技术领域
[0001] 本
发明涉及可信网络接入领域,具体地说是一种高并发策略决策系统、可信网络系统及接入方法。
背景技术
[0002] TNC(英文全称为Trusted Network Connect,中文翻译为可信网络接入),作为TCG(英文全称为TrustedComputing Group,中文翻译为可信计算组织)中的一个分支,专
门负责网络终端入网的可信任务。
[0003] 可信网络是指在终端连接网络之前,对用户的身份进行认证。如果认证通过,对终端平台的身份进行认证,如果认证通过,对终端的平台可信状态进行度量,如果度量结果满足网络连接的安全策略,则允许终端连接网络,否则将终端连接到
指定的隔离区域,对其进行安全性修补和升级。
[0004] 当前的可信网络系统对于终端数量规模不是太大时能够满足用户的使用,但当可信网络系统中终端数量超过一定规模时,当前可信网络的架构就不能够满足系统需求,部分终端接入可信网络的过程中就会有很长时间的等待,降低用户体验。
[0005] netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的
框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接
跟踪成为了可能。如何利用netfilter的相关机制,避免大规模终端接入可信网络时发生的系统延时,是需要解决的技术问题。
发明内容
[0006] 本发明的技术任务是针对以上不足,提供一种高并发策略决策系统、可信网络系统及接入方法,来解决如何避免大规模终端接入可信网络时发生的系统延时的问题。
[0007] 第一方面,本发明提供一种高并发策略决策系统,包括:
[0008] 认证
服务器,所述认证服务器共多种,每种认证服务器对应一种认证过程,所述多种认证服务器用于进行用户身份认证以及平台完整性认证;
[0009] 任务调度服务器,所述任务调度服务器
内核层配置有网卡驱动模
块和netfilter模块,任务调度服务器应用层配置有用户空间
进程;
[0010] netfilter模块分别与上述多种认证服务器连接,用于接收AR的接入认证
请求,并根据接入认证请求的认证过程种类将接入认证请求转发至对应的认证服务器;
[0011] 用户空间进程基于netlink机制与netfilter模块连接,用于接收接入认证请求、记录认证请求对应的AR,并用于接收认证服务器的认证结果、根据认证结果生成可信网络决策。
[0012] Netlink套接字是用以实现用户进程与内核进程通信的一种特殊的
进程间通信(IPC),也是网络应用程序与内核通信的最常用的
接口。
[0013] 在上述实施方式中,认证服务器配置有多种以对应不同种类的认证过程,在接收到AR的接入认证请求后,通过netfilter模块判断接入认证请求的认证过程种类,并将不同的认证过程分散到不同的认证服务器进行处理,通过用户空间进程汇总不同认证服务器的认证结果并生成可信网络决策,通过可信网络决策判断对应AR的接入认证请求是否接入可信网络。
[0014] 作为优选,平台完整性认证包括系统文件完整性认证、杀毒
软件完整性认证、网络端口完整性认证以及USB端口完整性认证;
[0015] 所述多种认证服务器包括身份认证服务器、系统文件完整性认证服务器、
杀毒软件完整性认证服务器、网络端口完整性认证服务器和USB端口完整性认证服务器。
[0016] 作为优选,用户空间进程为freeradius进程。
[0017] Freeradius是一个模块化,高性能并且功能丰富的一套Radius程序,包含服务器,客户端(radius client),开发库和一些额外的相关radius工具。
[0018] 第二方面,本发明提供一种高并发可信网络系统,包括:
[0019] AR,所述AR共多个,AR运行于接入端点设备,同于提交接入认证请求,接入认证请求包括用户身份信息和安全状态信息,安全状态信息用于进行平台完整性认证;
[0020] PEP,所述PEP与上述多个AR连接,用于接收接入认证请求;
[0021] PDP,所述PDP为如
权利要求1-3任一项所述的一种高并发策略决策系统,PDP通过任务调度服务器与PEP连接;
[0022] PDP用于通过通过任务调度服务器中neitfilter模块接收AR的接入认证请求、根据接入认证请求的认证过程种类将接入认证请求转发至对应的认证服务器;
[0023] PDP用于通过任务调度服务器中用户空间进程记录接收接入认证请求、记录认证请求对应的AR,并用于通过任务调度服务器中用户空间进程接收认证服务器的认证结果、根据认证结果生成可信网络决策;
