專(zhuān)利名稱(chēng):一種保護(hù)終端配置隱私的可信網(wǎng)絡(luò)接入方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及可信網(wǎng)絡(luò)接入方法��,尤其涉及終端配置隱私性要求高的可信網(wǎng)絡(luò)接入系統(tǒng)�����,屬于信息安全技術(shù)領(lǐng)域��。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)和電子商務(wù)等應(yīng)用的推廣和普及�����,在線(xiàn)購(gòu)物等商業(yè)交易越來(lái)越多���,而與此相對(duì)應(yīng)針對(duì)網(wǎng)絡(luò)和終端計(jì)算機(jī)的各種安全目前呈爆炸性的增長(zhǎng)——特別是基于網(wǎng)絡(luò)傳播的病毒和木馬���,而主流的終端計(jì)算平臺(tái)安全漏洞更是層出不窮。傳統(tǒng)的安全解決方案(防火墻��、殺毒軟件等)多年來(lái)一直在發(fā)展��,但是其對(duì)網(wǎng)絡(luò)中惡意代碼傳播的控制力度還不夠�,導(dǎo)致病毒����、蠕蟲(chóng)和木馬程序這些惡意軟件每年都造成了不少的損失,甚至造成大量的企業(yè)安全事故�����,帶來(lái)了巨大的經(jīng)濟(jì)影響。因此�,僅憑傳統(tǒng)的安全解決方案無(wú)法解決惡意代碼帶來(lái)的問(wèn)題。針對(duì)上述情況���,互聯(lián)網(wǎng)產(chǎn)業(yè)界提出了將終端的安全狀態(tài)與網(wǎng)絡(luò)接入技術(shù)結(jié)合的網(wǎng)絡(luò)接入控制技術(shù)����,目前以思科的網(wǎng)絡(luò)準(zhǔn)入控制和微軟的網(wǎng)絡(luò)準(zhǔn)入保護(hù)這兩種解決方案為主流�����。但是由于知識(shí)產(chǎn)權(quán)問(wèn)題���,產(chǎn)業(yè)界的網(wǎng)絡(luò)接入控制方案普遍存在兼容性差和擴(kuò)展性差等問(wèn)題���,這給用戶(hù)帶來(lái)了不必要的經(jīng)濟(jì)負(fù)擔(dān)。
針對(duì)此問(wèn)題��,可信計(jì)算組織提出了一種開(kāi)放的網(wǎng)絡(luò)接入控制方案一可信網(wǎng)絡(luò)接入����,并推出了包括體系結(jié)構(gòu)規(guī)范、組件互操作接口規(guī)范�、技術(shù)支撐類(lèi)規(guī)范在內(nèi)的一整套規(guī)范體系���。可信網(wǎng)絡(luò)接入基于現(xiàn)有的網(wǎng)絡(luò)控制技術(shù)�,如802.1X框架、虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)IPsec���、安全傳輸層協(xié)議(TLS)�����,在終端接入網(wǎng)絡(luò)之前對(duì)終端平臺(tái)身份以及終端平臺(tái)配置進(jìn)行認(rèn)證�����,保證接入終端身份和安全狀態(tài)的合法性�����。從技術(shù)層面上來(lái)說(shuō)��,可信網(wǎng)絡(luò)接入是可信計(jì)算將可信擴(kuò)展到網(wǎng)絡(luò)的一種方式,旨在建立可信的網(wǎng)絡(luò)環(huán)境�����,是一種主動(dòng)防御網(wǎng)絡(luò)危害的方法。
自可信計(jì)算組織發(fā)布可信網(wǎng)絡(luò)接入框架以后��,很多研究機(jī)構(gòu)著手可信網(wǎng)絡(luò)接入框架的實(shí)現(xiàn)工作��,目前已經(jīng)有多個(gè)開(kāi)源項(xiàng)目支持可信網(wǎng)絡(luò)接入框架���。
德國(guó)漢諾威應(yīng)用技術(shù)大學(xué)的TrustOFHH研究小組是可信網(wǎng)絡(luò)接入工作組的成員���,它主持的開(kāi)源項(xiàng)目TNC@FHH實(shí)現(xiàn)了可信網(wǎng)絡(luò)接入框架。TNC@FHH在接入平臺(tái)的完整性評(píng)估層通過(guò)實(shí)施用戶(hù)定義的訪(fǎng)問(wèn)控制����,防止用戶(hù)的秘密配置信息泄露,通過(guò)這種方法達(dá)到了一定的保護(hù)平臺(tái)配置信息的目的��。但是其在完整性信息管理以及隔離域方面并沒(méi)有改進(jìn)���。
開(kāi)源項(xiàng)目IibTNC旨在于建立一個(gè)操作系統(tǒng)無(wú)關(guān)的開(kāi)源可信網(wǎng)絡(luò)接入系統(tǒng)����,目前已經(jīng)支持Windows�����、多個(gè)類(lèi)Unix操作系統(tǒng)以及Mac OS X操作系統(tǒng),但是其僅僅是可信網(wǎng)絡(luò)接入架構(gòu)的部分實(shí)現(xiàn),沒(méi)有對(duì)TNC的缺點(diǎn)進(jìn)行改進(jìn)�。
其它的一些項(xiàng)目,比如OpenlX項(xiàng)目���,是由OpenSEA聯(lián)盟贊助的開(kāi)源跨平臺(tái)802.1X客戶(hù)端�����,還有strongSwan,是Linux操作系統(tǒng)上的IPsec實(shí)現(xiàn),只是在網(wǎng)絡(luò)訪(fǎng)問(wèn)層提供了對(duì)可信網(wǎng)絡(luò)接入的支持���。
除此之外,多家企業(yè)的產(chǎn)品也開(kāi)始支持可信網(wǎng)絡(luò)接入框架���,特別是JuniperNetworks廠(chǎng)商���,其下的多個(gè)產(chǎn)品已經(jīng)通過(guò)了國(guó)際可信計(jì)算組織的認(rèn)證。在國(guó)內(nèi)�,華為、天融信和清大安科等公司相繼推出了自己基于可信網(wǎng)絡(luò)接入的網(wǎng)絡(luò)接入控制方案����。
