WO2010020188A1 - 一种基于tcpa/tcg可信网络连接的可信网络管理方法 - Google Patents

Description

一种基于 TCPA/TCG可信网络连接的可信网络管理方法 本申请要求于 2008 年 8 月 21 日提交中国专利局、 申请号为 200810150696.0、 发明名称为"一种基于 TCPA/TCG可信网络连接的可信网络 管理方法"的中国专利申请的优先权， 其全部内容通过引用结合在本申请中。 技术领域

本发明 涉及一种基于 TCPA/TCG ( Trusted Computing Platform Alliance/Trusted Computing Group )可信网络连接的可信网络管理方法。

背景技术

网络管理的概念是伴随着 Internet的发展而逐渐被人们认识和熟悉的。 早 期， Internet入网节点比较少， 结构也非常筒单， 大多是平坦型结构， 因此， 有 关网络的故障检测和性能监控等管理就显得比较筒单和容易实现。但随着网络 的不断发展， 面对网络新技术的不断涌现和网络产品的不断翻新，规划和扩充 网络越来越困难， 如何使网络各组成部分发挥最大的效用，如何保持网络的良 好可靠性和较高的效率， 这些现实问题促使网络管理的出现。 当今通信网络的 发展特点是网络规模不断扩大、 功能复杂性不断增加、异构类型的网络逐渐融 合， 这种趋势给网络管理带来了前所未有的挑战。 网络管理是对组成网络的资 源和设备的规划、 设计、 控制， 使网络具有最高的效率和生产力， 从而为用户 提供高效的服务。

传统的网络管理系统普遍采用集中式的管理模型， 如 IETF(Internet Engineering Task Force)于 1988 年提出的基于 SNMP(simple Network Management Protocol)的管理者 /代理模型。 随着网络规模的扩大， 这种基于 SNMP的网络管理模型的弱点逐渐暴露出来： 由于用户的不断增加， 管理节点 正日趋成为网络管理的瓶颈所在； 轮询数目太多、分布较广的代理使带宽开销 过大， 效率下降， 管理者从各代理获取的管理信息是原始数据， 传输大量的原 始数据既浪费带宽， 又消耗管理者 CPU的大量宝贵资源， 使网管效率降低。 此夕卜， 基于 CMIP(Common Management Information Protocol)协议的网络管理 系统也是采用这种集中式的管理模型， 它比 SNMP更复杂一些。 SNMP主要 应用于数据网络的管理， 而 CMIP主要应用于电信网络管理。

针对以上问题， 网络管理系统逐渐朝着分布化和智能化的方向快速发展。 分布式网络管理主要有两种发展趋势： 一种是在现有的网络管理框架下，使用 分布计算工具可以较容易地设计出一个开放的、标准的、可扩展的大型分布式 网络管理系统， 主要有基于 CORBA(Common Object Request Broker Architecture)的分布式网络管理系统和基于 Web的分布式网络管理系统； 另一 种是全新的分布式体制的网络管理，如基于移动代理的网络管理系统等等。分 布式网络管理技术将网络管理任务和监控分布到整个网络中，而不依赖于单独 的控制中心，具有减少网络管理的流量，提供更大的管理能力，扩展性等优点。 但是， 集中式的网络管理系统和分布式的网络管理系统都存在以下安全问题：

1、 代理驻留主机可能对代理进行攻击， 而现有的基于检测的方法还无法 保证代理的安全；

2、 代理也可能对驻留主机进行攻击， 如代理非法访问驻留主机的一些私 有信息等等， 对于此类攻击， 目前也只是采用入侵检测技术来进行被动防御；

3、 网络管理用户完全信赖管理者系统， 这是不安全的。 因为管理者系统 可能被病毒、 木马等控制， 管理者系统没有按照网络管理用户的意愿工作， 从 而失去了对网络的管理与控制；

4、 被管理主机完全信赖管理者系统， 这也是不安全的。 被管理主机需要 检测管理者系统是否为被病毒、木马所侵蚀， 否则在被管理主机上驻留的代理 因接收恶意的管理命令而对被管理主机进行一些恶意行为。

为了保证各种终端 （包含 PC、 手机以及其它移动智能终端等） 的可信以 及网络环境中终端之间的可信， 国际可信计算组织 TCPA/TCG定义了可信计 算框架并制定了一系列可信计算规范。该可信计算框架主要是通过增强现有的 终端体系结构的安全性来保证整个系统的安全。其主要思路是在各种终端硬件 平台上引入可信架构，通过其提供的安全特性来提高终端系统的安全性。终端 可信的核心是称为可信平台模块 TPM(Trusted Platform Module)的可信芯片。利 用该可信平台模块 TPM可以实现终端的可信， 而利用基于可信平台模块 TPM 的可信网络连接可以实现网络环境中终端之间的可信。 国际可信计算组织 TCPA/TCG的可信网络连接架构如图 1所示。在该可信网络连接架构中， 策略 决策点 PDP(Policy Decision Point)对访问请求者 AR(Access Requestor)进行用 户鉴别和平台完整性评估，并根据用户鉴别结果和平台完整性评估结果进行决 策判定， 然后通知策略执行点 PEP(Policy Enforcement Point)执行决策。

