技術領域

本發明屬于網絡安全技術領域，具體涉及一種基于三元對等鑒別的可信網絡連接系統。

背景技術

隨著信息化的發展，病毒、蠕蟲等惡意軟件的問題異常突出。目前已經出現了超過三萬五千種的惡意軟件，每年都有超過四千萬的計算機被感染。要遏制住這類攻擊，不僅需要解決安全的傳輸和數據輸入時的檢查，還要從源頭即從每一臺連接到網絡的終端開始防御。而傳統的安全防御技術已經無法防御種類繁多的惡意攻擊。

國際可信計算組織TCG針對這個問題，專門制定了一個基于可信計算技術的網絡連接規范-可信網絡連接TNC，簡記為TCG-TNC，其包括了開放的終端完整性架構和一套確保安全互操作的標準。這套標準可以在用戶需要時保護一個網絡，且由用戶自定義保護到什么程度。TCG-TNC本質上就是要從終端的完整性開始建立連接。首先，要創建一套在可信網絡內部系統運行狀況的策略。只有遵守網絡設定策略的終端才能訪問網絡，網絡將隔離和定位那些不遵守策略的設備。由于使用了可信平臺模塊，所以還可以阻擋root?kits的攻擊。root?kits是一種攻擊腳本、經修改的系統程序，或者成套攻擊腳本和工具，用于在一個目標系統中非法獲取系統的最高控制權限。

現有TCG-TNC架構如圖1所示，具有訪問請求者AR、策略執行點PEP、策略決策點PDP三類邏輯實體實體，可以分布在網絡的任意位置。該TCG-TNC架構在縱向上可分為網絡訪問層、完整性評估層、完整性度量層三個層次。網絡訪問層具有網絡訪問請求者NAR、策略執行者PEP和網絡訪問授權者NAA三個組件，以及網絡授權傳輸協議接口IF-T和策略實施接口IF-PEP。網絡訪問層用于支持傳統的網絡連接技術。完整性評估層負責評估所有請求訪問網絡的實體的完整性。該層有兩個重要的接口：完整性度量收集接口IF-IMC和完整性度量校驗接口IF-IMV。此外，在TNC客戶端和TNC服務端之間還具有一個完整性評估接口IF-TNCCS。完整性度量層有完整性收集者IMC和完整性校驗者IMV兩個組件，負責收集和校驗請求訪問者的完整性相關信息。

現有TCG-TNC架構一次完整的可信網絡連接的信息傳輸過程是：在建立網絡連接之前，TNC客戶端TNCC需要準備好所需要的平臺完整性信息，交給完整性收集者IMC。在一個擁有可信平臺模塊的終端里面，這也就是將網絡策略所需的平臺信息經散列后存入各個平臺配置寄存器，TNC服務端TNCS需要預先制定平臺完整性的驗證要求，并交給完整性校驗者IMV。具體過程如下：

(1)網絡訪問請求者NAR向策略執行者發起訪問請求。

(2)策略執行者將訪問請求描述發送給網絡訪問授權者。

(3)網絡訪問授權者收到網絡訪問請求者NAR的訪問請求描述后，與網絡訪問請求者NAR執行用戶鑒別協議。當用戶鑒別成功時，網絡訪問授權者將訪問請求和用戶鑒別成功的信息發往TNC服務端TNCS。

(4)TNC服務端TNCS收到網絡訪問授權者發送的訪問請求和用戶鑒別成功的信息后，與TNC客戶端TNCC開始執行雙向平臺憑證認證，比如驗證平臺的身份證明密鑰AIK。

(5)當平臺憑證認證成功時，TNC客戶端TNCC告訴完整性收集者IMC開始了一個新的網絡連接且需要進行一個完整性握手協議。完整性收集者IMC通過完整性度量收集接口IF-IMC返回所需平臺完整性信息。TNC服務端TNCS將這些平臺完整性信息通過完整性度量校驗接口IF-IMV交給完整性校驗者IMV。

(6)在完整性握手協議過程中，TNC客戶端TNCC與TNC服務端TNCS要交換一次或多次數據，直到TNC服務端TNCS滿意為止。

(7)當TNC服務端TNCS完成了對TNC客戶端TNCC的完整性握手協議，它將發送一個推薦信給網絡訪問授權者，要求允許訪問。如果還有另外的安全考慮，此時策略決策點仍舊可以不允許訪問請求者AR的訪問。

(8)網絡訪問授權者將訪問決定傳遞給策略執行者，策略執行者最終執行這個決定，來控制訪問請求者AR的訪問。

目前，尚無成熟的TCG-TNC架構產品進入市場。TCG-TNC架構的一些重要技術還處于研究及規范階段，其主要還存在如下缺陷：

1.可擴展性差。由于在策略執行點和策略決策點之間存在預定義的安全通道，而策略決策點可能管理著大量的策略執行點，這將迫使它配置大量的安全通道，造成管理的復雜性，因此，可擴展性差。