络连接方法,所述步骤3中,完整性消息交换、验证的具体方法是:
步骤3.1、TNC客户端和TNC服务端交换完整性验证相关的各种信息。这些信息将会被IPsec客户端、IPsec服务端转发,直到可信终端的完整性状态满足TNC服务端的要求。
步骤3.2、TNC服务端将每个完整性收集器收集的完整性信息发送给认证中心。认证中心对完整性收集器收集的完整性信息进行分析,如果认证中心需要更多的完整性信息,它将通过IF-IMV接口向TNC服务端发送信息。如果认证中心已经对完整性收集器收集的完整性信息做出判断,它将结果通过IF-IMV接口发送给TNC服务端。
步骤3.3、TNC客户端也要转发来自TNC服务端的信息给相应的完整性收集器,并将来自完整性收集器的信息发给TNC服务端。
在上述的一种基于IPsec的可信网络连接方法,所述步骤5中,具体需要通知的对象如下:
通知对象一:IKE服务端将IKE协商结果通知给IKE客户端,IKE协商完成;
通知对象二:IKE服务端将IKE协商结果通知给网络访问授权模块,并根据协商结果对该终端的访问控制策略进行更新;具体是:若IKE协商结果为协商成功,则对网络访问授权模块的访问控制策略进行禁止访问的更新;若IKE协商结果为协商失败,则对网络访问授权模块的访问控制策略进行允许访问的更新;
通知对象三:IKE服务端将协商成功的终端与服务器之间安全联盟通告给IPsec服务端,IKE客户端将协商成功的终端与服务器之间安全联盟通告给IPsec客户端。
因此,本发明具有如下优点:能够使终端和服务器之间通过IKE会话,周期性更新安全联盟(SA)时,也周期性进行了双向平台身份认证、完整性验证。从而既保证了终端平台的动态可信、应用服务器的访问安全;也保证了终端从网络中获取的服务可信。
附图说明
附图1是本发明的一种方法原理示意图。
具体实施方式
下面通过实施例并结合附图对本发明的技术方案作进一步具体的说明。
实施例:
可信终端在访问可信服务器的过程中,底层通讯通路使用的是IPsec安全通道。IPsec安全通道所使用安全联盟(SA)的生命周期结束前,需要双方进行IKE会话,生成新的安全联盟(SA)。
本专利将平台身份认证、完整性验证加入IKE会话连接建立的过程中,使得终端和服务器之间通过IKE会话,周期性更新安全联盟(SA)时,也周期性进行了平台身份认证、完整性验证。步骤如下:
1)IKE客户端向IKE服务端发起协商,第一步进行密钥协商。
2)IKE客户端和IKE服务端之间密钥协商成功,则IKE服务端通知TNC服务端有一个IKE协商请求到来。
3)TNC服务端和TNC客户端进行双向平台验证。
4)假定TNC客户端和TNC服务端之间的平台验证成功完成,TNC服务端通知认证中心新的IKE协商请求已经发生,需要进行完整性验证。同时TNC客户端通知完整性收集器新的IKE协商请求已经发生,需要准备完整性相关信息。完整性收集器向TNC客户端返回平台完整性消息。
5)第五步主要涉及完整性收集器、认证中心之间进行完整性消息交换、验证
a)TNC客户端和TNC服务端交换完整性验证相关的各种信息。这些信息将会被IPsec客户端、IPsec服务端转发,直到可信终端的完整性状态满足TNC服务端的要求。
b)TNC服务端将每个完整性收集器收集的完整性信息发送给认证中心。认证中心对完整性收集器收集的完整性信息进行分析,如果认证中心需要更多的完整性信息,它将通过IF-IMV接口向TNC服务端发送信息。如果认证中心已经对完整性收集器收集的完整性信息做出判断,它将结果通过IF-IMV接口发送给TNC服务端。
c) TNC客户端也要转发来自TNC服务端的信息给相应的完整性收集器,并将来自完整性收集器的信息发给TNC服务端。
6) 当TNC服务端完成和TNC客户端的完整性验证握手之后,它发送TNC服务端推荐操作给IKE服务端;
7) IKE服务端将IKE协商的结果通知相关各方,
a) IKE服务端将IKE协商结果通知给IKE客户端,IKE协商完成;
b) IKE服务端将IKE协商结果通知给网络访问授权模块,并根据协商结果(成功OR失败)对该终端的访问控制策略进行更新(禁止访问OR允许访问);
c)IKE服务端将协商成功的终端与服务器之间安全联盟(SA)通告给IPsec服务端,IKE客户端将协商成功的终端与服务器之间安全联盟(SA)通告给IPsec客户端。
到此,一次完整的IKE会话结束。在IKE会话中,服务器再次确认终端的平台身份、完整性状态后,终端和服务器使用新的安全联盟(SA)建立IPsec通道,传输终端访问应用服务器的数据包。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

