WO2009033385A1

WO2009033385A1 - Procédé de réalisation de gestion de réseau de confiance

Info

Publication number: WO2009033385A1
Application number: PCT/CN2008/071698
Authority: WO
Inventors: Yuelei Xiao; Jun Cao; Xiaolong Lai; Zhenhai Huang
Original assignee: China Iwncomm Co., Ltd.
Priority date: 2007-09-14
Filing date: 2008-07-21
Publication date: 2009-03-19
Also published as: KR101135346B1; KR20100017951A; US8230220B2; US20100083349A1; CN100581116C; CN101242297A; KR20110128370A

Description

一种实现可信网络管理的方法

本申请要求于 2007 年 9 月 14 日提交中国专利局、申请号为 200710018673.X、发明名称为 "一种实现可信网络管理的方法，，的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明属于网络安全技术领域，具体涉及一种实现可信网络管理的方法。背景技术

网络管理是对网络资源和网络设备的规划、设计、控制，以使网络保持良好的可靠性、具有最高的效率。

网络管理的概念是随着 Internet的发展而逐渐引入的。早期， Internet入网节点比较少，结构也非常简单，大多是平坦型结构，因此，有关网络的故障检测和性能监控等管理简单而容易。随着网络技术的不断发展，网络规模不断扩大，功能复杂性不断增加，异构类型的网络逐渐融合，使网络管理越来越困难。

传统的网络管理系统普遍釆用集中式管理模型，管理功能集中在管理工作站的管理者身上，管理者利用 SNMP ( Simple Network Management Protocol , 简单网络管理协议）和被管设备上的代理进行通信，获取管理信息并进行处理，然后发出管理操作指令，实施对被管设备的管理。例如， IETF ( The Internet Engineering Task Force, 互联网工程任务组 ) 于 1988年提出的基于 SNMP的管理者 /代理模型。这种集中式管理模型存在的缺陷是：

1.主要适用于数据网络的管理，只适合于结构简单的小型网络或者不需要频繁访问管理信息的应用。

2.随着网络规模的扩大，用户不断增加，管理节点日趋成为网络管理的瓶颈。

3.轮询数目太多，分布较广的代理使带宽开销大，管理者从各代理获取的管理信息是原始数据，传输大量的原始数据既浪费带宽，又消耗管理者 CPU 的宝贵资源，网管效率降低。

一种基于 CMIP ( Common Management Information Protocol , 公共管理信息协议）的网络管理系统，较 SNMP协议复杂，釆用的也是集中式管理模型，主要适用于电信网络管理。目前，网络管理逐渐朝着分布化和智能化的分布式网络管理方向快速发展。分布式网络管理，是将一个大规模的网络管理划分为若干个对等管理子域，一个域由一个管理者负责，管理者之间相互通信，当需要另一个域的信息时，管理者与它的对等系统进行通信。由于分布式网络管理将网络管理任务和监控分布到整个网络中，而不依赖于单独的控制中心，因此可减少网络管理的流量，提供更大的管理能力和扩展性等。

分布式网络管理的发展趋势主要体现在两个方面：其一是在现有的网络管理框架下，釆用分布计算工具设计出的一个开放的、标准的、可扩展的大型分布式网络管理系统，主要有基于 CORBA的分布式网络管理系统和基于 Web 的分布式网络管理系统，特点是实现简便；其二是一种全新的分布式体制的网络管理，例如：基于移动代理的网络管理系统等等。

然而，现有集中式网络管理系统和分布式网络管理系统都存在以下安全问题：

1.代理驻留主机存在攻击代理的可能性，而现有的基于检测的方法还无法保证代理的安全。

2.代理也存在攻击驻留主机的可能性，如：代理非法访问驻留主机的一些私有信息等等，目前对此只能釆用入侵检测的被动防御方式。

3.网络管理用户完全信赖管理者系统，存在安全隐患。若管理者系统被病毒、木马等控制，管理者系统就会不按网络管理用户的意愿工作，而失去对网络的控制与管理。

4.被管理主机完全信赖管理者系统，也存在安全隐患。如果被管理主机不检测管理者系统是否被病毒、木马等侵蚀，当被管理主机上驻留的代理接收到恶意的管理命令时，就会对被管理主机进行恶意行为。

发明内容

本发明提供一种实现可信网络管理的方法，能够解决背景技术中代理、代理驻留主机及管理者系统存在相互攻击，无法保证网络管理安全的技术问题。

本发明的技术实现方案如下：

一种实现可信网络管理的方法，该方法包括以下实现步骤：

安装并配置驻留于被管理主机中的可信管理代理，安装并配置驻留于管理主机中的可信管理系统；

被管理主机利用可信平台模块 TPM对可信管理代理进行完整性度量、存储和报告，以验证可信管理代理在被管理主机上的可信性；管理主机的网络管理员利用可信平台模块 TPM对可信管理系统进行完整性度量、存储和报告，以验证可信管理系统在管理主机上的可信性；

