一種基于IPsec的可信網(wǎng)絡(luò)連接方法
【專利摘要】本發(fā)明屬于可信網(wǎng)絡(luò)連接(TNC)【技術(shù)領(lǐng)域】，具體而言，本發(fā)明涉及一種基于IPsec的可信網(wǎng)絡(luò)連接方法，使得終端和服務(wù)器之間通過IKE會(huì)話，周期性更新安全聯(lián)盟(SA)時(shí)，也周期性進(jìn)行了雙向平臺(tái)身份認(rèn)證、完整性驗(yàn)證。從而既保證了終端平臺(tái)的動(dòng)態(tài)可信，保證了應(yīng)用服務(wù)器的訪問安全；也保證了終端從網(wǎng)絡(luò)中獲取的服務(wù)可信。
【專利說明】—種基于IPsec的可信網(wǎng)絡(luò)連接方法

【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于可信網(wǎng)絡(luò)連接(TNC)【技術(shù)領(lǐng)域】，具體而言，本發(fā)明涉及一種基于IPsec的可信網(wǎng)絡(luò)連接方法。

【背景技術(shù)】
[0002]在標(biāo)準(zhǔn)的可信網(wǎng)絡(luò)連接(TNC)架構(gòu)中，只是在終端接入網(wǎng)絡(luò)的過程中對(duì)終端進(jìn)行了平臺(tái)身份認(rèn)證與完整性驗(yàn)證，在終端接入網(wǎng)絡(luò)之后就沒有相應(yīng)的措施對(duì)網(wǎng)絡(luò)和終端進(jìn)行保護(hù)。終端平臺(tái)有可能在接入后發(fā)生可信狀態(tài)的改變，因此有必要增加整個(gè)接入過程的控制機(jī)制，保證終端平臺(tái)的動(dòng)態(tài)可信。
[0003]同時(shí)，傳統(tǒng)可信網(wǎng)絡(luò)連接(TNC)的出發(fā)點(diǎn)是保證網(wǎng)絡(luò)的安全性，因此該架構(gòu)沒有考慮如何保護(hù)終端的安全。終端在接入網(wǎng)絡(luò)之前，除了要提供自身的平臺(tái)可信性證據(jù)之外，還應(yīng)該具有對(duì)接入網(wǎng)絡(luò)進(jìn)行可信性評(píng)估，否則無法保證從網(wǎng)絡(luò)中獲取的服務(wù)可信。


【發(fā)明內(nèi)容】

[0004]本發(fā)明主要是解決現(xiàn)有技術(shù)所存在的技術(shù)問題，提供一種能夠使終端和服務(wù)器之間通過IKE會(huì)話，周期性更新安全聯(lián)盟(SA)時(shí)，也周期性進(jìn)行了雙向平臺(tái)身份認(rèn)證、完整性驗(yàn)證，從而既保證了終端平臺(tái)的動(dòng)態(tài)可信、應(yīng)用服務(wù)器的訪問安全，也保證了終端從網(wǎng)絡(luò)中獲取的服務(wù)可信的一種基于IPsec的可信網(wǎng)絡(luò)連接方法
本發(fā)明的上述技術(shù)問題主要是通過下述技術(shù)方案得以解決的:
一種基于IPsec的可信網(wǎng)絡(luò)連接方法，基于一個(gè)基本架構(gòu)，即:可信終端在訪問可信服務(wù)器的過程中，底層通訊通路使用IPsec安全通道，IPsec安全通道所使用安全聯(lián)盟的生命周期結(jié)束前，需要雙方進(jìn)行IKE會(huì)話，生成新的安全聯(lián)盟；其特征在于，包括以下步驟:
步驟1、IKE客戶端向IKE服務(wù)端發(fā)起密鑰協(xié)商；成功后IKE服務(wù)端通知TNC服務(wù)端有一個(gè)IKE協(xié)商請(qǐng)求到來，若不成功則整個(gè)步驟結(jié)束；
