一种基于可信计算的远程双向访问控制系统及方法与流程

文档序号:12491054阅读:371来源:国知局
一种基于可信计算的远程双向访问控制系统及方法与流程

本发明涉及访问控制技术,特别涉及一种基于可信计算的远程双向访问控制系统及方法。



背景技术:

随着计算机技术与互联网的发展,对用户共享系统资源的安全问题日益凸显。一个安全的网络的环境需要可靠的访问控制服务进行保证。访问控制指一种通过某种途径,允许或者限制对资源的访问能力以及范围的方式。目前常见的访问控制模型可分为强制访问控制(Mandatory Access Control,MAC)、自主访问控制(Discretionary Access Control,DAC)以及基于角色的访问控制(RBAC:Role-based Access Control),其中随着当前网络化技术的深入,在大型的组织或企业中,随着网络资源多样化,用户数量的不断增加,RBAC由于其特有的模型结构,对提高组织效率以及其信息系统安全性具有独特的优势。

但目前传统的RBAC采取的认证手段较为单一,即仅通过用户的身份进行认证,对用户平台的状态并不进行判断,此外在复杂环境下,访问控制技术仅解决了信息的保密性,并没有解决信息的完整性问题。同时对于认证对象的选择,传统的认证方法仅认证访问者,并没有对被访问的服务进行认证,存在安全隐患。

近年来,可信计算技术正逐步成为信息安全的主要发展趋势之一。可信计算技术通过在计算机硬件平台引入安全芯片,通过其提供的安全特性以及密码模块,从终端解决系统安全性问题。



技术实现要素:

针对现有技术的不足,本发明提供了一种基于可信计算的远程双向访问控制系统及方法,所述系统包括客户端、监控端和服务端,所述客户端、监控端和服务端分别包括集成有可信密码支撑模块的计算机终端平台;

所述可信密码支撑模块(TCM,Trusted Cryptography Module)主要通过其可信度量能力保护客户端计算机平台的可信,并用于存储平台身份的密钥(该平台身份的密钥即身份标识是唯一存在的)、平台管理用户及注册用户信息、各类基准值信息(BIOS数据、硬盘、光驱、操作系统内核等)和密钥算法引擎;

所述客户端部署有服务访问模块,服务访问模块为用户提供透明的安全可信服务访问登录入口;

所述监控端部署有认证中心,所述认证中心包括认证策略执行点、认证策略决策点和认证中心库,策略执行点用于接收用户请求并根据策略决策点的要求与认证对象进行会话质询,策略决策点用于对用户身份认证信息进行认证,认证中心库存储有各类认证基准信息,包括计算机终端平台信息、用户身份认证信息和服务标识信息;

所述服务端部署有服务管理模块及远程应用服务模块。服务管理模块用于完成对服务资源的管理、控制和监视等,远程应用服务模块为客户端计算机终端提供所需算法及应用支撑服务。

所述系统执行如下步骤:

步骤1-1,用户通过客户端服务访问模块向监控端认证中心提交远端服务网络访问认证申请,服务访问模块通过可信密码支撑模块调用接口提取本地用户身份、计算机终端平台身份、计算机终端平台完整性的认证信息,并调用客户端计算机终端平台可信密码支撑模块中的AIK公钥(AIK,Attestation Identity Key)对认证信息进行加密得到加密报文;

步骤1-2,服务访问模块将加密报文提交认证中心的策略执行点,策略执行点调用客户端计算机终端平台可信密码支撑模块中的AIK公钥对认证信息解密,并将相关认证信息提交策略决策点进行认证;

步骤1-3,策略决策点对用户的身份、权限和平台身份进行认证,并将相关认证结果交予策略执行点,若认证通过则执行步骤1-4,若认证失败则拒绝用户服务访问申请;

步骤1-4,策略执行点通过服务管理模块检查用户所申请的服务状态,若服务存在,则向服务管理模块请求所申请服务的完整性度量值,若服务不存在则重新申请服务;