被管理主机和管理主机分别釆用可信网络连接方法连接至可信网络；被管理主机连接至可信网络时，被管理主机上的可信管理代理自动发出探询相应可信管理系统的信息；可信管理系统收到可信管理代理的探询信息后，启动与该可信管理代理之间的鉴别过程；可信管理系统与可信管理代理进行双向鉴别及密钥协商，得到可信管理代理与可信管理系统之间的会话密钥；管理主机上的可信管理系统收到可信管理代理的探询信息后，通知管理主机进行双向用户鉴别及密钥协商 ,管理主机与被管理主机进行双向用户鉴别及密钥协商后，得到被管理主机与管理主机之间的会话密钥；

管理主机的网络管理员利用被管理主机上的可信平台模块 TPM对可信管理代理进行完整性度量、存储和报告，以验证可信管理代理在被管理主机上的可信性；被管理主机利用管理主机上的可信平台模块 TPM对可信管理系统进行完整性度量、存储和报告，以验证可信管理系统在管理主机上的可信性；当被管理主机经验证确认运行在管理主机上的可信管理系统以及运行在被管理主机上的可信管理代理均是可信的，则被管理主机许可被管理主机与管理主机进行网络管理通信；当管理主机的网络管理员经验证确认运行在管理主机上的可信管理系统以及运行在被管理主机上的可信管理代理均是可信的，则管理主机的网络管理员开始执行网络管理。

优选的，所述的可信管理代理和可信管理系统都是基于可信计算平台、经过可信管理代理和可信管理系统的可信第三方鉴定后签名的软件模块，且可信管理代理和可信管理系统的标准完整性度量值经可信第三方签名后存储于可查询的网络数据库中。

优选的，所述的可信管理代理是随着被管理主机的系统启动而自动运行的软件模块。

优选的，所述的可信网络管理是指：被管理主机和管理主机在确认可信管理代理和可信管理系统均是可信的，在该可信条件下所执行的网络管理。优选的，所述的网络管理可釆用集中式网络管理、分布式网络管理或分布式控制集中式管理的网络管理模式等等。

优选的，所述分布式控制集中式管理的网络管理模式的实施步骤包括：网络管理员利用可信管理系统与可信管理代理之间的会话密钥将安全网络管理策略发送给被管理主机上的可信管理代理；

可信管理代理依据该安全网络管理策略在被管理主机上执行监测和控制，对于安全网络管理策略可判定的监测数据，则直接进行控制与管理；而对于安全网络管理策略不可判定的监测数据，则将所述监测数据发送至可信管理系统；

可信管理系统接收到所述监测数据后，进行分析，并将分析结果发送给网络管理员，以使网络管理员依据该分析结果对被管理主机进行控制与管理，实现可信网络管理。

本发明上述实施例中，被管理主机通过验证运行在自身主机上的可信管理代理的可信性，可以主动防御可信管理代理对被管理主机的攻击行为。同时，被管理主机通过验证管理主机上的可信管理系统的可信性 ,可确保管理主机上的可信管理系统是在正常执行它的管理功能。

另外，管理主机通过验证被管理主机上的可信管理代理的可信性，可防止恶意的被管理主机对驻留在该主机上的可信管理代理进行恶意攻击。同时，管理主机通过验证自身主机上的可信管理系统的可信性，可确保运行在自身主机上的可信管理系统是可控的，进而可保证可信管理系统正确执行网络管理员的管理命令。

此外，管理主机和被管理主机都基于可信计算平台，在验证可信管理系统和可信管理代理的均是可信的条件下进行网络管理，从而实现可信网络管理。

再者，可信管理代理驻留在各个被管理主机上，对被管理主机进行控制；而可信管理系统驻留在一个管理主机上对所有的管理主机进行控制与管理，从而可实现分布式控制、集中式管理的可信网络管理。

附图说明

图 1为本发明的架构示意图。具体实施方式

本发明的可信管理代理驻留在被管理主机中，可信管理系统驻留在管理主机中。可信管理代理和可信管理系统都是基于可信计算平台、经过可信管理代理和可信管理系统的可信第三方鉴定后签名的软件模块，且二者的标准完整性度量值经可信第三方签名后存储于可查询的网络数据库中。被管理主机和管理主机的 TPM ( Trusted Platform Module, 可信平台模块）可以对可信管理代理和可信管理系统进行完整性度量、存储和报告，因此，被管理主机和管理主机可以确保可信管理代理和可信管理系统都是可信的。可信管理代理和可信管理系统执行网络管理的职能，从而可实现可信网络管理。

