一种基于准实时状态反馈的可信网络连接方法
【专利摘要】本发明公开了一种基于准实时状态反馈的可信网络连接方法,该方法包括:每个可信终端周期性的执行可信接入度量验证步骤,以通过可信连接管理服务器向策略管理器上报其自身的可信状态,使得该策略管理器根据该可信状态更新合法终端列表和非法终端列表;当该多个可信终端中的两个可信终端需要进行数据传输时,作为发起方的可信终端根据当前的合法终端列表和非法终端列表确定作为接收方的可信终端的终端状态,执行与该终端状态对应的通信控制策略。本发明可降低可信网络连接建立过程所花费的时间,在数据传输的过程中,即使可信终端的状态发生变化,也可根据变化后对应的通信控制策略进行可信网络连接,提高可信网络的安全性,保证数据传输的实时性。
【专利说明】
一种基于准实时状态反馈的可信网络连接方法
技术领域
[0001]本发明涉及可信计算领域,特别是涉及一种基于准实时状态反馈的可信网络连接方法。【背景技术】
[0002]可信网络的连接架构要求终端在接入可信网络之前,对其平台状态进行度量,只有满足网络安全策略的终端才被允许接入网络,使对可信网络有潜在威胁的终端不能直接接入可信网络,同时,终端也对接入服务器进行验证,只有满足终端安全策略的接入服务器才允许与终端连接,这是一种主动、双向的、预先防范的网络连接方法,目的是使信任链从终端扩展到网络,将单个终端的可信状态扩展到互联系统。
[0003]图1所示为可信网络系统的结构示意图。
[0004]该可信网络包括策略管理器、可信连接管理服务器和多个可信终端。该策略管理器可以通过网络管理多个可信连接管理服务器,每个可信连接管理服务器设置在不同的通信域中,每个可信连接管理服务器可连接并管理多个可信终端。
[0005]在现有技术中,当一可信终端作为访问请求发起方需要接入网络并与作为访问请求接收方的另一可信终端进行数据传输时,需要执行以下可信网络连接方法:
[0006](1)访问请求发起方向可信连接管理服务器发起访问请求;
[0007](2)策略管理器作为可信第三方,实现访问请求发起方和可信连接管理服务器的双向用户身份鉴别;
[0008](3)双向用户身份鉴别成功后,策略管理器作为可信第三方,实现访问请求发起方和可信连接管理服务器的双向平台身份鉴别,即进行平台身份鉴别和平台完整性校验;
[0009](4)当双向平台身份鉴别成功后,策略管理器根据鉴别结果生成通信控制策略, 并分别发送给访问请求发起方和可信连接管理服务器;[〇〇1〇] (5)访问请求发起方和可信连接管理服务器根据该通信控制策略对各自的本地端口进行控制,从而实现可信网络连接,即可信连接管理服务器依据通信控制策略控制访问请求发起方对可信网络的访问,访问请求发起方依据该通信控制策略判定是否连接至该可信网络,当可以发起访问时,访问请求发起方执行应用数据的传输流程。
[0011]然而,上述可信网络连接方法存在的问题在于,访问请求发起方每发起一次访问, 都要执行上述步骤(1)-(5),即,可信接入的度量验证流程和应用数据的传输流程是绑定在一起的,每次网络访问均需要执行度量验证流程和应用数据的传输流程。
[0012]而由于在每次执行应用数据的传输流程之前都需要执行可信接入的度量验证流程,故而可信网络连接建立过程花费时间较长,需进行等待,降低用户体验。另外,在连接建立后,数据传输的过程中,无法监控系统的状态变化,特别是无法监控参与数据传输的各方的可信状态。如果在访问请求发起方与访问请求接收方的数据传输的过程中,访问请求发起方和/或访问请求接收方的可信状态发生了改变,数据传输也不能做出相应的调整,可能导致数据传输的安全性方面的隐患。并且,在应用交互频繁的大型可信系统中,以上可信网络连接方法将导致策略管理器对大量访问请求频繁提供身份鉴定和策略提供的服务,使得策略管理器压力过大,不堪重负。
【发明内容】
