專利名稱:一種網(wǎng)絡(luò)接入認(rèn)證的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)認(rèn)證技術(shù)�,特別涉及一種網(wǎng)絡(luò)接入認(rèn)證的方法及系統(tǒng)。
技術(shù)背景隨著互聯(lián)網(wǎng)在全球的快速發(fā)展及傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP, Transfer Control Protocol/Internet Protocol)在網(wǎng)絡(luò)中的廣泛應(yīng)用���,互聯(lián)網(wǎng)在 帶給人們方便的同時(shí)�����,其不安全因素問題也日趨嚴(yán)重��,由于TCP/IP技術(shù)的 開放架構(gòu)和協(xié)議本身在安全上的缺陷��,大多數(shù)攻擊�,比如病毒����,蠕蟲,黑客 攻擊等都是基于TCP/IP協(xié)議的���,互聯(lián)網(wǎng)安全問題主要包括網(wǎng)絡(luò)環(huán)境下計(jì) 算機(jī)系統(tǒng)����、計(jì)算機(jī)網(wǎng)絡(luò)自身的安全保護(hù);基于計(jì)算機(jī)網(wǎng)絡(luò)的通信和分布式應(yīng) 用系統(tǒng)的安全保護(hù)��。網(wǎng)絡(luò)端點(diǎn)評(píng)估(:NEA��, Network Endpoint Assessment)系統(tǒng)的目的是保 護(hù)互聯(lián)網(wǎng)不受那些來自不安全節(jié)點(diǎn)的威脅���,這些不安全節(jié)點(diǎn)包括已經(jīng)被病 毒感染或存在某些安全漏洞的節(jié)點(diǎn)。NEA系統(tǒng)中網(wǎng)絡(luò)管理者通過安裝在試 圖接入網(wǎng)絡(luò)的節(jié)點(diǎn)上的代理軟件���,收集端點(diǎn)的系統(tǒng)狀態(tài)信息��,主要是與安全 相關(guān)的一些信息��,如端點(diǎn)系統(tǒng)安裝的操作系統(tǒng)及其版本信息����、補(bǔ)丁安裝信息���、 防火墻信息����、殺毒軟件及版本信息����、用戶身份ID(Identification)信息等���,并 進(jìn)行評(píng)估,考察其對(duì)網(wǎng)絡(luò)安全策略的符合程度��,然后根據(jù)對(duì)某個(gè)節(jié)點(diǎn)的評(píng)估 結(jié)杲?jīng)Q定是否允許該節(jié)點(diǎn)進(jìn)入網(wǎng)絡(luò)只有符合要求的節(jié)點(diǎn)才允許接入網(wǎng)絡(luò)��; 對(duì)于不符合策略的節(jié)點(diǎn)��,網(wǎng)絡(luò)管理者不允許其接入網(wǎng)絡(luò)�����,同時(shí)還可以將更新 途徑通知該節(jié)點(diǎn)�。NEA系統(tǒng)的核心功能之一是對(duì)端點(diǎn)的各種系統(tǒng)狀態(tài)信息進(jìn)行收集和評(píng) 估,實(shí)施決定接入控制策略的網(wǎng)絡(luò)系統(tǒng)��。由于系統(tǒng)狀態(tài)信息的涉及的內(nèi)容很廣����,因此需要在端點(diǎn)側(cè)安裝可能由不同廠商提供的信息收集模塊,由信息收集模塊完成相關(guān)方面的系統(tǒng)信息收集��,并轉(zhuǎn)交給代理客戶端發(fā)送給網(wǎng)絡(luò)側(cè); 同樣的�����,在網(wǎng)絡(luò)側(cè)需要部署信息評(píng)估模塊��,由信息評(píng)估模塊完成代理客戶端 發(fā)送過來的相關(guān)系統(tǒng)信息評(píng)估�����,并將評(píng)估結(jié)果信息轉(zhuǎn)交給代理服務(wù)器發(fā)送給端點(diǎn)側(cè)���。由于NEA系統(tǒng)是一個(gè)端點(diǎn)側(cè)與網(wǎng)絡(luò)側(cè)之間的聯(lián)動(dòng)系統(tǒng),為了保證網(wǎng)絡(luò) 側(cè)能夠獲得端點(diǎn)側(cè)的真實(shí)信息�����,并且該信息能夠被正確處理���,端點(diǎn)側(cè)與網(wǎng)絡(luò) 側(cè)的各個(gè)實(shí)體(代理客戶端����,代理服務(wù)器��,信息收集模塊,信息評(píng)估模塊) 之間必須建立信任關(guān)系����。如果沒有建立起這一系列的信任關(guān)系,端點(diǎn)側(cè)就不 應(yīng)該將自己的系統(tǒng)信息發(fā)送到網(wǎng)絡(luò)側(cè)�����,而網(wǎng)絡(luò)側(cè)對(duì)發(fā)送過來的無法辨別真?zhèn)?的端點(diǎn)信息進(jìn)行相應(yīng)評(píng)估�����。目前��,端點(diǎn)側(cè)與網(wǎng)絡(luò)側(cè)各個(gè)實(shí)體間信任關(guān)系的建立主要包括兩個(gè)環(huán)節(jié) 代理客戶端與代理服務(wù)器之間建立直接信任關(guān)系及信息收集模塊與信息評(píng) 估模塊之間建立直接信任關(guān)系�。圖1是現(xiàn)有NEA系統(tǒng)中各實(shí)體之間建立信任關(guān)系的示意圖,如圖1所 示�,該NEA系統(tǒng)包含端點(diǎn)側(cè)單元11及網(wǎng)絡(luò)側(cè)單元12,其中�����,端點(diǎn)側(cè)單元11包含信息收集模塊111及代理客戶端模塊112;網(wǎng)絡(luò)側(cè) 單元12包含信息評(píng)估模塊121及代理服務(wù)器模塊122���。代理客戶端模塊112��,用于與代理服務(wù)器模塊122建立信任關(guān)系�����,并轉(zhuǎn) 發(fā)信息收集模塊111輸出的端點(diǎn)信息��、網(wǎng)絡(luò)信息評(píng)估結(jié)果信息����、代理服務(wù)器 模塊122輸出的網(wǎng)絡(luò)信息及端點(diǎn)信息評(píng)估結(jié)杲信息。建立信任關(guān)系的過程如 下代理客戶端模塊112發(fā)出信任請(qǐng)求信息����,代理服務(wù)器模塊122接收信任 請(qǐng)求信息并對(duì)此信息進(jìn)行評(píng)估����,如果評(píng)估成功,建立代理服務(wù)器模塊122對(duì) 代理客戶端模塊112的信任關(guān)系����;否則拒絕建立信任關(guān)系。代理客戶端模塊 112建立對(duì)代理服務(wù)器模塊122的信任關(guān)系相類似����,在此不再贅述。