CN101527717B - 一种三元对等鉴别可信网络连接架构的实现方法 - Google Patents

Abstract

本发明涉及一种三元对等鉴别可信网络连接架构的实现方法，该方法包括以下步骤：1)通过定义接口建立三元对等鉴别可信网络连接架构；2)实现三元对等鉴别可信网络连接架构的可信网络连接；本发明提供了一种建立终端可信、实现终端的可信网络连接、实现终端间的可信认证和实现对终端的可信管理的适合三元对等鉴别可信网络连接架构的实现方法。

Description

一种三元对等鉴别可信网络连接架构的实现方法

技术领域

本发明涉及一种三元对等鉴别可信网络连接架构的实现方法。

背景技术

随着信息化的发展，病毒、蠕虫等恶意软件的问题异常突出。目前已经出现了超过三万五千种的恶意软件，每年都有超过四千万的计算机被感染。要遏制住这类攻击，不仅通过解决安全的传输和数据输入时的检查，还要从源头即从每一台连接到网络的终端开始防御。而传统的安全防御技术已经无法防御种类繁多的恶意攻击。

国际可信计算组织(Trusted Computing Group，TCG)针对这个问题，专门制定了一个基于可信计算技术的网络连接规范——可信网络连接(TrustedNetwork Connect，TNC)，简记为TCG-TNC，其包括了开放的终端完整性架构和一套确保安全互操作的标准。这套标准可以在用户通过时保护一个网络，且由用户自定义保护到什么程度。TCG-TNC本质上就是要从终端的完整性开始建立连接。首先，要创建一套在可信网络内部系统运行状况的策略。只有遵守网络设定策略的终端才能访问网络，网络将隔离和定位那些不遵守策略的设备。由于使用了可信平台模块(Trusted Platform Module，TPM)，所以还可以阻挡root kits的攻击。root kits是一种攻击脚本、经修改的系统程序，或者成套攻击脚本和工具，用于在一个目标系统中非法获取系统的最高控制权限。TCG-TNC架构参见图1。

在图1中，特定厂家完整性收集者(Integrity Measurement Collector，IMC)-完整性校验者(Integrity Measurement Verifier，IMV)消息交换接口(Vendor-Specific IMC-IMV Messages，IF-M)是完整性收集者和完整性校验者之间的接口，TNC客户端-TNC服务端接口(TNC Client-TNC Server Interface，IF-TNCCS)是TNC客户端和TNC服务端之间的接口，网络授权传输协议(Network Authorization Transport Protocol，IF-T)是网络访问请求者和网络访问授权者之间的接口，策略执行点接口(Policy Enforcement Point Integrity，IF-PEP)是策略执行点和网络访问授权者之间的接口，完整性度量收集者接口(IntegrityMeasurement Collector Inteface，IF-IMC)是完整性收集者和TNC客户端之间的接口，完整性度量校验接口(Integrity Measurement Verifier Interface，IF-IMV)是完整性校验者和TNC服务端之间的接口。

但是，由于图1所示的TCG-TNC架构中访问请求者不评估策略执行点的完整性，所以该架构存在策略执行点不可信赖的问题。为了解决这一问题，一种基于三元对等鉴别(Tri-element Peer Authentication，TePA)的TNC架构被提出。基于TePA的TNC架构参见图2。

在图2中，完整性度量接口(Integrity Measurement Interface，IF-IM)是完整性收集者和完整性校验者之间的接口，TNC客户端-TNC接入点接口(TNCClient-TNC Access Point Interface，IF-TNCCAP)是TNC客户端和TNC接入点之间的接口，评估策略服务接口(Evaluation Policy Service Interface)是TNC接入点和评估策略服务者之间的接口，可信网络传输接口(Trusted Network TransportInterface，IF-TNT)是网络访问请求者和网络访问控制者之间的接口，鉴别策略服务接口(Authentication Policy Service Interface，IF-APS)是网络访问控制者和鉴别策略服务者之间的接口，完整性度量收集者接口(Integrity MeasurementCollector Inteface，IF-IMC)是完整性收集者和TNC客户端之间，以及完整性收集者和TNC接入点之间的接口，完整性度量校验接口(Integrity MeasurementVerifier Interface，IF-IMV)是完整性校验者和评估策略服务者之间的接口。

为了具体实现图1所示的TCG-TNC架构，TCG详细定义了TCG-TNC架构中各个接口的具体实现方法：在IF-PEP规范中定义远程用户拨号认证系统(RemoteAuthentication Dial In User Service，RADIUS)协议等；在IF-T规范中定义了绑定可扩展认证协议(Extensible Authentication Protocol，EAP)的遂道EAP封装传输方法等；在IF-TNCCS规范中定义了平台鉴别(包括平台凭证鉴别和完整性握手)的消息传输协议和连接管理等，包括如何路由IMC和IMV之间传输的消息；在IF-M规范中定义了IMC和IMV之间所传输消息的封装方法等，包括定义IF-M消息来描述组件的各个属性及其相关处理属性，如：产品信息属性和安全处理属性等；在IF-IMC规范中定义了TNC客户端和IMC之间的功能函数，用于支持平台鉴别过程；在IF-IMV规范中定义了TNC服务端和IMV之间的功能函数，也是用于支持平台鉴别过程。此外，在TNC过程中TCG-TNC架构的一些组件还可能通过通过可信平台服务接口(Trusted Platform Service Interface，IF-PTS)与可信平台服务(Trusted Platform Service，PTS)进行通信。PTS负责管理完整性度量日志、创建快照和完整性报告等，并通过IF-PTS为TCG-TNC架构的一些组件提供服务。IF-PTS是一个与架构类型无关的接口，即该IF-PTS可适用于图1和图2所示的TNC架构。