参见图 1 , 本发明实施例的具体实现过程包括：

( i ) 安装并配置可信管理代理和可信管理系统。

安装并配置驻留于被管理主机 1中的可信管理代理 101 , 安装并配置驻留于管理主机 2中的可信管理系统 201。可信管理系统 201的安装与配置由网络管理员来完成。可信管理代理 101的安装与配置可以由网络管理员来完成，也可以由网络用户来完成。当由网络用户完成可信管理代理 101 的安装与配置时，配置文件一定是网络管理员分发的、且配置文件的内容对于网络用户而言是不可知的。此外，可信管理代理 101和可信管理系统 201的配置还可以由厂商以预安装的形式完成。可信管理代理 101和可信管理系统 201都是基于可信计算平台、经过可信管理代理 101和可信管理系统 201的可信第三方鉴定后签名的软件模块，且二者的标准完整性度量值经可信第三方签名后存储于可查询的网络数据库中。

( ϋ ) 险证可信管理代理和可信管理系统在本地的可信性。

被管理主机 1利用可信平台模块 ΤΡΜ对可信管理代理 101进行完整性度量、存储和报告，以验证可信管理代理 101在被管理主机 1上的可信性，可主动防御可信管理代理 101对被管理主机 1的攻击行为。

管理主机 2的网络管理员利用可信平台模块 ΤΡΜ对可信管理系统 201进行完整性度量、存储和报告，以验证可信管理系统 201在管理主机 2上的可信性，可确保运行在管理主机 2上的可信管理系统 201是可控的，即可确保可信管理系统 201正确执行网络管理员的管理命令。 (iii) 被管理主机和管理主机分别釆用可信网络连接方法连接至可信网络。

可信网络连接方法与可信网络连接架构相应。可信网络连接架构确定之后，与之相应的可信网络连接方法即确定。

(iv) 可信管理代理与可信管理系统进行双向鉴别及密钥协商。

可信管理代理 101是随着被管理主机 1 的系统启动而自动运行的软件模块。被管理主机 1 连接至可信网络时，被管理主机 1 上的可信管理代理 101 自动发出探询相应可信管理系统 201的信息；可信管理系统 201收到可信管理代理 101的探询信息后，启动与该可信管理代理 101之间的鉴别过程；可信管理系统 201与可信管理代理 101利用厂商预安装的配置信息或网络管理员安装时设置的配置信息或网络管理员分发的配置文件进行双向鉴别及密钥协商，得到可信管理代理 101与可信管理系统 201之间的会话密钥。可信管理代理 101 与可信管理系统 201之间的会话密钥，用于保护可信管理系统 201与可信管理代理 101之间的安全通信。

( V )被管理主机与管理主机进行双向用户鉴别及密钥协商。

可信管理系统 201收到可信管理代理 101的探询信息后，管理主机 2上的可信管理系统 201通知管理主机 2进行双向用户鉴别及密钥协商，管理主机 2 与被管理主机 1进行双向用户鉴别及密钥协商后，得到被管理主机 1与管理主机 2之间的会话密钥。被管理主机 1与管理主机 2之间的会话密钥，用于保护可信管理代理 101和可信管理系统 201的远程完整性评估的数据传输。

(vi) 险证可信管理代理和可信管理系统的远程可信性。

基于被管理主机 1上的可信平台模块 TPM对可信管理代理 101进行完整性度量、存储和报告，从而可验证可信管理代理 101在被管理主机 1上的可信性。管理主机 2先远程获取被管理主机 1上的可信管理代理 101对应的平台配置寄存器 PCR值及度量日志，可信管理代理 101对应的平台配置寄存器 PCR 值由被管理主机 1的可信平台模块 TPM进行 AIK签名；然后验证可信管理代理 101对应的平台配置寄存器 PCR值和度量日志的有效性，并根据可查询网络数据库中可信管理代理 101 对应的标准完整性度量值来验证被管理主机 1 上的可信管理代理 101的可信性。以防止恶意的被管理主机 1对驻留在该主机上的可信管理代理 101进行恶意攻击。

基于管理主机 2上的可信平台模块 TPM对可信管理系统 201进行完整性度量、存储和报告，从而可验证可信管理系统 201在管理主机 2上的可信性。被管理主机 1先远程获取管理主机 2上的可信管理系统 201对应的平台配置寄存器 PCR值及度量日志，可信管理系统 201对应的平台配置寄存器 PCR值由管理主机 2的可信平台模块 TPM进行 AIK签名；然后验证可信管理系统 201 对应的平台配置寄存器 PCR值和度量日志的有效性，并根据可查询网络数据库中可信管理系统 201的标准完整性度量值来验证管理主机 2上的可信管理系统 201的可信性。以确保运行在管理主机 2上的可信管理系统 201是可控的，可信管理系统 201是在正常执行网络管理员的管理命令。