信息收集模塊lll,用于與信息評(píng)估模塊121建立直接信任關(guān)系收集端點(diǎn)信息���,發(fā)出信任請(qǐng)求信息給代理客戶端模塊112��,代理客戶端模塊112 將信任請(qǐng)求信息轉(zhuǎn)發(fā)給代理服務(wù)器模塊122,代理服務(wù)器模塊122再轉(zhuǎn)發(fā)給 信息評(píng)估模塊121,信息評(píng)估模塊121接收信任請(qǐng)求信息并對(duì)此信息進(jìn)行評(píng) 估�����,如果評(píng)估成功�,建立信息評(píng)估模塊121對(duì)信息收集模塊111的信任關(guān)系�����, 否則拒絕建立信任關(guān)系�;同樣地,信息收集模塊111也可以建立或拒絕對(duì)信 息評(píng)估模塊121的直接信任關(guān)系�����。但是�,上述所示的NEA系統(tǒng),只是在屬于端點(diǎn)側(cè)和網(wǎng)絡(luò)側(cè)的同一層次 實(shí)體之間建立了信任關(guān)系���,即在代理客戶端模塊112與代理服務(wù)器模塊122 之間以及信息收集模塊111與信息評(píng)估模塊121之間建立了直接信任關(guān)系���, 而不同層次的實(shí)體之間沒有建立信任關(guān)系���,如信息收集模塊111與代理客戶 端模塊112之間及信息評(píng)估模塊121與代理服務(wù)器模塊122之間沒有建立信 任關(guān)系,因此可能使得代理客戶端模塊112在沒有和信息收集模塊111之間 建立信任關(guān)系的情況下���,就將信息收集模塊111獲取的系統(tǒng)信息發(fā)送到網(wǎng)絡(luò) 側(cè)�,造成端點(diǎn)用戶對(duì)信息收集模塊111獲取了哪些信息并不知情�,降低了 NEA系統(tǒng)的安全性。發(fā)明內(nèi)容有鑒于此��,本發(fā)明實(shí)施例的主要目的在于提供一種網(wǎng)絡(luò)接入認(rèn)證的方法�,提高NEA系統(tǒng)的安全性。本發(fā)明實(shí)施例的另一個(gè)目的在于提供一種網(wǎng)絡(luò)接入認(rèn)證的系統(tǒng)����,增強(qiáng)NEA系統(tǒng)的安全性��。為達(dá)到上述目的�,本發(fā)明實(shí)施例的技術(shù)方案具體是這樣實(shí)現(xiàn)的 一種網(wǎng)絡(luò)接入認(rèn)證的方法,其特征在于���,該方法包括 建立端點(diǎn)側(cè)單元的代理客戶端模塊和網(wǎng)絡(luò)側(cè)單元的代理服務(wù)器模塊直接信任關(guān)系��;建立端點(diǎn)側(cè)單元的信息收集模塊和網(wǎng)絡(luò)側(cè)單元的信息評(píng)估模塊直接信任關(guān)系��;建立所述信息收集模塊和代理客戶端模塊直接信任關(guān)系�;和/或, 建立所述信息評(píng)估模塊和代理服務(wù)器模塊直接信任關(guān)系���。 一種網(wǎng)絡(luò)接入認(rèn)證的方法��,其特征在于����,該方法包括 建立端點(diǎn)側(cè)單元的代理客戶端模塊和網(wǎng)絡(luò)側(cè)單元的代理服務(wù)器模塊直 接信任關(guān)系��;建立所述信息收集模塊和代理客戶端模塊直接信任關(guān)系�;建立所述信息 評(píng)估模塊和代理服務(wù)器模塊直接信任關(guān)系。一種網(wǎng)絡(luò)接入認(rèn)證的系統(tǒng)�,包含端點(diǎn)側(cè)單元及網(wǎng)絡(luò)側(cè)單元,其中�,端 點(diǎn)側(cè)單元包含信息收集模塊及代理客戶端模塊,網(wǎng)絡(luò)側(cè)單元包含信息評(píng)估模 塊與代理服務(wù)器模塊�����,代理客戶端模塊用于與代理服務(wù)器模塊建立直接信任 關(guān)系���,信息收集模塊用于與信息評(píng)估模塊建立直接信任關(guān)系��,其特征在于��, 所述信息收集模塊進(jìn)一步用于與代理客戶端模塊建立直接信任關(guān)系���;和/或��, 所述信息評(píng)估模塊進(jìn)一步用于與代理服務(wù)器模塊建立直接信任關(guān)系����,其中���,信息收集模塊��,用于與代理客戶端模塊建立信任關(guān)系�,接收代理客戶端 模塊發(fā)出的信任請(qǐng)求信息并根據(jù)信任請(qǐng)求信息進(jìn)行信任評(píng)估�����,向代理客戶端 模塊輸出評(píng)估結(jié)果信息及自身的信任請(qǐng)求信息�;代理客戶端模塊��,用于與所述信息收集模塊建立信任關(guān)系,接收信息收 集模塊發(fā)出的信任請(qǐng)求信息并根據(jù)信任請(qǐng)求信息進(jìn)行信任評(píng)估��,向信息收集 模塊輸出評(píng)估結(jié)果信息及自身的信任請(qǐng)求信息���;和/或����,信息評(píng)估模塊����,用于與所述代理服務(wù)器模塊建立信任關(guān)系,接收代理服 務(wù)器模塊發(fā)出的信任請(qǐng)求信息并根據(jù)信任請(qǐng)求信息進(jìn)行信任評(píng)估��,向代理服 務(wù)器模塊輸出評(píng)估結(jié)果信息及自身的信任請(qǐng)求信息�;代理服務(wù)器模塊,用于與所述信息評(píng)估模塊建立信任關(guān)系�����,接收信息評(píng) 估模塊發(fā)出的信任請(qǐng)求信息并根據(jù)信任請(qǐng)求信息進(jìn)行信任評(píng)估���,向信息評(píng)估 模塊及代理客戶端模塊輸出評(píng)估結(jié)果信息及自身的信任請(qǐng)求信息�����。一種網(wǎng)絡(luò)接入認(rèn)證的系統(tǒng)�����,包含端點(diǎn)側(cè)單元及網(wǎng)絡(luò)側(cè)單元����,其中,端 點(diǎn)側(cè)羊元包含信息收集模塊及代理客戶端模塊�,網(wǎng)絡(luò)側(cè)羊元包含信息評(píng)估模塊與代理服務(wù)器模塊,其特征在于��,所述信息收集模塊進(jìn)一步用于與代理客戶端模塊建立直接信任關(guān)系�����;所述信息評(píng)估模塊進(jìn)一步用于與代理服務(wù)器模 塊建立直接信任關(guān)系���,其中����,信息收集模塊�,用于與代理客戶端模塊建立信任關(guān)系,收集端點(diǎn)信息, 接收代理客戶端模塊發(fā)出的信任請(qǐng)求信息并根據(jù)信任請(qǐng)求信息進(jìn)行信任評(píng) 估���,輸出評(píng)估結(jié)果信息及自身的信任請(qǐng)求信息;代理客戶端模塊���,用于與所述信息收集模塊及代理服務(wù)器模塊建立信任 關(guān)系�,接收信息收集模塊及代理服務(wù)器模塊發(fā)出的信任請(qǐng)求信息并根據(jù)信任 請(qǐng)求信息進(jìn)行信任評(píng)估�����,向信息收集模塊及代理服務(wù)器模塊輸出評(píng)估結(jié)果信 息及自身的信任請(qǐng)求信息�;信息評(píng)估模塊,用于與所述代理服務(wù)器模塊建立信任關(guān)系�����,收集網(wǎng)絡(luò)信 息��,接收代理服務(wù)器模塊發(fā)出的信任請(qǐng)求信息并根據(jù)信任請(qǐng)求信息進(jìn)行信任 評(píng)估�,輸出評(píng)估結(jié)果信息及自身的信任請(qǐng)求信息;代理服務(wù)器模塊����,用于與所述信息評(píng)估模塊及代理客戶端模塊建立信任 關(guān)系,接收信息評(píng)估模塊及代理客戶端模塊發(fā)出的信任請(qǐng)求信息并根據(jù)信任 請(qǐng)求信息進(jìn)行信任評(píng)估,向信息評(píng)估模塊及代理客戶端模塊輸出評(píng)估結(jié)果信 息及自身的信任請(qǐng)求信息����。由上述技術(shù)方案可見,本發(fā)明實(shí)施例的網(wǎng)絡(luò)接入認(rèn)證的方法及系統(tǒng)���,通 過在網(wǎng)絡(luò)端點(diǎn)評(píng)估系統(tǒng)端點(diǎn)側(cè)單元的信息收集模塊與代理客戶端模塊以及 網(wǎng)絡(luò)側(cè)的信息評(píng)估模塊與代理服務(wù)器模塊之間增加直接信任關(guān)系��,免除信息 收集模塊與信息評(píng)估模塊之間冗余信任關(guān)系的建立���,從而保證各實(shí)體的行為 符合NEA架構(gòu)的要求,增強(qiáng)了 NEA系統(tǒng)的安全性�����,提高了 NEA系統(tǒng)的運(yùn) 行效率����。