同理，为了具体实现图2所示的基于TePA的TNC架构，需要通过详细定义基于TePA的TNC架构中各个接口的具体实现方法，然后基于上述接口的具体实现来实现基于TePA的TNC架构。但是，由于图2所示的基于TePA的TNC架构与图1所示的TCG-TNC架构存在着较大的差异性，所以基于TePA的TNC架构的具体实现方法也不同。

发明内容

为了解决背景技术中存在的上述技术问题，本发明提供了一种建立终端可信、实现终端的可信网络连接、实现终端间的可信认证和实现对终端的可信管理的适合三元对等鉴别可信网络连接架构的实现方法。本发明的目的就是详细定义基于TePA的TNC架构中各个接口的具体实现方法，然后基于上述接口的具体实现来实现基于TePA的TNC架构。

本发明的技术解决方案是：本发明提供了一种三元对等鉴别可信网络连接架构的实现方法，其特殊之处在于：该方法包括以下步骤：

1)通过定义接口建立三元对等鉴别可信网络连接架构，其具体实现方式是：

1.1)IF-TNT的具体实现：

IF-TNT通过用户鉴别协议来实现网络访问请求者和访问控制器之间的用户鉴别；通过网络传输协议来实现访问请求者和访问控制器在TNC过程中的数据传输；通过访问控制协议来实现访问请求者和访问控制器之间的访问控制；

1.2)IF-APS的具体实现：

IF-APS通过用户鉴别协议来实现网络访问请求者和访问控制器之间的用户鉴别；通过网络传输协议来实现访问请求者和访问控制器在TNC过程中的数据传输；

1.3)IF-TNCCAP的具体实现：

IF-TNCCAP通过网络连接管理机制来实现TNC客户端和TNC接入点之间的网络连接管理；通过平台鉴别协议来实现访问请求者和访问控制器之间的平台鉴别；通过平台鉴别协议管理机制来实现对平台鉴别过程中平台鉴别协议的管理；通过对完整性度量层消息的封装机制来实现完整性度量层消息的路由；

1.4)IF-EPS的具体实现：

IF-EPS通过平台鉴别协议来实现访问请求者和访问控制器之间的平台鉴别；通过对完整性度量层消息的封装机制来实现完整性度量层消息的路由；通过评估策略动态分发机制来实现对访问请求者的评估策略的动态分发；

1.5)IF-IMC的具体实现：

包括访问请求者中IF-IMC的具体实现和访问控制器中IF-IMC的具体实现，其中访问请求者中的IF-IMC和访问控制器中的IF-IMC通过定义功能函数来实现完整性握手；

1.6)IF-IMV的具体实现：IF-IMV通过定义功能函数来实现完整性握手；

1.7)IF-IM的具体实现：IF-IM通过利用IMC和IMV之间所传输消息的封装方法来实现IMC和IMV之间的互通；

2)实现三元对等鉴别可信网络连接架构的可信网络连接，其具体步骤是：

2.1)网络访问请求者向网络访问控制者发送网络访问请求；

2.2)网络访问请求者、网络访问控制者和鉴别策略服务者执行IF-TNT和IF-APS中定义的用户鉴别协议，其中用户鉴别协议数据是利用IF-TNT和IF-APS中定义的网络传输协议进行传输；用户鉴别协议完成后，若网络访问控制者要求立即做出访问决策，则网络访问控制者根据用户鉴别结果做出访问决策并利用IF-TNT中定义的访问控制协议执行访问控制，否则向TNC接入点发送平台鉴别请求；若网络访问请求者要求立即做出访问决策，则网络访问请求者根据用户鉴别结果做出访问决策并利用IF-TNT中定义的访问控制协议执行访问控制，否则向TNC客户端发送平台鉴别请求；

2.3)当TNC接入点收到网络访问控制者发送的平台鉴别请求时，若TNC接入点通过向评估策略服务者请求对访问请求者的评估策略，则利用IF-EPS中定义的评估策略动态分发机制进行该评估策略请求；

2.4)当TNC接入点收到网络访问控制者发送的平台鉴别请求时，TNC接入点利用IF-TNCCAP中定义的平台鉴别协议启动平台鉴别过程；当TNC客户端收到网络访问请求者发送的平台鉴别请求时，若TNC接入点没有收到网络访问控制者发送的平台鉴别请求，则TNC客户端利用IF-TNCCAP中定义的平台鉴别协议启动平台鉴别过程；访问请求者、访问控制器和评估策略服务者执行平台鉴别过程；

