[发明专利]一种基于三元对等鉴别的可信网络接入控制系统

说明书

技术领域

本发明属于网络安全技术领域，具体涉及一种基于三元对等鉴别的可信网络接入控制系统。

背景技术

随着信息化的发展，病毒、蠕虫等恶意软件的问题异常突出。目前已经出现了超过三万五千种的恶意软件，每年都有超过四千万的计算机被感染。要遏制住这类攻击，不仅需要解决安全的传输和数据输入时的检查，还要从源头即从每一台连接到网络的终端开始防御。而传统的安全防御技术已经无法防御种类繁多的恶意攻击。

国际可信计算组织TCG针对这个问题，专门制定了一个基于可信计算技术的网络连接规范——可信网络连接TNC(Trusted Network Connect)，简记为TCG-TNC，其包括了开放的终端完整性架构和一套确保安全互操作的标准。这套标准可以在用户需要时保护一个网络，且由用户自定义保护到什么程度。TCG-TNC本质上就是要从终端的完整性开始建立连接。首先，要创建一套在可信网络内部系统运行状况的策略。只有遵守网络设定策略的终端才能访问网络，网络将隔离和定位那些不遵守策略的设备。由于使用了可信平台模块TPM，所以还可以阻挡root kits的攻击。root kits是一种攻击脚本、经修改的系统程序，或者成套攻击脚本和工具，用于在一个目标系统中非法获取系统的最高控制权限。

现有TCG-TNC架构如图1所示，具有访问请求者AR、策略执行点PEP、策略决策点PDP三类逻辑实体实体，可以分布在网络的任意位置。该TCG-TNC架构在纵向上可分为网络访问层、完整性评估层、完整性度量层三个层次。网络访问层具有网络访问请求者NAR、策略执行者PE和网络访问授权者NAA三个组件，以及网络授权传输协议接口IF-T和策略实施接口IF-PEP。网络访问层用于支持传统的网络连接技术。完整性评估层负责评估所有请求访问网络的实体的完整性。该层有两个重要的接口：完整性度量收集接口IF-IMC和完整性度量校验接口IF-IMV。此外，在TNC客户端和TNC服务端之间还具有一个完整性评估接口IF-TNCCS。完整性度量层有完整性收集者IMC和完整性校验者IMV两个组件，负责收集和校验请求访问者的完整性相关信息。现有TCG-TNC架构一次完整的可信网络连接的信息传输过程是：在建立网络连接之前，TNC客户端TNCC需要准备好所需要的平台完整性信息，交给完整性收集者IMC。在一个拥有可信平台模块的终端里面，这也就是将网络策略所需的平台信息经散列后存入各个平台配置寄存器，TNC服务端TNCS需要预先制定平台完整性的验证要求，并交给完整性校验者IMV。具体过程如下：

(1)网络访问请求者NAR向策略执行者PE发起访问请求。

(2)策略执行者PE将访问请求描述发送给网络访问授权者NAA。

(3)网络访问授权者NAA收到网络访问请求者NAR的访问请求描述后，与网络访问请求者NAR执行用户鉴别协议。当用户鉴别成功时，网络访问授权者NAA将访问请求和用户鉴别成功的信息发往TNC服务端TNCS。

(4)TNC服务端TNCS收到网络访问授权者NAA发送的访问请求和用户鉴别成功的信息后，与TNC客户端TNCC开始执行双向平台凭证认证，比如验证平台的身份证明密钥AIK。

(5)当平台凭证认证成功时，TNC客户端TNCC告诉完整性收集者IMC开始了一个新的网络连接且需要进行一个完整性握手协议。完整性收集者IMC通过完整性度量收集接口IF-IMC返回所需平台完整性信息。TNC服务端TNCS将这些平台完整性信息通过完整性度量校验接口IF-IMV交给完整性校验者IMV。

(6)在完整性握手协议过程中，TNC客户端TNCC与TNC服务端TNCS要交换一次或多次数据，直到TNC服务端TNCS满意为止。

(7)当TNC服务端TNCS完成了对TNC客户端TNCC的完整性握手协议，它将发送一个推荐信给网络访问授权者NAA，要求允许访问。如果还有另外的安全考虑，此时策略决策点PEP仍旧可以不允许访问请求者AR的访问。

(8)网络访问授权者NAA将访问决定传递给策略执行者PE，策略执行者PE最终执行这个决定，来控制访问请求者AR的访问。

目前，尚无成熟的TCG-TNC架构产品进入市场。TCG-TNC架构的一些重要技术还处于研究及规范阶段，其主要还存在如下缺陷：

1.可扩展性差。由于在策略执行点PEP和策略决策点PDP之间存在预定义的安全通道，而策略决策点PDP可能管理着大量的策略执行点PEP，这将迫使它配置大量的安全通道，造成管理的复杂性，因此，可扩展性差。