[发明专利]一种高并发策略决策系统、可信网络系统及接入方法

说明书

本发明公开了一种高并发策略决策系统、可信网络系统及接入方法，属于可信网络接入领域，要解决的技术问题为如何避免大规模终端接入可信网络时发生的系统延时。其结构包括：多种认证服务器；任务调度服务器，其内核层配置有网卡驱动模块和netfilter模块，其应用层配置有用户空间进程。可信网络系统包括：PEP、PDP和多个AR，PDP为一种高并发策略决策系统，PDP通过任务调度服务器与PEP连接。PDP通过任务调度服务器中netfilter模块将AR的接入认证请求转发至对应种类的认证服务器，并汇总各种认证服务器的认证结果生成可信网络决策。

技术领域

本发明涉及可信网络接入领域，具体地说是一种高并发策略决策系统、可信网络系统及接入方法。

背景技术

TNC(英文全称为Trusted Network Connect，中文翻译为可信网络接入)，作为TCG(英文全称为TrustedComputing Group，中文翻译为可信计算组织)中的一个分支，专门负责网络终端入网的可信任务。

可信网络是指在终端连接网络之前，对用户的身份进行认证。如果认证通过，对终端平台的身份进行认证，如果认证通过，对终端的平台可信状态进行度量，如果度量结果满足网络连接的安全策略，则允许终端连接网络，否则将终端连接到指定的隔离区域，对其进行安全性修补和升级。

当前的可信网络系统对于终端数量规模不是太大时能够满足用户的使用，但当可信网络系统中终端数量超过一定规模时，当前可信网络的架构就不能够满足系统需求，部分终端接入可信网络的过程中就会有很长时间的等待，降低用户体验。

netfilter是Linux 2.4.x引入的一个子系统，它作为一个通用的、抽象的框架，提供一整套的hook函数的管理机制，使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。如何利用netfilter的相关机制，避免大规模终端接入可信网络时发生的系统延时，是需要解决的技术问题。

发明内容

本发明的技术任务是针对以上不足，提供一种高并发策略决策系统、可信网络系统及接入方法，来解决如何避免大规模终端接入可信网络时发生的系统延时的问题。

第一方面，本发明提供一种高并发策略决策系统，包括：

认证服务器，所述认证服务器共多种，每种认证服务器对应一种认证过程，所述多种认证服务器用于进行用户身份认证以及平台完整性认证；

任务调度服务器，所述任务调度服务器内核层配置有网卡驱动模块和netfilter模块，任务调度服务器应用层配置有用户空间进程；

netfilter模块分别与上述多种认证服务器连接，用于接收AR的接入认证请求，并根据接入认证请求的认证过程种类将接入认证请求转发至对应的认证服务器；

用户空间进程基于netlink机制与netfilter模块连接，用于接收接入认证请求、记录认证请求对应的AR，并用于接收认证服务器的认证结果、根据认证结果生成可信网络决策。

Netlink套接字是用以实现用户进程与内核进程通信的一种特殊的进程间通信(IPC),也是网络应用程序与内核通信的最常用的接口。

在上述实施方式中，认证服务器配置有多种以对应不同种类的认证过程，在接收到AR的接入认证请求后，通过netfilter模块判断接入认证请求的认证过程种类，并将不同的认证过程分散到不同的认证服务器进行处理，通过用户空间进程汇总不同认证服务器的认证结果并生成可信网络决策，通过可信网络决策判断对应AR的接入认证请求是否接入可信网络。

作为优选，平台完整性认证包括系统文件完整性认证、杀毒软件完整性认证、网络端口完整性认证以及USB端口完整性认证；