2.5)平台修补完成后，访问请求者中的IMC或访问控制器中的IMC利用访问请求者中的IF-IMC或访问控制器中的IF-IMC中定义的功能函数向TNC客户端或TNC接入点请求重新执行平台鉴别过程，或者评估策略发生了改变而要求重新执行平台鉴别过程，则根据网络连接状态和本地安全策略跳至步骤2.1)、步骤2.2)或步骤2.3)。

上述步骤1.1)和步骤1.2)中用户鉴别协议的实现方式是：若访问请求者和访问控制器之间已实现过用户鉴别，且访问请求者和访问控制器之间的安全关联仍然有效，则网络访问请求者和网络访问控制者利用访问请求者和访问控制器之间的安全关联来实现访问请求者和访问控制器之间的用户鉴别；否则，网络访问请求者、网络访问控制者和鉴别策略服务者执行三元对等鉴别协议来实现访问访问请求者和访问控制器之间的用户鉴别，其中鉴别策略服务者充当可信第三方角色。

上述步骤1.1)和步骤1.2)中网络传输协议实现方式为：采用与遂道EAP封装传输机制相同的方式对用户鉴别协议数据和平台鉴别协议数据进行封装传输，其中用户鉴别协议数据封装在一个封装传输包中，而平台鉴别协议数据首先要封装成一个封装传输包并利用安全遂道进行保护，然后将上述安全遂道保护的封装传输包嵌套封装在一个封装传输包中。

上述步骤1.1)和步骤1.2)中网络传输协议实现方式为：采用相互独立的封装传输机制对用户鉴别协议数据和平台鉴别协议数据进行封装传输，其中用户鉴别协议数据独立封装在一个封装传输包中，平台鉴别协议数据独立封装在一个封装传输包中并利用安全遂道进行保护。

上述步骤1.1)中访问控制协议是基于三元对等鉴别的访问控制方法。

上述步骤1.3)中的网络连接管理机制的实现方法是：TNC客户端为每一对TNC客户端——TNC接入点本地创建一个网络连接标识，用于标识每一个TNC过程；TNC接入点为每一对TNC客户端——TNC接入点本地创建一个网络连接标识，用于标识每一个TNC过程；在一个TNC过程中，TNC客户端、TNC接入点和评估策略服务者首先执行一次平台鉴别过程，若该次平台鉴别过程后通过进行平台修补，或者评估策略发生了改变，则TNC客户端、TNC接入点和评估策略服务者通过重新执行一次平台鉴别过程，TNC客户端和TNC接入点保持上述创建的网络连接标识不变，直至该TNC过程被终止。

上述步骤1.3)和步骤1.4)中的平台鉴别协议的实现方法是由TNC客户端、TNC接入点和评估策略服务者执行的三元对等鉴别协议，其中TNC客户端和TNC接入点互相请求对方平台的完整性度量值，TNC客户端和TNC接入点仅验证对方平台的完整性度量值的平台签名，而平台身份证书的有效性验证和完整性度量值的评估由评估策略服务者来完成。

上述步骤1.3)中的平台鉴别协议管理机制的实现方法是：在一次平台鉴别过程中，TNC客户端、TNC接入点和评估策略服务者可能通过执行多轮平台鉴别协议，其中，在每一轮平台鉴别协议中TNC客户端和TNC接入点互相发送请求对方平台的完整性度量参数，而向评估策略服务者发送的是已完成度量的完整性度量参数，本轮平台鉴别协议完成后，若请求度量的完整性度量参数与已完成度量的完整性度量参数不相同，则TNC客户端、TNC接入点和评估策略服务者通过执行另外一轮平台鉴别协议，否则本次平台鉴别过程已成功完成。

上述步骤1.3)和步骤1.4)中的对完整性度量层消息的封装机制为：由消息类型、完整性收集者标识和完整性度量层消息构成的封装格式进行封装。

上述步骤1.4)中的评估策略动态分发机制是TNC接入点向评估策略服务者请求对访问请求者的评估策略，评估策略服务者返回对访问请求者的评估策略给TNC接入点。

上述步骤1.5)中的访问请求者中的IF-IMC需定义的功能函数为：TNC客户端发现、装载访问请求者中的IMC；TNC客户端初始化访问请求者中的IMC；访问请求者中的IMC向TNC客户端报告所支持的消息类型；TNC客户端向访问请求者中的IMC通告网络连接状态；TNC客户端向访问请求者中的IMC通告请求度量的完整性度量参数；访问请求者中的IMC向TNC客户端发送完整性度量层消息；访问请求者中的IMC向TNC客户端提供完整性度量值中的PCR引用数据，包括引用的PCR值和对这些引用PCR值的平台签名；TNC客户端向访问请求者中的IMC通告该轮平台鉴别协议的该步骤消息将要发送，让访问请求者中的IMC停止收集完整性度量值；TNC客户端向访问请求者中的IMC发送已收到的完整性度量层消息；TNC客户端终止访问请求者中的IMC；访问请求者中的IMC向TNC客户端请求重新执行完整性握手。

