网络接入证明双向度量的方法和系统技术方案

本发明专利技术提供一种网络接入证明双向度量的方法和系统，在访问终端对内部网络发起网络访问请求时，内部网络度量服务器不仅度量访问终端的可信平台可信属性，确定请求端的是否可信，而且度量内部网络各功能节点的可信状态。当访问终端通过了可信平台的可信度量，允许访问终端接入到内部网络时，发送内部网络各功能节点的可信状态给访问终端，实现了双向可信证明，避免了单独度量外部访问终端的可信状态而忽略了内部网络节点的度量，保证了内外部网络的双向可信。

【技术实现步骤摘要】
网络接入证明双向度量的方法和系统
本专利技术涉及系统软、硬件信息度量和认证协议领域，特别是涉及一种双向设备可信属性信息获取和认证的方法和系统。
技术介绍
随着信息化和网络化的快速发展，人们对于网络资源的接入和访问越来越频繁，并因此产生了很多安全问题，如病毒和黑客入侵直接导致了信息泄露，造成了巨大的经济损失。可信计算组织(TrustedComputingGroup，TCG)在网络接入控制方面提出了可信网络连接(TrustedNetworkConnection，TNC)，此外，微软和思科都提出了各自关于网络接入控制的系统架构。现有的网络接入控制一般是基于身份认证的，系统通过终端设备的用户输入用户名、密码，认证用户身份的合法性，但是无法保证终端设备的安全性，如可能存在合法的用户利用被感染或者被入侵的终端进行网络接入行为，当用户接入到网络可能导致整个网络信息的不可信。可信网络连接提供了终端设备度量的概念，在认证用户身份的前提下，也对终端设备的安全可信进行验证，但是，可信网络连接是默认内部网络可信的。传统的证书认证，也只能证明网络整体的可信，也无法证明网络各节点的可信；现实中，存在着未确定安全可信的网络，或者安全可信网络下的某一个节点已经被感染或者攻击，无法保证终端用户的可信
技术实现思路
基于此，有必要针对内部网络各节点可信状态无法确定的问题，提供一种网络接入证明双向度量的方法和系统。一种网络接入证明双向度量的方法，包括如下步骤：根据访问终端的访问请求，发起身份认证请求，认证服务器接收身份认证信息，并对请求用户进行身份认证；若身份认证通过，认证服务器向访问终端和内部网络的资源服务器发出度量命令；访问终端接收到度量命令后，收集终端设备的可信度量信息，提交至认证服务器；资源服务器收到度量命令后，收集各内部节点的可信状态信息，提交至认证服务器；认证服务器接收所述可信度量信息和可信状态信息，并存储所述可信状态信息；认证服务器中的完整性度量认证器验证所述可信度量信息和可信状态信息，判断访问终端是否符合可信策略要求；根据判断的结果，若访问终端符合可信策略要求，则认证服务器发送接入命令到接入执行单元控制其接入访问终端，并将存储的可信状态信息转发至访问终端；若不符合可信策略要求，则认证服务器发送拒绝接入命令到接入执行单元控制其拒绝接入访问终端，并将存储的可信状态信息丢弃。一种网络接入证明的双向度量系统，包括：接入请求模块、接入执行模块、接入认证模块以及内部网络模块；接入请求模块，用于发起网络访问请求，接收接入执行模块和接入认证模块的消息信息，收集可信属性度量信息，传输和接收身份认证信息和访问终端的度量信息；接入执行模块，用于执行访问终端的请求接入和执行操作，并接收和转发接入请求模块和接入认证模块的消息；接入认证模块，用于根据可信策略要求对访问终端的可信度量信息和内部网络节点的可信状态信息进行验证及产生策略决定，接入和发送与接入请求模块的信息；内部网络模块，用于执行对内部网络各个资源节点的管理，收集内部网络节点的可信状态信息。上述网络接入证明双向度量的方法和系统，通过对请求接入网络的终端进行身份认证和可信属性度量，对内部网络节点进行可信状态信息度量，使得内部网络确定终端用户和设备的安全可信，同时，终端在证明用户和设备可信的前提下，获取内部节点的可信状态信息，用户确定了网络的可信，达到双向信任。