[发明专利]可容忍非信任组件的可信网络接入的架构及其接入方法

权利要求书

1.一种可容忍非信任组件的可信网络接入架构的接入方法，其特征在于：该可信网络接入架构的具体接入步骤如下：

在接入网络之前，首先由系统管理员通过认证鉴别策略管理服务器部署接入网络相应的安全策略，确定可信接入网关设备身份、工作密钥、证书，

（1）可信终端向可信接入网关发起访问请求；

（2）在认证鉴别策略管理服务器的配合下，可信终端和可信接入网关完成基于数字证书的双向身份认证；

（3）可信终端和可信接入网关基于相应的安全协议，交换密钥材料并进行密钥计算，协商生成会话密钥，形成两者之间的安全传输通道；

（4）在认证鉴别策略管理服务器的配合下，可信终端和可信接入网关采用双向非对等可信评估，可信终端仅评估接入网关的配置完整性，而可信接入网关评估可信终端的配置完整性、历史交互信息和当前可信终端的认证情况；

（5）认证鉴别策略管理服务器对可信终端的配置完整性、历史交互信息和当前可信终端的认证情况进行综合信任评估，决定可信终端能否访问其想访问的资源，并通过可信接入网关向可信终端签发相应的资源授权凭证；

（6）可信终端持资源授权凭证访问专用信息网的资源；数据交换平台要验证可信终端持有的资源授权凭证，并验证资源授权凭证和实际资源的授权访问策略是否一致，只有满足访问策略的可信终端，才可以访问相应的信息资源；资源访问的请求以严格规范的数据格式经数据交换平台转发，以支撑交换信息的细粒度的监控和审计。

2.根据权利要求1所述的可容忍非信任组件的可信网络接入架构的接入方法，其特征在于：可信终端和可信接入网关之间采用双向非对等可信评估，所谓双向是指可信终端和可信接入网关之间互相评估对方是否可信；所谓非对等是指对可信接入网关，仅评估其完整性，而对可信终端，要综合评估其平台完整性、身份认证强度和历史访问记录属性信息，评估步骤如下：

(1) 对可信接入网关的可信评估：仅评估可信接入网关的完整性，评估方法采用可信计算组织TCG规范的远程证明协议，

(2) 对可信终端的可信评估：可信接入网关对可信终端的可信评估如下：

1) 可信接入网关发送消息A{Nonce}，向可信终端发出可信评估挑战；可信接入网关在两者完成双向身份认证后，开始消息A的发送；

2) 可信终端按TCG完整性报告协议收集自身组件的完整性报告，向可信接入网关返回消息B，消息B包括：可信终端的完整性报告Report_ME、AIK证书、日志SML和用户身份认证信息Identity Authentication；

3) 可信接入网关将上述步骤2）的评估信息，连同可信终端访问的历史交互记录作为消息C发送给认证鉴别策略管理服务器，认证鉴别策略管理服务器将终端设备平台完整性度量报告和评估策略库中标准的完整性参照值进行比较，结合历史交互情况、用户认证情况，对终端设备平台进行综合评估分级；

4) 认证鉴别策略管理服务器将签名的评估结果以消息D的形式送给可信接入网关，可信接入网关生成访问允许、禁止、隔离之一的控制决策，根据决策决定是否让可信终端接入网络；如果允许，向可信终端发送访问凭证Access-Ticket；

5) 可信接入网关向可信终端转发消息D，可信终端持访问凭证接入专用信息网络。