WO2009018743A1

WO2009018743A1 - Système de connexion à un réseau de confiance destiné à améliorer la sécurité

Info

Publication number: WO2009018743A1
Application number: PCT/CN2008/071700
Authority: WO
Inventors: Yuelei Xiao; Jun Cao; Xiaolong Lai; Zhenhai Huang
Original assignee: China Iwncomm Co., Ltd.
Priority date: 2007-08-08
Filing date: 2008-07-21
Publication date: 2009-02-12
Also published as: US20120005718A1; US8336081B2; KR101083152B1; RU2010107864A; CN101242401A; RU2437228C2; JP2010536203A; EP2178241A1; KR20100041869A; EP2178241A4; JP5187397B2; CN100512313C

Description

一种增强安全性的可信网络连接系统

本申请要求于 2007 年 8 月 8 日提交中国专利局、申请号为 200710018437.8、发明名称为"一种增强安全性的可信网络连接系统"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明属于网络安全技术领域，具体涉及一种增强安全性的可信网络连接系统。

背景技术

随着信息化的发展，病毒、蠕虫等恶意软件的问题异常突出。目前已经出现了超过三万五千种的恶意软件，每年都有超过四千万的计算机被感染。要遏制住这类攻击，不仅需要解决安全的传输和数据输入时的检查，还要从源头，即从每一台连接到网络的终端开始防御。而传统的安全防御技术已经无法防御种类繁多的恶意攻击。

国际可信计算组织 TCG针对这个问题，专门制定了一个基于可信计算技术的网络连接规范——可信网络连接 TNC, 简记为 TCG-TNC, 其包括了开放的终端完整性架构和一套确保安全互操作的标准。这套标准可以在用户需要时保护一个网络，且由用户自定义保护到什么程度。 TCG-TNC本质上就是要从终端的完整性开始建立连接。首先，要创建一套在可信网络内部系统运行状况的策略。只有遵守网络设定策略的终端才能访问网络，网络将隔离和定位那些不遵守策略的设备。由于使用了可信平台模块，所以还可以阻挡 root kits的攻击。 root kits是一种攻击脚本、经修改的系统程序，或者成套攻击脚本和工具，用于在一个目标系统中非法获取系统的最高控制权限。

现有 TCG-TNC架构如图 1所示，具有访问请求者 AR、策略执行点 PEP、策略决策点 PDP三类逻辑实体实体，可以分布在网络的任意位置。该 TCG-TNC 架构在纵向上可分为网络访问层、完整性评估层、完整性度量层三个层次。网络访问层具有网络访问请求者 NAR、策略执行者 PE和网络访问授权者 NAA 三个组件，以及网络授权传输协议接口 IF-T和策略实施接口 IF-PEP。网络访问层用于支持传统的网络连接技术。完整性评估层负责评估所有请求访问网络的实体的完整性。该层有两个重要的接口：完整性度量收集接口 IF-IMC和完整性度量校验接口 IF-IMV。此外，在 TNC客户端和 TNC服务端之间还具有一个完整性评估接口 IF-TNCCS。完整性度量层有完整性收集者 IMC和完整性校验者 IMV两个组件，负责收集和校验请求访问者的完整性相关信息。

现有 TCG-TNC架构一次完整的可信网络连接的信息传输过程是：在建立网络连接之前， TNC客户端 TNCC需要准备好所需要的平台完整性信息，交给完整性收集者 IMC。在一个拥有可信平台模块的终端里面，这也就是将网络策略所需的平台信息经散列后存入各个平台配置寄存器， TNC服务端 TNCS 需要预先制定平台完整性的验证要求，并交给完整性校验者 IMV。具体过程是：①.网络访问请求者 NAR向策略执行者发起访问请求。②.策略执行者将访问请求描述发送给网络访问授权者。 ③.网络访问授权者收到网络访问请求者 NAR的访问请求描述后，与网络访问请求者 NAR执行用户鉴别协议。当用户鉴别成功时，网络访问授权者将访问请求和用户鉴别成功的信息发往 TNC服务端 TNCS。 ©.TNC服务端 TNCS收到网络访问授权者发送的访问请求和用户鉴别成功的信息后，与 TNC客户端 TNCC开始执行双向平台凭证认证，比如验证平台的身份证明密钥 AIK。 ⑤.当平台凭证认证成功时， TNC客户端 TNCC告诉完整性收集者 IMC开始了一个新的网络连接且需要进行一个完整性握手协议。完整性收集者 IMC通过完整性度量收集接口 IF-IMC返回所需平台完整性信息。 TNC服务端 TNCS将这些平台完整性信息通过完整性度量校验接口 IF-IMV交给完整性校验者 IMV。 ⑥.在完整性握手协议过程中， TNC 客户端 TNCC与 TNC服务端 TNCS要交换一次或多次数据，直到 TNC服务端 TNCS满意为止。 ⑦.当 TNC服务端 TNCS完成了对 TNC客户端 TNCC的完整性握手协议，它将发送一个推荐信给网络访问授权者，要求允许访问。如果还有另外的安全考虑，此时策略决策点仍旧可以不允许访问请求者 AR的访问。 ⑧.网络访问授权者将访问决定传递给策略执行者，策略执行者最终执行该决定，来控制访问请求者 AR的访问。

