网络接入证明双向度量的方法和系统的制作方法
【专利摘要】本发明提供一种网络接入证明双向度量的方法和系统,在访问终端对内部网络发起网络访问请求时,内部网络度量服务器不仅度量访问终端的可信平台可信属性,确定请求端的是否可信,而且度量内部网络各功能节点的可信状态。当访问终端通过了可信平台的可信度量,允许访问终端接入到内部网络时,发送内部网络各功能节点的可信状态给访问终端,实现了双向可信证明,避免了单独度量外部访问终端的可信状态而忽略了内部网络节点的度量,保证了内外部网络的双向可信。
【专利说明】网络接入证明双向度量的方法和系统
【技术领域】
[0001]本发明涉及系统软、硬件信息度量和认证协议领域,特别是涉及一种双向设备可信属性信息获取和认证的方法和系统。
【背景技术】
[0002]随着信息化和网络化的快速发展,人们对于网络资源的接入和访问越来越频繁,并因此产生了很多安全问题,如病毒和黑客入侵直接导致了信息泄露,造成了巨大的经济损失。可信计算组织(Trusted Computing Group,TCG)在网络接入控制方面提出了可信网络连接(Trusted Network Connection, TNC),此外,微软和思科都提出了各自关于网络接入控制的系统架构。
[0003]现有的网络接入控制一般是基于身份认证的,系统通过终端设备的用户输入用户名、密码,认证用户身份的合法性,但是无法保证终端设备的安全性,如可能存在合法的用户利用被感染或者被入侵的终端进行网络接入行为,当用户接入到网络可能导致整个网络信息的不可信。
[0004]可信网络连接提供了终端设备度量的概念,在认证用户身份的前提下,也对终端设备的安全可信进行验证,但是,可信网络连接是默认内部网络可信的。传统的证书认证,也只能证明网络整体的可信,也无法证明网络各节点的可信;现实中,存在着未确定安全可信的网络,或者安全可信网络下的某一个节点已经被感染或者攻击,无法保证终端用户的可信
【发明内容】
[0005]基于此,有必要针对内部网络各节点可信状态无法确定的问题,提供一种网络接入证明双向度量的方法和系统。
[0006]一种网络接入证明双向度量的方法,包括如下步骤:
[0007]根据访问终端的访问请求,发起身份认证请求,认证服务器接收身份认证信息,并对请求用户进行身份认证;若身份认证通过,认证服务器向访问终端和内部网络的资源服务器发出度量命令;
[0008]访问终端接收到度量命令后,收集终端设备的可信度量信息,提交至认证服务器;资源服务器收到度量命令后,收集各内部节点的可信状态信息,提交至认证服务器;
[0009]认证服务器接收所述可信度量信息和可信状态信息,并存储所述可信状态信息;
[0010]认证服务器中的完整性度量认证器验证所述可信度量信息和可信状态信息,判断访问终端是否符合可信策略要求;
[0011]根据判断的结果,若访问终端符合可信策略要求,则认证服务器发送接入命令到接入执行单元控制其接入访问终端,并将存储的可信状态信息转发至访问终端;若不符合可信策略要求,则认证服务器发送拒绝接入命令到接入执行单元控制其拒绝接入访问终端,并将存储的可信状态信息丢弃。[0012]一种网络接入证明的双向度量系统,包括:接入请求模块、接入执行模块、接入认证模块以及内部网络模块;
[0013]接入请求模块,用于发起网络访问请求,接收接入执行模块和接入认证模块的消息信息,收集可信属性度量信息,传输和接收身份认证信息和访问终端的度量信息;
[0014]接入执行模块,用于执行访问终端的请求接入和执行操作,并接收和转发接入请求模块和接入认证模块的消息;
[0015]接入认证模块,用于根据可信策略要求对访问终端的可信度量信息和内部网络节点的可信状态信息进行验证及产生策略决定,接入和发送与接入请求模块的信息;
[0016]内部网络模块,用于执行对内部网络各个资源节点的管理,收集内部网络节点的可信状态信息。
[0017]上述网络接入证明双向度量的方法和系统,通过对请求接入网络的终端进行身份认证和可信属性度量,对内部网络节点进行可信状态信息度量,使得内部网络确定终端用户和设备的安全可信,同时,终端在证明用户和设备可信的前提下,获取内部节点的可信状态信息,用户确定了网络的可信,达到双向信任。
【专利附图】
【附图说明】
[0018]图1为一个实施例的网络接入证明双向度量的方法流程图;
[0019]图2为基于一种网络环境网络下的接入证明双向度量的方法的原理框图;
[0020]图3为一个实施例的网络接入证明双向度量的系统结构示意图;
[0021]图4为内部网络的资源服务器的结构示意图。
