CN101350721B - 一种网络***、网络接入方法及网络设备 - Google Patents
一种网络***、网络接入方法及网络设备 Download PDFInfo
- Publication number
- CN101350721B CN101350721B CN2007101299951A CN200710129995A CN101350721B CN 101350721 B CN101350721 B CN 101350721B CN 2007101299951 A CN2007101299951 A CN 2007101299951A CN 200710129995 A CN200710129995 A CN 200710129995A CN 101350721 B CN101350721 B CN 101350721B
- Authority
- CN
- China
- Prior art keywords
- equipment
- network
- access
- access control
- network device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 16
- 238000012795 verification Methods 0.000 claims description 85
- 238000011156 evaluation Methods 0.000 claims description 75
- 238000005259 measurement Methods 0.000 claims description 46
- 238000011217 control strategy Methods 0.000 claims description 44
- 230000003993 interaction Effects 0.000 claims description 43
- 238000012544 monitoring process Methods 0.000 claims description 39
- 230000006399 behavior Effects 0.000 description 81
- 238000010586 diagram Methods 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 9
- 101100260895 Mus musculus Tnnc2 gene Proteins 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 208000033748 Device issues Diseases 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012854 evaluation process Methods 0.000 description 1
- 208000037916 non-allergic rhinitis Diseases 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- VEMKTZHHVJILDY-UHFFFAOYSA-N resmethrin Chemical compound CC1(C)C(C=C(C)C)C1C(=O)OCC1=COC(CC=2C=CC=CC=2)=C1 VEMKTZHHVJILDY-UHFFFAOYSA-N 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种可信的网络接入***及相关设备。其中所述***包括:第一网络设备,用于获取来自第三网络设备的接入请求,获取对第三网络设备的可信性验证结果,根据所述验证结果执行相应的接入控制;以及,请求第二网络设备对第一网络设备进行可信性验证;第二网络设备,用于根据第一网络设备的请求对所述第一网络设备的可信性进行验证,并将对第一网络设备的可信性验证结果提供给第三网络设备。本发明满足了接入请求设备对接入控制设备的信任需求,增强了接入请求设备对网络的信任,整体上提高了接入的安全性。
Description
技术领域
本发明涉及网络安全技术,尤其是一种网络***、网络接入方法及相关设备。
背景技术
当传统的终端安全技术(Antivirus、Desktop Firewall等)努力保护被攻击的终端时,它们对于保障网络的可使用性却无能为力,更不要说能确保网络的弹性与损害恢复能力。
基于上述需求,目前出现了几种网络安全接入技术,这些技术的主要思路是从终端着手,通过管理员指定的安全策略,对接入私有网络的终端进行安全性检测,自动拒绝不安全的终端接入以保护网络直到这些终端符合网络内的安全策略为止。目前具有代表性的技术包括:思科的网络接入控制NAC技术,微软的网络接入保护技术NAP以及TCG组织的可信网络连接TNC技术等。
所述TNC的***架构中主要包括三个实体、三个层次和若干个接口组件等。该架构在传统的网络接入层(Network Access Layer)基础上增加完整性评估层和完整性度量层,用于实现平台间的完整性验证,以达到可信性、完整性和安全性验证的目的。
所述TNC架构中的三个实体分别为:访问请求者(the Access Requestor:AR)、策略执行者(Policy Enforcement Point:PEP)和策略决策者(PolicyDecision Point:PDP)。其中:
接入请求者,功能包括:发出访问请求,收集平台完整性可信信息并发送给PDP,从而建立网络连接。该实体包括以下组件:网络接入请求者(NAR)负责发出访问请求,建立网络连接,在一个AR上可以有几个不同的NAR,用于建立同网络的不同连接;完整性测量收集器(IMC)执行测量AR的完整性属性,在一个AR上可以有多个不同的IMC;TNC客户(TNCC)负责汇总来自IMC的完整性测量信息,并且负责测量和报告平台以及IMC自身的完整性信息。
策略执行者,用于控制对被保护网络的访问;策略执行者(PEP)咨询策略决策者(PDP)来决定访问是否应该被执行。
策略决策者,用于对AR的访问请求进行决策判定,判定结果为允许/禁止/隔离。该实体包括以下三个组件:网络接入授权(NAA)、TNC服务器(TNCS)和完整性测量鉴别器(IMV);其中,NAA咨询TNCS来决定AR的完整性状态是否同NAA的安全策略相一致,从而决定AR的访问请求是否被允许;TNCS负责控制IMV和IMC之间的信息流动,汇总来自IMV的访问决定,并形成一个全局的访问决定,传递给NAA;IMV负责对从IMC接收到的关于AR的完整性测量值进行鉴别,并做出访问决定。
所述TNC架构的三个层次分别为:网络接入层(Network Access Layer)、完整性评估层(Integrity Evaluation Layer)和完整性度量层(IntegrityMeasurement Layer);其中:
网络接入层(Network Access Layer):用于支持传统的网络连接技术,如802.1X,VPN,AAA Server等机制。在这一层里面有三个实体:NAR、PEP和NAA。
完整性评估层(Integrity Evaluation Layer):负责评估所有请求访问网络的实体的完整性。这一层和上层有两个重要的接口:IF-IMC(IntegrityMeasurement Collector Interface)和IF-IMV(Integrity Measurement VerifierInterface)。其中,IF-IMV是IMC同TNCC之间的接口。该接口的主要功能是从IMC收集完整性测量值,并支持IMC同IMV之间的信息流动;IF-IMV是IMV和TNCS之间的接口,该接口的主要功能是将从IMC得到的完整性测量值传递给IMV,支持IMC同IMV之间的信息流动,将IMV所做出的访问决定传递给TNCS。
完整性度量层(Integrity Measurement Layer):收集和校验请求访问者的完整性相关信息。
在对现有技术的研究和实践过程中,发明人发现现有技术至少存在以下问题:现有的网络安全接入中只从网络侧的需求出发,对处于接入请求设备的用户终端进行安全性检测,而没有考虑用户终端对网络的信任需求;并且进一步的,用户入网后,没有考虑用户的行为对安全的影响。
发明内容
本发明一实施例要解决的技术问题是提供一种网络***,能够实现用户对网络的信任选择。
为解决上述技术问题,本发明所提供的网络***实施例是通过以下技术方案实现的。包括:第一网络设备,第二网络设备和第三网络设备,其中,第一网络设备,用于获取来自第三网络设备的接入请求,获取对第三网络设备的可信性验证结果,根据所述验证结果执行相应的接入控制;以及,请求第二网络设备对第一网络设备进行可信性验证;第二网络设备,用于根据第一网络设备的请求对所述第一网络设备的可信性进行验证,并将对第一网络设备的可信性验证结果提供给第三网络设备。
本发明所提供的网络设备第一实施例是通过以下技术方案实现的。包括:第一交互单元,第二交互单元,接入控制执行部件和平台可信评估部件;其中,第一交互单元,用于与接入请求设备进行信息交互,所述信息包括:获取第三网络设备的接入请求,接入请求设备的身份信息;第二交互单元,用于与可信第三方设备进行信息交互;接入控制执行部件,用于获取接入请求设备身份信息的验证结果,若所述身份信息验证结果为通过验证,则通知平台可信评估部件对第三网络设备进行平台可信性验证;按照平台可信评估部件的接入控制策略对第三网络设备执行接入控制;平台可信评估部件,用于根据第一交互单元获取到的接入请求设备的平台可信性度量信息,对所述可信性度量信息进行验证,根据验证结果将相应的接入控制策略发送到接入控制执行部件;通过第二交互单元请求可信第三方设备对接入请求设备的可信性进行评估。
本发明所提供的网络设备第二实施例是通过以下技术方案实现的。包括:接收单元,用于接收接入控制设备的信息,包括接入控制设备的身份信息;可信身份权威部件,用于对设备身份进行认证,包括:对接入控制设备身份进行验证并得到可信身份证明;发送单元,用于发送所述可信身份证明。
本发明所提供的网络设备第三实施例是通过以下技术方案实现的。包括:发送单元、接收单元、接入请求部件和平台可信服务代理;其中,发送单元,用于发送信息,包括发送接入请求部件生成的网络接入请求,发送平台可信服务代理收集的平台可信性度量信息;接收单元,用于接收信息,包括获取接入控制设备的身份可信证明;获取接入控制设备的平台可信性评估结果;接入请求部件,用于生成网络接入请求;验证接收单元获取的身份可信证明,若通过验证,则根据接入控制设备的许可建立连接;平台可信服务代理,用于请求对接入控制设备的平台可信性评估;收集平台可信性度量信息;对获取到的接入控制设备的平台可信性评估结果进行验证,若通过,则通知接入请求部件接受接入控制设备的接入控制。
