技術領域

本發明屬于網絡安全技術領域，具體涉及一種基于三元對等鑒別的可信網絡連接方法。

背景技術

隨著信息化的發展，病毒、蠕蟲等惡意軟件的問題異常突出。目前已經出現了超過三萬五千種的惡意軟件，每年都有超過四千萬的計算機被感染。要遏制住這類攻擊，不僅需要解決安全的傳輸和數據輸入時的檢查，還要從源頭即從每一臺連接到網絡的終端開始防御。而傳統的安全防御技術已經無法防御種類繁多的惡意攻擊。

國際可信計算組織TCG針對這個問題，專門制定了一個基于可信計算技術的網絡連接規范——可信網絡連接TNC，簡記為TCG-TNC，其包括了開放的終端完整性架構和一套確保安全互操作的標準。這套標準可以在用戶需要時保護一個網絡，且由用戶自定義保護到什么程度。TCG-TNC本質上就是要從終端的完整性開始建立連接。首先，要創建一套在可信網絡內部系統運行狀況的策略。只有遵守網絡設定策略的終端才能訪問網絡，網絡將隔離和定位那些不遵守策略的設備。由于使用了可信平臺模塊TPM，所以還可以阻擋root?kits的攻擊。root?kits是一種攻擊腳本、經修改的系統程序，或者成套攻擊腳本和工具，用于在一個目標系統中非法獲取系統的最高控制權限。

在TCG-TNC架構中，一次完整的可信網絡連接的信息傳輸如圖1所示。在建立網絡連接之前。TNC客戶端需要準備好所需要的平臺完整性信息，交給完整性收集者IMC。在一個擁有可信平臺模塊TPM的終端里面，這也就是將網絡策略所需的平臺信息經散列后存入各個平臺配置寄存器PCRs，TNC服務端需要預先制定平臺完整性的驗證要求，并交給完整性校驗者IMV。具體過程如下：

(1)網絡訪問請求者向策略執行者發起訪問請求。

(2)策略執行者將訪問請求描述發送給網絡訪問授權者。

(3)網絡訪問授權者收到網絡訪問請求者的訪問請求描述后，與網絡訪問請求者執行用戶鑒別協議，當用戶鑒別成功時，網絡訪問授權者將訪問請求和用戶鑒別成功的信息發往TNC服務端。

(4)TNC服務端收到網絡訪問授權者發送的訪問請求和用戶鑒別成功的信息后，與TNC客戶端開始執行雙向平臺憑證認證，比如驗證平臺的身份證明密鑰AIK。

(5)當平臺憑證認證成功時，TNC客戶端告訴完整性收集者IMC開始了一個新的網絡連接且需要進行一個完整性握手協議。完整性收集者IMC通過完整性度量收集接口IF-IMC返回所需平臺完整性信息。TNC服務端將這些平臺完整性信息通過完整性度量校驗接口IF-IMV交給完整性校驗者IMV。

(6)在完整性握手協議過程中，TNC客戶端與TNC服務端要交換一次或多次數據，直到TNC服務端滿意為止。

(7)當TNC服務端完成了對TNC客戶端的完整性握手協議，它將發送一個推薦信給網絡訪問授權者，要求允許訪問。如果還有另外的安全考慮，此時策略決策點仍舊可以不允許訪問請求者的訪問。

(8)網絡訪問授權者將訪問決定傳遞給策略執行者，策略執行者最終執行這個決定，來控制訪問請求者的訪問。

目前，尚無成熟的TCG-TNC架構產品進入市場。TCG-TNC架構的一些重要技術還處于研究及規范階段，其主要還存在如下缺陷：

1.可擴展性差。由于在策略執行點和策略決策點之間存在預定義的安全通道，而策略決策點可能管理著大量的策略執行點，這將迫使它配置大量的安全通道，造成管理的復雜性，因此，可擴展性差。

2.密鑰協商過程復雜。因為要對網絡訪問層之上的數據進行安全保護，所以需要在訪問請求者和策略決策點之間建立安全通道，即在它們之間進行會話密鑰協商；但是，訪問請求者和策略執行點之間也需要進行數據保護，從而需要在訪問請求者和策略執行點之間再次進行會話密鑰協商，使密鑰協商過程復雜化。

3.安全性相對較低。訪問請求者和策略決策點協商出來的主密鑰由策略決策點傳遞給策略執行點。密鑰在網絡上傳遞，引入了新的安全攻擊點，使安全性降低。此外，兩次會話密鑰協商使用了相同的主密鑰，也使整個可信網絡連接架構的安全性降低。

4.訪問請求者可能無法驗證策略決策點的AIK證書有效性。在平臺憑證認證過程中，訪問請求者和策略決策點使用AIK私鑰及證書進行雙向平臺憑證認證，兩端都需要對AIK證書進行有效性驗證。若策略決策點是訪問請求者的上網服務提供者，訪問請求者在可信網絡連接之前不能訪問網絡，也即無法驗證策略決策點的AIK證書的有效性，所以是不安全的。