步驟2、TNC服務(wù)端和TNC客戶端進(jìn)行雙向平臺(tái)驗(yàn)證，并根據(jù)驗(yàn)證結(jié)果進(jìn)行如下操作:選擇操作一:TNC客戶端和TNC服務(wù)端之間的平臺(tái)驗(yàn)證成功完成，TNC服務(wù)端通知認(rèn)證中心新的IKE協(xié)商請(qǐng)求已經(jīng)發(fā)生，需要進(jìn)行完整性驗(yàn)證。同時(shí)TNC客戶端通知完整性收集器新的IKE協(xié)商請(qǐng)求已經(jīng)發(fā)生，需要準(zhǔn)備完整性相關(guān)信息。完整性收集器向TNC客戶端返回平臺(tái)完整性消息；并繼續(xù)進(jìn)行下一步的操作；
選擇操作二 =TNC客戶端和TNC服務(wù)端之間的平臺(tái)驗(yàn)證失敗，則整個(gè)步驟結(jié)束；
步驟3、完整性收集器和認(rèn)證中心之間進(jìn)行完整性消息交換、驗(yàn)證，該完整性消息交換、驗(yàn)證通過TNC客戶端和TNC服務(wù)端進(jìn)行；同時(shí)完整性消息將會(huì)被IPsec客戶端、IPsec服務(wù)端轉(zhuǎn)發(fā)，直到可信終端的完整性狀態(tài)滿足TNC服務(wù)端的要求；
步驟4、當(dāng)TNC服務(wù)端完成和TNC客戶端的完整性驗(yàn)證握手之后，它發(fā)送TNC服務(wù)端推薦操作給IKE服務(wù)端；
步驟5、IKE服務(wù)端將IKE協(xié)商的結(jié)果通知相關(guān)各方。
[0005]在上述的一種基于IPsec的可信網(wǎng)絡(luò)連接方法，所述步驟3中，完整性消息交換、驗(yàn)證的具體方法是:
步驟3.1、TNC客戶端和TNC服務(wù)端交換完整性驗(yàn)證相關(guān)的各種信息。這些信息將會(huì)被IPsec客戶端、IPsec服務(wù)端轉(zhuǎn)發(fā)，直到可信終端的完整性狀態(tài)滿足TNC服務(wù)端的要求。
[0006]步驟3.2、TNC服務(wù)端將每個(gè)完整性收集器收集的完整性信息發(fā)送給認(rèn)證中心。認(rèn)證中心對(duì)完整性收集器收集的完整性信息進(jìn)行分析，如果認(rèn)證中心需要更多的完整性信息，它將通過IF-MV接口向TNC服務(wù)端發(fā)送信息。如果認(rèn)證中心已經(jīng)對(duì)完整性收集器收集的完整性信息做出判斷，它將結(jié)果通過IF-1MV接口發(fā)送給TNC服務(wù)端。
[0007]步驟3.3、TNC客戶端也要轉(zhuǎn)發(fā)來自TNC服務(wù)端的信息給相應(yīng)的完整性收集器，并將來自完整性收集器的信息發(fā)給TNC服務(wù)端。
[0008]在上述的一種基于IPsec的可信網(wǎng)絡(luò)連接方法，所述步驟5中，具體需要通知的對(duì)象如下:
通知對(duì)象一:IKE服務(wù)端將IKE協(xié)商結(jié)果通知給IKE客戶端，IKE協(xié)商完成；
通知對(duì)象二:IKE服務(wù)端將IKE協(xié)商結(jié)果通知給網(wǎng)絡(luò)訪問授權(quán)模塊，并根據(jù)協(xié)商結(jié)果對(duì)該終端的訪問控制策略進(jìn)行更新；具體是:若IKE協(xié)商結(jié)果為協(xié)商成功，則對(duì)網(wǎng)絡(luò)訪問授權(quán)模塊的訪問控制策略進(jìn)行禁止訪問的更新；若IKE協(xié)商結(jié)果為協(xié)商失敗，則對(duì)網(wǎng)絡(luò)訪問授權(quán)模塊的訪問控制策略進(jìn)行允許訪問的更新；
