專利名稱:適合協(xié)同可信網(wǎng)絡(luò)連接模型的間接交互實(shí)現(xiàn)方法及其系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,尤其是一種適合協(xié)同可信網(wǎng)絡(luò)連接模型的間接交互實(shí)現(xiàn)方 法及其系統(tǒng)。
背景技術(shù):
隨著信息化的發(fā)展,病毒、蠕蟲等惡意軟件的問題異常突出。目前已經(jīng)出現(xiàn)了超過 三萬五千種的惡意軟件,每年都有超過四千萬的計(jì)算機(jī)被感染。要遏制住這類攻擊,不僅要 借助解決安全的傳輸和數(shù)據(jù)輸入時(shí)的檢查,還要從源頭即從每一臺(tái)連接到網(wǎng)絡(luò)的終端開始 防御。而傳統(tǒng)的安全防御技術(shù)已經(jīng)無法防御種類繁多的惡意攻擊。為了解決上述問題,業(yè)內(nèi)提出了多種可信網(wǎng)絡(luò)連接技術(shù),如國(guó)際可信計(jì)算組織 (Trusted Computing Group, TCG)的可信網(wǎng)絡(luò)連接(Trusted NetworkConnect, TNC)技 術(shù)、微軟的網(wǎng)絡(luò)接入保護(hù)(Network Access Protection, NAP)技術(shù)和思科的網(wǎng)絡(luò)接入控制 (Network Access Control,NAC)技術(shù)等。但是,當(dāng)一個(gè)安全域內(nèi)的終端要訪問另一個(gè)安全 域內(nèi)的服務(wù)時(shí),這些可信網(wǎng)絡(luò)接技術(shù)則變得不適用了。為此,TCG定義了一種協(xié)同可信網(wǎng)絡(luò) 連接(Federated Trusted Network Connect, FTNC)模型,參見圖 1。在圖1所示的協(xié)同可信網(wǎng)絡(luò)模型中,當(dāng)終端請(qǐng)求訪問依賴安全域(Relying Security Domain, RSD)的服務(wù)時(shí),RSD 需要從斷言安全域(Asserting Security Domain, ASD)處獲取終端的安全狀態(tài)信息,而ASD需要利用TNC技術(shù)獲取終端的安全狀態(tài)信息。上述FTNC模型存在一種間接交互方式,參見圖2。在圖2所示的FTNC模型下的間接交互方式中,當(dāng)終端請(qǐng)求RSD的服務(wù)時(shí),ASD首 先基于TNC技術(shù)獲取終端的安全狀態(tài)信息,然后根據(jù)所獲取的終端的安全狀態(tài)信息進(jìn)行評(píng) 估,將安全狀態(tài)評(píng)估結(jié)果發(fā)送給終端,接著終端向RSD發(fā)送服務(wù)請(qǐng)求時(shí)將ASD對(duì)終端的安全 狀態(tài)評(píng)估結(jié)果發(fā)送給RSD,最后RSD驗(yàn)證ASD對(duì)終端的安全狀態(tài)評(píng)估結(jié)果后根據(jù)驗(yàn)證結(jié)果向 終端提供服務(wù)。由于終端的安全狀態(tài)評(píng)估結(jié)果要通過終端發(fā)送RSD,且ASD與RSD在過程中不存在 直接交互,所以終端可以利用早期的終端的安全狀態(tài)評(píng)估結(jié)果來欺騙RSD,從而形成重放攻 擊。但是,業(yè)內(nèi)目前還沒有出現(xiàn)相應(yīng)的解決方法。為了解決這一問題,本發(fā)明將提供一種適 合協(xié)同可信網(wǎng)絡(luò)連接模型的間接交互實(shí)現(xiàn)方法。
發(fā)明內(nèi)容
為了解重放問題,本發(fā)明提供了一種適合協(xié)同可信網(wǎng)絡(luò)連接模型的間接交互實(shí)現(xiàn) 方法,該方法包括步驟一,ASD (Asserting Security Domain,斷言安全域)由終端獲取終端的安全 狀態(tài)信息,評(píng)估終端的安全狀態(tài)信息產(chǎn)生安全狀態(tài)評(píng)估結(jié)果,并將安全狀態(tài)評(píng)估結(jié)果發(fā)送 給終端;步驟二,終端將ASD對(duì)終端的安全狀態(tài)評(píng)估結(jié)果發(fā)送給RSDOtelyingSecurityDomain,依賴安全域);以及步驟三,RSD驗(yàn)證ASD對(duì)終端的安全狀態(tài)評(píng)估結(jié)果后根據(jù)驗(yàn)證結(jié)果向終端提供服 務(wù);其特點(diǎn)是,在該方法中,ASD和RSD保持時(shí)鐘同步;在步驟一中,ASD產(chǎn)生終端的安全狀態(tài)評(píng)估結(jié)果時(shí)還記錄生成終端的安全狀態(tài)評(píng) 估結(jié)果時(shí)的時(shí)戳TSasd,并將TSasd發(fā)送給終端;在步驟二中,終端還將TSasd發(fā)送給RSD ;在步驟三中,RSD還通過對(duì)比TSasd與RSD當(dāng)前的時(shí)戳是否在一閾值范圍內(nèi),判斷 TSasd是否新鮮有效,以此判斷收到的ASD對(duì)終端的安全狀態(tài)評(píng)估結(jié)果的新鮮有效性。