目前，公知的可信网络连接规范和架构有国际可信计算组织TCG(Trusted Computing Group)的TCG—TNC(Trusted Network Connect)，TNC包括了开放终 端完整性架构和一套确保安全互操作的技术标准，该标准实质就是从可信终端 开始建立可信网络连接，它借助可信计算平台模块PTM来武装所有终端和主机， 并在可信网络内部部署可信度量平台、安全策略平台和访问控制平台，首先对 接入可信网络的终端进行设备、身份认证，然后收集该终端的安全状况信息， 度量其可信性和安全性，最后再依照安全策略判定该终端是否被允许接入可信 网络，对于违反安全策略的终端则采取隔离修复的措施，直至符合安全策略为 止。中国对可信网络的研究起步比较早，理论上比较系统但真正公开的、有影 响力的成功技术规范不多，专利200710176091.4和专利200710019094.7是国内 目前可以查到的两款可信网络架构方面的公开文献，这两项专利都是在TNC的 基础上，使用不同的策略来实现可信网络的接入控制。
通过仔细研究国内外有关可信网络的研究和架构，可以发现，定义可信网 络都是用网络和用户的行为及其结果总是可预期与可管理的，这种定义有失偏 颇，可信网络是一个大的概念，含盖着全网安全可信，而不是在不安全的大网 中创建一个可信的小网。那么在国际互联网络中，首先是如何评估终端的安全 性，如何收集终端的安全状况信息，由谁来收集，安全策略由谁来制定等等问 题是一个不易落实的问题；第二，收集终端安全信息是一个比较敏感的问题， 牵涉到个人隐私问题，再则，即便用户不计较隐私问题，而可信终端是以PTM 模块为依托，内部所有信息都是加了密的，要收集终端的安全信息惟有采用报 告制，那么这种报告制可信度有多高呢，度量平台如何确认这些信息不是虚假 的呢？第三，可信网络架构和技术规范，仍然使用现有的基础技术，没有什么 创新和突破，只不过是老套的技术改头换面赋予了新名称，能否真正实现安全 可信值得怀疑，这可能就是TNC架构出台至今没有一款象样的产品进入市场的 根本原因。

本发明的目的在于提供一种基于用户身份的可信网络架构，以实现全网可 信的大网络架构，让所有终端不能向网络注入不安全因素，更不允许不安全因 素进入终端或主机，自然地实现整个国际互联网络的安全、可信，它可包容现 有的所有网络基础设施和不安全的计算机终端，让使用者自觉自愿地服从终端 安全规则，否则就会变成大海中的孤舟，无法和别人交流。由于所有终端的网 络行为都是和使用终端的实体严格捆绑，一旦有恶意用户向网络注入不安全因 素将会被立即发现，并被立即驱逐出网络，从而形成合法用户不敢犯罪，非法 用户无法犯罪的可信网络环境。
本发明是基于可信计算技术的可信网络连接架构，采用基于身份的矢量加 密认证PTM模块来支撑可信网络连接，是一种有别于TNC结构的可信网络连 接架构；目的是保证在网络中流通的任何一则信息，都能够在法定的系统证明 自己的来龙去脉，没有被篡改和伪造，没有夹带不安全因素，也无法超越网络 赋予的权限，并且有一个现实实体对该信息负责，则这样的网络就是可信网络。
本发明的可信平台模块PTM采用包容的态度，不去费精淘神地扫描系统内 部的所有组件的安全性，也不承认外来的安全表白，只是严密地监视出入系统 的所有数据，让数据自己证明自己，只要不违反安全原则，就允许数据出入， 一旦违反安全原则，除了阻止数据出入外，还向数据源发出警告，如果使用者 不听劝告，对于系统内部则关闭网络服务功能与网络隔离，对于外部的则产生 广播数据报，告诉全网某个身份标识的使用者有危险倾向。那些未采用可信平 台模块PTM的终端使用者，由于不能和可信网络终端沟通而被隔离，则无法对 可信网络构成威胁。