(vii)执行可信网络管理。

当被管理主机 1 经验证确认：运行在管理主机 2上的可信管理系统 201 以及运行在被管理主机 1上的可信管理代理 101均是可信的，则被管理主机 1 许可被管理主机 1与管理主机 2进行网络管理通信。

当管理主机 2的网络管理员经验证确认：运行在管理主机 2上的可信管理系统 201以及运行在被管理主机 1上的可信管理代理 101均是可信的，则管理主机 2的网络管理员开始执行网络管理。因为此情况下可信管理代理 101和可信管理系统 201都为可信的，所以网络管理即为可信网络管理。

需要说明的是，本发明的步骤（ii )和 (iii)可以依次或并列进行，依次进行时顺序可互换。以上所述的步骤（iv)和（V ) 亦可以依次或并列进行，依次进行时顺序也可互换。

本发明的网络管理模式可釆用集中式网络管理、分布式网络管理和分布式控制集中式管理的网络管理等等。

当网络规模比较大时推荐使用分布式控制集中式管理的网络管理，其具体实施步骤是：网络管理员利用可信管理系统 201与可信管理代理 101之间的会话密钥将安全网络管理策略发送给被管理主机 1上的可信管理代理 101 , 可信管理代理 101依据该安全网络管理策略在被管理主机 1 上执行监测和控制功能，对于安全网络管理策略可判定的监测数据，则直接进行控制与管理。而对于安全网络管理策略不可判定的监测数据，则需将这些监测数据发送至可信管理系统 201 , 可信管理系统 201接收到这些监测数据后，先进行分析；然后将分析结果发送给网络管理员，网络管理员依据分析结果对被管理主机 1进行控制与管理，从而最终实现可信网络管理。可疑数据是指一些监测结果不能肯定的数据。可信管理系统 201驻留在一个管理主机 2上对所有的管理主机 2进行控制与管理，从而可实现分布式控制、集中式管理的可信网络管理。

本发明分布式控制主要体现在：每台主机都有一个可信管理代理，它根据网络管理员通过可信管理系统发送过来的安全网络管理策略执行监测与控制，对于一些不可判定的数据才需可信管理系统进行控制。

本发明集中式管理主要体现在：只有一台主机安装可信管理系统，它制定安全网络管理策略，然后分发给各个可信管理代理执行策略，对于可信管理代理不能控制与管理的数据才需可信管理系统进行控制，从而实现集中管理。

本发明上述实施例中，被管理主机通过验证运行在自身主机上的可信管理代理的可信性，可以主动防御可信管理代理对被管理主机的攻击行为。同时，被管理主机通过验证管理主机上的可信管理系统的可信性 ,可确保管理主机上的可信管理系统是在正常执行它的管理功能，从而可以达到防御可信管理系统攻击被管理主机的目的。

以上对本发明所提供的实现可信网络管理的方法进行了详细介绍 ,本文中是用于帮助理解本发明的方案；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

权利要求

1.一种实现可信网络管理的方法，其特征在于，包括：

被管理主机和管理主机分别釆用可信网络连接方法连接至可信网络；被管理主机连接至可信网络时，被管理主机上的可信管理代理自动发出探询相应可信管理系统的信息；可信管理系统收到可信管理代理的探询信息后，启动与该可信管理代理之间的鉴别过程；可信管理系统与可信管理代理进行双向鉴别及密钥协商，得到可信管理代理与可信管理系统之间的会话密钥；管理主机上的可信管理系统收到可信管理代理的探询信息后，通知管理主机进行双向用户鉴别及密钥协商，管理主机与被管理主机进行双向用户鉴别及密钥协商后，得到被管理主机与管理主机之间的会话密钥；

2.根据权利要求 1所述的实现可信网络管理的方法，其特征在于，所述的可信管理代理和可信管理系统都是基于可信计算平台、经过可信管理代理和可信管理系统的可信第三方鉴定后签名的软件模块，且可信管理代理和可信管理系统的标准完整性度量值经可信第三方签名后存储于可查询的网络数据库中。

3.根据权利要求 1所述的实现可信网络管理的方法，其特征在于，所述的可信管理代理是随着被管理主机的系统启动而自动运行的软件模块。

4.根据权利要求 1所述的实现可信网络管理的方法，其特征在于，所述的可信网络管理是指：被管理主机和管理主机在确认可信管理代理和可信管理系统均是可信的，在该可信条件下所执行的网络管理。

5.根据权利要求 4所述的实现可信网络管理的方法，其特征在于，所述的网络管理为：集中式网络管理、分布式网络管理或分布式控制集中式管理的网络管理模式。

6.根据权利要求 5所述的实现可信网络管理的方法，其特征在于，所述分布式控制集中式管理的网络管理模式的实现步骤包括：

网络管理员利用可信管理系统与可信管理代理之间的会话密钥将安全网络管理策略发送给被管理主机上的可信管理代理；