[发明专利]一种基于三元对等鉴别可信网络连接的可信网络管理方法

说明书

技术领域

本发明涉及一种基于三元对等鉴别可信网络连接的可信网络管理方法。

背景技术

网络管理的概念是伴随着Internet的发展而逐渐被人们认识和熟悉的。早期，Internet入网节点比较少，结构也非常简单，大多是平坦型结构，因此，有关网络的故障检测和性能监控等管理就显得比较简单和容易实现。但随着网络的不断发展，面对网络新技术的不断涌现和网络产品的不断翻新，规划和扩充网络越来越困难，如何使网络各组成部分发挥最大的效用，如何保持网络的良好可靠性和较高的效率，这些现实问题促使网络管理的出现。当今通信网络的发展特点是网络规模不断扩大、功能复杂性不断增加、异构类型的网络逐渐融合，这种趋势给网络管理带来了前所未有的挑战。网络管理是对组成网络的资源和设备的规划、设计、控制，使网络具有最高的效率和生产力，从而为用户提供高效的服务。

传统的网络管理系统普遍采用集中式的管理模型，如IETF(InternetEngineering Task Force)于1988年提出的基于SNMP(simple Network ManagementProtocol)的管理者/代理模型。随着网络规模的扩大，这种基于SNMP的网络管理模型的弱点逐渐暴露出来：由于用户的不断增加，管理节点正日趋成为网络管理的瓶颈所在；轮询数目太多、分布较广的代理使带宽开销过大，效率下降，管理者从各代理获取的管理信息是原始数据，传输大量的原始数据既浪费带宽，又消耗管理者CPU的大量宝贵资源，使网管效率降低。此外，基于CMIP(Common Management Information Protocol)协议的网络管理系统也是采用这种集中式的管理模型，它比SNMP更复杂一些。SNMP主要应用于数据网络的管理，而CMIP主要应用于电信网络管理。

针对以上问题，网络管理系统逐渐朝着分布化和智能化的方向快速发展。分布式网络管理主要有两种发展趋势：一种是在现有的网络管理框架下，使用分布计算工具可以较容易地设计出一个开放的、标准的、可扩展的大型分布式网络管理系统，主要有基于CORBA(Common Object Request Broker Architecture)的分布式网络管理系统和基于Web的分布式网络管理系统；另一种是全新的分布式体制的网络管理，如基于移动代理的网络管理系统等等。分布式网络管理技术将网络管理任务和监控分布到整个网络中，而不依赖于单独的控制中心，具有减少网络管理的流量，提供更大的管理能力，扩展性等优点。但是，集中式的网络管理系统和分布式的网络管理系统都存在以下安全问题：

代理驻留主机可以能对代理进行攻击，而现有的基于检测的方法还无法保证代理的安全；

代理也可能对驻留主机进行攻击，如代理非法访问驻留主机的一些私有信息等等，对于此类攻击，目前也只是采用入侵检测技术来进行被动防御；

网络管理用户完全信赖管理者系统，这是不安全的。因为管理者系统可能被病毒、木马等控制，管理者系统没有按照网络管理用户的意愿工作，从而失去了对网络的管理与控制；

被管理主机完全信赖管理者系统，这也是不安全的。被管理主机需要检测管理者系统是否为被病毒、木马所侵蚀，否则在被管理主机上驻留的代理因接收恶意的管理命令而对被管理主机进行一些恶意行为。

为了保证各种终端(包含PC、手机以及其它移动智能终端等)的可信以及网络环境中终端之间的可信，国际可信计算组织TCG(Trusted Computing Group)定义了可信计算框架并制定了一系列可信计算规范。该可信计算框架主要是通过增强现有的终端体系结构的安全性来保证整个系统的安全。其主要思路是在各种终端硬件平台上引入可信架构，通过其提供的安全特性来提高终端系统的安全性。终端可信的核心是称为可信平台模块TPM(Trusted Platform Module)的可信芯片。利用该可信平台模块TPM可以实现终端的可信，而利用基于可信平台模块TPM的可信网络连接可以实现网络环境中终端之间的可信。一种基于三元对等鉴别的可信网络连接架构如图1所示。