一种基于身份的可信网络架构，它包括三个层次三个实体，三个层次是： 物理传输层、互联网络层和应用程序层；三个实体是：网络访问发起者、网络 访问控制者和安全策略服务者。本方案的可信网络架构采用基于访问者身份的 矢量加密认证基础技术，保证所有网络访问请求都是和访问者实体捆绑的加密 数据流，访问控制方只要用自己的身份标识和访问请求标识的身份信息对请求 数据解密能够得到正确的校验值，就实现了双向对等的身份鉴别，然后由访问 控制组件和安全监督组件对权限和内容进行评估和检验，确保所有访问请求都 是安全地，不安全的访问请求被拒绝，从而实现可信的网络连通架构。
1、基本的可信网络架构
一种基于身份的可信网络架构如图1所示。
本可信网络架构规定了基于身份的可信网络架构的功能层次和各个层次的 网络实体，最简捷的可信网络架构包括三个层次：物理链路层、互联网络层和 应用层，三个网络实体：网络访问发起者、网络访问控制者和安全策略服务者； 各实体包含一些功能组件，各组件之间存在一些接口。
2、层次
基于身份的可信网络架构分为三个层次：
物理链路层：本层次只对物理线路中的数据流提供数据流向保护，杜绝由 于链露层数据的透明性对网络造成的威胁。本层采用基于网卡的加密机制，可 以实现数据的机密性和对等的设备身份鉴别。
互联网络层：本层次在原网络层次功能的基础上，增加三个功能组件，完 成网络大门的双向守护。其主要功能是，对原IP包执行基于身份的矢量加密处 理，对外来的访问请求IP包进行解密处理，通过判定完整性实现对等的身份鉴 别和数据原发鉴别；依据强制访问数据库的内容判定该网络访问请求是否被允 许，对允许的访问数据内容进行安全检查，确保进入终端或主机的数据是安全 的，同样还要对外出的访问数据进行安全检查，防止不安全因素进入网络，对 于内部的不安全因素在发出安全警报无法制止时，将关闭网络通道，切断与网 络的连接，以确保网络安全。
应用层：通过网络和第三方服务实体完成对等身份鉴别，访问者的身份认 证以及安全策略和病毒防治数据库的共享；接受使用者简单的安全策略和授权 信息设置；向网络层提供授权信息及安全监督策略；响应网络层的安全事件产 生安全警报。
3、实体
网络访问发起者：请求网络访问的实体，其功能是发出访问请求，完成与 访问控制者的对等身份鉴别和数据源宿鉴别；它通过安全策略服务者获得被访 问者的身份信息和安全策略，保证发出的访问请求信息是安全的访问信息。该 实体包括下述组件：通讯业务流保护组件、加密认证组件、访问控制组件、安 全监督组件和安全策略管理组件。
网络访问控制者：被访问的网络实体，其功能为接收网络访问发起者的访 问请求数据，，完成与访问者对等的身份鉴别和数据原发鉴别以及访问者的访问 权限判别，如果允许访问，还要检查请求数据内容的安全性。它通过安全策略 服务者获得访问者的身份信息和安全策略，保证交给上层的访问请求信息是安 全的。该实体包括下述组件：通讯业务流保护组件、加密认证组件、访问控制 组件、安全监督组件和安全策略管理组件。
安全策略服务者：该实体包括下述组件：通讯业务流保护组件、加密认证 组件、访问控制组件、安全监督组件和安全策略管理组件，额外的组件还包括 救援中心组件、服务中心组件和登记注册远程终端。安全策略服务者是按区域 分布在国际互联网络中的第三方权威实体网站，其作用相当于目前公钥基础设 施的CA中心，它分为三部分，救援中心、服务中心和登记注册机构。负责收集 并向网络提供所有合法网络用户的身份信息和诚信等级信息，制定和分发网络 访问和病毒防止安全策略，响应救援请求信息对请求者实施远程救援，依据网 络用户的网络行为及时调整注册用户的安全级别并用颜色醒目地标示用户的信 用等级，将多次违法的黑名单用户从注册数据库中删除，对那些被开除而不思 悔改，仍然继续危害可信网络的用户终端实施远程销毁，彻底将其开除出可信 网络。