步驟一可包括步驟1),終端向ASD發(fā)送協(xié)同可信網(wǎng)絡(luò)連接請(qǐng)求,協(xié)同可信網(wǎng)絡(luò)連接請(qǐng)求包含RSD 的身份標(biāo)識(shí)IDksd ;步驟2),ASD收到終端發(fā)來的協(xié)同可信網(wǎng)絡(luò)連接請(qǐng)求后,發(fā)送協(xié)同可信網(wǎng)絡(luò)連接 響應(yīng)給終端,協(xié)同可信網(wǎng)絡(luò)連接響應(yīng)中包含IDksd ;以及步驟二可包括步驟3),終端收到ASD發(fā)來的協(xié)同可信網(wǎng)絡(luò)連接響應(yīng)后,構(gòu)造服務(wù)訪問請(qǐng)求發(fā)送 給RSD,服務(wù)訪問請(qǐng)求包括ASD的身份標(biāo)識(shí)IDasd。步驟三可包括步驟4),RSD接收終端發(fā)送的服務(wù)訪問請(qǐng)求后,通過對(duì)比TSasd與RSD當(dāng)前的時(shí)戳 是否在一閾值范圍內(nèi),判斷TSasd是否新鮮有效,以此判斷收到的ASD對(duì)終端的安全狀態(tài)評(píng) 估結(jié)果的新鮮有效性;進(jìn)而利用服務(wù)訪問請(qǐng)求中收到除TSasd外的其他信息對(duì)終端訪問進(jìn) 行決策,并根據(jù)決策向終端發(fā)送服務(wù)訪問響應(yīng);步驟5),終端收到RSD發(fā)來的服務(wù)訪問響應(yīng)后,終端從RSD獲取相應(yīng)的服務(wù)。所述的終端的安全狀態(tài)信息來自協(xié)同可信網(wǎng)絡(luò)連接請(qǐng)求或由ASD向終端請(qǐng)求終 端提供安全狀態(tài)信息。步驟2)可包括步驟21),若可信網(wǎng)絡(luò)連接請(qǐng)求中的信息中不包含終端的安全狀態(tài)信息,則ASD向 終端請(qǐng)求終端的安全狀態(tài)信息且終端向ASD返回終端的安全狀態(tài)信息,直至ASD根據(jù)從終 端獲取的終端的安全狀態(tài)信息生成終端的安全狀態(tài)評(píng)估結(jié)果,ASD構(gòu)造協(xié)同可信網(wǎng)絡(luò)連接 響應(yīng)發(fā)送給終端;步驟22),若可信網(wǎng)絡(luò)連接請(qǐng)求中的信息中包含終端的安全狀態(tài)信息,且ASD評(píng)估 該安全狀態(tài)信息足夠用以進(jìn)行評(píng)估,則ASD根據(jù)該安全狀態(tài)信息生成終端的安全狀態(tài)評(píng)估 結(jié)果,ASD構(gòu)造協(xié)同可信網(wǎng)絡(luò)連接響應(yīng)發(fā)送給終端;步驟23),若可信網(wǎng)絡(luò)連接請(qǐng)求中的信息中包含終端的安全狀態(tài)信息,且ASD評(píng) 估該安全狀態(tài)信息不足夠用以進(jìn)行評(píng)估,則ASD向終端請(qǐng)求終端的安全狀態(tài)信息且終端向 ASD返回終端的安全狀態(tài)信息,直至ASD能夠根據(jù)從終端獲取的終端的安全狀態(tài)信息生成 終端的安全狀態(tài)評(píng)估結(jié)果,ASD構(gòu)造協(xié)同可信網(wǎng)絡(luò)連接響應(yīng)發(fā)送給終端。在步驟2)中,ASD構(gòu)造的協(xié)同可信網(wǎng)絡(luò)連接響應(yīng),將TSasd和終端的安全狀態(tài)評(píng)估結(jié)果發(fā)送給終端時(shí),可通過加密的方式進(jìn)行傳輸,其中,協(xié)同可信網(wǎng)絡(luò)連接響應(yīng)包括IDksd、 ASD使用與RSD之間的密鑰對(duì)供RSD進(jìn)行決策的信息加密后的數(shù)據(jù)及完整性校驗(yàn)碼MIC ;其 中,供RSD進(jìn)行決策的信息包括TSasd及RESeva,加密后的數(shù)據(jù)用E(TSasd| RESeva)表示;MIC 是由ASD利用與RSD之間的密鑰對(duì)E (TSasd I RESeva)通過雜湊函數(shù)計(jì)算得到的雜湊值;此時(shí) 步驟4)可包括步驟41),RSD利用與ASD之間的共享密鑰驗(yàn)證MIC是否正確,若正確,則執(zhí)行步驟 42);否則,丟棄該服務(wù)訪問請(qǐng)求;步驟42),RSD用與ASD之間的共享密鑰解密E (TSasd | | RESeva)得到ASD提供的供 RSD進(jìn)行決策的信息,所述供RSD進(jìn)行決策的信息包括TSasd以及RESeva ;步驟43),RSD判斷TSasd是否有效,RSD通過對(duì)比服務(wù)訪問請(qǐng)求中TSasd與RSD當(dāng)前 時(shí)戳TSksd是否在所述閾值范圍內(nèi),判斷ASD時(shí)戳是否新鮮有效,以此判斷RSD收到的RESeva 的新鮮有效性,若有效,則執(zhí)行步驟44);否則,丟棄該服務(wù)訪問請(qǐng)求;步驟44),RSD根據(jù)ASD提供的供RSD對(duì)終端訪問進(jìn)行決策的信息,對(duì)終端的服務(wù) 訪問請(qǐng)求做出決策,構(gòu)造服務(wù)訪問響應(yīng)發(fā)送給終端,所述服務(wù)訪問響應(yīng)包括RSD對(duì)終端的 服務(wù)訪問請(qǐng)求的決策resa『另外,當(dāng)RSD需要終端的安全狀態(tài)信息來進(jìn)行決策時(shí),所述步驟2)中,ASD構(gòu)造 的協(xié)同可信網(wǎng)絡(luò)連接響應(yīng)中包含的供RSD進(jìn)行決策的信息還包含終端的安全狀態(tài)信息 InfoEVA ;所述終端安全狀態(tài)信息InfoEVA也通過加密方式傳輸,并對(duì)其計(jì)算完整性校驗(yàn)碼??