上述步骤1.5)中的访问控制器中的IF-IMC需定义的功能函数为：TNC接入点发现、装载访问控制器中的IMC；TNC接入点初始化访问控制器中的IMC；访问控制器中的IMC向TNC接入点报告所支持的消息类型；TNC接入点向访问控制器中的IMC通告网络连接状态；TNC接入点向访问控制器中的IMC通告请求度量的完整性度量参数；访问控制器中的IMC向TNC接入点发送完整性度量层消息；访问控制器中的IMC向TNC接入点提供完整性度量值中PCR引用数据，包括引用的PCR值和对这些引用PCR值的平台签名；TNC接入点向访问控制器中的IMC通告该轮平台鉴别协议的该步骤消息将要发送，让访问控制器中的IMC停止收集完整性度量值；TNC接入点向访问控制器中的IMC发送已收到的完整性度量层消息；TNC接入点终止访问控制器中的IMC；访问控制器中的IMC向TNC接入点请求重新执行完整性握手。

上述步骤1.6)中的IF-IMV通过定义的功能函数为：评估策略服务者发现、装载策略管理器中的IMV；评估策略服务者初始化策略管理器中的IMV；策略管理器中的IMV向评估策略服务者报告所支持的消息类型；评估策略服务者向策略管理器中的IMV通告本轮平台鉴别协议所通过设置的评估策略；评估策略服务者向策略管理器中的IMV发送已收到的完整性度量层消息；策略管理器中的IMV向评估策略服务者发送完整性度量层消息；策略管理器中的IMV向评估策略服务者提供完整性度量值中PCR引用数据，包括引用的PCR值和对这些引用PCR值的平台签名；策略管理器中的IMV向评估策略服务者提供组件级评估结果；评估策略服务者终止策略管理器中的IMV。

上述步骤1.7)中的IF-IM的封装方法为：与TCG-TNC架构中IF-M的封装方法相同。

上述步骤2.4)中，当TNC客户端收到IF-TNCCAP和IF-EPS中定义的平台鉴别协议消息时，通过检查TNC客户端是否已装载和初始化访问请求者中的IMC，若TNC客户端还没有装载和初始化访问请求者中的IMC，则利用访问请求者中IF-IMC定义的功能函数载装和初始化访问请求者中的IMC；当TNC接入点收到IF-TNCCAP和IF-EPS中定义的平台鉴别协议消息时，通过检查TNC接入点是否已装载和初始化访问控制器中的IMC，若TNC接入点还没有装载和初始化访问控制器中的IMC，则利用访问控制器中IF-IMC定义的功能函数载装和初始化访问控制器中的IMC；当评估策略服务者收到IF-TNCCAP和IF-EPS中定义的平台鉴别协议消息时，通过检查评估策略服务者是否已装载和初始化策略管理器中的IMV，若评估策略服务者还没有装载和初始化策略管理器中的IMV，则利用策略管理器中IF-IMV定义的功能函数载装和初始化策略管理器中的IMV。

上述步骤2.4)中，TNC客户端、TNC接入点和评估策略服务者可执行IF-TNCCAP和IF-EPS中定义的平台鉴别协议，其中平台鉴别协议数据利用IF-TNT和IF-APS中定义的网络传输协议进行传输，评估策略服务者通过为每一轮平台鉴别协议或每一次平台鉴别过程创建一个会话标识来实现区分。

上述步骤2.4)中，平台鉴别过程完成后，TNC客户端可根据平台鉴别过程中各轮平台鉴别协议中的组件级评估结果做出访问决策并发送给网络访问请求者；TNC接入点可根据平台鉴别过程中各轮平台鉴别协议中的组件级评估结果做出访问决策并发送给网络访问控制者，或者评估策略服务者可根据平台鉴别过程中各轮平台鉴别协议中的组件级评估结果做出访问决策并发送给TNC接入点，然后TNC接入点发送给网络访问控制者；网络访问请求者和网络访问控制者利用IF-TNT中定义的访问控制方法执行访问控制。

上述步骤2)中，对于三元对等鉴别可信网络连接架构中的各个组件，被装载或服务启用时被执行完整性校验，以确定这些组件处于可信赖状态。

本发明的优点是：

1、本发明可建立终端可信。本发明在建立终端可信的过程中，基于TePA的TNC架构中的访问请求者中的完整性收集者、TNC客户端、TNC接入点由终端来实现，而策略管理器中的完整性校验者和评估策略服务者可由终端来实现，也可由第三方服务提供者来实现，然后执行基于TePA的TNC架构中的平台鉴别过程来建立终端可信。

2、本发明可实现终端的可信网络连接。本发明在终端的可信网络连接过程中，基于TePA的TNC架构中的访问请求者由接入网络的终端来实现，而访问控制器和策略管理器由网络服务提供者来实现，其中策略管理器的部分功能或所有功能还可以由第三方服务提供者来实现，然后执行基于TePA的TNC架构中的TNC过程来实现终端的可信网络连接。

3、本发明可实现终端间的可信认证。本发明在终端间的可信认证中，基于TePA的TNC架构中的访问请求者由一个终端来实现，而访问控制器由另一个终端来实现，策略管理器可由网络服务提供者来实现，其中策略管理器的部分功能或所有功能还可以由第三方服务提供者来实现，若终端间已完成用户鉴别并生成了会话密钥，则执行基于TePA的TNC架构中的平台鉴别过程来实现终端间的可信认证，否则执行基于TePA的TNC架构中的TNC过程来实现终端间的可信认证。