4、功能组件
服务中心只接受各地区权威登记注册机构的登记注册资料的写入或修改， 对可信网络只提供安全策略管理实体的用户身份、用户信用等级查询业务和警 示危险用户，并定时或及时地为登记注册用户安全策略管理实体提供安全策略 和网络黑名单。用户不通过安全策略管理实体或者没有经过登记注册的用户是 无法登陆该实体站点的。
救援中心只接受安全策略管理组件的救援请求，及时处理突发事件。
登记注册机构负责创建网络用户的基础数据库，它将申请用户的现实身份 信息和该用户持有的网络身份证的空间代码，组成一条数据库记录上传至安全 策略服务者实体网站数据库并在全网公开，从而将用户的现实身份与该用户的 网络行为捆绑，直接地实现网络实名制。
安全策略管理组件是可信网络中每台终端或主机系统应用层的一个驻留组 件，它有两个接口，一个接口供终端用户简单地设置访问本终端的许可策略、 安全策略；另一个接口通过网络与权威的安全策略服务者经过对等身份鉴别后 实现安全策略、病毒防范的共享，内部则向访问控制实体、安全监督实体提供 安全策略、访问策略、黑名单和及时处理异常事件。
安全监督组件是布置在网络层的一个双向安全组件，所有进出终端或主机 的数据都必须经过安全监督组件，它接受上层安全策略管理组件的安全策略和 继承加密认证组件、访问控制组件传递的身份认证信息，然后依照上层传递过 来的授权信息库，通过检查数据内容来验证该访问请求是否越权，是否夹带有 病毒、木马和其他恶意程序。一经发现立即启动审计记录器记录该事件的详细 内容，以备定位和追踪，同时将依据情节对于合法用户实施降低权限、禁止访 问和清除该用户的惩罚，并产生一个警告数据报回馈给访问者系统。对于内部 外发的访问或数据，如果发现上述越权和夹带情况，安全检测组件在警告无效 的情况下，有权关闭网络层的服务功能，实现同网络隔离，以免危及整个网络。 对于安全的访问请求或数据则加上安全标签交给上层处理或交给下层外发。如 果收到警告数据报，则暂时断开网络连接，报请安全策略管理组件处理，若本 机安全策略管理组件无法处理，则安全策略管理组件将向网络救援中心请求援 助。
访问控制组件也是布置在网络层的一个双向安全组件，接受加密认证实体 传递过来的访问者的身份信息和安全策略管理实体传递过来的授权信息，来决 定一个具体的网络请求是否被拒绝和接受，凡是无法提供合法身份的访问请求 和授权信息库中没有列出的访问者统统被拒绝，对于内部外发的数据请求，还 要验证数据接收方的身份是否合法，有无和该内部用户交换数据的权限等。如 果访问者能够通过合法验证，则将访问请求交给安全监督组件进行数据安全检 查或交给加密认证实体加密外发。对于非法访问者系统设置一定的忍耐度，超 过这个度，强制访问控制组件将启动一个预警机制，主动向网络发送一个警报 广播，告诉网络某个用户有危险倾向，并通知下层凡是带有该用户身份标识的 IP包不予理睬。
加密认证组件是构建可信网络的核心组件，对于主机系统它就是一个PTM 模块，对于网络终端为了支持用户的流动性，它被分成两部分，软件部分和硬 件部分，软件布置于网络层直接和原IP协议接驳，也可以嵌入IP协议内部。硬 件则是终端用户的身份标识即网络身份证，它和终端通过USB接口或感应接口 连接，向软件部分提供用户的身份标识和加解密密钥以及加解密算法选择字。 该组件通过解密外来的访问请求或数据包，获得访问者的身份信息，通过完整 性验证完成访问者的身份认证和数字签名验证，从而决定丢弃或交给访问控制 实体处理，对于内部外发的请求信息或数据信息，只做加密处理。
