CN101159640A - 一种基于三元对等鉴别的可信网络接入控制系统 - Google Patents

一种基于三元对等鉴别的可信网络接入控制系统 Download PDF

Info

Publication number
CN101159640A
CN101159640A CNA2007100190947A CN200710019094A CN101159640A CN 101159640 A CN101159640 A CN 101159640A CN A2007100190947 A CNA2007100190947 A CN A2007100190947A CN 200710019094 A CN200710019094 A CN 200710019094A CN 101159640 A CN101159640 A CN 101159640A
Authority
CN
China
Prior art keywords
access
credible
interface
tnac
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2007100190947A
Other languages
English (en)
Other versions
CN100553212C (zh
Inventor
肖跃雷
曹军
赖晓龙
黄振海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Priority to CNB2007100190947A priority Critical patent/CN100553212C/zh
Publication of CN101159640A publication Critical patent/CN101159640A/zh
Priority to EP08853076.1A priority patent/EP2222014B1/en
Priority to KR1020107013123A priority patent/KR101114728B1/ko
Priority to JP2010533421A priority patent/JP5248621B2/ja
Priority to RU2010123904/08A priority patent/RU2445695C2/ru
Priority to US12/743,170 priority patent/US8336083B2/en
Priority to ES08853076.1T priority patent/ES2619693T3/es
Priority to PCT/CN2008/073069 priority patent/WO2009065350A1/zh
Application granted granted Critical
Publication of CN100553212C publication Critical patent/CN100553212C/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Abstract

一种基于三元对等鉴别(缩写TePA,Tri-element Peer Authentication)的可信网络接入控制系统,其连通访问请求者AR与访问控制器AC的协议接口包括可信网络传输接口IF-TNT及TNAC客户端与TNAC服务端的接口IF-TNACCS。连通访问控制器AC与策略管理器PM的协议接口包括鉴别策略服务接口IF-APS、评估策略服务接口IF-EPS及可信性度量接口IF-TM。连通访问控制器AR与策略管理器PM的协议接口包括可信性度量接口IF-TM。本发明解决了背景技术中可扩展性差、密钥协商过程复杂、安全性相对较低的技术问题。本发明采用多级端口控制,可提高整个可信网络接入控制TNAC的安全性。