[0013]本发明解决的技术问题在于,降低可信网络连接建立过程所花费的时间。
[0014]进一步的,本发明在数据传输的过程中,即使可信终端的状态发生变化,也可根据变化后对应的通信控制策略进行可信网络连接,提高可信网络的安全性。
[0015]进一步的,本发明用于保证数据传输的实时性。
[0016]为了解决上述问题,本发明公开了一种基于准实时状态反馈的可信网络连接方法,应用于一可信网络系统,该系统包括策略管理器、可信连接管理服务器和多个可信终端,该方法包括:
[0017]每个该可信终端周期性的执行可信接入度量验证步骤,以通过该可信连接管理服务器向该策略管理器上报其自身的可信状态,使得该策略管理器根据该可信状态更新可信网络的合法终端列表和非法终端列表;
[0018]当该多个可信终端中的两个可信终端需要进行数据传输时,作为发起方的可信终端根据当前的合法终端列表和非法终端列表确定作为接收方的可信终端的终端状态,执行与该终端状态对应的通信控制策略。
[0019]该可信接入度量验证步骤包括:
[0020]以该策略管理器为可信第三方,该可信终端与该可信连接管理服务器进行平台身份双向认证;
[0021]双向认证通过后,该可信终端采集自身当前的运行状态作为该可信状态,发送给该可信连接管理服务器,由该可信连接管理服务器转发至该策略管理器;
[0022]该策略管理器根据该可信状态判断该可信终端的终端状态,根据该终端状态更新该合法终端列表和非法终端列表,将更新后的合法终端列表和非法终端列表以及对应的通信控制策略发送至该可信连接管理服务器;
[0023]该可信连接管理服务器利用该对应的通信控制策略更新所有的该可信终端。
[0024]该可信终端的运行状态包括:该可信终端的可信密码模块的PCR值、当前运行进程列表、当前活动驱动列表、当前系统硬件列表中的一种或几种。[〇〇25]该终端状态包括可信、不可信、未知,该策略管理器对应设置的通信控制策略包括:允许通信、阻断通信、事件审计。[〇〇26]当该通信控制策略为允许通信时,该发起方执行数据打包,封装该发起方的身份来源标识数据至数据包中,以便于该接收方确认数据来源。[〇〇27]封装后的该数据包包括发起方ID、传输序列号、挑战信息、荷载数据和签名值。
[0028]所述方法包括,如果在执行该数据打包过程中,包长超过预设值,该发起方建立新的数据包继续添加荷载数据,该挑战信息保持不变,在已封装的数据包的传输序列号字段增加关联标记。
[0029]该接收方收到该数据包,根据该身份来源标识数据确定该发起方的身份,并根据当前的合法终端列表和非法终端列表确定该发起方的可信终端的终端状态,执行与该终端状态对应的通信控制策略。
[0030]本发明实现的技术效果在于,可降低可信网络连接建立过程所花费的时间,在数据传输的过程中,即使可信终端的状态发生变化,也可根据变化后对应的通信控制策略进行可信网络连接,提高可信网络的安全性,保证数据传输的实时性。【附图说明】[0031 ]图1所示为可信网络系统的结构示意图。
[0032]图2所示为本发明的基于准实时状态反馈的可信网络连接方法的流程示意图。
[0033]图3为访问请求发起方与访问请求接收方之间数据传输的流程示意图。
[0034]图4A所示为现有技术中数据包的结构示意图。[〇〇35]图4B所示为本发明的数据包的结构示意图。【具体实施方式】
[0036]以下结合实施例详细描述本发明的实现过程,不视为对本发明的限制。
[0037]为了解决上述问题,本发明公开了一种基于准实时状态反馈的可信网络连接方法,本发明通过将数据流与控制流相分离,也就是可信接入的度量验证流程和应用数据的传输流程相分离的方式,解决了可信网络连接过程中连接建立时间过长,无法保证应用业务数据传输实时性,以及无法监控连接建立后系统状态变化的问题。
[0038]本发明通过下述方法实现上述技术目标:
[0039]数据流层面,系统中应用数据传输通过能够实现可靠来源标识的隧道进行封装, 保证数据来源可辨识和验证。
[0040]控制流层面,本发明基于可信终端周期执行的可信接入度量验证,建立并维护系统中合法终端列表和非法终端列表。
[0041]通信进行中,进行通信的可信终端之间按合法终端列表和非法终端列表裁决对方的可信性,并对通信行为进行强制访问控制或审计。
[0042]以下进行具体说明,参照图1为可信网络系统的结构示意图。[〇〇43]该可信网络包括策略管理器、可信连接管理服务器和多个可信终端。该策略管理器可以管理多个可信连接管理服务器,每个可信连接管理服务器设置在不同的通信域中, 每个可信连接管理服务器可连接并管理多个可信终端。
[0044]策略管理器用于建立和维护度量基准库,根据可信终端上报的可信状态,特别是可信状态的信任凭据,裁决该可信终端当前运行状态的可信性,合法终端列表和非法终端列表;另外,该策略管理器还用于按安全需求不同,制定网络访问控制策略、网络连接审计策略;以上可信策略可交由可信连接管理服务器下发至可信终端执行。该策略管理器的功能完全等同于我国可信连接架构标准TNCA中的策略管理器,提供平台身份、用户身份及平台策略鉴别功能。[〇〇45]可信连接管理服务器部署在不同通信域中,负责接收所在通信域内的可信终端状态、上报策略管理器,并向所在通信域内的可信终端转发策略管理器下发的通信控制策略。 该可信连接管理服务器可以基于软件实现,也可以通过专用工控设备实现,在本发明中,该可信连接管理服务器要求可信终端周期性的执行可信接入度量验证流程,从而建立和维护系统中合法终端列表和非法终端列表,并通过可信网络连接将所述列表更新到所有可信终端。
[0046]可信终端可以是PC、PAD、服务器、笔记本电脑、手机、一体机、工控设备等任何可连网设备。可信终端接入可信网络系统时须首先通过可信网络连接/可信证明技术报告自身可信状态,并获取系统中合法终端列表和非法终端列表。可信终端在网运行过程中,需周期性通过可信网络连接/可信证明技术向可信连接管理服务器报告自身可信状态,以更新系统中合法终端列表和非法终端列表。[〇〇47]可信终端周期性的向可信连接管理服务器上报本平台的可信状态信息,并从可信连接管理服务器接收通信控制策略,按策略对数据通信进行控制。可信终端是部署了可信计算技术的通信终端,本发明中,该可信终端布署有可信状态报告组件、网络通信强制访问控制软件和数据封装软件,以实现运行状态上报、访问控制策略接收、数据通信封装及通信强制控制。
[0048]本发明的基于准实时状态反馈的可信网络连接方法,包括:[〇〇49]每个该可信终端周期性的执行可信接入度量验证步骤,以通过该可信连接管理服务器向该策略管理器上报其自身的可信状态,使得该策略管理器根据该可信状态更新可信网络的合法终端列表和非法终端列表;
[0050]当该多个可信终端中的两个可信终端需要进行数据传输时,作为发起方的可信终端根据当前的合法终端列表和非法终端列表确定作为接收方的可信终端的终端状态,执行与该终端状态对应的通信控制策略。
[0051]具体来说,为了降低可信网络连接建立过程所花费的时间,进而优先保证数据传输的实时性,本发明需要每个该可信终端周期性的执行可信接入度量验证步骤。在现有技术中,每个可信终端每次发起访问请求时,都需要先执行可信接入度量验证的相关步骤,而在本发明中,不论可信终端是否发起访问请求,每个可信终端都周期性的执行可信接入度量验证步骤,从而维护合法终端列表和非法终端列表的持续更新,从而便于在真正发起访问请求时,可以直接利用合法终端列表和非法终端列表中的数据。