4、本发明可实现对终端的可信管理。本发明在对终端的可信管理过程中，基于TePA的TNC架构中的访问请求者由终端来实现，而访问控制器和策略管理器由网络服务提供者来实现，其中策略管理器的部分功能或所有功能还可以由第三方服务提供者来实现，若终端和网络服务提供者之间已完成用户鉴别并生成了会话密钥，则执行基于TePA的TNC架构中的平台鉴别过程来实现对终端的可信管理，否则执行基于TePA的TNC架构中的TNC过程来实现对终端的可信管理。

5、本发明可广泛应用。本发明基于TePA的TNC架构的具体实现中的平台鉴别过程可采用一轮平台鉴别协议完成，也可以采用多轮平台鉴别协议完成，满足不同网络设备的需求。

6、本发明有利于独立实现。本发明在基于TePA的TNC架构的具体实现中，策略管理器不参与网络连接管理，是一个独立的角色，有利于独立实现，从而使得策略管理器完全可以由可信第三方来实现；

附图说明

图1为现有技术中TCG-TNC架构示意图；

图2为现有技术中基于TePA的TNC架构示意图；

图3为本发明的访问请求者中IF-IMC的交互示意图；

图4为本发明的访问控制器中IF-IMC的交互示意图；

图5为本发明的策略管理器中IF-IMV的交互示意图。

具体实施方式

本发明提供了一种三元对等鉴别可信网络连接架构的实现方法，该方法包括以下步骤：

1)通过定义接口建立三元对等鉴别可信网络连接架构，其具体实现方式是：

1.1)IF-TNT和IF-APS的具体实现方法：

IF-TNT和IF-APS中定义的用户鉴别协议可以采用基于对称密钥和非对称密钥的三元对等鉴别协议，如：中国无线局域网标准中的WAI协议。

IF-TNT和IF-APS中定义的网络传输协议可以为：协议数据封装包可以采用与EAP相同或类似的协议数据封装包，但该协议数据封装包的处理与EAP不一样，该协议数据封装包在访问控制器处通过解析包，然后再封装成另一个协议数据封装包发送给另外一方，不像EAP是一个点到点协议的封装包和解析包处理过程，而是一个三方协议的封装包和解析包处理过程，其中三方协议封装包可称为三元认证扩展协议封装包(Tri-element Authentication Extensible Protocol，TAEP)；用户鉴别协议数据和平台鉴别协议数据可以采用与遂道EAP类似的封装方法进行封装，也可以采用相互独立的封装方法进行封装，对于前者，访问请求者和访问控制器将收到一个成功类型的协议数据封装包，如：TAEP-success封装包，与整个TNC过程相对应，对于后者，访问请求者和访问控制器将收到两个成功类型的协议数据封装包，如：TAEP-success封装包，分别与用户鉴别过程、平台鉴别过程相对应。

IF-TNT和IF-APS中定义的访问控制协议可以采用基于三元对等鉴别的访问控制方法，如：中国无线局域标准中所采用的访问控制方法。

1.2)IF-TNCCAP和IF-EPS的具体实现方法：

IF-TNCCAP中定义的网络连接管理机制可以为：TNC客户端本地生成与TNC接入点的网络连接标识，TNC接入点本地生成与TNC客户端的网络连接标识，网络连接标识用ConnectionID表示；TNC客户端和TNC接入点为每一个ConnectionID设置一些网络连接状态，如：创建、完整性握手、允许、禁止、隔离和终止连接。在一个TNC过程中，TNC客户端、TNC接入点和评估策略服务者首先执行一次平台鉴别过程，若本次平台鉴别过程后需要进行平台修补，或者评估策略发生了改变，则TNC客户端、TNC接入点和评估策略服务者需要重新执行一次平台鉴别过程，TNC客户端和TNC接入点保持上述创建的ConnectionID不变，但网络连接状态可以设置为不同状态，直至该TNC过程被终止。

IF-TNCCAP中定义的平台鉴别协议管理机制可以为：在一次平台鉴别过程中，TNC客户端、TNC接入点和评估策略服务者可能需要执行多轮平台鉴别协议，其中，在每一轮平台鉴别协议中TNC客户端和TNC接入点互相发送请求对方平台的完整性度量参数，而向评估策略服务者发送的是已完成度量的完整性度量参数，本轮平台鉴别协议完成后，若请求度量的完整性度量参数与已完成度量的完整性度量参数不相同，则TNC客户端、TNC接入点和评估策略服务者需要执行另外一轮平台鉴别协议，否则本次平台鉴别过程已成功完成。

IF-EPS中定义的评估策略动态分发机制可以为：评估策略服务者为每一级别用户、每一级别服务设置对应的评估策略，TNC接入点可以将访问请求者的用户身份、或者访问请求者所请求的服务、或者访问请求者的用户身份和所请求的服务发送给评估策略服务者，然后评估策略服务者依据本地的设置向TNC接入点返回对访问请求者的评估策略。

IF-TNCCAP和IF-EPS中定义的对完整性度量层消息的封装机制可为(消息类型+完整性收集者标识+完整性度量层消息表)列表，该消息类型可由组件类型和厂家标识构成：