可信網(wǎng)絡(luò)接入架構(gòu)采用了可信計(jì)算中傳統(tǒng)的二進(jìn)制證明方案,但是傳統(tǒng)的二進(jìn)制證明方案存在如下缺點(diǎn):首先,完整性管理復(fù)雜�����,驗(yàn)證方在互聯(lián)網(wǎng)應(yīng)用中一般是服務(wù)提供方���,服務(wù)提供方需要記錄所有證明方的平臺(tái)配置,包括各類(lèi)軟件以及各個(gè)軟件的不同版本�,這給服務(wù)提供方造成了很大的管理負(fù)擔(dān);其次���,這種方案泄露了用戶(hù)的平臺(tái)配置信息��,服務(wù)提供方能夠獲得終端所有的配置信息��,給服務(wù)提供方統(tǒng)計(jì)用戶(hù)信息提供了可乘之機(jī)��;最后���,這種方案能夠造成軟件歧視,比如服務(wù)提供方的接入策略要求客戶(hù)端必須安裝某個(gè)軟件或者禁止安裝某個(gè)軟件��。而上述缺點(diǎn)隨二進(jìn)制證明方案的使用被引入到可信網(wǎng)絡(luò)接入中����。發(fā)明內(nèi)容
針對(duì)當(dāng)前可信網(wǎng)絡(luò)接入解決方案不能保護(hù)終端配置隱私的不足��,本發(fā)明提出了一種基于屬性證明的可信網(wǎng)絡(luò)接入方法�����,能夠保護(hù)用戶(hù)終端的配置信息并可減輕互聯(lián)網(wǎng)中網(wǎng)絡(luò)服務(wù)提供方的完整性管理負(fù)載����。本發(fā)明的接入方法將網(wǎng)絡(luò)組件劃分為接入終端��、策略執(zhí)行點(diǎn)��、策略判定點(diǎn)以及網(wǎng)絡(luò)服務(wù)提供方等主要四部分�����。接入終端是各種請(qǐng)求接入網(wǎng)絡(luò)的終端���,要求具有TPM/TCM芯片���。策略執(zhí)行點(diǎn)是執(zhí)行接入決策的網(wǎng)絡(luò)設(shè)備,通常包括各類(lèi)交換機(jī)�、路由器以及無(wú)線(xiàn)AP等��。策略判定點(diǎn)提供平臺(tái)身份管理���、平臺(tái)安全屬性證明等服務(wù)。平臺(tái)身份管理服務(wù)負(fù)責(zé)接入終端平臺(tái)身份的管理�,平臺(tái)安全屬性證明服務(wù)提供平臺(tái)安全屬性的證明以及安全屬性證書(shū)頒發(fā)等功能��。網(wǎng)絡(luò)服務(wù)提供方為互聯(lián)網(wǎng)上各類(lèi)網(wǎng)絡(luò)在線(xiàn)服務(wù)��,比如WEB服務(wù)�����、郵件服務(wù)等��。
下面對(duì)在該方法中����,對(duì)保護(hù)終端配置隱私的可信網(wǎng)絡(luò)接入方法進(jìn)行詳細(xì)說(shuō)明:
I)接入終端獲取平臺(tái)身份,沒(méi)有平臺(tái)身份的終端需要首先向策略判定點(diǎn)中的平臺(tái)身份管理服務(wù)申請(qǐng)平臺(tái)身份����;
2)終端平臺(tái)接入網(wǎng)絡(luò),策略判定點(diǎn)將接入終端的平臺(tái)身份和平臺(tái)完整性分別交給平臺(tái)身份管理服務(wù)和平臺(tái)安全屬性證明服務(wù)進(jìn)行驗(yàn)證���。平臺(tái)身份管理服務(wù)對(duì)平臺(tái)身份的合法性進(jìn)行驗(yàn)證�����。平臺(tái)安全屬性證明服務(wù)將平臺(tái)完整性數(shù)據(jù)映射為平臺(tái)所具有的安全屬性�,并對(duì)此終端頒發(fā)安全屬性證書(shū)。平臺(tái)身份和平臺(tái)安全屬性驗(yàn)證通過(guò)之后��,策略判定點(diǎn)根據(jù)這兩方面的驗(yàn)證結(jié)果給出接入決策���,通知策略實(shí)施點(diǎn)實(shí)施此決策����,并將安全證書(shū)和接入決策通知接入終端����;
3)終端訪(fǎng)問(wèn)網(wǎng)絡(luò)服務(wù),該網(wǎng)絡(luò)服務(wù)請(qǐng)求訪(fǎng)問(wèn)終端的平臺(tái)身份�����、安全屬性證書(shū)以及特定軟件的配置信息�����,訪(fǎng)問(wèn)終端利用平臺(tái)身份對(duì)自己的安全屬性證書(shū)以及特定軟件的完整性信息進(jìn)行簽名發(fā)送給網(wǎng)絡(luò)服務(wù),網(wǎng)絡(luò)服務(wù)分別對(duì)平臺(tái)身份�、安全屬性證書(shū)以及特定軟件的完整性信息進(jìn)行驗(yàn)證,驗(yàn)證通過(guò)方可允許此終端訪(fǎng)問(wèn)����。驗(yàn)證不通過(guò)的終端需修改自己的平臺(tái)配置,使自身配置滿(mǎn)足網(wǎng)絡(luò)服務(wù)的要求后繼續(xù)申請(qǐng)?jiān)L問(wèn)����。
所述終端獲取平臺(tái)身份的方法為:
A�����、接入終端與平臺(tái)身份管理服務(wù)通過(guò)TPM/TCM芯片支持的平臺(tái)身份申請(qǐng)協(xié)議���,比如PrivacyCA或DAA協(xié)議,協(xié)商平臺(tái)身份����;
所述終端接入網(wǎng)絡(luò)的方法為:
A���、終端按照可信啟動(dòng)流程啟動(dòng)����,啟動(dòng)后向策略判定點(diǎn)發(fā)送網(wǎng)絡(luò)接入請(qǐng)求;
B��、所述策略判定點(diǎn)與所述終端在網(wǎng)絡(luò)設(shè)備提供的通信信道上建立一條安全信道�����,之后該策略判定點(diǎn)和終端上所有的通信都在此安全信道內(nèi)進(jìn)行���;
C�����、策略判定點(diǎn)發(fā)送平臺(tái)身份證明請(qǐng)求和平臺(tái)完整性證明請(qǐng)求給終端�;
D����、終端根據(jù)策略判定點(diǎn)的平臺(tái)完整性證明請(qǐng)求調(diào)用相應(yīng)的完整性收集組件完成完整性收集,并將收集到的完整性數(shù)據(jù)列表用平臺(tái)身份密鑰簽名���,然后發(fā)送給策略判定占.
