[發(fā)明專利]一種基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接方法有效
| 申請(qǐng)?zhí)枺?/td> | 200710018395.8 | 申請(qǐng)日: | 2007-08-01 |
| 公開(kāi)(公告)號(hào): | CN101242266A | 公開(kāi)(公告)日: | 2008-08-13 |
| 發(fā)明(設(shè)計(jì))人: | 肖躍雷;曹軍;賴曉龍;黃振海 | 申請(qǐng)(專利權(quán))人: | 西安西電捷通無(wú)線網(wǎng)絡(luò)通信有限公司 |
| 主分類號(hào): | H04L9/32 | 分類號(hào): | H04L9/32;H04L29/06 |
| 代理公司: | 西安智邦專利商標(biāo)代理有限公司 | 代理人: | 徐平 |
| 地址: | 710075陜西省西安市高新*** | 國(guó)省代碼: | 陜西;61 |
| 權(quán)利要求書(shū): | 查看更多 | 說(shuō)明書(shū): | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 基于 三元 對(duì)等 鑒別 可信 網(wǎng)絡(luò) 連接 方法 | ||
1.一種基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接方法,該方法包括以下實(shí)現(xiàn)步驟:
(1.)進(jìn)行初始化:
(1.1)訪問(wèn)請(qǐng)求者的TNC客戶端和訪問(wèn)控制器的TNC服務(wù)端預(yù)先準(zhǔn)備平臺(tái)完整性信息,并交給各自的完整性度量層的完整性收集者IMC;
(1.2)TNC客戶端和TNC服務(wù)端預(yù)先制定完整性驗(yàn)證要求,該完整性驗(yàn)證要求包括訪問(wèn)請(qǐng)求者與訪問(wèn)控制器相互請(qǐng)求對(duì)方驗(yàn)證的PCRs表;
(1.3)訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的可信平臺(tái)模塊TPM將網(wǎng)絡(luò)策略所需信息經(jīng)散列后存入平臺(tái)配置寄存器PCRs;
(2.)進(jìn)行用戶鑒別:
(2.1)網(wǎng)絡(luò)訪問(wèn)請(qǐng)求者向網(wǎng)絡(luò)訪問(wèn)控制者發(fā)起訪問(wèn)請(qǐng)求;
(2.2)網(wǎng)絡(luò)訪問(wèn)控制者接收到訪問(wèn)請(qǐng)求后,啟動(dòng)雙向用戶鑒別過(guò)程,網(wǎng)絡(luò)訪問(wèn)層的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求者、網(wǎng)絡(luò)訪問(wèn)控制者和用戶鑒別服務(wù)單元之間開(kāi)始執(zhí)行三元對(duì)等鑒別協(xié)議,實(shí)現(xiàn)訪問(wèn)請(qǐng)求者與訪問(wèn)控制器的雙向用戶鑒別及密鑰協(xié)商;
(2.3)當(dāng)雙向用戶鑒別成功時(shí),網(wǎng)絡(luò)訪問(wèn)請(qǐng)求者和網(wǎng)絡(luò)訪問(wèn)控制者將用戶鑒別成功的信息分別發(fā)往TNC客戶端和TNC服務(wù)端,并根據(jù)用戶鑒別結(jié)果對(duì)網(wǎng)絡(luò)訪問(wèn)請(qǐng)求者和網(wǎng)絡(luò)訪問(wèn)控制者的端口進(jìn)行控制;
(3.)進(jìn)行完整性評(píng)估:
當(dāng)訪問(wèn)控制器的TNC服務(wù)端收到網(wǎng)絡(luò)訪問(wèn)控制者發(fā)送的用戶鑒別成功的信息時(shí),完整性評(píng)估層的TNC客戶端、TNC服務(wù)端和平臺(tái)評(píng)估服務(wù)單元利用三元對(duì)等鑒別方法來(lái)實(shí)現(xiàn)訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的平臺(tái)完整性評(píng)估;
(4.)進(jìn)行訪問(wèn)控制:
TNC服務(wù)端和TNC客戶端各自匯總訪問(wèn)控制器和訪問(wèn)請(qǐng)求者的平臺(tái)完整性評(píng)估結(jié)果,然后,分別向網(wǎng)絡(luò)訪問(wèn)請(qǐng)求者和網(wǎng)絡(luò)訪問(wèn)控制者發(fā)送推薦;網(wǎng)絡(luò)訪問(wèn)請(qǐng)求者和網(wǎng)絡(luò)訪問(wèn)控制者分別依據(jù)各自收到的推薦對(duì)端口進(jìn)行控制,從而實(shí)現(xiàn)訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的相互訪問(wèn)控制。
2.根據(jù)權(quán)利要求1所述的基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接方法,其特征在于,所述的平臺(tái)完整性評(píng)估的實(shí)現(xiàn)方式如下:
①.進(jìn)行平臺(tái)憑證認(rèn)證:由策略管理器驗(yàn)證訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的AIK證書(shū)有效性;
②.進(jìn)行平臺(tái)完整性校驗(yàn):策略管理器校驗(yàn)防問(wèn)請(qǐng)求者和訪問(wèn)控制器的平臺(tái)完整性。
3.根據(jù)權(quán)利要求1所述的基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接方法,其特征在于,所述的平臺(tái)完整性評(píng)估的實(shí)現(xiàn)方式如下:
(3.1)當(dāng)訪問(wèn)控制器的TNC服務(wù)端收到網(wǎng)絡(luò)訪問(wèn)控制者發(fā)送的用戶鑒別成功的信息或已證實(shí)用戶鑒別成功時(shí),向訪問(wèn)請(qǐng)求者發(fā)送訪問(wèn)控制器的可信平臺(tái)模塊TPM產(chǎn)生的隨機(jī)數(shù)NS、訪問(wèn)控制器的AIK證書(shū)CertAC-AIK、訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的PCRs表PCRsListAR;
(3.2)訪問(wèn)請(qǐng)求者收到步驟(3.1)中訪問(wèn)控制器發(fā)送的信息后,首先,根據(jù)訪問(wèn)控制器請(qǐng)求的PCRs表向可信平臺(tái)模塊TPM提取相應(yīng)的PCRs值;然后,在可信平臺(tái)模塊TPM內(nèi)用AIK私鑰對(duì)可信平臺(tái)模塊TPM提取相應(yīng)的PCRs值和訪問(wèn)控制器的可信平臺(tái)模塊TPM產(chǎn)生的隨機(jī)數(shù)NS進(jìn)行簽名;最后,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器發(fā)送訪問(wèn)控制器的可信平臺(tái)模塊TPM產(chǎn)生的隨機(jī)數(shù)NS、訪問(wèn)請(qǐng)求者的可信平臺(tái)模塊TPM產(chǎn)生的隨機(jī)數(shù)NAR、訪問(wèn)請(qǐng)求者的AIK證書(shū)CertAR-AIK、訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的PCRs表PCRsListAC、訪問(wèn)控制器請(qǐng)求的PCRs值PCRsAR、對(duì)應(yīng)于訪問(wèn)控制器請(qǐng)求的PCRs值的度量日志LogAR以及訪問(wèn)請(qǐng)求者在可信平臺(tái)模塊TPM內(nèi)使用AIK私鑰對(duì)可信平臺(tái)模塊TPM提取的相應(yīng)的PCRs值和訪問(wèn)控制器的可信平臺(tái)模塊TPM產(chǎn)生的隨機(jī)數(shù)NS進(jìn)行的簽名;
(3.3)訪問(wèn)控制器收到步驟(3.2)中訪問(wèn)請(qǐng)求者發(fā)送的信息后,首先,讓可信平臺(tái)模塊TPM驗(yàn)證訪問(wèn)控制器的可信平臺(tái)模塊TPM產(chǎn)生的隨機(jī)數(shù)NS的一致性,并使用訪問(wèn)請(qǐng)求者的AIK證書(shū)中的公鑰驗(yàn)證訪問(wèn)請(qǐng)求者的AIK簽名的有效性;接著,根據(jù)訪問(wèn)請(qǐng)求者請(qǐng)求的PCRs表向可信平臺(tái)模塊TPM提取相應(yīng)的PCRs值;然后,訪問(wèn)控制器在可信平臺(tái)模塊TPM內(nèi)使用AIK私鑰對(duì)可信平臺(tái)模塊TPM提取相應(yīng)的PCRs值和訪