一种可信平台连接系统技术方案

技术编号:21146118 阅读:23 留言:0更新日期:2019-05-18 06:41
本发明专利技术涉及一种可信平台连接系统,包括访问请求者、可信第三方和访问控制器,采用可信网络连接架构,结合用户行为分析,实现Windows环境下接入网络的用户身份鉴别、双向平台鉴别和平台完整性鉴别,根据鉴别结果决定是否允许安全的网络请求接入,从而实现可信的网络连接。

A Trusted Platform Connection System

【技术实现步骤摘要】
一种可信平台连接系统
本专利技术涉及计算机安全领域,具体涉及一种可信平台连接系统。
技术介绍
当前,在个人办公桌面操作系统领域,虽然受到了越来越多的新型产品的挑战,但是Windows系统依然占据统治地位,其市场占有率高达91.41%。苹果的MacOSX占有率则为6.32%,而Linux占有率只有2.27%。Windows系统以其直观、简洁、大方的界面赢得全球用户的青睐,但是Windows系统自身也存在一些问题,如Windows自身系统的不透明性导致未知漏洞丛生等,5月份爆发的勒索病毒事件更是很好的例证。另外Windows在进行网络连接时,主要采用TNC连接架构由于TNC采用单向平台完整性校验架构,不仅对连接平台双向的可信性无法保证,而且对接入平台行为的可信性无法保证。
技术实现思路
针对现有技术中存在的上述问题,本专利技术面向Windows环境,提出了对应的网络可信连接框架,保证Windows的可信连接。一种可信平台连接系统,其特征在于,包括:访问请求者,所述访问请求者包括Windows访问请求者,Windows应用行为收集者,TPCM,Windows终端,用户;可信第三方,所述可信第三方包括Windows行为校验者,完整性度量校验者,可信认证中心;访问控制器,所述访问控制器包括Windows访问控制器,访问请求者,接入端TPCM,服务器接入端,网关;其中,其中所述访问请求者和所述访问控制器通过所述可信第三方进行双向身份鉴别和可信平台评估。优选的,所述网关包括:接收用户发起的网络请求,并通过可信第三方实现与用户的双向身份鉴别,将上层协议数据包发送到可信第三方,依据身份鉴别结果和上层下发的访问控制策略实现对用户网络请求的访问控制。优选的,所述TPCM包括:实现Windows终端和服务器接入端的完整性收集,生成相应的完整性报告。优选的,所述TPCM包括:调用行为收集接口,对Windows应用的行为完整性进行收集。优选的,所述完整性校验者包括:对接收到的Windows终端和服务端接入点的完整性进行校验评估。优选的,所述系统的软件架构包括:网络访问控制层、可信平台评估层、完整性度量层和行为收集层。优选的,所述网络访问控制层包括:对Windows访问请求者和Windows访问控制器进行双向身份鉴别,根据鉴别结果和评估层的评估策略实现访问控制。优选的,所述可信平台评估层包括:作为可信第三方控制Windows终端和服务端接入点调用度量层的相关接口,获取平台完整性信息,发送到可信认证中心,可信认证中心调用完整性校验层中的完整性校验者接口对终端和接入点的完整性进行校验。优选的,所述完整性度量层包括:对Windows接入终端和服务端接入点的平台完整性进行收集,生成相应的完整性报告;将所述完整性报告发送到可信第三方的完整性校验者进行校验。优选的,所述行为收集层包括:对Windows网络行为的收集,对网络接入时终端和接入端的平台安全行为进行收集;其中,所述安全行为包括应用是否符合规律、是否存在应用的非法访问、对操作序列是否正确。本专利技术涉及一种可信平台连接系统,包括访问请求者、可信第三方和访问控制器,采用可信网络连接架构,结合用户行为分析,实现Windows环境下接入网络的用户身份鉴别、双向平台鉴别和平台完整性鉴别,根据鉴别结果决定是否允许安全的网络请求接入,从而实现可信的网络连接。附图说明下面将结合附图及实施例对本专利技术作进一步说明,附图中:图1为本专利技术实施例一中一种可信平台连接系统的架构图;图2为本专利技术实施例三中一种可信平台连接方法的流程图。具体实施方式现结合附图,对本专利技术的较佳实施例作详细说明。实施例一本实施例提出了一种可信平台连接系统,如图1所示,包括访问请求者、访问控制器和可信第三方,其中所述访问请求者和所述访问控制器通过所述可信第三方进行双向身份鉴别和可信平台评估,所述系统具体包括:(1)访问请求者访问请求者功能主要包括:发起网络访问请求,实现与访问控制器的双向身份鉴别;对Windows接入终端的完整性进行收集,生成完整性度量报告,完成与访问控制器的双向平台完整性评估;同时,对Windows应用行为进行收集,生成相应度量报告,发送到策略管理器。访问请求者包括以下功能模块:Windows访问请求者,Windows应用行为收集者,TPCM,Windows终端,用户。(2)访问控制器访问控制器主要功能包括实现与访问请求者的双向身份鉴别,实现对访问请求者的可信评估,同时,实现对服务端接入点的行为收集;接收Windows接入终端的完整性度量值,完成对服务端接入点的完整性度量值,把这些度量值发送到可信认证中心。对接入点行为完整性进行收集,将度量结果发送到策略管理中心。访问控制器主要包括以下模块:Windows访问控制器,访问请求者,接入端TPCM,服务器接入端,网关。(3)可信第三方可信第三方主要功能是在访问请求者和访问控制器在双向身份鉴别过程中充当可信第三方,对双方证书有效性进行验证;对Windows接入终端的平台完整性、服务器接入端的平台完整性进行校验评估,形成度量报告,并对其行为完整性进行度量进行校验。可信第三方主要包括以下模块:Windows行为校验者,完整性度量校验者,可信认证中心。下面对所述可信平台连接系统中涉及到的功能部件进行解释说明:(1)用户用户负责发起网络请求,并在可信认证中心协助下完成与网关的双向身份鉴别,将上层协议数据包发送到访问控制器和可信第三方,并依据身份鉴别结果和上层下发的访问控制策略实现访问控制。(2)网关网关接收用户发起的网络请求,并通过可信第三方实现与用户的双向身份鉴别,将上层协议数据包发送到可信第三方,依据身份鉴别结果和上层下发的访问控制策略实现对用户网络请求的访问控制。(3)可信认证中心在用户和网关的双向身份鉴别和可信平台评估过程中充当可信第三方。(4)Windows终端向评估层请求并收集完整性信息,在可信认证中心帮助下实现可信平台完整性评估。(5)服务端接入点接收Windows终端的完整性信息,向评估层请求并收集完整性信息,在可信认证中心帮助下实现与Windows终端的可信平台完整性评估。把可信第三方生成的完整性评估策略发送到网关。(6)TPCM实现终端和接入端的完整性收集,生成相应的完整性报告。调用行为收集接口,对Windows应用的行为完整性进行收集。(7)完整性校验者对接收到的Windows终端和服务端接入点的完整性进行校验评估。(8)Windows应用行为收集者收集Windows终端应用的行为完整性。(9)Windows应用行为请求者收集服务端接入点的行为完整性。(10)Windows应用行为校验者对终端的行为完整性和接入点的行为完整性进行校验评估。本实施例提出了一种面向Windows环境的可信平台连接系统,采用可信网络连接架构,结合用户行为分析,实现Windows环境下接入网络的用户身份鉴别、双向平台鉴别和平台完整性鉴别,根据鉴别结果决定是否允许安全的网络请求接入,从而实现可信的网络连接。实施例二基于实施例一中提出的一种可信平台连接系统,本实施例对其软件系统架构层次进行说明,所述系统包括网络访问控制层、可信平台评估层、完整性度量层和行为收集层,上述系统架构层具体包括:(1)网本文档来自技高网...