E�����、所述策略判定點(diǎn)對(duì)終端發(fā)送過(guò)來(lái)的平臺(tái)身份密鑰簽名調(diào)用平臺(tái)身份管理服務(wù)進(jìn)行驗(yàn)證����,驗(yàn)證通過(guò)后將完整性數(shù)據(jù)列表交給平臺(tái)安全屬性證明服務(wù)進(jìn)行平臺(tái)安全屬性證明;
F�、平臺(tái)安全屬性證明服務(wù)依據(jù)其屬性證明方法將平臺(tái)完整性數(shù)據(jù)列表映射為相應(yīng)的安全屬性,并用平臺(tái)安全屬性證明服務(wù)的簽名密鑰對(duì)此安全屬性和平臺(tái)身份證書(shū)進(jìn)行簽名作為安全屬性證書(shū)�;
G、所述策略判定點(diǎn)根據(jù)平臺(tái)身份管理服務(wù)和平臺(tái)安全屬性證明服務(wù)的驗(yàn)證結(jié)果給出接入決策�;
H、策略判定點(diǎn)通知策略執(zhí)行點(diǎn)執(zhí)行接入決策����,并將接入結(jié)果以及安全屬性證書(shū)發(fā)送給接入終端;
1����、接入終端將安全屬性證書(shū)擴(kuò)展至安全芯片���。
所述終端可信啟動(dòng)的方法為:
a�、終端加電后���,平臺(tái)從靜態(tài)可信度量根CRTM開(kāi)始依次加載��、度量并運(yùn)行可信引導(dǎo)程序BootLoader�、操作系統(tǒng)內(nèi)核以及系統(tǒng)安全軟件,并將度量結(jié)果擴(kuò)展至安全芯片����。
所述屬性證明方法為:
a、終端發(fā)送BootLoader����、操作系統(tǒng)和系統(tǒng)安全軟件度量信息,以及平臺(tái)身份密鑰的簽名給策略判定點(diǎn)�����;
b��、策略判定點(diǎn)將簽名交給平臺(tái)身份管理服務(wù)進(jìn)行驗(yàn)證���,驗(yàn)證通過(guò)后將終端完整性信息交給平臺(tái)安全屬性證明服務(wù)進(jìn)行驗(yàn)證�,平臺(tái)安全屬性證明服務(wù)利用自身的完整性-安全屬性映射方法給出終端滿(mǎn)足的最高級(jí)別安全屬性���,然后對(duì)此安全屬性以及平臺(tái)身份證書(shū)進(jìn)行簽名作為接入終端的安全屬性證書(shū)��。
所述完整性-安全屬性映射的方法為:
a�、符號(hào)標(biāo)記安全屬性的映射方式可按照如下方式進(jìn)行:
用符號(hào)Pl標(biāo)記安全屬性:平臺(tái)擁有合法的安全芯片,
P2標(biāo)記安全屬性:終端可信引導(dǎo)程序的度量值等同于正?��?尚乓龑?dǎo)程序的度量值����,
P3-vl到P3_vm分別標(biāo)記安全屬性:操作系統(tǒng)的度量值滿(mǎn)足某個(gè)類(lèi)型或版本的操作系統(tǒng)度量值�����,
P4-vl到P4-vn分別標(biāo)記安全屬性:終端安全軟件的度量值滿(mǎn)足某個(gè)版本的系統(tǒng)安全軟件度量值�,
P5標(biāo)記安全屬性:終端平臺(tái)的運(yùn)行環(huán)境可信。
b���、終端已經(jīng)通過(guò)了平臺(tái)身份簽名認(rèn)證�����,所以滿(mǎn)足安全屬性P1,及平臺(tái)擁有合法的安全芯片��;
C����、在安全屬性Pl的基礎(chǔ)上,檢查終端完整性是否滿(mǎn)足P2,如果滿(mǎn)足則推導(dǎo)出終端的可信引導(dǎo)程序滿(mǎn)足安全性要求�����,標(biāo)記平臺(tái)達(dá)到安全屬性P2級(jí)別�;
d、在安全屬性P2的基礎(chǔ)上�,檢查終端完整性是否滿(mǎn)足P3-vl到P3-Vm的任意一條,如果滿(mǎn)足則推導(dǎo)出終端的操作系統(tǒng)滿(mǎn)足安全性要求����,標(biāo)記平臺(tái)達(dá)到安全屬性P3級(jí)別;e�、在安全屬性P3的基礎(chǔ)上,檢查終端完整性是否滿(mǎn)足P4_vl到P4_vn的任意一條�����,如果滿(mǎn)足則推導(dǎo)出終端的安全軟件滿(mǎn)足安全性要求�����,標(biāo)記平臺(tái)達(dá)到安全屬性P4級(jí)別��。所述終端接入網(wǎng)絡(luò)服務(wù)的方法為:A�、經(jīng)過(guò)驗(yàn)證接入網(wǎng)絡(luò)的終端向網(wǎng)絡(luò)服務(wù)發(fā)送訪(fǎng)問(wèn)請(qǐng)求;B、網(wǎng)絡(luò)服務(wù)請(qǐng)求訪(fǎng)問(wèn)終端的安全屬性以及某個(gè)特定軟件的配置信息以及一個(gè)挑戰(zhàn)隨機(jī)數(shù)��;C����、訪(fǎng)問(wèn)終端將特定軟件度量至安全芯片,然后對(duì)挑戰(zhàn)隨機(jī)數(shù)�、安全屬性證書(shū)和網(wǎng)絡(luò)服務(wù)指定的軟件用平臺(tái)身份密鑰簽名并發(fā)送給網(wǎng)絡(luò)服務(wù);D��、網(wǎng)絡(luò)服務(wù)對(duì)訪(fǎng)問(wèn)終端的安全屬性以及特定軟件配置進(jìn)行檢查�,如果通過(guò),則允許終端訪(fǎng)問(wèn)自身服務(wù)��,若果沒(méi)有通過(guò)���,則不允許終端訪(fǎng)問(wèn)自身服務(wù)����,該終端需要重新進(jìn)行請(qǐng)求����。所述終端上綁定有安全芯片TCM或TPM�。