PTM模块是以数字电路为基础，内带智能处理器和完整防篡改、防测试和电 气破坏电路的专用数字芯片，具备全球唯一的生产序列号，该序列号和内部加密 认证电路捆绑，决定该PTM模块的矢量密钥生成范围，它可以接受远程的控制 指令启动电气破坏电路；具体应用时，布置在计算机终端的主板上，构成以设 备为中心的可信计算平台，它可以控制计算机的所有输入输出数据必须为规范 的矢量加密数据，并采用数字接力棒技术抵御重播攻击。
网络身份证是以智能卡为基础的防篡改和自毁硬件，具有全球唯一的一串 数字标识，该标识是卡内的密钥生成/再生器的序列编号，决定着该密钥生成/ 再生器可以输出的密钥空间范围，并配合数字接力棒技术抵御重播攻击，它可 以接受远程的控制指令启动电气破坏电路；该智能卡和相应的软件系统配套， 可以构成以使用者为主的可信网络终端。使用者获得该网络身份证后，必须到 当地注册登记机关注册登记，才能成为真正的网络身份证和网络通行证，不经 注册登记的网络身份证，在可信网络中是没有人敢与其交互的。如果持有者利 用该身份证做危害网络安全的勾当，第三方实体可以通过网络公示身份证持有 者为危险级别直至销毁该网络身份证。
通讯业务流保护组件是本发明专门设置在物理接口层的一种纯安全组件， 采用基于网卡的高强加密机制，实现端到端的机密性和简单的对等实体鉴别和 数据原发鉴别，保护物理线路中通讯业务流的机密性，使线路侦听和包嗅探器 失败。
5、可信网络接口和数据库
基础数据收集接口，该接口定义了第三方实体网站服务器和登记注册机构 终端间的数据交换规范，该规范规定基础数据收集接口使用高级别的加密认证 系统并向下兼容通用的加密认证系统，保证普通终端和主机无法主动和该接口 交换数据，只有需要时由第三方实体网站服务器主动和普通终端或主机实现数 据交换，以确保第三方实体网站的安全性和权威性。
策略共享和数据查询接口，该接口定义了第三方实体网站服务器和普通主 机或终端安全策略管理实体间的数据交换规则。
网络互访接口，该接口定义了访问者和被访问者之间的数据交换格式和安 全规则。
安全策略数据库：本数据库是所有终端和主机都必须配备的，该数据库通 过策略共享和数据查询接口获得安全策略服务者提供的系统安全策略和病毒防 止策略，由安全监督组件使用。
访问控制数据库：该数据库是由使用者设置控制的允许访问本机的所有用 户名单，包括用户的真实身份信息、网络身份证号码、信用等级、权限范围、 发送接力密钥和接收接力密钥等字段，由强制访问控制组件使用。
网络身份证数据库：安全策略服务者拥有，通过基础数据收集接口获得所 有登记注册的网络用户信息库，供所有网络用户查询使用。
本发明的可信网络架构同现有的技术方案比较，具有如下优点：
技术实现简单，无须对网络和设备作大的结构改动。
可信网络架构简捷高效，支撑技术单一，可信目标准确，认证手段简单， 没有多余的数据流在网络流通，节省网络带宽。
真正实现了数据信息和使用者身份的全程捆绑，没有密钥协商和传递，确 保数据生成、传输和使用的可信性和可用性。
普适性强，可扩展性好，安全性高，真正实现了无法犯罪的可信网络环境。
所有基础技术全部土生土长，没有泊来品的安全威胁。
附图说明
图1为本发明可信网络架构的基本原理框图
图2为本发明可信网络架构的以设备为主的信息流程图
图3为本发明可信网络架构的以人为主的信息流程图

下面结合附图和实施例对本发明的可信网络架构做进一步说明。 实施例1、以设备为中心的可信网络架构