步骤1-5,服务管理模块端调用本地可信密码支撑模块接口对应用服务的可执行程序进行完整性度量,并采用服务端计算机终端平台公钥将认证信息加密后返回至策略执行点;

步骤1-6,策略执行点调用服务端计算机终端平台公钥对认证信息进行解密,并将认证信息提交策略决策点进行服务完整性认证;

步骤1-7,策略决策点将服务完整性度量值与认证中心库认证信息进行匹配,认证服务的完整性,并将认证结果返回至策略执行点,若认证成功,策略执行点授权用户访问对应服务;若认证失败,策略指点向服务管理模块提交服务停止命令,服务管理模块停止对应应用服务,对该服务进行隔离,并将服务不可用信息反馈至用户。

本发明还提供了一种基于可信计算的远程双向访问控制方法,包括如下步骤:

步骤2-1,对客户端计算机终端平台进行完整性认证,认证通过则启动计算机,认证失败则返回初始登录界面;

步骤2-2,对客户端计算机终端用户进行身份认证,使用用户IC卡(Integrated Circuit Card,集成电路卡)与客户端计算机终端平台可信密码支撑模块进行匹配认证,认证通过则允许用户登录客户端计算机终端;

步骤2-3,用户向认证中心提交远端服务网络访问认证申请,提交用户身份、登录密码和客户端计算机终端平台状态;认证中心对用户及用户的客户端计算机终端平台进行认证;

步骤2-4,认证中心检查远端服务的有效性,并对被访问的远端服务进行完整性度量;

步骤2-5,当访问用户、用户计算机终端平台及远端服务均可信时,认证中心授权用户访问远端服务,否则拒绝用户访问服务。

本发明步骤2-1包括如下步骤:

步骤2-1-1,由存储在客户端计算机终端平台可信密码支撑模块中的可信根出发,调用可信密码支撑模块的杂凑算法,对基本输入输出系统BIOS(Basic Input Output System)进行完整性度量,如果度量成功,判定其为可信基本输入输出系统BIOS,执行步骤2-1-2,否则执行步骤步骤2-1-6;

步骤2-1-2,计算机主板上电,将控制权转交至可信基本输入输出系统BIOS,并启动可信基本输入输出系统BIOS;

步骤2-1-3,对计算机硬件(硬盘、网卡、声卡、显卡等)进行完整性度量,如果度量成功,执行步骤2-1-4,否则计算机宕机结束;

步骤2-1-4,对操作系统OS(Operating System)内核进行完整性度量,如果度量成功,将控制权转交至操作系统,并启动计算机,否则执行步骤2-1-5;

步骤2-1-5,调用贮存在可信密码支撑模块中的正确操作系统内核重新加载修复,如果修复成功,返回执行步骤2-1-4,否则计算机宕机结束;

步骤2-1-6,调用贮存在可信密码支撑模块中的正确基本输入输出系统BIOS重新加载修复,如果修复成功,判定其为可信基本输入输出系统BIOS,返回执行步骤2-1-2,否则计算机宕机结束。

本发明步骤2-1中,所述客户端计算机终端平台集成有可信密码支撑模块(TCM,Trusted Cryptography Module),可信密码支撑模块存储计算机终端平台的唯一标识、平台密钥(AIK,Attestation Identity Key,AIK)、平台管理用户及注册用户信息、各类基准值信息(PCR,Platform Configuration Register)、密钥算法引擎,并由客户端计算机终端平台可信密码支撑模块调用内部密钥算法引擎对基本输入输出系统BIOS、计算机硬件、操作系统内核进行完整性度量,实现对计算机的启动控制。

本发明步骤2-2中,对本地用户进行身份认证时,其用户IC卡中存储有用户实体特征,包括用户名、用户口令、用户密钥、用户权限、用户信息及用户密码,由客户端计算机终端平台可信密码支撑模块读取用户IC卡中的用户密钥匹配用户标识,并将用户所输入口令经用户密钥加密后与可信密码支撑模块所存用户密码基准值进行比对实现对用户身份的认证。