Description

一种基于三元对等鉴别的可信网络接入控制系统
技术领域
本发明属于网络安全技术领域,具体涉及一种基于三元对等鉴别的可信网络接入控制系统。
背景技术
随着信息化的发展,病毒、蠕虫等恶意软件的问题异常突出。目前已经出现了超过三万五千种的恶意软件,每年都有超过四千万的计算机被感染。要遏制住这类攻击,不仅需要解决安全的传输和数据输入时的检查,还要从源头即从每一台连接到网络的终端开始防御。而传统的安全防御技术已经无法防御种类繁多的恶意攻击。
国际可信计算组织TCG针对这个问题,专门制定了一个基于可信计算技术的网络连接规范——可信网络连接TNC(Trusted Network Connect),简记为TCG-TNC,其包括了开放的终端完整性架构和一套确保安全互操作的标准。这套标准可以在用户需要时保护一个网络,且由用户自定义保护到什么程度。TCG-TNC本质上就是要从终端的完整性开始建立连接。首先,要创建一套在可信网络内部系统运行状况的策略。只有遵守网络设定策略的终端才能访问网络,网络将隔离和定位那些不遵守策略的设备。由于使用了可信平台模块TPM,所以还可以阻挡root kits的攻击。root kits是一种攻击脚本、经修改的系统程序,或者成套攻击脚本和工具,用于在一个目标系统中非法获取系统的最高控制权限。
现有TCG-TNC架构如图1所示,具有访问请求者AR、策略执行点PEP、策略决策点PDP三类逻辑实体实体,可以分布在网络的任意位置。该TCG-TNC架构在纵向上可分为网络访问层、完整性评估层、完整性度量层三个层次。网络访问层具有网络访问请求者NAR、策略执行者PE和网络访问授权者NAA三个组件,以及网络授权传输协议接口IF-T和策略实施接口IF-PEP。网络访问层用于支持传统的网络连接技术。完整性评估层负责评估所有请求访问网络的实体的完整性。该层有两个重要的接口:完整性度量收集接口IF-IMC和完整性度量校验接口IF-IMV。此外,在TNC客户端和TNC服务端之间还具有一个完整性评估接口IF-TNCCS。完整性度量层有完整性收集者IMC和完整性校验者IMV两个组件,负责收集和校验请求访问者的完整性相关信息。现有TCG-TNC架构一次完整的可信网络连接的信息传输过程是:在建立网络连接之前,TNC客户端TNCC需要准备好所需要的平台完整性信息,交给完整性收集者IMC。在一个拥有可信平台模块的终端里面,这也就是将网络策略所需的平台信息经散列后存入各个平台配置寄存器,TNC服务端TNCS需要预先制定平台完整性的验证要求,并交给完整性校验者IMV。具体过程如下:
(1)网络访问请求者NAR向策略执行者PE发起访问请求。
(2)策略执行者PE将访问请求描述发送给网络访问授权者NAA。
(3)网络访问授权者NAA收到网络访问请求者NAR的访问请求描述后,与网络访问请求者NAR执行用户鉴别协议。当用户鉴别成功时,网络访问授权者NAA将访问请求和用户鉴别成功的信息发往TNC服务端TNCS。
(4)TNC服务端TNCS收到网络访问授权者NAA发送的访问请求和用户鉴别成功的信息后,与TNC客户端TNCC开始执行双向平台凭证认证,比如验证平台的身份证明密钥AIK。
(5)当平台凭证认证成功时,TNC客户端TNCC告诉完整性收集者IMC开始了一个新的网络连接且需要进行一个完整性握手协议。完整性收集者IMC通过完整性度量收集接口IF-IMC返回所需平台完整性信息。TNC服务端TNCS将这些平台完整性信息通过完整性度量校验接口IF-IMV交给完整性校验者IMV。
(6)在完整性握手协议过程中,TNC客户端TNCC与TNC服务端TNCS要交换一次或多次数据,直到TNC服务端TNCS满意为止。
(7)当TNC服务端TNCS完成了对TNC客户端TNCC的完整性握手协议,它将发送一个推荐信给网络访问授权者NAA,要求允许访问。如果还有另外的安全考虑,此时策略决策点PEP仍旧可以不允许访问请求者AR的访问。
(8)网络访问授权者NAA将访问决定传递给策略执行者PE,策略执行者PE最终执行这个决定,来控制访问请求者AR的访问。
目前,尚无成熟的TCG-TNC架构产品进入市场。TCG-TNC架构的一些重要技术还处于研究及规范阶段,其主要还存在如下缺陷:
1.可扩展性差。由于在策略执行点PEP和策略决策点PDP之间存在预定义的安全通道,而策略决策点PDP可能管理着大量的策略执行点PEP,这将迫使它配置大量的安全通道,造成管理的复杂性,因此,可扩展性差。
2.密钥协商过程复杂。因为要对网络访问层之上的数据进行安全保护,所以需要在访问请求者AR和策略决策点PDP之间建立安全通道,即在它们之间进行会话密钥协商;但是,访问请求者AR和策略执行点PEP之间也需要进行数据保护,从而需要在访问请求者AR和策略执行点PEP之间再次进行会话密钥协商,使密钥协商过程复杂化。
3.安全性相对较低。访问请求者AR和策略决策点PDP协商出来的主密钥由策略决策点PDP传递给策略执行点PEP。密钥在网络上传递,引入了新的安全攻击点,使安全性降低。此外,两次会话密钥协商使用了相同的主密钥,也使整个可信网络连接架构的安全性降低。
4.访问请求者AR可能无法验证策略决策点PDP的AIK证书有效性。在平台凭证认证过程中,访问请求者AR和策略决策点PDP使用AIK私钥及证书进行双向平台凭证认证,两端都需要对AIK证书进行有效性验证。若策略决策点PDP是访问请求者AR的上网服务提供者,访问请求者AR在可信网络连接之前不能访问网络,也即无法验证策略决策点PDP的AIK证书的有效性,所以是不安全的。
5.平台完整性评估是不对等的。在TCG-TNC架构中,策略决策点PDP对访问请求者AR进行平台完整性评估,但访问请求者AR对策略决策点PDP不进行平台完整性评估,这对于访问请求者AR来说是不公平的,也是不安全的。此外,策略执行点PEP依据策略决策点PDP的执行决策可以知道访问请求者AR的平台是否为可信赖的,但是访问请求者AR不能确认策略执行点PEP的平台是否为可信赖的,使得访问请求者AR各可能连接到一个不可信赖的(如:存在恶意软件等)设备上,这是不安全的,而且从访问请求者AR到可信网络的信任链可能在策略执行点PEP处被中断。而对等可信在Ad hoc网络中是必须的。
发明内容
本发明的目的在于提供一种基于三元对等鉴别(缩写TePA,Tri-element PeerAuthentication)的可信网络接入控制系统,其解决了背景技术中可扩展性差、密钥协商过程复杂、安全性相对较低、访问请求者可能无法验证AIK证书有效性和平台完整性评估不对等的技术问题。
本发明的技术解决方案如下:
一种基于三元对等鉴别的可信网络接入控制系统,包括访问请求者AR,其特殊之处在于:它还包括访问控制器AC和策略管理器PM;
所述的访问请求者AR与访问控制器AC通过协议接口网络连通,所述的访问控制器AC与策略管理器PM通过协议接口网络连通,所述的访问请求者AR通过访问控制器AC与策略管理器PM网络连通;所述连通访问请求者AR与访问控制器AC的协议接口包括:可信网络传输接口IF-TNT以及TNAC客户端与TNAC服务端的接口IF-TNACCS;所述的可信网络传输接口IF-TNT是网络访问控制层上网络访问请求者NAR与网络访问控制者NAC之间的信息交换接口。网络访问控制层上网络访问请求者NAR与网络访问控制者NAC交换的信息包括控制管理信息、网络访问控制层上的三元对等鉴别协议、会话密钥协商协议和网络传输协议等。控制管理信息包括接入策略的协商和控制命令,如协商接入套件、鉴别套件和密码套件以发送各种控制命令等;网络传输协议主要包括三元对等鉴别协议数据封装和上层数据的保密传输。所述的TNAC客户端与TNAC服务端的接口IF-TNACCS是可信平台评估层上TNAC客户端与TNAC服务端之间的信息交换接口。可信平台评估层上TNAC客户端与TNAC服务端交换的信息包括会话管理信启和可信平台评估层上的三元对等鉴别协议;会话管理信息包括协商可信平台评估策略,例如:协商提取平台配置寄存器PCRs值来向对方证明自身平台的可信性,协商可信性报告的规范描述语言和控制命令信息等;
所述的访问控制器AC与策略管理器PM的协议接口包括三个:鉴别策略服务接口IF-APS、评估策略服务接口IF-EPS以及可信性度量接口IF-TM;所述的鉴别策略服务接口IF-APS是网络访问控制层上网络访问控制者NAC与鉴别策略服务者APS之间交换信息的接口。网络访问控制层上网络访问控制者NAC与鉴别策略服务者APS交换的信息包括在网络访问控制层上的三元对等鉴别协议和网络传输协议。所述的评估策略服务接口IF-EPS是可信平台评估层上TNC服务端与评估策略服务者EPS之间交换信息的接口。可信平台评估层上TNC服务端与评估策略服务者EPS交换信息的包括在可信平台评估层上的三元对等鉴别协议和可信平台评估策略分发协议。可信性度量接口IF-TM是可信性度量层上可信性收集者与可信性校验者之间的接口。用于定义各厂商生产的可信性收集者与可信性校验者之间的互操作协议接口;