以设备为中心的可信网络架构如图2所示，该可信网络架构中，所有网络 终端和主机，全部采用以PTM可信计算模块的硬件主板结构，系统软件配备安 全策略管理者组件、安全监督和强制访问控制组件，组成由可信计算终端、可 信主机和安全策略服务者构成的可信网络架构。
起始状态下，拥有可信终端的用户必须到安全策略服务者登记注册中心登 记注册，然后才能接入可信网络，自动从安全策略服务中心获得安全策略和病 毒防护最新技术，完成可信终端的初始化。此后终端每次启动时都自动向安全 策略服务者申请策略更新。
一次安全的可信网络交流信息流程如图2所示。
1、访问发起者终端用户通过安全策略管理组件平台，和安全策略服务者的 服务平台连通，查询拟访问实体的背景资料和设备身份证号码，并将该用户资 料加入到自己的可信通讯数据库中。
2、访问发起者将访问请求信息和拟访问实体的设备身份证号码交给安全监 督组件进行安全检查，合格后加上安全标签然后通过访问控制组件进行权限检 验，权限检验合格后，数据交给PTM模块加密打包外发。
3、PTM模块得到拟访问者的设备身份证号码后，先从可信通讯数据库中取 出自己的数字接力棒附在请求数据头部，接着向密钥生成器申请加密密钥，对 请求数据加密，最后将拟访问者的设备身份证号码、本机的设备身份证号码和 用法定对方的数字接力密钥加密的随机密钥材料、全文校验和、工作模式以及 头部校验和组成密文头，连同密文一起交给IP协议打包。对于可信网络初级阶 段，可以先打包后加密以掩盖源宿地址。
4、物理链路层的通讯业务流保护组件对外发的IP包进行端到端基于网卡 MAC的加密，然后发送到物理线路上，由沿途的交换机、路由器执行接力加密， 直至到达规定的硬件MAC为止。
5、访问控制方通讯业务流保护组件得到属于自己地址的数据帧后，解密数 据交给IP层处理。
6、访问控制方IP协议将收到的IP包组织处理后，交由PTM模块进行解密 认证处理。PTM模块首先从密文头提取信宿的设备身份证号码并与自己的设备身 份证号码比较，完成信宿鉴别。
如果相同的提取信源设备身份证号码，按信源设备身份证号码在可信通讯 数据库中查找记录，如果无记录，则向访问控制组件提出身份验证请求；访问 控制组件通过安全策略组件向安全策略服务者发出查询请求，安全策略服务者 响应后，将被查询者的有关信息反馈给请求者，由访问控制者组件或系统决定 是否允许该访问请求访问本机，完成用户首次身份确认。
如果允许访问发起者访问本机，则从可信通讯数据库中取出自己的解密接 力密钥解密后续头部数据，将获得的信源设备身份证号码工作模式和随机密钥 材料申请解密钥再生，解密请求信息，
然后依据全文校验和的正确与否决定请求信息的命运。校验和不正确，说 明密文信息不是标识的设备身份证号码系统所发，或者是密文信息被破坏和篡 改，则丢弃该请求信息。
校验和正确，说明该请求信息的确来自标识的设备身份证号码系统，请求 信息完整，接着从明文请求信息头部取出接力棒，和可信通讯数据库中存放的 接力棒比较，验证接力棒是否正确，若比较结果正确说明请求信息是新鲜可用 的，就用新生成的接力棒替代数据库中旧的接力棒，完成抗重播检验和接力链 条的接续，同时也完成了信源鉴别、身份认证，得到的密文数据就相当于访问 者的数字签名数据。
将该请求信息交给访问控制者组件，由访问控制组件依据访问发起者的设 备身份证号码和背景资料、诚信等级决定访问级别，然后将请求信息交给安全 监督者组件，对权限和数据内容进行安全检查，根据检查结果和访问发起者的 安全标签，判定访问发起者系统的安全状况和安全等级，并根据这些因素决定 访问者的权限。最后将请求信息交给上层的应用系统处理。
对于不能通过安全检验的访问请求者，将依据情况的严重程度，由安全监 督组件进行不同的处理。