圖1為現(xiàn)有NEA系統(tǒng)中各實(shí)體之間建立信任關(guān)系示意圖。圖2為本發(fā)明實(shí)施例網(wǎng)絡(luò)4矣入iU正的系統(tǒng)各實(shí)體之間建立信任關(guān)系示意圖�����。圖3為本發(fā)明基于圖2的一個(gè)較佳實(shí)施例各實(shí)體之間建立信任關(guān)系示意圖�。圖4為本發(fā)明第三較佳實(shí)施例各實(shí)體之間建立信任關(guān)系示意圖�����。 圖5為本發(fā)明第四較佳實(shí)施例各實(shí)體之間建立信任關(guān)系示意圖�。 圖6為本發(fā)明實(shí)施例網(wǎng)絡(luò)接入認(rèn)證系統(tǒng)各實(shí)體間建立信任關(guān)系的流程 示意圖��。圖7為本發(fā)明實(shí)施例使用證書方式建立實(shí)體2對(duì)實(shí)體l信任關(guān)系的流程 示意圖���。圖8為本發(fā)明實(shí)施例使用證書方式同時(shí)建立實(shí)體2與實(shí)體l相互信任關(guān) 系的流程示意圖。圖9為本發(fā)明實(shí)施例使用預(yù)共享密鑰方式建立實(shí)體2對(duì)實(shí)體l信任關(guān)系 的流程示意圖�。圖10為本發(fā)明實(shí)施例使用哈希Hash列表方式建立實(shí)體2對(duì)實(shí)體l信任 關(guān)系的流程示意圖。
具體實(shí)施方式
為使本發(fā)明的目的�、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下參照附圖并舉 實(shí)施例�����,對(duì)本發(fā)明作進(jìn)一步詳細(xì)說明���。本發(fā)明實(shí)施例����,通過在網(wǎng)絡(luò)端點(diǎn)評(píng)估系統(tǒng)的信息收集模塊與代理客戶端 模塊以及網(wǎng)絡(luò)側(cè)的信息評(píng)估模塊與代理服務(wù)器模塊之間增加直接信任關(guān)系 以及刪除信息收集模塊與信息評(píng)估模塊間建立的直接信任關(guān)系���,從而保證各 實(shí)體的行為符合NEA架構(gòu)的要求�����,增強(qiáng)NEA系統(tǒng)的安全性及運(yùn)行效率����。圖2為本發(fā)明實(shí)施例網(wǎng)絡(luò)接入認(rèn)證的系統(tǒng)各實(shí)體之間建立信任關(guān)系示 意圖。參見圖2,該NEA系統(tǒng)包含端點(diǎn)側(cè)單元21及網(wǎng)絡(luò)側(cè)單元22�����,其中����,端點(diǎn)側(cè)單元21包含信息收集模塊211及代理客戶端模塊212;網(wǎng)絡(luò)側(cè) 單元12包含信息評(píng)估模塊221及代理服務(wù)器模塊222,其中,信息收集模塊211,用于與信息評(píng)估模塊221和代理客戶端模塊212分 別建立直接信任關(guān)系��,與信息評(píng)估模塊221建立直接信任關(guān)系過程如下信息收集模塊2U收集端點(diǎn)信息�,發(fā)出信任請(qǐng)求信息給代理客戶端模塊 212,代理客戶端模塊212將信任請(qǐng)求信息轉(zhuǎn)發(fā)給代理服務(wù)器模塊222,代 理服務(wù)器模塊222再轉(zhuǎn)發(fā)給信息評(píng)估模塊221�,信息評(píng)估模塊221接收信任 請(qǐng)求信息并對(duì)此信息進(jìn)行評(píng)估,輸出評(píng)估結(jié)果信息�����,經(jīng)代理服務(wù)器模塊222 及代理客戶端模塊212轉(zhuǎn)發(fā),信息收集模塊211接收評(píng)估結(jié)果信息�,如果評(píng) 估結(jié)果信息為成功,建立信息評(píng)估模塊221對(duì)信息收集模塊211的直接信任 關(guān)系�,否則,拒絕建立直接信任關(guān)系����;同樣地,信息收集模塊2U也通過同 樣的方式建立或拒絕對(duì)信息評(píng)估模塊221的直接信任關(guān)系����。信息收集模塊211與代理客戶端模塊212建立直接信任關(guān)系過程如下信息收集模塊211收集端點(diǎn)信息�����,發(fā)出信任請(qǐng)求信息����,代理客戶端模塊 212接收信任請(qǐng)求信息并對(duì)此信息進(jìn)行評(píng)估,輸出評(píng)估結(jié)果信息��,信息收集 模塊211接收評(píng)估結(jié)果信息�,如果評(píng)估結(jié)果信息為成功,建立代理客戶端模 塊212對(duì)信息收集模塊211的直接信任關(guān)系�����;否則拒絕建立直接信任關(guān)系。 信息收集模塊211建立對(duì)代理客戶端模塊212的信任關(guān)系����、代理客戶端模塊 212與代理服務(wù)器模塊222及代理服務(wù)器模塊222與信息評(píng)估模塊221建立 相互直接信任關(guān)系相類似,在此不再贅述�����。實(shí)際應(yīng)用中��,兩個(gè)模塊建立直接信任關(guān)系可以是先由一方發(fā)起請(qǐng)求��,另 一方響應(yīng)����,然后另一方發(fā)起請(qǐng)求,對(duì)方響應(yīng)���,也可以是雙方同時(shí)向?qū)Ψ桨l(fā)起 請(qǐng)求���,然后根據(jù)相應(yīng)請(qǐng)求響應(yīng)。由上述實(shí)施例可見����,本發(fā)明實(shí)施例通過在網(wǎng)絡(luò)端點(diǎn)評(píng)估系統(tǒng)端點(diǎn)側(cè)單元 的信息收集模塊211與代理客戶端模塊212以及網(wǎng)絡(luò)側(cè)的代理服務(wù)器模塊 222與信息評(píng)估模塊221間增加直接信任關(guān)系���,增強(qiáng)了 NEA系統(tǒng)的安全性。圖3為本發(fā)明基于圖2的一個(gè)較佳實(shí)施例各實(shí)體之間建立信任關(guān)系示意 圖����。