本发明步骤2-3中,用户提交远端服务网络访问认证申请,客户端计算机终端平台提取用户身份、计算机终端平台身份、计算机终端平台完整性的认证信息,并调用可信密码支撑平台的平台私钥AIK对认证信息进行加密,得到认证信息加密报文,并将此报文提交认证中心,认证中心采用访问者的平台公钥对加密报文进行解密,并将相关信息与认证库的相关信息进行匹配,符合要求则完成用户及客户端计算机终端平台的认证。

本发明步骤2-4中,认证中心接收到用户所提交的服务访问申请,检查相应服务是否存在,存在则请求服务完整性度量值,远端服务调用可信密码支撑模块对服务的执行文件进行完整性度量,并将度量值采用平台私钥加密后提交认证中心,认证中心将度量值解密后与服务端存储的的相关信息进行匹配,符合要求则授权用户访问服务。

本发明步骤2-5中,认证中心提供的认证策略包含授权、拒绝和保护,当用户及服务认证通过后,认证中心授权用户访问服务;若服务完整性认证不通过时,在拒绝用户访问服务的通知,通过远程服务管理程序,停止相关服务,以保护网络信息安全。

本发明通过结合可信计算技术,基于可信密码支撑模块所提供的密钥,建立可信的信息交互通道,以终端平台完整性认证、用户身份认证、远端服务完整性认证为手段,通过建立包含认证对象、认证中心及认证策略的访问控制模型,实现基于可信的双向多要素访问控制。

本发明具有以下优点:本发明基于可信计算技术,通过调用可信密码支撑模块所提供的密钥实现认证信息的加密,以终端平台完整性认证、用户身份认证、远端服务完整性认证为手段,通过建立包含认证对象、认证中心及认证策略的访问控制模型,实现基于可信的双向多要素访问控制,加强了访问控制的安全等级。

附图说明

下面结合附图和具体实施方式对本发明做更进一步的具体说明,本发明的上述或其他方面的优点将会变得更加清楚。

图1是本发明的访问控制总流程图。

图2是本发明的本地终端平台认证流程图。

图3是本发明访问控制模型示意图。

图4是本发明访问控制认证流程的详细流程图。

图5是本发明访问控制系统的应用实例。

具体实施方式

下面结合附图对发明的技术内容进行详细说明:

本发明提供了一种基于可信计算的远程双向访问控制系统及方法,所述系统包括客户端、监控端和服务端,所述客户端、监控端和服务端分别包括集成有可信密码支撑模块的计算机终端平台;

所述可信密码支撑模块(TCM,Trusted Cryptography Module)主要通过其可信度量能力保护客户端计算机平台的可信,并用于存储平台身份的密钥(该平台身份的密钥即身份标识是唯一存在的)、平台管理用户及注册用户信息、各类基准值信息(BIOS数据、硬盘、光驱、操作系统内核等)和密钥算法引擎;

所述客户端部署有服务访问模块,为用户提供透明的安全可信服务访问登录入口;如图3所示,所述客户端计算机终端部署有TCM平台模块和USB Key/IC模块,用户通过USB Key/IC卡获取用户个人证书信息,进行用户本地身份认证。监控端部署有认证中心,所述认证中心包括认证策略执行点、认证策略决策点和认证中心库,策略执行点用于接收用户请求并根据策略决策点的要求与认证对象进行会话质询,策略决策点用于对用户身份认证信息进行认证,认证中心库存储有各类认证基准信息,包括计算机终端平台信息、用户身份认证信息和服务标识信息;

策略执行点主要用于接收用户请求并根据策略决策点的要求与认证对象进行会话质询,策略决策点负责对用户身份认证信息进行认证,认证中心库存储有各类认证基准信息。

所述服务端部署有服务管理模块及远程应用服务模块。

如图4所示,所述系统执行如下步骤:

步骤1-1,用户通过客户端服务访问模块向监控端认证中心提交远端服务网络访问认证申请,服务访问模块通过可信密码支撑模块调用接口提取本地用户身份、计算机终端平台身份、计算机终端平台完整性的认证信息,并调用客户端计算机终端平台可信密码支撑模块中的AIK公钥(AIK,Attestation Identity Key)对认证信息进行加密得到加密报文;

步骤1-2,服务访问模块将加密报文提交认证中心的策略执行点,策略执行点调用客户端计算机终端平台可信密码支撑模块中的AIK公钥对认证信息解密,并将相关认证信息提交策略决策点进行认证;

步骤1-3,策略决策点对用户的身份、权限和平台身份进行认证,并将相关认证结果交予策略执行点,若认证通过则执行步骤1-4,若认证失败则拒绝用户服务访问申请;

步骤1-4,策略执行点通过服务管理模块检查用户所申请的服务状态,若服务存在,则向服务管理模块请求所申请服务的完整性度量值,如服务不存在,则重新申请服务;

步骤1-5,服务管理模块端调用本地可信密码支撑模块接口对应用服务的可执行程序进行完整性度量,并采用服务端计算机终端平台公钥将认证信息加密后返回至策略执行点;

步骤1-6,策略执行点调用服务端计算机终端平台公钥对认证信息进行解密,并将认证信息提交策略决策点进行服务完整性认证;

步骤1-7,策略决策点将服务完整性度量值与认证中心库认证信息进行匹配,认证服务的完整性,并将认证结果返回至策略执行点,若认证成功,策略执行点授权用户访问对应服务;若认证失败,策略指点向服务管理模块提交服务停止命令,服务管理模块停止对应应用服务,对该服务进行隔离,并将服务不可用信息反馈至用户。

本发明还提供了一种基于可信计算的远程双向访问控制方法,如图1所示,包括如下步骤:

步骤2-1,对计算机终端平台进行完整性认证,认证通过则启动计算机,认证不通过则重新回到初始登录界面;

步骤2-2,对客户端计算机终端用户进行身份认证,使用用户IC卡与可信密码支撑模块进行匹配认证,认证通过则允许用户登录客户端计算机终端;

步骤2-3,用户向认证中心提交远端服务网络访问认证申请,提交用户身份、登录密码和客户端计算机终端平台状态;认证中心对用户及用户的客户端计算机终端平台进行认证;

步骤2-4,认证中心检查远端服务的有效性,并对被访问的远端服务进行完整性度量;

步骤2-5,当访问用户、用户计算机终端平台及远端服务均可信时,认证中心授权用户访问远端服务,否则拒绝用户访问服务。

如图2所示,本发明步骤2-1包括如下步骤:

步骤2-1-1,由存储在可信密码支撑模块中的可信根出发,调用可信密码支撑模块的杂凑算法,对基本输入输出系统BIOS(Basic Input Output System)进行完整性度量,如果度量成功,判定其为可信基本输入输出系统BIOS,执行步骤2-1-2,否则执行步骤步骤2-1-6;

步骤2-1-2,计算机主板上电,将控制权转交至可信基本输入输出系统BIOS,并启动可信基本输入输出系统BIOS;

步骤2-1-3,对计算机硬件(硬盘、网卡、声卡、显卡等)进行完整性度量,如果度量成功,执行步骤2-1-4,否则计算机宕机结束;

步骤2-1-4,对操作系统OS(Operating System)内核进行完整性度量,如果度量成功,将控制权转交至操作系统,并启动计算机,否则执行步骤2-1-5;

步骤2-1-5,调用贮存在可信密码支撑模块中的正确操作系统内核重新加载修复,如果修复成功,返回执行步骤2-1-4,否则计算机宕机结束;