目前，尚无成熟的 TCG-TNC架构产品进入市场。 TCG-TNC架构的一些重要技术还处于研究及规范阶段，其主要还存在如下缺陷：

1.可扩展性差。由于在策略执行点和策略决策点之间存在预定义的安全通道，而策略决策点可能管理着大量的策略执行点，这将迫使它配置大量的安全通道，造成管理的复杂性，因此，可扩展性差。

2.密钥协商过程复杂。因为要对网络访问层之上的数据进行安全保护，所以需要在访问请求者 AR和策略决策点之间建立安全通道，即在它们之间进行会话密钥协商；但是，访问请求者 AR和策略执行点之间也需要进行数据保护，从而需要在访问请求者 AR和策略执行点之间再次进行会话密钥协商，使密钥协商过程复杂化。

3.安全性相对较低。访问请求者 AR和策略决策点协商出来的主密钥由策略决策点传递给策略执行点。密钥在网络上传递，引入了新的安全攻击点，使安全性降低。此外，两次会话密钥协商使用了相同的主密钥，也使整个可信网络连接架构的安全性降低。

4.访问请求者 AR可能无法验证策略决策点的 AIK证书有效性。在平台凭证认证过程中，访问请求者 AR和策略决策点使用 AIK私钥及证书进行双向平台凭证认证，两端都需要对 AIK证书进行有效性验证。若策略决策点是访问请求者 AR的上网服务提供者，访问请求者 AR在可信网络连接之前不能访问网络，也即无法验证策略决策点的 AIK证书的有效性，所以是不安全的。

5.平台完整性评估是不对等的。在 TCG-TNC架构中，策略决策点对访问请求者 AR进行平台完整性评估，但访问请求者 AR对策略决策点不进行平台完整性评估。如果策略决策点的平台不可信，那么访问请求者 AR连接到不可信的设备上是不安全的。而对等可信在 Ad hoc网络中是必须的。

发明内容

本发明提供一种增强安全性的可信网络连接系统，能够解决背景技术中安全性相对较低、访问请求者 AR可能无法验证 AIK证书有效性和平台完整性评估不对等的技术问题。

本发明的技术实现方案如下：

一种增强安全性的可信网络连接系统，包括访问请求者 AR和策略执行点

PEP, 其中，所述系统还包括访问授权者 AA和策略管理器 PM;

所述的访问请求者 AR与策略执行点 PEP以认证协议方式网络连通，所述的访问请求者 AR与访问授权者 AA通过网络授权传输协议接口 IF-T及完整性评估接口 IF-TNCCS网络连通，所述的访问请求者 AR与访问授权者 AA均具有完整性度量接口 IF-M, 所述的策略执行点 PEP与访问授权者 AA通过策略实施接口 IF-PEP网络连通，所述的访问授权者 AA与策略管理器 PM通过用户鉴别授权接口 IF-UAA及平台评估授权接口 IF-PEA网络连通；其中：所述的网络授权传输协议接口 IF-T是实现访问请求者 AR与访问授权者 AA之间的双向用户鉴别和密钥协商、以及实现访问请求者 AR与访问授权者 AA相互访问控制的协议接口；

所述的完整性评估接口 IF-TOCCS是通过策略管理器 PM验证访问请求者 AR及访问授权者 AA的 AIK证书有效性、以及通过策略管理器 PM校验访问请求者 AR及访问授权者 AA的平台完整性来实现访问请求者 AR与访问授权者 AA之间的平台完整性评估的协议接口；

所述的完整性度量接口 IF-M是收集和校验访问请求者 AR和访问授权者 AA的平台完整性相关信息的协议接口；

所述的策略实施接口 IF-PEP是执行访问授权者 AA的决策的协议接口；所述的用户鉴别授权接口 IF-UAA是实现访问请求者 AR与访问授权者 AA之间的双向用户鉴别和密钥协商、以及实现访问请求者 AR与访问授权者 AA相互访问控制的协议接口；

所述的平台评估授权接口 IF-PEA是实现访问请求者 AR与访问授权者 AA 之间的平台完整性评估、实现策略管理器 PM验证访问请求者 AR及访问授权者 AA的 AIK证书有效性、以及实现策略管理器 PM校验访问请求者 AR及访问授权者 AA的平台完整性的协议接口。

优选的，上述访问请求者 AR 包括网络访问请求者 NAR、 TNC客户端 TNCC及访问请求者 AR的完整性收集者 IMd和完整性校验者 IMVi，其中，所述的网络访问请求者 NAR与 TNC客户端 TNCC以数据承载方式连通，所述的 TNC客户端 TNCC与访问请求者 AR的完整性收集者通过完整性度量收集接口 IF-IMC相连通，所述的 TNC客户端 TNCC与访问请求者 AR 的完整性校验者 IMVi通过完整性度量校验接口 IF-IMV相连通；