蛇x的,在步驟2)中,ASD構(gòu)造的協(xié)同可信網(wǎng)絡(luò)連接響應(yīng),將ASD的時(shí)戳和終端的 安全狀態(tài)評(píng)估結(jié)果發(fā)送給終端時(shí),還可通過簽名的方式進(jìn)行傳輸,其中,協(xié)同可信網(wǎng)絡(luò)連接 響應(yīng)包括IDksd、供RSD進(jìn)行決策的信息以及簽名SIGasd_ksd ;其中,供RSD進(jìn)行決策的信息包 括 TSasd、RESeva ;SIGasd_esd 是 ASD 使用 ASD 的私鑰對(duì) IDksd | | TSasd | | RESeva 的簽名;此時(shí)步驟 4) 可包括步驟41,) RSD驗(yàn)證SIGasd_ksd字段是否正確,若正確,則執(zhí)行步驟4. 2. 2);否則,丟 棄該服務(wù)訪問請(qǐng)求;步驟42,) RSD判斷TSasd是否有效,RSD通過對(duì)比TSasd與RSD當(dāng)前時(shí)戳TSksd是否 在所述閾值范圍內(nèi),判斷TSasd是否新鮮有效,以此判斷RSD收到的RESeva的新鮮有效性,若 有效,則執(zhí)行步驟43’ );否則,丟棄該服務(wù)訪問請(qǐng)求;步驟43’ )根據(jù)ASD提供的供RSD對(duì)終端訪問進(jìn)行決策的信息,對(duì)終端的服務(wù)訪 問請(qǐng)求做出決策,構(gòu)造服務(wù)訪問響應(yīng)發(fā)送給終端,供RSD進(jìn)行決策的信息包括TSasd以及 RESeva,服務(wù)訪問響應(yīng)包括RESacc。另外,當(dāng)RSD需要終端的安全狀態(tài)信息來進(jìn)行決策時(shí),所述步驟2)中,ASD構(gòu)造 的協(xié)同可信網(wǎng)絡(luò)連接響應(yīng)中包含的供RSD進(jìn)行決策的信息還包含終端的安全狀態(tài)信息 InfoEVA ;所述終端安全狀態(tài)信息InfoEVA也作為被簽名對(duì)象進(jìn)行保護(hù)。本發(fā)明還提供了一種適合協(xié)同可信網(wǎng)絡(luò)連接模型的間接交互實(shí)現(xiàn)系統(tǒng),該系統(tǒng)包 括始終保持時(shí)鐘同步的ASD(Asserting Security Domain,斷言安全域)和RSD(Relying Security Domain,依賴安全域)以及終端,所述ASD對(duì)終端的安全狀態(tài)進(jìn)行評(píng)估,并將終端 的安全狀態(tài)評(píng)估結(jié)果和終端的安全狀態(tài)信息通過終端發(fā)送給RSD,終端從RSD獲取相應(yīng)的 服務(wù)。
本發(fā)明將ASD對(duì)于終端的安全狀態(tài)評(píng)估結(jié)果通過終端發(fā)送給RSD,且ASD與RSD在 過程中不存在直接交換,通過時(shí)鐘同步,保證了 RSD收到的ASD對(duì)終端的安全狀態(tài)評(píng)估結(jié)果 的不可重放。另外,本發(fā)明通過保密傳輸或者簽名保證了 RSD收到的ASD對(duì)終端的安全狀 態(tài)評(píng)估結(jié)果的可靠性。
圖1是背景技術(shù)中的協(xié)同可信網(wǎng)絡(luò)連接模型;圖2是背景技術(shù)中的協(xié)同可信網(wǎng)絡(luò)連接模型下的間接交互方式;圖3是本發(fā)明所提供的一種適合協(xié)同可信網(wǎng)絡(luò)連接模型的間接交互實(shí)現(xiàn)方法示 意圖;圖4是本發(fā)明的方法流程圖。
具體實(shí)施例方式為使得本領(lǐng)域技術(shù)人員更好的理解本發(fā)明內(nèi)容,以下結(jié)合附圖3和圖4進(jìn)行詳細(xì) 的說明。本發(fā)明所提供的一種適合協(xié)同可信網(wǎng)絡(luò)連接模型的間接交互實(shí)現(xiàn)方法包括步驟 一,ASD由終端獲取終端的安全狀態(tài)信息,評(píng)估終端的安全狀態(tài)信息產(chǎn)生安全狀態(tài)評(píng)估結(jié) 果,并將安全狀態(tài)評(píng)估結(jié)果發(fā)送給終端;步驟二,終端將ASD對(duì)終端的安全狀態(tài)評(píng)估結(jié)果發(fā) 送給RSD的步驟;以及步驟三RSD驗(yàn)證ASD對(duì)終端的安全狀態(tài)評(píng)估結(jié)果后根據(jù)驗(yàn)證結(jié)果向 終端提供服務(wù)的步驟。具體來說本發(fā)明執(zhí)行過程如下令A(yù)SD和RSD始終保持時(shí)鐘同步;步驟1)終端向ASD發(fā)送協(xié)同可信網(wǎng)絡(luò)連接請(qǐng)求,可按照如下步驟進(jìn)行步驟1. 1)若終端不主動(dòng)提供任何安全狀態(tài)信息,則所述協(xié)同可信網(wǎng)絡(luò)連接請(qǐng)求 包括步驟1. 2)若終端主動(dòng)提供安全狀態(tài)信息,則所述協(xié)同可信網(wǎng)絡(luò)連接請(qǐng)求包括