为了增强该可信网络连接架构的安全性， 可以在策略决策点 PDP的后面 架设一个可信第三方策略管理器 PM(Policy Manager), 构成增强安全性的可信 网络连接架构如图 2所示。访问请求者 AR、 策略决策点 PDP和策略管理器执 行三元对等鉴别协议， 实现访问请求者 AR和策略决策点 PDP之间双向用户 鉴别和双向平台完整性评估，其中策略管理器 PM实现访问请求者 AR和策略 决策点 PDP的证书有效性验证， 同时也可以实现访问请求者 AR和策略决策 点 PDP的平台完整性校验。 策略决策点 PDP依据用户鉴别和平台完整性评估 结果进行决策判定，然后通知策略执行点 PEP执行决策。访问请求者 AR也可 以依据用户鉴别和平台完整性评估结果进行决策判定并在本地执行决策。

图 1所示的可信网络连接架构上执行的可信网络连接称为" TCPA/TCG可 信网络连接"，而图 2所示的可信网络连接架构上执行的可信网络连接称为"增 强安全性的 TCPA/TCG可信网络连接"。 图 1和图 2所示的可信网络连接架构 中的访问请求者 AR 连接到可信网络后， 需要一个网络管理系统对其进行管 理，而且需要避免以上集中式的网络管理系统和分布式的网络管理系统的安全 缺陷， 从而建立真正意义的可信网络。 从图 1和图 2中可知： 两个可信网络连 接架构最终都是实现访问请求者 AR和策略决策点 PDP之间用户鉴别和平台 完整性评估， 而策略执行点 PEP执行策略决策点 PDP的决策， 所以基于这两 种可信网络连接架构的可信网络管理方法是一样的， 统称为 "基于 TCPA/TCG 可信网络连接的可信网络管理方法"。

发明内容

本发明为解决背景技术中存在的上述技术问题， 而提供一种基于 TCPA/TCG可信网络连接的可信网络管理方法。

本发明的技术解决方案是： 本发明为一种基于 TCPA/TCG可信网络连接 的可信网络管理方法， 包括：

可信管理代理和可信管理系统的安装与配置， 包括： 可信管理代理驻留于 被管理主机中， 可信管理系统置驻留于管理主机中； 充当策略决策点 PDP角 色的主机为管理主机；

实现可信管理代理和可信管理系统的本地可信； 若被管理主机还未连接到可信网络中， 则将被管理主机连接到可信网络， 所述被管理主机连接到可信网络的方法为： 当为 TCPA/TCG可信网络连接架 构时， 被管理主机利用 TCPA/TCG可信网络连接方法连接到可信网络中， 其 中被管理主机充当访问请求者 AR角色； 当为增强安全性的 TCPA/TCG可信 网络连接架构时， 被管理主机利用增强安全性的 TCPA/TCG可信网络连接方 法连接到可信网络中， 其中被管理主机充当访问请求者 AR角色；

若被管理主机已连接到可信网络中，则执行可信管理代理和可信管理系统 的鉴别及密钥协商过程；

若可信管理代理和可信管理系统的远程可信性验证没有完成，则按照如下 方法被管理主机和管理主机先实现可信管理代理和可信管理系统的远程可信 性， 再进行网络管理的执行过程； 其中， 所述被管理主机和管理主机实现可信 管理代理和可信管理系统的远程可信性的被管理主机和管理主机实现可信管 理代理和可信管理系统的远程可信性的方法为： 当为 TCPA/TCG可信网络连 接架构时，被管理主机根据本地预存的可信管理系统的标准完整性值来校验管 理主机上的可信管理系统的完整性，而管理主机根据本地预存的可信管理代理 的标准完整性值来校验被管理主机上的可信管理代理的完整性；当为增强安全 性的 TCPA/TCG可信网络连接架构时， 被管理主机、 管理主机和策略管理器 PM执行三元对等鉴别协议，实现可信管理代理和可信管理系统的远程可信性， 其中策略管理器负责校验可信管理代理和可信管理系统的完整性并将校验结 果发送给被管理主机和管理主机；

若可信管理代理和可信管理系统的远程可信性验证已经完成，则直接进行 网络管理的执行过程。

所述可信管理代理的安装与配置由网络管理员或网络用户完成，当配置文 件是网络管理员分发的且网络用户不知晓配置文件的内容时，由网络用户完成 可信管理代理的安装与配置。

所述被管理主机的网络用户利用被管理主机中的可信平台模块 TPM对可 信管理代理进行完整性度量、存储和报告， 以验证可信管理代理在被管理主机 上的可信性； 管理主机的网络管理员利用管理主机中的可信平台模块 TPM可 以对可信管理系统进行完整性度量、存储和报告， 以验证本地可信管理系统的 可信性。

所述可信管理代理和可信管理系统的鉴别及密钥协商过程包括：被管理主 机上的可信管理代理自动发出探寻相应可信管理系统的信息；可信管理系统收 到可信管理代理的探寻信息后， 启动与该可信管理代理之间的鉴别过程； 可信 管理系统与可信管理代理利用配置信息或配置文件进行双向鉴别及密钥协商， 得到可信管理代理与可信管理系统之间的会话密钥，用于保护可信管理系统与 可信管理代理之间的安全通信。