所述的策略执行点 PEP包括执行访问授权者 AA的决策的策略执行者 PE; 所述的访问授权者 AA包括网络访问授权者 NAA、 TNC服务端 TNCS及访问授权者 AA的完整性校验者 IMV₂和完整性收集者 IMC₂,其中，所述的网络访问授权者 NAA与 TNC服务端 TNCS以数据承载方式连通，所述的 TNC 服务端 TNCS与访问授权者 AA的完整性收集者 IMC₂通过完整性度量收集接口 IF-IMC相连通，所述的 TNC服务端 TNCS与访问授权者 AA的完整性校验者 IMV₂通过完整性度量校验接口 IF-IMV相连通；

所述的策略管理器 PM包括用户鉴别服务单元 UASU及平台评估服务单元 PESU, 其中，所述的用户鉴别服务单元 UASU与平台评估服务单元 PESU 以数据承载方式连通；

所述的网络访问请求者 NAR与策略执行者 PE以认证协议方式连通，所述的策略执行者 PE与网络访问授权者 NAA通过策略实施接口 IF-PEP连通 , 所述的网络访问请求者 NAR与访问授权者 NAA通过网络授权传输协议接口 IF-T连通 ,所述的网络访问授权者 NAA与用户鉴别服务单元 UASU通过用户鉴别授权接口 IF-UAA连通；

所述的 TNC客户端 TNCC与 TNC服务端 TNCS通过完整性评估接口 IF-TNCCS连通，所述的 TNC服务端 TNCS与平台评估服务单元 PESU通过平台评估 4受权接口 IF-PEA连通；

所述访问请求者 AR的完整性收集者 IMd通过完整性度量接口 IF-M与访问授权者 AA的完整性校验者 IMV₂连通，所述访问请求者 AR的完整性校验者 IMVi通过完整性度量接口 IF-M与访问授权者 AA的完整性收集者 IMC₂连通。

优选的，上述访问请求者 AR的完整性收集者是收集 TNC客户端

TNCC预先准备的平台完整性信息的组件，所述访问请求者 AR的完整性校验者 IMVi是校验 TNC服务端 TNCS发送的访问授权者 AA的平台完整性信息的组件，所述访问授权者 AA的完整性收集者 IMC₂是收集 TNC服务端 TNCS 预先准备的平台完整性信息的组件 ,所述访问授权者 AA的完整性校验者 IMV₂ 是校验 TNC客户端 TNCC发送的访问请求者 AR的平台完整性信息的组件。

优选的，上述访问请求者 AR 包括网络访问请求者 NAR、 TNC客户端 TNCC和访问请求者 AR的完整性收集者 IMd , 其中，所述的网络访问请求者 NAR与 TNC客户端 TNCC以数据承载方式连通，所述的 TNC客户端 TNCC 与访问请求者 AR的完整性收集者通过完整性度量收集接口 IF-IMC相连通；

所述的策略执行点 PEP包括执行访问授权者 AA的决策的策略执行者 PE; 所述的访问授权者 AA包括网络访问授权者 NAA、 TNC服务端 TNCS及访问授权者 AA的完整性收集者 IMC₂，其中，所述的网络访问授权者 NAA与 TNC服务端 TNCS以数据承载方式连通，所述的 TNC服务端 TNCS与访问授权者 AA的完整性收集者 IMC₂通过完整性度量收集接口 IF-IMC相连通；所述的策略管理器 PM包括用户鉴别服务单元 UASU、平台评估服务单元 PESU及完整性校验者 IMV,其中，所述的用户鉴别服务单元 UASU与平台评估服务单元 PESU以数据承载方式连通，所述的平台评估服务单元 PESU与完整性校验者 IMV通过完整性度量校验接口 IF-IMV相连通；

所述访问请求者 AR的完整性收集者 IMd通过完整性度量接口 IF-M与策略管理器 PM的完整性校验者 IMV连通，所述访问授权者 AA的完整性收集者 IMC₂通过完整性度量接口 IF-M与策略管理器 PM的完整性校验者 IMV连通。

优选的，上述访问请求者 AR的完整性收集者 IMC 是收集 TNC客户端 TNCC预先准备的平台完整性信息的组件，所述的访问授权者 AA的完整性收集者 IMC₂是收集 TNC服务端 TNCS预先准备的平台完整性信息的组件，所述策略管理器 PM的完整性校验者 IMV是接收 TNC客户端 TNCC与 TNC服务端 TNCS预先制定的平台完整性验证要求、并对访问请求者 AR和访问授权者 AA进行平台完整性校验的组件。