Claims (1)

1.一种基于IPsec的可信网络连接方法,基于一个基本架构,即:可信终端在访问可信服务器的过程中,底层通讯通路使用IPsec安全通道,IPsec安全通道所使用安全联盟的生命周期结束前,需要双方进行IKE会话,生成新的安全联盟;其特征在于,包括以下步骤:
步骤1、IKE客户端向IKE服务端发起密钥协商;成功后IKE服务端通知TNC服务端有一个IKE协商请求到来,若不成功则整个步骤结束;
步骤2、TNC服务端和TNC客户端进行双向平台验证,并根据验证结果进行如下操作:
选择操作一: TNC客户端和TNC服务端之间的平台验证成功完成,TNC服务端通知认证中心新的IKE协商请求已经发生,需要进行完整性验证;同时TNC客户端通知完整性收集器新的IKE协商请求已经发生,需要准备完整性相关信息;完整性收集器向TNC客户端返回平台完整性消息;并继续进行下一步的操作;
选择操作二:TNC客户端和TNC服务端之间的平台验证失败,则整个步骤结束;
步骤3、完整性收集器和认证中心之间进行完整性消息交换、验证,该完整性消息交换、验证通过TNC客户端和TNC服务端进行;同时完整性消息将会被IPsec客户端、IPsec服务端转发,直到可信终端的完整性状态满足TNC服务端的要求;
所述的完整性消息交换、验证的具体方法是:
步骤3.1、TNC客户端和TNC服务端交换完整性验证相关的各种信息;这些信息将会被IPsec客户端、IPsec服务端转发,直到可信终端的完整性状态满足TNC服务端的要求;
步骤3.2、TNC服务端将每个完整性收集器收集的完整性信息发送给认证中心;认证中心对完整性收集器收集的完整性信息进行分析,如果认证中心需要更多的完整性信息,它将通过IF-IMV接口向TNC服务端发送信息;如果认证中心已经对完整性收集器收集的完整性信息做出判断,它将结果通过IF-IMV接口发送给TNC服务端;
步骤3.3、TNC客户端也要转发来自TNC服务端的信息给相应的完整性收集器,并将来自完整性收集器的信息发给TNC服务端;
步骤4、当TNC服务端完成和TNC客户端的完整性验证握手之后,它发送TNC服务端推荐操作给IKE服务端;
步骤5、IKE服务端将IKE协商的结果通知相关各方;
具体需要通知的对象如下:
通知对象一:IKE服务端将IKE协商结果通知给IKE客户端,IKE协商完成;
通知对象二:IKE服务端将IKE协商结果通知给网络访问授权模块,并根据协商结果对该终端的访问控制策略进行更新;具体是:若IKE协商结果为协商成功,则对网络访问授权模块的访问控制策略进行禁止访问的更新;若IKE协商结果为协商失败,则对网络访问授权模块的访问控制策略进行允许访问的更新;
通知对象三:IKE服务端将协商成功的终端与服务器之间安全联盟通告给IPsec服务端,IKE客户端将协商成功的终端与服务器之间安全联盟通告给IPsec客户端。
CN201410294716.7A 2014-06-27 2014-06-27 一种基于IPsec的可信网络连接方法 Expired - Fee Related CN104079570B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410294716.7A CN104079570B (zh) 2014-06-27 2014-06-27 一种基于IPsec的可信网络连接方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410294716.7A CN104079570B (zh) 2014-06-27 2014-06-27 一种基于IPsec的可信网络连接方法

Publications (2)

Publication Number Publication Date
CN104079570A CN104079570A (zh) 2014-10-01
CN104079570B true CN104079570B (zh) 2017-09-22

Family

ID=51600613

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410294716.7A Expired - Fee Related CN104079570B (zh) 2014-06-27 2014-06-27 一种基于IPsec的可信网络连接方法

Country Status (1)