參見圖3,該系統(tǒng)包含端點(diǎn)側(cè)單元21及網(wǎng)絡(luò)側(cè)單元22,其中��,端點(diǎn)側(cè)單元21包含信息收集模塊211及代理客戶端模塊212;網(wǎng)絡(luò)側(cè)單元12包含信息評(píng)估模塊221及代理服務(wù)器模塊222��。與圖2不同的是��,圖3中免除了信息收集模塊211與信息評(píng)估模塊221 間建立的直接信任關(guān)系����,由于網(wǎng)絡(luò)側(cè)單元22和端點(diǎn)側(cè)單元21的信息交互是 通過代理客戶端模塊212和代理服務(wù)器模塊222進(jìn)行的��,因此要求代理客戶 端模塊212與代理服務(wù)器模塊222之間在傳輸信任請(qǐng)求信息之前必須建立信 任關(guān)系�����。而信息收集模塊211和信息評(píng)估模塊221間的信任關(guān)系可以由信息 收集模塊211與代理客戶端模塊212��,代理客戶端模塊212與代理服務(wù)器模 塊222,代理服務(wù)器模塊222與信息評(píng)估模塊221之間的信任關(guān)系間接得到, 所以信息收集模塊211和信息評(píng)估模塊221間可以不必建立直接的信任關(guān) 系���,相對(duì)于圖2����,這種系統(tǒng)結(jié)構(gòu)會(huì)有更高的運(yùn)行效率����。圖4為本發(fā)明第三較佳實(shí)施例各實(shí)體之間建立信任關(guān)系示意圖。參見圖 4��,該系統(tǒng)包含端點(diǎn)側(cè)單元21及網(wǎng)絡(luò)側(cè)單元22,其中�,端點(diǎn)側(cè)單元21包含信息收集模塊211及代理客戶端模塊212;網(wǎng)絡(luò)側(cè) 單元12包含信息評(píng)估模塊221及代理服務(wù)器模塊222,其中,信息收集模塊211���,用于與信息評(píng)估模塊221建立直接信任關(guān)系及與代 理客戶端模塊212建立直接信任關(guān)系�����。代理客戶端模塊212�����,用于與信息收集模塊211建立直接信任關(guān)系及與 代理服務(wù)器模塊222建立直接信任關(guān)系���,接收信息收集模塊向信息評(píng)估模塊 發(fā)送的評(píng)估結(jié)果信息及自身的信任請(qǐng)求信息以及�,信息評(píng)估模塊向信息收集 模塊發(fā)送的評(píng)估結(jié)果信息及自身的信任請(qǐng)求信息��,進(jìn)行轉(zhuǎn)發(fā)�����。代理服務(wù)器模塊222�,用于與代理客戶端模塊212建立直接信任關(guān)系, 接收信息評(píng)估模塊向信息收集模塊發(fā)送的評(píng)估結(jié)果信息及自身的信任請(qǐng)求 信息以及�����,信息收集模塊向信息評(píng)估模塊發(fā)送的評(píng)估結(jié)果信息及自身的信任 請(qǐng)求信息����,進(jìn)行轉(zhuǎn)發(fā)。信息評(píng)估模塊221����,接收信息收集模塊211發(fā)送的信任請(qǐng)求信息�,進(jìn)行 評(píng)估,輸出評(píng)估結(jié)果信息���,向信息收集模塊211發(fā)送自身的信任請(qǐng)求信息��, 建立與信息收集模塊211的直接信任關(guān)系���。圖5為本發(fā)明第四較佳實(shí)施例各實(shí)體之間建立信任關(guān)系示意圖����。參見圖 5,該系統(tǒng)包含端點(diǎn)側(cè)單元21及網(wǎng)絡(luò)側(cè)單元22���,其中�����,端點(diǎn)側(cè)單元21包含信息收集模塊211及代理客戶端模塊212;網(wǎng)絡(luò)側(cè) 單元12包含信息評(píng)估模塊221及代理服務(wù)器模塊222����。與圖4不同的是�����,圖5通過在網(wǎng)絡(luò)側(cè)的信息評(píng)估模塊221與代理服務(wù)器 模塊222之間而不是在端點(diǎn)側(cè)的信息收集模塊211與代理客戶端模塊212之 間建立直接信任關(guān)系����,同樣可以提高NEA系統(tǒng)的安全性�����。圖6為本發(fā)明實(shí)施例網(wǎng)絡(luò)接入認(rèn)證系統(tǒng)各實(shí)體間建立信任關(guān)系的流程 示意圖 參見圖6,該流程包括步驟601,建立代理客戶端模塊與代理服務(wù)器模塊間直接信任關(guān)系�;本步驟中�,代理客戶端模塊向代理服務(wù)器模塊發(fā)送信任請(qǐng)求信息,包括 通知信息�、用戶身份ID信息、公鑰信息及簽名信息的一種或多種組合���。代 理服務(wù)器模塊根據(jù)信任請(qǐng)求信息進(jìn)行評(píng)估����,建立或拒絕建立直接信任關(guān)系��; 同樣地����,代理服務(wù)器模塊向代理客戶端模塊發(fā)送信任請(qǐng)求信息,代理客戶端 模塊根據(jù)信任請(qǐng)求信息進(jìn)行評(píng)估���,建立或拒絕建立直接信任關(guān)系,建立直接 信任關(guān)系的方式包括但不限于使用證書、預(yù)共享密鑰或哈希Hash列表方式�����。步驟602���,建立信息收集模塊與信息評(píng)估模塊間直接信任關(guān)系�;本步驟中����,信息收集模塊收集端點(diǎn)信息�,發(fā)出信任請(qǐng)求信息給代理客戶 端模塊,代理客戶端模塊將信任請(qǐng)求信息轉(zhuǎn)發(fā)給代理服務(wù)器模塊��,代理服務(wù) 器模塊再轉(zhuǎn)發(fā)給信息評(píng)估模塊�����,信息評(píng)估模塊接收信任請(qǐng)求信息并對(duì)此信息 進(jìn)行評(píng)估���,輸出評(píng)估結(jié)果信息���,經(jīng)代理服務(wù)器模塊及代理客戶端模塊轉(zhuǎn)發(fā)����, 信息收集模塊接收評(píng)估結(jié)果信息��,如果評(píng)估結(jié)果信息為成功���,建立信息評(píng)估 模塊對(duì)信息收集模塊的直接信任關(guān)系�,否則�,拒絕建立直接信任關(guān)系;同樣 地���,信息收集模塊也通過同樣的方式建立或拒絕對(duì)信息評(píng)估模塊的直接信任 關(guān)系�����,建立直接信任關(guān)系的方式包括但不限于使用證書��、預(yù)共享密鑰或哈希 Hash列表方式���。步驟603,建立信息收集模塊與代理客戶端模塊間直接信任關(guān)系;和/或���,步驟604��,建立信息評(píng)估模塊與代理服務(wù)器模塊間直接信任關(guān)系�����。上述步驟601~ 604中�����,并沒有嚴(yán)格的先后順序�,步驟601 604的先后 順序可以隨意組合�,顛倒,步驟603 604中����,也沒有嚴(yán)格的先后順序;本 實(shí)施例中�,可以是執(zhí)行步驟601 603及其全組合,或是執(zhí)行步驟601��、 602 和步驟604及其全組合�����,還可以是執(zhí)行步驟601 ~ 604及其全組合�����。實(shí)際應(yīng)用中,還可以免除步驟602,執(zhí)行步驟601��、 603和步驟604及 其全組合��。