一种基于身份的可信网络架构制造技术

一种基于身份的可信网络架构，属于信息安全技术领域；它包括三个层次三个实体，三个层次是：物理传输层、互联网络层和应用程序层；三个实体是：网络访问发起者、网络访问控制者和安全策略服务者；本可信网络架构采用基于访问者身份的矢量加密认证机制，保证所有网络访问请求都是和访问者实体捆绑的加密数据流，访问控制方只要用自己的身份标识和访问请求标识的身份信息对请求数据解密能够得到正确的校验值，就实现了双向对等的身份鉴别，然后由访问控制组件和安全监督组件对权限和内容进行评估和检验，确保所有访问请求都是安全地，不安全的访问请求被拒绝，从而实现可信的网络连通架构。

【技术实现步骤摘要】

本专利技术属于信息安全
，具体涉及到一种基于身份的可信网络连接 架构。
技术介绍
目前，公知的可信网络连接规范和架构有国际可信计算组织TCG (Trusted Computing Group)的TCG~TNC(Trusted Network Connect), TNC包括了开方夂终端完整性架构和一套确保安全互操作的技术标准，该标准实质就是从可信终端 开始建立可信网络连接，它借助可信计算平台模块PTM来武装所有终端和主机， 并在可信网络内部部署可信度量平台、安全策略平台和访问控制平台，首先对 接入可信网络的终端进行设备、身份认证，然后收集该终端的安全状况信息， 度量其可信性和安全性，最后再依照安全策略判定该终端是否被允许接入可信 网络，对于违反安全策略的终端则采取隔离修复的措施，直至符合安全策略为 止。中国对可信网络的研究起步比较早，理论上比较系统但真正公开的、有影 响力的成功技术规范不多，专利200710176091.4和专利200710019094.7是国内 目前可以查到的两款可信网络架构方面的公开文献，这两项专利都是在TNC的 基础上，使用不同的策略来实现可信网络的接入控制。通过仔细研究国内外有关可信网络的研究和架构，可以发现，定义可信网 络都是用网络和用户的行为及其结果总是可预期与可管理的，这种定义有失偏 颇，可信网络是一个大的概念，含盖着全网安全可信，而不是在不安全的大网 中创建一个可信的小网。那么在国际互联网络中，首先是如何评估终端的安全 性，如何收集终端的安全状况信息，由谁来收集，安全策略由谁来制定等等问 题是一个不易落实的问题；第二，收集终端安全信息是一个比较敏感的问题， 牵涉到个人隐私问题，再则，即便用户不计较隐私问题，而可信终端是以PTM 模块为依托，内部所有信息都是加了密的，要收集终端的安全信息惟有采用报 告制，那么这种报告制可信度有多高呢，度量平台如何确认这些信息不是虚假 的呢？第三，可信网络架构和技术规范，仍然使用现有的基础技术，没有什么 创新和突破，只不过是老套的技术改头换面赋予了新名称，能否真正实现安全 可信值得怀疑，这可能就是TNC架构出台至今没有一款象样的产品进入市场的根本原因。
技术实现思路
本专利技术的目的在于提供一种基于用户身份的可信网络架构，以实现全网可 信的大网络架构，让所有终端不能向网络注入不安全因素，更不允许不安全因 素进入终端或主机，自然地实现整个国际互联网络的安全、可信，它可包容现 有的所有网络基础设施和不安全的计算机终端，让使用者自觉自愿地服从终端 安全规则，否则就会变成大海中的孤舟，无法和别人交流。由于所有终端的网 络行为都是和使用终端的实体严格捆绑， 一旦有恶意用户向网络注入不安全因 素将会被立即发现，并被立即驱逐出网络，从而形成合法用户不敢犯罪，非法 用户无法犯罪的可信网络环境。本专利技术是基于可信计算技术的可信网络连接架构，采用基于身份的矢量加密认证PTM模块来支撑可信网络连接，是一种有别于TNC结构的可信网络连 接架构；目的是保证在网络中流通的任何一则信息，都能够在法定的系统证明 自己的来龙去脉，没有被篡改和伪造，没有夹带不安全因素，也无法超越网络 赋予的权限，并且有一个现实实体对该信息负责，则这样的网络就是可信网络。