本发明所提供的网络接入方法实施例是通过以下技术方案实现的:第一网络设备获取来自第三网络设备的接入请求,获取对第三网络设备的可信性验证结果,根据所述验证结果执行相应的接入控制;请求第二网络设备对第一网络设备进行可信验证;第二网络设备根据第一网络设备的请求对所述第一网络设备的可信性进行验证,将对第一网络设备的可信性验证结果提供给第三网络设备。
上述技术方案具有如下有益效果:与现有技术相比,由于在网络接入控制***中增加了可信第三方设备用于对接入控制设备执行可信性验证,使得接入请求设备可以根据可信第三方对接入控制设备的验证结果决定是否进行网络接入,满足了接入请求设备对接入控制设备的信任需求,增强了接入请求设备对网络的信任,整体上提高了接入的安全性。
附图说明
图1为现有技术TNC网络架构示意图;
图2为本发明网络接入***第一实施例结构示意图;
图3为本发明接入控制设备第一实施例结构示意图;
图4为本发明接入控制设备第二实施例结构示意图;
图5为本发明可信第三方设备第一实施例结构示意图;
图6为本发明接入请求设备实施例结构示意图;
图7为本发明实施例可信的网络接入***工作原理图;
图8为本发明网络接入方法实施例流程图。
具体实施方式
图2为本发明可信的网络接入***实施例结构示意图。如图所示,该网络包括第一网络设备(以下实施例称为接入控制设备)和第二网络设备(以下实施例中称为可信第三方设备),其中,
接入控制设备21,获取第三网络设备(以下实施例称为接入请求设备)23的接入请求,对接入设备的可信性进行验证,根据验证结果执行相应的接入控制;以及,请求可信第三方设备对接入控制设备进行可信验证,获取可信第三方设备得到的验证结果并转发给接入请求设备;
可信第三方设备22,根据接入控制设备的请求对所述接入控制设备的可信性进行验证,并返回验证结果。
以下结合附图具体说明本发明所述***实施例中的设备实现方式以及本发明***实施例的工作原理。
图3为本发明网络接入控制设备第一实施例结构示意图。如图,该设备包括第一交互单元31、第二交互单元32、接入控制执行部件33和平台可信评估部件34;其中,
第一交互单元31,负责与接入请求设备进行数据交互;
第二交互单元32,负责与可信第三方设备进行数据交互;
接入控制执行部件33,借助可信第三方设备完成对接入请求设备与接入控制设备的身份认证,以及在若对接入请求设备的身份认证通过,则通知平台可信评估部件对接入请求设备进行平台可信性验证;按照可信评估部件的策略对接入请求设备执行接入控制;
平台可信评估部件34,负责与接入请求设备和可信第三方设备进行通信,一方面,通过第一交互单元获取来自接入请求设备的平台可信性度量信息,并对所述平台可信性度量信息进行评估,进而基于评估结果下发相应的接入控制策略给接入控制执行部件;另一方面,通过第二交互单元请求可信第三方设备对接入控制设备的可信性度量信息进行评估,并按照可信第三方设备的要求收集接入控制方自身的可信性度量信息,将该些信息发送给可信第三方设备用于评估;获取可信第三方返回的评估结果后将其通过第一交互单元发送到接入请求设备。
其中,所述可信性度量信息可以包括:接入控制方的软硬件完整性信息、接入网络的资源负载情况、附着安全设备的运行状态等等。
图4为本发明接入控制设备第二实施例结构示意图,所示第二实施例在第一实施例基础上增加了客户行为监控部件;如图该设备包括:该设备包括第一交互单元41、第二交互单元42、接入控制执行部件43、可信评估部件44和客户行为监控部件45,其中,
第一交互单元41,负责与接入请求设备进行数据交互;
第二交互单元42,负责与可信第三方设备进行数据交互;
接入控制执行部件43,借助可信第三方设备完成对接入请求设备与接入控制设备的身份认证;
平台可信评估部件44,负责与接入请求设备和可信第三方设备进行通信,一方面,通过第一交互单元获取来自接入请求设备的平台可信性度量信息,并对所述平台可信性度量信息进行评估,进而基于评估结果下发相应的接入控制策略给接入控制执行部件,并且,若接入请求设备通过所述评估,则平台可信评估部件通知客户行为监控部件对接入请求设备进行行为控制;另一方面,通过第二交互单元请求可信第三方设备对接入控制设备的可信性度量信息进行评估,并按照可信第三方设备的要求,收集并度量接入控制方自身的可信性度量信息,将该些信息发送给可信第三方设备用于评估;获取可信第三方返回的评估结果后将其通过第一交互单元发送到接入请求设备;
客户行为监控部件45,根据已保存的接入请求设备的历史/实时行为信息和行为监控策略制定行为控制策略,并通过第一交互单元向接入请求设备下发所述行为控制策略;通过第二交互单元请求可信第三方设备对该下发给接入请求设备的行为控制策略进行验证以及获取可信第三方设备的验证结果,并将所述验证结果通过第一交互单元发送到接入请求设备。
本文所述的行为监控策略存储在行为控制设备中,该策略中规定了行为控制设备在何种条件下可以对什么样的用户进行什么样的行为控制措施,是接入控制设备针对某个用户制定行为控制策略的基准;
本文所述的行为控制策略是根据所述的行为监控策略和用户的历史/实时的行为信息制定的对指定用户进行什么样的行为控制,此策略由接入控制方制定,由接入请求设备执行。
其中,所述接入请求设备的行为信息可由接入请求设备对历史行为进行记录,并按照监控部件的要求将所述行为信息发送到客户行为监控部件。
在本发明接入控制设备第二实施例基础上,若接入请求设备通过平台可信评估部件的评估,则在客户行为监控部件制定行为控制策略之前,可以进一步对所述接入设备的行为信息进行验证,按照预置的策略制定接入控制策略给接入控制执行部件。其中,本文所述的接入控制策略是指部分限制接入控制、禁止接入或隔离、无限制接入等一系列控制规则,本领域技术人员可以根据业务的具体需求制定不同的接入控制策略。