所述连通访问控制器AR与策略管理器PM的协议接口包括可信性度量接口IF-TM,该可信性度量接口IF-TM是可信性度量层上可信性收集者与可信性校验者之间的接口。用于定义各厂商生产的可信性收集者和可信性校验者之间的互操作协议接口。
以上所述的访问请求者AR包括网络访问请求者NAR、TNAC客户端TNACC和访问请求者的可信性收集者TMC1,所述的网络访问请求者NAR与TNAC客户端TNACC以数据承载方式连通,用于TNAC客户端TNACC转发消息;所述的TNAC客户端TNACC与访问请求者AR的可信性收集者TMC1通过可信性度量收集接口IF-TMC相连通,以实现访问请求者AR的可信性收集者TMC1与可信性校验者TMV之间的通信;
所述的访问控制器AC包括网络访问控制者NAC、TNAC服务端TNACS和访问控制器AC的可信性收集者TMC2,所述的网络访问控制者NAC与TNAC服务端TNACS以数据承载方式连通,所述的TNAC服务端TNACS与访问控制器AC的可信性收集者TMC2通过可信性度量收集接口IF-TMC相连通;
所述的策略管理器PM包括鉴别策略服务者APS、评估策略服务者EPS和可信性校验者TMV,所述的鉴别策略服务者APS与评估策略服务者EPS以数据承载方式连通,所述的评估策略服务者EPS与可信性交验者TMV通过可信性度量校验接口IF-TMV相连通;
所述的网络访问请求者NAR与网络访问控制者NAC通过可信网络传输接口IF-TNT相连通,所述的网络访问控制者NAC与鉴别策略服务者APS通过鉴别策略服务接口IF-APS相连通;
所述的TNAC客户端TNACC与TNAC服务端TNACS通过TNAC客户端与TNAC服务端的接口IF-TNACCS相连通,所述的TNAC服务端TNACS与评估策略服务者EPS通过评估策略服务接口IF-EPS相连通;
所述的访问请求者AR的可信性收集者TMC1与可信性校验者TMV通过可信性度量接口IF-TM相连通,所述的访问控制器AC的可信性收集者TMC2与可信性校验者TMV通过可信性度量接口IF-TM相连通。
以上所述的访问请求者AR及访问控制器AC都是具有可信平台模块TPM的逻辑实体。
以上所述访问请求者AR的可信性收集者TMC1是收集TNAC客户端TNACC预先准备的平台可信性信息的组件,所述访问控制器AC的可信性收集者TMC2是收集TNAC服务端TNACS预先准备的平台可信性信息的组件,所述的可信性校验者TMV是对访问请求者AR和访问控制器AC进行平台可信性校验的组件。
本发明具有如下优点:
1.对平台可信赖的描述进行了扩展。
定义可信性为度量与评估平台可信赖的平台状态属性,如:完整性。
2可简化密钥协商过程和提高可信网络接入控制TNAC的安全性。
密钥协商在访问请求者和访问控制器之间进行,直接对可信平台评估过程的数据和可信网络接入控制TNAC之后的服务数据进行安全保护,无需进行二次会话密钥协商,因此,可简化密钥协商过程和提高可信网络接入控制TNAC的安全性。
3.可确保密钥的安全性。
鉴别过程产生的主密钥无需在网络中进行传输,从而可保证密钥的安全性。
4.可增强可信平台评估过程的安全性,简化可信网络接入控制TNAC的密钥管理及可信性校验机制。
在可信平台评估层采用了三元对等鉴别方法,也就是基于第三方的双向鉴别方法,分别对访问请求者和访问控制器的AIK证书和平台可信性实现集中鉴别和校验,不仅增强了可信平台评估过程的安全性,而且简化了可信网络接入控制TNAC架构的密钥管理及可信性校验机制。
5可提高整个可信网络接入控制TNAC的安全性。
不但在网络访问控制层采用了三元对等鉴别方法来实现双向用户鉴别,而且在可信平台评估层也采用了三元对等鉴别方法来实现双向的可信平台评估,因此,本发明提高了整个可信网络接入控制TNAC架构的安全性。
6.增强了可信网络接入控制TNAC的扩展性。
实际应用中,一个策略管理器要管理大量的访问控制器。本发明可以消除访问控制器和策略管理器之间的强安全关联的需求,因此,增强了可信网络接入控制TNAC的扩展性。
7消除了信任链在接入设备处可能被中断的问题。
由于在访问请求者和访问控制器之间实现了双向的可信平台评估,从而消除了信任链在接入设备访问控制器处被中断的问题。
8.采用了多级端口控制。
访问控制器对受控端口进行了多级控制,从而严格控制了访问请求者的访问权限,提高了可信网络接入控制架构的安全性和性能。
9.对可信平台模块的描述进行了扩展。
在TCG-TNC架构中,可信平台模块TPM是主板上的安全芯片。在本发明中,可信平台模块TPM可以是抽象的软件模块,负责实现可信平台评估。如:软件实现的可信平台模块TPM扫描平台的各个组件,然后形成安全扫描结果发送给对方平台,接着对方平台对这些安全扫描结果进行评估,从而实现可信平台评估。
附图说明
图1为现有TCG-TNC基本架构的示意图。
图2为本发明TNAC基本架构的示意图。
图3为本发明的一次完整的可信网络接入控制TNAC的信息传输示意图。
附图符号说明如下:
PEP:策略执行点;PE:策略执行者;PDP:策略决策点;NAA:网络访问授权者;AR:访问请求者;AC:访问控制器;PM:策略管理器;TMC1:访问请求者AR的可信性收集者;TMC2:访问控制器AC的可信性收集者;TMV:可信性校验者;TNACC:TNAC客户端;TNACS:TNAC服务端;EPS:评估策略服务者;NAR:网络访问请求者;NAC:网络访问控制者;APS:鉴别策略服务者;IF-TNT:可信网络传输接口,定义了网络访问请求者NAR与网络访问控制者NAC之间信息交换的接口;IF-APS:鉴别策略服务接口,定义了网络访问控制者NAC与鉴别策略服务者APS之间信息交换的接口;IF-TNACCS:TNAC客户端-TNAC服务端接口,是TNAC客户端TNACC与TNAC服务端TNACS之间的协议接口;IF-EPS:评估策略服务接口,定义了TNAC服务端TNACS与评估策略服务者EPS之间信息交换的接口;IF-TMC:可信性度量收集接口,是TNAC客户端TNACC与访问请求者AR的可信性收集者TMC1之间的协议接口,也是TNAC服务端TNACS与访问控制器AC的可信性收集者TMC2之间的协议接口;IF-TMV:可信性度量校验接口,是评估策略服务者EPS与可信性交验者TMV之间的协议接口;IF-TM:可信性度量接口,是访问请求者AR的可信性收集者TMC1与可信性校验者TMV之间的协议接口,也是访问控制器AC的可信性收集者TMC2与可信性校验者TMV之间的协议接口。
具体实施方式
本发明是基于可信计算技术的网络连接控制系统,是一种基于三元对等鉴别(缩写TePA)的可信网络接入控制TNAC(trusted network access control)系统,主要是针对目前TCG体系中的TNC架构所存在的问题而提出的。
本发明中的可信性是指度量与评估平台可信赖的平台状态属性,如:完整性。
本发明中的可信平台模块TPM可以是TCG体系中TNC架构的可信平台模块TPM,也可以是抽象的软件模块,负责实现可信平台评估。如:软件实现的可信平台模块TPM扫描平台的各个组件,然后形成安全扫描结果发送给对方平台,接着对方平台对这些安全扫描结果进行评估,从而实现可信平台评估。
参见图2,本发明主要由访问请求者AR、访问控制器AC和策略管理器PM三个逻辑实体构成,其可以分布于网络的的任意位置。访问请求者AR又称为请求者、用户站等;访问控制器AC又称为鉴别访问控制器、基站、接入服务单元等;策略管理器PM又称为鉴别服务器、可信服务器、后台服务器等。访问请求者AR与访问控制器AC通过协议接口网络连通,访问控制器AC与策略管理器PM通过协议接口网络连通,策略管理器PM通过访问控制器AC与访问请求者AR网络连通。访问请求者AR请求接入保护网络并可判定是否要接入该保护网络,访问控制器AC控制访问请求者AR对保护网络的访问。策略管理器PM管理访问请求者AR和访问控制器AC,且策略管理器PM为访问请求者AR和访问控制器AC制定和分发网络访问控制策略。在网络访问控制层:访问请求者AR、访问控制器AC和策略管理器PM执行三元对等鉴别协议,即基于可信第三方策略管理器PM的双向用户鉴别协议,实现访问请求者AR和访问控制器AC之间的双向用户鉴别。在可信平台评估层:访问请求者AR、访问控制器AC和策略管理器PM执行三元对等鉴别协议,即基于可信第三方策略管理器PM的双向可信平台评估协议,实现访问请求者AR和访问控制器AC之间的双向可信平台评估。其中策略管理器PM负责验证访问请求者AR和访问控制器AC的AIK证书有效性以及校验访问请求者AR和访问控制器AC的平台可信性。在访问请求者AR和访问控制器AC的平台可信性校验过程中,需要可信性度量层的可信性收集者和可信性校验者的参与。
