一种网络接入认证的方法及系统的制作方法

专利名称：一种网络接入认证的方法及系统的制作方法
技术领域：
本发明涉及网络认证技术，特别涉及一种网络接入认证的方法及系统。
技术背景随着互联网在全球的快速发展及传输控制协议/网际协议(TCP/IP, Transfer Control Protocol/Internet Protocol)在网络中的广泛应用，互联网在 带给人们方便的同时，其不安全因素问题也日趋严重，由于TCP/IP技术的 开放架构和协议本身在安全上的缺陷，大多数攻击，比如病毒，蠕虫，黑客 攻击等都是基于TCP/IP协议的，互联网安全问题主要包括网络环境下计 算机系统、计算机网络自身的安全保护；基于计算机网络的通信和分布式应 用系统的安全保护。网络端点评估(:NEA， Network Endpoint Assessment)系统的目的是保 护互联网不受那些来自不安全节点的威胁，这些不安全节点包括已经被病 毒感染或存在某些安全漏洞的节点。NEA系统中网络管理者通过安装在试 图接入网络的节点上的代理软件，收集端点的系统状态信息，主要是与安全 相关的一些信息，如端点系统安装的操作系统及其版本信息、补丁安装信息、 防火墙信息、杀毒软件及版本信息、用户身份ID(Identification)信息等，并 进行评估，考察其对网络安全策略的符合程度，然后根据对某个节点的评估 结杲决定是否允许该节点进入网络只有符合要求的节点才允许接入网络； 对于不符合策略的节点，网络管理者不允许其接入网络，同时还可以将更新 途径通知该节点。NEA系统的核心功能之一是对端点的各种系统状态信息进行收集和评 估，实施决定接入控制策略的网络系统。由于系统状态信息的涉及的内容很广，因此需要在端点側安装可能由不同厂商提供的信息收集模块，由信息收集模块完成相关方面的系统信息收集，并转交给代理客户端发送给网络侧； 同样的，在网络侧需要部署信息评估模块，由信息评估模块完成代理客户端 发送过来的相关系统信息评估，并将评估结果信息转交给代理服务器发送给端点側。由于NEA系统是一个端点侧与网络侧之间的联动系统，为了保证网络 侧能够获得端点侧的真实信息，并且该信息能够被正确处理，端点侧与网络 侧的各个实体(代理客户端，代理服务器，信息收集模块，信息评估模块) 之间必须建立信任关系。如果没有建立起这一系列的信任关系，端点侧就不 应该将自己的系统信息发送到网络侧，而网络侧对发送过来的无法辨别真伪 的端点信息进行相应评估。目前，端点侧与网络侧各个实体间信任关系的建立主要包括两个环节 代理客户端与代理服务器之间建立直接信任关系及信息收集模块与信息评 估模块之间建立直接信任关系。图1是现有NEA系统中各实体之间建立信任关系的示意图，如图1所 示，该NEA系统包含端点侧单元11及网络侧单元12，其中，端点侧单元11包含信息收集模块111及代理客户端模块112;网络侧 单元12包含信息评估模块121及代理服务器模块122。代理客户端模块112，用于与代理服务器模块122建立信任关系，并转 发信息收集模块111输出的端点信息、网络信息评估结果信息、代理服务器 模块122输出的网络信息及端点信息评估结杲信息。建立信任关系的过程如 下代理客户端模块112发出信任请求信息，代理服务器模块122接收信任 请求信息并对此信息进行评估，如果评估成功，建立代理服务器模块122对 代理客户端模块112的信任关系；否则拒绝建立信任关系。代理客户端模块 112建立对代理服务器模块122的信任关系相类似，在此不再赘述。信息收集模块lll，用于与信息评估模块121建立直接信任关系收集端点信息，发出信任请求信息给代理客户端模块112，代理客户端模块112 将信任请求信息转发给代理服务器模块122,代理服务器模块122再转发给 信息评估模块121,信息评估模块121接收信任请求信息并对此信息进行评 估，如果评估成功，建立信息评估模块121对信息收集模块111的信任关系， 否则拒绝建立信任关系；同样地，信息收集模块111也可以建立或拒绝对信 息评估模块121的直接信任关系。