优选的，上述访问请求者 AR和访问授权者 AA均是具有可信平台模块的逻辑实体。

通过本发明上述技术方案可知，在网络访问层釆用了基于三元对等鉴别的访问控制方式，增强了可信网络连接架构的安全性，简化了该架构的密钥管理。

另外，本发明平台完整性评估可根据实际情况选用实现方式。第一种是由策略管理器实现访问请求者和访问授权者的 AIK证书的集中鉴别，而由访问请求者和访问授权者在本地实现对方平台完整性的校验，这种方式适用于访问请求者和访问授权者都可访问存储有各个组件的标准完整性度量值的数据库 , 可增强可信网络连接架构的安全性，简化可信网络连接架构的密钥管理。第二种是访问请求者和访问授权者的 AIK证书的鉴别和平台完整性的校验都由策略管理器完成，其简化了可信网络连接架构的密钥管理和完整性校验机制，更进一步地增强可信网络连接架构的安全性，而且可扩展可信网络连接的适用范围。

此外，本发明不但在网络访问层实现了访问请求者和访问授权者的双向用户鉴别，而且在完整性评估层也实现了访问请求者和访问授权者的双向平台完整性评估，因而可提高整个可信网络连接架构的安全性。再有，由于在网络访问层和完整性评估层都釆用了三元对等鉴别协议，也就是基于第三方的双向鉴别协议，进一步增强了可信网络连接架构的安全性。

附图说明

图 1为现有 TCG-TNC基本架构的示意图；

图 2为本发明 TNC基本架构的示意图；

图 3 为本发明第一种平台完整性评估方式对应的一次完整的信息传输过程示意图；

图 4 为本发明第二种平台完整性评估方式对应的一次完整的信息传输过程示意图。

附图符号说明如下：

PDP: 策略决策点； AR: 访问请求者； PEP: 策略执行点； AA: 访问授权者； PM: 策略管理器； IMd: 访问请求者 AR的完整性收集者； IMV 访问请求者 AR的完整性校验者； IMV₂:访问授权者 AA的完整性校验者； IMC₂: 访问授权者 AA的完整性收集者； IMV: 策略管理器 PM的完整性校验者； TNCC: TNC客户端； TNCS: TNC服务端； PESU: 平台评估服务单元； NAR: 网络访问请求者； PE: 策略执行者； NAA: 网络访问授权者； UASU: 用户鉴别服务单元； IF-T: 网络授权传输协议接口，是网络访问请求者 NAR与策略执行者 PE之间的协议接口； IF-PEP: 策略实施接口 , 是策略执行者 PE与网络访问授权者 NAA之间的协议接口； IF-UAA: 用户鉴别授权接口，是网络访问授权者 NAA与用户鉴别服务单元 UASU之间的协议接口； IF-TNCCS：完整性评估接口，是 TNC客户端 TNCC与 TNC服务端 TNCS之间的协议接口； IF-PEA:平台评估授权接口，是 TNC服务端 TNCS与平台评估服务单元 PESU 的协议接口； IF-IMC: 完整性度量收集接口，是 TNC客户端 TNCC与访问请求者 AR的完整性收集者之间的协议接口，也是 TNC服务端 TNCS与访问授权者 AA的完整性收集者 IMC₂之间的协议接口； IF-IMV: 完整性度量校验接口，是 TNC客户端 TNCC与访问请求者 AR的完整性校验者 IMV₁之间的协议接口，是 TNC服务端 TNCS与访问授权者 AA的整性校验者 IMV₂之间的协议接口，也是平台评估服务单元 PESU与策略管理器 PM的完整性校验者 IMV之间的协议接口； IF-M: 完整性度量接口，是访问请求者 AR的完整性收集者 IMd与访问授权者 AA的完整性校验者 IMV₂之间的协议接口；是访问请求者 AR的完整性校验者 IMV与访问授权者 AA的完整性收集者 IMC₂ 之间的协议接口；是访问授权者 AA的完整性收集者 IMC₂与策略管理器 PM 的完整性校验者 IMV之间的协议接口；也是访问请求者 AR的完整性收集者 IMCi与策略管理器 PM的完整性校验者 IMV之间的协议接口。

具体实施方式

由于现有的各种网络大部分釆用 TCG-TNC的架构部署，尤其是有线网络，所以，本发明是在 TCG-TNC架构上建立的一种增强安全性的可信网络连接架构。

参见图 2, 本发明主要由访问请求者 AR、策略执行点 PEP、访问授权者

AA和策略管理器 PM四个逻辑实体构成，其可以分布在网络的任意位置。访问请求者 AR又称为请求者、用户站等，策略管理器 PM又称为鉴别服务器、可信服务器、后台服务器等。访问请求者 AR与策略执行点 PEP以认证协议方式网络连通，策略执行点 PEP与访问授权者 AA通过策略实施接口 IF-PEP网络连通，访问请求者 AR与访问授权者 AA通过网络授权传输协议接口 IF-T 及完整性评估接口 IF-TNCCS网络连通，访问请求者 AR和访问授权者 AA都具有完整性度量接口 IF-M, 访问授权者 AA与策略管理器 PM通过用户鉴别授权接口 IF-UAA和平台评估授权接口 IF-PEA网络连通。