[0052]如图2所示为本发明的基于准实时状态反馈的可信网络连接方法的流程示意图。 该可信接入度量验证步骤对应图中上半部的控制流的执行步骤,具体包括:[〇〇53]步骤1,以策略管理器为可信第三方,每个可信终端和对应的可信连接管理服务器间进行用户身份双向认证。[〇〇54]图2中仅示例性的表现了可信终端A和可信终端B,数量并不以此为限。但是,由于特定平台上没有用户身份或用户身份等同于平台身份,则此步骤1可省略,直接执行步骤2。 [〇〇55]步骤2,以该策略管理器为可信第三方,每个该可信终端与对应的该可信连接管理服务器进行平台身份双向认证。[〇〇56]步骤3,双向认证通过后,每个该可信终端采集自身当前的运行状态作为该可信状态,签名后发送给对应的该可信连接管理服务器,由该可信连接管理服务器转发至该策略管理器。[〇〇57]该可信终端的运行状态包括:该可信终端的可信密码模块的PCR值、当前运行进程列表、当前活动驱动列表、当前系统硬件列表中的一种或几种。[〇〇58]步骤4,该策略管理器根据该可信状态判断每个该可信终端的终端状态,根据该终端状态更新该合法终端列表和非法终端列表,将更新后的合法终端列表和非法终端列表以及对应的通信控制策略发送至该可信连接管理服务器。
[0059]该终端状态包括三种,分别为可信、不可信、未知。该策略管理器根据该可信状态, 判定该可信终端当前的终端状态为三种中之一。
[0060]事实上,该策略管理器还为每种终端状态设置有对应的通信控制策略,例如终端状态为可信,对应的通信控制策略为允许通信;终端状态为不可信,对应的通信控制策略为阻断通信;终端状态为未知,对应的通信控制策略为事件审计。
[0061]步骤5,该可信连接管理服务器利用该对应的通信控制策略更新通信域内所有的该可信终端。[〇〇62]在步骤1之前还可包括初始化步骤:可信网络进行初始化时,部署策略管理器公钥证书到所有可信终端及可信连接管理服务器,并采集可信终端的运行状态预期,连同可信终端ID及可信终端公钥证书上报至策略管理器。并且,在可信终端每次登入可信网络时,以该策略管理器公钥证书验证策略管理器的身份。
[0063]上述该可信接入度量验证步骤(步骤1-5)周期性执行,执行间隔可依据需求预先设置。[〇〇64]图2下半部是数据流的执行步骤。[0065 ]步骤21,根据当前的合法终端列表和非法终端列表确定该访问请求接收方的终端状态,执行与该终端状态对应的通信控制策略。
[0066]可信终端A确定可信终端B的终端状态,执行与该终端状态对应的通信控制策略。 [〇〇67]步骤22,执行数据传输。
[0068]可信终端A向可信终端B进行数据传输。
[0069]事实上,作为访问请求发起方的一个可信终端需要与作为访问请求接收方的一个可信终端进行数据传输时,本发明利用一种专门的应用数据来源标识/封装及基于该合法终端列表和非法终端列表的网络通信强制访问控制方法,以实现该数据传输。
[0070]图3为访问请求发起方与访问请求接收方之间数据传输的流程示意图。[0071 ]步骤11,当访问请求发起方需要与访问请求接收方进行数据传输时,访问请求发起方根据当前的合法终端列表和非法终端列表确定该访问请求接收方的终端状态,执行与该终端状态对应的通信控制策略。
[0072]在步骤11中,访问请求发起方在当前的合法终端列表和非法终端列表中查找访问请求接收方的对应记录,获得访问请求接收方的终端状态,并根据该终端状态匹配对应的通信控制策略。具体来说,如果该访问请求接收方的终端状态为不可信,对应的通信控制策略为阻断通信,则放弃进行本次数据传输,结束;如果该访问请求接收方的终端状态为未知,由可信连接管理服务器进行事件审计;如果该访问请求接收方的终端状态为可信,执行步骤12。
[0073]可见,在本发明中,在实际数据传输过程中,只要确认接收方的终端状态为允许通信,无需其他条件就开始执行数据传输,实现了网络通信的强制访问控制。
[0074]步骤12,该访问请求发起方执行数据打包,封装该访问请求发起方的身份来源标识数据至数据包中,以便于该访问请求接收方确认数据来源,如果在执行该数据打包过程中,包长超过预设值,执行步骤13。