但是，上述所示的NEA系统，只是在属于端点侧和网络侧的同一层次 实体之间建立了信任关系，即在代理客户端模块112与代理服务器模块122 之间以及信息收集模块111与信息评估模块121之间建立了直接信任关系， 而不同层次的实体之间没有建立信任关系，如信息收集模块111与代理客户 端模块112之间及信息评估模块121与代理服务器模块122之间没有建立信 任关系，因此可能使得代理客户端模块112在没有和信息收集模块111之间 建立信任关系的情况下，就将信息收集模块111获取的系统信息发送到网络 侧，造成端点用户对信息收集模块111获取了哪些信息并不知情，降低了 NEA系统的安全性。发明内容有鉴于此，本发明实施例的主要目的在于提供一种网络接入认证的方法，提高NEA系统的安全性。本发明实施例的另一个目的在于提供一种网络接入认证的系统，增强NEA系统的安全性。为达到上述目的，本发明实施例的技术方案具体是这样实现的 一种网络接入认证的方法，其特征在于，该方法包括 建立端点侧单元的代理客户端模块和网络侧单元的代理服务器模块直接信任关系；建立端点侧单元的信息收集模块和网络侧单元的信息评估模块直接信任关系；建立所述信息收集模块和代理客户端模块直接信任关系；和/或， 建立所述信息评估模块和代理服务器模块直接信任关系。 一种网络接入认证的方法，其特征在于，该方法包括 建立端点侧单元的代理客户端模块和网络侧单元的代理服务器模块直 接信任关系；建立所述信息收集模块和代理客户端模块直接信任关系；建立所述信息 评估模块和代理服务器模块直接信任关系。一种网络接入认证的系统，包含端点侧单元及网络侧单元，其中，端 点側单元包含信息收集模块及代理客户端模块，网络侧单元包含信息评估模 块与代理服务器模块，代理客户端模块用于与代理服务器模块建立直接信任 关系，信息收集模块用于与信息评估模块建立直接信任关系，其特征在于， 所述信息收集模块进一步用于与代理客户端模块建立直接信任关系；和/或， 所述信息评估模块进一步用于与代理服务器模块建立直接信任关系，其中，信息收集模块，用于与代理客户端模块建立信任关系，接收代理客户端 模块发出的信任请求信息并根据信任请求信息进行信任评估，向代理客户端 模块输出评估结果信息及自身的信任请求信息；代理客户端模块，用于与所述信息收集模块建立信任关系，接收信息收 集模块发出的信任请求信息并根据信任请求信息进行信任评估，向信息收集 模块输出评估结果信息及自身的信任请求信息；和/或，信息评估模块，用于与所述代理服务器模块建立信任关系，接收代理服 务器模块发出的信任请求信息并根据信任请求信息进行信任评估，向代理服 务器模块输出评估结果信息及自身的信任请求信息；代理服务器模块，用于与所述信息评估模块建立信任关系，接收信息评 估模块发出的信任请求信息并根据信任请求信息进行信任评估，向信息评估 模块及代理客户端模块输出评估结果信息及自身的信任请求信息。一种网络接入认证的系统，包含端点侧单元及网络侧单元，其中，端 点侧羊元包含信息收集模块及代理客户端模块，网络侧羊元包含信息评估模块与代理服务器模块，其特征在于，所述信息收集模块进一步用于与代理客户端模块建立直接信任关系；所述信息评估模块进一步用于与代理服务器模 块建立直接信任关系，其中，信息收集模块，用于与代理客户端模块建立信任关系，收集端点信息， 接收代理客户端模块发出的信任请求信息并根据信任请求信息进行信任评 估，输出评估结果信息及自身的信任请求信息；代理客户端模块，用于与所述信息收集模块及代理服务器模块建立信任 关系，接收信息收集模块及代理服务器模块发出的信任请求信息并根据信任 请求信息进行信任评估，向信息收集模块及代理服务器模块输出评估结果信 息及自身的信任请求信息；信息评估模块，用于与所述代理服务器模块建立信任关系，收集网络信 息，接收代理服务器模块发出的信任请求信息并根据信任请求信息进行信任 评估，输出评估结果信息及自身的信任请求信息；代理服务器模块，用于与所述信息评估模块及代理客户端模块建立信任 关系，接收信息评估模块及代理客户端模块发出的信任请求信息并根据信任 请求信息进行信任评估，向信息评估模块及代理客户端模块输出评估结果信 息及自身的信任请求信息。由上述技术方案可见，本发明实施例的网络接入认证的方法及系统，通 过在网络端点评估系统端点侧单元的信息收集模块与代理客户端模块以及 网络侧的信息评估模块与代理服务器模块之间增加直接信任关系，免除信息 收集模块与信息评估模块之间冗余信任关系的建立，从而保证各实体的行为 符合NEA架构的要求，增强了 NEA系统的安全性，提高了 NEA系统的运 行效率。