所述网络管理的执行过程中， 当被管理主机的网络用户经验证确认： 运行 在管理主机上的可信管理系统以及运行在被管理主机上的可信管理代理均是 可信的，则被管理主机的网络用户许可该被管理主机与管理主机进行网络管理 通信或当管理主机的网络管理员经验证确认：运行在管理主机上的可信管理系 统以及运行在被管理主机上的可信管理代理均是可信的，则管理主机的网络管 理员开始执行网络管理。

一种基于 TCPA/TCG可信网络连接的可信网络管理方法， 该方法包括以 下步骤：

可信管理代理和可信管理系统的安装与配置， 包括： 可信管理代理驻留于 被管理主机中， 可信管理系统置驻留于管理主机中； 充当访问请求 AR角色的 主机为管理主机；

实现可信管理代理和可信管理系统的本地可信；

若被管理主机和管理主机还未连接到可信网络中，则将管理主机和管理主 机连接到可信网络， 所述被管理主机和管理主机连接到可信网络的方法为： 当 为 TCPA/TCG可信网络连接架构时， 被管理主机和管理主机利用 TCPA/TCG 可信网络连接方法连接到可信网络中，其中被管理主机和管理主机充当访问请 求者 AR角色； 当为增强安全性的 TCPA/TCG可信网络连接架构时， 被管理 主机和管理主机利用增强安全性的 TCPA/TCG可信网络连接方法连接到可信 网络中， 其中被管理主机和管理主机充当访问请求者 AR角色；

若被管理主机已连接到可信网络中，则执行可信管理代理和可信管理系统 的鉴别及密钥协商过程；

若被管理主机和管理主机之间还未完成用户鉴别及密钥协商过程，则管理 主机和被管理主机执行用户鉴别及密钥协商过程， 再进行网络管理的执行过 程； 若被管理主机和管理主机之间已完成用户鉴别及密钥协商过程， 则按照如 下方法被管理主机和管理主机实现可信管理代理和可信管理系统的远程可信 性， 再进行网络管理的执行过程； 其中， 所述被管理主机和管理主机实现可信 管理代理和可信管理系统的远程可信性的方法为： 当为 TCPA/TCG可信网络 连接架构时，被管理主机根据本地预存的可信管理系统的标准完整性值来校验 管理主机上的可信管理系统的完整性，而管理主机根据本地预存的可信管理代 理的标准完整性值来校验被管理主机上的可信管理代理的完整性；当为增强安 全性的 TCPA/TCG可信网络连接架构时， 被管理主机、 管理主机和策略管理 器 PM执行三元对等鉴别协议，实现可信管理代理和可信管理系统的远程可信 性，其中策略管理器负责校验可信管理代理和可信管理系统的完整性并将校验 结果发送给被管理主机和管理主机。

所述可信管理代理的安装与配置由网络管理员或网络用户完成，当配置文 件是网络管理员分发的且网络用户不知晓配置文件的内容时，由网络用户完成 可信管理代理的安装与配置。

所述被管理主机的网络用户利用被管理主机中的可信平台模块 TPM对可 信管理代理进行完整性度量、存储和报告， 以验证可信管理代理在被管理主机

TPM对可信管理系统进行完整性度量、 存储和报告， 以验证本地可信管理系 统的可信性。

所述可信管理代理和可信管理系统的鉴别及密钥协商过程包括：被管理主 机上的可信管理代理自动发出探寻相应可信管理系统的信息；可信管理系统收 到可信管理代理的探寻信息后， 启动与该可信管理代理之间的鉴别过程； 可信 管理系统与可信管理代理利用配置信息或配置文件进行双向鉴别及密钥协商， 得到可信管理代理与可信管理系统之间的会话密钥。

所述网络管理的执行过程中， 当被管理主机的网络用户经验证确认： 运行 在管理主机上的可信管理系统以及运行在被管理主机上的可信管理代理均是 可信的 ,则被管理主机的网络用户许可该被管理主机与管理主机进行网络管理 通信或当管理主机的网络管理员经验证确认：运行在管理主机上的可信管理系 统以及运行在被管理主机上的可信管理代理均是可信的 ,则管理主机的网络管 理员开始执行网络管理。

本发明提供了两种基于 TCPA/TCG可信网络连接的可信网络管理架构， 可信管理代理驻留在被管理主机中， 而可信管理系统则驻留在管理主机中，被 管理主机和管理主机都具有可信平台模块 TPM, 从而基于可信平台模块 TPM 构成各自的可信计算平台，而可信管理代理和可信管理系统都是基于可信计算 平台、 经过可信管理代理和可信管理系统的可信第三方鉴定后签名的软件模 块，且可信管理代理和可信管理系统的标准完整性度量值经可信第三方签名后 存储的。 被管理主机和管理主机的可信平台模块 TPM可以对可信管理代理和 可信管理系统进行完整性度量、 存储和报告。 利用可信平台模块 TPM的这些 功能，被管理主机和管理主机可以确保可信管理代理和可信管理系统都是可信 的， 然后它们之间执行网络管理的功能， 从而实现可信网络管理。 在第一种可 信网络管理架构中， 被管理主机为 TCPA/TCG可信网络连接架构或增强安全 性的 TCPA/TCG可信网络连接架构中的访问请求者 AR角色， 而管理主机为 TCPA/TCG可信网络连接架构或增强安全性的 TCPA/TCG可信网络连接架构 中的策略执行点 PDP角色。 在第二种可信网络管理架构中， 被管理主机和管 理主机都为 TCPA/TCG可信网络连接架构或增强安全性的 TCPA/TCG可信网 络连接架构中的访问请求者 AR角色。 这两种基于 TCPA/TCG可信网络连接 的可信网络管理方法具有以下优点：