問(wèn)請(qǐng)求者的可信平臺(tái)模塊TPM產(chǎn)生的隨機(jī)數(shù)NAR進(jìn)行簽名;最后,訪問(wèn)控制器向策略管理器發(fā)送訪問(wèn)控制器的可信平臺(tái)模塊TPM產(chǎn)生的隨機(jī)數(shù)NS、訪問(wèn)請(qǐng)求者的可信平臺(tái)模塊TPM產(chǎn)生的隨機(jī)數(shù)NAR、訪問(wèn)請(qǐng)求者的AIK證書(shū)CertAR-AIK、訪問(wèn)控制器請(qǐng)求的PCRs值PCRsAR、對(duì)應(yīng)于訪問(wèn)控制器請(qǐng)求的PCRs值的度量日志LogAR、訪問(wèn)請(qǐng)求者在可信平臺(tái)模塊TPM內(nèi)使用AIK私鑰對(duì)可信平臺(tái)模塊TPM提取相應(yīng)的PCRs值和訪問(wèn)控制器的可信平臺(tái)模塊TPM產(chǎn)生的隨機(jī)數(shù)NS進(jìn)行的簽名、訪問(wèn)控制器用戶產(chǎn)生的隨機(jī)數(shù)NAC、訪問(wèn)控制器的AIK證書(shū)CertAC-AIK、訪問(wèn)請(qǐng)求者請(qǐng)求的PCRs值PCRsAC、對(duì)應(yīng)于訪問(wèn)請(qǐng)求者請(qǐng)求的PCRs值的度量日志LogAC以及訪問(wèn)控制器在可信平臺(tái)模塊TPM內(nèi)使用AIK私鑰對(duì)可信平臺(tái)模塊TPM提取相應(yīng)的PCRs值和訪問(wèn)請(qǐng)求者的可信平臺(tái)模塊TPM產(chǎn)生的隨機(jī)數(shù)NAR進(jìn)行的簽名;
(3.4)策略管理器收到步驟(3.3)中訪問(wèn)控制器發(fā)送的信息后,首先,用訪問(wèn)請(qǐng)求者和訪問(wèn)控制器各自的AIK證書(shū)對(duì)應(yīng)的公鑰來(lái)驗(yàn)證訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的AIK簽名的有效性以及AIK證書(shū)的有效性;然后,根據(jù)訪問(wèn)請(qǐng)求者和訪問(wèn)控制器各自可信平臺(tái)模塊TPM提取相應(yīng)的PCRs值的度量日志和數(shù)據(jù)庫(kù)中的各個(gè)平臺(tái)組件的標(biāo)準(zhǔn)完整性度量值重新計(jì)算相應(yīng)的PCRs值,且與步驟(3.3)中訪問(wèn)控制器發(fā)送的消息中的對(duì)應(yīng)PCRs值進(jìn)行比較;接著,生成訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的AIK證書(shū)鑒別和平臺(tái)完整性校驗(yàn)結(jié)果ResultAIK-PCRs,用策略管理器的身份證書(shū)對(duì)應(yīng)的私鑰對(duì)所生成的AIK證書(shū)鑒別和平臺(tái)完整性校驗(yàn)結(jié)果進(jìn)行簽名[ResultAIK-PCRs]Sig;最后,向訪問(wèn)控制器發(fā)送訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的AIK證書(shū)鑒別和平臺(tái)完整性校驗(yàn)結(jié)果ResultAIK-PCRs以及策略管理器對(duì)訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的AIK證書(shū)鑒別和平臺(tái)完整性校驗(yàn)結(jié)果的簽名[ResultAIK-PCRs]Sig;步驟(3.4)所生成訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的AIK證書(shū)鑒別和平臺(tái)完整性校驗(yàn)結(jié)果ResultAIK-PCRs包括訪問(wèn)控制器用戶產(chǎn)生的隨機(jī)數(shù)NAC、訪問(wèn)控制器的可信平臺(tái)模塊TPM產(chǎn)生的隨機(jī)數(shù)NS、訪問(wèn)請(qǐng)求者的AIK證書(shū)CertAR-AIK、訪問(wèn)控制器請(qǐng)求的PCRs值PCRsAR、對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性校驗(yàn)結(jié)果ReAR、訪問(wèn)請(qǐng)求者的可信平臺(tái)模塊TPM產(chǎn)生的隨機(jī)數(shù)NAR、訪問(wèn)控制器的AIK證書(shū)CertAC-AIK、訪問(wèn)請(qǐng)求者請(qǐng)求的PCRs值PCRsAC、對(duì)訪問(wèn)控制器的平臺(tái)完整性校驗(yàn)結(jié)果ReAC、訪問(wèn)請(qǐng)求者的AIK證書(shū)驗(yàn)證結(jié)果ReAR-AIK以及訪問(wèn)控制器的AIK證書(shū)驗(yàn)證結(jié)果ReAC-AIK;