在上述实施例基础上,所述客户行为监控部件制定行为控制策略所需的行为监控策略可以由行为监控部件本身维护,也可以由可信第三方设备制定并维护。如果行为监控策略由可信第三方设备制定并维护,则可信第三方设备根据接入控制设备的请求下发所述的行为监控策略,接入控制设备根据所述下发的行为监控策略并结合接入请求设备的行为信息制定行为控制策略,这种情况下,得到的行为控制策略依然要上报给可信第三方设备进行验证,并且该验证结果发送到接入请求设备中作为是否执行所述行为控制策略的判断条件。
以下具体说明本发明可信第三方设备实施例结构。参照图5,所述设备包括:
接收单元51,用于接收接入控制设备的信息,包括接入控制设备的身份信息;
可信身份权威部件52,对接收单元获取的接入请求设备的身份信息进行验证得到身份信息验证结果,生成接入控制设备的身份可信证明;
平台可信验证权威部件53,保存有接入控制设备的可信性评估标准,包括硬件/软件完整性参考值、安全状态基线等;按照所述可信性评估标准对接入控制设备的可信性进行验证,并通过发送单元发送可信性验证结果到接入控制设备;
发送单元54,用于发送所述身份信息验证结果,发送所述身份可信证明,发送可信性度量信息验证结果。
其中,所述发送单元可直接都将接入控制设备的身份可信证明或者接入控制设备的可信性验证结果直接发送到接入请求设备;或者,发送到接入控制设备,进而由接入控制设备发送到接入请求设备。
在上述可信第三方设备实施例结构基础上,本发明的可信第三方设备中还可进一步包括:
控制策略可信权威部件,对接入控制设备的行为监控策略进行验证,检验接入控制设备的客户行为监控策略是否符合权威机构的法律/规定,并通过发送单元下发验证结果到接入控制设备;
或者,所述控制策略可信权威部件,进一步用于维护行为监控策略,并且根据接入控制设备的请求下发相应的行为监控策略,以使得接入控制设备能够根据接入请求设备的历史/实时行为信息结合所述行为监控策略制定相应的行为控制策略;进而所述控制策略可信权威部件在对所述行为控制策略进行验证。
参照图6,具体说明本发明接入请求设备实施例结构。如图所示,所述接入请求设备包括:
发送单元61,用于发送信息,包括发送接入请求部件生成的网络接入请求,发送平台可信服务代理收集的平台可信性度量信息;
接收单元62,用于接收信息,包括获取接入控制设备的身份可信证明;获取接入控制设备的平台可信性评估结果;
接入请求部件63,用于生成网络接入请求;验证接收单元获取的身份可信证明,若通过验证,则根据接入控制设备的许可建立连接;
平台可信服务代理64,用于请求对接入控制设备的平台可信性评估;收集平台可信性度量信息;对获取到的接入控制设备的平台可信性评估结果进行验证,若通过,则通知接入请求部件接受接入控制设备的接入控制。
在此结构基础上,本发明又一接入请求设备实施例中还可包括:终端行为控制代理,用于请求对接入请求设备的行为控制策略进行验证;对获取到的行为控制策略验证结果进行验证,若通过则按照所述行为控制策略对本设备的行为进行控制。
以下具体说明本发明提供的可信的网络接入***实施例,所述可信的网络接入***包括接入控制设备以及可信第三方设备;图7为本发明***实施例的工作原理图。以下参照该图具体说明本发明网络安全***实施例。
本实施例中为了方便介绍网络中各组成设备的功能,本实施例中首先对网络设备按照协议功能进行了分层,分别为:
网络连接层,网络的安全连接,兼容各种网络接入技术,包括基于端口的访问控制(802.1X)、VPN等机制。本层实体包括接入请求部件、决策执行点和接入授权部件;
平台可信服务层,一方面,接入控制设备对接入请求设备进行平台凭据认证、平台完整性度量或安全扫描等可信性度量信息的评估;另一方面,接入控制方自身的平台可信性通过可信第三方设备的评估结果向接入请求设备提供保证。
以及行为监管层,可信第三方设备检验接入控制设备的客户行为监控策略是否符合权威机构的法律/规定,并生成监控策略验证结果;接入控制设备制定并下发行为控制策略给接入请求设备。通过上述机制,保证行为控制这一行为在接入请求设备和接入控制设备之间是互相认可和信任的。
按照上述协议分层,本文中按照所述协议分层对***涉及的接入控制设备、第三方设备以及接收接入控制设备控制执行网络接入的接入请求设备进行功能划分,以方便对本***中各设备的功能予以说明。
参照图7,具体的,将接入控制设备划分为接入控制执行部件、平台可信评估部件和客户行为监控部件;将可信第三方设备划分为可信身份权威部件、平台可信验证权威部件和控制策略可信权威部件;将接入请求设备划分为接入请求部件、平台可信服务代理和终端行为控制代理。
1)接入请求设备的接入请求部件发送网络接入请求,该请求信息中包含有接入请求方的身份信息(如用户名和密码)并请求接入控制设备提供可信第三方设备的其身份可信证明;
2)接入控制执行部件请求可信第三方验证接入请求方的身份,并提供其自身的一次性身份可信证明;
3)可信第三方设备的可信身份权威部件接受请求,生成接入控制设备的一次性可信身份证明,对接入请求设备的身份进行验证,将所述一次性身份证明及接入请求设备的身份验证结果反馈给接入控制执行部件;其中,可信身份证明的一次性的实现方法可以通过在身份证明中加入时间戳以表明该身份证明的有效期限,为达到限制身份证明一次性的效果,所设定的有效期限时间通常较短,本领域技术人员可以根据业务的具体需求而设定。