本专利技术的可信平台模块PTM采用包容的态度，不去费精淘神地扫描系统内 部的所有组件的安全性，也不承认外来的安全表白，只是严密地监视出入系统 的所有数据，让数据自己证明自己，只要不违反安全原则，就允许数据出入， 一旦违反安全原则，除了阻止数据出入外，还向数据源发出警告，如果使用者 不听劝告，对于系统内部则关闭网络服务功能与网络隔离，对于外部的则产生 广播数据报，告诉全网某个身份标识的使用者有危险倾向。那些未采用可信平 台模块PTM的终端使用者，由于不能和可信网络终端沟通而被隔离，则无法对 可信网络构成威胁。一种基于身份的可信网络架构，它包括三个层次三个实体，三个层次是 物理传输层、互联网络层和应用程序层；三个实体是网络访问发起者、网络 访问控制者和安全策略服务者。本方案的可信网络架构采用基于访问者身份的 矢量加密认证基础技术，保证所有网络访问请求都是和访问者实体捆绑的加密 数据流，访问控制方只要用自己的身份标识和访问请求标识的身份信息对请求 数据解密能够得到正确的校验值，就实现了双向对等的身份鉴别，然后由访问 控制组件和安全监督组件对权限和内容进行评估和检验，确保所有访问请求都是安全地，不安全的访问请求被拒绝，从而实现可信的网络连通架构。1、 基本的可信网络架构一种基于身份的可信网络架构如图1所示。本可信网络架构规定了基于身份的可信网络架构的功能层次和各个层次的 网络实体，最简捷的可信网络架构包括三个层次物理链路层、互联网络层和 应用层，三个网络实体网络访问发起者、网络访问控制者和安全策略服务者； 各实体包含一些功能组件，各组件之间存在一些接口。2、 层次基于身份的可信网络架构分为三个层次物理链路层本层次只对物理线路中的数据流提供数据流向保护，杜绝由 于链露层数据的透明性对网络造成的威胁。本层采用基于网卡的加密机制，可 以实现数据的机密性和对等的设备身份鉴别。互联网络层本层次在原网络层次功能的基础上，增加三个功能组件，完 成网络大门的双向守护。其主要功能是，对原IP包执行基于身份的矢量加密处 理，对外来的访问请求IP包进行解密处理，通过判定完整性实现对等的身份鉴 别和数据原发鉴别；依据强制访问数据库的内容判定该网络访问请求是否被允 许，对允许的访问数据内容进行安全检查，确保进入终端或主机的数据是安全 的，同样还要对外出的访问数据进行安全检查，防止不安全因素进入网络，对 于内部的不安全因素在发出安全警报无法制止时，将关闭网络通道，切断与网 络的连接，以确保网络安全。应用层通过网络和第三方服务实体完成对等身份鉴别，访问者的身份认 证以及安全策略和病毒防治数据库的共享；接受使用者简单的安全策略和授权 信息设置；向网络层提供授权信息及安全监督策略；响应网络层的安全事件产 生安全警报。3、 实体网络访问发起者请求网络访问的实体，其功能是发出访问请求，完成与 访问控制者的对等身份鉴别和数据源宿鉴别；它通过安全策略服务者获得被访 问者的身份信息和安全策略，保证发出的访问请求信息是安全的访问信息。该 实体包括下述组件通讯业务流保护组件、加密认证组件、访问控制组件、安 全监督组件和安全策略管理组件。网络访问控制者被访问的网络实体，其功能为接收网络访问发起者的访 问请求数据，，完成与访问者对等的身份鉴别和数据原发鉴别以及访问者的访问 权限判别，如果允许访问，还要检查请求数据内容的安全性。它通过安全策略 服务者获得访问者的身份信息和安全策略，保证交给上层的访问请求信息是安 全的。该实体包括下述组件通讯业务流保护组件、加密认证组件、访问控制 组件、安全监督组件和安全策略管理组件。安全策略服务者该实体包括下述组件通讯业务流保护组件、加密认证 组件、访问控制组件、安全监督组件和安全策略管理组件，额外的组件还包括 救援中心组件、服务中心组件和登记注册远程终端。安全策略服务者是按区域 分布在国际互联网络中的第三方权烕实体网站，其作用相当于目前公钥基础设本文档来自技高网...

