一种云环境下面向移动终端用户的可信连接验证方法
技术领域
本发明涉及可信连接验证
技术领域
,特别是涉及云环境下的面向移动终端用户的可信连接验证方法。背景技术
如今随着信息技术的发展,云计算已经广泛应用到工业领域和商业领域,由于云计算强大的存储能力和计算资源,促使越来越多的私人和企业将一些数据和服务外包给云服务商。同时,随着移动网络的发展,在云计算环境中,通过移动终端来进行数据的分享和查询也变得越来越普遍。由于许多企业和政府的关键数据存储在云端,虽然这些数据都进行了加密处理,但是面对不断的非法入侵攻击,实现云计算环境下移动终端用户的可信连接验证是十分重要的。
可信连接验证方法在移动终端接入网络之前对其平台状态进行度量,只有满足网络安全策略的终端才被允许接入网络,使对网络有潜在威胁的终端不能直接接入网络,这是一种主动、双向的、预先防范的可信连接方法。可信连接是可信计算体系结构的一个重要组成部分,是具有可信平台控制模块的终端与可信连接验证的架构,目的是使信任链从终端扩展到网络,将单个终端的可信状态扩展到互联系统。
为实现上述功能,可信连接验证方法拟解决以下关键问题:
(1)可信平台评估:验证移动终端的身份、平台身份和平台完整性;
(2)终端策略授权:确认移动终端的可信状态,例如:应用程序的存在性、状态、升级情况,升级防病毒软件和IS的规则库的版本,操作系统和应用程序的补丁级别等,给予终端一个可以登录网络的权限,从而获得在一定权限控制下的网络访问权;
(3)访问策略:确认移动终端及其用户的权限,并在其连接网络以前建立可信级别,平衡已存在的标准、产品及技术;
(4)评估、隔离及补救:确认移动终端是否符合可信策略,如终端不符合安全策略,将其隔离在可信网络之外。
发明内容
本发明提供一种云环境下面向移动终端用户的可信连接验证方法,提高可信连接验证的安全可靠性。
本发明一种云环境下面向移动终端用户的可信连接验证方法,包括如下步骤:
S1,可信连接验证包括三个实体,分别为访问请求端、访问控制端和策略管理端;
访问请求端包括访问请求者、可信连接客户端和完整性收集者,访问控制端包括访问控制者、可信连接接入点和完整性收集者,策略管理端包括鉴别策略服务者、评估策略服务者和完整性校验者;
将可信连接验证分为四层,分别为完整性度量层、可信平台评估层、网络访问控制层和隔离修复层;
在网络访问控制层,访问请求者、访问控制者和鉴别策略服务者执行用户身份鉴别协议,实现访问请求端和访问控制端之间的双向用户身份鉴别;
在可信平台评估层,可信连接客户端、可信连接接入点和评估策略服务者执行可信平台评估协议;
在完整性度量层,完整性收集者收集访问请求端和访问控制端的平台完整性度量值,完整性校验者校验所述平台完整性度量值;
在隔离修补层,当访问请求端和访问控制端的平台完整性度量失败后,被放入隔离区,进行平台完整性的修补或升级;
S2,首先在建立网络连接和进行完整性校验之前,可信连接客户端根据平台绑定来初始化完整性收集者;
S3,移动终端用户作为访问请求端向访问控制端发起访问请求;
S4,访问控制端收到访问请求端的访问请求后,执行用户身份鉴别协议,根据用户身份鉴别结果对本地访问端口进行控制;在用户身份鉴别过程中,访问请求端和访问控制端协商一个主密钥,并利用该主密钥协商会话密钥;
S5,用户身份鉴别及密钥协商成功后,访问请求端和访问控制端分别将成功信息告知可信连接客户端和可信连接服务端,若协商失败则拒绝网络访问;
S6,对访问请求端和访问控制端进行可信平台评估;
S7,当访问请求端和访问控制端的可信平台评估完成后,可信连接客户端和可信连接服务端依据策略管理端生成的可信平台评估结果进行决策,并分别发送给访问请求端和访问控制端,若评估失败则拒绝网络访问;
S8,访问请求端和访问控制端依据各自收到的决策对本地访问端口进行控制,从而实现可信连接,所述决策包括允许、禁止或隔离。
进一步地,S1中进行平台完整性的修补或升级、用户身份鉴别协议和可信平台评估协议都是基于可信第三方策略管理端的双向对等鉴别协议,称为三元对等鉴别协议。