本发明实施例一中，访问请求者 AR主要由网络访问请求者 NAR、 TNC 客户端 TNCC、访问请求者 AR的完整性收集者 IMC^访问请求者 AR的完整性校验者 IMVi构成。网络访问请求者 NAR与 TNC客户端 TNCC以数据承载方式连通，用于 TNC客户端 TNCC转发消息。 TNC客户端 TNCC与访问请求者 AR的完整性收集者通过完整性度量收集接口 IF-IMC相连通，而与访问请求者 AR的完整性校验者 IMVi通过完整性度量校验接口 IF-IMV相连通，以实现访问请求者 AR的完整性收集者 IMd与访问授权者 AA的完整性校验者 IMV₂以及访问请求者 AR的完整性校验者 IMVi与访问授权者 AA 的完整性收集者 IMC₂的通信。

策略执行点 PEP主要由策略执行者 PE构成，负责执行访问授权者的决策。访问授权者 AA主要由网络访问授权者 NAA、 TNC服务端 TNCS、访问授权者 AA的完整性校验者 IMV₂和访问授权者 AA的完整性收集者 IMC₂构成。网络访问授权者 NAA与 TNC服务端 TNCS数据承载方式连通，用于 TNC 服务端 TNCS转发消息。 TNC服务端 TNCS与访问授权者 AA的完整性收集者 IMC₂通过完整性度量收集接口 IF-IMC相连通，而与访问授权者 AA的完整性校验者 IMV₂通过完整性度量校验接口 IF-IMV相连通，以实现访问授权者 AA的完整性校验者 IMV₂与访问请求者 AR的完整性收集者 IMd以及访问授权者 AA的完整性收集者 IMC₂与访问请求者 AR的完整性校验者 IMVi 的通信。

策略管理器 PM 主要由用户鉴别服务单元 UASU和平台评估服务单元 PESU构成。用户鉴别服务单元 UASU与平台评估服务单元 PESU以数据承载方式连通，用于平台评估服务单元 PESU转发消息。

本发明实施例二中，访问请求者 AR主要由网络访问请求者 NAR、 TNC 客户端 TNCC和访问请求者 AR的完整性收集者 IMd构成。网络访问请求者 NAR与 TNC客户端 TNCC以数据承载方式连通，用于 TNC客户端 TNCC转发消息。 TNC客户端 TNCC与访问请求者 AR的完整性收集者 IMd通过完整性度量收集接口 IF-IMC相连通，以实现访问请求者 AR的完整性收集者 IMd 与策略管理器 PM的完整性校验者 IMV的通信。

策略执行点 PEP主要由策略执行者 PE构成，负责执行访问授权者的决策。访问授权者 AA主要由网络访问授权者 NAA、 TNC服务端 TNCS和访问授权者 AA的完整性收集者 IMC₂构成。网络访问授权者 NAA与 TNC服务端 TNCS数据承载方式连通，用于 TNC服务端 TNCS转发消息。 TNC服务端 TNCS 与访问授权者 AA的完整性收集者 IMC₂通过完整性度量收集接口 IF-IMC相连通，以实现访问授权者 AA的完整性收集者 IMC₂与策略管理器 PM的完整性校验者 IMV的通信。

策略管理器 PM主要由用户鉴别服务单元 UASU、平台评估服务单元 PESU 及完整性校验者 IMV构成。用户鉴别服务单元 UASU与平台评估服务单元 PESU以数据承载方式连通，用于平台评估服务单元 PESU转发消息。平台评估服务单元 PESU与完整性校验者 IMV通过完整性度量校验接口 IF-IMV相连通，以实现完整性校验者 IMV与访问请求者 AR的完整性收集者 IMd及访问授权者 AA的完整性收集者 IMC₂的通信。

本发明的网络访问请求者 NAR、策略执行者 PE、网络访问授权者 NAA 和用户鉴别服务单元 UASU四个组件构成网络访问层。网络访问请求者 NAR 与网络访问授权者 NAA通过网络授权传输协议接口 IF-T连通，策略执行者 PE与网络访问授权者 NAA通过策略实施接口 IF-PEP连通，网络访问授权者 NAA与用户鉴别服务单元 UASU通过用户鉴别授权接口 IF-UAA连通。在网络访问层，策略执行点 PEP与访问授权者 AA之间预先建立有一个安全通道。网络访问请求者 NAR、网络访问授权者 NAA与用户鉴别服务单元 UASU通过策略执行者 PE执行三元对等鉴别协议，以实现访问请求者 AR和访问授权者 AA的双向用户鉴别及密钥协商。鉴别过程生成的主密钥由网络访问授权者 NAA通过安全通道传送给策略执行者 PE。策略执行者 PE利用主密钥与访问请求者 AR进行密钥协商，以保护策略执行点 PEP与访问请求者 AR之间数据传输的安全。网络访问层负责实现访问请求者 AR与访问授权者 AA之间的双向用户鉴别及密钥协商、访问请求者 AR与策略执行点 PEP之间的密钥协商，访问授权者 AA与访问请求者 AR之间的相互访问控制。