通知對(duì)象三:IKE服務(wù)端將協(xié)商成功的終端與服務(wù)器之間安全聯(lián)盟通告給IPsec服務(wù)端，IKE客戶端將協(xié)商成功的終端與服務(wù)器之間安全聯(lián)盟通告給IPsec客戶端。
[0009]因此，本發(fā)明具有如下優(yōu)點(diǎn):能夠使終端和服務(wù)器之間通過IKE會(huì)話，周期性更新安全聯(lián)盟(SA)時(shí)，也周期性進(jìn)行了雙向平臺(tái)身份認(rèn)證、完整性驗(yàn)證。從而既保證了終端平臺(tái)的動(dòng)態(tài)可信、應(yīng)用服務(wù)器的訪問安全；也保證了終端從網(wǎng)絡(luò)中獲取的服務(wù)可信。

【專利附圖】

【附圖說明】
[0010]附圖1是本發(fā)明的一種方法原理示意圖。

【具體實(shí)施方式】
[0011]下面通過實(shí)施例并結(jié)合附圖對(duì)本發(fā)明的技術(shù)方案作進(jìn)一步具體的說明。
[0012]實(shí)施例:
可信終端在訪問可信服務(wù)器的過程中，底層通訊通路使用的是IPsec安全通道。IPsec安全通道所使用安全聯(lián)盟(SA)的生命周期結(jié)束前，需要雙方進(jìn)行IKE會(huì)話，生成新的安全聯(lián)盟(SA)。
[0013]本專利將平臺(tái)身份認(rèn)證、完整性驗(yàn)證加入IKE會(huì)話連接建立的過程中，使得終端和服務(wù)器之間通過IKE會(huì)話，周期性更新安全聯(lián)盟(SA)時(shí)，也周期性進(jìn)行了平臺(tái)身份認(rèn)證、完整性驗(yàn)證。步驟如下:
I) IKE客戶端向IKE服務(wù)端發(fā)起協(xié)商，第一步進(jìn)行密鑰協(xié)商。
[0014]2) IKE客戶端和IKE服務(wù)端之間密鑰協(xié)商成功，則IKE服務(wù)端通知TNC服務(wù)端有一個(gè)IKE協(xié)商請(qǐng)求到來。
[0015]3) TNC服務(wù)端和TNC客戶端進(jìn)行雙向平臺(tái)驗(yàn)證。
[0016]4)假定TNC客戶端和TNC服務(wù)端之間的平臺(tái)驗(yàn)證成功完成，TNC服務(wù)端通知認(rèn)證中心新的IKE協(xié)商請(qǐng)求已經(jīng)發(fā)生，需要進(jìn)行完整性驗(yàn)證。同時(shí)TNC客戶端通知完整性收集器新的IKE協(xié)商請(qǐng)求已經(jīng)發(fā)生，需要準(zhǔn)備完整性相關(guān)信息。完整性收集器向TNC客戶端返回平臺(tái)完整性消息。
[0017]5)第五步主要涉及完整性收集器、認(rèn)證中心之間進(jìn)行完整性消息交換、驗(yàn)證
a) TNC客戶端和TNC服務(wù)端交換完整性驗(yàn)證相關(guān)的各種信息。這些信息將會(huì)被IPsec客戶端、IPsec服務(wù)端轉(zhuǎn)發(fā)，直到可信終端的完整性狀態(tài)滿足TNC服務(wù)端的要求。
[0018]b) TNC服務(wù)端將每個(gè)完整性收集器收集的完整性信息發(fā)送給認(rèn)證中心。認(rèn)證中心對(duì)完整性收集器收集的完整性信息進(jìn)行分析，如果認(rèn)證中心需要更多的完整性信息，它將通過IF-MV接口向TNC服務(wù)端發(fā)送信息。如果認(rèn)證中心已經(jīng)對(duì)完整性收集器收集的完整性信息做出判斷，它將結(jié)果通過IF-1MV接口發(fā)送給TNC服務(wù)端。