【具体实施方式】
[0022]以下参照图表对本发明的网络接入证明双向度量的方法和系统的【具体实施方式】进行详细阐述说明。
[0023]本发明的网络接入证明双向度量的方法包括以下步骤:
[0024]步骤(I),根据访问终端的访问请求,发起身份认证请求,认证服务器接收身份认证信息,并对请求用户进行身份认证;若身份认证通过,认证服务器向访问终端和内部网络的资源服务器发出度量命令;
[0025]步骤(2),访问终端接收到度量命令后,收集终端设备的可信度量信息,提交至认证服务器;资源服务器收到度量命令后,收集各内部节点的可信状态信息,提交至认证服务器;
[0026]步骤(3),认证服务器接收所述可信度量信息和可信状态信息,并存储所述可信状态息;
[0027]步骤(4),认证服务器中的完整性度量认证器验证所述可信度量信息和可信状态信息,判断访问终端是否符合可信策略要求;
[0028]步骤(5),根据判断的结果,若访问终端符合可信策略要求,则认证服务器发送接入命令到接入执行单元控制其接入访问终端,并将存储的可信状态信息转发至访问终端;若不符合可信策略要求,则认证服务器发送拒绝接入命令到接入执行单元控制其拒绝接入访问终端,并将存储的可信状态信息丢弃。[0029]在一个实施例中,步骤⑵中的访问终端收集终端设备的可信度量信息的方法包括:利用访问终端的完整性度量收集器收集终端设备的可信度量信息;资源服务器收集各内部节点的可信状态信息的方法包括:利用内部网络的完整性度量收集器收集内部网络节点的可信状态信息。
[0030]在一个实施例中,步骤(2)中的所述可信度量信息包括:可信链的长度、BIOS自检摘要值、内核版本信息摘要值、系统版本摘要值、防火墙软件的签名信息、杀毒软件签名及杀毒软件兵符库信息、客户端版本摘要值信息;所述可信状态信息包括:内部节点的硬件版本信息、内部节点迁移信息。
[0031]在一个实施例中,步骤(4)中的验证所述可信度量信息和可信状态信息的方法包括:
[0032]验证所述可信度量信息的各摘要值是否和正确的可信摘要值相一致;以及验证所述可信状态信息的配置和操作是否符合可信要求。
[0033]在一个实施例中,本发明的网络接入证明双向度量的方法,还可以包括如下步骤:
[0034]当拒绝接入访问终端的访问请求时,发送拒绝访问信息的提示信息到访问终端;
[0035]当身份认证不通过时,认证服务器发送提示信息到访问终端;
[0036]当访问终端不符合可信策略要求时,认证服务器发送提示信息到请求的访问终端。
[0037]本发明的网络接入证明双向度量的方法,通过对访问终端和内部节点进行可信属性或可信状态的度量,确定外部接入终端和内部节点的可信性,根据外部终端的度量结果,决定内部度量状态信息是否转发外部终端,再进一步验证了访问终端的可信状态,也保证了访问终端对内部网络的可信状态的信任以及对外部终端的可信保护。
[0038]通过上述技术方案,可以使得内部网络确定终端用户和设备的安全可信,同时,终端在证明用户和设备可信的前提下,获取内部节点的可信状态信息,用户确定了网络的可Ih,达到双向任。
[0039]为了更加清晰本发明的网络接入证明双向度量的方法的技术方案,下面结合附图1阐述一个具体实施例。
[0040]参考图1所示,图1为一个实施例的网络接入证明双向度量的方法流程图,主要包括以下步骤:
[0041]步骤S110,根据访问终端的访问请求和所提交的用户名和密码,认证服务器对访问终端用户的身份进行认证,确定用户的身份是否合法,若合法,则认证服务器发出收集命令给访问终端和内部网络的资源服务器;若不合法,则认证服务器发送拒绝命令给执行单元,拒绝访问终端的访问,然后等待下一个访问终端的请求。
[0042]步骤S120,访问终端等待接收认证服务器的信息,若要求度量,则利用访问终端的完整性度量收集器(Integrity Measurement Collectors, IMC)收集访问终端的可信度量信息,其中,可信度量信息可以包括:可信链的长度、BIOS自检摘要值、内核版本信息摘要值、系统版本摘要值、防火墙软件的签名信息、杀毒软件签名及杀毒软件兵符库信息、客户端版本摘要值信息。完整性度量收集器把收集到的可信度量信息发送至认证服务器;同时,内部网络的资源服务器接收到认证服务器的度量命令后,利用资源服务器上的完整性度量收集器收集内部网络节点的可信状态信息发送至认证服务器,其中,可信状态信息可以包括节点的硬件版本信息、内部节点迁移信息等;具体的,即利用度量服务器进行双向度量。