附图说明图1为一个实施例的网络接入证明双向度量的方法流程图；图2为基于一种网络环境网络下的接入证明双向度量的方法的原理框图；图3为一个实施例的网络接入证明双向度量的系统结构示意图；图4为内部网络的资源服务器的结构示意图。具体实施方式以下参照图表对本专利技术的网络接入证明双向度量的方法和系统的具体实施方式进行详细阐述说明。本专利技术的网络接入证明双向度量的方法包括以下步骤：步骤(1)，根据访问终端的访问请求，发起身份认证请求，认证服务器接收身份认证信息，并对请求用户进行身份认证；若身份认证通过，认证服务器向访问终端和内部网络的资源服务器发出度量命令；步骤(2)，访问终端接收到度量命令后，收集终端设备的可信度量信息，提交至认证服务器；资源服务器收到度量命令后，收集各内部节点的可信状态信息，提交至认证服务器；步骤(3)，认证服务器接收所述可信度量信息和可信状态信息，并存储所述可信状态信息；步骤(4)，认证服务器中的完整性度量认证器验证所述可信度量信息和可信状态信息，判断访问终端是否符合可信策略要求；步骤(5)，根据判断的结果，若访问终端符合可信策略要求，则认证服务器发送接入命令到接入执行单元控制其接入访问终端，并将存储的可信状态信息转发至访问终端；若不符合可信策略要求，则认证服务器发送拒绝接入命令到接入执行单元控制其拒绝接入访问终端，并将存储的可信状态信息丢弃。在一个实施例中，步骤(2)中的访问终端收集终端设备的可信度量信息的方法包括：利用访问终端的完整性度量收集器收集终端设备的可信度量信息；资源服务器收集各内部节点的可信状态信息的方法包括：利用内部网络的完整性度量收集器收集内部网络节点的可信状态信息。在一个实施例中，步骤(2)中的所述可信度量信息包括：可信链的长度、BIOS自检摘要值、内核版本信息摘要值、系统版本摘要值、防火墙软件的签名信息、杀毒软件签名及杀毒软件兵符库信息、客户端版本摘要值信息；所述可信状态信息包括：内部节点的硬件版本信息、内部节点迁移信息。在一个实施例中，步骤(4)中的验证所述可信度量信息和可信状态信息的方法包括：验证所述可信度量信息的各摘要值是否和正确的可信摘要值相一致；以及验证所述可信状态信息的配置和操作是否符合可信要求。在一个实施例中，本专利技术的网络接入证明双向度量的方法，还可以包括如下步骤：当拒绝接入访问终端的访问请求时，发送拒绝访问信息的提示信息到访问终端；当身份认证不通过时，认证服务器发送提示信息到访问终端；当访问终端不符合可信策略要求时，认证服务器发送提示信息到请求的访问终端。本专利技术的网络接入证明双向度量的方法，通过对访问终端和内部节点进行可信属性或可信状态的度量，确定外部接入终端和内部节点的可信性，根据外部终端的度量结果，决定内部度量状态信息是否转发外部终端，再进一步验证了访问终端的可信状态，也保证了访问终端对内部网络的可信状态的信任以及对外部终端的可信保护。通过上述技术方案，可以使得内部网络确定终端用户和设备的安全可信，同时，终端在证明用户和设备可信的前提下，获取内部节点的可信状态信息，用户确定了网络的可信，达到双向信任。为了更加清晰本专利技术的网络接入证明双向度量的方法的技术方案，下面结合附图1阐述一个具体实施例。参考图1所示，图1为一个实施例的网络接入证明双向度量的方法流程图，主要包括以下步骤：步骤S110，根据访问终端的访问请求和所提交的用户名和密码，认证服务器对访问终端用户的身份进行认证，确定用户的身份是否合法，若合法，则认证服务器发出收集命令给访问终端和内部网络的资源服务器；若不合法，则认证服务器发送拒绝命令给执行单元，拒绝访问终端的访问，然后等待下一个访问终端的请求。步骤S120，访问终端等待接收认证服务器的信息，若要求度量，则利用访问终端的完整性度量收集器(IntegrityMeasurementC本文档来自技高网...

