【技术实现步骤摘要】
一种基于可信计算双体系架构的可信连接方法
本专利技术涉及可信计算领域,具体涉及一种基于可信计算双体系架构的可信连接方法。
技术介绍
计算节点之间在进行网络连接时,为了保证网络安全,计算节点通常会对对方进行身份认证,如果身份认证通过,则允许进行网络连接,如果身份认证未通过,则拒绝进行网络连接。上述网络连接方法存在以下缺陷:1)身份认证信息容易被盗取或篡改,将会导致非法节点允许进行网络连接,或者合法节点网络连接不成功;2)计算节点的可信状态无法保证,即使身份认证通过,如果计算节点本身的可信状态无法保证的话,也将会存在网络安全隐患。
技术实现思路
针对现有技术中存在的缺陷,本专利技术的目的在于提供一种基于可信计算双体系架构的可信连接方法,不仅可以保证计算节点本身可信,还可以通过可信安全管理平台保证网络连接安全。为实现上述目的,本专利技术采用的技术方案如下:一种基于可信计算双体系架构的可信连接方法,应用于可信计算系统,所述可信计算系统包括可信安全管理平台和与所述可信安全管理平台连接的至少两个可信节点,所述可信节点包括并行的计算部件和防护部件,所述计算部件用于执行计算任务,所述防护部件用于对所述计算部件进行可信度量和控制,所述计算部件与所述防护部件之间具有安全隔离机制,通过专用访问通道进行交互;所述可信连接方法包括:在所述可信节点对对端可信节点发起网络连接时,所述可信节点与所述对端可信节点均通过所述可信安全管理平台对对方的身份和状态进行可信认证,认证通过后,所述可信节点与所述对端可信节点建立网络连接,建立完成后进行数据传输。进一步,如上所述的一种基于可信计算双体系架构的 ...
【技术保护点】
1.一种基于可信计算双体系架构的可信连接方法,其特征在于,应用于可信计算系统,所述可信计算系统包括可信安全管理平台和与所述可信安全管理平台连接的至少两个可信节点,所述可信节点包括并行的计算部件和防护部件,所述计算部件用于执行计算任务,所述防护部件用于对所述计算部件进行可信度量和控制,所述计算部件与所述防护部件之间具有安全隔离机制,通过专用访问通道进行交互;所述可信连接方法包括:在所述可信节点对对端可信节点发起网络连接时,所述可信节点与所述对端可信节点均通过所述可信安全管理平台对对方的身份和状态进行可信认证,认证通过后,所述可信节点与所述对端可信节点建立网络连接,建立完成后进行数据传输。
【技术特征摘要】
1.一种基于可信计算双体系架构的可信连接方法,其特征在于,应用于可信计算系统,所述可信计算系统包括可信安全管理平台和与所述可信安全管理平台连接的至少两个可信节点,所述可信节点包括并行的计算部件和防护部件,所述计算部件用于执行计算任务,所述防护部件用于对所述计算部件进行可信度量和控制,所述计算部件与所述防护部件之间具有安全隔离机制,通过专用访问通道进行交互;所述可信连接方法包括:在所述可信节点对对端可信节点发起网络连接时,所述可信节点与所述对端可信节点均通过所述可信安全管理平台对对方的身份和状态进行可信认证,认证通过后,所述可信节点与所述对端可信节点建立网络连接,建立完成后进行数据传输。2.根据权利要求1所述的一种基于可信计算双体系架构的可信连接方法,其特征在于,在所述可信节点对对端可信节点发起网络连接时,所述可信节点与所述对端可信节点均通过所述可信安全管理平台对对方的身份和状态进行可信认证,认证通过后,所述可信节点与所述对端可信节点建立网络连接,建立完成后进行数据传输包括:(1)所述可信节点的计算部件通过TSB代理拦截网络行为,读取所述网络行为及其上下文数据,并将所述网络行为及其上下文数据传递给所述可信节点的防护部件;(2)所述可信节点的防护部件通过可信软件基中的策略引擎,匹配与所述网络行为及其上下文数据相关的策略,并根据所述策略对所述网络行为及其上下文数据进行度量和控制,得到控制结果;(3)所述可信节点的计算部件中的TSB代理根据所述控制结果,通过所述可信安全管理平台对所述对端可信节点的身份和状态进行可信认证,得到认证结果;(4)所述可信节点根据所述认证结果,与所述对端可信节点协商建立安全的通信方式,并建立各自的通信会话,所述可信节点与所述对端可信节点之间的网络连接建立完成;(5)所述可信节点通过所述通信方式和各自的通信会话,与所述对端可信节点进行数据传输。3.根据权利要求2所述的一种基于可信计算双体系架构的可信连接方法,其特征在于,(3)所述可信节点的计算部件中的TSB代理根据所述控制结果,通过所述可信安全管理平台对所述对端可信节点的身份和状态进行可信认证,得到认证结果包括:(3.1)所述可信节点的计算部件中的TSB代理根据所述控制结果,对所述对端可信节点的防护部件的可信平台控制模块提供的可信凭据进行可信认证,得到第一认证结果;(3.2)所述可信节点的计算部件中的TSB代理根据所述控制结果,通过所述可信安全管理平台对所述对端可信节点的状态进行可信认证,得到第二认证结果;(3.3)所述可信节点的计算部件中的TSB代理在所述第一认证结果和所述第二认证结果均为可信时,确定所述认证结果为可信。4.根据权利要求3所述的一种基于可信计算双体系架构的可信连接方法,其特征在于,(3.2)所述可信节点的计算部件中的TSB代理根据所述控制结果,通过所述可信安全管理平台对所述对端可信节点的状态...
【专利技术属性】
技术研发人员:孙瑜,王涛,洪宇,于洪伟,王大海,
申请(专利权)人:北京可信华泰信息技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。