图1为现有NEA系统中各实体之间建立信任关系示意图。图2为本发明实施例网络4矣入iU正的系统各实体之间建立信任关系示意图。图3为本发明基于图2的一个较佳实施例各实体之间建立信任关系示意图。图4为本发明第三较佳实施例各实体之间建立信任关系示意图。 图5为本发明第四较佳实施例各实体之间建立信任关系示意图。 图6为本发明实施例网络接入认证系统各实体间建立信任关系的流程 示意图。图7为本发明实施例使用证书方式建立实体2对实体l信任关系的流程 示意图。图8为本发明实施例使用证书方式同时建立实体2与实体l相互信任关 系的流程示意图。图9为本发明实施例使用预共享密钥方式建立实体2对实体l信任关系 的流程示意图。图10为本发明实施例使用哈希Hash列表方式建立实体2对实体l信任 关系的流程示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举 实施例，对本发明作进一步详细说明。本发明实施例，通过在网络端点评估系统的信息收集模块与代理客户端 模块以及网络侧的信息评估模块与代理服务器模块之间增加直接信任关系 以及删除信息收集模块与信息评估模块间建立的直接信任关系，从而保证各 实体的行为符合NEA架构的要求，增强NEA系统的安全性及运行效率。图2为本发明实施例网络接入认证的系统各实体之间建立信任关系示 意图。参见图2,该NEA系统包含端点侧单元21及网络侧单元22，其中，端点侧单元21包含信息收集模块211及代理客户端模块212;网络侧 单元12包含信息评估模块221及代理服务器模块222,其中，信息收集模块211,用于与信息评估模块221和代理客户端模块212分 别建立直接信任关系，与信息评估模块221建立直接信任关系过程如下信息收集模块2U收集端点信息，发出信任请求信息给代理客户端模块 212，代理客户端模块212将信任请求信息转发给代理服务器模块222,代 理服务器模块222再转发给信息评估模块221，信息评估模块221接收信任 请求信息并对此信息进行评估，输出评估结果信息，经代理服务器模块222 及代理客户端模块212转发，信息收集模块211接收评估结果信息，如果评 估结果信息为成功，建立信息评估模块221对信息收集模块211的直接信任 关系，否则，拒绝建立直接信任关系；同样地，信息收集模块2U也通过同 样的方式建立或拒绝对信息评估模块221的直接信任关系。信息收集模块211与代理客户端模块212建立直接信任关系过程如下信息收集模块211收集端点信息，发出信任请求信息，代理客户端模块 212接收信任请求信息并对此信息进行评估，输出评估结果信息，信息收集 模块211接收评估结果信息，如果评估结果信息为成功，建立代理客户端模 块212对信息收集模块211的直接信任关系；否则拒绝建立直接信任关系。 信息收集模块211建立对代理客户端模块212的信任关系、代理客户端模块 212与代理服务器模块222及代理服务器模块222与信息评估模块221建立 相互直接信任关系相类似，在此不再赘述。实际应用中，两个模块建立直接信任关系可以是先由一方发起请求，另 一方响应，然后另一方发起请求，对方响应，也可以是双方同时向对方发起 请求，然后根据相应请求响应。由上述实施例可见，本发明实施例通过在网络端点评估系统端点侧单元 的信息收集模块211与代理客户端模块212以及网络侧的代理服务器模块 222与信息评估模块221间增加直接信任关系，增强了 NEA系统的安全性。图3为本发明基于图2的一个较佳实施例各实体之间建立信任关系示意 图。参见图3，该系统包含端点侧单元21及网络侧单元22,其中，端点侧单元21包含信息收集模块211及代理客户端模块212;网络侧单元12包含信息评估模块221及代理服务器模块222。与图2不同的是，图3中免除了信息收集模块211与信息评估模块221 间建立的直接信任关系，由于网络侧单元22和端点侧单元21的信息交互是 通过代理客户端模块212和代理服务器模块222进行的，因此要求代理客户 端模块212与代理服务器模块222之间在传输信任请求信息之前必须建立信 任关系。