(3.5)訪問(wèn)控制器收到步驟(3.4)中策略管理器發(fā)送的信息后,首先,驗(yàn)證訪問(wèn)控制器用戶產(chǎn)生的隨機(jī)數(shù)NAC與步驟(3.4)中策略管理器發(fā)送的信息中訪問(wèn)控制器用戶產(chǎn)生的隨機(jī)數(shù)NAC是否一致,并驗(yàn)證策略管理器的用戶簽名的有效性;接著,讓可信平臺(tái)模塊TPM驗(yàn)證訪問(wèn)控制器的可信平臺(tái)模塊TPM產(chǎn)生的隨機(jī)數(shù)NS的一致性;并驗(yàn)證訪問(wèn)請(qǐng)求者的AIK證書(shū)CertAR-AIK與訪問(wèn)控制器請(qǐng)求的PCRs值PCRsAR的一致性;然后,驗(yàn)證訪問(wèn)請(qǐng)求者的AIK證書(shū)驗(yàn)證結(jié)果ReAR-AIK和對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性校驗(yàn)結(jié)果ReAR,并生成訪問(wèn)請(qǐng)求者的平臺(tái)完整性評(píng)估結(jié)果;最后,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者發(fā)送的步驟(3.4)中的信息和訪問(wèn)控制器在可信平臺(tái)模塊TPM內(nèi)使用AIK私鑰對(duì)可信平臺(tái)模塊TPM提取相應(yīng)的PCRs值和訪問(wèn)請(qǐng)求者的可信平臺(tái)模塊TPM產(chǎn)生的隨機(jī)數(shù)NAR進(jìn)行的簽名;
(3.6)訪問(wèn)請(qǐng)求者收到步驟(3.5)中訪問(wèn)控制器發(fā)送的信息后,首先,驗(yàn)證訪問(wèn)控制器的AIK簽名的有效性和策略管理器用戶簽名的有效性;然后,讓可信平臺(tái)模塊TPM驗(yàn)證訪問(wèn)請(qǐng)求者的可信平臺(tái)模塊TPM產(chǎn)生的隨機(jī)數(shù)NAR的一致性;接著,驗(yàn)證訪問(wèn)控制器的AIK證書(shū)和訪問(wèn)請(qǐng)求者請(qǐng)求的PCRs值的一致性;最后,驗(yàn)證訪問(wèn)控制器的AIK證書(shū)驗(yàn)證結(jié)果ReAC-AIK和對(duì)訪問(wèn)控制器的平臺(tái)完整性校驗(yàn)結(jié)果ReAC,并生成訪問(wèn)請(qǐng)求者的平臺(tái)完整性評(píng)估結(jié)果。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于西安西電捷通無(wú)線網(wǎng)絡(luò)通信有限公司,未經(jīng)西安西電捷通無(wú)線網(wǎng)絡(luò)通信有限公司許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/200710018395.8/1.html,轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專利網(wǎng)。
- 在對(duì)等網(wǎng)絡(luò)中為對(duì)等組分配標(biāo)識(shí)符的方法
- 對(duì)等中繼網(wǎng)絡(luò)中的觀眾
- 對(duì)等體發(fā)現(xiàn)
- 一種在無(wú)線對(duì)等網(wǎng)絡(luò)中建立通訊鏈路的方法
- 用于檢測(cè)對(duì)等網(wǎng)絡(luò)中故障對(duì)等體的對(duì)等體、裝置和方法
- 測(cè)量觀眾的方法
- 監(jiān)視對(duì)等網(wǎng)絡(luò)
- 網(wǎng)格網(wǎng)絡(luò)中的增強(qiáng)型對(duì)等方發(fā)現(xiàn)方法和系統(tǒng)
- 一種網(wǎng)絡(luò)通信方法、對(duì)等體及系統(tǒng)
- 用于可擴(kuò)展的對(duì)等匹配的設(shè)備及方法