4)接入控制设备回复接入请求设备允许其接入,并提供自身的身份可信证明;接入请求设备验证此证明,若通过则与接入控制设备建立连接;
5)如果接入请求设备的身份验证通过,则接入控制执行部件通知平台可信评估部件启动对接入请求设备进行平台的可信评估;若接入设备的身份验证未通过,则接入控制执行部件对接入请求设备执行相应的接入控制,如拒绝接入、将接入请求设备隔离等;接入控制执行部件将所述一次性身份证明返回到接入请求设备,以使得接入请求设备可根据所述一次性身份证明决定是否继续执行网络接入;
6)平台可信评估部件与请求接入请求设备的平台可信服务代理提供接入请求设备的平台可信性度量信息;
7)平台可信服务代理要求平台可信评估部件提供接入控制设备的可信性度量信息评估结果;
8)平台可信评估部件与可信第三方设备的平台可信验证权威部件交互,可信第三方设备的平台可信权威部件要求平台可信评估部件收集并上报接入控制方自身的可信性度量信息,平台可信权威部件对所述接入控制设备的可信性度量信息(如平台的完整性、合法性、接入网络的安全状况等)进行可信性评估,生成一次性评估结果,安全封装后反馈给接入平台可信评估部件;
9)平台可信评估部件将可信第三方设备提供的一次评估结果发送给平台可信服务代理;
10)平台可信服务代理获取所述评估结果若所述结果符合接入请求设备的要求,则平台可信服务代理收集接入请求设备的平台可信性度量信息,并报告给平台可信评估部件;
平台可信评估部件验证接入请求设备的平台的可信性度量信息,若符合要求,则:
11a)通知接入控制部件执行相应的接入控制策略;
11b)通知客户行为监控部件启动对该接入请求设备的行为控制;
12)客户行为监控部件下发行为控制策略给终端行为控制代理,要求按此策略执行对该接入请求方的行为控制;
13)终端行为控制代理请求客户行为监控部件提供行为控制策略的可信验证;
14)客户行为监控部件与控制策略可信权威部件进行交互,控制策略可信权威部件对接入控制设备的行为监控策略进行验证,并返回获取行为控制策略的验证结果;
15)客户行为监控部件将此控制策略的验证结果反馈给终端行为控制代理,终端行为控制代理通过此验证结果后,开始按照接收的行为控制策略对接入请求方执行相应的行为控制。
可选的,所述监控策略也可由可信第三方设备负责维护而不由接入控制设备维护,进而,可信第三方设备按照接入控制设备的请求下发所述的行为监控策略,使得接入控制设备根据所述监控策略和接入请求设备的行为信息制定行为控制策略。
在本实施例中,对于接入请求设备的身份验证由可信第三方设备负责,然而,对于接入请求设备的身份认证也可以由接入控制设备负责。则相应的,在接入控制设备中应维护有接入请求设备身份资源库,进而在获取接入请求设备的身份信息后,由接入控制执行部件执行对接入请求设备的身份验证。相应的,可信第三方设备的可信身份权威部件可以不具有对接入请求设备身份认证的功能。
上文所述实施例中,可信第三方设备对接入控制设备进行可信验证后的验证结果(如身份验证、平台可信性验证、行为控制策略验证)经由接入控制设备转发到接入请求设备。本发明并不排除可信第三方设备可与接入请求设备直接建立连接,从而所述对接入控制设备的验证结果可由可信第三方设备直接发送给接入请求设备的实现方式。
进而,在这种***环境下所采用的接入控制设备、可信第三方设备相比上文所举***中采用的设备实施例结构/功能将有所不同。例如:
接入控制设备,不负责转发可信第三方设备对接入控制设备进行的可信性评估结果到接入请求设备;可信第三方设备,对接入控制设备进行可信性评估后的结果直接通过发送单元发送到接入请求设备。
除此之外,接入请求设备,除与接入控制设备进行数据交互外,还可以直接从可信第三方设备处获取对接入控制设备的可信性验证结果,并根据该结果判断是否与接入控制设备建立连接。
上述实施例中步骤6)至步骤10)中,接入控制设备在对接入请求设备进行平台可信性验证之前,接入请求设备首先要获取到接入控制设备的平台可信性评估结果并进行验证,若验证通过,则通过平台可信服务代理收集接入请求设备的可信性度量信息并发送给接入控制设备。然而,本发明的又一实施例中,接入请求设备可按照接入控制设备的要求直接反馈平台可信性度量信息,并要求提供接入控制设备进行平台可信性评估结果。
通过上述网络安全***的工作原理说明可知,由于在网络安全***中增加了可信第三方设备用于对接入控制设备执行可信性验证,使得接入请求设备可以根据可信第三方对接入控制设备的验证结果决定是否进行网络接入,满足了接入请求设备对接入控制设备的信任需求,增强了接入请求设备对网络的信任,整体上提高了接入的安全性。
并且,上述实施例将身份验证、平台可信性度量信息评估以及客户行为监控这三种安全方式相结合,实现接入请求设备与网络之间的可信连接,增强了网络接入的安全性。其中,在平台可信性度量评估过程中将涉及到可信性计算,本领域技术人员可参见已有的可信计算的相关技术予以实现,本文不再赘述。
然而,本发明并不排除所述***中只采用上述一种或两种安全策略的实现方式,例如,将身份验证和平台可信性验证相结合实现安全接入控制,或者将身份验证与客户行为监控的手段相结合等,本领域技术人员可根据业务的具体需求在增加可信第三方设备协助的情况下制定安全策略的组合以保证网络安全接入的安全性。
参照图8,具体说明本发明网络接入方法实施例。
步骤81:接入控制设备获取接入请求设备的接入请求,
步骤82:对接入请求设备的可信性进行验证,根据验证结果执行相应的接入控制;请求可信第三方设备对接入控制设备进行可信性验证;