【技术保护点】
1.一种可信平台连接系统,其特征在于,包括:访问请求者,所述访问请求者包括Windows访问请求者,Windows应用行为收集者,TPCM,Windows终端,用户;可信第三方,所述可信第三方包括Windows行为校验者,完整性度量校验者,可信认证中心;访问控制器,所述访问控制器包括Windows访问控制器,访问请求者,接入端TPCM,服务器接入端,网关;其中,其中所述访问请求者和所述访问控制器通过所述可信第三方进行双向身份鉴别和可信平台评估。

【技术特征摘要】
1.一种可信平台连接系统,其特征在于,包括:访问请求者,所述访问请求者包括Windows访问请求者,Windows应用行为收集者,TPCM,Windows终端,用户;可信第三方,所述可信第三方包括Windows行为校验者,完整性度量校验者,可信认证中心;访问控制器,所述访问控制器包括Windows访问控制器,访问请求者,接入端TPCM,服务器接入端,网关;其中,其中所述访问请求者和所述访问控制器通过所述可信第三方进行双向身份鉴别和可信平台评估。2.根据权利要求1中所述的一种可信平台连接系统,其特征在于,所述网关包括:接收用户发起的网络请求,并通过可信第三方实现与用户的双向身份鉴别,将上层协议数据包发送到可信第三方,依据身份鉴别结果和上层下发的访问控制策略实现对用户网络请求的访问控制。3.根据权利要求1中所述的一种可信平台连接系统,其特征在于,所述TPCM包括:实现Windows终端和服务器接入端的完整性收集,生成相应的完整性报告。4.根据权利要求3中所述的一种可信平台连接系统,其特征在于,所述TPCM包括:调用行为收集接口,对Windows应用的行为完整性进行收集。5.根据权利要求1中所述的一种可信平台连接系统,其特征在于,所述完整性校验者包括:对接收到的Windows终端和服务端接入点...

【专利技术属性】
技术研发人员:孙瑜王涛王强夏攀洪宇王大海
申请(专利权)人:北京可信华泰信息技术有限公司
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1