TNC客户端 TNCC、 TNC服务端 TNCS和平台评估服务单元 PESU三个实体构成完整性评估层。 TNC客户端 TNCC与 TNC服务端 TNCS通过完整性评估接口 IF-TNCCS连通， TNC服务端 TNCS与平台评估服务单元 PESU通过平台评估授权接口 IF-PEA连通。在完整性评估层，完整性评估包括平台完整性校验和平台凭证认证。完整性评估层的平台完整性评估方式有二种，具体说明 ^下：

第一种平台完整性评估方式参见图 3 , 是由策略管理器 PM验证访问请求者 AR和访问授权者 AA的 AIK证书的有效性，而由访问请求者 AR和访问授权者 AA在本地校验对方平台的完整性，该方式适用于访问请求者 AR和访问授权者 AA都可访问存储有各个平台组件的标准完整性度量值的数据库，可增强可信网络连接架构的安全性，简化可信网络连接架构的密钥管理。其中，第一种平台完整性评估的实现方式为： ①. 平台完整性校验：访问请求者 AR的平台完整性校验在 TNC服务端 TNCS进行，访问授权者 AA的平台完整性校验在 TNC客户端 TNCC进行。 ②. 平台凭证认证：访问请求者 AR和访问授权者 AA的平台凭证认证釆用三元对等鉴别协议来实现。访问请求者 AR和访问授权者 AA的的 AIK证书鉴别均由平台评估服务单元 PESU来完成。

第二种平台完整性评估方式参见图 4, 访问请求者 AR和访问授权者 AA 的 AIK证书有效性验证和平台完整性的校验都由策略管理器 PM完成，其简化了可信网络连接架构的密钥管理和完整性校验机制，更进一步地增强可信网络连接架构的安全性，且可扩展可信网络连接的适用范围。其中，第二种平台完整性评估的实现方式为： ①. 平台完整性校验：访问请求者 AR和访问授权者 AA的平台完整性校验均由平台评估服务单元 PESU来完成。 ②. 平台凭证认证：访问请求者 AR和访问授权者 AA的平台凭证认证釆用三元对等鉴别协议来实现。访问请求者 AR和访问授权者 AA的 AIK证书有效性验证均由平台评估服务单元 PESU来完成。

完整性度量层负责收集和校验访问请求者 AR和访问授权者 AA的平台完整性信息。

当釆用第一种平台完整性评估方式时，访问请求者 AR和访问授权者 AA 二者既要收集平台的完整性信息，又要校验平台完整性信息。该结构的完整性度量层主要由访问请求者 AR的完整性收集者 IMd、访问请求者 AR的完整性校验者 IMVi、访问授权者 AA的完整性校验者 IMV₂和访问授权者 AA的完整性收集者 IMC₂四个组件构成。访问请求者 AR的完整性收集者 IMC₁通过完整性度量接口 IF-M与访问授权者 AA的完整性校验者 IMV₂连通，访问请求者 AR的完整性校验者通过完整性度量接口 IF-M与访问授权者 AA 的完整性收集者 IMC₂连通。

当釆用第二种平台完整性评估方式时，访问请求者 AR和访问授权者 AA 只需收集平台完整性信息，而平台完整性信息的校验由策略管理器 PM来实现。该结构的完整性度量层主要由访问请求者 AR的完整性收集者 IMd、访问授权者 AA的完整性收集者 IMC₂和策略管理器 PM的完整性校验者 IMV三个组件构成。访问请求者 AR的完整性收集者 IMC 与策略管理器 PM的完整性校验者 IMV通过完整性度量接口 IF-M连通，访问授权者 AA的完整性收集者 IMC₂与策略管理器 PM的完整性校验者 IMV通过完整性度量接口 IF-M连通。

参见图 3、图 4, 釆用本发明实现增强安全性的可信网络连接的具体步骤下：

(1.) 进行初始化。在建立网络连接之前，进行下列步骤：

(1.1)访问请求者 AR的 TNC客户端 TNCC预先准备平台完整性信息，交给访问请求者 AR的完整性收集者 IMd;访问授权者 AA的 TNC服务端 TNCS 预先准备平台完整性信息，交给访问授权者 AA的完整性收集者 IMC₂。

(1.2) TNC客户端 TNCC和 TNC服务端 TNCS预先制定完整性验证要求，该完整性验证要求包括访问请求者 AR与访问授权者 AA相互请求对方验证的 PCRs表。对于第一种平台完整性评估方式， TNC客户端 TNCC和 TNC服务端 TNCS将预先制定的完整性验证要求直接交给访问请求者 AR的完整性校验者 IMV^。访问授权者 AA的完整性校验者 IMV₂。对于第二种平台完整性评估方式， TNC客户端 TNCC和 TNC服务端 TNCS在平台完整性评估过程中才将预先制定的完整性验证要求交给策略管理器 PM的完整性校验者 IMV, 参见图 4。 (1.3)访问请求者 AR和访问授权者 AA的可信平台模块将网络策略所需平台信息经散列后存入平台配置寄存器。