访问请求者AR主要由网络访问请求者NAR、TNAC客户端TNACC和访问请求者的可信性收集者TMC1构成。网络访问请求者NAR与TNAC客户端TNACC以数据承载方式连通,用于TNAC客户端TNACC转发消息。TNAC客户端TNACC与访问请求者AR的可信性收集者TMC1通过可信性度量收集接口IF-TMC相连通,以实现访问请求者的AR可信性收集者TMC1与可信性校验者TMV的通信。
访问控制器AC主要由网络访问控制者NAC、TNAC服务端TNACS、访问控制器AC的可信性收集者TMC2构成。网络访问控制者NAC与TNAC服务端TNACS以数据承载方式连通,用于TNAC服务端TNACS转发消息。TNAC服务端TNACS与访问控制器AC的可信性收集者TMC2通过可信性度量收集接口IF-TMC相连通,以实现访问控制器AC的可信性收集者TMC2与可信性校验者TMV的通信。
策略管理器PM主要由鉴别策略服务者APS、评估策略服务者EPS、可信性校验者TMV构成。鉴别策略服务者APS与评估策略服务者EPS以数据承载方式连通,用于评估策略服务者EPS转发消息。评估策略服务者EPS与可信性校验者TMV通过可信性度量校验接口IF-TMV相连通,以实现可信性校验者TMV与访问请求者AR的可信性收集者TMC1和访问控制器AC的可信性收集者TMC2的通信。
网络访问请求者NAR、网络访问控制者NAC和鉴别策略服务者APS三个组件构成网络访问控制层。网络访问请求者NAR与网络访问控制者NAC通过可信网络传输接口IF-TNT相连通,网络访问控制者NAC与鉴别策略服务者APS通过鉴别策略服务接口IF-APS相连通。在网络访问控制层,网络访问请求者NAR、网络访问控制者NAC和鉴别策略服务者APS执行三元对等鉴别协议,即基于可信第三方鉴别策略服务者APS的双向用户鉴别协议。网络访问控制层负责实现:访问请求者AR与访问控制器AC之间的双向用户鉴别及密钥协商,依据用户鉴别结果和可信平台评估结果对受控端口进行多级控制,从而实现访问请求者AR与访问控制器AC的相互访问控制。网络访问控制层可采用基于三元对等鉴别的访问控制方法,该访问控制方法是在中国WLAN标准中采用的网络访问控制技术的基础上增加多级端口控制功能。
TNAC客户端TNACC、TNAC服务端TNACS、评估策略服务者EPS三个实体构成可信平台评估层。TNAC客户端TNACC与TNAC服务端TNACS通过TNAC客户端-TNAC服务端接口IF-TNACCS相连通,TNAC服务端TNACS与评估策略服务者EPS通过评估策略服务接口IF-EPS相连通。可信平台评估层负责实现访问请求者AR与访问控制器AC之间的可信平台评估,包括平台凭证认证和平台可信性校验。由策略管理器PM来验证访问请求者AR和访问控制器AC的AIK证书有效性,并且负责校验访问请求者AR和访问控制器AC的平台可信性。在可信平台评估层,TNAC客户端TNACC、TNAC服务端TNACS、评估策略服务者EPS执行三元对等鉴别协议,即基于第三方评估策略服务者EPS的双向可信平台评估协议。
访问请求者AR的可信性收集者TMC1、访问控制器AC的可信性收集者TMC2、可信性校验者TMV三个组件构成可信性度量层。访问请求者AR的可信性收集者TMC1与可信性校验者TMV通过可信性度量接口IF-TM相连通,访问控制器AC的可信性收集者TMC2与可信性校验者TMV通过可信性度量接口IF-TM相连通。可信性度量层负责收集和校验访问请求者AR和访问控制器AC的平台可信性相关信息。
参见图3,采用本发明实现基于三元对等鉴别的可信网络接入控制TNAC的具体步骤如下:
(1.)在建立网络连接之前,首先进行初始化。
(1.1)访问请求者的TNAC客户端和访问控制器的TNAC服务端初始化可信性度量层的可信性收集者TMC。
(1.2)访问请求者AR和访问控制器AC的可信平台模块TPM将网络策略所需的可信性信息存入平台配置寄存器PCRs。当可信性信息为完整性时,可信性信息需要散列处理后存入平台配置寄存器PCR。
(1.3)访问请求者AR的TNAC客户端TNACC预先准备平台可信性信息,交给自己的访问请求者的可信性收集者TMC1。访问控制器AC的TNAC服务端TNACS预先准备平台可信性信息,交给自己的访问控制器的可信性收集者TMC2
(1.4)策略管理器PM制定和分发网络访问控制策略,包括访问请求者AR是否加入所连接网络的策略以及访问控制器AC对访问请求者AR的网络访问控制策略。策略管理器PM可以根据国家信息安全等级保护规范来实现访问请求者AR和访问控制器AC的网络访问控制策略的制定和分发。
(1.5)TNAC客户端TNACC和TNAC服务端TNACS分别依据策略管理器分发的网络访问控制策略准备访问请求者AR与访问控制器AC相互请求对方验证的PCRs表。
(2.)进行用户鉴别。
(2.1)网络访问请求者NAR向网络访问控制者NAC发起访问请求。
(2.2)网络访问控制者NAC接收到网络访问请求者NAR的访问请求后,启动用户鉴别过程,网络访问控制层的网络访问请求者NAR、网络访问控制者NAC和鉴别策略服务者APS之间开始执行三元对等鉴别协议,即基于第三方的双向鉴别协议,鉴别策略服务者APS充当第三方的角色,从而实现访问请求者AR与访问控制器AC的双向用户鉴别,并生成访问请求者AR和访问控制器AC的用户鉴别结果。若双向用户鉴别成功,则访问请求者AR和访问控制器AC在用户鉴别过程中会生成它们之间的主密钥。
(2.3)当双向用户鉴别成功时,访问请求者AR和访问控制器AC利用用户鉴别过程所生成的主密钥进行会话密钥协商,然后网络访问请求者NAR和网络访问控制者NAC将用户鉴别成功的信息分别发往TNAC客户端TNACC和TNAC服务端TNACS,并分别根据访问控制器AC和访问请求者AR的用户鉴别结果对网络访问请求者NAR和网络访问控制者NAC的端口进行控制,使得可信平台评估过程的数据能够通行。
(3.)进行可信平台评估。
当访问控制器AC的TNAC服务端TNACS收到网络访问控制者NAC发送的用户鉴别成功的信息时,可信平台评估层的TNAC客户端TNACC、TNAC服务端TNACS和评估策略服务者EPS利用三元对等鉴别协议来实现访问请求者AR和访问控制器AC的双向可信平台评估。在该可信性评估过程中,TNAC客户端和TNAC服务端之间交互的信息都是在步骤(2.3)中协商的会话密钥保护下传输的。在该可信性评估过程中,访问请求者和策略管理器之间需要传输那些可识别访问请求者平台配置的信息,如:平台配置寄存器PCRs值对应的度量日志、平台配置的修补信息等,这些信息需要在保密的情况下进行传输,从而避免访问控制器或攻击者知道这些信息;同理,访问控制器和策略管理器之间也需要保密传输那些可识别访问控制器平台配置的信息,避免访问请求者或攻击者知道这些信息。这里可采用的保密传输技术可以为对称密钥加密和非对称密钥加密。在该可信平台评估过程中,评估策略服务者EPS充当第三方的角色,且TNAC服务端TNACS、TNAC客户端TNACC和评估策略服务者EPS还需要与上层的可信性收集者与可信性校验者进行信息交互。可信平台评估可采用下列实现方式:
①.进行平台凭证认证:由策略管理器PM验证访问请求者AR和访问控制器AC的AIK证书有效性。
②.进行平台可信性校验:由策略管理器PM校验访问请求者AR和访问控制器AC的平台可信性。
(4.)进行访问控制。
平台策略服务者在可信平台评估过程中生成访问请求者和访问控制器的可信平台评估结果,然后发送给TNAC客户端和TNAC服务端。TNAC客户端和TNAC服务端依据平台策略服务者生成的可信平台评估结果生成相应的推荐,并分别发送给网络访问请求者和网络访问控制者。该推荐包括允许、禁止或隔离修补等。网络访问请求者和网络访问控制者分别依据各自收到的推荐对端口进行控制,从而实现访问请求者和访问控制器的相互访问控制。若网络访问请求者和网络访问控制者收到的推荐是隔离,则它们依据在平台可信评估过程中各自所获得的平台配置修补信息进行修补,然后再重新进行可信平台评估。
上述的端口控制可采用下列实现方式:
访问请求者和访问控制器都定义了两类逻辑端口:未受控制端口和受控端口。访问请求者的非受控端口可以通过用户鉴别及密钥协商协议数据、可信平台评估协议数据和平台修补服务数据,而访问请求者的受控端口只可以通过应用服务数据。访问控制器的非受控端口只可以通过用户鉴别及密钥协商协议数据,而访问控制器的受控端口则采用了多级控制的形式来实现可信平台评估协议数据、平台修补服务数据和应用服务数据的通行控制。访问请求者和访问控制器依据用户鉴别结果和可信平台评估结果对受控端口进行控制。