步骤83:可信第三方设备根据接入控制设备的请求对所述接入控制设备的可信性进行验证,并返回验证结果;
步骤84:接入控制设备获取可信第三方设备得到的验证结果并转发给接入请求设备。
其中,所述可信性验证具体为:接入控制设备,请求可信第三方设备提供接入控制设备的身份可信证明,对接入请求设备的身份进行认证或者请求可信第三方设备对接入请求设备的身份进行认证,根据身份验证结果对所述接入请求设备执行相应的接入控制;可信第三方设备生成接入控制设备的身份可信证明,返回所述身份可信证明到接入控制设备;接入控制设备转发可信第三方设备返回的所述身份可信证明到接入请求设备。
进一步的,若所述接入请求设备的身份信息验证结果为通过验证,则接入控制设备进一步请求可信第三方设备对接入控制设备的可信性进行评估,可信第三方设备根据接入控制设备的请求对该接入控制设备的可信性进行评估,并将评估结果发送到接入控制设备;接入请求控制设备将可信第三方设备的评估结果转发给接入请求设备;对接入请求设备的平台可信性进行评估,并且根据评估结果对接入请求设备执行接入控制。
在上述方法基础上,进一步的,若所述接入控制设备执行所述的接入控制为准许接入请求设备接入,则接入控制设备,下发行为控制策略到接入请求设备;请求可信第三方设备对所述行为控制策略进行可信性验证;可信第三方设备根据接入控制设备的请求对所述控制策略进行可信验证,并将验证结果发送给接入控制设备;接入控制设备获取可信第三方设备返回的验证结果并发送到接入请求设备。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分功能或步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,所述的存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明所提供的一种可信的网络接入***及相关设备进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (11)
1.一种网络***,其特征在于,包括:第一网络设备,第二网络设备和第三网络设备,其中,
第一网络设备,用于获取来自第三网络设备的接入请求,获取对第三网络设备的身份验证结果,根据所述验证结果执行相应的接入控制,若所述第三网络设备的身份验证结果为通过验证,对第三网络设备的平台可信性进行评估并得到评估结果;以及,请求第二网络设备对第一网络设备的平台可信性进行评估;
第二网络设备,用于根据第一网络设备的请求对所述第一网络设备的平台可信性进行评估,并将对第一网络设备的平台可信性评估结果提供给第三网络设备。
2.如权利要求1所述的***,其特征在于:
所述对第一网络设备的可信性验证结果经由第一网络设备转发到第三网络设备;或者,
所述对第一网络设备的可信性验证结果由第二网络设备发送到第三网络设备。
3.一种网络设备,其特征在于,包括:第一交互单元,第二交互单元,接入控制执行部件和平台可信评估部件;其中,
第一交互单元,用于与接入请求设备进行信息交互,所述信息包括:获取第三网络设备的接入请求,接入请求设备的身份信息;
第二交互单元,用于与可信第三方设备进行信息交互;
接入控制执行部件,用于获取对接入请求设备身份信息的验证结果,若所述身份信息验证结果为通过验证,则通知平台可信评估部件对第三网络设备进行平台可信性验证;按照平台可信评估部件的接入控制策略对第三网络设备执行接入控制;
平台可信评估部件,用于根据第一交互单元获取到的接入请求设备的平台可信性度量信息,对所述可信性度量信息进行验证,根据验证结果将相应的接入控制策略发送到接入控制执行部件;通过第二交互单元请求可信第三方设备对接入请求设备的可信性进行评估。
4.如权利要求3所述的设备,其特征在于,还包括
客户行为监控部件,用于根据接入请求设备的行为信息和已保存的行为监控策略制定行为控制策略,通过第一交互单元向接入请求设备下发所述行为控制策略;通过第二交互单元请求第二网络设备对所述行为控制策略进行验证。
5.如权利要求4所述的设备,其特征在于,还包括
客户行为监控部件,用于通过第二交互单元获取第二网络设备下发的行为监控策略,根据接入请求设备的行为信息制定行为控制策略,通过第一交互单元发送到第三网络设备;通过第二交互单元请求第二网络设备对所述行为控制策略进行验证。
6.如权利要求3所述的设备,其特征在于,所述接入控制执行部件获取到的接入请求设备身份信息的验证结果是由接入控制执行部件执行对第三网络设备身份信息的验证得到;或者,是由接入控制执行部件通过第二交互单元从第二网络设备获得。
7.一种网络设备,其特征在于,包括:发送单元、接收单元、接入请求部件和平台可信服务代理;其中,
发送单元,用于发送信息,包括发送接入请求部件生成的网络接入请求,发送平台可信服务代理收集的平台可信性度量信息;
接收单元,用于接收信息,包括获取接入控制设备的身份可信证明;获取接入控制设备的平台可信性评估结果;
接入请求部件,用于生成网络接入请求;验证接收单元获取的身份可信证明,若通过验证,则根据接入控制设备的许可建立连接;
平台可信服务代理,用于请求对接入控制设备的平台可信性评估;收集平台可信性度量信息;对获取到的接入控制设备的平台可信性评估结果进行验证,若通过,则通知接入请求部件接受接入控制设备的接入控制。
8.如权利要求7所述的设备,其特征在于,还包括:
终端行为控制代理,用于请求对接入请求设备的行为控制策略进行验证;对获取到的行为控制策略验证结果进行验证,若通过则按照所述行为控制策略对本设备的行为进行控制。
