技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種適合三元對等鑒別可信網(wǎng)絡(luò)連接架構(gòu)的平臺鑒別消息管理方法。

背景技術(shù)

隨著信息化的發(fā)展，病毒、蠕蟲等惡意軟件的問題異常突出。目前已經(jīng)出現(xiàn)了超過三萬五千種的惡意軟件，每年都有超過四千萬的計算機被感染。要遏制住這類攻擊，不僅通過解決安全的傳輸和數(shù)據(jù)輸入時的檢查，還要從源頭即從每一臺連接到網(wǎng)絡(luò)的終端開始防御。而傳統(tǒng)的安全防御技術(shù)已經(jīng)無法防御種類繁多的惡意攻擊。

國際可信計算組織(Trusted?Computing?Group，TCG)針對這個問題，專門制定了一個基于可信計算技術(shù)的網(wǎng)絡(luò)連接規(guī)范——可信網(wǎng)絡(luò)連接(TrustedNetwork?Connect，TNC)，簡記為TCG-TNC，其包括了開放的終端完整性架構(gòu)和一套確保安全互操作的標準。這套標準可以在用戶通過時保護一個網(wǎng)絡(luò)，且由用戶自定義保護到什么程度。TCG-TNC本質(zhì)上就是要從終端的完整性開始建立連接。首先，要創(chuàng)建一套在可信網(wǎng)絡(luò)內(nèi)部系統(tǒng)運行狀況的策略。只有遵守網(wǎng)絡(luò)設(shè)定策略的終端才能訪問網(wǎng)絡(luò)，網(wǎng)絡(luò)將隔離和定位那些不遵守策略的設(shè)備。由于使用了可信平臺模塊(Trusted?Platform?Module，TPM)，所以還可以阻擋rootkits的攻擊。root?kits是一種攻擊腳本、經(jīng)修改的系統(tǒng)程序，或者成套攻擊腳本和工具，用于在一個目標系統(tǒng)中非法獲取系統(tǒng)的最高控制權(quán)限，具體的TCG-TNC架構(gòu)示意圖參見圖1。

圖1所示TCG-TNC架構(gòu)與傳統(tǒng)網(wǎng)絡(luò)接入技術(shù)的區(qū)別在于：增加了完整性評估層和完整性度量層來實現(xiàn)策略決策點對訪問請求者的平臺鑒別。平臺鑒別包括三個方面的內(nèi)容：1)識別被鑒別平臺存在哪些平臺組件；2)鑒別被鑒別平臺的確存在這些平臺組件；3)評估被鑒別平臺的這些平臺組件，其中評估主要是指評估平臺組件的運行狀況、安全級別和完整性狀態(tài)等，運行狀況指明平臺組件是否運行以及運行環(huán)境，安全級別指明平臺組件的安全等級，完整性狀態(tài)指明平臺組件是否被破壞。但是，由于圖1所示TCG-TNC架構(gòu)中的策略執(zhí)行點處于網(wǎng)絡(luò)邊緣，且訪問請求者不對策略執(zhí)行點進行平臺鑒別，所以該架構(gòu)存在策略執(zhí)行點不可信賴的問題。為了解決這一問題，提出了一種基于三元對等鑒別(Tri-element?Peer?Authentication，TePA)的TNC架構(gòu)，基于TePA的TNC架構(gòu)參見圖2。

在圖2所示的基于TePA的TNC架構(gòu)中，基于完整性度量層和可信平臺評估層實現(xiàn)訪問請求者與訪問控制器之間的雙向平臺鑒別，其中策略管理器充當可信第三方角色。

在圖1中，由于平臺鑒別發(fā)生在完整性度量層和完整性評估層，其中完整性度量層和完整性評估層需要進行消息交互，所以平臺鑒別消息管理主要包括：完整性度量層的消息管理、完整性評估層的消息管理和完整性度量層與完整性評估層之間的消息管理。同理，圖2所示的基于TePA的TNC架構(gòu)的平臺鑒別消息管理主要包括：完整性度量層的消息管理、可信平臺評估層的消息管理和完整性度量層與可信平臺評估層之間的消息管理。在圖1所示的TCG-TNC架構(gòu)中完整性度量層實現(xiàn)對訪問請求者的平臺組件的識別、鑒別和評估，而完整性評估層主要是路由和管理完整性度量層消息以及實現(xiàn)本層消息的管理。但是，在圖2所示的基于TePA的TNC架構(gòu)中完整性度量層實現(xiàn)對訪問請求者和訪問控制器的平臺組件的識別和評估，而可信平臺評估層實現(xiàn)對訪問請求者和訪問控制器的平臺組件的鑒別、完整性度量層消息的路由和管理以及本層消息的管理。根據(jù)上面所述可知：由于基于TePA的TNC架構(gòu)和TCG-TNC架構(gòu)在平臺鑒別上存在很大的差異性，所以其平臺鑒別消息管理也將不一樣。因此，需要建立適合基于TePA的TNC架構(gòu)的平臺鑒別消息管理方法。

發(fā)明內(nèi)容

為了解決背景技術(shù)中存在的上述技術(shù)問題，本發(fā)明提供了一種可實現(xiàn)訪問請求者與訪問控制器之間的雙向平臺鑒別、擴展了基于TePA的TNC架構(gòu)的應用范圍并且有利于完整性度量層的識別和評估功能在獨立的可信第三方上實現(xiàn)的適合三元對等鑒別可信網(wǎng)絡(luò)連接架構(gòu)的平臺鑒別消息管理方法。

本發(fā)明的技術(shù)解決方案是：本發(fā)明提供了一種適合三元對等鑒別可信網(wǎng)絡(luò)連接架構(gòu)的平臺鑒別消息管理方法，其特殊之處在于：該方法包括以下步驟：

1)完整性度量層完成平臺組件信息、平臺組件修補信息和完整性度量層消息處理錯誤信息的管理；

2)可信平臺評估層依據(jù)平臺鑒別協(xié)議來管理可信平臺評估層的消息，并完成對構(gòu)成平臺鑒別協(xié)議消息的成份的管理；