圖7為本發(fā)明實(shí)施例使用證書方式建立實(shí)體2對(duì)實(shí)體l信任關(guān)系的流程 示意圖�。參見圖7,該流程包括步驟701,實(shí)體l發(fā)出信任請(qǐng)求信息;本步驟中����,信任請(qǐng)求信息為實(shí)體1的證書信息,如基于X.509協(xié)議的證 書信息�����,包含用戶ID信息����、公鑰信息及簽名信息,其中����,簽名信息為實(shí)體 1利用第三方頒發(fā)者的私鑰信息對(duì)用戶ID信息及公鑰信息進(jìn)行加密形成的 信息;也可以為通知信息�����;實(shí)體1可以為信息收集模塊,則相應(yīng)的實(shí)體2為 代理客戶端模塊��;實(shí)體1也可以為信息評(píng)估模塊���,相應(yīng)的實(shí)體2為代理服務(wù) 器模塊。步驟702���,實(shí)體2對(duì)信任請(qǐng)求信息進(jìn)行評(píng)估����,輸出第一評(píng)估結(jié)果信息��;本步驟中����,如果信任請(qǐng)求信息為通知信息,實(shí)體2輸出挑戰(zhàn)信息及實(shí)體 1證書請(qǐng)求信息��,挑戰(zhàn)信息為一隨機(jī)數(shù)��;如果信任請(qǐng)求信息為實(shí)體1的證書信息�����,實(shí)體2將證書中包含的實(shí)體1 的用戶ID信息及公鑰信息存儲(chǔ),并利用第三方頒發(fā)者的相應(yīng)公鑰信息對(duì)簽 名信息進(jìn)行解密�,恢復(fù)出用戶ID信息及公鑰信息,并與實(shí)體2存儲(chǔ)的實(shí)體 2進(jìn)行比較評(píng)估����,如果評(píng)估成功,輸出挑戰(zhàn)信息���;否則�,結(jié)束本流程���。步驟703,實(shí)體1對(duì)第一評(píng)估結(jié)果信息進(jìn)行評(píng)估�����,輸出第二評(píng)估結(jié)果信息��;本步驟中���,如果第一評(píng)估結(jié)果信息為挑戰(zhàn)信息,實(shí)體1利用自身的私鑰信息對(duì)4兆戰(zhàn)信息簽名后專命出;如杲第一評(píng)估結(jié)果信息為挑戰(zhàn)信息及實(shí)體1證書請(qǐng)求信息�����,將實(shí)體1的 證書信息及簽名后的挑戰(zhàn)信息輸出���。步驟704���,實(shí)體2對(duì)第二評(píng)估結(jié)果信息進(jìn)行評(píng)估。本步驟中��,如果第二評(píng)估結(jié)果信息為簽名后的挑戰(zhàn)信息��,利用預(yù)先存儲(chǔ) 的實(shí)體1公鑰信息對(duì)簽名的挑戰(zhàn)信息進(jìn)行評(píng)估���,如果評(píng)估成功,表明實(shí)體2 對(duì)實(shí)體l的信任評(píng)估成功���,輸出評(píng)估成功信息至實(shí)體1;否則����,拒絕建立直 接信任關(guān)系�����,輸出評(píng)估不成功信息至實(shí)體1;如果第二評(píng)估結(jié)果信息為實(shí)體1的證書信息及簽名后的挑戰(zhàn)信息,則首 先對(duì)實(shí)體1的證書進(jìn)行評(píng)估����,如果證書評(píng)估不成功,結(jié)束本流程��;否則�����,利 用實(shí)體l證書中的公鑰信息評(píng)估簽名后的挑戰(zhàn)信息��,如果評(píng)估成功,表明實(shí) 體2對(duì)實(shí)體1的信任評(píng)估成功���;否則�,拒絕建立直接信任關(guān)系。使用證書方式建立實(shí)體1對(duì)實(shí)體2信任關(guān)系的流程與上述流程相類似�����。具體應(yīng)用中����,也可以使用證書方式同時(shí)建立實(shí)體1與實(shí)體2的相互信任 關(guān)系���,圖8為本發(fā)明實(shí)施例使用證書方式同時(shí)建立實(shí)體2與實(shí)體l相互信任 關(guān)系的流程示意圖�����。參見圖8�,該流程包括步驟801,實(shí)體l發(fā)出信任請(qǐng)求信息;本步驟中����,信任請(qǐng)求信息為實(shí)體1的證書信息與實(shí)體2的證書請(qǐng)求信息��。 步驟802����,實(shí)體2對(duì)信任請(qǐng)求信息進(jìn)行評(píng)估,輸出第一評(píng)估結(jié)果信息����; 本步驟中,實(shí)體2將證書中包含的實(shí)體1的用戶ID信息及公鑰信息存 儲(chǔ),并利用第三方頒發(fā)者的相應(yīng)公鑰信息對(duì)簽名信息進(jìn)行評(píng)估����,如果評(píng)估成 功�����,輸出第一挑戰(zhàn)信息及實(shí)體2的證書信息�����;否則���,結(jié)束本流程�。步驟803��,實(shí)體1對(duì)第一評(píng)估結(jié)果信息進(jìn)行評(píng)估�����,輸出第二評(píng)估結(jié)果信息�;本步驟中,首先�,實(shí)體1將證書中包含的實(shí)體2的用戶ID信息及公鑰 信息存儲(chǔ)��,并對(duì)實(shí)體2的證書信息進(jìn)行評(píng)估����,如果評(píng)估成功��,產(chǎn)生第二挑戰(zhàn) 信息�����,然后�����,利用實(shí)體1的私鑰信息對(duì)第一挑戰(zhàn)信息進(jìn)行簽名�,輸出簽名后的第一挑戰(zhàn)信息及第二挑戰(zhàn)信息����;否則,結(jié)束本流程���。步驟804,實(shí)體2對(duì)第二評(píng)估結(jié)果信息進(jìn)行評(píng)估��,輸出第三評(píng)估結(jié)杲信白本步驟中�,首先��,利用實(shí)體2的私鑰信息對(duì)第二挑戰(zhàn)信息進(jìn)行簽名����,然 后�����,利用存儲(chǔ)的實(shí)體1公鑰信息對(duì)簽名后的第一挑戰(zhàn)信息進(jìn)行評(píng)估���,如果評(píng) 估成功,表明實(shí)體2對(duì)實(shí)體1的信任評(píng)估成功�����,輸出簽名后的第二挑戰(zhàn)信息�; 否則,結(jié)束本流程���。步驟805,實(shí)體l接收第三評(píng)估結(jié)果信息�,對(duì)簽名后的第二挑戰(zhàn)信息進(jìn) 行評(píng)估�����。本步驟中����,實(shí)體1利用存儲(chǔ)的實(shí)體2公鑰信息對(duì)簽名后的第二挑戰(zhàn)信息 進(jìn)行評(píng)估,如果評(píng)估成功�����,表明實(shí)體1對(duì)實(shí)體2的信任評(píng)估成功���,輸出評(píng)估 成功信息至實(shí)體2;否則����,拒絕建立直接信任關(guān)系��,向?qū)嶓w2輸出評(píng)估不成 功信息���。圖9為本發(fā)明實(shí)施例使用預(yù)共享密鑰方式建立實(shí)體2對(duì)實(shí)體l信任關(guān)系 的流程示意圖�����。參見圖9���,該流程包括 步驟901,實(shí)體l發(fā)出信任請(qǐng)求信息��;本步驟中�����,信任請(qǐng)求信息為實(shí)體1的用戶ID信息,也可以為一通知消 息���,用戶ID信息在后續(xù)流程中再放入��。