本發(fā)明還提出基于保護(hù)終端配置隱私的可信網(wǎng)絡(luò)接入系統(tǒng),可信網(wǎng)絡(luò)接入系統(tǒng)由以下的實(shí)體組成:接入終端、策略執(zhí)行點(diǎn)���、策略判定點(diǎn)和網(wǎng)絡(luò)服務(wù)��;所述接入終端對(duì)應(yīng)于一接入網(wǎng)絡(luò)的終端平臺(tái)�����;包括網(wǎng)絡(luò)接入引擎�、終端網(wǎng)絡(luò)接入服務(wù)以及完整性收集組件��;所述網(wǎng)絡(luò)接入引擎針對(duì)不同的網(wǎng)絡(luò)環(huán)境負(fù)責(zé)底層的網(wǎng)絡(luò)通信�����,用于負(fù)責(zé)底層的網(wǎng)絡(luò)通信���,所述終端網(wǎng)絡(luò)接入服務(wù)負(fù)責(zé)平臺(tái)身份的注冊(cè)和管理�����、平臺(tái)完整性消息的轉(zhuǎn)發(fā)以及完整性收集組件的管理����,所述完整性收集組件負(fù)責(zé)終端某一方面的完整性數(shù)據(jù)收集,一個(gè)終端上可以有多個(gè)完整性收集組件��,所述策略執(zhí)行點(diǎn)負(fù)責(zé)具體接入策略的實(shí)施,包括多個(gè)網(wǎng)絡(luò)接入設(shè)備����;所述策略判定點(diǎn)由平臺(tái)身份管理服務(wù)和平臺(tái)安全屬性證明服務(wù)組成,平臺(tái)身份管理服務(wù)負(fù)責(zé)平臺(tái)身份的頒發(fā)�����、認(rèn)證以及撤銷(xiāo)等功能��,平臺(tái)安全屬性證明服務(wù)負(fù)責(zé)平臺(tái)安全屬性的認(rèn)證以及安全屬性證書(shū)的頒發(fā)功能�����;所述網(wǎng)絡(luò)服務(wù)可提供互聯(lián)網(wǎng)上的各類(lèi)網(wǎng)絡(luò)服務(wù)提供商提供的具體網(wǎng)絡(luò)服務(wù)�����。本發(fā)明的有益效果為:目前的可信網(wǎng)絡(luò)接入框架���,采用可信計(jì)算領(lǐng)域傳統(tǒng)的二進(jìn)制證明方法�����,存在暴露平臺(tái)配置信息以及網(wǎng)路服務(wù)完整性管理復(fù)雜等問(wèn)題����,本發(fā)明提出的網(wǎng)絡(luò)接入方法采用保護(hù)平臺(tái)配置信息的屬性證明方法�����,I)為網(wǎng)絡(luò)服務(wù)提供了終端安全屬性證明服務(wù)����,終端平臺(tái)只需要向網(wǎng)路服務(wù)提供自身平臺(tái)的安全屬性即可,2)保護(hù)了終端平臺(tái)的配置隱私��,同時(shí)也減輕了網(wǎng)絡(luò)服務(wù)提供方平臺(tái)完整性管理的負(fù)擔(dān)�����,3)本發(fā)明中的接入方法為一些要求特定軟件配置才能訪(fǎng)問(wèn)的網(wǎng)絡(luò)服務(wù)提供了支持��。
圖1是本發(fā)明保護(hù)終端配置隱私的可信網(wǎng)絡(luò)接入方法一實(shí)施例中的系統(tǒng)的結(jié)構(gòu)示意圖���;圖2是本發(fā)明保護(hù)終端配置隱私的可信網(wǎng)絡(luò)接入方法一實(shí)施例中終端接入網(wǎng)絡(luò)的方法流程示意圖�����;圖3是本發(fā)明保護(hù)終端配置隱私的可信網(wǎng)絡(luò)接入方法一實(shí)施例中接入終端訪(fǎng)問(wèn)網(wǎng)絡(luò)服務(wù)的方法流程示意圖��。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述��,可以理解的是��,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�����,而不是全部的實(shí)施例��?���;诒景l(fā)明中的實(shí)施例,本領(lǐng)域技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�,都屬于本發(fā)明保護(hù)的范圍。如圖1所示����,本發(fā)明的方法由以下的實(shí)體組成:接入終端�����、策略執(zhí)行點(diǎn)����、策略判定點(diǎn)和網(wǎng)絡(luò)服務(wù)��。接入終端對(duì)應(yīng)于接入網(wǎng)絡(luò)的終端平臺(tái)�。策略執(zhí)行點(diǎn)負(fù)責(zé)具體接入策略的實(shí)施���。策略判定點(diǎn)由平臺(tái)身份管理服務(wù)和平臺(tái)安全屬性證明服務(wù)組成�����,平臺(tái)身份管理服務(wù)負(fù)責(zé)平臺(tái)身份的頒發(fā)��、認(rèn)證以及撤銷(xiāo)等功能�����,平臺(tái)安全屬性證明服務(wù)負(fù)責(zé)平臺(tái)安全屬性的認(rèn)證以及安全屬性證書(shū)的頒發(fā)功能����。網(wǎng)絡(luò)服務(wù)對(duì)應(yīng)于互聯(lián)網(wǎng)上的各類(lèi)網(wǎng)絡(luò)服務(wù)提供商提供的具體網(wǎng)絡(luò)服務(wù),例如社交網(wǎng)站��、學(xué)術(shù)論文服務(wù)平臺(tái)等等�����。接入終端系統(tǒng)具體包括網(wǎng)絡(luò)接入引擎����、終端網(wǎng)絡(luò)接入服務(wù)以及完整性收集組件。