~ID^ ~lnfoSPI其中IDesd字段表示RSD的身份標(biāo)識(shí);Infospi字段表示終端的安全狀態(tài)信息,是終端主動(dòng)提供的的安全狀態(tài)信息。步驟2)ASD收到終端發(fā)來的協(xié)同可信網(wǎng)絡(luò)連接請(qǐng)求后,發(fā)送協(xié)同可信網(wǎng)絡(luò)連接響 應(yīng)給終端可按照以下步驟進(jìn)行步驟2. DASD首先查看發(fā)來的協(xié)同可信網(wǎng)絡(luò)連接請(qǐng)求中是否包含終端的安全狀 態(tài)信息,若不包含終端的安全狀態(tài)信息,則執(zhí)行步驟2. 3);若包含終端的安全狀態(tài)信息,則 執(zhí)行步驟2. 2);步驟2. 2)評(píng)估步驟1)中ASD所獲取的終端的安全狀態(tài)信息,若ASD能夠根據(jù)步 驟1)中ASD所獲取的終端的安全狀態(tài)信息生成終端的安全狀態(tài)評(píng)估結(jié)果,則ASD生成終端 的安全狀態(tài)評(píng)估結(jié)果,然后執(zhí)行步驟2. 4);否則,執(zhí)行步驟2. 3);步驟2. 3)向終端請(qǐng)求終端的安全狀態(tài)信息,然后終端向ASD返回終端的安全狀態(tài)信息,直至ASD能夠根據(jù)從終端獲取的終端的安全狀態(tài)信息生成終端的安全狀態(tài)評(píng)估結(jié) 果,然后執(zhí)行步驟2. 4);步驟2. 4) ASD根據(jù)下面步驟向終端發(fā)送協(xié)同可信網(wǎng)絡(luò)連接響應(yīng);步驟2. 4. 1)令A(yù)SD和RSD之間存在安全通道,即ASD和RSD之間存存安全密鑰, 以保證RSD收到的ASD對(duì)終端的安全狀態(tài)評(píng)估的可靠性。若ASD不需要提供終端的安全狀 態(tài)信息供RSD進(jìn)行決策,則所述協(xié)同可信網(wǎng)絡(luò)連接響應(yīng)包括
IDesd E (TSASD I IRESEVA)MIC^其中 TSasd字段表示ASD的時(shí)戳;RESeva字段表示ASD對(duì)終端的安全狀態(tài)評(píng)估結(jié)果;E (TSasd I I RESeva)字段表示密文信息字段,由ASD使用與RSD之間的密鑰對(duì)ASD的 時(shí)戳及ASD對(duì)終端的安全狀態(tài)評(píng)估結(jié)果加密后的數(shù)據(jù);MIC字段表示完整性校驗(yàn)碼,由ASD利用與RSD之間的密鑰對(duì)E (TSasd | | RESeva)字 段通過雜湊函數(shù)計(jì)算得到的雜湊值。步驟2. 4. 2)令A(yù)SD和RSD之間存在安全通道,即ASD和RSD之間存在安全密鑰, 以保證RSD收到的ASD對(duì)終端的安全狀態(tài)評(píng)估的可靠性。若ASD需要提供終端的安全狀態(tài) 信息供RSD進(jìn)行決策,則所述協(xié)同可信網(wǎng)絡(luò)連接響應(yīng)包括
IDesde (tsasd I IresevaI I infoEVA) Iloc~其中InfoEVA字段表示終端的安全狀態(tài)信息,是ASD收到的足夠生成終端的安全狀體 評(píng)估結(jié)果的終端的安全狀態(tài)信息;應(yīng)注意,當(dāng)Infospi足夠生成終端的安全狀體評(píng)估結(jié)果 時(shí),InfOeva 即等于 Infospi ;E (TSasd RESevaI I InfoEVA)字段表示密文信息字段,由ASD使用與RSD之間的密鑰 對(duì)ASD的時(shí)戳TSASD、ASD對(duì)終端的安全狀態(tài)評(píng)估結(jié)果RESeva及終端的安全狀態(tài)信息InfoEVA 加密后的數(shù)據(jù);MIC字段表示完整性校驗(yàn)碼,由ASD利用與RSD之間的密鑰對(duì)該評(píng)估結(jié)果響應(yīng)分 組中E(TSasd| RESevaI I InfoEVA)字段通過雜湊函數(shù)計(jì)算得到的雜湊值?;蛘卟襟E2. 4. 1’)令A(yù)SD使用簽名保證RSD收到的ASD對(duì)終端的安全狀態(tài)評(píng)估的可靠 性。若ASD不需要提供終端的安全狀態(tài)信息供RSD進(jìn)行決策,則所述協(xié)同可信網(wǎng)絡(luò)連接響 應(yīng)包括
IDrsdTSASDRESevaSIGASD—RSD其中SIGasd_esd字段表示ASD使用自己的私鑰對(duì)IDksd | | TSASD | | RESeva的簽名;
9