而信息收集模块211和信息评估模块221间的信任关系可以由信息 收集模块211与代理客户端模块212，代理客户端模块212与代理服务器模 块222,代理服务器模块222与信息评估模块221之间的信任关系间接得到， 所以信息收集模块211和信息评估模块221间可以不必建立直接的信任关 系，相对于图2，这种系统结构会有更高的运行效率。图4为本发明第三较佳实施例各实体之间建立信任关系示意图。参见图 4，该系统包含端点侧单元21及网络侧单元22,其中，端点侧单元21包含信息收集模块211及代理客户端模块212;网络侧 单元12包含信息评估模块221及代理服务器模块222,其中，信息收集模块211，用于与信息评估模块221建立直接信任关系及与代 理客户端模块212建立直接信任关系。代理客户端模块212，用于与信息收集模块211建立直接信任关系及与 代理服务器模块222建立直接信任关系，接收信息收集模块向信息评估模块 发送的评估结果信息及自身的信任请求信息以及，信息评估模块向信息收集 模块发送的评估结果信息及自身的信任请求信息，进行转发。代理服务器模块222，用于与代理客户端模块212建立直接信任关系， 接收信息评估模块向信息收集模块发送的评估结果信息及自身的信任请求 信息以及，信息收集模块向信息评估模块发送的评估结果信息及自身的信任 请求信息，进行转发。信息评估模块221，接收信息收集模块211发送的信任请求信息，进行 评估，输出评估结果信息，向信息收集模块211发送自身的信任请求信息， 建立与信息收集模块211的直接信任关系。图5为本发明第四较佳实施例各实体之间建立信任关系示意图。参见图 5,该系统包含端点侧单元21及网络侧单元22，其中，端点侧单元21包含信息收集模块211及代理客户端模块212;网络侧 单元12包含信息评估模块221及代理服务器模块222。与图4不同的是，图5通过在网络侧的信息评估模块221与代理服务器 模块222之间而不是在端点侧的信息收集模块211与代理客户端模块212之 间建立直接信任关系，同样可以提高NEA系统的安全性。图6为本发明实施例网络接入认证系统各实体间建立信任关系的流程 示意图 参见图6,该流程包括步骤601,建立代理客户端模块与代理服务器模块间直接信任关系；本步骤中，代理客户端模块向代理服务器模块发送信任请求信息，包括 通知信息、用户身份ID信息、公钥信息及签名信息的一种或多种组合。代 理服务器模块根据信任请求信息进行评估，建立或拒绝建立直接信任关系； 同样地，代理服务器模块向代理客户端模块发送信任请求信息，代理客户端 模块根据信任请求信息进行评估，建立或拒绝建立直接信任关系，建立直接 信任关系的方式包括但不限于使用证书、预共享密钥或哈希Hash列表方式。步骤602，建立信息收集模块与信息评估模块间直接信任关系；本步骤中，信息收集模块收集端点信息，发出信任请求信息给代理客户 端模块，代理客户端模块将信任请求信息转发给代理服务器模块，代理服务 器模块再转发给信息评估模块，信息评估模块接收信任请求信息并对此信息 进行评估，输出评估结果信息，经代理服务器模块及代理客户端模块转发， 信息收集模块接收评估结果信息，如果评估结果信息为成功，建立信息评估 模块对信息收集模块的直接信任关系，否则，拒绝建立直接信任关系；同样 地，信息收集模块也通过同样的方式建立或拒绝对信息评估模块的直接信任 关系，建立直接信任关系的方式包括但不限于使用证书、预共享密钥或哈希 Hash列表方式。步骤603,建立信息收集模块与代理客户端模块间直接信任关系；和/或，步骤604，建立信息评估模块与代理服务器模块间直接信任关系。上述步骤601~ 604中，并没有严格的先后顺序，步骤601 604的先后 顺序可以随意组合，颠倒，步骤603 604中，也没有严格的先后顺序；本 实施例中，可以是执行步骤601 603及其全组合，或是执行步骤601、 602 和步骤604及其全组合，还可以是执行步骤601 ~ 604及其全组合。实际应用中，还可以免除步骤602,执行步骤601、 603和步骤604及 其全組合。图7为本发明实施例使用证书方式建立实体2对实体l信任关系的流程 示意图。