9.一种网络接入方法,其特征在于,包括:
第一网络设备获取来自第三网络设备的接入请求,获取对第三网络设备的身份验证结果,根据所述验证结果执行相应的接入控制,若所述第三网络设备的身份验证结果为通过验证,对第三网络设备的平台可信性进行评估并得到评估结果;请求第二网络设备对第一网络设备的平台可信性进行评估;
第二网络设备根据第一网络设备的请求对所述第一网络设备的平台可信性进行评估,将对第一网络设备的平台可信性评估结果提供给第三网络设备。
10.如权利要求9所述的方法,其特征在于,
所述第一网络设备获取对第三网络设备身份验证结果具体为:第一网络设备对第三网络设备的身份进行验证得到身份验证结果;或者,请求第二网络设备对第三网络设备的身份进行验证得到身份验证结果。
11.如权利要求10所述的方法,其特征在于,
若所述第一网络设备执行所述的接入控制为准许第三网络设备接入,则所述第二网络设备对第一网络设备的可信性验证具体为:对第一网络设备的行为控制策略进行验证;以及,
第一网络设备进一步发送行为控制策略到接入请求设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101299951A CN101350721B (zh) | 2007-07-20 | 2007-07-20 | 一种网络***、网络接入方法及网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101299951A CN101350721B (zh) | 2007-07-20 | 2007-07-20 | 一种网络***、网络接入方法及网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101350721A CN101350721A (zh) | 2009-01-21 |
| CN101350721B true CN101350721B (zh) | 2012-08-08 |
Family
ID=40269322
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101299951A Expired - Fee Related CN101350721B (zh) | 2007-07-20 | 2007-07-20 | 一种网络***、网络接入方法及网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101350721B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102035837B (zh) * | 2010-12-07 | 2013-06-05 | 广东金赋信息科技有限公司 | 一种分层连接可信网络的方法及*** |
| CN102740296A (zh) * | 2012-06-28 | 2012-10-17 | 中国科学院软件研究所 | 一种移动终端可信网络接入方法和*** |
| CN104901930A (zh) * | 2014-04-21 | 2015-09-09 | 孟俊 | 一种基于cpk标识认证的可追溯网络行为管理方法 |
| CN104079570B (zh) * | 2014-06-27 | 2017-09-22 | 东湖软件产业股份有限公司 | 一种基于IPsec的可信网络连接方法 |
| CN111683054A (zh) | 2014-10-31 | 2020-09-18 | 华为技术有限公司 | 用于远程接入的方法和装置 |
| CN104735054B (zh) * | 2015-02-06 | 2018-03-02 | 西安电子科技大学 | 数字家庭设备可信接入平台及认证方法 |
| CN104715369B (zh) * | 2015-04-02 | 2017-11-03 | 江苏金智教育信息股份有限公司 | 一种防钓鱼的第三方交易的方法、装置和*** |
| CN105022964B (zh) * | 2015-06-01 | 2018-03-09 | 国家计算机网络与信息安全管理中心 | 一种基于行为预测控制的可信网络群体构建方法 |
| CN109413107A (zh) * | 2018-12-18 | 2019-03-01 | 北京可信华泰信息技术有限公司 | 一种可信平台连接方法 |
| CN109768967A (zh) * | 2018-12-18 | 2019-05-17 | 北京可信华泰信息技术有限公司 | 一种可信平台连接*** |
| CN111885071A (zh) * | 2020-07-29 | 2020-11-03 | 苏州巴涛信息科技有限公司 | 一种基于区块链的通信设备接入网络时免授权***及方法 |
| CN112104653B (zh) * | 2020-09-15 | 2023-03-14 | 全球能源互联网研究院有限公司 | 一种充电***的可信计算管理方法、装置及存储介质 |
| CN112202805A (zh) * | 2020-10-12 | 2021-01-08 | 北京蓝军网安科技发展有限责任公司 | 用于可信网络连接的方法及相应装置、计算机设备和介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1767429A (zh) * | 2004-10-29 | 2006-05-03 | 大唐移动通信设备有限公司 | 移动通信用户认证与密钥协商方法 |