[0043]步骤S130,认证服务器存储各内部网络节点的可信状态信息,认证服务器通过完整性度量认证器(Integrity Measurement Verifier, IMV)验证访问终端的可信度量信息和内部节点的可信状态信息。其中,对外部的访问终端的可信度量信息的验证是通过校验各摘要值是否和正确的可信摘要值相一致来进行;对于内部节点可信状态信息的验证,是根据可信策略判断内部节点的配置和操作是否符合可信策略要求。
[0044]步骤S140,认证服务器中用于执行决策的策略决策单元根据完整性度量认证器的认证结果,判断访问终端是否符合可信策略要求,若符合,则认证服务器命令执行单元接入访问终端的设备,并转发内部节点可信状态信息至该接入的访问终端,访问终端即可显示内部网络的节点信息;若不符合,则命令执行单元拒绝接入访问终端的设备,结束本次访问请求,并丢弃存储的内部网络节点的可信状态信息。
[0045]另外,对于上述实施例的网络接入证明双向度量的方法,其中网络环境可以包括两个部分:网络接入控制部分和内部网络资源管理部分。网络接入控制部分是对于外部终端接入网络的过程进行管理,在外部的访问终端发起访问请求完成身份认证后,认证服务器要求对外部的访问终端进行度量,外部的访问终端设备、接入执行设备和认证服务器部分,各自可以通过网络通信进行信息交互,利用可信网络连接的网络接入控制架构进行接入控制系统部分的搭建;
[0046]参考图2所示,图2为基于上述网络环境网络下的接入证明双向度量的方法的原理框图。内部网络的资源管理部分可以包括资源总服务器和内功能节点的资源服务器。资源总服务器负责管理内部节点的各资源服务器,各节点服务器用于完成具体功能或者特定资源的访问。例如,节点I负责计算、节点2负责存储、节点3是邮件服务器,节点4是某一部门服务器等。利用Openstack可以实现各功能节点的划分。
[0047]参考图3所示,图3为一个实施例的网络接入证明双向度量的系统结构示意图。该系统主要包括:接入请求模块20、接入执行模块30、接入认证模块40以及内部网络模块50。
[0048]接入请求模块20,用于发起网络访问请求,接收接入执行模块和接入认证模块的消息信息,收集可信属性度量信息,传输和接收身份认证信息和访问终端的度量信息。
[0049]接入执行模块30,用于执行访问终端的请求接入和执行操作,并接收和转发接入请求模块和接入认证模块的消息。
[0050]接入认证模块40,用于根据可信策略要求对访问终端的可信度量信息和内部网络节点的可信状态信息进行验证及产生策略决定,接入和发送与接入请求模块20的信息。
[0051]内部网络模块50,用于执行对内部网络各个资源节点的管理,收集内部网络节点的可信状态信息。
[0052]为了更加清晰本发明的网络接入证明双向度量的系统,下面阐述若干较佳实施例。
[0053]接入请求模块20包括:网络请求单元210、客户端单元220和MC单元230 ;
[0054]网络请求单元210用于发起网络访问请求,并接收接入执行模块和接入认证模块的消息信息;[0055]客户端单元220用于传输和接收身份认证信息和访问终端的度量信息;
[0056]IMC单元用于收集可信度量信息,并转发给客户端单元220进行传输。
[0057]接入认证模块40包括:策略决定单元410、服务器单元420和MV单元430 ;
[0058]策略决定单元410用于存储可信策略要求的信息,比较可信度量信息是否符合可信策略要求,存储内部网络节点的可信状态信息,并产生接入或拒绝的策略决定;
[0059]服务器单元420用于接入和发送与接入请求模块20的信息,并转发请求模块20与接入认证模块40之间的交互信息;
[0060]IMV单元430用于认证访问终端的可信度量信息和内部网络节点的可信状态信
肩、O
[0061]内部网络模块50包括:资源服务器单元510和MC单元520 ;
[0062]资源服务器单元510用于执行对内部网络各个资源服务器节点的管理;
[0063]IMC单元520用于收集内部节点的可信信息,并转发给内部网络的资源服务器和接入认证t吴块40。
[0064]如图4所示,图4为内部网络的资源服务器的结构示意图,包括一个总节点的资源服务器和多个与其连接的多个功能节点的服务器;资源服务器单元510执行对内部网络的资源服务器总节点和内部各功能节点服务器的管理。
[0065]以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
【权利要求】