【技术保护点】
一种网络接入证明双向度量的方法，其特征在于，包括如下步骤：根据访问终端的访问请求，发起身份认证请求，认证服务器接收身份认证信息，并对请求用户进行身份认证；若身份认证通过，认证服务器向访问终端和内部网络的资源服务器发出度量命令；访问终端接收到度量命令后，收集终端设备的可信度量信息，提交至认证服务器；资源服务器收到度量命令后，收集各内部节点的可信状态信息，提交至认证服务器；认证服务器接收所述可信度量信息和可信状态信息，并存储所述可信状态信息；认证服务器中的完整性度量认证器验证所述可信度量信息和可信状态信息，判断访问终端是否符合可信策略要求；根据判断的结果，若访问终端符合可信策略要求，则认证服务器发送接入命令到接入执行单元控制其接入访问终端，并将存储的可信状态信息转发至访问终端；若不符合可信策略要求，则认证服务器发送拒绝接入命令到接入执行单元控制其拒绝接入访问终端，并将存储的可信状态信息丢弃。

【技术特征摘要】
1.一种网络接入证明双向度量的方法，其特征在于，包括如下步骤：根据访问终端的访问请求，发起身份认证请求，认证服务器接收身份认证信息，并对请求用户进行身份认证；若身份认证通过，认证服务器向访问终端和内部网络的资源服务器发出度量命令；访问终端接收到度量命令后，收集终端设备的可信度量信息，提交至认证服务器；资源服务器收到度量命令后，收集各内部节点的可信状态信息，提交至认证服务器；其中，所述可信度量信息包括：可信链的长度、BIOS自检摘要值、内核版本信息摘要值、系统版本摘要值、防火墙软件的签名信息、杀毒软件签名及杀毒软件兵符库信息、和客户端版本摘要值信息；所述可信状态信息包括：内部节点的硬件版本信息和内部节点迁移信息；认证服务器接收所述可信度量信息和可信状态信息，并存储所述可信状态信息；认证服务器中的完整性度量认证器验证所述可信度量信息和可信状态信息，判断访问终端是否符合可信策略要求；其中，验证所述可信度量信息和可信状态信息的方法包括：验证所述可信度量信息的各摘要值是否和正确的可信摘要值相一致；验证所述可信状态信息的配置和操作是否符合可信要求；根据判断的结果，若访问终端符合可信策略要求，则认证服务器发送接入命令到接入执行单元控制其接入访问终端，并将存储的可信状态信息转发至访问终端；若不符合可信策略要求，则认证服务器发送拒绝接入命令到接入执行单元控制其拒绝接入访问终端，并将存储的可信状态信息丢弃。2.根据权利要求1所述的网络接入证明双向度量的方法，其特征在于，访问终端收集终端设备的可信度量信息的方法包括：利用访问终端的完整性度量收集器收集终端设备的可信度量信息；资源服务器收集各内部节点的可信状态信息的方法包括：利用内部网络的完整性度量收集器收集内部网络节点的可信状态信息。3.根据权利要求1或2所述的网络接入证明双向度量的方法，其特征在于，还包括：当拒绝接入访问终端的访问请求时，发送拒绝访问信息的提示信息到访问终端；当身份认证不通过时，认证服务器发送提示信息到访问终端；当访问终端不符合可信策略要求时，认证服务器发送提示信息到请求的访问终端。4.一种网络接入证明双向度量的系统，其特征在于，包括：接入请求模块、接入执行模块、接入认证模块以及内部网络模块；接入请求模块，用于发起网络访问请求，接收接入执行模块和接入认证模...

【专利技术属性】
技术研发人员：胡朝辉，梁志宏，梁智强，江泽鑫，林丹生，李闯，崔善童，孟德伟，王超，
申请(专利权)人：广东电网公司电力科学研究院，中标软件有限公司，
类型：发明
国别省市：广东;44