进一步地,所述访问请求端和访问控制端根据安全策略进行相应的平台完整性信息收集和平台完整性校验,安全策略制定根据不同级别的用户、不同的访问服务设置对应的策略并下发执行;
安全策略制定的步骤包括:当用户的接入点接收到访问请求端的网络请求时,以将用户信息送到策略管理端,策略管理端根据制定的策略进行策略评估,然后返回评估结果。
进一步地,S6中具体步骤包括:
S61,当可信连接服务端收到密钥协商成功信息时,激活可信平台评估过程,可信连接客户端和策略管理端执行可信平台评估协议,实现访问请求端和访问控制端的双向可信平台评估,所述双向可信平台评估包括身份鉴别和平台完整性校验;
S62,在可信平台评估过程中,可信连接客户端和可信连接服务端分别通过IF-IMC接口与完整性度量层的完整性收集者进行信息交互;
S63,评估策略服务端负责验证访问请求端和访问控制端的PKI证书的有效性,通过IF-I接口调用完整性度量层的完整性校验者完成访问请求端和访问控制端的平台完整性校验,生成访问请求端和访问控制端的可信平台评估结果。
本发明通过三元对等实体鉴别和访问控制方法,多层架构设计,统一的访问控制协议和接口支持,实现了可信连接的安全性,使得非法接入的终端不可访问可信网络。
附图说明
图1是本发明基于可信信息系统的可信连接验证的结构图;
图2是本发明可信连接验证方法流程图;
图3是本发明的可信连接验证的模块结构图;
图4是本发明的网络连接请求处理模块的数据处理流程图;
图5是本发明的可信认证处理模块的数据处理流程图;
图6是本发明的隔离处理模块的数据处理流程图;
图7是本发明的完整性收集处理模块的数据处理流程图;
图8是本发明的策略处理模块的数据处理流程图。
具体实施方式
下面结合附图对本发明作进一步详细说明。
本发明开发环境为Linux系统,用标准C语言开发,在开发中将跨平台移植纳入考虑。
本发明可信连接验证包括三个实体,分别为访问请求端、访问控制端和策略管理端;分为四个层次:完整性度量层、可信平台评估层、网络访问控制层和隔离修复层。其结构关系及调用流程如附图1所示。
访问请求端包括访问请求者、可信连接客户端和完整性收集者,访问控制端包括访问控制者、可信连接接入点和完整性收集者,策略管理端包括鉴别策略服务者、评估策略服务者和完整性校验者;
在网络访问控制层,访问请求者、网络访问控制者和鉴别策略服务者执行用户身份鉴别协议,实现访问请求者和访问控制器之间的双向用户身份鉴别。
在可信平台评估层,可信连接客户端、可信连接接入点和评估策略服务者执行可信平台评估协议。
在完整性度量层,完整性收集者收集访问请求者和访问控制端的平台完整性度量值,完整性校验者校验这些平台完整性度量值。
在隔离修补层,当访问请求端和访问控制端的平台完整性度量失败后,就被放入隔离区,进行平台完整性的修补或升级用户身份鉴别协议和可信平台评估协议都是基于可信第三方策略管理器的双向对等鉴别协议,称为三元对等鉴别协议。网络访问控制层执行基于三元对等鉴别的访问控制方法,访问请求端和网络访问控制端依据用户身份鉴别结果和可信平台评估层发送的连接决策执行端口控制,从而实现访问控制。
其中各层之间的通信都有相关的通信接口,直接调用定义好的接口进行处理。隔离修补层,是访问请求端在平台的完整性度量失败后,进行隔离,然后调用隔离资源服务器的相关接口,进行修补升级。完整性度量层,首先在连接请求之前就要进行完整性信息的收集,这部分工作是提前完成的。然后在评估层进行平台的完整性评估时,调用平台完整性校验接口进行完整性度量工作的。网络访问控制层是基础,访问控制在进行验证时,触发了评估层的相关处理。
如附图2,本发明方法流程如下:
首先在建立网络连接和进行完整性校验之前,可信连接客户端必须根据特定平台绑定来初始化完整性收集者。
(1)访问请求端向网络访问控制端发起访问请求;
(2)网络访问控制端收到访问请求端的访问请求后,与访问请求端和鉴别策略服务者执行用户身份鉴别协议,实现访问请求端和访问控制端的双向用户身份鉴别。在用户身份鉴别过程中,策略管理端作为可信第三方。访问请求端和访问控制端协商一个主密钥,并利用该本地访问端口主密钥协商会话密钥。访问请求端和访问控制端依据用户身份鉴别结果对进行控制;