1.一种网络接入证明双向度量的方法,其特征在于,包括如下步骤: 根据访问终端的访问请求,发起身份认证请求,认证服务器接收身份认证信息,并对请求用户进行身份认证;若身份认证通过,认证服务器向访问终端和内部网络的资源服务器发出度量命令; 访问终端接收到度量命令后,收集终端设备的可信度量信息,提交至认证服务器;资源服务器收到度量命令后,收集各内部节点的可信状态信息,提交至认证服务器; 认证服务器接收所述可信度量信息和可信状态信息,并存储所述可信状态信息; 认证服务器中的完整性度量认证器验证所述可信度量信息和可信状态信息,判断访问终端是否符合可信策略要求; 根据判断的结果,若访问终端符合可信策略要求,则认证服务器发送接入命令到接入执行单元控制其接入访问终端,并将存储的可信状态信息转发至访问终端;若不符合可信策略要求,则认证服务器发送拒绝接入命令到接入执行单元控制其拒绝接入访问终端,并将存储的可信状态信息丢弃。
2.根据权利要求1所述的网络接入证明双向度量的方法,其特征在于,访问终端收集终端设备的可信度量信息的方法包括:利用访问终端的完整性度量收集器收集终端设备的可信度量信息; 资源服务器收集各内部节点的可信状态信息的方法包括:利用内部网络的完整性度量收集器收集内部网络节点的 可信状态信息。
3.根据权利要求1所述的网络接入证明双向度量的方法,其特征在于, 所述可信度量信息包括:可信链的长度、BIOS自检摘要值、内核版本信息摘要值、系统版本摘要值、防火墙软件的签名信息、杀毒软件签名及杀毒软件兵符库信息、客户端版本摘要值信息; 所述可信状态信息包括:内部节点的硬件版本信息、内部节点迁移信息。
4.根据权利要求1所述的网络接入证明双向度量的方法,其特征在于,验证所述可信度量信息和可信状态信息的方法包括: 验证所述可信度量信息的各摘要值是否和正确的可信摘要值相一致; 验证所述可信状态信息的配置和操作是否符合可信要求。
5.根据权利要求1至4任一项所述的网络接入证明双向度量的方法,其特征在于,还包括: 当拒绝接入访问终端的访问请求时,发送拒绝访问信息的提示信息到访问终端; 当身份认证不通过时,认证服务器发送提示信息到访问终端; 当访问终端不符合可信策略要求时,认证服务器发送提示信息到请求的访问终端。
6.一种网络接入证明的双向度量系统,其特征在于,包括:接入请求模块、接入执行模块、接入认证模块以及内部网络模块; 接入请求模块,用于发起网络访问请求,接收接入执行模块和接入认证模块的消息信息,收集可信属性度量信息,传输和接收身份认证信息和访问终端的度量信息; 接入执行模块,用于执行访问终端的请求接入和执行操作,并接收和转发接入请求模块和接入认证模块的消息; 接入认证模块,用于根据可信策略要求对访问终端的可信度量信息和内部网络节点的可信状态信息进行验证及产生策略决定,接入和发送与接入请求模块的信息; 内部网络模块,用于执行对内部网络各个资源节点的管理,收集内部网络节点的可信状态信息。
7.根据权利要求6所述的网络接入证明双向度量的系统,其特征在于,接入请求模块包括:网络请求单元、客户端单元和IMC单元; 网络请求单元用于发起网络访问请求,并接收接入执行模块和接入认证模块的消息信息; 客户端单元用于传输和接收身份认证信息和访问终端的度量信息; IMC单元用于收集可信度量信息,并转发给客户端单元进行传输。
8.根据权利要求6所述的网络接入证明双向度量的系统,其特征在于,接入认证模块包括:策略决定单元、服务器单元和IMV单元; 策略决定单元用于存储可信策略要求的信息,比较可信度量信息是否符合可信策略要求,存储内部网络节点的可信状态信息,并产生接入或拒绝的策略决定; 服务器单元用于接入和发送与接入请求模块的信息,并转发请求模块与接入认证模块之间的交互信息; IMV单元用于认证访问终端的可信度量信息和内部网络节点的可信状态信息。
9.根据权利要求6所述的网络接入证明双向度量的系统,其特征在于,内部网络模块包括:资源服务器单元和MC单元; 资源服务器单元用于执行对内部网络各个资源服务器节点的管理; MC单元用于收集内部节点的可信信息,并转发给内部网络的资源服务器和接入认证模块。
10.根据权 利要求6至9任一项所述的网络接入证明双向度量的系统,其特征在于,所述内部网络的资源服务器包括一个资源服务器总节点和多个与其连接的功能节点。
【文档编号】H04L29/06GK103780395SQ201410036844
【公开日】2014年5月7日 申请日期:2014年1月24日 优先权日:2014年1月24日
【发明者】胡朝辉, 梁志宏, 梁智强, 江泽鑫, 林丹生, 李闯, 崔善童, 孟德伟, 王超 申请人:广东电网公司电力科学研究院, 中标软件有限公司