[0019]c)TNC客戶端也要轉(zhuǎn)發(fā)來自TNC服務(wù)端的信息給相應(yīng)的完整性收集器，并將來自完整性收集器的信息發(fā)給TNC服務(wù)端。
[0020]6)當(dāng)TNC服務(wù)端完成和TNC客戶端的完整性驗(yàn)證握手之后，它發(fā)送TNC服務(wù)端推薦操作給IKE服務(wù)端；
7) IKE服務(wù)端將IKE協(xié)商的結(jié)果通知相關(guān)各方，
a)IKE服務(wù)端將IKE協(xié)商結(jié)果通知給IKE客戶端，IKE協(xié)商完成；
b)IKE服務(wù)端將IKE協(xié)商結(jié)果通知給網(wǎng)絡(luò)訪問授權(quán)模塊，并根據(jù)協(xié)商結(jié)果(成功OR失敗)對(duì)該終端的訪問控制策略進(jìn)行更新(禁止訪問OR允許訪問)；
c)IKE服務(wù)端將協(xié)商成功的終端與服務(wù)器之間安全聯(lián)盟(SA)通告給IPsec服務(wù)端，IKE客戶端將協(xié)商成功的終端與服務(wù)器之間安全聯(lián)盟(SA)通告給IPsec客戶端。
[0021]到此，一次完整的IKE會(huì)話結(jié)束。在IKE會(huì)話中，服務(wù)器再次確認(rèn)終端的平臺(tái)身份、完整性狀態(tài)后，終端和服務(wù)器使用新的安全聯(lián)盟(SA)建立IPsec通道，傳輸終端訪問應(yīng)用服務(wù)器的數(shù)據(jù)包。
[0022]本文中所描述的具體實(shí)施例僅僅是對(duì)本發(fā)明精神作舉例說明。本發(fā)明所屬【技術(shù)領(lǐng)域】的技術(shù)人員可以對(duì)所描述的具體實(shí)施例做各種各樣的修改或補(bǔ)充或采用類似的方式替代，但并不會(huì)偏離本發(fā)明的精神或者超越所附權(quán)利要求書所定義的范圍。
【權(quán)利要求】
1.一種基于IPsec的可信網(wǎng)絡(luò)連接方法，基于一個(gè)基本架構(gòu)，即:可信終端在訪問可信服務(wù)器的過程中，底層通訊通路使用IPsec安全通道，IPsec安全通道所使用安全聯(lián)盟的生命周期結(jié)束前，需要雙方進(jìn)行IKE會(huì)話，生成新的安全聯(lián)盟；其特征在于，包括以下步驟: 步驟1、IKE客戶端向IKE服務(wù)端發(fā)起密鑰協(xié)商；成功后IKE服務(wù)端通知TNC服務(wù)端有一個(gè)IKE協(xié)商請(qǐng)求到來，若不成功則整個(gè)步驟結(jié)束；步驟2、TNC服務(wù)端和TNC客戶端進(jìn)行雙向平臺(tái)驗(yàn)證，并根據(jù)驗(yàn)證結(jié)果進(jìn)行如下操作:選擇操作一:TNC客戶端和TNC服務(wù)端之間的平臺(tái)驗(yàn)證成功完成，TNC服務(wù)端通知認(rèn)證中心新的IKE協(xié)商請(qǐng)求已經(jīng)發(fā)生，需要進(jìn)行完整性驗(yàn)證；同時(shí)TNC客戶端通知完整性收集器新的IKE協(xié)商請(qǐng)求已經(jīng)發(fā)生，需要準(zhǔn)備完整性相關(guān)信息；完整性收集器向TNC客戶端返回平臺(tái)完整性消息；并繼續(xù)進(jìn)行下一步的操作； 選擇操作二 =TNC客戶端和TNC服務(wù)端之間的平臺(tái)驗(yàn)證失敗，則整個(gè)步驟結(jié)束； 步驟3、完整性收集器和認(rèn)證中心之間進(jìn)行完整性消息交換、驗(yàn)證，該完整性消息交換、驗(yàn)證通過TNC客戶端和TNC服務(wù)端進(jìn)行；同時(shí)完整性消息將會(huì)被IPsec客戶端、IPsec服務(wù)端轉(zhuǎn)發(fā)，直到可信終端的完整性狀態(tài)滿足TNC服務(wù)端的要求； 步驟4、當(dāng)TNC服務(wù)端完成和TNC客戶端的完整性驗(yàn)證握手之后，它發(fā)送TNC服務(wù)端推薦操作給IKE服務(wù)端； 步驟5、IKE服務(wù)端將IKE協(xié)商的結(jié)果通知相關(guān)各方。
2.根據(jù)權(quán)利要求1所述的一種基于IPsec的可信網(wǎng)絡(luò)連接方法，其特征在于，所述步驟3中，完整性消息交換、驗(yàn)證的具體方法是: 步驟3.UTNC客戶端和TNC服務(wù)端交換完整性驗(yàn)證相關(guān)的各種信息；這些信息將會(huì)被IPsec客戶端、IPsec服務(wù)端轉(zhuǎn)發(fā)，直到可信終端的完整性狀態(tài)滿足TNC服務(wù)端的要求；步驟3.2、TNC服務(wù)端將每個(gè)完整性收集器收集的完整性信息發(fā)送給認(rèn)證中心；認(rèn)證中心對(duì)完整性收集器收集的完整性信息進(jìn)行分析，如果認(rèn)證中心需要更多的完整性信息，它將通過IF-MV接口向TNC服務(wù)端發(fā)送信息；如果認(rèn)證中心已經(jīng)對(duì)完整性收集器收集的完整性信息做出判斷，它將結(jié)果通過IF-1MV接口發(fā)送給TNC服務(wù)端； 步驟3.3、TNC客戶端也要轉(zhuǎn)發(fā)來自TNC服務(wù)端的信息給相應(yīng)的完整性收集器，并將來自完整性收集器的信息發(fā)給TNC服務(wù)端。
3.根據(jù)權(quán)利要求1所述的一種基于IPsec的可信網(wǎng)絡(luò)連接方法，其特征在于，所述步驟5中，具體需要通知的對(duì)象如下: 通知對(duì)象一:IKE服務(wù)端將IKE協(xié)商結(jié)果通知給IKE客戶端，IKE協(xié)商完成； 通知對(duì)象二:IKE服務(wù)端將IKE協(xié)商結(jié)果通知給網(wǎng)絡(luò)訪問授權(quán)模塊，并根據(jù)協(xié)商結(jié)果對(duì)該終端的訪問控制策略進(jìn)行更新；具體是:若IKE協(xié)商結(jié)果為協(xié)商成功，則對(duì)網(wǎng)絡(luò)訪問授權(quán)模塊的訪問控制策略進(jìn)行禁止訪問的更新；若IKE協(xié)商結(jié)果為協(xié)商失敗，則對(duì)網(wǎng)絡(luò)訪問授權(quán)模塊的訪問控制策略進(jìn)行允許訪問的更新； 通知對(duì)象三:IKE服務(wù)端將協(xié)商成功的終端與服務(wù)器之間安全聯(lián)盟通告給IPsec服務(wù)端，IKE客戶端將協(xié)商成功的終端與服務(wù)器之間安全聯(lián)盟通告給IPsec客戶端。
【文檔編號(hào)】H04L29/06GK104079570SQ201410294716
【公開日】2014年10月1日 申請(qǐng)日期:2014年6月27日 優(yōu)先權(quán)日:2014年6月27日
【發(fā)明者】劉毅, 周艷鋼, 余發(fā)江, 肖霄, 馮振新 申請(qǐng)人:東湖軟件產(chǎn)業(yè)股份有限公司