参见图7,该流程包括步骤701,实体l发出信任请求信息；本步骤中，信任请求信息为实体1的证书信息，如基于X.509协议的证 书信息，包含用户ID信息、公钥信息及签名信息，其中，签名信息为实体 1利用第三方颁发者的私钥信息对用户ID信息及公钥信息进行加密形成的 信息；也可以为通知信息；实体1可以为信息收集模块，则相应的实体2为 代理客户端模块；实体1也可以为信息评估模块，相应的实体2为代理服务 器模块。步骤702，实体2对信任请求信息进行评估，输出第一评估结果信息；本步骤中，如果信任请求信息为通知信息，实体2输出挑战信息及实体 1证书请求信息，挑战信息为一随机数；如果信任请求信息为实体1的证书信息，实体2将证书中包含的实体1 的用户ID信息及公钥信息存储，并利用第三方颁发者的相应公钥信息对签 名信息进行解密，恢复出用户ID信息及公钥信息，并与实体2存储的实体 2进行比较评估，如果评估成功，输出挑战信息；否则，结束本流程。步骤703,实体1对第一评估结果信息进行评估，输出第二评估结果信息；本步骤中，如果第一评估结果信息为挑战信息，实体1利用自身的私钥信息对4兆战信息签名后專命出；如杲第一评估结果信息为挑战信息及实体1证书请求信息，将实体1的 证书信息及签名后的挑战信息输出。步骤704，实体2对第二评估结果信息进行评估。本步骤中，如果第二评估结果信息为签名后的挑战信息，利用预先存储 的实体1公钥信息对签名的挑战信息进行评估，如果评估成功，表明实体2 对实体l的信任评估成功，输出评估成功信息至实体1;否则，拒绝建立直 接信任关系，输出评估不成功信息至实体1;如果第二评估结果信息为实体1的证书信息及签名后的挑战信息，则首 先对实体1的证书进行评估，如果证书评估不成功，结束本流程；否则，利 用实体l证书中的公钥信息评估签名后的挑战信息，如果评估成功，表明实 体2对实体1的信任评估成功；否则，拒绝建立直接信任关系。使用证书方式建立实体1对实体2信任关系的流程与上述流程相类似。具体应用中，也可以使用证书方式同时建立实体1与实体2的相互信任 关系，图8为本发明实施例使用证书方式同时建立实体2与实体l相互信任 关系的流程示意图。参见图8，该流程包括步骤801,实体l发出信任请求信息；本步骤中，信任请求信息为实体1的证书信息与实体2的证书请求信息。 步骤802，实体2对信任请求信息进行评估，输出第一评估结果信息； 本步骤中，实体2将证书中包含的实体1的用户ID信息及公钥信息存 储，并利用第三方颁发者的相应公钥信息对签名信息进行评估，如果评估成 功，输出第一挑战信息及实体2的证书信息；否则，结束本流程。步骤803，实体1对第一评估结果信息进行评估，输出第二评估结果信息；本步骤中，首先，实体1将证书中包含的实体2的用户ID信息及公钥 信息存储，并对实体2的证书信息进行评估，如果评估成功，产生第二挑战 信息，然后，利用实体1的私钥信息对第一挑战信息进行签名，输出签名后的第一挑战信息及第二挑战信息；否则，结束本流程。步骤804,实体2对第二评估结果信息进行评估，输出第三评估结杲信白本步骤中，首先，利用实体2的私钥信息对第二挑战信息进行签名，然 后，利用存储的实体1公钥信息对签名后的第一挑战信息进行评估，如果评 估成功，表明实体2对实体1的信任评估成功，输出签名后的第二挑战信息； 否则，结束本流程。步骤805,实体l接收第三评估结果信息，对签名后的第二挑战信息进 行评估。本步骤中，实体1利用存储的实体2公钥信息对签名后的第二挑战信息 进行评估，如果评估成功，表明实体1对实体2的信任评估成功，输出评估 成功信息至实体2;否则，拒绝建立直接信任关系，向实体2输出评估不成 功信息。图9为本发明实施例使用预共享密钥方式建立实体2对实体l信任关系 的流程示意图。参见图9，该流程包括 步骤901，实体l发出信任请求信息；本步骤中，信任请求信息为实体1的用户ID信息，也可以为一通知消 息，用户ID信息在后续流程中再放入。步骤902,实体2接收信任请求信息，输出第一评估结果信息；本步骤中，如果信任请求信息为通知信息，实体2输出挑战信息及实体 1用户ID请求信息；否则，存储用户ID信息，输出挑战信息。