[0024] PEP用于接收可信网络决策、并根据可信网络决策判断AR是否接入可信网络。
[0025] 在上述实施方式中,该可信网络系统中AR的接入认证请求通过PEP发送至netfilter模块;通过netfilter模块判断接入认证请求的认证过程种类,并将不同的认证过程分散到不同的认证服务器进行处理;通过用户空间进程汇总不同认证服务器的认证结果并生成可信网络决策;通过PEP接收可信网络决策、并根据可信网络决策判断AR是否接入可信网络。
[0026] 作为优选,安全状态信息包括系统文件完整性信息、杀毒软件完整性信息、网络端口完整性信息以及USB端口完整性信息安全状态信息。
[0027] 作为优选,安全状态信息为由配置于接入端点设备上的完整性采集器采集的完整性信息。
[0028] 第三方面,本发明提供一种高并发可信网路接入方法,构建如第一方面任一项所述的一种高并发可信网络系统作为PDP,通过PDP将AR的接入认证请求转发至对应种类的认证服务器,并汇总各种认证服务器的认证结果生成可信网络决策,并通过PEP根据可信网络决策判断所述AR是否接入可信网络。
[0029] 作为优选,包括如下步骤:
[0030] 通过netfilter模块接收AR的接入认证请求,并判断接入认证请求的认证过程种类;
[0031] 根据接入认证请求的认证过程种类,通过netfilter模块将接入认证请求转发至对应的认证服务器;
[0032] 基于netlink机制,通过netfiler模块将接入认证请求传送至用户空间进程;
[0033] 通过用户空间进程汇总认证服务器的认证处理结果,并生成可信网络决策;
[0034] 将可信网络决策传送至PEP,通过PEP根据可信网络决策判断AR是否接入可信网络。
[0035] 本发明的一种高并发策略决策系统、可信网络系统及接入方法具有优点:通过netlink模块将不同的认证过程分散到不同的认证服务器进行处理,通过用户空间进程汇总不同认证服务器的认证结果并生成可信网络决策,从而将复杂的耗时的认证过程分散到不同的认证服务器实现,每个认证服务器只执行一部分的认证过程,大大提高了可信网络服务端处理的效率。
附图说明
[0036] 为了更清楚地说明本发明
实施例中的技术方案,下面将对实施例中描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0037] 下面结合附图对本发明进一步说明。
[0038] 附图1为实施例1一种高并发策略决策系统的结构
框图;
[0039] 附图2为实施例1一种高并发策略决策系统中任务调度服务器的结构框图;
[0040] 附图3为实施例2一种高并发可信网络系统的结构框图;
[0041] 附图4为实施例3一种高并发可信网络接入方法的流程框图。
具体实施方式
[0042] 下面结合附图和具体实施例对本发明作进一步说明,以使本领域的技术人员可以更好地理解本发明并能予以实施,但所举实施例不作为对本发明的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互结合。
[0043] 需要理解的是,在本发明实施例中的“多个”,是指两个或两个以上。
[0044] 本发明实施例提供一种高并发策略决策系统、可信网络系统及接入方法,用于解决如何避免大规模终端接入可信网络时发生的系统延时的技术问题。
[0045] 实施例1:
[0046] 本发明的一种高并发策略决策系统,包括认证服务器和任务调度服务器,认证服务器共多种、对应不同种类的认证过程,可实现对用户身份认证以及平台完整性认证。任务调度服务器内核层配置有网卡驱动模块、netfilter模块,任务调度服务器应用层配置有用户空间进程,netfilter模块分别与上述多种认证服务器连接,用于将AR的接入认证请求按照认证过程种类转发至对应的认证服务器,用户空间进程通过netlink接口与netfilter模块连接,用于接收接入认证请求、记录认证请求对应的AR,并用于接收认证服务器的认证结果、根据认证结果生成可信网络决策。
[0047] 其中,平台完整性认证包括平台完整性认证包括系统文件完整性认证、杀毒软件完整性认证、网络端口完整性认证以及USB端口完整性认证。相应的,本实施例中多种认证服务器包括身份认证服务器、系统文件完整性认证服务器、杀毒软件完整性认证服务器、网络端口完整性认证服务器和USB端口完整性认证服务器。
[0048] netfilter模块与PEP连接,通过PEP接收AR的接入认证请求,同时netfilter模块分别与上述多种认证服务器连接,netfilter判断接入认证请求的认证过程种类后,将接入认证请求转发至对应的认证服务器,认证服务器对其种类的认证过程进行认证处理并输出认证结果。
