[发明专利]一种安全通信方法、网络装置和网络系统

说明书

技术领域

本发明实施例涉及网络技术领域，尤其涉及一种安全通信方法、网络装置和网络系统。

背景技术

TNC(Trusted Network Connect，可信网络连接)工作组定义和开发了一个开放的可信网络连接架构，该架构能够使网络操作者根据客户端的安全状态来决定是否允许客户端获得访问网络的权限。在TNC架构中，表达客户端的安全状态用TNCCS(TNC Client-Server，可信网络连接客户端服务器)消息来完成，TNCC S消息基于IF-T(Network Authorization Transport Protocol，网络授权传输协议)进行交互的。TNCCS消息交互的场合分成两种，其一是客户端初始接入网络时，还没有获得IP地址，网络侧的服务器对客户端进行安全状态评估，另一种是客户端已经接入到网络并获得IP地址以后，由于某种原因需要对客户端的安全状态重新进行评估。

为了保证客户端与服务器之间传输TNCCS消息的安全性，在TNCCS消息交互之前，客户端和服务器之间需要首先协商并建立一个隧道，在该隧道的保护下传输TNCCS消息。由于隧道密钥与TNCCS消息之间没有关联性，所以常发生中间人攻击的现象，即作为不安全中间人的客户端借用其他安全状态良好的客户端的TNCCS消息，作为该不安全中间人的TNCCS消息向服务器发送，这样服务器就会认为该不安全的中间人的安全状态良好，从而给后来中间人发送攻击带来方便。在除TNC网络架构以外的其他应用场合中，客户端和服务器之间的消息交互也同样存在类似的中间人攻击的问题。

为了解决这一问题，现有技术中提出一种方案，引入一种新的协议，并增加基于该协议的消息交互过程，获得相应的新的密钥，在客户端和服务器进行消息交互过程中，将该新的密钥加入到交互的消息当中，例如在TNC架构中，专门引入了一种新的协议，即D-H PN(Diffie-Hellman Pre-Negotiaion)协议，具体地，首先客户端和服务器通过消息交互，协商建立隧道，然后进行基于D-H PN协议的消息交互过程，通过该D-H PN协议的消息交互过程得到一个密钥，对该密钥进行变换扩展到PCR(Platform Configuration Register，平台配置寄存器)中，在客户端向服务器发送的TNCCS响应消息中包含该平台配置寄存器中的内容，由于上述协商过程中的密钥仅有客户端和服务器二者得知，所以可以防止中间人攻击。

发明人在实现本发明的过程中，发现现有技术至少有以下缺陷：

现有技术中为实现防止中间人攻击的目的，增加了基于新的协议的消息交互过程，该过程所需的消息交互次数较多，从而带来较大的时延。

发明内容

本发明实施例提供一种消息交互方法和相应的客户端，能够在防止中间人攻击的同时，减少消息交互的次数，从而减小时延。

本发明实施例提供了如下技术方案：

一种安全通信方法，包括：

将安全相关信息扩展到安全保护单元中，所述安全保护单元用于存储所述安全相关信息，所述安全相关信息包括建立与通信对端连接时的相关信息；

与所述通信对端之间交互所述安全保护单元中的信息。

一种网络装置，包括：

信息扩展单元，用于将安全相关信息扩展到安全保护单元中，所述安全相关信息包括与通信对端建立连接时的相关信息；

安全保护单元，用于存储所述安全相关信息；

消息交互单元，用于与所述通信对端之间交互所述安全保护单元中的信息。

一种网络系统，包括第一网络装置和第二网络装置，其中，所述第一网络装置用于将安全相关信息扩展到安全保护单元中，用于与第二网络装置之间交互所述安全保护单元中的信息，所述安全相关信息包括建立连接时的相关信息。

根据本发明实施例，能够充分利用建立连接时的相关信息，直接将建立连接时的相关信息作为安全相关信息扩展进安全保护单元中，并进而在后续的消息交互中将安全保护单元中的内容加入其中，从而防止中间人攻击，并且相对于现有技术中的方案，本实施例中消息交互次数较少，不需要额外增加基于新的协议的协商过程，因此能够较大地较少延时。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例一提供的安全通信方法的流程图；

图2是本发明实施例二提供的安全通信方法的流程图；