步骤卯3，实体l对第一评估结果信息进行签名，输出第二评估结果信息；本步骤中，如果第一评估结果信息为挑战信息，实体l利用预先分配的 共享密钥对挑战信息进行签名后输出；如果第一评估结果信息为挑战信息及实体l用户ID请求信息，将实体 1的用户ID信息及莶名后的挑战信息输出。步骤卯4，实体2对第二评估结杲信息进行评估。本步骤中，如果第二评估结果信息为签名后的挑战信息，实体2根据用 户ID信息找到预先分配给实体1的密钥，然后用该密钥对挑战信息进行签 名，并将该签名结果信息与第二评估结果信息相比较，如果一致，则表明实 体2对实体1的信任请求通过，输出评估成功信息至实体1;否则，结束本图10为本发明实施例使用哈希Hash列表方式建立实体2对实体l信任 关系的流程示意图。参见图10,该流程包括步骤IOOI,实体2发出信任指示信息；本步骤中，信任指示信息为通知信息。步骤1002，实体l接收信任指示信息，输出结果信息；本步骤中，输出结果信息包含实体1用户ID信息及预先分配给自己的 加密Hash值，加密Hash值可以采用下面方法得到将实体1的特征(比如代码本身，配置文件等)进行Hash,然后将Hash 结果用实体l并不知道的密钥进行签名并发放给实体I。步骤1003，实体2对结果信息进行评估。本步骤中，实体2根据实体l输出的用户ID信息找到预先分配给实体 1的加密Hash值，然后将此加密Hash值与实体1输出的加密Hash值比较， 如果一致，则实体2对实体1的信息评估成功，输出评估成功信息至实体1; 否则，结束本流程。在实体l与实体2建立直接信任关系后，双方实体可以视情况决定是否 需要发起进行会话密钥的传递，如实体2向实体1发送通信内容的密钥通知， 密钥通知中采用对方的公钥加密会话密钥。实际应用中，两个实体建立直接信任关系可以是先由一方发起请求，另 一方响应，然后另一方发起请求，对方响应，也可以是双方同时向对方发起 请求，然后双方根据相应请求响应。以上举较佳实施例，对本发明的目的、技术方案和优点进行了进一步详细说明，所应理解的是，以上所述仅为本发明的较佳实施例而已，并不用以 限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、 改进等，均应包含在本发明的保护范围之内。
权利要求
1. 一种网络接入认证的方法，其特征在于，该方法包括建立端点侧单元的代理客户端模块和网络侧单元的代理服务器模块直接信任关系；建立端点侧单元的信息收集模块和网络侧单元的信息评估模块直接信任关系；建立所述信息收集模块和代理客户端模块直接信任关系；和/或，建立所述信息评估模块和代理服务器模块直接信任关系。
2、 根据权利要求1所述的方法，其特征在于，所述建立所述信息收集模块 和代理客户端模块直接信任关系包括A. 信息收集模块和代理客户端模块互相向对方发送信任请求信息；B. 代理客户端模块和信息收集模块分别根据接收的信任请求信息进行信 任评估，如果信任评估成功，建立代理客户端模块和信息收集模块间直接信任 关系。
3、 根据权利要求2所述的方法，其特征在于，当所述网络接入认证的方法 为使用证书方式时，所述信任请求信息包括用户ID信息、公钥信息和签名信 息；所述步骤B包含Bl.代理客户端模块和信息收集模块分别接收对方发送的信任请求信 息，存储用户ID信息及公钥信息，对签名信息进行评估，如果确定评估成 功，向对方输出挑战信息；B2.信息收集模块和代理客户端模块接收挑战信息，利用自身的私钥信 息对挑战信息签名后向对方输出；B3.代理客户端模块和信息收集模块接收签名后的挑战信息，利用步骤 Bl存储的公钥信息对签名后的挑战信息进行评估，如果确定评估成功，建 立直接信任关系。
4、 根据权利要求3所述的方法，其特征在于，所述公钥信息为发送方的公钥信息，所述签名信息为利用第三方颁发者的私钥信息对用户ID信息 和公钥信息加密形成的信息，所述对签名信息进行评估包括利用第三方颁 发者的公钥信息，对签名信息进行解密，恢复用户ID信息和公钥信息，再 与接收到的相应用户ID信息和公钥信息进行比较；所述挑战信息为随机数。