消息类型	完整性收集者标识	完整性度量层消息1	完整性度量层消息2	……
					消息类型	完整性收集者标识	完整性度量层消息1	完整性度量层消息2	……
……	……	……	……	……

IF-TNCCAP和IF-APS中定义的平台鉴别协议是由TNC客户端、TNC接入点和评估策略服务者执行的三元对等鉴别协议，其中TNC客户端和TNC接入点互相请求对方平台的完整性度量值，TNC客户端和TNC接入点仅验证对方平台的完整性度量值的平台签名，而平台身份证书的有效性验证和完整性度量值的评估由评估策略服务者来完成。

1.3)访问请求者中IF-IMC的具体实现方法：

访问请求者中IF-IMC的功能函数为：

1.3.1)发现、装载访问请求者中的IMC的函数，它与特定平台相关，可以利用不同的方法实现；

1.3.2)TNC_IMC_Initialize{imcID，minVersion，maxVersion，*pOutActualVersion}，用于初始化IMC，由访问请求者中的IMC实现，其中imcID为TNC客户端为该IMC分配的完整性收集者标识，minVersion和maxVersion是TNC客户端支持的应用接口函数版本号，*pOutActualVersion是实际使用的应用接口函数版本号；

1.3.3)TNC_TNCC_ReportMessageTypes{imcID，supportedTypes，typeCount}，用于访问请求者中的IMC向TNC客户端通告所支持的消息类型，由TNC客户端实现，其中supportedTypes为访问请求者所支持的各个消息类型，typeCount为访问请求者所支持的消息类型的数目；

1.3.4)TNC_IMC_NotifyConnectionChange{imcID，connectionID，newState}，用于TNC客户端向访问请求者中的IMC通告网络连接状态，由IMC实现，其中connectionID为TNC客户端创建的网络连接标识，newState为网络连接状态；

1.3.5)TNC_IMC_RequestMeasurementInfo{imcID，connectionID，MeasurementInfo}，用于TNC客户端向访问请求者中的IMC通知请求度量的完整性度量参数，由IMC实现，其中MeasurementInfo为请求度量的完整性度量参数；

1.3.6)TNC_TNCC_SendMessage{imcID，connectionID，messgae，messageLength，messageType}，用于访问请求者中的IMC向TNC客户端发送完整性度量层消息，由TNC客户端实现，其中messgae为完整性度量层消息，messageLength为message的长度，messageType为message的消息类型；

1.3.7)TNC_TNCC_ProvidePCRsIndex{imcID，connectionID，PCRsIndex}，用于访问请求者中的IMC向TNC客户端提供完整性度量值中的PCR引用数据(可信平台评估层组件可知的)，由TNC客户端实现，其中PCRsIndex为完整性度量值中的PCR引用数据；

1.3.8)TNC_IMC_PAIEnding{imcID，connectionID}，用于TNC客户端向访问请求者中的IMC通告该轮平台鉴别协议的该步骤消息将要发送，让访问请求者中的IMC停止收集完整性度量值，由IMC实现；

1.3.9)TNC_IMC_ReceiveMessage{imcID，connectionID，messgae，messageLength，messageType}，用于TNC客户端向访问请求者中的IMC发送已收到的完整性度量层消息，由IMC实现；

1.3.10)TNC_IMC_Terminate{imcID}，用于TNC客户端终止访问请求者中的IMC，由IMC实现；

1.3.11)TNC_TNCC_RequestHandshakeRetry{imcID，connectionID，reason}，用于访问请求者中的IMC向TNC客户端请求重新执行完整性握手，由TNC客户端实现，其中reason为请求重新执行完整性握手的原因。

在平台鉴别过程中，访问请求者中IF-IMC的交互示意图，参见图3。在图3中，IF-IMC中的虚线功能函数调用箭头表示可选的，而实线功能函数调用箭头表示必备的，完整性握手过程中的平台鉴别协议可以是任意轮的(不局限于2轮)，直至做出访问决策为止，且访问请求者和访问控制器都可以发起平台鉴别协议。

1.4)访问控制器中IF-IMC的具体实现方法

访问控制器中IF-IMC的功能函数为：

1.4.1)发现、装载访问控制器中的IMC的函数，它与特定平台相关，可以利用不同的方法实现；

1.4.2)TNC_IMC_Initialize{imcID，minVersion，maxVersion，*pOutActualVersion}，用于初始化IMC，由访问控制器中的IMC实现，其中imcID为TNC接入点为该IMC分配的完整性收集者标识，minVersion和maxVersion是TNC接入点支持的应用接口函数版本号，*pOutActualVersion是实际使用的应用接口函数版本号；

1.4.3)TNC_TNCAP_ReportMessageTypes{imcID，supportedTypes，typeCount}，用于访问控制器中的IMC向TNC接入点通告所支持的消息类型，由TNC接入点实现，其中supportedTypes为访问控制器所支持的各个消息类型，typeCount为访问控制器所支持的消息类型的数目；

1.4.4)TNC_IMC_NotifyConnectionChange{imcID，connectionID，newState}，用于TNC接入点向访问控制器中的IMC通告网络连接状态，由IMC实现，其中connectionID为TNC接入点创建的网络连接标识，newState为网络连接状态；

