技術領域

本發明屬網絡安全技術領域，涉及一種適合TCG可信網絡連接架構的平臺鑒別實現方法。

背景技術

隨著信息化的發展，病毒、蠕蟲等惡意軟件的問題異常突出。目前已經出現了超過三萬五千種的惡意軟件，每年都有超過四千萬的計算機被感染。要遏制住這類攻擊，不僅通過解決安全的傳輸和數據輸入時的檢查，還要從源頭即從每一臺連接到網絡的終端開始防御。而傳統的安全防御技術已經無法防御種類繁多的惡意攻擊。

TCG(Trusted?Computing?Group，國際可信計算組織)針對這個問題，專門制定了一個基于可信計算技術的網絡連接規范——TNC(Trusted?Network?Connect，可信網絡連接)，稱為TCG可信網絡連接架構，其包括了開放的終端完整性架構和一套確保安全互操作的標準。TCG可信網絡連接架構參見圖1。

在圖1所示的TCG可信網絡連接架構中，完整性度量收集者和完整性度量校驗者之間的接口為IF-M(Vendor-Specific?IMC-IMV?Messages?Interface，特定廠家的完整性度量收集者-完整性度量校驗者消息接口)，TNC客戶端和TNC服務端之間的接口為IF-TNCCS(TNC?Client-Server?Interface，TNC客戶端-服務端接口)，完整性度量收集者和TNC客戶端之間的接口為IF-IMC(Integrity?Measurement?Collector?Interface，完整性度量收集接口)，完整性度量校驗者和TNC服務端之間的接口為IF-IMV(Integrity?Measurement?Verifier?Interface，完整性度量校驗接口)，網絡訪問請求者和網絡訪問授權者之間的接口為IF-T(Network?Transport?Interface，網絡傳輸接口)，策略執行點和網絡訪問授權者之間的接口為IF-PEP(Policy?Enforcement?Point?Interface，策略執行點接口)。IF-M定義了基于IF-M消息的封裝傳輸，其中每個IF-M消息是由一個IF-M消息頭以及至少一個IF-M屬性構成。IF-TNCCS定義了基于IF-TNCCS批次的封裝傳輸，其中每個IF-TNCCS批次是由一個IF-TNCCS頭以及至少一個IF-TNCCS消息構成。IF-IMC定義了TNC客戶端與它上端的完整性度量收集者之間的IF-IMC功能函數。IF-IMV定義了TNC服務端與它上端的完整性度量校驗者之間的IF-IMV功能函數。

目前的TCG可信網絡連接架構的平臺鑒別實現方法如下：

步驟1)當TNC客戶端發起平臺鑒別時，TNC客戶端生成一個IF-TNCCS批次并將該IF-TNCCS批次發送給TNC服務端。該IF-TNCCS批次包含TNC客戶端生成的零個或至少一個承載IF-M消息的IF-TNCCS消息，其中每個承載IF-M消息的IF-TNCCS消息僅承載一個由TNC客戶端上端的一個完整性度量收集者發送的IF-M消息；

步驟2)當TNC服務端發起平臺鑒別時，TNC服務端生成一個IF-TNCCS批次并將該IF-TNCCS批次發送給TNC客戶端。該IF-TNCCS批次包含TNC服務端生成的零個或至少一個承載IF-M消息的IF-TNCCS消息，其中每個承載IF-M消息的IF-TNCCS消息僅承載一個由TNC服務端上端的一個完整性度量校驗者發送的IF-M消息。當TNC服務端上端的一個完整性度量校驗者發送一個IF-M消息時，若該完整性度量校驗者需要驗證訪問請求者的平臺完整性，則該IF-M消息包含該完整性度量校驗者生成的一個隨機數和一個對訪問請求者的完整性度量請求參數。