[0049] 用户空间进程为freeradius进程,用户空间进程基于netlink机制与netfilter模块连接,用户空间进程接收接入认证请求并记录接入认证请求对应的接入端点设备,同时,用户空间进程汇总不同认证服务器的认证结果生成可信网络决策,并将可信网络决策发送至PEP,该可信网络决策用于判断该AR是否接入可信网络。
[0050] 本发明的一种高并发策略决策系统,通过netfilter模块将不同的认证过程分散到不同的认证服务器进行处理,通过用户空间进程将不同认证服务器的认证结果汇总,生成可信网络决策,判断该AR是否能够接入可信网络,从而将复杂的耗时的认证过程分散到不同的认证服务器实现,每个认证服务器只执行一部分的认证过程,大大提高了可信网络服务端处理的效率。
[0051] 实施例2:
[0052] 本发明的一种高并发可信网络架构系统,包括AR、PEP和PDP。
[0053] AR共多个,AR运行于接入端点设备,用于获取接入端点设备的安全状态信息,并提交接入认证请求。其中,安全状态信息为由配置于接入端点设备上的完整性采集器IMC(Integrity Measurement Collectors)采集的完整性信息。
[0054] 即接入端点设备上配置有完整性采集器和多个AR,通过完整性采集器IMC(Integrity Measurement Collectors)进行客户端收集信息的工作,然后通过AR模块发送至服务端。
[0055] PEP通过交换机与上述多个AR连接,用于接收安全状态信息和接入认证请求,该交换机相关端口配置802.1X协议。
[0056] PDP为实施例1公开的一种高并发策略决策系统,PDP通过任务调度服务器与PEP连接。PDP通过任务调度服务器中neitfilter模块接收AR的接入认证请求、根据接入认证请求的认证过程种类将接入认证请求转发至对应的认证服务器;PDP通过任务调度服务器中用户空间进程记录接收接入认证请求、记录认证请求对应的AR,并通过任务调度服务器中用户空间进程接收认证服务器的认证结果、根据认证结果生成可信网络决策;PDP将可信网络决策发送至PEP,PEP根据可信网络决策判断AR是否接入可信网络。
[0057] 本发明的一种高并发可信网络架构系统,工作过程为:
[0058] (1)AR将接入认证请求以及完整性采集器采集的安全状态信息发送至PEP;
[0059] (2)PEP将接入认证请求和安全状态信息发送至netlilter模块;
[0060] (3)netlilter模块判断接入认证请求的认证过程种类,并将不同认证过程种类的接入认证请求转发至对应的认证服务器;
[0061] 同时,netlilter模块将接入认证请求发送至用户空间进程,用户空间进程记录接入认证请求对应的AR,并等待认证服务器的认证结果;
[0062] (4)用户空间进程汇总不同认证服务器的认证结果并生成可信网络决策,将可信网络决策传送至PEP;
[0063] (5)PEP根据可信网络决策判断对应的AR是否接入可信网络。
[0064] 实施例3:
[0065] 本发明的一种高并发可信网络接入方法,构建如实施例1公开的一种高并发可信网络系统作为PDP,通过PDP将AR的接入认证请求转发至对应种类的认证服务器,并汇总各种认证服务器的认证结果生成可信网络决策,并通过PEP根据可信网络决策判断所述AR是否接入可信网络.
[0066] 该方法的工作流程为:
[0067] S100、通过netfilter模块接收AR的接入认证请求,并判断接入认证请求的认证过程种类;
[0068] S200、根据接入认证请求的认证过程种类,通过netfilter模块将接入认证请求转发至对应的认证服务器;
[0069] 基于netlink机制,通过netfiler模块将接入认证请求传送至用户空间进程;
[0070] S300、通过用户空间进程汇总认证服务器的认证处理结果,并生成可信网络决策;
[0071] S400、将可信网络决策传送至PEP,通过PEP根据可信网络决策判断AR是否接入可信网络。
[0072] 其中,步骤S100中,AR向PEP发送接入认证请求的同时,还发送接入端点设备的安全状态信息,安全状态信息包括包括系统文件完整性信息、杀毒软件完整性信息、网络端口完整性信息以及USB端口完整性信息。
[0073] 以上所述实施例仅是为充分说明本发明而所举的较佳的实施例,本发明的保护范围不限于此。
本技术领域的技术人员在本发明
基础上所作的等同替代或变换,均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。