[0075]在现有技术中,配合现有技术的可信网络连接方法,通过传统隧道进行数据包的封装,该数据包的结构仅包括IP头和荷载数据,数据包的结构如图4A所示。现有技术是通过其每次发起访问请求均需配合度量验证的过程,保证了可信数据的机密性和完整性。
[0076]在本发明中,配合本发明所示的基于准实时状态反馈的可信网络连接方法,利用特殊隧道进行数据包的封装,本发明的数据包的结构如图4B所示。数据包中包括IP头、发起方ID、传输序列号、挑战信息、荷载数据和签名值。该传输序列号和挑战信息根据该接收方的通信公钥随机产生或依据算法生成。该签名值为利用该发起方的私钥产生,特别是可以利用该发起方的私钥对发起方ID、传输序列号、挑战信息进行签名后得到,以防止伪造。
[0077]上述实施例,基于IP协议进行数据封装,但是,不限于此。
[0078]相对于现有技术,本发明将身份来源标识数据也封装在数据包中,身份来源标识数据包括该发起方ID。
[0079]步骤13,该发起方建立新的数据包继续添加未能填入步骤12的数据包中的荷载数据,填入容纳上限的载荷数据,新的数据包的挑战信息、发起方ID、传输序列号与步骤12中所用一致,在步骤12所封装的数据包的传输序列号字段增加关联标记,并重新利用该发起方的私钥产生签名值。重复执行步骤13直至所需发送的荷载数据均打包完毕。
[0080]步骤14,将数据包发送至访问请求接收方,先发送该步骤12中所产生的数据包,后发送步骤13中所产生的数据包。
[0081]步骤15,访问请求接收方根据数据包中的身份来源标识数据,在当前的合法终端列表和非法终端列表中查找访问请求发起方的终端状态,并执行与该终端状态对应的通信控制策略。
[0082]具体来说,访问请求接收方根据数据包中的发起方ID获取访问请求发起方的通信公钥,并利用签名值验证发起方ID、传输序列号及挑战信息的合法性。验证通过后,在当前的合法终端列表和非法终端列表中查找访问请求发起方所对应的记录,以获得访问请求发起方的终端状态,并根据该终端状态匹配对应的通信控制策略。如果该访问请求发起方的终端状态为不可信,对应的通信控制策略为阻断通信,则放弃进行本次数据传输,结束;如果该访问请求发起方的终端状态为未知,由可信连接管理服务器进行事件审计;如果该访问请求接收方的终端状态为可信,对应的通信控制策略为允许通信,该访问请求接收方接收同一序列号的载荷数据,其中也包括具有关联标记的数据包的荷载数据,拼装后转交上层应用。
[0083]步骤16,该访问请求接收方进行数据打包,封装该访问请求接收方的身份来源标识数据至数据包中,以便于该访问请求发起方确认数据来源,如果在执行该数据打包过程中,包长超过预设值,执行步骤17。[〇〇84]该步骤16与步骤12基本一致,数据包中包括IP头、发起方ID、传输序列号、挑战信息、荷载数据和签名值。传输序列号字段所填数据比步骤12中的序列号加1,挑战信息随机产生。发起方ID的字段填入当前的接收方的ID。签名值的字段为利用该接收方的私钥产生, 特别是可以利用该接收方的私钥对接收方ID、当前的序列号以及步骤12中的原挑战信息进行签名后得到。
[0085]步骤17,与步骤13的执行步骤一致,重复执行步骤17直至所需发送的荷载数据均打包完毕。
[0086]步骤18,将数据包发送至访问请求发起方,先发送该步骤16中所产生的数据包,后发送步骤17中所产生的数据包。
[0087] S卩,依照先产生的数据包先发送的顺序进行传输。[〇〇88]重复执行步骤15-18,直到通信结束。
[0089]通过上述方法可知,本发明只需要通过数据包中的身份来源标识数据确认对应的数据来源,进而明确对应的通信控制策略,即可对通信行为进行强制访问,以开始数据传输,或者对通信行为进行审计。如此一来,最大程度的保证了数据传输的实时性。另外,由于每次数据传输的过程中,并非实时产生终端状态进而得到对应的通信控制策略,而是基于最近一次更新的合法终端列表和非法终端列表中所记载的终端状态而进行,故而,本发明基于准实时状态反馈实现可信网络的连接。