網(wǎng)絡(luò)接入引擎針對(duì)不同的網(wǎng)絡(luò)環(huán)境(比如無(wú)線(xiàn)局域網(wǎng)�����、以太網(wǎng)以及VPN等)負(fù)責(zé)底層的網(wǎng)絡(luò)通信��,具體表現(xiàn)形式為VPN客戶(hù)端或802.1X客戶(hù)端���;終端網(wǎng)絡(luò)接入服務(wù)負(fù)責(zé)平臺(tái)身份的注冊(cè)和管理���、平臺(tái)完整性消息的轉(zhuǎn)發(fā)以及完整性收集組件的管理;完整性收集組件負(fù)責(zé)終端某一方面的完整性數(shù)據(jù)收集�,一個(gè)終端上可以有多個(gè)完整性收集組件,一般由網(wǎng)絡(luò)服務(wù)提供方提供。策略執(zhí)行點(diǎn)具體表現(xiàn)為網(wǎng)絡(luò)接入設(shè)備�,比如交換機(jī)、安全網(wǎng)絡(luò)以及無(wú)線(xiàn)接入點(diǎn)等
坐寸ο本發(fā)明的保護(hù)終端配置隱私的可信網(wǎng)絡(luò)接入方法包括如下步驟:I)接入終端通過(guò)可信弓丨導(dǎo)啟動(dòng)平臺(tái)1�����、加電后�,平臺(tái)上的靜態(tài)可信度量根CRTM加載并度量可信弓I導(dǎo)程序BootLoader,將度量值擴(kuò)展至PCR4中����,然后將控制權(quán)交給BootLoader ��;2����、BootLoader加載并度量操作系統(tǒng)內(nèi)核,將度量值擴(kuò)展至PCR8�����,然后將控制權(quán)交給操作系統(tǒng)��;3�、操作系統(tǒng)加載并度量系統(tǒng)安全軟件,將度量值擴(kuò)展至PCR9,系統(tǒng)啟動(dòng)��。2)接入終端向平臺(tái)身份管理服務(wù)獲取平臺(tái)身份1�、接入終端通過(guò)網(wǎng)絡(luò)接入引擎向策略判定點(diǎn)中的平臺(tái)身份管理服務(wù)發(fā)起平臺(tái)身份注冊(cè)請(qǐng)求;2�、策略判定點(diǎn)與網(wǎng)絡(luò)接入引擎通過(guò)TLS握手協(xié)議建立一條安全信道,以后所有的消息都在此安全信道內(nèi)轉(zhuǎn)發(fā)�����;3��、平臺(tái)身份管理服務(wù)與接入終端進(jìn)行PrivacyCA或DAA協(xié)議�����,最后為接入終端頒發(fā)平臺(tái)身份證書(shū)����。
2)終端接入網(wǎng)絡(luò),如圖2所示是本發(fā)明保護(hù)終端配置隱私的可信網(wǎng)絡(luò)接入方法一實(shí)施例中終端接入網(wǎng)絡(luò)的方法流程示意圖�;1、接入終端通過(guò)網(wǎng)絡(luò)接入引擎向策略判定點(diǎn)發(fā)送網(wǎng)絡(luò)接入請(qǐng)求�;2、策略判定點(diǎn)與網(wǎng)絡(luò)接入引擎通過(guò)TLS握手協(xié)議建立一條安全信道�����,以后所有的消息都受此安全信道的保護(hù);3��、策略判定點(diǎn)上的平臺(tái)身份管理服務(wù)和平臺(tái)安全屬性證明服務(wù)分別發(fā)送平臺(tái)身份認(rèn)證請(qǐng)求和平臺(tái)安全屬性認(rèn)證請(qǐng)求����,以及一個(gè)挑戰(zhàn)隨機(jī)數(shù)Nonce ;4����、接入終端中的終端網(wǎng)絡(luò)接入服務(wù)利用平臺(tái)身份密鑰AIK或PIK對(duì)TPM或TCM的PCR4、PCR8和PCR9中的完整性數(shù)據(jù)��,另外加上Nonce進(jìn)行簽名�����,將平臺(tái)身份證書(shū)���、AIK或PIK簽名、平臺(tái)完整性數(shù)據(jù)發(fā)送給策略判定點(diǎn)��;5����、策略判定點(diǎn)將平臺(tái)證書(shū)以及平臺(tái)身份簽名發(fā)送給平臺(tái)身份管理服務(wù)進(jìn)行驗(yàn)證���,平臺(tái)身份管理服務(wù)驗(yàn)證通過(guò)后將平臺(tái)身份簽名以及平臺(tái)完整性數(shù)據(jù)交給平臺(tái)安全屬性證明服務(wù)進(jìn)行驗(yàn)證;6�、平臺(tái)安全屬性證明服務(wù)按照如下映射管理完成平臺(tái)完整性-安全屬性的映射:6-1、用符號(hào)Pl標(biāo)記安全屬性:平臺(tái)擁有合法的TPM或TCM��,P2標(biāo)記安全屬性:PCR4的度量值等同于正?�?尚乓龑?dǎo)程序的度量值�����,P3標(biāo)記安全屬性:操作系統(tǒng)被度量至PCR8��,P4-vl到P4-Vm分別標(biāo)記安全屬性:PCR4的值滿(mǎn)足某個(gè)版本的操作系統(tǒng)度量值����,P5標(biāo)記安全屬性:系統(tǒng)安全軟件被度量至PCR9,P6-vl到P6-vn分別標(biāo)記安全屬性:PCR9的值滿(mǎn)足某個(gè)版本的系統(tǒng)安全軟件度量值��,P7標(biāo)記安全屬性:終端平臺(tái)的運(yùn)行環(huán)境可信���。終端已經(jīng)通過(guò)了 AIK或PIK簽名認(rèn)證��,所以滿(mǎn)足安全屬性Pl �����;6-2���、在滿(mǎn)足安全屬性Pl的基礎(chǔ)上�,如果終端完整性滿(mǎn)足P2����,則推導(dǎo)出終端完整性滿(mǎn)足安全屬性P3;6-3、檢查終端完整性是否滿(mǎn)足P4-vl到P4-vm的任意一條��,如果滿(mǎn)足則推導(dǎo)出終端完整性滿(mǎn)足安全屬性P5 ���;6-4�����、檢查終端完整性是否滿(mǎn)足P6-vl到P6_vn的任意一條,如果滿(mǎn)足則推導(dǎo)出終端完整性滿(mǎn)足安全屬性P7�。