5、 根据权利要求2所述的方法，其特征在于，当所述网络接入认证的方法 为使用预共享密钥方式时，所述信任请求信息包括用户ID信息；所述步骤B 包含Bll.代理客户端模块和信息收集模块分别接收对方发送的信任请求信 息，存储用户ID信息，向对方输出挑战信息；B12.信息收集模块和代理客户端模块接收挑战信息，利用预先分配的 共享密钥对挑战信息进行签名后向对方输出；B13.代理客户端模块和信息收集模块接收签名后的挑战信息，根据步 骤Bll中得到的用户ID信息查找到预先分配的密钥，用该密钥对挑战信息 进行签名，对该签名结果信息与签名后的挑战信息进行评估，如果确定评估 成功，建立直接信任关系。
6、 根据权利要求2所述的方法，其特征在于，当所述网络接入认证的 方法为使用哈希Hash列表方式时，所述信任请求信息包括通知信息；所述 步骤B包含Bill.代理客户端模块和信息收集模块分别接收对方发送的信任请求 信息，向对方输出用户ID信息及预先分配的加密Hash值；B112.信息收集模块和代理客户端模块根据接收的用户ID信息查找到 预先分配的加密Hash值，将该加密Hash值与接收的加密Hash值进行评估， 如果确定评估成功，建立直接信任关系。
7、 一种网络接入认证的方法，其特征在于，该方法包括 建立端点侧单元的代理客户端模块和网络侧单元的代理服务器模块直接信任关系；建立所迷信息收集模块和代理客户端模块直接信任关系；建立所迷信息评估模块和代理服务器模块直接信任关系。
8、 一种网络接入认证的系统，包含端点侧单元及网络侧单元，其中， 端点侧单元包含信息收集模块及代理客户端模块，网络侧单元包含信息评估 模块与代理服务器模块，代理客户端模块用于与代理服务器模块建立直接信 任关系，信息收集模块用于与信息评估模块建立直接信任关系，其特征在于， 所述信息收集模块进一步用于与代理客户端模块建立直接信任关系；和/或， 所述信息评估模块进一步用于与代理服务器模块建立直接信任关系，其中，信息收集模块，用于与代理客户端模块建立信任关系接收代理客户端 模块发出的信任请求信息并根据信任请求信息进行信任评估，向代理客户端 模块输出评估结果信息及自身的信任请求信息；代理客户端模块，用于与所述信息收集模块建立信任关系接收信息收 集模块发出的信任请求信息并根据信任请求信息进行信任评估，向信息收集 模块输出评估结果信息及自身的信任请求信息；和/或，信息评估模块，用于与所述代理服务器模块建立信任关系接收代理服 务器模块发出的信任请求信息并根据信任请求信息进行信任评估，向代理服 务器模块输出评估结果信息及自身的信任请求信息；代理服务器模块，用于与所述信息评估模块建立信任关系接收信息评 估模块及代理客户端模块发出的信任请求信息并根据信任请求信息进行信 任评估，向信息评估模块输出评估结果信息及自身的信任请求信息。
9、 根据权利要求8所述的系统，其特征在于，当使用证书方式建立所 述信息收集模块与代理客户端模块直接信任关系时，所述信任请求信息包 括用户ID信息、公钥信息和签名信息；所述代理客户端模块，接收对方发送的信任请求信息，存储用户ID信 息及公钥信息，对签名信息进行评估，如果确定评估成功，向对方输出挑战 信息；否则，向对方输出评估不成功信息；接收挑战信息及评估不成功信息， 利用自身的私钥信息对挑战信息签名后向对方输出；接收签名后的挑战信 息，根据预先存储的公钥信息对签名后的挑战信息进行评估，如果评估成功，输出直接信任关系建立成功信息；否则，输出直接信任关系建立失败信息； 信息收集模块，接收对方发送的信任请求信息，存储用户ID信息及公 钥信息，对签名信息进行评估，如果确定评估成功，向对方输出挑战信息； 否则，向对方输出评估不成功信息；接收挑战信息及评估不成功信息，利用 自身的私钥信息对挑战信息签名后向对方输出；接收签名后的挑战信息，根 据预先存储的公钥信息对签名后的挑战信息进行评估，如果评估成功，输出 直接信任关系建立成功信息；否则，输出直接信任关系建立失败信息。
10、 根据权利要求9所述的系统，其特征在于，所述公钥信息为发送方 的公钥信息，所述签名信息为利用第三方颁发者的私钥信息对用户ID信息 和公钥信息加密形成的信息，所述对签名信息进行评估包括利用第三方颁 发者的公钥信息，对接收的签名信息进行解密，恢复用户ID信息和公钥信 息，再与接收到的相应用户ID信息和公钥信息进行比较；所述挑战信息为 随机数。