步驟902,實(shí)體2接收信任請(qǐng)求信息�,輸出第一評(píng)估結(jié)果信息�;本步驟中,如果信任請(qǐng)求信息為通知信息��,實(shí)體2輸出挑戰(zhàn)信息及實(shí)體 1用戶ID請(qǐng)求信息����;否則,存儲(chǔ)用戶ID信息����,輸出挑戰(zhàn)信息。步驟卯3����,實(shí)體l對(duì)第一評(píng)估結(jié)果信息進(jìn)行簽名,輸出第二評(píng)估結(jié)果信息;本步驟中�����,如果第一評(píng)估結(jié)果信息為挑戰(zhàn)信息�����,實(shí)體l利用預(yù)先分配的 共享密鑰對(duì)挑戰(zhàn)信息進(jìn)行簽名后輸出���;如果第一評(píng)估結(jié)果信息為挑戰(zhàn)信息及實(shí)體l用戶ID請(qǐng)求信息,將實(shí)體 1的用戶ID信息及薟名后的挑戰(zhàn)信息輸出��。步驟卯4��,實(shí)體2對(duì)第二評(píng)估結(jié)杲信息進(jìn)行評(píng)估��。本步驟中�,如果第二評(píng)估結(jié)果信息為簽名后的挑戰(zhàn)信息,實(shí)體2根據(jù)用 戶ID信息找到預(yù)先分配給實(shí)體1的密鑰����,然后用該密鑰對(duì)挑戰(zhàn)信息進(jìn)行簽 名,并將該簽名結(jié)果信息與第二評(píng)估結(jié)果信息相比較���,如果一致��,則表明實(shí) 體2對(duì)實(shí)體1的信任請(qǐng)求通過�,輸出評(píng)估成功信息至實(shí)體1;否則,結(jié)束本圖10為本發(fā)明實(shí)施例使用哈希Hash列表方式建立實(shí)體2對(duì)實(shí)體l信任 關(guān)系的流程示意圖���。參見圖10,該流程包括步驟IOOI,實(shí)體2發(fā)出信任指示信息�;本步驟中���,信任指示信息為通知信息��。步驟1002�,實(shí)體l接收信任指示信息�,輸出結(jié)果信息;本步驟中�,輸出結(jié)果信息包含實(shí)體1用戶ID信息及預(yù)先分配給自己的 加密Hash值,加密Hash值可以采用下面方法得到將實(shí)體1的特征(比如代碼本身�����,配置文件等)進(jìn)行Hash,然后將Hash 結(jié)果用實(shí)體l并不知道的密鑰進(jìn)行簽名并發(fā)放給實(shí)體I�。步驟1003,實(shí)體2對(duì)結(jié)果信息進(jìn)行評(píng)估����。本步驟中��,實(shí)體2根據(jù)實(shí)體l輸出的用戶ID信息找到預(yù)先分配給實(shí)體 1的加密Hash值���,然后將此加密Hash值與實(shí)體1輸出的加密Hash值比較, 如果一致��,則實(shí)體2對(duì)實(shí)體1的信息評(píng)估成功�����,輸出評(píng)估成功信息至實(shí)體1; 否則����,結(jié)束本流程�����。在實(shí)體l與實(shí)體2建立直接信任關(guān)系后���,雙方實(shí)體可以視情況決定是否 需要發(fā)起進(jìn)行會(huì)話密鑰的傳遞�,如實(shí)體2向?qū)嶓w1發(fā)送通信內(nèi)容的密鑰通知��, 密鑰通知中采用對(duì)方的公鑰加密會(huì)話密鑰。實(shí)際應(yīng)用中�,兩個(gè)實(shí)體建立直接信任關(guān)系可以是先由一方發(fā)起請(qǐng)求,另 一方響應(yīng)�����,然后另一方發(fā)起請(qǐng)求���,對(duì)方響應(yīng)����,也可以是雙方同時(shí)向?qū)Ψ桨l(fā)起 請(qǐng)求����,然后雙方根據(jù)相應(yīng)請(qǐng)求響應(yīng)。以上舉較佳實(shí)施例�,對(duì)本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)進(jìn)行了進(jìn)一步詳細(xì)說明����,所應(yīng)理解的是,以上所述僅為本發(fā)明的較佳實(shí)施例而已���,并不用以 限制本發(fā)明�,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改�����、等同替換����、 改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)�。
權(quán)利要求
1. 一種網(wǎng)絡(luò)接入認(rèn)證的方法,其特征在于�����,該方法包括建立端點(diǎn)側(cè)單元的代理客戶端模塊和網(wǎng)絡(luò)側(cè)單元的代理服務(wù)器模塊直接信任關(guān)系��;建立端點(diǎn)側(cè)單元的信息收集模塊和網(wǎng)絡(luò)側(cè)單元的信息評(píng)估模塊直接信任關(guān)系�;建立所述信息收集模塊和代理客戶端模塊直接信任關(guān)系��;和/或���,建立所述信息評(píng)估模塊和代理服務(wù)器模塊直接信任關(guān)系����。
2、 根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述建立所述信息收集模塊 和代理客戶端模塊直接信任關(guān)系包括A. 信息收集模塊和代理客戶端模塊互相向?qū)Ψ桨l(fā)送信任請(qǐng)求信息����;B. 代理客戶端模塊和信息收集模塊分別根據(jù)接收的信任請(qǐng)求信息進(jìn)行信 任評(píng)估,如果信任評(píng)估成功���,建立代理客戶端模塊和信息收集模塊間直接信任 關(guān)系����。
3�、 根據(jù)權(quán)利要求2所述的方法,其特征在于���,當(dāng)所述網(wǎng)絡(luò)接入認(rèn)證的方法 為使用證書方式時(shí)����,所述信任請(qǐng)求信息包括用戶ID信息��、公鑰信息和簽名信 息����;所述步驟B包含Bl.代理客戶端模塊和信息收集模塊分別接收對(duì)方發(fā)送的信任請(qǐng)求信 息��,存儲(chǔ)用戶ID信息及公鑰信息��,對(duì)簽名信息進(jìn)行評(píng)估����,如果確定評(píng)估成 功��,向?qū)Ψ捷敵鎏魬?zhàn)信息����;B2.信息收集模塊和代理客戶端模塊接收挑戰(zhàn)信息,利用自身的私鑰信 息對(duì)挑戰(zhàn)信息簽名后向?qū)Ψ捷敵?����;B3.代理客戶端模塊和信息收集模塊接收簽名后的挑戰(zhàn)信息�����,利用步驟 Bl存儲(chǔ)的公鑰信息對(duì)簽名后的挑戰(zhàn)信息進(jìn)行評(píng)估���,如果確定評(píng)估成功,建 立直接信任關(guān)系�。
4���、 根據(jù)權(quán)利要求3所述的方法,其特征在于��,所述公鑰信息為發(fā)送方的公鑰信息����,所述簽名信息為利用第三方頒發(fā)者的私鑰信息對(duì)用戶ID信息 和公鑰信息加密形成的信息,所述對(duì)簽名信息進(jìn)行評(píng)估包括利用第三方頒 發(fā)者的公鑰信息�,對(duì)簽名信息進(jìn)行解密,恢復(fù)用戶ID信息和公鑰信息�,再 與接收到的相應(yīng)用戶ID信息和公鑰信息進(jìn)行比較;所述挑戰(zhàn)信息為隨機(jī)數(shù)�。