7、平臺(tái)安全屬性證明服務(wù)用自己的簽名密鑰對(duì)終端的最高安全屬性進(jìn)行簽名作為終端的安全屬性證書(shū)�����,并依據(jù)平臺(tái)身份和安全屬性認(rèn)證結(jié)果給出接入決策,最后通知策略執(zhí)行點(diǎn)執(zhí)行接入決策并將安全屬性證書(shū)發(fā)送給接入終端�����;8�����、接入終端將安全屬性證書(shū)擴(kuò)展到安全芯片PCRlO中����。3)終端訪(fǎng)問(wèn)網(wǎng)絡(luò)服務(wù),如圖3所示���,是本發(fā)明保護(hù)終端配置隱私的可信網(wǎng)絡(luò)接入方法一實(shí)施例中接入終端訪(fǎng)問(wèn)網(wǎng)絡(luò)服務(wù)的方法流程示意圖����,終端按照如下的方法對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行訪(fǎng)問(wèn):1���、接入終端向網(wǎng)絡(luò)服務(wù)提供方發(fā)送訪(fǎng)問(wèn)請(qǐng)求���;2�、網(wǎng)絡(luò)服務(wù)提供方向接入終端發(fā)送平臺(tái)身份����、平臺(tái)安全屬性、特定軟件配置信息認(rèn)證請(qǐng)求����,并發(fā)送一個(gè)挑戰(zhàn)隨機(jī)數(shù)Nonce ;3����、接入終端將特定軟件配置信息認(rèn)證請(qǐng)求將信息轉(zhuǎn)發(fā)給對(duì)應(yīng)的完整性組件收集組件,完整性收集組件收集相應(yīng)軟件的完整性信息并擴(kuò)展到PCRll中�����,然后接入終端利用平臺(tái)身份密鑰對(duì)保存在安全芯片PCRlO和PCRll中的平臺(tái)安全屬性證書(shū)和特定軟件配置信息的度量值以及網(wǎng)絡(luò)服務(wù)提供方的挑戰(zhàn)隨機(jī)數(shù)Nonce進(jìn)行簽名��,最后將平臺(tái)身份證書(shū)和此簽名發(fā)送給網(wǎng)絡(luò)服務(wù)提供方����;4、網(wǎng)絡(luò)服務(wù)提供方驗(yàn)證平臺(tái)身份簽名���、平臺(tái)安全屬性以及特定軟件的配置信息��,如果滿(mǎn)足訪(fǎng)問(wèn)要求�����,則允許此終端訪(fǎng)問(wèn)服務(wù)��。
權(quán)利要求
1.一種保護(hù)終端配置隱私的可信網(wǎng)絡(luò)接入方法����,將網(wǎng)絡(luò)中組件劃分為接入終端�����、策略執(zhí)行點(diǎn)�、策略判定點(diǎn)以及網(wǎng)絡(luò)服務(wù)提供方,其步驟為: 1)接入終端獲取平臺(tái)身份后接入網(wǎng)絡(luò)�,建立安全信道;沒(méi)有平臺(tái)身份的接入終端需要申請(qǐng)獲得平臺(tái)身份���; 2)接入終端通過(guò)策略執(zhí)行點(diǎn)進(jìn)行平臺(tái)安全屬性證明和平臺(tái)身份驗(yàn)證����; 2-1)當(dāng)所述接入終端接入網(wǎng)絡(luò)后�,通過(guò)所述策略判定點(diǎn)將終端的平臺(tái)身份和平臺(tái)完整性發(fā)送到平臺(tái)服務(wù)進(jìn)行驗(yàn)證�,該平臺(tái)服務(wù)對(duì)通過(guò)驗(yàn)證的平臺(tái)身份和完整性反饋身份驗(yàn)證結(jié)果以及頒發(fā)完整性安全證書(shū)����; 2-2)平臺(tái)身份和平臺(tái)安全屬性驗(yàn)證通過(guò)之后,策略判定點(diǎn)根據(jù)驗(yàn)證結(jié)果給出接入決策���,通知策略執(zhí)行點(diǎn)實(shí)施該決策�,并將安全證書(shū)和接入決策通知接入終端����; 3)所述接入終端接入網(wǎng)絡(luò)服務(wù),驗(yàn)證成功后對(duì)網(wǎng)絡(luò)進(jìn)行訪(fǎng)問(wèn)���; 3-1)所述網(wǎng)絡(luò)服務(wù)請(qǐng)求訪(fǎng)問(wèn)終端的平臺(tái)身份�����、安全屬性證書(shū)以及特定軟件的配置信息���; 3-2)所述接入終端利用平臺(tái)身份對(duì)自己的安全屬性證書(shū)以及特定軟件的完整性信息進(jìn)行簽名發(fā)送給網(wǎng)絡(luò)服務(wù), 3-2)所述網(wǎng)絡(luò)服務(wù)分別對(duì)平臺(tái)身份�、安全屬性證書(shū)以及特定軟件的完整性信息進(jìn)行驗(yàn)證,驗(yàn)證通過(guò)方可允許此終端訪(fǎng)問(wèn)。