Claims (4)

1.一种基于三元对等鉴别的可信网络接入控制系统,包括访问请求者AR,其特殊之处在于:它还包括访问控制器AC和策略管理器PM;
所述的访问请求者AR与访问控制器AC通过协议接口网络连通,所述的访问控制器AC与策略管理器PM通过协议接口网络连通,所述的访问请求者AR通过访问控制器AC与策略管理器PM网络连通;
所述连通访问请求者AR与访问控制器AC的协议接口包括:可信网络传输接口IF-TNT以及TNAC客户端与TNAC服务端的接口IF-TNACCS;所述的可信网络传输接口IF-TNT是网络访问控制层上网络访问请求者NAR与网络访问控制者NAC之间的信息交换接口;所述的TNAC客户端与TNAC服务端的接口IF-TNACCS是可信平台评估层上TNAC客户端与TNAC服务端之间的信息交换接口;
所述的访问控制器AC与策略管理器PM的协议接口包括三个:鉴别策略服务接口IF-APS、评估策略服务接口IF-EPS以及可信性度量接口IF-TM;所述的鉴别策略服务接口IF-APS是网络访问控制层上网络访问控制者NAC与鉴别策略服务者APS之间交换信息的接口;所述的评估策略服务接口IF-EPS是可信平台评估层上TNC服务端与评估策略服务者EPS之间交换信息的接口;可信性度量接口IF-TM是可信性度量层上可信性收集者与可信性校验者之间的接口;
所述连通访问控制器AR与策略管理器PM的协议接口包括可信性度量接口IF-TM,该可信性度量接口IF-TM是可信性度量层上可信性收集者与可信性校验者之间的接口。
2.根据权利要求1所述的基于三元对等鉴别的可信网络接入控制系统,其特殊之处在于:
所述的访问请求者AR包括网络访问请求者NAR、TNAC客户端TNACC和访问请求者的可信性收集者TMC1,所述的网络访问请求者NAR与TNAC客户端TNACC以数据承载方式连通,所述的TNAC客户端TNACC与访问请求者AR的可信性收集者TMC1通过可信性度量收集接口IF-TMC相连通;
所述的访问控制器AC包括网络访问控制者NAC、TNAC服务端TNACS和访问控制器AC的可信性收集者TMC2,所述的网络访问控制者NAC与TNAC服务端TNACS以数据承载方式连通,所述的TNAC服务端TNACS与访问控制器AC的可信性收集者TMC2通过可信性度量收集接口IF-TMC相连通;
所述的策略管理器PM包括鉴别策略服务者APS、评估策略服务者EPS和可信性校验者TMV,所述的鉴别策略服务者APS与评估策略服务者EPS以数据承载方式连通,所述的评估策略服务者EPS与可信性校验者TMV通过可信性度量校验接口IF-TMV相连通;
所述的网络访问请求者NAR与网络访问控制者NAC通过可信网络传输接口IF-TNT相连通,所述的网络访问控制者NAC与鉴别策略服务者APS通过鉴别策略服务接口IF-APS相连通;
所述的TNAC客户端TNACC与TNAC服务端TNACS通过TNAC客户端与TNAC服务端的接口IF-TNACCS相连通,所述的TNAC服务端TNACS与评估策略服务者EPS通过评估策略服务接口IF-EPS相连通;
所述的访问请求者AR的可信性收集者TMC1与可信性校验者TMV通过可信性度量接口IF-TM相连通,所述的访问控制器AC的可信性收集者TMC2与可信性校验者TMV通过可信性度量接口IF-TM相连通。
3.根据权利要求1或2所述的基于三元对等鉴别的可信网络接入控制系统,其特殊之处在于:所述的访问请求者AR及访问控制器AC都是具有可信平台模块TPM的逻辑实体。
4.根据权利要求3所述的一种基于三元对等鉴别的可信网络接入控制系统,其特殊之处在于:所述访问请求者AR的可信性收集者TMC1是收集TNAC客户端TNACC预先准备的平台可信性信息的组件,所述访问控制器AC的可信性收集者TMC2是收集TNAC服务端TNACS预先准备的平台可信性信息的组件,所述的可信性校验者TMV是对访问请求者AR和访问控制器AC进行平台可信性校验的组件。
CNB2007100190947A 2007-11-16 2007-11-16 一种基于三元对等鉴别的可信网络接入控制系统 Active CN100553212C (zh)

Priority Applications (8)

Application Number Priority Date Filing Date Title
CNB2007100190947A CN100553212C (zh) 2007-11-16 2007-11-16 一种基于三元对等鉴别的可信网络接入控制系统
RU2010123904/08A RU2445695C2 (ru) 2007-11-16 2008-11-14 Система управления доступом в надежную сеть на основе трехэлементной равноправной идентификации
KR1020107013123A KR101114728B1 (ko) 2007-11-16 2008-11-14 삼원 동일 식별자 기반의 신뢰성 있는 네트워크 액세스 제어 시스템
JP2010533421A JP5248621B2 (ja) 2007-11-16 2008-11-14 3値同等識別に基づく、信頼されているネットワークアクセス制御システム
EP08853076.1A EP2222014B1 (en) 2007-11-16 2008-11-14 A trusted network access control system based on tri-element peer authentication
US12/743,170 US8336083B2 (en) 2007-11-16 2008-11-14 Trusted network access control system based ternary equal identification
ES08853076.1T ES2619693T3 (es) 2007-11-16 2008-11-14 Sistema de control de acceso a una red confiable basado en autenticación entre pares de tres elementos
PCT/CN2008/073069 WO2009065350A1 (fr) 2007-11-16 2008-11-14 Système de contrôle d'accès à un réseau de confiance basé sur une identification égale ternaire