5、 根據(jù)權(quán)利要求2所述的方法��,其特征在于�����,當(dāng)所述網(wǎng)絡(luò)接入認(rèn)證的方法 為使用預(yù)共享密鑰方式時(shí)�����,所述信任請(qǐng)求信息包括用戶ID信息����;所述步驟B 包含Bll.代理客戶端模塊和信息收集模塊分別接收對(duì)方發(fā)送的信任請(qǐng)求信 息��,存儲(chǔ)用戶ID信息��,向?qū)Ψ捷敵鎏魬?zhàn)信息���;B12.信息收集模塊和代理客戶端模塊接收挑戰(zhàn)信息,利用預(yù)先分配的 共享密鑰對(duì)挑戰(zhàn)信息進(jìn)行簽名后向?qū)Ψ捷敵?;B13.代理客戶端模塊和信息收集模塊接收簽名后的挑戰(zhàn)信息,根據(jù)步 驟Bll中得到的用戶ID信息查找到預(yù)先分配的密鑰��,用該密鑰對(duì)挑戰(zhàn)信息 進(jìn)行簽名���,對(duì)該簽名結(jié)果信息與簽名后的挑戰(zhàn)信息進(jìn)行評(píng)估���,如果確定評(píng)估 成功,建立直接信任關(guān)系�����。
6����、 根據(jù)權(quán)利要求2所述的方法,其特征在于��,當(dāng)所述網(wǎng)絡(luò)接入認(rèn)證的 方法為使用哈希Hash列表方式時(shí)�,所述信任請(qǐng)求信息包括通知信息;所述 步驟B包含Bill.代理客戶端模塊和信息收集模塊分別接收對(duì)方發(fā)送的信任請(qǐng)求 信息����,向?qū)Ψ捷敵鲇脩鬒D信息及預(yù)先分配的加密Hash值;B112.信息收集模塊和代理客戶端模塊根據(jù)接收的用戶ID信息查找到 預(yù)先分配的加密Hash值�����,將該加密Hash值與接收的加密Hash值進(jìn)行評(píng)估�, 如果確定評(píng)估成功,建立直接信任關(guān)系�。
7、 一種網(wǎng)絡(luò)接入認(rèn)證的方法����,其特征在于,該方法包括 建立端點(diǎn)側(cè)單元的代理客戶端模塊和網(wǎng)絡(luò)側(cè)單元的代理服務(wù)器模塊直接信任關(guān)系��;建立所迷信息收集模塊和代理客戶端模塊直接信任關(guān)系���;建立所迷信息評(píng)估模塊和代理服務(wù)器模塊直接信任關(guān)系���。
8���、 一種網(wǎng)絡(luò)接入認(rèn)證的系統(tǒng),包含端點(diǎn)側(cè)單元及網(wǎng)絡(luò)側(cè)單元�,其中, 端點(diǎn)側(cè)單元包含信息收集模塊及代理客戶端模塊����,網(wǎng)絡(luò)側(cè)單元包含信息評(píng)估 模塊與代理服務(wù)器模塊,代理客戶端模塊用于與代理服務(wù)器模塊建立直接信 任關(guān)系���,信息收集模塊用于與信息評(píng)估模塊建立直接信任關(guān)系�,其特征在于�����, 所述信息收集模塊進(jìn)一步用于與代理客戶端模塊建立直接信任關(guān)系����;和/或, 所述信息評(píng)估模塊進(jìn)一步用于與代理服務(wù)器模塊建立直接信任關(guān)系��,其中,信息收集模塊��,用于與代理客戶端模塊建立信任關(guān)系接收代理客戶端 模塊發(fā)出的信任請(qǐng)求信息并根據(jù)信任請(qǐng)求信息進(jìn)行信任評(píng)估���,向代理客戶端 模塊輸出評(píng)估結(jié)果信息及自身的信任請(qǐng)求信息;代理客戶端模塊����,用于與所述信息收集模塊建立信任關(guān)系接收信息收 集模塊發(fā)出的信任請(qǐng)求信息并根據(jù)信任請(qǐng)求信息進(jìn)行信任評(píng)估,向信息收集 模塊輸出評(píng)估結(jié)果信息及自身的信任請(qǐng)求信息��;和/或����,信息評(píng)估模塊,用于與所述代理服務(wù)器模塊建立信任關(guān)系接收代理服 務(wù)器模塊發(fā)出的信任請(qǐng)求信息并根據(jù)信任請(qǐng)求信息進(jìn)行信任評(píng)估�����,向代理服 務(wù)器模塊輸出評(píng)估結(jié)果信息及自身的信任請(qǐng)求信息���;代理服務(wù)器模塊����,用于與所述信息評(píng)估模塊建立信任關(guān)系接收信息評(píng) 估模塊及代理客戶端模塊發(fā)出的信任請(qǐng)求信息并根據(jù)信任請(qǐng)求信息進(jìn)行信 任評(píng)估,向信息評(píng)估模塊輸出評(píng)估結(jié)果信息及自身的信任請(qǐng)求信息����。
9、 根據(jù)權(quán)利要求8所述的系統(tǒng)���,其特征在于���,當(dāng)使用證書方式建立所 述信息收集模塊與代理客戶端模塊直接信任關(guān)系時(shí),所述信任請(qǐng)求信息包 括用戶ID信息�����、公鑰信息和簽名信息��;所述代理客戶端模塊��,接收對(duì)方發(fā)送的信任請(qǐng)求信息����,存儲(chǔ)用戶ID信 息及公鑰信息,對(duì)簽名信息進(jìn)行評(píng)估����,如果確定評(píng)估成功�,向?qū)Ψ捷敵鎏魬?zhàn) 信息����;否則,向?qū)Ψ捷敵鲈u(píng)估不成功信息���;接收挑戰(zhàn)信息及評(píng)估不成功信息, 利用自身的私鑰信息對(duì)挑戰(zhàn)信息簽名后向?qū)Ψ捷敵?;接收簽名后的挑?zhàn)信 息,根據(jù)預(yù)先存儲(chǔ)的公鑰信息對(duì)簽名后的挑戰(zhàn)信息進(jìn)行評(píng)估���,如果評(píng)估成功�,輸出直接信任關(guān)系建立成功信息�����;否則�����,輸出直接信任關(guān)系建立失敗信息���; 信息收集模塊�����,接收對(duì)方發(fā)送的信任請(qǐng)求信息�����,存儲(chǔ)用戶ID信息及公 鑰信息�,對(duì)簽名信息進(jìn)行評(píng)估,如果確定評(píng)估成功�����,向?qū)Ψ捷敵鎏魬?zhàn)信息��; 否則�,向?qū)Ψ捷敵鲈u(píng)估不成功信息;接收挑戰(zhàn)信息及評(píng)估不成功信息����,利用 自身的私鑰信息對(duì)挑戰(zhàn)信息簽名后向?qū)Ψ捷敵觯唤邮蘸灻蟮奶魬?zhàn)信息���,根 據(jù)預(yù)先存儲(chǔ)的公鑰信息對(duì)簽名后的挑戰(zhàn)信息進(jìn)行評(píng)估�,如果評(píng)估成功���,輸出 直接信任關(guān)系建立成功信息���;否則��,輸出直接信任關(guān)系建立失敗信息��。
10���、 根據(jù)權(quán)利要求9所述的系統(tǒng)�����,其特征在于�,所述公鑰信息為發(fā)送方 的公鑰信息,所述簽名信息為利用第三方頒發(fā)者的私鑰信息對(duì)用戶ID信息 和公鑰信息加密形成的信息���,所述對(duì)簽名信息進(jìn)行評(píng)估包括利用第三方頒 發(fā)者的公鑰信息���,對(duì)接收的簽名信息進(jìn)行解密,恢復(fù)用戶ID信息和公鑰信 息����,再與接收到的相應(yīng)用戶ID信息和公鑰信息進(jìn)行比較�;所述挑戰(zhàn)信息為 隨機(jī)數(shù)�。
