[发明专利]一种基于身份的可信网络架构

权利要求书

1、一种基于身份的可信网络架构，其主要技术特征是：本可信网络架构采用基于访问者身份的矢量加密认证基础技术，保证所有网络访问请求都是和访问者实体捆绑的加密数据流，访问控制方只要用自己的身份标识和访问请求标识的身份信息对请求数据解密能够得到正确的校验值，就实现了双向对等的身份鉴别，然后由访问控制组件和安全监督组件对权限和内容进行评估和检验，确保所有访问请求都是安全地，不安全的访问请求被拒绝，从而实现可信的网络连通架构。

2、如权利要求1所述的一种基于身份的可信网络架构，其特征在于：它包括三个层次，

物理链路层：本层采用基于网卡的加密机制，可以实现数据的机密性和对等的设备身份鉴别，对物理线路中的数据流提供数据流向保护，杜绝由于链露层数据的透明性对网络造成的威胁。

互联网络层：本层次在原网络层次功能的基础上，增加三个功能组件，对原IP包执行基于身份的矢量加密处理，对外来的访问请求IP包进行解密处理，通过判定完整性实现对等的身份鉴别和数据原发鉴别，依据强制访问数据库的内容判定该网络访问请求是否被允许，对允许的访问数据内容进行安全检查，确保进入终端或主机的数据是安全的，同样还要对外出的访问数据进行安全检查，防止不安全因素进入网络，对于内部的不安全因素在发出安全警报无法制止时，将关闭网络通道，切断与网络的连接，以确保网络安全。

应用层：设置安全策略管理组件，通过网络和第三方服务实体完成对等身份鉴别，访问者的身份认证以及安全策略和病毒防治数据库的共享，接受使用者简单的安全策略和授权信息设置，向网络层提供授权信息及安全监督策略，应网络层的安全事件产生安全警报。

3、如权利要求1所述的一种基于身份的可信网络架构，其特征在于：该可信网络架构包含三个实体，

网络访问发起者：请求网络访问的实体，其功能是发出访问请求，完成与访问控制者的对等身份鉴别和数据源宿鉴别；它通过安全策略服务者获得被访问者的身份信息和安全策略，保证发出的访问请求信息是安全的访问信息。该实体包括下述组件：通讯业务流保护组件、加密认证组件、访问控制组件、安全监督组件和安全策略管理组件。

网络访问控制者：被访问的网络实体，其功能为接收网络访问发起者的访问请求数据，，完成与访问者对等的身份鉴别和数据原发鉴别以及访问者的访问权限判别，如果允许访问，还要检查请求数据内容的安全性。它通过安全策略服务者获得访问者的身份信息和安全策略，保证交给上层的访问请求信息是安全的。该实体包括下述组件：通讯业务流保护组件、加密认证组件、访问控制组件、安全监督组件和安全策略管理组件。

安全策略服务者：安全策略服务者是按区域分布在国际互联网络中的第三方权威实体网站，其作用相当于目前公钥基础设施的CA中心，它分为三部分，救援中心、服务中心和登记注册机构。负责制定和分发网络访问和病毒防止安全策略，收集并向网络提供所有合法网络用户的身份信息和诚信等级信息，响应救援请求信息对请求者实施远程救援。