【技术保护点】
一种基于身份的可信网络架构，其主要技术特征是：本可信网络架构采用基于访问者身份的矢量加密认证基础技术，保证所有网络访问请求都是和访问者实体捆绑的加密数据流，访问控制方只要用自己的身份标识和访问请求标识的身份信息对请求数据解密能够得到正确的校验值，就实现了双向对等的身份鉴别，然后由访问控制组件和安全监督组件对权限和内容进行评估和检验，确保所有访问请求都是安全地，不安全的访问请求被拒绝，从而实现可信的网络连通架构。

【技术特征摘要】
1、一种基于身份的可信网络架构，其主要技术特征是本可信网络架构采用基于访问者身份的矢量加密认证基础技术，保证所有网络访问请求都是和访问者实体捆绑的加密数据流，访问控制方只要用自己的身份标识和访问请求标识的身份信息对请求数据解密能够得到正确的校验值，就实现了双向对等的身份鉴别，然后由访问控制组件和安全监督组件对权限和内容进行评估和检验，确保所有访问请求都是安全地，不安全的访问请求被拒绝，从而实现可信的网络连通架构。2、 如权利要求l所述的一种基于身份的可信网络架构，其特征在于它包 括三个层次，物理链路层本层采用基于网卡的加密机制，可以实现数据的机密性和对 等的设备身份鉴别，对物理线路中的数据流提供数据流向保护，杜绝由于链露 层数据的透明性对网络造成的威胁。互联网络层本层次在原网络层次功能的基础上，增加三个功能组件，对 原IP包执行基于身份的矢量加密处理，对外来的访问请求IP包进行解密处理， 通过判定完整性实现对等的身份鉴别和数据原发鉴别，依据强制访问数据库的 内容判定该网络访问请求是否被允许，对允许的访问数据内容进行安全检查， 确保进入终端或主机的数据是安全的，同样还要对外出的访问数据进行安全检 査，防止不安全因素进入网络，对于内部的不安全因素在发出安全警报无法制 止时，将关闭网络通道，切断与网络的连接，以确保网络安全。应用层设置安全策略管理组件，通过网络和第三方服务实体完成对等身 份鉴别，访问者的身份认证以及安全策略和病毒防治数据库的共享，接受使用 者简单的安全策略和授权信息设置，向网络层提供授权信息及安全监督策略， 应网络层的安全事件产生安全警报。3、 如权利要求l所述的一种基于身份的可信网络架构，其特征在于该可 信网络架构包含三个实体，网络访问发起者请求网络访问的实体，其功能是发出访问请求，完成与 访问控制者的对等身份鉴别和数据源宿鉴别；它通过安全策略服务者获得被访 问者的身份信息和安全策略，保证发出的访问请求信息是安全的访问信息。该 实体包括下述组件通讯业务流保护组件、加密认证组件、访问控制组件、安 全监督组件和安全策略管理组件。网络访问控制者被访问的网络实体，其功能为接收网络访问发起者的访问请求数据，，完成与访问者对等的身份鉴别和数据原发鉴别以及访问者的访问 权限判别，如果允许访问，还要检查请求数据内容的安全性。它通过安全策略 服务者获得访问者的身份信息和安全策略，保证交给上层的访问请求信息是安 全的。该实体包括下述组件通讯业务流保护组件、加密认证组件、访问控制 组件、安全监督组件和安全策略管理组件。安全策略服务者安全策略服务者是按区域分布在国际互联网络中的第三 方权威实体网站，其作用相当于目前公钥基础设施的CA中心，它分为三部分， 救援中心、服务中心和登记注册机构。负责制定和分发网络访问和病毒防止安 全策略，收集并向网络提供所有合法网络用户的身份信息和诚信等级信息，响 应救援请求信息对请求者实施远程救援。4、如权利要求l所述的基于身份的可信网络架构，其特征在于它具有下述 功能组件服务中心只接受各地区权威登记注册机构的登记注册资料的写入或修改， 对可信网络只提供安全策略管理实体的用户身份、用户信用等级查询业务和警 示危险用户，并定时或及时地为登记注册用户安全策略管理实体提供安全策略 和网络黑名单。用户不通过安全策略管理实体或者没有经过登记注册是无法登 陆该实体站点的。救援中心只接受安全策略管理组件的救援请求，及时处理突发事件。登记注册机构负责创建网络用户的基础数据库，它将申请用户的现实身份 信息和该用户持有的网络身份证的空间代码，组成一条数据库记录上传至安全 策略服务者实体网站数据库并在全网公开，从而将用户的现实身份与该用户的 网络行为捆绑，直接地实现网络实名制。安全策略管理组件是可信网络中每台终端或主机系统应用层的一个驻留组 件，它有两个接口， 一个接口供终端用户简单地设置访问本终端的许可策略、 安全策略；另一个接口通过网络与权威的安全策略服务者经过对等身份鉴别后 实现安全策略、病毒防范的共享，内部则向访问控制实体、安全监督实体提供 安全策略、访问策略、黑名单和及时处理异常事件。安全监督组件是布置在网络层的一个双向安全组件，所有进出终端或主机 的数据都必须经过安全监督组件，它接受上层安全策略管理组件的安全策略和 继承加密认证组件、访问控制组件传递的身份认证信息，然后依照上层传递过 来的授权信息...

【专利技术属性】
技术研发人员：冯振周，冯龙，冯帆，
申请(专利权)人：冯振周，
类型：发明
国别省市：41[中国|河南]