1、 基于本地的可信平台模块 TPM, 被管理主机和管理主机实现了可信管 理代理和可信管理系统的本地可信性，从而主动防卸可信管理代理对被管理主 机的攻击行为， 以及确保管理主机上的可信管理系统是按预期的功能在运行。

2、 基于远程的可信平台模块 TPM, 被管理主机和管理主机实现了可信管 理代理和可信管理系统的远程可信性，从而可防止恶意的被管理主机对驻留在 该主机上的可信管理代理进行恶意攻击，以及确保运行在自身主机上的可信管 理系统是可控的， 进而可保证可信管理系统正确执行网络管理员的管理命令。

3、 对于第一种基于 TCPA/TCG可信网络连接的可信网络管理， 由于驻留 有可信管理系统的管理主机直接充当可信网络连接过程中策略决策点 PDP角 色， 从而筒化了可信网络管理的实现步骤。 4、 对于第二种基于 TCPA/TCG可信网络连接的可信网络管理， 由于在可 信网络连接过程中被管理主机以及管理主机分别与策略决策点 PDP实现了双 向用户鉴别、会话密钥协商和双向平台完整性评估，从而使得被管理主机和管 理主机之间的双向用户鉴别以及密钥协商可以采用基于可信第三方的双向鉴 别协议来实现，而可信管理代理和可信管理系统的远程可信验证也可以采用基 于可信第三方的双向可信评估协议来实现， 提高了可信网络管理的安全性。

5、 可信管理代理驻留在各个被管理主机上可对被管理主机进行控制， 而 可信管理系统驻留在一个管理主机上可对所有的管理主机进行管理与控制，从 而可实现分布式控制集中式管理的可信网络管理。

附图说明

图 1是 TCPA/TCG可信网络连接架构图；

图 2是增强安全性的 TCPA/TCG可信网络连接架构图；

图 3是本发明实施例一的基于 TCPA/TCG可信网络连接的可信网络管理 架构图；

图 4是本发明实施例二的基于 TCPA/TCG可信网络连接的可信网络管理 架构图。

具体实施方式

为使本发明的目的、 技术方案及优点更加清楚明白， 下面举实施例， 对本 发明进一步详细说明。

参见图 3 ,本发明实施例一中的基于 TCPA/TCG可信网络连接的可信网络 管理方法的具体实现步骤为：

1、 可信管理代理和可信管理系统的安装与配置

安装并配置驻留于被管理主机中的可信管理代理，安装并配置驻留于管理 主机中的可信管理系统， 充当策略决策点 PDP的主机为管理主机。 可信管理 系统的安装与配置由网络管理员来完成。可信管理代理的安装与配置可以由网 络管理员来完成， 也可以由网络用户来完成。 当由网络用户完成可信管理代理 的安装与配置时，配置文件一定是网络管理员分发的且配置文件的内容对于网 络用户而言是不可知的。 此外， 可信管理代理和可信管理系统的配置还可以由 厂商以预安装的形式完成。 2、 实现可信管理代理和可信管理系统的本地可信

被管理主机的网络用户利用被管理主机中的可信平台模块 TPM可以对可 信管理代理进行完整性度量、存储和报告，从而可验证可信管理代理在被管理 主机上的可信性。 同理， 管理主机的网络管理员利用管理主机中的可信平台模 块 TPM可以对可信管理系统进行完整性度量、 存储和报告， 从而可验证本地 可信管理系统的可信性。

3、 被管理主机连接到可信网络中

该步骤为可选步骤， 具体而言， 若被管理主机还未连接到可信网络中， 则 将被管理主机连接到可信网络， 再执行步骤 4 ); 若被管理主机已连接到可信 网络中， 直接执行步骤 4 );

被管理主机连接到可信网络的方法为： 当为 TCPA/TCG可信网络连接架 构时， 被管理主机利用 TCPA/TCG可信网络连接方法连接到可信网络中， 其 中被管理主机充当访问请求者 AR角色； 当为增强安全性的 TCPA/TCG可信 网络连接架构时， 被管理主机利用增强安全性的 TCPA/TCG可信网络连接方 法连接到可信网络中， 其中被管理主机充当访问请求者 AR角色。

4、 可信管理代理和可信管理系统的鉴别及密钥协商过程

可信管理代理是随着被管理主机的系统启动而自动运行的软件模块。被管 理主机上的可信管理代理自动发出探寻相应可信管理系统的信息；可信管理系 统收到可信管理代理的探寻信息后， 启动与该可信管理代理之间的鉴别过程； 可信管理系统与可信管理代理利用厂商预安装的配置信息或网络管理员安装 时设置的配置信息或网络管理员分发的配置文件进行双向鉴别及密钥协商，得 到可信管理代理与可信管理系统之间的会话密钥。可信管理代理与可信管理系 统之间的会话密钥， 用于保护可信管理系统与可信管理代理之间的安全通信。