(2.) 进行用户鉴别。

(2.1) 在网络访问层，网络访问请求者 NAR向策略执行者 PE发起访问请求，策略执行者 PE将该访问请求转发给网络访问授权者 NAA。

(2.2) 网络访问授权者 NAA收到访问请求后，启动双向用户鉴别过程，网络访问层的网络访问请求者 NAR、网络访问授权者 NAA和用户鉴别服务单元 UASU之间开始执行三元对等鉴别协议，实现访问请求者 AR与访问授权者 AA的双向用户鉴别及密钥协商。之后，网络访问授权者 NAA将双向用户鉴别过程生成的主密钥通过预建立的安全通道传送给策略执行点 PEP。最后，策略执行点 PEP用主密钥与访问请求者 AR进行密钥协商。

(2.3) 当双向用户鉴别成功时，网络访问请求者 NAR和网络访问授权者 NAA将用户鉴别成功的信息分别发往完整性评估层的 TNC客户端 TNCC和 TNC服务端 TNCS。

(3.) 进行完整性评估。

当访问授权者 AA的 TNC服务端 TNCS收到网络访问授权者 NAA发送的用户鉴别成功的信息时，访问授权者 AA的 TNC服务端 TNCS、访问请求者 AR的 TNC客户端 TNCC和策略管理器 PM的平台评估服务单元 PESU利用三元对等鉴别协议来实现访问请求者 AR和访问授权者 AA的双向平台完整性评估。

参见图 3 , 第一种平台完整性评估的实现方式包括： ①. 平台完整性校验：访问请求者校验访问授权者的平台完整性，而访问授权者校验访问请求者的完整性； ②. 平台凭证认证：由策略管理器验证访问请求者和访问授权者的 AIK 证书有效性。

参见图 4, 第二种平台完整性评估的实现方式包括： ①. 平台完整性校验：由策略管理器校验访问请求者和访问授权者的平台完整性； ②. 平台凭证认证：由策略管理器验证访问请求者和访问授权者的 AIK证书有效性。

(4.) 进行访问控制。

TNC客户端 TNCC和 TNC服务端 TNCS各自汇总访问授权者 AA和访问请求者 AR的平台完整性评估结果。然后，分别向网络访问请求者 NAR和网络访问授权者 NAA发送推荐。网络访问请求者 NAR和网络访问授权者 NAA 分别依据各自收到的推荐对端口进行控制，实现访问请求者 AR和访问授权者 AA的相互访问控制。 TNC客户端 TNCC和 TNC服务端 TNCS向网络访问请求者 NAR和网络访问授权者 NAA发送的推荐是允许访问信息、禁止访问信息或隔离修补信息等。

本发明上述实施例中，在网络访问层釆用了基于三元对等鉴别的访问控制方式，增强了可信网络连接架构的安全性，简化了该架构的密钥管理。

以上对本发明所提供的增强安全性的可信网络连接系统进行了详细介绍，说明只是用于帮助理解本发明的方案；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

权利要求

1.一种增强安全性的可信网络连接系统，包括访问请求者 AR和策略执行点 PEP, 其特征在于，还包括：访问授权者 AA和策略管理器 PM;

所述的访问请求者 AR与策略执行点 PEP以认证协议方式网络连通，所述的访问请求者 AR与访问授权者 AA通过网络授权传输协议接口 IF-T及完整性评估接口 IF-TNCCS网络连通，所述的访问请求者 AR与访问授权者 AA均具有完整性度量接口 IF-M, 所述的策略执行点 PEP与访问授权者 AA通过策略实施接口 IF-PEP网络连通，所述的访问授权者 AA与策略管理器 PM通过用户鉴别授权接口 IF-UAA及平台评估授权接口 IF-PEA网络连通；其中：所述的网络授权传输协议接口 IF-T是实现访问请求者 AR与访问授权者

AA之间的双向用户鉴别和密钥协商、以及实现访问请求者 AR与访问授权者 AA相互访问控制的协议接口；

所述的策略实施接口 IF-PEP是执行访问授权者 AA的决策的协议接口；所述的用户鉴别授权接口 IF-UAA是实现访问请求者 AR与访问授权者

2.根据权利要求 1所述的增强安全性的可信网络连接系统，其特征在于，所述的访问请求者 AR包括：网络访问请求者 NAR、 TNC客户端 TNCC 及访问请求者 AR的完整性收集者 IMC^完整性校验者 IMV^ 其中，所述的网络访问请求者 NAR与 TNC客户端 TNCC以数据承载方式连通，所述的 TNC 客户端 TNCC与访问请求者 AR的完整性收集者 IMd通过完整性度量收集接口 IF-IMC相连通，所述的 TNC客户端 TNCC与访问请求者 AR的完整性校验者 IMVi通过完整性度量校验接口 IF-IMV相连通；

