技術領域

本發明屬網絡安全技術領域，尤其涉及一種適合可信連接架構的平臺鑒別實現 方法及系統。

背景技術

隨著信息化的發展，病毒、蠕蟲等惡意軟件的問題異常突出。目前已經出現了 超過三萬五千種的惡意軟件，每年都有超過四千萬的計算機被感染。要遏制住這類 攻擊，不僅通過解決安全的傳輸和數據輸入時的檢查，還要從源頭即從每一臺連接 到網絡的終端開始防御。而傳統的安全防御技術已經無法防御種類繁多的惡意攻 擊。

國際可信計算組織(Trusted?Computing?Group，TCG)針對這個問題，專門制 定了一個基于可信計算技術的網絡連接規范——可信網絡連接(Trusted?Network Connect，TNC)，簡記為TCG-TNC，其包括了開放的終端完整性架構和一套確保 安全互操作的標準，TCG-TNC架構參見圖1。

由于TCG-TNC架構中的策略執行點處于網絡邊緣，且訪問請求者不對策略執 行點進行平臺鑒別，所以該架構存在策略執行點不可信賴的問題。為了解決這一問 題，一種基于三元對等鑒別(Tri-element?Peer?Authentication，TePA)的TNC架構被 提出，基于TePA的TNC架構簡稱為可信連接架構(Trusted?Connect?Architecture， TCA)。TCA參見圖2。

在圖2所述的TCA中，TNC客戶端、TNC接入點和評估策略服務者執行一輪或 多輪基于TePA的平臺鑒別協議來訪問請求者和訪問控制器之間的雙向平臺鑒別。 但是，在每一輪平臺鑒別協議中，由于TNC客戶端需要驗證訪問控制器的多個平臺 簽名且評估策略服務者需要驗證這些平臺簽名對應的平臺身份證書的有效性，或者 TNC接入點需要驗證訪問請求者的多個平臺簽名且評估策略服務者需要驗證這些 平臺簽名對應的平臺身份證書的有效性，或者兩者都執行，其中平臺簽名可以是平 臺身份證明密鑰(Attestation?Identity?Key，AIK)簽名，平臺身份證書可以是AIK 證書，所以使得TCA的平臺鑒別實現較復雜，進而降低了TCA的整體運行性能。因 此，為了簡化TCA的平臺鑒別實現，我們提出了一種適合TCA的平臺鑒別實現方法。

發明內容

為了解決背景技術中存在的上述技術問題，本發明提供了一種有效地降低了 TCA的平臺鑒別實現復雜性以及提高了TCA的整體運行性能的適合TCA的平臺鑒 別實現方法。

本發明的技術解決方案是：本發明提供了一種適合可信連接架構的平臺鑒別實 現方法，其特殊之處在于：所述適合可信連接架構的平臺鑒別實現方法包括以下步 驟：

1)TNC接入點向TNC客戶端發送對訪問請求者的平臺組件請求度量參數；

2)TNC客戶端收到步驟1)中的信息后，向TNC接入點發送訪問請求者的平臺 身份證書，對訪問請求者的平臺組件請求度量參數所標識信息的PCR(Platform Configuration?Rigester)值，對訪問請求者的平臺組件請求度量參數所標識信息的 平臺組件度量值和平臺簽名值，對訪問請求者的平臺組件請求度量參數所標識信息 的平臺配置保護策略，對訪問控制器的平臺組件請求度量參數和對訪問控制器的平 臺組件請求度量參數所標識信息的平臺組件評估策略；

3)TNC接入點收到步驟2)的信息后，向評估策略服務者發送訪問請求者的平 臺身份證書，對訪問請求者的平臺組件請求度量參數所標識信息的PCR值，對訪問 請求者的平臺組件請求度量參數所標識信息的平臺組件度量值，對訪問請求者的平 臺組件請求度量參數所標識信息，對訪問請求者的平臺組件請求度量參數所標識信 息的平臺組件評估策略，對訪問請求者的平臺組件請求度量參數所標識信息的平臺 配置保護策略，訪問控制器的平臺身份證書，對訪問控制器的平臺組件請求度量參 數所標識信息的PCR值，對訪問控制器的平臺組件請求度量參數所標識信息的平臺 組件度量值，對訪問控制器的平臺組件請求度量參數所標識信息，對訪問控制器的 平臺組件請求度量參數所標識信息的平臺組件評估策略和對訪問控制器的平臺組 件請求度量參數所標識信息的平臺配置保護策略；