Country Link
CN (1) CN104079570B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109802954A (zh) * 2018-12-29 2019-05-24 北京奇安信科技有限公司 一种用于数据传输中对IPSec SA进行删除的方法及装置
CN112134777B (zh) * 2020-09-09 2022-02-01 中国科学院信息工程研究所 一种可信IPSec模组与VPN隧道构建方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1848722A (zh) * 2005-04-14 2006-10-18 联想(北京)有限公司 建立可信虚拟专用网连接的方法和系统
CN101136928A (zh) * 2007-10-19 2008-03-05 北京工业大学 一种可信网络接入框架
CN101159640A (zh) * 2007-11-16 2008-04-09 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络接入控制系统
CN101242268A (zh) * 2007-08-03 2008-08-13 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络连接系统
CN101242266A (zh) * 2007-08-01 2008-08-13 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络连接方法
CN101350721A (zh) * 2007-07-20 2009-01-21 华为技术有限公司 一种网络系统、网络接入方法及网络设备
EP2211570A1 (en) * 2007-11-16 2010-07-28 China Iwncomm Co., Ltd A trusted network access controlling method based on tri-element peer authentication
CN102970293A (zh) * 2012-11-20 2013-03-13 杭州华三通信技术有限公司 一种设备间安全联盟同步方法及装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1848722A (zh) * 2005-04-14 2006-10-18 联想(北京)有限公司 建立可信虚拟专用网连接的方法和系统
CN101350721A (zh) * 2007-07-20 2009-01-21 华为技术有限公司 一种网络系统、网络接入方法及网络设备
CN101242266A (zh) * 2007-08-01 2008-08-13 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络连接方法
CN101242268A (zh) * 2007-08-03 2008-08-13 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络连接系统
CN101136928A (zh) * 2007-10-19 2008-03-05 北京工业大学 一种可信网络接入框架
CN101159640A (zh) * 2007-11-16 2008-04-09 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络接入控制系统
EP2211570A1 (en) * 2007-11-16 2010-07-28 China Iwncomm Co., Ltd A trusted network access controlling method based on tri-element peer authentication
CN102970293A (zh) * 2012-11-20 2013-03-13 杭州华三通信技术有限公司 一种设备间安全联盟同步方法及装置

Also Published As

Publication number Publication date
CN104079570A (zh) 2014-10-01

Similar Documents

Publication Publication Date Title
US10499246B2 (en) Hardware identification-based security authentication service for IoT devices
CN102647461B (zh) 基于超文本传输协议的通信方法、服务器、终端
CN102685749B (zh) 面向移动终端的无线安全身份验证方法
CN102448061B (zh) 一种基于移动终端防钓鱼攻击的方法和系统
CN104756458B (zh) 用于保护通信网络中的连接的方法和设备
CN111447276B (zh) 一种具有密钥协商功能的加密续传方法
CN107846447A (zh) 一种基于mqtt协议的家庭终端接入消息中间件的方法
CN103023911B (zh) 可信网络设备接入可信网络认证方法
CN110267270B (zh) 一种变电站内传感器终端接入边缘网关身份认证方法
CN105262597B (zh) 网络接入认证方法、客户终端、接入设备及认证设备
JP2016525838A (ja) 暗号化通信方法、及び、暗号化通信システム
CN103095731A (zh) 一种基于签名机制的rest安全系统
CN101388777B (zh) 一种通信系统中跨系统访问的第三方认证方法和系统
CN103647788B (zh) 一种智能电网中的节点安全认证方法
CN102868531A (zh) 一种网络交易认证系统和网络交易认证方法
CN107360125A (zh) 接入认证方法、无线接入点和用户终端
CN106209811A (zh) 蓝牙设备安全登录身份验证方法及装置
CN106534050A (zh) 一种实现虚拟专用网络密钥协商的方法和装置
CN105407102B (zh) http请求数据可靠性验证方法
CN108616350A (zh) 一种基于对称密钥池的HTTP-Digest类AKA身份认证系统和方法
CN102255904B (zh) 一种通信网络以及对终端的认证方法
CN104079570B (zh) 一种基于IPsec的可信网络连接方法
CN104811451A (zh) 登陆链接方法及系统
CN102629928B (zh) 一种基于公共密钥的互联网彩票系统安全链路实施方法
CN106656504B (zh) 一种签名设备、系统及其工作方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20171227

Address after: The East Lake new technology development zone of Hubei Province, Wuhan City Road 430074 No. 1 central China Shuguang software A8 building 3 layer 311-313

Patentee after: Wuhan Neusoft Hui Medical Information Technology Co.,Ltd.

Address before: 430070 Hubei Province, Wuhan city Wuchang District Kuanshan road Optics Valley Software Park Building 3 floor A8

Patentee before: EAST-LAKE SOFTWARE SCIENCE-PARK Corp.,Ltd.

CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20170922