11、 根据权利要求8所述的系统，其特征在于，当使用预共享密钥方式 建立所述信息收集模块与代理客户端模块直接信任关系时，所述信任请求信 息包括用户ID信息；所述代理客户端模块，接收对方发送的信任请求信息，存储用户ID信 息，向对方输出挑战信息；接收挑战信息，利用预先分配的共享密钥对挑战 信息进行签名后向对方输出；接收签名后的挑战信息，根据预先存储的用户 ID信息查找到预先分配的密钥，用该密钥对挑战信息进行签名，对该签名 结果信息与签名后的挑战信息进行评估，如果确定评估成功，输出直接信任 关系建立成功信息；否则，输出直接信任关系建立失败信息；信息收集模块，接收对方发送的信任请求信息，存储用户ID信息，向 对方输出挑战信息；接收挑战信息，利用预先分配的共享密钥对挑战信息进 行签名后向对方输出；接收签名后的挑战信息，根据预先存储的用户ID信 息查找到预先分配的密钥，用该密钥对挑战信息进行签名，对该签名结果信 息与签名后的挑战信息进行评估，如果确定评估成功，输出直接信任关系建立成功信息；否则，输出直接信任关系建立失败信息。
12、 根据权利要求8所述的系统，其特征在于，当使用哈希Hash列表 方式建立所述信息收集模块与代理客户端模块直接信任关系时，所述信任请 求信息包括通知信息；所述代理客户端模块，接收对方发送的信任请求信息，输出用户ID信 息及预先分配的加密Hash值；接收用户ID信息，根据接收的用户ID信息 查找到预先分配的加密Hash值，将该加密Hash值与接收的加密Hash值进 行评估，如果确定评估成功，输出直接信任关系建立成功信息；否则，输出 直接信任关系建立失败信息；信息收集模块，接收对方发送的信任请求信息，输出用户ID信息及预 先分配的加密Hash值；接收用户ID信息，根据接收的用户ID信息查找到 预先分配的加密Hash值，将该加密Hash值与接收的加密Hash值进行评估， 如果确定评估成功，输出直接信任关系建立成功信息；否则，输出直接信任 关系建立失败信息。
13、 一种网络接入认证的系统，包含端点侧单元及网络侧单元，其中， 端点侧单元包含信息收集模块及代理客户端模块，网络侧单元包含信息评估 模块与代理服务器模块，其特征在于，所述信息收集模块进一步用于与代理 客户端模块建立直接信任关系；所述信息评估模块进一步用于与代理服务器 模块建立直接信任关系，其中，信息收集模块，用于与代理客户端模块建立信任关系，收集端点信息， 接收代理客户端模块发出的信任请求信息并根据信任请求信息进行信任评 估，输出评估结果信息及自身的信任请求信息；代理客户端模块，用于与所述信息收集模块及代理服务器模块建立信任 关系，接收信息收集模块及代理服务器模块发出的信任请求信息并根据信任 请求信息进行信任评估，向信息收集模块及代理服务器模块输出评估结果信 息及自身的信任请求信息；信息评估模块，用亍与所述代理服务器模块建立信任关系，收集网络信息，接收代理服务器模块发出的信任请求信息并根据信任请求信息进行信任评估，输出评估结果信息及自身的信任请求信息；代理服务器模块，用于与所述信息评估模块及代理客户端模块建立信任 关系，接收信息评估模块及代理客户端模块发出的信任请求信息并根据信任 请求信息进行信任评估，向信息评估模块及代理客户端模块输出评估结果信 息及自身的信任请求信息。
全文摘要
本发明实施例中公开了一种网络接入认证的方法。包括建立端点侧单元的代理客户端模块和网络侧单元的代理服务器模块直接信任关系；建立端点侧单元的信息收集模块和网络侧单元的信息评估模块直接信任关系；建立信息收集模块和代理客户端模块直接信任关系；和/或，建立信息评估模块和代理服务器模块直接信任关系。本发明实施例中还公开了一种网络接入认证的系统。包含代理客户端模块、信息收集模块、代理服务器模块及信息评估模块，增加代理客户端模块和信息收集模块；和/或，信息评估模块和代理服务器模块间直接信任关系。应用本发明能够保证各实体的行为符合网络端点评估系统架构的要求，增强了系统的安全性。
文档编号H04L29/06GK101227452SQ20071000099
公开日2008年7月23日 申请日期2007年1月17日 优先权日2007年1月17日
发明者位继伟, 瀚 尹 申请人:华为技术有限公司