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB2007100190947A CN100553212C (zh) 2007-11-16 2007-11-16 一种基于三元对等鉴别的可信网络接入控制系统

Publications (2)

Publication Number Publication Date
CN101159640A true CN101159640A (zh) 2008-04-09
CN100553212C CN100553212C (zh) 2009-10-21

Family

ID=39307567

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB2007100190947A Active CN100553212C (zh) 2007-11-16 2007-11-16 一种基于三元对等鉴别的可信网络接入控制系统

Country Status (8)

Country Link
US (1) US8336083B2 (zh)
EP (1) EP2222014B1 (zh)
JP (1) JP5248621B2 (zh)
KR (1) KR101114728B1 (zh)
CN (1) CN100553212C (zh)
ES (1) ES2619693T3 (zh)
RU (1) RU2445695C2 (zh)
WO (1) WO2009065350A1 (zh)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009015581A1 (fr) * 2007-08-01 2009-02-05 China Iwncomm Co., Ltd. Procédé visant à obtenir une connexion de réseau fiable, reposant sur une authentification d'homologues impliquant trois éléments
WO2009018742A1 (fr) * 2007-08-03 2009-02-12 China Iwncomm Co., Ltd. Système de connexion à un réseau de confiance basé sur une authentification de pair à trois éléments
WO2009065350A1 (fr) * 2007-11-16 2009-05-28 China Iwncomm Co., Ltd. Système de contrôle d'accès à un réseau de confiance basé sur une identification égale ternaire
WO2009065345A1 (fr) * 2007-11-16 2009-05-28 China Iwncomm Co., Ltd Procédé de contrôle d'accès à un réseau de confiance basé sur une authentification à trois éléments homologues
EP2178241A1 (en) * 2007-08-08 2010-04-21 China Iwncomm Co., Ltd. A trusted network connect system for enhancing the security
EP2184886A1 (en) * 2007-08-01 2010-05-12 China Iwncomm Co., Ltd. A trusted network connect method for enhancing security
WO2010066169A1 (zh) * 2008-12-08 2010-06-17 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络连接实现方法
CN101431517B (zh) * 2008-12-08 2011-04-27 西安西电捷通无线网络通信股份有限公司 一种基于三元对等鉴别的可信网络连接握手方法
CN102355467A (zh) * 2011-10-18 2012-02-15 国网电力科学研究院 基于信任链传递的输变电设备状态监测系统安全防护方法
CN102740296A (zh) * 2012-06-28 2012-10-17 中国科学院软件研究所 一种移动终端可信网络接入方法和系统
CN101527717B (zh) * 2009-04-16 2012-11-28 西安西电捷通无线网络通信股份有限公司 一种三元对等鉴别可信网络连接架构的实现方法
US8789134B2 (en) 2009-04-16 2014-07-22 China Iwncomm Co., Ltd. Method for establishing trusted network connect framework of tri-element peer authentication
US8826368B2 (en) 2009-04-28 2014-09-02 China Iwncomm Co., Ltd. Platform authentication method suitable for trusted network connect architecture based on tri-element peer authentication
CN104079570A (zh) * 2014-06-27 2014-10-01 东湖软件产业股份有限公司 一种基于IPsec的可信网络连接方法
CN107396352A (zh) * 2017-09-19 2017-11-24 清华大学 一种基站控制系统及方法
CN109729523A (zh) * 2017-10-31 2019-05-07 华为技术有限公司 一种终端联网认证的方法和装置

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5519773B2 (ja) * 2009-04-15 2014-06-11 インターデイジタル パテント ホールディングス インコーポレイテッド ネットワークとの通信のためのデバイスの正当化および/または認証
CN101572704B (zh) * 2009-06-08 2012-05-23 西安西电捷通无线网络通信股份有限公司 一种适合三元对等鉴别可信网络连接架构的访问控制方法
US20110078775A1 (en) * 2009-09-30 2011-03-31 Nokia Corporation Method and apparatus for providing credibility information over an ad-hoc network
US9111079B2 (en) * 2010-09-30 2015-08-18 Microsoft Technology Licensing, Llc Trustworthy device claims as a service
US8499348B1 (en) * 2010-12-28 2013-07-30 Amazon Technologies, Inc. Detection of and responses to network attacks
CN102281510B (zh) * 2011-07-27 2014-06-25 上海和辰信息技术有限公司 移动邮箱多因子可信身份认证方法及系统
US10509850B2 (en) * 2013-02-10 2019-12-17 Wix.Com Ltd. Third party application communication API
WO2013143144A1 (en) 2012-03-31 2013-10-03 Nokia Corporation Method and apparatus for secured social networking
EP2909964B1 (en) 2012-10-17 2019-04-24 Nokia Technologies Oy Method and apparatus for providing secure communications based on trust evaluations in a distributed manner
JP6248422B2 (ja) * 2013-06-05 2017-12-20 富士通株式会社 情報開示システム、情報開示プログラム及び情報開示方法
CN104239802A (zh) * 2014-10-15 2014-12-24 浪潮电子信息产业股份有限公司 一种基于云数据中心的可信服务器设计方法
WO2016188578A1 (en) * 2015-05-28 2016-12-01 Telefonaktiebolaget Lm Ericsson (Publ) METHOD FOR ENABLING SIMULTANEOUS CONTROL OF A PLURALITY OF TPMs AND RELATED COMPONENTS
US10230734B2 (en) * 2015-12-08 2019-03-12 Quest Software Inc. Usage-based modification of user privileges
US20170187752A1 (en) * 2015-12-24 2017-06-29 Steffen SCHULZ Remote attestation and enforcement of hardware security policy
CN108696868B (zh) * 2017-03-01 2020-06-19 西安西电捷通无线网络通信股份有限公司 用于网络连接的凭证信息的处理方法和装置
CN113542266B (zh) * 2021-07-13 2022-09-27 中国人民解放军战略支援部队信息工程大学 一种基于云模型的虚拟网元信任度量方法及系统