5、 实现可信管理代理和可信管理系统的远程可信

该步骤为可选步骤， 具体而言， 若可信管理代理和可信管理系统的远程可 信性验证在步骤 3 )中就已经完成， 则执行步骤 6 ); 否则， 被管理主机和管理 主机先实现可信管理代理和可信管理系统的远程可信性， 然后执行步骤 6 ); 被管理主机和管理主机实现可信管理代理和可信管理系统的远程可信性 的方法为： 当为 TCPA/TCG可信网络连接架构时， 被管理主机根据本地预存 的可信管理系统的标准完整性值来校验管理主机上的可信管理系统的完整性， 而管理主机根据本地预存的可信管理代理的标准完整性值来校验被管理主机 上的可信管理代理的完整性； 当为增强安全性的 TCPA/TCG可信网络连接架 构时， 被管理主机、 管理主机和策略管理器 PM执行三元对等鉴别协议， 实现 可信管理代理和可信管理系统的远程可信性，其中策略管理器负责校验可信管 理代理和可信管理系统的完整性并将校验结果发送给被管理主机和管理主机。

基于被管理主机上的可信平台模块 TPM对可信管理代理进行完整性度 量、 存储和报告， 从而可验证可信管理代理在被管理主机上的可信性， 以防止 恶意的被管理主机对驻留在该主机上的可信管理代理进行恶意攻击；基于管理 主机上的可信平台模块 TPM对可信管理系统进行完整性度量、 存储和报告， 从而可以验证可信管理系统在管理主机上的可信性，以确保运行在管理主机上 的可信管理系统是可控的， 可信管理系统是在正常执行网络管理员的管理命 令。

6、 网络管理的执行过程

当被管理主机的网络用户经验证确认：运行在管理主机上的可信管理系统 以及运行在被管理主机上的可信管理代理均是可信的，则被管理主机的网络用 户许可该被管理主机与管理主机进行网络管理通信。

当管理主机的网络管理员经验证确认：运行在管理主机上的可信管理系统 以及运行在被管理主机上的可信管理代理均是可信的 ,则管理主机的网络管理 员开始执行网络管理。 网络管理模式可采用集中式网络管理、分布式网络管理 和分布式控制集中式管理的网络管理等等。

参见图 4,本发明实施例二中的基于 TCPA-TCG可信网络连接的可信网络 管理方法的具体实现步骤为：

1、 可信管理代理和可信管理系统的安装与配置

安装并配置驻留于被管理主机中的可信管理代理，安装并配置驻留于管理 主机中的可信管理系统， 某个充当访问请求 AR的主机为管理主机。 可信管理 系统的安装与配置由网络管理员来完成。可信管理代理的安装与配置可以由网 络管理员来完成， 也可以由网络用户来完成。 当由网络用户完成可信管理代理 的安装与配置时，配置文件一定是网络管理员分发的且配置文件的内容对于网 络用户而言是不可知的。 此外， 可信管理代理和可信管理系统的配置还可以由 厂商以预安装的形式完成。

2、 实现可信管理代理和可信管理系统的本地可信

被管理主机的网络用户利用被管理主机中的可信平台模块 TPM可以对可 信管理代理进行完整性度量、存储和报告，从而可验证可信管理代理在被管理 主机上的可信性。 同理， 管理主机的网络管理员利用管理主机中的可信平台模 块 TPM可以对可信管理系统进行完整性度量、 存储和报告， 从而可验证本地 可信管理系统的可信性。

3、 被管理主机和管理主机连接到可信网络中

该步骤为可选步骤， 具体而言， 若被管理主机和管理主机还未连接到可信 网络中， 则将管理主机和管理主机连接到可信网络， 再执行步骤 4 ); 若被管 理主机和管理主机已连接到可信网络中， 直接执行步骤 4 );

被管理主机和管理主机连接到可信网络的方法为： 当为 TCPA/TCG可信 网络连接架构时， 被管理主机和管理主机利用 TCPA/TCG可信网络连接方法 连接到可信网络中， 其中被管理主机和管理主机充当访问请求者 AR角色； 当 为增强安全性的 TCPA/TCG可信网络连接架构时， 被管理主机和管理主机利 用增强安全性的 TCPA/TCG可信网络连接方法连接到可信网络中， 其中被管 理主机和管理主机充当访问请求者 AR角色。

4、 可信管理代理和可信管理系统的鉴别及密钥协商过程

可信管理代理是随着被管理主机的系统启动而自动运行的软件模块。被管 理主机上的可信管理代理自动发出探寻相应可信管理系统的信息；可信管理系 统收到可信管理代理的探寻信息后， 启动与该可信管理代理之间的鉴别过程； 可信管理系统与可信管理代理利用厂商预安装的配置信息或网络管理员安装 时设置的配置信息或网络管理员分发的配置文件进行双向鉴别及密钥协商，得 到可信管理代理与可信管理系统之间的会话密钥。可信管理代理与可信管理系 统之间的会话密钥， 用于保护可信管理系统与可信管理代理之间的安全通信。