·夹带病毒木马者，暂时禁止该用户访问，向访问发起者提出警告。
·企图越权者，降低该用户的安全等级和访问权限，提出警告。
·没有实质内容者，通知PTM模块，拒绝处理该设备身份证号码发送的IP 数据包，时间依据用户设置分为10分钟、1小时、永远。
·有攻击企图或携带恶意软件者，禁止该用户访问，如不能制止，则向网 络发出广播数据报，并将访问请求内容密文和明文发送到安全服务者网站，以 备追究责任。
上述的可信网络数据交换过程中，访问发起者和访问控制者是不定格的， 只要是向其它终端或主机发送数据请求者都是访问发起者，接受数据请求并进 性安全检查者都是访问控制者。当一个终端作为控制者接收到病毒警告数据报 时，该终端的安全监督组件应该立即请求安全策略管理组件处理，并将处理结 果回馈给警报发起者，以解除禁止。如果本机安全策略管理组件无法处理，就 向安全策略服务者救援中心请求远程救援。
实施例2、以人为中心的可信网络架构
本实施例如图3所示，它与实施例1的区别在于，该模式的可信网络中， 所有终端无须更换成装有可信计算模块PTM的计算机，而是采取后装安全组件 软件和分离的网络身份证，当网络身份证与终端分离时，终端就是一台普通计 算机，当将网络身份证插入计算机的USB或感应接口时，普通终端就变成了可 信终端。如此设计和布局，是为了支持用户的流动性和兼容现有的网络基础设 施以及用户的计算机，使用户花最小的代价去享受可信网络带来的安全和便利。
下面结合图3详细说明以人为中心的可信网络架构的实现过程。
起始状态下，获得网络身份证和相应软件的用户必须到安全策略服务者登 记注册中心登记注册，并将软件安装到准备接入可信网络的终端计算机中，当 将网络身份证硬件插入USB接口或通过感应接口连入终端，终端就变成可信终 端，自动从安全策略服务中心获得安全策略和病毒防护最新技术，完成可信终 端的初始化。此后终端每次启动时都自动向安全策略服务者申请策略更新。当 将网络身份证硬件从终端断开时，终端就变成不安全终端，即便是仍然连接在 网络，也无法和网络中的可信主机或终端交流信息。
一次安全的可信网络交流信息流程如图3所示。
1、访问发起者终端用户通过安全策略管理组件平台，和安全策略服务者的 服务平台连通，查询拟访问实体的背景资料和网络身份证号码，并将该用户资 料加入到自己的可信通讯数据库中。
2、访问发起者将访问请求信息和拟访问实体的网络身份证号码交给安全监 督组件进行安全检查，合格后加上安全标签，然后通过访问控制组件进行权限 检验，权限检验合格后，数据交给加密认证模块，由加密认证模块依据拟访问 者的设备身份证号码，先从可信通讯数据库中取出数字接力棒，并将接力棒附 在请求数据头部，接着向网络身份证申请加密密钥和序列号。
3、网络身份证接到加密密钥申请后，启动密钥生成器生成加密密钥输出给 加密认证模块，由加密认证模块对请求数据加密，然后将拟访问者的网络身份 证号码、本机的网络身份证号码和用对方数字接力密钥加密的随机密钥材料、 工作模式、全文校验和和头部校验和组成密文头，连同密文一起交给IP协议打 包，并将本次生成的接力密钥存入可信通讯数据库。对于可信网络初级阶段， 可以先打包后加密以掩盖源宿地址。
4、物理链路层的通讯业务流保护组件对外发的IP包进行端到端基于网卡 MAC的加密，然后发送到物理线路上，由沿途的交换机、路由器执行接力加密， 直至到达规定的硬件MAC为止。
5、访问控制方通讯业务流保护组件得到属于自己地址的数据帧后，解密数 据交给IP层处理。
6、访问控制方IP协议将收到的IP包组织处理后，交由加密认证模块进行 解密认证处理。加密认证模块首先从密文序列分离出密文头，从密文头提取信 宿的网络身份证号码并与自己的网络身份证号码比较，完成信宿鉴别。