11、 根據(jù)權(quán)利要求8所述的系統(tǒng)����,其特征在于,當(dāng)使用預(yù)共享密鑰方式 建立所述信息收集模塊與代理客戶端模塊直接信任關(guān)系時(shí)�����,所述信任請(qǐng)求信 息包括用戶ID信息�;所述代理客戶端模塊,接收對(duì)方發(fā)送的信任請(qǐng)求信息�����,存儲(chǔ)用戶ID信 息��,向?qū)Ψ捷敵鎏魬?zhàn)信息����;接收挑戰(zhàn)信息,利用預(yù)先分配的共享密鑰對(duì)挑戰(zhàn) 信息進(jìn)行簽名后向?qū)Ψ捷敵?;接收簽名后的挑?zhàn)信息,根據(jù)預(yù)先存儲(chǔ)的用戶 ID信息查找到預(yù)先分配的密鑰,用該密鑰對(duì)挑戰(zhàn)信息進(jìn)行簽名�,對(duì)該簽名 結(jié)果信息與簽名后的挑戰(zhàn)信息進(jìn)行評(píng)估,如果確定評(píng)估成功�����,輸出直接信任 關(guān)系建立成功信息���;否則���,輸出直接信任關(guān)系建立失敗信息;信息收集模塊��,接收對(duì)方發(fā)送的信任請(qǐng)求信息���,存儲(chǔ)用戶ID信息,向 對(duì)方輸出挑戰(zhàn)信息��;接收挑戰(zhàn)信息�,利用預(yù)先分配的共享密鑰對(duì)挑戰(zhàn)信息進(jìn) 行簽名后向?qū)Ψ捷敵觯唤邮蘸灻蟮奶魬?zhàn)信息�,根據(jù)預(yù)先存儲(chǔ)的用戶ID信 息查找到預(yù)先分配的密鑰,用該密鑰對(duì)挑戰(zhàn)信息進(jìn)行簽名���,對(duì)該簽名結(jié)果信 息與簽名后的挑戰(zhàn)信息進(jìn)行評(píng)估���,如果確定評(píng)估成功����,輸出直接信任關(guān)系建立成功信息���;否則����,輸出直接信任關(guān)系建立失敗信息��。
12�、 根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于�,當(dāng)使用哈希Hash列表 方式建立所述信息收集模塊與代理客戶端模塊直接信任關(guān)系時(shí),所述信任請(qǐng) 求信息包括通知信息���;所述代理客戶端模塊�,接收對(duì)方發(fā)送的信任請(qǐng)求信息����,輸出用戶ID信 息及預(yù)先分配的加密Hash值;接收用戶ID信息,根據(jù)接收的用戶ID信息 查找到預(yù)先分配的加密Hash值���,將該加密Hash值與接收的加密Hash值進(jìn) 行評(píng)估�,如果確定評(píng)估成功�����,輸出直接信任關(guān)系建立成功信息���;否則����,輸出 直接信任關(guān)系建立失敗信息�����;信息收集模塊�����,接收對(duì)方發(fā)送的信任請(qǐng)求信息���,輸出用戶ID信息及預(yù) 先分配的加密Hash值;接收用戶ID信息,根據(jù)接收的用戶ID信息查找到 預(yù)先分配的加密Hash值�,將該加密Hash值與接收的加密Hash值進(jìn)行評(píng)估, 如果確定評(píng)估成功�,輸出直接信任關(guān)系建立成功信息;否則����,輸出直接信任 關(guān)系建立失敗信息。
13�、 一種網(wǎng)絡(luò)接入認(rèn)證的系統(tǒng),包含端點(diǎn)側(cè)單元及網(wǎng)絡(luò)側(cè)單元�,其中, 端點(diǎn)側(cè)單元包含信息收集模塊及代理客戶端模塊��,網(wǎng)絡(luò)側(cè)單元包含信息評(píng)估 模塊與代理服務(wù)器模塊���,其特征在于��,所述信息收集模塊進(jìn)一步用于與代理 客戶端模塊建立直接信任關(guān)系��;所述信息評(píng)估模塊進(jìn)一步用于與代理服務(wù)器 模塊建立直接信任關(guān)系��,其中����,信息收集模塊,用于與代理客戶端模塊建立信任關(guān)系����,收集端點(diǎn)信息, 接收代理客戶端模塊發(fā)出的信任請(qǐng)求信息并根據(jù)信任請(qǐng)求信息進(jìn)行信任評(píng) 估��,輸出評(píng)估結(jié)果信息及自身的信任請(qǐng)求信息��;代理客戶端模塊�,用于與所述信息收集模塊及代理服務(wù)器模塊建立信任 關(guān)系,接收信息收集模塊及代理服務(wù)器模塊發(fā)出的信任請(qǐng)求信息并根據(jù)信任 請(qǐng)求信息進(jìn)行信任評(píng)估����,向信息收集模塊及代理服務(wù)器模塊輸出評(píng)估結(jié)果信 息及自身的信任請(qǐng)求信息;信息評(píng)估模塊����,用亍與所述代理服務(wù)器模塊建立信任關(guān)系,收集網(wǎng)絡(luò)信息�,接收代理服務(wù)器模塊發(fā)出的信任請(qǐng)求信息并根據(jù)信任請(qǐng)求信息進(jìn)行信任評(píng)估,輸出評(píng)估結(jié)果信息及自身的信任請(qǐng)求信息���;代理服務(wù)器模塊����,用于與所述信息評(píng)估模塊及代理客戶端模塊建立信任 關(guān)系��,接收信息評(píng)估模塊及代理客戶端模塊發(fā)出的信任請(qǐng)求信息并根據(jù)信任 請(qǐng)求信息進(jìn)行信任評(píng)估�,向信息評(píng)估模塊及代理客戶端模塊輸出評(píng)估結(jié)果信 息及自身的信任請(qǐng)求信息。
全文摘要
本發(fā)明實(shí)施例中公開了一種網(wǎng)絡(luò)接入認(rèn)證的方法�。包括建立端點(diǎn)側(cè)單元的代理客戶端模塊和網(wǎng)絡(luò)側(cè)單元的代理服務(wù)器模塊直接信任關(guān)系;建立端點(diǎn)側(cè)單元的信息收集模塊和網(wǎng)絡(luò)側(cè)單元的信息評(píng)估模塊直接信任關(guān)系�;建立信息收集模塊和代理客戶端模塊直接信任關(guān)系;和/或���,建立信息評(píng)估模塊和代理服務(wù)器模塊直接信任關(guān)系��。本發(fā)明實(shí)施例中還公開了一種網(wǎng)絡(luò)接入認(rèn)證的系統(tǒng)����。包含代理客戶端模塊�����、信息收集模塊����、代理服務(wù)器模塊及信息評(píng)估模塊,增加代理客戶端模塊和信息收集模塊��;和/或,信息評(píng)估模塊和代理服務(wù)器模塊間直接信任關(guān)系����。應(yīng)用本發(fā)明能夠保證各實(shí)體的行為符合網(wǎng)絡(luò)端點(diǎn)評(píng)估系統(tǒng)架構(gòu)的要求,增強(qiáng)了系統(tǒng)的安全性�����。
文檔編號(hào)H04L29/06GK101227452SQ20071000099
公開日2008年7月23日 申請(qǐng)日期2007年1月17日 優(yōu)先權(quán)日2007年1月17日
發(fā)明者位繼偉, 瀚 尹 申請(qǐng)人:華為技術(shù)有限公司