5、 被管理主机和管理主机的用户鉴别及密钥协商过程

该步骤为可选步骤， 具体而言， 若被管理主机和管理主机之间还未完成用 户鉴别及密钥协商过程，则管理主机和被管理主机执行用户鉴别及密钥协商过 程， 再执行步骤 6 ), 协商的会话密钥可用来保护对可信管理代理和可信管理 系统的远程完整性评估的数据传输；若被管理主机和管理主机之间已完成用户 鉴别及密钥协商过程， 直接执行步骤 6 );

6、 实现可信管理代理和可信管理系统的远程可信

被管理主机和管理主机实现可信管理代理和可信管理系统的远程可信性， 方法为： 当为 TCPA/TCG可信网络连接架构时， 被管理主机根据本地预存的 可信管理系统的标准完整性值来校验管理主机上的可信管理系统的完整性，而 管理主机根据本地预存的可信管理代理的标准完整性值来校验被管理主机上 的可信管理代理的完整性； 当为增强安全性的 TCPA/TCG可信网络连接架构 时， 被管理主机、 管理主机和策略管理器 PM执行三元对等鉴别协议， 实现可 信管理代理和可信管理系统的远程可信性，其中策略管理器负责校验可信管理 代理和可信管理系统的完整性并将校验结果发送给被管理主机和管理主机。

基于被管理主机上的可信平台模块 TPM对可信管理代理进行完整性度 量、 存储和报告， 从而可验证可信管理代理在被管理主机上的可信性， 以防止 恶意的被管理主机对驻留在该主机上的可信管理代理进行恶意攻击；基于管理 主机上的可信平台模块 TPM对可信管理系统进行完整性度量、 存储和报告， 从而可以验证可信管理系统在管理主机上的可信性，以确保运行在管理主机上 的可信管理系统是可控的， 可信管理系统是在正常执行网络管理员的管理命 令。

7、 网络管理的执行过程

当被管理主机的网络用户经验证确认：运行在管理主机上的可信管理系统 以及运行在被管理主机上的可信管理代理均是可信的，则被管理主机的网络用 户许可该被管理主机与管理主机进行网络管理通信。

当管理主机的网络管理员经验证确认：运行在管理主机上的可信管理系统 以及运行在被管理主机上的可信管理代理均是可信的 ,则管理主机的网络管理 员开始执行网络管理。 网络管理模式可采用集中式网络管理、分布式网络管理 和分布式控制集中式管理的网络管理等等。

以上所述的网络管理模式中，分布式控制集中式管理的网络管理模式比较 适合于可信网络管理， 其具体实现为： 网络管理员利用可信管理系统与可信管 理代理之间的会话密钥将安全网络管理策略发送给被管理主机上的可信管理 代理，可信管理代理依据该安全网络管理策略在被管理主机上执行监测和控制 功能， 对于安全网络管理策略可判定的监测数据， 则直接进行控制与管理。 而 对于安全网络管理策略不可判定的监测数据，则需将这些监测数据发送至可信 管理系统， 可信管理系统接收到这些监测数据后， 先进行分析； 然后将分析结 果发送给网络管理员， 网络管理员依据分析结果对被管理主机进行控制与管 理，从而最终实现可信网络管理。可疑数据是指一些监测结果不能肯定的数据。 可信管理系统驻留在一个管理主机上对所有的管理主机进行控制与管理，从而 可实现分布式控制、 集中式管理的可信网络管理。 分布式控制主要体现在： 每 台主机都有一个可信管理代理，它根据网络管理员通过可信管理系统发送过来 的安全网络管理策略执行监测与控制，对于一些不可判定的数据才需可信管理 系统进行控制。 集中式管理主要体现在： 只有一台主机安装可信管理系统， 它 制定安全网络管理策略， 然后分发给各个可信管理代理执行策略，对于可信管 理代理不能控制与管理的数据才需可信管理系统进行控制， 从而实现集中管 理。

本发明提供了两种基于 TCPA/TCG可信网络连接的可信网络管理架构， 可信管理代理驻留在被管理主机中， 而可信管理系统则驻留在管理主机中，被 管理主机和管理主机都具有可信平台模块 TPM, 从而基于可信平台模块 TPM 构成各自的可信计算平台，而可信管理代理和可信管理系统都是基于可信计算 平台、 经过可信管理代理和可信管理系统的可信第三方鉴定后签名的软件模 块，且可信管理代理和可信管理系统的标准完整性度量值经可信第三方签名后 存储的。 被管理主机和管理主机的可信平台模块 TPM可以对可信管理代理和 可信管理系统进行完整性度量、 存储和报告。 利用可信平台模块 TPM的这些 功能，被管理主机和管理主机可以确保可信管理代理和可信管理系统都是可信 的， 然后它们之间执行网络管理的功能， 从而实现可信网络管理。 在第一种可 信网络管理架构中， 被管理主机为 TCPA/TCG可信网络连接架构或增强安全 性的 TCPA/TCG可信网络连接架构中的访问请求者 AR角色， 而管理主机为 TCPA/TCG可信网络连接架构或增强安全性的 TCPA/TCG可信网络连接架构 中的策略执行点 PDP角色。 在第二种可信网络管理架构中， 被管理主机和管 理主机都为 TCPA/TCG可信网络连接架构或增强安全性的 TCPA/TCG可信网 络连接架构中的访问请求者 AR角色。 这两种基于 TCPA/TCG可信网络连接 的可信网络管理方法具有以下优点：