步驟2. 4. 2’)令A(yù)SD使用簽名保證RSD收到的ASD對(duì)終端的安全狀態(tài)評(píng)估的可靠 性,若ASD需要提供終端的安全狀態(tài)信息供RSD進(jìn)行決策,則所述協(xié)同可信網(wǎng)絡(luò)連接響應(yīng)包 括 其中SIG綱SD字段表示ASD使用自己的私鑰對(duì)IDesd | | TSasd | | RESeva | | InfoEVA的簽名;步驟3)終端收到ASD發(fā)來的協(xié)同可信網(wǎng)絡(luò)連接響應(yīng)后,構(gòu)造服務(wù)訪問請(qǐng)求發(fā)送給 RSD ;所述服務(wù)訪問請(qǐng)求包括ASD發(fā)來的協(xié)同可信網(wǎng)絡(luò)連接響應(yīng)中除IDksd的所有字段 及如下字段 其中IDasd字段;表示ASD的身份標(biāo)識(shí);步驟4)RSD收到終端發(fā)送的服務(wù)訪問請(qǐng)求后,發(fā)送服務(wù)訪問響應(yīng)給終端可按如下 操作進(jìn)行若ASD和RSD之間存在安全通道,即ASD和RSD之間存在安全密鑰,則RSD進(jìn)行如 下操作步驟4. 1)首先利用與ASD之間的共享密鑰驗(yàn)證MIC字段是否正確,若正確,則執(zhí) 行步驟4. 2);否則,丟棄該服務(wù)訪問請(qǐng)求;步驟4. 2)用與ASD之間的共享密鑰解密密文信息字段,即可得到ASD提供的供 RSD進(jìn)行決策的信息;其中,供RSD進(jìn)行決策的信息包括ASD的時(shí)戳TSasd以及ASD對(duì)終端的 評(píng)估結(jié)果RESeva,當(dāng)RSD需要終端的安全狀態(tài)信息來進(jìn)行決策時(shí),供RSD進(jìn)行決策的信息還 包含終端的安全狀態(tài)信息InfoEVA ;步驟4. 3) RSD判斷ASD的時(shí)戳TSasd是否有效,RSD通過對(duì)比消息中ASD的時(shí)戳與 RSD當(dāng)前時(shí)戳是否在一定閾值(閾值的設(shè)置本發(fā)明不予限制和定義)范圍內(nèi),判斷ASD時(shí)戳 是否新鮮有效,以此判斷收到的ASD對(duì)終端的安全狀態(tài)評(píng)估結(jié)果的新鮮有效性,若有效,則 執(zhí)行步驟4. 4);否則,丟棄該服務(wù)訪問請(qǐng)求;步驟4. 4)若分組中包含終端的安全狀態(tài)信息InfoEVA,則根據(jù)得到的ASD對(duì)終端 的評(píng)估結(jié)果RESeva以及終端的安全狀態(tài)信息InfoEVA,對(duì)終端的服務(wù)訪問請(qǐng)求做出決策,構(gòu) 造服務(wù)訪問響應(yīng)發(fā)送給終端;若分組中不包含終端的安全狀態(tài)信息InfoEVA,則根據(jù)得到的 ASD對(duì)終端的評(píng)估結(jié)果RESeva,對(duì)終端的服務(wù)訪問請(qǐng)求做出決策,構(gòu)造服務(wù)訪問響應(yīng)發(fā)送給 終端;所述服務(wù)訪問響應(yīng)包括 其中
10
RESacc字段;表示RSD對(duì)終端的服務(wù)訪問請(qǐng)求的決策?;蛘呷鬉SD使用簽名保證RSD收到的ASD對(duì)終端的安全狀態(tài)評(píng)估的可靠性,則RSD進(jìn) 行如下操作步驟4. 1,)首先驗(yàn)證段是否正確,若正確,則提取分組中的供RSD進(jìn) 行決策的信息,執(zhí)行步驟4. 2’ );否則,丟棄該服務(wù)訪問請(qǐng)求;其中,供RSD進(jìn)行決策的信息 包括ASD的時(shí)戳TSasd以及ASD對(duì)終端的評(píng)估結(jié)果RESeva,當(dāng)RSD需要終端的安全狀態(tài)信息 來進(jìn)行決策時(shí),供RSD進(jìn)行決策的信息還包含終端的安全狀態(tài)信息InfoEVA ;步驟4. 2’)RSD判斷ASD的時(shí)戳TSasd是否有效,RSD通過對(duì)比消息中ASD的時(shí)戳 與RSD當(dāng)前時(shí)戳是否在一定閾值范圍內(nèi),判斷ASD時(shí)戳是否新鮮有效,以此判斷收到的ASD 對(duì)終端的安全狀態(tài)評(píng)估結(jié)果的新鮮有效性,若有效,則執(zhí)行步驟4. 3’ );否則,丟棄該服務(wù) 訪問請(qǐng)求;步驟4. 3’)若分組中包含終端的安全狀態(tài)信息InfoEVA,則根據(jù)得到的ASD對(duì)終端 的評(píng)估結(jié)果RESeva以及終端的安全狀態(tài)信息InfoEVA,對(duì)終端的服務(wù)訪問請(qǐng)求做出決策,構(gòu) 造服務(wù)訪問響應(yīng)發(fā)送給終端;若分組中不包含終端的安全狀態(tài)信息InfoEVA,則根據(jù)得到的 ASD對(duì)終端的評(píng)估結(jié)果RESeva,對(duì)終端的服務(wù)訪問請(qǐng)求做出決策,構(gòu)造服務(wù)訪問響應(yīng)發(fā)送給 終端;所述服務(wù)訪問響應(yīng)包括