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7257836B1 (en) * 2000-04-24 2007-08-14 Microsoft Corporation Security link management in dynamic networks
US7900242B2 (en) 2001-07-12 2011-03-01 Nokia Corporation Modular authentication and authorization scheme for internet protocol
DE60220959T2 (de) 2002-09-17 2008-02-28 Errikos Pitsos Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System
US20050138417A1 (en) * 2003-12-19 2005-06-23 Mcnerney Shaun C. Trusted network access control system and method
KR101075334B1 (ko) 2004-10-29 2011-10-19 톰슨 라이센싱 안전 인증 채널
US7376081B2 (en) 2005-04-04 2008-05-20 Lucent Technologies Inc. Establishment of QoS by applications in cellular networks using service based policy control mechanisms
US7350074B2 (en) 2005-04-20 2008-03-25 Microsoft Corporation Peer-to-peer authentication and authorization
US7873352B2 (en) 2005-05-10 2011-01-18 Hewlett-Packard Company Fast roaming in a wireless network using per-STA pairwise master keys shared across participating access points
US7827593B2 (en) * 2005-06-29 2010-11-02 Intel Corporation Methods, apparatuses, and systems for the dynamic evaluation and delegation of network access control
US8286223B2 (en) 2005-07-08 2012-10-09 Microsoft Corporation Extensible access control architecture
CN100463462C (zh) 2006-12-18 2009-02-18 西安西电捷通无线网络通信有限公司 一种三元结构的对等访问控制系统
CN1997026B (zh) 2006-12-29 2011-05-04 北京工业大学 一种基于802.1x协议的扩展安全认证方法
US7971228B2 (en) * 2007-02-07 2011-06-28 Cisco Technology, Inc. System and method for providing application-specific on-line charging in a communications environment
CN100534036C (zh) 2007-08-01 2009-08-26 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络连接方法
CN100566251C (zh) 2007-08-01 2009-12-02 西安西电捷通无线网络通信有限公司 一种增强安全性的可信网络连接方法
CN100566252C (zh) 2007-08-03 2009-12-02 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络连接系统
CN100512313C (zh) 2007-08-08 2009-07-08 西安西电捷通无线网络通信有限公司 一种增强安全性的可信网络连接系统
CN101136928B (zh) 2007-10-19 2012-01-11 北京工业大学 一种可信网络接入控制系统
CN100496025C (zh) 2007-11-16 2009-06-03 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络接入控制方法
CN100553212C (zh) 2007-11-16 2009-10-21 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络接入控制系统
FR2924714A1 (fr) * 2007-12-07 2009-06-12 Arkema France Procede de preparation d'une dispersion aqueuse de particules de polymeres par un procede de polymerisation radicalaire en dispersion, dispersions obtenues et revetements prepares avec celles-ci.

Cited By (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009015581A1 (fr) * 2007-08-01 2009-02-05 China Iwncomm Co., Ltd. Procédé visant à obtenir une connexion de réseau fiable, reposant sur une authentification d'homologues impliquant trois éléments
EP2184886A1 (en) * 2007-08-01 2010-05-12 China Iwncomm Co., Ltd. A trusted network connect method for enhancing security
US8271780B2 (en) 2007-08-01 2012-09-18 China Iwncomm Co., Ltd Trusted network connect method for enhancing security
US8255977B2 (en) 2007-08-01 2012-08-28 China Iwncomm Co., Ltd. Trusted network connect method based on tri-element peer authentication
EP2184886A4 (en) * 2007-08-01 2011-12-07 China Iwncomm Co Ltd TRUSTWORTHY NETWORK CONNECTION METHOD FOR IMPROVING SAFETY
US8191113B2 (en) 2007-08-03 2012-05-29 China Iwncomm Co., Ltd. Trusted network connect system based on tri-element peer authentication
WO2009018742A1 (fr) * 2007-08-03 2009-02-12 China Iwncomm Co., Ltd. Système de connexion à un réseau de confiance basé sur une authentification de pair à trois éléments
US8336081B2 (en) 2007-08-08 2012-12-18 China Iwncomm Co., Ltd. Trusted network connect system for enhancing the security
EP2178241A1 (en) * 2007-08-08 2010-04-21 China Iwncomm Co., Ltd. A trusted network connect system for enhancing the security
EP2178241A4 (en) * 2007-08-08 2011-12-07 China Iwncomm Co Ltd TRUSTED NETWORK CONNECT SYSTEM FOR IMPROVING SAFETY
US8336083B2 (en) 2007-11-16 2012-12-18 China Iwncomm Co., Ltd. Trusted network access control system based ternary equal identification
WO2009065345A1 (fr) * 2007-11-16 2009-05-28 China Iwncomm Co., Ltd Procédé de contrôle d'accès à un réseau de confiance basé sur une authentification à trois éléments homologues
WO2009065350A1 (fr) * 2007-11-16 2009-05-28 China Iwncomm Co., Ltd. Système de contrôle d'accès à un réseau de confiance basé sur une identification égale ternaire
US8424060B2 (en) 2007-11-16 2013-04-16 China Iwncomm Co., Ltd. Trusted network access controlling method based on tri-element peer authentication
US8931049B2 (en) 2008-12-08 2015-01-06 China Iwncomm Co., Ltd. Trusted network connection implementing method based on tri-element peer authentication
CN101431517B (zh) * 2008-12-08 2011-04-27 西安西电捷通无线网络通信股份有限公司 一种基于三元对等鉴别的可信网络连接握手方法
WO2010066169A1 (zh) * 2008-12-08 2010-06-17 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络连接实现方法
KR101296101B1 (ko) 2008-12-08 2013-08-19 차이나 아이더블유엔콤 씨오., 엘티디 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법
EP2421215A4 (en) * 2009-04-16 2016-05-25 China Iwncomm Co Ltd METHOD OF ESTABLISHING A TRUSTWORTHY NETWORK CONNECTING FRAME OF THE THREE-ELEMENT PEER AUTHENTICATION
CN101527717B (zh) * 2009-04-16 2012-11-28 西安西电捷通无线网络通信股份有限公司 一种三元对等鉴别可信网络连接架构的实现方法
US8789134B2 (en) 2009-04-16 2014-07-22 China Iwncomm Co., Ltd. Method for establishing trusted network connect framework of tri-element peer authentication
US8826368B2 (en) 2009-04-28 2014-09-02 China Iwncomm Co., Ltd. Platform authentication method suitable for trusted network connect architecture based on tri-element peer authentication
EP2426853A4 (en) * 2009-04-28 2017-06-14 China Iwncomm Co., Ltd Platform authentication method suitable for trusted network connect architecture based on tri-element peer authentication
CN102355467A (zh) * 2011-10-18 2012-02-15 国网电力科学研究院 基于信任链传递的输变电设备状态监测系统安全防护方法
CN102355467B (zh) * 2011-10-18 2015-07-08 国网电力科学研究院 基于信任链传递的输变电设备状态监测系统安全防护方法
CN102740296A (zh) * 2012-06-28 2012-10-17 中国科学院软件研究所 一种移动终端可信网络接入方法和系统
CN104079570A (zh) * 2014-06-27 2014-10-01 东湖软件产业股份有限公司 一种基于IPsec的可信网络连接方法
CN104079570B (zh) * 2014-06-27 2017-09-22 东湖软件产业股份有限公司 一种基于IPsec的可信网络连接方法
CN107396352A (zh) * 2017-09-19 2017-11-24 清华大学 一种基站控制系统及方法
CN107396352B (zh) * 2017-09-19 2020-03-03 清华大学 一种基站控制系统及方法
CN109729523A (zh) * 2017-10-31 2019-05-07 华为技术有限公司 一种终端联网认证的方法和装置
CN109729523B (zh) * 2017-10-31 2021-02-23 华为技术有限公司 一种终端联网认证的方法和装置
US11432150B2 (en) 2017-10-31 2022-08-30 Huawei Technologies Co., Ltd. Method and apparatus for authenticating network access of terminal