(3)用户身份鉴别及密钥协商成功后,访问请求端和访问控制端分别将成功信息告知可信连接客户端和可信连接服务端;
(4A)当可信连接服务端收到该成功信息时,激活可信平台评估过程,与可信连接客户端和评估策略服务者执行可信平台评估协议,实现访问请求端和访问控制端的双向可信平台评估——平台身份鉴别和平台完整性校验;
(4B)在可信平台评估过程中,可信连接客户端和可信连接服务端分别通过完整性度量收集接口与完整性度量层的完整性收集者进行信息交互;
(4C)评估策略服务者负责验证访问请求端和访问控制端的PKI证书的有效性,通过完整性度量校验接口调用完整性度量层的完整性校验者来完成访问请求端和访问控制端的平台完整性校验,最终生成访问请求端和访问控制端的可信平台评估结果;
(5)当访问请求端和访问控制端的可信平台评估完成时,可信连接客户端和可信连接服务端依据评估策略服务者生成的可信平台评估结果进行决策,并分别发送给访问请求端和访问控制端。
最后,访问请求端和访问控制端依据各自收到的决策(允许/禁止/隔离)对本地访问端口进行控制,从而实现可信连接验证,即访问控制器依据连接决策控制访问请求端对受保护网络的访问,访问请求端依据连接决策判定是否连接至该网络。
可信连接验证的模块划分,如附图3。包括网络连接请求模块、可信认证处理模块、隔离处理模块、完整性收集处理模块、策略处理模块,下面分别针对各模块详细说明和描述。
如附图4,为本发明的网络连接请求处理模块的数据处理流程图。网络连接请求处理模块在访问请求端实现,是可信连接验证系统的入口。此功能在进行网络请求时触发,首先验证连接是否可信,若可信,则允许接入网络,否则进行可信认证处理,认证通过则允许接入网络,认证失败则阻止接入网络。
如附图5,为本发明的可信认证处理模块的数据处理流程。可信认知处理模块在访问请求端实现,此功能在网络连接没有被验证为可信状态时触发,首先进行用户身份认证,认证通过后进行平台身份认证,认证通过后再进行平台完整性度量,通过则认证通过,不通过则进入隔离区,然后进行隔离处理。
如附图6,为本发明的隔离处理模块的数据处理流程图。隔离处理模块在访问请求端和访问控制端都有实现,此功能在进行平台的完整性度量失败后触发,对访问请求端和访问控制端进行隔离,隔离后的访问请求端和访问控制端都不能进行网络访问服务,仅仅可以连接到修补资源服务器,然后进行修补或升级。当升级修补完成后,再进行平台的完整性度量,度量通过后,消除隔离。
如附图7,为本发明的完整性收集处理模块的数据处理流程。完整性收集处理功能在访问请求端和访问控制端都要具备,并且是在网络连接之前就要进行收集,包括硬件平台的信息,安装的操作系统的信息和一些重要的应用软件的信息,比如:杀毒软件,防火墙等软件。系统运行时,根据配置指令判断是否收集,如果收集,则进行收集平台的完整性信息的处理,收集完成后进行保存,供平台的完整性校验时使用。
如附图8,为本发明的策略处理模块的数据处理流程图。访问请求端和访问控制端可以根据安全策略进行相应的平台完整性信息收集和平台完整性校验。策略处理模块在策略管理器端实现,主要功能有安全策略的制定,平台的完整性校验,策略的执行。安全策略的制定根据不同级别的用户、不同的访问服务设置对应的策略,当用户的接入点接收到访问请求端的网络请求时,可以将用户信息送到策略服务端,策略服务端根据制定的策略进行策略评估,然后返回评估结果。当安全策略根据不同的用户,不同的平台,不同的服务制定完成后,需要下发执行。安全策略的执行主要就是根据用户信息进行策略评估,此时会进行平台的完整性校验。
综上所述,本发明通过三元对等实体鉴别和访问控制方法,多层架构设计,统一的访问控制协议和接口支持,实现了可信连接的安全性,使得非法接入的终端不可访问可信网络。
上述具体实施方式仅限于解释和说明本发明的技术方案,但并不能构成对权利要求保护范围的限定。本领域技术人员应当清楚,在本发明的技术方案的基础上做任何简单的变形或替换而得到的新的技术方案,均落入本发明的保护范围内。
- 上一篇:石墨接头机器人自动装卡簧、装栓机
- 下一篇:一种基于预加载的安全扫描方法及装置