RESacc步驟5)終端收到RSD發(fā)來的服務(wù)訪問響應(yīng)后,終端從RSD獲取相應(yīng)的服務(wù)。為確保終端只能獲取ASD有關(guān)于自己的安全狀態(tài)評(píng)估結(jié)果和安全狀態(tài)信息,且不 被攻擊者知道,防止終端可以利用該時(shí)戳下的其他終端的安全狀態(tài)評(píng)估結(jié)果和安全狀態(tài)信 息來進(jìn)行欺騙,在上述適合協(xié)同可信網(wǎng)絡(luò)連接模型的間接交互實(shí)現(xiàn)方法中,終端和ASD之 間的信息交互是利用終端和ASD之間的安全通道進(jìn)行保護(hù)的。綜上所述,本發(fā)明通過ASD與RSD始終保持時(shí)鐘同步,并在ASD通過終端將ASD對(duì) 終端的安全狀態(tài)評(píng)估結(jié)果發(fā)送給RSD時(shí)包含ASD生成終端的安全狀態(tài)評(píng)估結(jié)果時(shí)的時(shí)戳, RSD通過對(duì)比消息中ASD的時(shí)戳與RSD當(dāng)前時(shí)戳是否在一定閾值范圍內(nèi),判斷ASD時(shí)戳是否 新鮮有效,以此判斷收到的ASD對(duì)終端的安全狀態(tài)評(píng)估結(jié)果的新鮮有效性,保證終端無法 重放ASD之前對(duì)終端的評(píng)估結(jié)果發(fā)送給RSD。綜上所述,本發(fā)明除解決了重放問題外,還可防止終端篡改由ASD提供給RSD用于 對(duì)終端訪問進(jìn)行決策的信息。為防止篡改,本發(fā)明提出了兩種解決方案一種解決方案是在ASD通過終端向RSD提供用于對(duì)終端訪問進(jìn)行決策的信息時(shí), 通過將這些信息用ASD與RSD之間的密鑰進(jìn)行加密,并計(jì)算完整性校驗(yàn)碼,保證終端無法篡 改這些由ASD提供給RSD用于對(duì)終端訪問進(jìn)行決策的信息,也即保證了 RSD收到的用于決 策的信息的可靠性。此時(shí),由ASD提供給RSD對(duì)終端訪問進(jìn)行決策的信息包括ASD對(duì)終端 的安全狀態(tài)評(píng)估結(jié)果、ASD的時(shí)戳,還可包含終端的安全狀態(tài)信息。另一種解決方案則是在ASD通過終端向RSD提供對(duì)終端訪問進(jìn)行決策的信息時(shí),通過對(duì)這些信息進(jìn)行簽名,由RSD進(jìn)行驗(yàn)簽,保證終端無法篡改這些由ASD提供給RSD對(duì)終 端訪問進(jìn)行決策的信息,也即保證了 RSD收到的信息的可靠性,此時(shí),由ASD提供給RSD對(duì) 終端訪問進(jìn)行決策的信息包括ASD對(duì)終端的安全狀態(tài)評(píng)估結(jié)果、ASD的時(shí)戳,還可包含終端 的安全狀態(tài)信息。 本發(fā)明還提供一種適合協(xié)同可信網(wǎng)絡(luò)連接模型的間接交互實(shí)現(xiàn)系統(tǒng),其特殊之處 在于該系統(tǒng)包括始終保持時(shí)鐘同步的ASD (Asserting SecurityDomain,斷言安全域)和 RSD (Relying Security Domain,依賴安全域)以及終端,所述ASD對(duì)終端的安全狀態(tài)進(jìn)行 評(píng)估,并將終端的安全狀態(tài)評(píng)估結(jié)果和終端的安全狀態(tài)信息通過終端發(fā)送給RSD,終端從 RSD獲取相應(yīng)的服務(wù)。
權(quán)利要求
適合協(xié)同可信網(wǎng)絡(luò)連接模型的間接交互實(shí)現(xiàn)方法,包括步驟一,ASD(Asserting Security Domain,斷言安全域)由終端獲取終端的安全狀態(tài)信息,評(píng)估終端的安全狀態(tài)信息產(chǎn)生安全狀態(tài)評(píng)估結(jié)果,并將安全狀態(tài)評(píng)估結(jié)果發(fā)送給終端;步驟二,終端將ASD對(duì)終端的安全狀態(tài)評(píng)估結(jié)果發(fā)送給RSD(RelyingSecurity Domain,依賴安全域);以及步驟三,RSD驗(yàn)證ASD對(duì)終端的安全狀態(tài)評(píng)估結(jié)果后根據(jù)驗(yàn)證結(jié)果向終端提供服務(wù);其特征在于在該方法中,ASD和RSD保持時(shí)鐘同步;在步驟一中,ASD產(chǎn)生終端的安全狀態(tài)評(píng)估結(jié)果時(shí)還記錄生成終端的安全狀態(tài)評(píng)估結(jié)果時(shí)的時(shí)戳TSASD,并將TSASD發(fā)送給終端;在步驟二中,終端還將TSASD發(fā)送給RSD;在步驟三中,RSD還通過對(duì)比TSASD與RSD當(dāng)前的時(shí)戳是否在一閾值范圍內(nèi),判斷TSASD是否新鮮有效,以此判斷收到的ASD對(duì)終端的安全狀態(tài)評(píng)估結(jié)果的新鮮有效性。
2.如權(quán)利要求1所述的適合協(xié)同可信網(wǎng)絡(luò)連接模型的間接交互實(shí)現(xiàn)方法,其特征在于步驟一包括步驟1),終端向ASD發(fā)送協(xié)同可信網(wǎng)絡(luò)連接請(qǐng)求,協(xié)同可信網(wǎng)絡(luò)連接請(qǐng)求包含RSD的身 份標(biāo)識(shí)IDksd ;步驟2),ASD收到終端發(fā)來的協(xié)同可信網(wǎng)絡(luò)連接請(qǐng)求后,發(fā)送協(xié)同可信網(wǎng)絡(luò)連接響應(yīng) 給終端,協(xié)同可信網(wǎng)絡(luò)連接響應(yīng)中包含IDksd ;以及步驟二包括步驟3),終端收到ASD發(fā)來的協(xié)同可信網(wǎng)絡(luò)連接響應(yīng)后,構(gòu)造服務(wù)訪問請(qǐng)求發(fā)送給 RSD,服務(wù)訪問請(qǐng)求包括ASD的身份標(biāo)識(shí)IDasd。