Also Published As

Publication number Publication date
US20100251334A1 (en) 2010-09-30
RU2445695C2 (ru) 2012-03-20
WO2009065350A1 (fr) 2009-05-28
KR20100076071A (ko) 2010-07-05
EP2222014A1 (en) 2010-08-25
KR101114728B1 (ko) 2012-02-29
US8336083B2 (en) 2012-12-18
EP2222014A4 (en) 2011-12-21
JP2011504026A (ja) 2011-01-27
ES2619693T3 (es) 2017-06-26
CN100553212C (zh) 2009-10-21
JP5248621B2 (ja) 2013-07-31
EP2222014B1 (en) 2017-01-04
RU2010123904A (ru) 2011-12-27

Similar Documents

Publication Publication Date Title
CN100553212C (zh) 一种基于三元对等鉴别的可信网络接入控制系统
CN100496025C (zh) 一种基于三元对等鉴别的可信网络接入控制方法
CN100512313C (zh) 一种增强安全性的可信网络连接系统
CN100566252C (zh) 一种基于三元对等鉴别的可信网络连接系统
CN100534036C (zh) 一种基于三元对等鉴别的可信网络连接方法
CN100566251C (zh) 一种增强安全性的可信网络连接方法
CN101136928B (zh) 一种可信网络接入控制系统
CN101741842B (zh) 一种基于可信计算实现可信ssh的方法
CN103310161B (zh) 一种用于数据库系统的防护方法及系统
CN102035838B (zh) 一种基于平台身份的信任服务连接方法与信任服务系统
CN101241528A (zh) 终端接入可信pda的方法和接入系统
CN104468606A (zh) 一种基于电力生产控制类系统的可信连接系统和方法
Liu et al. A trusted access method in software-defined network
CN113347004A (zh) 一种电力行业加密方法
TWI472189B (zh) 網路監控系統及管理金鑰的方法
Baocheng et al. The Research of Security in NB-IoT
KR102160453B1 (ko) 전력설비 보호 시스템 및 그 방법
Ma et al. Architecture of Trusted Network Connect
Shen et al. Research of Web Service Design

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee

Owner name: XI'AN IWNCOMM CO., LTD.

Free format text: FORMER NAME: XIDIAN JIETONG WIRELESS NETWORK COMMUNICATION CO LTD, XI'AN

CP01 Change in the name or title of a patent holder

Address after: High tech Zone technology two road 710075 Shaanxi city of Xi'an Province, No. 68 Xi'an Software Park A201

Patentee after: CHINA IWNCOMM Co.,Ltd.

Address before: High tech Zone technology two road 710075 Shaanxi city of Xi'an Province, No. 68 Xi'an Software Park A201

Patentee before: CHINA IWNCOMM Co.,Ltd.

EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: BEIJING ZHIXIANG TECHNOLOGY Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2016610000049

Denomination of invention: Ternary equal identification based reliable network access control system

Granted publication date: 20091021

License type: Common License

Record date: 20161117

LICC Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: BEIJING FENGHUO LIANTUO TECHNOLOGY Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2017610000001

Denomination of invention: Ternary equal identification based reliable network access control system

Granted publication date: 20091021

License type: Common License

Record date: 20170106

LICC Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model
EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: SHANGHAI YU FLY MILKY WAY SCIENCE AND TECHNOLOGY CO.,LTD.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2017610000005

Denomination of invention: Ternary equal identification based reliable network access control system

Granted publication date: 20091021

License type: Common License

Record date: 20170317

EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: Beijing next Technology Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2017610000014

Denomination of invention: Ternary equal identification based reliable network access control system

Granted publication date: 20091021

License type: Common License

Record date: 20170601

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: HYTERA COMMUNICATIONS Corp.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2017610000015

Denomination of invention: Ternary equal identification based reliable network access control system

Granted publication date: 20091021

License type: Common License

Record date: 20170602

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: Beijing Hua Xinaotian network technology Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2017610000028

Denomination of invention: Ternary equal identification based reliable network access control system

Granted publication date: 20091021

License type: Common License

Record date: 20171122

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: ALPINE ELECTRONICS, Inc.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2017990000497

Denomination of invention: Ternary equal identification based reliable network access control system

Granted publication date: 20091021

License type: Common License

Record date: 20171222

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: SHENZHEN RAKWIRELESS TECHNOLOGY CO.,LTD.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2018610000006

Denomination of invention: Ternary equal identification based reliable network access control system

Granted publication date: 20091021

License type: Common License

Record date: 20180226

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: BLACKSHARK TECHNOLOGIES (NANCHANG) Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2018610000012

Denomination of invention: Ternary equal identification based reliable network access control system

Granted publication date: 20091021

License type: Common License

Record date: 20180404

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: Sony Mobile Communications AB

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2018990000306

Denomination of invention: Ternary equal identification based reliable network access control system

Granted publication date: 20091021

License type: Common License

Record date: 20181123

EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: SHENZHEN UCLOUDLINK NEW TECHNOLOGY Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: X2019610000002

Denomination of invention: Ternary equal identification based reliable network access control system

Granted publication date: 20091021

License type: Common License

Record date: 20191010

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: HANGZHOU STRONG EDUCATION TECHNOLOGY Co.,Ltd.

Assignor: China IWNCOMM Co.,Ltd.

Contract record no.: X2021610000001

Denomination of invention: A trusted network access control system based on ternary peer authentication

Granted publication date: 20091021

License type: Common License

Record date: 20210125

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: EKC communication technology (Shenzhen) Co.,Ltd.

Assignor: China IWNCOMM Co.,Ltd.

Contract record no.: X2021610000008

Denomination of invention: A trusted network access control system based on ternary peer authentication

Granted publication date: 20091021

License type: Common License

Record date: 20210705

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: Guangzhou nengchuang Information Technology Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: X2021610000011

Denomination of invention: A trusted network access control system based on ternary peer authentication

Granted publication date: 20091021

License type: Common License

Record date: 20211104

Application publication date: 20080409

Assignee: Xinruiya Technology (Beijing) Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: X2021610000012

Denomination of invention: A trusted network access control system based on ternary peer authentication

Granted publication date: 20091021

License type: Common License

Record date: 20211104

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: SHENZHEN ZHIKAI TECHNOLOGY Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: X2022610000005

Denomination of invention: A trusted network access control system based on ternary peer authentication

Granted publication date: 20091021

License type: Common License

Record date: 20220531

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: HISCENE INFORMATION TECHNOLOGY Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: X2023610000003

Denomination of invention: A trusted network access control system based on ternary peer authentication

Granted publication date: 20091021

License type: Common License

Record date: 20230207

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: Beijing baicaibang Technology Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: X2023610000005

Denomination of invention: A Trusted Network Access Control System Based on Triple Peer to Peer Authentication

Granted publication date: 20091021

License type: Common License

Record date: 20230329

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: Shenzhen wisky Technology Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: X2023610000008

Denomination of invention: A Trusted Network Access Control System Based on Triple Peer to Peer Authentication

Granted publication date: 20091021

License type: Common License

Record date: 20230522

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20080409

Assignee: Beijing Digital Technology (Shanghai) Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: X2023610000012

Denomination of invention: A Trusted Network Access Control System Based on Triple Peer Authentication

Granted publication date: 20091021

License type: Common License

Record date: 20231114