1、 基于本地的可信平台模块 TPM, 被管理主机和管理主机实现了可信管 理代理和可信管理系统的本地可信性，从而主动防卸可信管理代理对被管理主 机的攻击行为， 以及确保管理主机上的可信管理系统是按预期的功能在运行。

2、 基于远程的可信平台模块 TPM, 被管理主机和管理主机实现了可信管 理代理和可信管理系统的远程可信性，从而可防止恶意的被管理主机对驻留在 该主机上的可信管理代理进行恶意攻击，以及确保运行在自身主机上的可信管 理系统是可控的， 进而可保证可信管理系统正确执行网络管理员的管理命令。

3、 对于第一种基于 TCPA/TCG可信网络连接的可信网络管理， 由于驻留 有可信管理系统的管理主机直接充当可信网络连接过程中策略决策点 PDP角 色， 从而筒化了可信网络管理的实现步骤。

4、 对于第二种基于 TCPA/TCG可信网络连接的可信网络管理， 由于在可 信网络连接过程中被管理主机以及管理主机分别与策略决策点 PDP实现了双 向用户鉴别、会话密钥协商和双向平台完整性评估，从而使得被管理主机和管 理主机之间的双向用户鉴别以及密钥协商可以采用基于可信第三方的双向鉴 别协议来实现，而可信管理代理和可信管理系统的远程可信验证也可以采用基 于可信第三方的双向可信评估协议来实现， 提高了可信网络管理的安全性。

5、 可信管理代理驻留在各个被管理主机上可对被管理主机进行控制， 而 可信管理系统驻留在一个管理主机上可对所有的管理主机进行管理与控制，从 而可实现分布式控制集中式管理的可信网络管理。

以上对本发明所提供的一种基于 TCPA/TCG可信网络连接的可信网络管 行了阐述， 以上实施例的说明只是用于帮助理解本发明的方法及其核心思想； 同时， 对于本领域的一般技术人员， 依据本发明的思想， 在具体实施方式及应 用范围上均会有改变之处， 综上所述， 本说明书内容不应理解为对本发明的限 制。

Claims

权 利 要 求

1、一种基于 TCPA/TCG可信网络连接的可信网络管理方法，其特征在于， 包括：

可信管理代理和可信管理系统的安装与配置， 包括： 可信管理代理驻留于 被管理主机中， 可信管理系统置驻留于管理主机中； 充当策略决策点 PDP角 色的主机为管理主机；

实现可信管理代理和可信管理系统的本地可信；

若被管理主机还未连接到可信网络中， 则将被管理主机连接到可信网络， 所述被管理主机连接到可信网络的方法为： 当为 TCPA/TCG可信网络连接架 构时， 被管理主机利用 TCPA/TCG可信网络连接方法连接到可信网络中， 其 中被管理主机充当访问请求者 AR角色； 当为增强安全性的 TCPA/TCG可信 网络连接架构时， 被管理主机利用增强安全性的 TCPA/TCG可信网络连接方 法连接到可信网络中， 其中被管理主机充当访问请求者 AR角色；

若被管理主机已连接到可信网络中，则执行可信管理代理和可信管理系统 的鉴别及密钥协商过程；

若可信管理代理和可信管理系统的远程可信性验证没有完成，则按照如下 方法被管理主机和管理主机实现可信管理代理和可信管理系统的远程可信性， 再进行网络管理的执行过程； 其中， 所述被管理主机和管理主机实现可信管理 代理和可信管理系统的远程可信性的方法为： 当为 TCPA/TCG可信网络连接 架构时，被管理主机根据本地预存的可信管理系统的标准完整性值来校验管理 主机上的可信管理系统的完整性，而管理主机根据本地预存的可信管理代理的 标准完整性值来校验被管理主机上的可信管理代理的完整性；当为增强安全性 的 TCPA/TCG可信网络连接架构时， 被管理主机、 管理主机和策略管理器 PM 执行三元对等鉴别协议， 实现可信管理代理和可信管理系统的远程可信性， 其 中策略管理器负责校验可信管理代理和可信管理系统的完整性并将校验结果 发送给被管理主机和管理主机；

若可信管理代理和可信管理系统的远程可信性验证已经完成，则直接进行 网络管理的执行过程。

2、 根据权利要求 1所述的基于 TCPA/TCG可信网络连接的可信网络管理 方法， 其特征在于： 所述可信管理代理的安装与配置由网络管理员或网络用户 完成， 当配置文件是网络管理员分发的且网络用户不知晓配置文件的内容时， 由网络用户完成可信管理代理的安装与配置。

3、 根据权利要求 1所述的基于 TCPA/TCG可信网络连接的可信网络管理 方法， 其特征在于： 所述被管理主机的网络用户利用被管理主机中的可信平台 模块 TPM对可信管理代理进行完整性度量、 存储和报告， 以验证可信管理代 理在被管理主机上的可信性；所述管理主机的网络管理员利用管理主机中的可 信平台模块 TPM可以对可信管理系统进行完整性度量、 存储和报告， 以验证 本地可信管理系统的可信性。