3.如權(quán)利要求2所述的適合協(xié)同可信網(wǎng)絡(luò)連接模型的間接交互實(shí)現(xiàn)方法,其特征在 于步驟三包括步驟4),RSD接收終端發(fā)送的服務(wù)訪問請(qǐng)求后,通過對(duì)比TSasd與RSD當(dāng)前的時(shí)戳是否在 一閾值范圍內(nèi),判斷TSasd是否新鮮有效,以此判斷收到的ASD對(duì)終端的安全狀態(tài)評(píng)估結(jié)果 的新鮮有效性;進(jìn)而利用服務(wù)訪問請(qǐng)求中收到除TSasd外的其他信息對(duì)終端訪問進(jìn)行決策, 并根據(jù)決策向終端發(fā)送服務(wù)訪問響應(yīng);步驟5),終端收到RSD發(fā)來的服務(wù)訪問響應(yīng)后,終端從RSD獲取相應(yīng)的服務(wù)。
4.如權(quán)利要求3所述的適合協(xié)同可信網(wǎng)絡(luò)連接模型的間接交互實(shí)現(xiàn)方法,其特征在 于終端的安全狀態(tài)信息來自協(xié)同可信網(wǎng)絡(luò)連接請(qǐng)求或由ASD向終端請(qǐng)求終端提供安全狀 態(tài)fe息。
5.如權(quán)利要求4所述的適合協(xié)同可信網(wǎng)絡(luò)連接模型的間接交互實(shí)現(xiàn)方法,其特征在 于步驟2)包括步驟21),若可信網(wǎng)絡(luò)連接請(qǐng)求中的信息中不包含終端的安全狀態(tài)信息,則ASD向終端 請(qǐng)求終端的安全狀態(tài)信息且終端向ASD返回終端的安全狀態(tài)信息,直至ASD根據(jù)從終端獲 取的終端的安全狀態(tài)信息生成終端的安全狀態(tài)評(píng)估結(jié)果,ASD構(gòu)造協(xié)同可信網(wǎng)絡(luò)連接響應(yīng)發(fā)送給終端;步驟22),若可信網(wǎng)絡(luò)連接請(qǐng)求中的信息中包含終端的安全狀態(tài)信息,且ASD評(píng)估該 安全狀態(tài)信息足夠用以進(jìn)行評(píng)估,則ASD根據(jù)該安全狀態(tài)信息生成終端的安全狀態(tài)評(píng)估結(jié) 果,ASD構(gòu)造協(xié)同可信網(wǎng)絡(luò)連接響應(yīng)發(fā)送給終端;步驟23),若可信網(wǎng)絡(luò)連接請(qǐng)求中的信息中包含終端的安全狀態(tài)信息,且ASD評(píng)估該安 全狀態(tài)信息不足夠用以進(jìn)行評(píng)估,則ASD向終端請(qǐng)求終端的安全狀態(tài)信息且終端向ASD返 回終端的安全狀態(tài)信息,直至ASD能夠根據(jù)從終端獲取的終端的安全狀態(tài)信息生成終端的 安全狀態(tài)評(píng)估結(jié)果,ASD構(gòu)造協(xié)同可信網(wǎng)絡(luò)連接響應(yīng)發(fā)送給終端。
6.如權(quán)利要求5所述的適合協(xié)同可信網(wǎng)絡(luò)連接模型的間接交互實(shí)現(xiàn)方法,其特征在于步驟2)中,ASD構(gòu)造的協(xié)同可信網(wǎng)絡(luò)連接響應(yīng),將TSasd和終端的安全狀態(tài)評(píng)估結(jié)果發(fā) 送給終端時(shí),是通過加密的方式進(jìn)行傳輸,其中,協(xié)同可信網(wǎng)絡(luò)連接響應(yīng)包括IDksd、ASD使 用與RSD之間的密鑰對(duì)供RSD進(jìn)行決策的信息加密后的數(shù)據(jù)及完整性校驗(yàn)碼MIC;其中,供 RSD進(jìn)行決策的信息包括TSasd及RESeva,加密后的數(shù)據(jù)用E (TSasd I RESeva)表示;MIC是由ASD 利用與RSD之間的密鑰對(duì)E(TSasd| RESeva)通過雜湊函數(shù)計(jì)算得到的雜湊值;以及 步驟4)包括步驟41),RSD利用與ASD之間的共享密鑰驗(yàn)證MIC是否正確,若正確,則執(zhí)行步驟42); 否則,丟棄該服務(wù)訪問請(qǐng)求;步驟42),RSD用與ASD之間的共享密鑰解密E (TSasd | | RESeva)得到ASD提供的供RSD進(jìn) 行決策的信息,所述供RSD進(jìn)行決策的信息包括TSasd以及RESeva ;步驟43),RSD判斷TSasd是否有效,RSD通過對(duì)比服務(wù)訪問請(qǐng)求中TSasd與RSD當(dāng)前時(shí)戳 TSesd是否在所述閾值范圍內(nèi),判斷ASD時(shí)戳是否新鮮有效,以此判斷RSD收到的RESeva的新 鮮有效性,若有效,則執(zhí)行步驟44);否則,丟棄該服務(wù)訪問請(qǐng)求;步驟44),RSD根據(jù)ASD提供的供RSD對(duì)終端訪問進(jìn)行決策的信息,對(duì)終端的服務(wù)訪問 請(qǐng)求做出決策,構(gòu)造服務(wù)訪問響應(yīng)發(fā)送給終端,所述服務(wù)訪問響應(yīng)包括RSD對(duì)終端的服務(wù) 訪問請(qǐng)求的決策RESArc。