[0090]同时,在传输的过程中,例如,在执行步骤14的过程中,如果刚好实现了合法终端列表和非法终端列表的更新,例如,访问请求发起方的终端状态发生了改变,从可信变成了未知,则步骤14之后的数据传输过程将以最新更新的合法终端列表和非法终端列表为准, 转变通信控制策略,提高可信网络的安全性。也就是说,本发明可以实现根据应用数据传输对象的实时状态反馈对该连接实施强制访问控制。同时,由于在数据传输的过程中,无需每次传输均由策略管理器提供一次策略提供的运算,因而也降低了策略管理器所承受的运算压力。
[0091]上述实施例仅用于描述本发明的实现过程,不视为对本发明的限制,基于本发明的技术方案所做的均等变化或明显变形均属于本发明的公开范围,具体范围以后附权利要求书的保护范围为准。
【主权项】
1.一种基于准实时状态反馈的可信网络连接方法,应用于一可信网络系统,该系统包 括策略管理器、可信连接管理服务器和多个可信终端,其特征在于,该方法包括:每个该可信终端周期性的执行可信接入度量验证步骤,以通过该可信连接管理服务器 向该策略管理器上报其自身的可信状态,使得该策略管理器根据该可信状态更新可信网络 的合法终端列表和非法终端列表;当该多个可信终端中的两个可信终端需要进行数据传输时,作为发起方的可信终端根 据当前的合法终端列表和非法终端列表确定作为接收方的可信终端的终端状态,执行与该 终端状态对应的通信控制策略。2.如权利要求1所述的方法,其特征在于,该可信接入度量验证步骤包括:以该策略管理器为可信第三方,该可信终端与该可信连接管理服务器进行平台身份双 向认证;双向认证通过后,该可信终端采集自身当前的运行状态作为该可信状态,发送给该可 信连接管理服务器,由该可信连接管理服务器转发至该策略管理器;该策略管理器根据该可信状态判断该可信终端的终端状态,根据该终端状态更新该合 法终端列表和非法终端列表,将更新后的合法终端列表和非法终端列表以及对应的通信控 制策略发送至该可信连接管理服务器;该可信连接管理服务器利用该对应的通信控制策略更新所有的该可信终端。3.如权利要求2所述的方法,其特征在于,该可信终端的运行状态包括:该可信终端的 可信密码模块的PCR值、当前运行进程列表、当前活动驱动列表、当前系统硬件列表中的一 种或几种。4.如权利要求1所述的方法,其特征在于,该终端状态包括可信、不可信、未知,该策略 管理器对应设置的通信控制策略包括:允许通信、阻断通信、事件审计。5.如权利要求1所述的方法,其特征在于,当该通信控制策略为允许通信时,该发起方 执行数据打包,封装该发起方的身份来源标识数据至数据包中,以便于该接收方确认数据 来源。6.如权利要求5所述的方法,其特征在于,封装后的该数据包包括发起方ID、传输序列 号、挑战信息、荷载数据和签名值。7.如权利要求6所述的方法,其特征在于,如果在执行该数据打包过程中,包长超过预 设值,该发起方建立新的数据包继续添加荷载数据,该挑战信息保持不变,在已封装的数据 包的传输序列号字段增加关联标记。8.如权利要求5或6或7所述的方法,其特征在于,该接收方收到该数据包,根据该身份 来源标识数据确定该发起方的身份,并根据当前的合法终端列表和非法终端列表确定该发 起方的可信终端的终端状态,执行与该终端状态对应的通信控制策略。
【文档编号】H04L29/06GK106027518SQ201610333356
【公开日】2016年10月12日
【申请日】2016年5月19日
【发明人】王飞, 王宇, 田健生, 强杰, 李晋丽, 吴忠望
【申请人】中国人民解放军装备学院, 北京可信华泰信息技术有限公司