[发明专利]一种高并发策略决策系统、可信网络系统及接入方法

权利要求书

1.一种高并发策略决策系统，其特征在于包括：

认证服务器，所述认证服务器共多种，每种认证服务器对应一种认证过程，所述多种认证服务器用于进行用户身份认证以及平台完整性认证；

任务调度服务器，所述任务调度服务器内核层配置有网卡驱动模块和netfilter模块，任务调度服务器应用层配置有用户空间进程；

netfilter模块分别与上述多种认证服务器连接，用于接收AR的接入认证请求，并根据接入认证请求的认证过程种类将接入认证请求转发至对应的认证服务器；

用户空间进程基于netlink机制与netfilter模块连接，用于接收接入认证请求、记录认证请求对应的AR，并用于接收认证服务器的认证结果、根据认证结果生成可信网络决策。

2.根据权利要求1所述的一种高并发策略决策系统，其特征在于平台完整性认证包括系统文件完整性认证、杀毒软件完整性认证、网络端口完整性认证以及USB端口完整性认证；

所述多种认证服务器包括身份认证服务器、系统文件完整性认证服务器、杀毒软件完整性认证服务器、网络端口完整性认证服务器和USB端口完整性认证服务器。

3.根据权利要求1或2所述的一种高并发策略决策系统，其特征在于用户空间进程为freeradius进程。

4.一种高并发可信网络系统，其特征在于包括：

AR，所述AR共多个，AR运行于接入端点设备，用于提交接入认证请求，接入认证请求包括用户身份信息和安全状态信息，安全状态信息用于进行平台完整性认证；

PEP，所述PEP与上述多个AR连接，用于接收接入认证请求；

PDP，所述PDP为如权利要求1-3任一项所述的一种高并发策略决策系统，PDP通过任务调度服务器与PEP连接；

PDP用于通过任务调度服务器中netfilter模块接收AR的接入认证请求、根据接入认证请求的认证过程种类将接入认证请求转发至对应的认证服务器；

PDP用于通过任务调度服务器中用户空间进程记录接收接入认证请求、记录认证请求对应的AR，并用于通过任务调度服务器中用户空间进程接收认证服务器的认证结果、根据认证结果生成可信网络决策；

PEP用于接收可信网络决策、并根据可信网络决策判断AR是否接入可信网络。

5.根据权利要求4所述的一种高并发可信网络系统，其特征在于安全状态信息包括系统文件完整性信息、杀毒软件完整性信息、网络端口完整性信息以及USB端口完整性信息安全状态信息。

6.根据权利要求4或5所述的一种高并发可信网络系统，其特征在于安全状态信息为由配置于接入端点设备上的完整性采集器采集的完整性信息。

7.一种高并发可信网络接入方法，其特征在于构建如权利要求1-2任一项所述的一种高并发可信网络系统作为PDP，通过PDP将AR的接入认证请求转发至对应种类的认证服务器，并汇总各种认证服务器的认证结果生成可信网络决策，并通过PEP根据可信网络决策判断所述AR是否接入可信网络。

8.根据权利要求7所述的一种高并发可信网络接入方法，其特征在于包括如下步骤：

通过netfilter模块接收AR的接入认证请求，并判断接入认证请求的认证过程种类；

根据接入认证请求的认证过程种类，通过netfilter模块将接入认证请求转发至对应的认证服务器；

基于netlink机制，通过netfiler模块将接入认证请求传送至用户空间进程；

通过用户空间进程汇总认证服务器的认证处理结果，并生成可信网络决策；

将可信网络决策传送至PEP，通过PEP根据可信网络决策判断AR是否接入可信网络。