步骤2-1-6,调用贮存在可信密码支撑模块中的正确基本输入输出系统BIOS重新加载修复,如果修复成功,判定其为可信基本输入输出系统BIOS,返回执行步骤2-1-2,否则计算机宕机结束。

本发明步骤2-1中,所述客户端计算机终端平台集成有可信密码支撑模块(TCM模块),可信密码支撑模块存储计算机终端平台的唯一标识、平台密钥(AIK)、平台管理用户及注册用户信息、各类基准值信息(PCR值)、密钥算法引擎,并由可信密码支撑模块调用内部密钥算法对基本输入输出系统BIOS、计算机硬件、操作系统内核进行完整性度量,实现对计算机的启动控制。

本发明步骤2-2中,对本地用户进行身份认证时,其用户IC卡中存储有用户实体特征,包括用户名、用户口令、用户密钥、用户权限、用户信息及用户密码,由可信密码支撑模块读取用户IC卡中的用户密钥匹配用户标识,并将用户所输入口令经用户密钥加密后与可信密码支撑模块所存用户密码基准值进行比对实现对用户身份的认证。

本发明步骤2-3中,用户提交远端服务网络访问认证申请,客户端算机终端平台提取用户身份、计算机终端平台身份、计算机终端平台完整性的认证信息,并调用可信密码支撑平台的平台私钥AIK对认证信息进行加密,得到认证信息加密报文,并将此报文提交认证中心,认证中心采用访问者的平台公钥对加密报文进行解密,并将相关信息与认证库的相关信息进行匹配,符合要求则完成用户及客户端计算机终端平台的认证。

本发明步骤2-4中,认证中心接收到用户所提交的服务访问申请,检查相应服务是否存在,存在则请求服务完整性度量值,远端服务调用可信密码支撑模块对服务的执行文件进行完整性度量,并将度量值采用平台私钥加密后提交认证中心,认证中心将度量值解密后与服务端存储的相关信息进行匹配,符合要求则授权用户访问服务。

本发明步骤2-5中,认证中心提供的认证策略包含授权、拒绝和保护,当用户及服务认证通过后,认证中心授权用户访问服务;若服务完整性认证不通过时,在拒绝用户访问服务的通知,通过远程服务管理程序,停止相关服务,以保护网络信息安全。

实施例

如图5所示,本发明访问控制系统的应用实例描述如下:

本实例的客户端计算机终端部署计算机平台信息模块和服务申请模块,本实例的平台信息指计算机终端可信状态(BIOS度量完整性、计算机硬件设备度量完整性、操作系统度量完整性),TCM平台运行状态(TCM驱动加载情况、TCM芯片打开情况以及TSS(TCG software stack,可信计算软件栈)软件栈存在情况等)。服务申请模块提供申请登陆服务的入口。

本实例的用户身份认证信息为每一个平台用户的唯一标识,包括用户名称、用户类型、当前用户I/0端口开放情况等。

本实例的服务标识信息指应用服务模块可信度量值,作为应用服务软件的唯一标识。

本实例的监控端部署认证服务和认证流程监控。认证服务对用户身份、权限和平台状态进行验证;认证流程监控对服务申请、服务化资源认证的全过程进行跟踪、展示。

本实例的服务管理模块用于完成对服务资源本身的管理、控制和监视等。客户端计算机用户向服务端服务管理申请服务需求,由服务管理模块向监控端的认证平台提交客户端计算机平台提交的用户身份、权限、平台状态等信息,并由认证服务最终确认用户身份权限可信。

本实例的远程应用服务模块为系统所需的可信服务资源队列。根据客户端申请,认证服务确认所需应用服务模块是否可信,若当前的服务可信可用,则服务端提供相应的服务给应用客户端示例,完成整个服务资源的认证过程,若不可信则不提供服务。

本发明提供了一种基于可信计算的远程双向访问控制系统及方法,具体实现该技术方案的方法和途径很多,以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。本实施例中未明确的各组成部分均可用现有技术加以实现。

当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1