7、如果相同则提取信源的网络身份证号码，然后按信源网络身份证号码在 可信通讯数据库中查找记录。
8、如果无记录，则向访问控制组件提出身份验证请求；访问控制组件通过 安全策略组件向安全策略服务者发出查询请求，安全策略服务者响应后，将被 查询者的有关信息反馈给请求者，由访问控制组件或系统决定是否允许该访问 请求访问本机，完成用户首次身份确认。
9、如果允许访问发起者访问本机，则从可信通讯数据库中取出接力密钥解 密密文头，获得头部数据和校验和，若头部校验和正确，将访问请求信息用标 识的信源网络身份证号码和随机密钥材料向本机网络身份证申请再生解密钥， 解密请求信息，并依据全文校验和的正确与否决定请求信息的命运。校验和不 正确，说明密文信息不是标识的网络身份证号码系统所发，或者是密文信息被 破坏和篡改，则丢弃该请求信息。
10、校验和正确，说明该请求信息的确来自标识的网络身份证号码系统， 请求信息完整，接着从明文请求信息头部取出接力棒，和可信通讯数据库中存 放的接力棒比较，验证接力棒是否正确，若比较结果正确说明请求信息是新鲜 可用的，就用新生成的接力棒替代数据库中旧的接力棒，完成抗重播检验和接 力链条的接续，同时也完成了信源鉴别、身份认证，得到的密文数据就相当于 访问者的数字签名数据。
11、将该请求信息交给访问控制者组件，由访问控制组件依据访问发起者 的网络身份证号码和背景资料、诚信等级决定访问级别，然后将请求信息交给 安全监督者组件，对权限和数据内容进行安全检查，根据检查结果和访问发起 者的安全标签，判定访问发起者系统的安全状况和安全等级，并根据这些因素 决定访问者的权限。最后将请求信息交给上层的应用系统处理。
12、对于不能通过安全检验的访问请求者，将依据情况的严重程度，由安 全监督组件进行不同的处理。
·夹带病毒木马者，暂时禁止该用户访问，向访问发起者提出警告。
·企图越权者，降低该用户的安全等级和访问权限，提出警告。
·没有实质内容者，通知加密认证模块，拒绝处理该设备身份证号码发送 的IP数据包，时间依据用户设置分为10分钟、1小时、永远。
·有攻击企图或携带恶意软件者，禁止该用户访问，如不能制止，则向网 络发出广播数据报，并将访问请求内容密文和明文发送到安全服务者网站，以 备追究责任。
上述的可信网络数据交换过程中，访问发起者和访问控制者是不定格的， 只要是向其它终端或主机发送数据请求者都是访问发起者，接受数据请求并进 性安全检查者都是访问控制者。当一个终端作为控制者接收到病毒警告数据报 时，该终端的安全监督组件应该立即请求安全策略管理组件处理，并将处理结 果回馈给警报发起者，以解除禁止。如果本机安全策略管理组件无法处理，就 向安全策略服务者救援中心请求远程救援。
本实施例中，支持用户的移动性，当用户到达异地需要使用网络资源时， 可以在取得异地用户授权的情况下，使用异地用户的终端配合自己的网络身份 证硬件使用网络资源。在授权阶段，终端的所有网络行为由网络身份证持有用 户自己负责，不会影响原终端用户但该用户应负连带责任。
安全策略服务者在可信网络中，表面上只是向网络提供安全策略和证明用 户身份真实性的作用，并未参与安全连接的过程，实质上，安全策略服务者时 刻都在监视着网络的安全状况，它接收并处理所有终端发出的广播警报，适时 调整安全策略，并对违法用户的网络行为进行鉴定，及时作出降低用户安全级 别和信用等级直至将该用户开除出网络，如果发现该终端用户继续危害网络安 全，就启动远程销毁程序，将该用户的PTM模块或网络身份证销毁，使其无法 再危害可信网络。