所述的策略执行点 PEP包括执行访问授权者 AA的决策的策略执行者 PE; 所述的访问授权者 AA包括：网络访问授权者 NAA、 TNC服务端 TNCS 及访问授权者 AA的完整性校验者 IMV₂和完整性收集者 IMC₂; 其中，所述的网络访问授权者 NAA与 TNC服务端 TNCS以数据承载方式连通，所述的 TNC 服务端 TNCS与访问授权者 AA的完整性收集者 IMC₂通过完整性度量收集接口 IF-IMC相连通，所述的 TNC服务端 TNCS与访问授权者 AA的完整性校验者 IMV₂通过完整性度量校验接口 IF-IMV相连通；

所述的策略管理器 PM包括：用户鉴别服务单元 UASU及平台评估服务单元 PESU,所述的用户鉴别服务单元 UASU与平台评估服务单元 PESU以数据承载方式连通；

所述的 TNC客户端 TNCC与 TNC服务端 TNCS通过完整性评估接口

IF-TNCCS连通，所述的 TNC服务端 TNCS与平台评估服务单元 PESU通过平台评估 4受权接口 IF-PEA连通；

所述访问请求者 AR的完整性收集者 IMd通过完整性度量接口 IF-M与访问授权者 AA的完整性校验者 IMV₂连通，所述访问请求者 AR的完整性校验者通过完整性度量接口 IF-M与访问授权者 AA的完整性收集者 IMC₂连通。

3.根据权利要求 2所述的增强安全性的可信网络连接系统，其特征在于，所述访问请求者 AR的完整性收集者 IMC是收集 TNC客户端 TNCC预先准备的平台完整性信息的组件；所述访问请求者 AR的完整性校验者 IMV₁是校验 TNC服务端 TNCS发送的访问授权者 AA的平台完整性信息的组件；所述访问授权者 AA的完整性收集者 IMC₂是收集 TNC服务端 TNCS预先准备的平台完整性信息的组件；所述访问授权者 AA 的完整性校验者 IMV₂是校验 TNC客户端 TNCC发送的访问请求者 AR的平台完整性信息的组件。

4.根据权利要求 1所述的增强安全性的可信网络连接系统，其特征在于，所述的访问请求者 AR包括：网络访问请求者 NAR、 TNC客户端 TNCC 和访问请求者 AR的完整性收集者 IMd；其中，所述的网络访问请求者 NAR 与 TNC客户端 TNCC以数据承载方式连通，所述的 TNC客户端 TNCC与访问请求者 AR的完整性收集者 IMd通过完整性度量收集接口 IF-IMC相连通；所述的策略执行点 PEP包括执行访问授权者 AA的决策的策略执行者 PE; 所述的访问授权者 AA包括：网络访问授权者 NAA、 TNC服务端 TNCS 及访问授权者 AA的完整性收集者 IMC₂; 其中，所述的网络访问授权者 NAA 与 TNC服务端 TNCS以数据承载方式连通，所述的 TNC服务端 TNCS与访问授权者 AA的完整性收集者 IMC₂通过完整性度量收集接口 IF-IMC相连通；所述的策略管理器 PM包括：用户鉴别服务单元 UASU、平台评估服务单元 PESU及完整性校验者 IMV; 其中，所述的用户鉴别服务单元 UASU与平台评估服务单元 PESU以数据承载方式连通，所述的平台评估服务单元 PESU 与完整性校验者 IMV通过完整性度量校验接口 IF-IMV相连通；

所述的网络访问请求者 NAR与策略执行者 PE以认证协议方式连通，所述的策略执行者 PE与网络访问授权者 NAA通过策略实施接口 IF-PEP连通，所述的网络访问请求者 NAR与访问授权者 NAA通过网络授权传输协议接口 IF-T连通 ,所述的网络访问授权者 NAA与用户鉴别服务单元 UASU通过用户鉴别授权接口 IF-UAA连通；

5.根据权利要求 4所述的增强安全性的可信网络连接系统，其特征在于，所述访问请求者 AR的完整性收集者 IMC是收集 TNC客户端 TNCC预先准备的平台完整性信息的组件；所述的访问授权者 AA的完整性收集者 IMC₂是收集 TNC服务端 TNCS预先准备的平台完整性信息的组件；所述策略管理器 PM的完整性校验者 IMV是接收 TNC客户端 TNCC与 TNC服务端 TNCS预先制定的平台完整性验证要求、并对访问请求者 AR和访问授权者 AA进行平台完整性校验的组件。

6.根据权利要求 1至 5之任一所述的增强安全性的可信网络连接系统，其特征在于，所述的访问请求者 AR和访问授权者 AA均是具有可信平台模块的逻辑实体。