| CN1841998A (zh) * | 2005-03-30 | 2006-10-04 | 中兴通讯股份有限公司 | 一种终端用户安全接入软交换网络的方法 |
-
2007
- 2007-07-20 CN CN2007101299951A patent/CN101350721B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1767429A (zh) * | 2004-10-29 | 2006-05-03 | 大唐移动通信设备有限公司 | 移动通信用户认证与密钥协商方法 |
| CN1841998A (zh) * | 2005-03-30 | 2006-10-04 | 中兴通讯股份有限公司 | 一种终端用户安全接入软交换网络的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101350721A (zh) | 2009-01-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101350721B (zh) | 一种网络***、网络接入方法及网络设备 | |
| US10523656B2 (en) | Session migration between network policy servers | |
| RU2445695C2 (ru) | Система управления доступом в надежную сеть на основе трехэлементной равноправной идентификации | |
| US7774824B2 (en) | Multifactor device authentication | |
| RU2437228C2 (ru) | Система доверительного сетевого подключения для улучшения безопасности | |
| US8255977B2 (en) | Trusted network connect method based on tri-element peer authentication | |
| US7836494B2 (en) | System and method for regulating the flow of information to or from an application | |
| US8819803B1 (en) | Validating association of client devices with authenticated clients | |
| CN110213215B (zh) | 一种资源访问方法、装置、终端和存储介质 | |
| US7526792B2 (en) | Integration of policy compliance enforcement and device authentication | |
| US9503477B2 (en) | Network policy assignment based on user reputation score | |
| US7752320B2 (en) | Method and apparatus for content based authentication for network access | |
| CN105933245B (zh) | 一种软件定义网络中安全的可信接入方法 | |
| US20160261607A1 (en) | Techniques for identity-enabled interface deployment | |
| KR101488627B1 (ko) | 트러스티드 연결 아키텍처에 적용되는 플랫폼 인증 폴리시 관리 방법 및 장치 | |
| US10333930B2 (en) | System and method for transparent multi-factor authentication and security posture checking | |
| CN113596009B (zh) | 零信任访问方法、***、零信任安全代理、终端及介质 | |
| US20220311777A1 (en) | Hardening remote administrator access | |
| CN108601024A (zh) | 一种轻量级身份认证及平台鉴别评估方法 | |
| CN116319024B (zh) | 零信任***的访问控制方法、装置及零信任*** | |
| CN116319024A (zh) | 零信任***的访问控制方法、装置及零信任*** | |
| CN117220987A (zh) | 基于可信边界的跨域访问方法以及可信安全管理*** | |
| Jaeger et al. | Security requirements for the deployment of the linux kernel in enterprise systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120808 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |