[发明专利]一种基于三元对等鉴别的可信网络连接方法

说明书

技术领域

本发明属于网络安全技术领域，具体涉及一种基于三元对等鉴别的可信网络连接方法。

背景技术

随着信息化的发展，病毒、蠕虫等恶意软件的问题异常突出。目前已经出现了超过三万五千种的恶意软件，每年都有超过四千万的计算机被感染。要遏制住这类攻击，不仅需要解决安全的传输和数据输入时的检查，还要从源头即从每一台连接到网络的终端开始防御。而传统的安全防御技术已经无法防御种类繁多的恶意攻击。

国际可信计算组织TCG针对这个问题，专门制定了一个基于可信计算技术的网络连接规范——可信网络连接TNC，简记为TCG-TNC，其包括了开放的终端完整性架构和一套确保安全互操作的标准。这套标准可以在用户需要时保护一个网络，且由用户自定义保护到什么程度。TCG-TNC本质上就是要从终端的完整性开始建立连接。首先，要创建一套在可信网络内部系统运行状况的策略。只有遵守网络设定策略的终端才能访问网络，网络将隔离和定位那些不遵守策略的设备。由于使用了可信平台模块TPM，所以还可以阻挡root kits的攻击。root kits是一种攻击脚本、经修改的系统程序，或者成套攻击脚本和工具，用于在一个目标系统中非法获取系统的最高控制权限。

在TCG-TNC架构中，一次完整的可信网络连接的信息传输如图1所示。在建立网络连接之前。TNC客户端需要准备好所需要的平台完整性信息，交给完整性收集者IMC。在一个拥有可信平台模块TPM的终端里面，这也就是将网络策略所需的平台信息经散列后存入各个平台配置寄存器PCRs，TNC服务端需要预先制定平台完整性的验证要求，并交给完整性校验者IMV。具体过程如下：

(1)网络访问请求者向策略执行者发起访问请求。

(2)策略执行者将访问请求描述发送给网络访问授权者。

(3)网络访问授权者收到网络访问请求者的访问请求描述后，与网络访问请求者执行用户鉴别协议，当用户鉴别成功时，网络访问授权者将访问请求和用户鉴别成功的信息发往TNC服务端。

(4)TNC服务端收到网络访问授权者发送的访问请求和用户鉴别成功的信息后，与TNC客户端开始执行双向平台凭证认证，比如验证平台的身份证明密钥AIK。

(5)当平台凭证认证成功时，TNC客户端告诉完整性收集者IMC开始了一个新的网络连接且需要进行一个完整性握手协议。完整性收集者IMC通过完整性度量收集接口IF-IMC返回所需平台完整性信息。TNC服务端将这些平台完整性信息通过完整性度量校验接口IF-IMV交给完整性校验者IMV。

(6)在完整性握手协议过程中，TNC客户端与TNC服务端要交换一次或多次数据，直到TNC服务端满意为止。

(7)当TNC服务端完成了对TNC客户端的完整性握手协议，它将发送一个推荐信给网络访问授权者，要求允许访问。如果还有另外的安全考虑，此时策略决策点仍旧可以不允许访问请求者的访问。

(8)网络访问授权者将访问决定传递给策略执行者，策略执行者最终执行这个决定，来控制访问请求者的访问。

目前，尚无成熟的TCG-TNC架构产品进入市场。TCG-TNC架构的一些重要技术还处于研究及规范阶段，其主要还存在如下缺陷：

1.可扩展性差。由于在策略执行点和策略决策点之间存在预定义的安全通道，而策略决策点可能管理着大量的策略执行点，这将迫使它配置大量的安全通道，造成管理的复杂性，因此，可扩展性差。

2.密钥协商过程复杂。因为要对网络访问层之上的数据进行安全保护，所以需要在访问请求者和策略决策点之间建立安全通道，即在它们之间进行会话密钥协商；但是，访问请求者和策略执行点之间也需要进行数据保护，从而需要在访问请求者和策略执行点之间再次进行会话密钥协商，使密钥协商过程复杂化。

3.安全性相对较低。访问请求者和策略决策点协商出来的主密钥由策略决策点传递给策略执行点。密钥在网络上传递，引入了新的安全攻击点，使安全性降低。此外，两次会话密钥协商使用了相同的主密钥，也使整个可信网络连接架构的安全性降低。

4.访问请求者可能无法验证策略决策点的AIK证书有效性。在平台凭证认证过程中，访问请求者和策略决策点使用AIK私钥及证书进行双向平台凭证认证，两端都需要对AIK证书进行有效性验证。若策略决策点是访问请求者的上网服务提供者，访问请求者在可信网络连接之前不能访问网络，也即无法验证策略决策点的AIK证书的有效性，所以是不安全的。