技術領域

本發明涉及一種適合三元對等鑒別可信網絡連接架構的平臺鑒別管理方法。

背景技術

隨著信息化的不斷發展，病毒、蠕蟲等惡意軟件的問題異常突出。目前已經出現了超過三萬五千種的惡意軟件，每年都有超過四千萬的計算機被感染。要遏制住這類攻擊，不僅需要解決安全的傳輸和數據輸入時的檢查，還要從源頭即從每一臺連接到網絡的終端開始防御。而傳統的安全防御技術已經無法防御種類繁多的惡意攻擊。

國際可信計算組織(Trusted?Computing?Group，TCG)針對這個問題，專門制定了一個基于可信計算技術的網絡連接規范——可信網絡連接(TrustedNetwork?Connect，TNC)，簡記為TCG-TNC，其包括了開放的終端完整性架構和一套確保安全互操作的標準。這套標準可以在用戶需要時保護一個網絡，且由用戶自定義保護到什么程度。TCG-TNC本質上就是要從終端的完整性開始建立連接。首先，要創建一套在可信網絡內部系統運行狀況的策略。只有遵守網絡設定策略的終端才能訪問網絡，網絡將隔離和定位那些不遵守策略的設備。由于使用了可信平臺模塊(Trusted?Platform?Module，TPM)，所以還可以阻擋rootkits的攻擊。root?kits是一種攻擊腳本、經修改的系統程序，或者成套攻擊腳本和工具，用于在一個目標系統中非法獲取系統的最高控制權限。

參見圖1，是TCG-TNC架構示意圖。特定廠家完整性收集者(IntegrityMeasurement?Collector，IMC)-完整性校驗者(Integrity?Measurement?Verifier，IMV)，消息交換接口(Vendor-Specific?IMC-IMV?Messages，IF-M)是完整性收集者和完整性校驗者之間的接口，TNC客戶端-TNC服務端接口(TNCClient-TNC?Server?Interface，IF-TNCCS)是TNC客戶端和TNC服務端之間的接口，網絡授權傳輸協議(Network?Authorization?Transport?Protocol，IF-T)是網絡訪問請求者和網絡訪問授權者之間的接口，策略執行點接口(Policy?Enforcement?PointIntegrity，IF-PEP)是策略執行點和網絡訪問授權者之間的接口，完整性度量收集者接口(Integrity?Measurement?Collector?Inteface，IF-IMC)是完整性收集者和TNC客戶端之間的接口，完整性度量校驗接口(Integrity?Measurement?VerifierInterface，IF-IMV)是完整性校驗者和TNC服務端之間的接口。

但是，由于圖1所示的TCG-TNC架構中訪問請求者不評估策略執行點的完整性，所以該架構存在策略執行點不可信賴的問題。為了解決這一問題，一種基于三元對等鑒別(Tri-element?Peer?Authentication，TePA)的TNC架構被提出?；赥ePA的TNC架構示意圖如圖2所示。

在圖2中，完整性度量接口(Integrity?Measurement?Interface，IF-IM)是完整性收集者和完整性校驗者之間的接口，TNC客戶端-TNC接入點接口(TNCClient-TNC?Access?Point?Interface，IF-TNCCAP)是TNC客戶端和TNC接入點之間的接口，評估策略服務接口(Evaluation?Policy?Service?Interface，IF-EPS)是TNC接入點和評估策略服務者之間的接口，可信網絡傳輸接口(Trusted?NetworkTransport?Interface，IF-TNT)是網絡訪問請求者和網絡訪問控制者之間的接口，鑒別策略服務接口(Authentication?Policy?Service?Interface，IF-APS)是網絡訪問控制者和鑒別策略服務者之間的接口，完整性度量收集者接口(IntegrityMeasurement?Collector?Inteface，IF-IMC)是完整性收集者和TNC客戶端之間，以及完整性收集者和TNC接入點之間的接口，完整性度量校驗接口(IntegrityMeasurement?Verifier?Interface，IF-IMV)是完整性校驗者和評估策略服務者之間的接口。