4、 根据权利要求 1所述的基于 TCPA/TCG可信网络连接的可信网络管理 方法， 其特征在于， 所述可信管理代理和可信管理系统的鉴别及密钥协商过程 包括：

被管理主机上的可信管理代理自动发出探寻相应可信管理系统的信息； 可信管理系统收到可信管理代理的探寻信息后，启动与该可信管理代理之 间的鉴别过程；

可信管理系统与可信管理代理利用配置信息或配置文件进行双向鉴别及 密钥协商，得到可信管理代理与可信管理系统之间的会话密钥， 用于保护可信 管理系统与可信管理代理之间的安全通信。

5、 根据权利要求 1所述的基于 TCPA/TCG可信网络连接的可信网络管理 方法， 其特征在于： 所述网络管理的执行过程中， 当被管理主机的网络用户经 验证确认：运行在管理主机上的可信管理系统以及运行在被管理主机上的可信 管理代理均是可信的，则被管理主机的网络用户许可该被管理主机与管理主机 进行网络管理通信或当管理主机的网络管理员经验证确认：运行在管理主机上 的可信管理系统以及运行在被管理主机上的可信管理代理均是可信的，则管理 主机的网络管理员开始执行网络管理。

6、一种基于 TCPA/TCG可信网络连接的可信网络管理方法，其特征在于， 包括：

可信管理代理和可信管理系统的安装与配置， 包括： 可信管理代理驻留于 被管理主机中， 可信管理系统置驻留于管理主机中； 充当访问请求者 AR角色 的主机为管理主机；

实现可信管理代理和可信管理系统的本地可信；

若被管理主机和管理主机还未连接到可信网络中，则将被管理主机和管理 主机连接到可信网络， 所述被管理主机和管理主机连接到可信网络的方法为： 当为 TCPA/TCG可信网络连接架构时，被管理主机和管理主机利用 TCPA/TCG 可信网络连接方法连接到可信网络中，其中被管理主机和管理主机充当访问请 求者 AR角色； 当为增强安全性的 TCPA/TCG可信网络连接架构时， 被管理 主机和管理主机利用增强安全性的 TCPA/TCG可信网络连接方法连接到可信 网络中， 其中被管理主机和管理主机充当访问请求者 AR角色；

若被管理主机已连接到可信网络中，则执行可信管理代理和可信管理系统 的鉴别及密钥协商过程；

若被管理主机和管理主机之间还未完成用户鉴别及密钥协商过程，则管理 主机和被管理主机执行用户鉴别及密钥协商过程， 再进行网络管理的执行过 程； 若被管理主机和管理主机之间已完成用户鉴别及密钥协商过程， 则按照如 下方法被管理主机和管理主机实现可信管理代理和可信管理系统的远程可信 性， 再进行网络管理的执行过程； 其中， 所述被管理主机和管理主机实现可信 管理代理和可信管理系统的远程可信性的方法为： 当为 TCPA/TCG可信网络 连接架构时，被管理主机根据本地预存的可信管理系统的标准完整性值来校验 管理主机上的可信管理系统的完整性，而管理主机根据本地预存的可信管理代 理的标准完整性值来校验被管理主机上的可信管理代理的完整性；当为增强安 全性的 TCPA/TCG可信网络连接架构时， 被管理主机、 管理主机和策略管理 器 PM执行三元对等鉴别协议，实现可信管理代理和可信管理系统的远程可信 性，其中策略管理器负责校验可信管理代理和可信管理系统的完整性并将校验 结果发送给被管理主机和管理主机。

7、 根据权利要求 6所述的基于 TCPA/TCG可信网络连接的可信网络管理 方法， 其特征在于： 所述可信管理代理的安装与配置由网络管理员或网络用户 完成， 当配置文件是网络管理员分发的且网络用户不知晓配置文件的内容时， 由网络用户完成可信管理代理的安装与配置。

8、 根据权利要求 6所述的基于 TCPA/TCG可信网络连接的可信网络管理 方法， 其特征在于： 所述被管理主机的网络用户利用被管理主机中的可信平台 模块 TPM对可信管理代理进行完整性度量、 存储和报告， 以验证可信管理代 理在被管理主机上的可信性；所述管理主机的网络管理员利用管理主机中的可 信平台模块 TPM对可信管理系统进行完整性度量、 存储和报告， 以验证本地 可信管理系统的可信性。

9、 根据权利要求 6所述的基于 TCPA/TCG可信网络连接的可信网络管理 方法， 其特征在于： 所述可信管理代理和可信管理系统的鉴别及密钥协商过程 包括：

被管理主机上的可信管理代理自动发出探寻相应可信管理系统的信息； 可信管理系统收到可信管理代理的探寻信息后，启动与该可信管理代理之 间的鉴别过程；

可信管理系统与可信管理代理利用配置信息或配置文件进行双向鉴别及 密钥协商， 得到可信管理代理与可信管理系统之间的会话密钥。

10、 根据权利要求 6所述的基于 TCPA/TCG可信网络连接的可信网络管 理方法， 其特征在于： 所述网络管理的执行过程中， 当被管理主机的网络用户 经验证确认：运行在管理主机上的可信管理系统以及运行在被管理主机上的可 信管理代理均是可信的，则被管理主机的网络用户许可该被管理主机与管理主 机进行网络管理通信或当管理主机的网络管理员经验证确认：运行在管理主机 上的可信管理系统以及运行在被管理主机上的可信管理代理均是可信的，则管 理主机的网络管理员开始执行网络管理。