2.如權(quán)利要求1所述的保護(hù)終端配置隱私的可信網(wǎng)絡(luò)接入方法��,其特征在于�,所述終端接入網(wǎng)絡(luò)的方法為: A�����、接入終端按照可信啟動(dòng)流程啟動(dòng)����,啟動(dòng)后向策略判定點(diǎn)發(fā)送網(wǎng)絡(luò)接入請(qǐng)求; B�、所述策略判定點(diǎn)與所述終端在網(wǎng)絡(luò)設(shè)備提供的通信信道上建立一條安全信道,之后該策略判定點(diǎn)和終端上所有的通信都在此安全信道內(nèi)進(jìn)行���; C��、所述策略判定點(diǎn)發(fā)送平臺(tái)身份證明請(qǐng)求和平臺(tái)完整性證明請(qǐng)求給終端��; D����、所述接入終端根據(jù)策略判定點(diǎn)的平臺(tái)完整性證明請(qǐng)求調(diào)用相應(yīng)的完整性收集組件完成完整性收集�,并將收集到的完整性數(shù)據(jù)列表用平臺(tái)身份密鑰簽名,然后發(fā)送給策略判定點(diǎn); E、所述策略判定點(diǎn)對(duì)終端發(fā)送過(guò)來(lái)的平臺(tái)身份密鑰簽名調(diào)用平臺(tái)身份管理服務(wù)進(jìn)行驗(yàn)證�����,驗(yàn)證通過(guò)后將完整性數(shù)據(jù)列表交給平臺(tái)安全屬性證明服務(wù)進(jìn)行平臺(tái)安全屬性證明���; F�����、平臺(tái)安全屬性證明服務(wù)根據(jù)屬性證明方法將平臺(tái)完整性數(shù)據(jù)列表映射為相應(yīng)的安全屬性����,并用平臺(tái)安全屬性證明服務(wù)的簽名密鑰對(duì)此安全屬性和平臺(tái)身份證書(shū)進(jìn)行簽名作為安全屬性證書(shū)�; G、所述策略判定點(diǎn)根據(jù)平臺(tái)身份管理服務(wù)和平臺(tái)安全屬性證明服務(wù)的驗(yàn)證結(jié)果給出接入決策�; H、策略判定點(diǎn)通知策略執(zhí)行點(diǎn)執(zhí)行接入決策�,并將接入結(jié)果以及安全屬性證書(shū)發(fā)送給接入終端; 1���、接入終端將安全屬性證書(shū)擴(kuò)展至安全芯片���。
3.如權(quán)利要求2所述的保護(hù)終端配 置隱私的可信網(wǎng)絡(luò)接入方法����,其特征在于����,所述屬性證明方法為: i在所述接入終端發(fā)送BootLoader、操作系統(tǒng)和系統(tǒng)安全軟件度量信息�����,以及平臺(tái)身份密鑰的簽名給策略判定點(diǎn)���; 策略判定點(diǎn)將簽名交給平臺(tái)身份管理服務(wù)進(jìn)行驗(yàn)證,驗(yàn)證通過(guò)后將終端完整性信息交給平臺(tái)安全屬性證明服務(wù)進(jìn)行驗(yàn)證����,平臺(tái)安全屬性證明服務(wù)利用自身的完整性-安全屬性映射方法給出終端滿(mǎn)足的最高級(jí)別安全屬性,然后對(duì)此安全屬性以及平臺(tái)身份證書(shū)進(jìn)行簽名作為接入終端的安全屬性證書(shū)��。
4.如權(quán)利要求3所述的保護(hù)終端配置隱私的可信網(wǎng)絡(luò)接入方法����,其特征在于,所述完整性-安全屬性映射的方法為: a���、符號(hào)標(biāo)記安全屬性的映射方式可按照如下方式進(jìn)行: 用符號(hào)Pl標(biāo)記安全屬性:平臺(tái)擁有合法的安全芯片���, P2標(biāo)記安全屬性:終端可信引導(dǎo)程序的度量值等同于正?����?尚乓龑?dǎo)程序的度量值�����,P3-vl到P3-vm分別標(biāo)記安全屬性:操作系統(tǒng)的度量值滿(mǎn)足某個(gè)類(lèi)型或版本的操作系統(tǒng)度量值��, P4-Vl到P4-vn分別標(biāo)記安全屬性:終端安全軟件的度量值滿(mǎn)足某個(gè)版本的系統(tǒng)安全軟件度量值���, P5標(biāo)記安全屬性:終端平臺(tái)的運(yùn)行環(huán)境可信。
b�����、終端已經(jīng)通過(guò)了平臺(tái)身份簽名認(rèn)證�,所以滿(mǎn)足安全屬性P1,及平臺(tái)擁有合法的安全-H-* I I心片�; C、在安全屬性Pl的基礎(chǔ)上�,檢查終端完整性是否滿(mǎn)足P2����,如果滿(mǎn)足則推導(dǎo)出終端的可信引導(dǎo)程序滿(mǎn)足安全性要求����,標(biāo)記平臺(tái)達(dá)到安全屬性P2級(jí)別; d���、在安全屬性P2的基礎(chǔ)上����,檢查終端完整性是否滿(mǎn)足P3-vl到P3-Vm的任意一條��,如果滿(mǎn)足則推導(dǎo)出終端的操作系統(tǒng)滿(mǎn)足安全性要求�,標(biāo)記平臺(tái)達(dá)到安全屬性P3級(jí)別����; e、在安全屬性P3的基礎(chǔ)上���,檢查終端完整性是否滿(mǎn)足P4-vl到P4-vn的任意一條�����,如果滿(mǎn)足則推導(dǎo)出終端的安全軟件滿(mǎn)足安全性要求�,標(biāo)記平臺(tái)達(dá)到安全屬性P4級(jí)別。
5.如權(quán)利要求1所述的保護(hù)終端配置隱私的可信網(wǎng)絡(luò)接入方法����,其特征在于,所述終端接入網(wǎng)絡(luò)服務(wù)的方法為: A���、經(jīng)過(guò)驗(yàn)證接入網(wǎng)絡(luò)的終端向網(wǎng)絡(luò)服務(wù)發(fā)送訪(fǎng)問(wèn)請(qǐng)求�; B��、網(wǎng)絡(luò)服務(wù)請(qǐng)求訪(fǎng)問(wèn)終端的安全屬性以及某個(gè)特定軟件的配置信息以及一個(gè)挑戰(zhàn)隨機(jī)數(shù)�; C、訪(fǎng)問(wèn)終端將 特定軟件度量至安全芯片�,然后對(duì)挑戰(zhàn)隨機(jī)數(shù)、安全屬性證書(shū)和網(wǎng)絡(luò)服務(wù)指定的軟件用平臺(tái)身份密鑰簽名并發(fā)送給網(wǎng)絡(luò)服務(wù)�����; D����、網(wǎng)絡(luò)服務(wù)對(duì)訪(fǎng)問(wèn)終端的安全屬性以及特定軟件配置進(jìn)行檢查,如果通過(guò)�����,則允許終端訪(fǎng)問(wèn)自身服務(wù),若果沒(méi)有通過(guò)���,則不允許終端訪(fǎng)問(wèn)自身服務(wù)�����,該終端需要重新進(jìn)行請(qǐng)求���。
6.如權(quán)利要求1所述的保護(hù)終端配置隱私的可信網(wǎng)絡(luò)接入方法,其特征在于�����,所述終端獲取平臺(tái)身份的方法如下: 接入終端與平臺(tái)身份管理服務(wù)通過(guò)TPM/TCM芯片支持的平臺(tái)身份申請(qǐng)協(xié)議���,比如PrivacyCA或DAA協(xié)議,協(xié)商平臺(tái)身份。
7.如權(quán)利要求1所述的保護(hù)終端配置隱私的可信網(wǎng)絡(luò)接入方法����,其特征在于,建立安全信道為: 網(wǎng)絡(luò)設(shè)備提供的802.1X框架����、VPN虛擬專(zhuān)用網(wǎng)絡(luò)IPsec����、TLS安全傳輸層協(xié)議內(nèi)的通信信道中一種或多種���。
8.如權(quán)利要求2所述的保護(hù)終端配置隱私的可信網(wǎng)絡(luò)接入方法���,其特征在于,接入終端可信啟動(dòng)的方法如下: 終端加電后平臺(tái)從靜態(tài)可信度量根CRTM開(kāi)始依次加載����、度量并運(yùn)行可信引導(dǎo)程序BootLoader、操作系統(tǒng)內(nèi)核以及系統(tǒng)安全軟件���,并將度量結(jié)果擴(kuò)展至安全芯片��。
9.如權(quán)利要求1所述的保護(hù)終端配置隱私的可信網(wǎng)絡(luò)接入方法���,其特征在于,所述終端上綁定有一或多個(gè)安全芯片TCM或TPM�。
10.一種保護(hù)終端配置隱私的可信網(wǎng)絡(luò)接入系統(tǒng),其特征在于,由接入終端����、策略執(zhí)行點(diǎn)、策略判定點(diǎn)和網(wǎng)絡(luò)服務(wù)組成��, 所述接入終端對(duì)應(yīng)于一接入網(wǎng)絡(luò)的終端平臺(tái)�����;包括網(wǎng)絡(luò)接入引擎��、終端網(wǎng)絡(luò)接入服務(wù)以及完整性收集組件��; 所述網(wǎng)絡(luò)接入引擎針對(duì)不同的網(wǎng)絡(luò)環(huán)境負(fù)責(zé)底層的網(wǎng)絡(luò)通信��,用于負(fù)責(zé)底層的網(wǎng)絡(luò)通 目; 所述終端網(wǎng)絡(luò)接入服務(wù)負(fù)責(zé)平臺(tái)身份的注冊(cè)和管理�����、平臺(tái)完整性消息的轉(zhuǎn)發(fā)以及完整性收集組件的管理����; 所述完整性收集組件負(fù)責(zé)終端某一方面的完整性數(shù)據(jù)收集�����,一個(gè)終端上可以有多個(gè)完整性收集組件; 所述策略執(zhí)行點(diǎn)負(fù)責(zé)具體接入策略的實(shí)施����,包括多個(gè)網(wǎng)絡(luò)接入設(shè)備; 所述策略判定點(diǎn)由平臺(tái)身份管理服務(wù)和平臺(tái)安全屬性證明服務(wù)組成�,平臺(tái)身份管理服務(wù)負(fù)責(zé)平臺(tái)身份的頒發(fā)、認(rèn)證以及撤銷(xiāo)等功能��,平臺(tái)安全屬性證明服務(wù)負(fù)責(zé)平臺(tái)安全屬性的認(rèn)證以及安全屬性證書(shū)的頒發(fā)功能�����; 所述網(wǎng)絡(luò)服務(wù) 可提供互聯(lián)網(wǎng)上的各類(lèi)網(wǎng)絡(luò)服務(wù)提供商提供的具體網(wǎng)絡(luò)服務(wù)����。
全文摘要
本發(fā)明涉及一種保護(hù)終端配置隱私的可信網(wǎng)絡(luò)接入方法及系統(tǒng),可信網(wǎng)絡(luò)接入系統(tǒng)由以下的實(shí)體組成接入終端����、策略執(zhí)行點(diǎn)、策略判定點(diǎn)和網(wǎng)絡(luò)服務(wù)�����,方法為1)接入終端獲取平臺(tái)身份后接入網(wǎng)絡(luò),建立安全信道���;沒(méi)有平臺(tái)身份的接入終端需要申請(qǐng)獲得平臺(tái)身份����;2)接入終端通過(guò)策略執(zhí)行點(diǎn)進(jìn)行平臺(tái)安全屬性證明和平臺(tái)身份驗(yàn)證�����;3)所述接入終端接入網(wǎng)絡(luò)服務(wù)�,驗(yàn)證成功后對(duì)網(wǎng)絡(luò)進(jìn)行訪(fǎng)問(wèn)。為網(wǎng)絡(luò)服務(wù)提供了終端安全屬性證明服務(wù)��,保護(hù)了終端平臺(tái)的配置隱私�。
文檔編號(hào)H04L9/32GK103152350SQ20131008230
公開(kāi)日2013年6月12日 申請(qǐng)日期2013年3月14日 優(yōu)先權(quán)日2013年3月14日
發(fā)明者趙世軍, 初曉博, 張倩穎, 秦宇, 馮偉 申請(qǐng)人:中國(guó)科學(xué)院軟件研究所