7.如權(quán)利要求6所述的適合協(xié)同可信網(wǎng)絡(luò)連接模型的間接交互實(shí)現(xiàn)方法,其特征在 于當(dāng)RSD需要終端的安全狀態(tài)信息來進(jìn)行決策時(shí),所述步驟2)中,ASD構(gòu)造的協(xié)同可信網(wǎng) 絡(luò)連接響應(yīng)中包含的供RSD進(jìn)行決策的信息還包含終端的安全狀態(tài)信息InfoEVA ;所述終端 安全狀態(tài)信息InfoEVA也通過加密方式傳輸,并對(duì)其計(jì)算完整性校驗(yàn)碼。
8.如權(quán)利要求5所述的適合協(xié)同可信網(wǎng)絡(luò)連接模型的間接交互實(shí)現(xiàn)方法,其特征在于步驟2)中,ASD構(gòu)造的協(xié)同可信網(wǎng)絡(luò)連接響應(yīng),將ASD的時(shí)戳和終端的安全狀態(tài)評(píng)估 結(jié)果發(fā)送給終端時(shí),是通過簽名的方式進(jìn)行傳輸,其中,協(xié)同可信網(wǎng)絡(luò)連接響應(yīng)包括IDksd、 供RSD進(jìn)行決策的信息以及簽名SIGasd.;其中,供RSD進(jìn)行決策的信息包括TSASD、RESeva ; SIGasd_esd 是 ASD 使用 ASD 的私鑰對(duì) IDesd | | TSasd | | RESeva 的簽名;以及 步驟4)包括步驟41’ ) RSD驗(yàn)證SIGasd_ksd字段是否正確,若正確,則執(zhí)行步驟4. 2. 2); 否則,丟棄該服務(wù)訪問請(qǐng)求;步驟42’ )RSD判斷TSasd是否有效,RSD通過對(duì)比TSasd與RSD當(dāng)前時(shí)戳TSksd是否在所 述閾值范圍內(nèi),判斷TSasd是否新鮮有效,以此判斷RSD收到的RESeva的新鮮有效性,若有效, 則執(zhí)行步驟43’ );否則,丟棄該服務(wù)訪問請(qǐng)求;步驟43’)根據(jù)ASD提供的供RSD對(duì)終端訪問進(jìn)行決策的信息,對(duì)終端的服務(wù)訪問請(qǐng)求 做出決策,構(gòu)造服務(wù)訪問響應(yīng)發(fā)送給終端,供RSD進(jìn)行決策的信息包括TSasd以及RESeva,服 務(wù)訪問響應(yīng)包括RESacc。
9.如權(quán)利要求8所述的方法,其特征在于當(dāng)RSD需要終端的安全狀態(tài)信息來進(jìn)行決 策時(shí),所述步驟2)中,ASD構(gòu)造的協(xié)同可信網(wǎng)絡(luò)連接響應(yīng)中包含的供RSD進(jìn)行決策的信息 還包含終端的安全狀態(tài)信息InfoEVA ;所述終端安全狀態(tài)信息InfoEVA也作為被簽名對(duì)象進(jìn) 行保護(hù)。
10.一種適合協(xié)同可信網(wǎng)絡(luò)連接模型的間接交互實(shí)現(xiàn)系統(tǒng),其特征在于該系統(tǒng)包括 始終保持時(shí)鐘同步的ASD(Asserting Security Domain,斷言安全域)^P RSD(Relying Security Domain,依賴安全域)以及終端,所述ASD對(duì)終端的安全狀態(tài)進(jìn)行評(píng)估,并將終端 的安全狀態(tài)評(píng)估結(jié)果和終端的安全狀態(tài)信息通過終端發(fā)送給RSD,終端從RSD獲取相應(yīng)的 服務(wù)。
全文摘要
本發(fā)明涉及一種適合協(xié)同可信網(wǎng)絡(luò)連接模型的間接交互實(shí)現(xiàn)方法及其系統(tǒng)。該方法包括以下步驟1)ASD由終端獲取終端的安全狀態(tài)信息,評(píng)估終端的安全狀態(tài)信息產(chǎn)生安全狀態(tài)評(píng)估結(jié)果,并將安全狀態(tài)評(píng)估結(jié)果發(fā)送給終端,ASD產(chǎn)生終端的安全狀態(tài)評(píng)估結(jié)果時(shí)還記錄生成終端的安全狀態(tài)評(píng)估結(jié)果時(shí)的時(shí)戳TSASD,并將TSASD發(fā)送給終端;2)終端將ASD對(duì)終端的安全狀態(tài)評(píng)估結(jié)果和時(shí)戳TSASD發(fā)送給RSD;3)RSD驗(yàn)證ASD對(duì)終端的安全狀態(tài)評(píng)估結(jié)果和時(shí)戳TSASD后根據(jù)驗(yàn)證結(jié)果向終端提供服務(wù)。本發(fā)明中ASD與RSD在過程中不存在直接交換,通過時(shí)鐘同步,保證了RSD收到的ASD對(duì)終端的安全狀態(tài)評(píng)估結(jié)果的不可重放。
文檔編號(hào)H04L29/06GK101917430SQ201010251489
公開日2010年12月15日 申請(qǐng)日期2010年8月11日 優(yōu)先權(quán)日2010年8月11日
發(fā)明者李琴, 肖躍雷, 胡亞楠, 賴曉龍, 鐵滿霞, 黃振海 申請(qǐng)人:西安西電捷通無線網(wǎng)絡(luò)通信股份有限公司