1.4.5)TNC_IMC_RequestMeasurementInfo{imcID，connectionID，MeasurementInfo}，用于TNC接入点向访问控制器中的IMC通知请求度量的完整性度量参数，由IMC实现，其中MeasurementInfo为请求度量的完整性度量参数；

1.4.6)TNC_TNCAP_SendMessage{imcID，connectionID，messgae，messageLength，messageType}，用于访问控制器中的IMC向TNC接入点发送完整性度量层消息，由TNC接入点实现，其中messgae为完整性度量层消息，messageLength为message的长度，messageType为message的消息类型；

1.4.7)TNC_TNCAP_ProvidePCRsIndex(imcID，connectionID，PCRsIndex}，用于访问控制器中的IMC向TNC接入点提供完整性度量值中的PCR引用数据(可信平台评估层组件可知的)，由TNC接入点实现，其中PCRsIndex为完整性度量值中的PCR引用数据；

1.4.8)TNC_IMC_PAIEnding{imcID，connectionID}，用于TNC接入点向访问控制器中的IMC通告该轮平台鉴别协议的该步骤消息将要发送，让访问控制器中的IMC停止收集完整性度量值，由IMC实现；

1.4.9)TNC_IMC_ReceiveMessage{imcID，connectionID，messgae，messageLength，messageType}，用于TNC接入点向访问控制器中的IMC发送已收到的完整性度量层消息，由IMC实现；

1.4.10)TNC_IMC_Terminate{imcID}，用于TNC接入点终止访问控制器中的IMC，由IMC实现；

1.4.11)TNC_TNCAP_RequestHandshakeRetry{imcID，connectionID，reason}，用于访问控制器中的IMC向TNC接入点请求重新执行完整性握手，由TNC接入点实现，其中reason为请求重新执行完整性握手的原因。

在平台鉴别过程中，访问控制器中IF-IMC的交互示意图，参见图4。在图4中，IF-IMC中的虚线功能函数调用箭头表示可选的，而实线功能函数调用箭头表示必备的，完整性握手过程中的平台鉴别协议可以是任意轮的(不局限于2轮)，直至做出访问决策为止，且访问请求者和访问控制器都可以发起平台鉴别协议。

1.5)IF-IMV的具体实现方法：

策略管理器中IF-IMV的功能函数为：

1.5.1)发现、装载策略管理器中的IMV的功能函数，它与特定平台相关，可以利用不同的方法实现；

1.5.2)TNC_IMV_Initialize{imvID，minVersion，maxVersion，*pOutActualVersion}，用于评估策略服务者初始化策略管理器中的IMV，由策略管理器中的IMV实现，其中imvID为评估策略服务者为该策略管理器中的IMV分配的完整性校验者标识，minVersion和maxVersion是评估策略服务者支持的应用接口函数版本号，*pOutActualVersion是实际使用的应用接口函数版本号；

1.5.3)TNC_EPS_ReportMessageTypes{imvID，supportedTypes，typeCount}，用于策略管理器中的IMV向评估策略服务者通告所支持的消息类型，由评估策略服务者实现，其中supportedTypes为策略管理器中的IMV所支持的各个消息类型，typeCount为策略管理器中的IMV所支持的消息类型的数目；

1.5.4)TNC_IMV_SetAttributePolicy{imvID，PAIBindingID，AttributePolicy}，用于评估策略服务者向策略管理器中的IMV通告本轮平台鉴别协议所通过设置的评估策略，由策略管理器中的IMV实现，其中PAIBindingID为评估策略服务者为本轮平台鉴别协议创建的平台鉴别协议绑定标识，目的是使评估策略服务者可以管理所执行的各个平台鉴别协议，如：由平台鉴别协议中访问控制器的平台鉴别校验挑战N_AC-PM和访问请求者的平台鉴别请求挑战N_AR共同导出的一个随机数，AttributePolic为所通过设置的评估策略；

1.5.5)TNC_IMV_ReceiveMessage{imvID，PAIBindingID，messgae，messageLength，messageType}，用于评估策略服务者向策略管理器中的IMV发送已收到的完整性度量层消息，由策略管理器中的IMV实现，其中messgae为完整性度量层消息，messageLength为message的长度，messageType为message的消息类型；

1.5.6)TNC_EPS_SendMessage{imvID，PAIBindingID，messgae，messageLength，messageType}，用于策略管理器中的IMV向评估策略服务者发送完整性度量层消息，由评估策略服务者实现；

1.5.7)TNC_EPS_ProvideRecommendation{imvID，PAIBindingID，recommendation，evaluation}，用于策略管理器中的IMV向评估策略服务者提供组件级评估结果(可信平台评估层组件可知的)，由评估策略服务者实现，其中recommendation为组件级评估结果中的行为推荐，evaluation为组件级评估结果中的评定结果；

1.5.8)TNC_EPS_ProvidePCRsIndex{imvID，PAIBindingID，PCRsIndex}，用于策略管理器中的IMV向评估策略服务者提供完整性度量值中的PCR引用数据(可信平台评估层组件可知的)，由评估策略服务者实现，其中PCRsIndex为完整性度量值中的PCR引用数据；

1.5.9)TNC_IMV_Terminate{imvID}，用于评估策略服务者终止的策略管理器中的IMV，由策略管理器中的IMV实现；

在平台鉴别过程中，策略管理器中IF-IMV的交互示意图，参见图5。在图5中，IF-IMV中的虚线功能函数调用箭头表示可选的，而实线功能函数调用箭头表示必备的，完整性握手过程中的平台鉴别协议可以是任意轮的(不局限于2轮)，直至做出访问决策为止，且访问请求者和访问控制器都可以发起平台鉴别协议。

1.6)IF-IM的具体实现方法：

除了使用TNC_IMC_RequestMeasurementInfo来完成TCG-TNC架构中的请求完整性度量属性功能(使用完整性度量层消息来完成，即使用IF-M消息来完成)外，其他与TCG-TNC架构中IF-M相同。

2)实现三元对等鉴别可信网络连接架构的可信网络连接，其具体步骤是：

2.1)网络访问请求者向网络访问控制者发送网络访问请求；

2.2)网络访问请求者、网络访问控制者和鉴别策略服务者执行用户鉴别协议，如：中国无线局域网标准中WAI协议，其中用户鉴别协议数据采用TAEP包封装传输。用户鉴别协议完成后，若网络访问控制者要求立即做出访问决策，则网络访问控制者根据用户鉴别结果做出访问决策并采用基于三元等鉴别的访问控制方法(如：中国无线局域网标准中所采用的访问控制方法)执行访问控制，否则向TNC接入点发送平台鉴别请求；若网络访问请求者要求立即做出访问决策，则网络访问请求者根据用户鉴别结果做出访问决策并采用基于三元等鉴别的访问控制方法(如：中国无线局域网标准中所采用的访问控制方法)执行访问控制，否则向TNC客户端发送平台鉴别请求。在装载TNC接入点，或TNC接入点的服务启动时，访问控制器中的PTS可以扫描TNC接入点的文件代码和内存代码，以保证其可信赖性。在装载TNC客户端，或TNC客户端的服务启动时，访问请求者中的PTS可以扫描TNC客户端的文件代码和内存代码，以保证其可信赖性。

2.3)当TNC接入点收到网络访问控制者发送的平台鉴别请求时，若TNC接入点通过向评估策略服务者请求对访问请求者的评估策略，则基于访问请求者的用户级别和访问请求者所请求的服务级别向评估策略服务者发送评估策略请求，然后评估策略服务者下发相应的评估策略。在装载评估策略服务者，或评估策略服务者的服务启动时，策略管理器中的PTS可以扫描评估策略服务者的文件代码和内存代码，以保证其可信赖性。在请求评估策略过程中，由于涉及到可信赖性，所以TNC接入点可以利用访问控制器中的IF-PTS向PTS请求扫描网络访问控制者的文件代码和内存代码，以保证其可信赖性；评估策略服务者可以利用策略管理器中的IF-PTS请求扫描鉴别策略服务者的文件代码和内存代码，以保证其可信赖性。

2.4)平台鉴别过程

2.4.1)当TNC接入点收到网络访问控制者发送的平台鉴别请求，或者通过执行另一轮平台鉴别协议时，TNC接入点启动平台鉴别过程，并构造平台鉴别协议中的消息1发送给TNC客户端；

2.4.2)若TNC客户端收到的平台鉴别协议中的消息1为首轮平台鉴别协议消息(若TNC客户端此时还没有装载和初始化访问请求者中的IMC，则利用访问请求者中的IMC平台绑定方法、TNC_IMC_Initialize和TNC_TNCC_ReportMessageTypes来实现访问请求者中IMC的装载和初始化)，则TNC客户端本地创建ConnectionID，并可以调用TNC_IMC_NotifyConnectionChange向访问请求者中的IMC通告网络连接状态为CREATE，接着可以调用TNC_IMC_NotifyConnectionChange向访问请求者中的IMC通告网络连接状态为HANDSHAKE，表示访问请求者中的IMC与策略管理器中的IMV之间的完整性握手过程开始，然后调用TNC_IMC_RequestMeasurementInfo向访问请求者中的IMC通告请求度量的完整性度量参数，否则直接调用TNC_IMC_RequestMeasurementInfo向访问请求者中的IMC通告请求度量的完整性度量参数，访问请求者中的IMC收到请求度量的完整性度量参数后利用访问请求者中的IF-PTS请求PTS执行度量，并生成对访问请求者的完整性度量值；

2.4.3)访问请求者中的IMC调用TNC_TNCC_SendMessage向TNC客户端发送对访问请求者的完整性度量值，还可以调用TNC_TNCC_ProvidePCRsIndex向TNC客户端提供可信平台评估层组件可知的PCR引用数据；

2.4.4)当该轮平台鉴别协议的该步骤消息将要发送，则TNC客户端首先调用TNC_IMC_PAIEnding向访问请求者中的IMC通告让访问请求者中的IMC停止收集完整性度量值；

2.4.5)当TNC客户端收到TNC接入点发送的平台鉴别协议中的消息1，即步骤2.4.1)～步骤2.4.4)存在时，TNC客户端构造平台鉴别协议中的消息2发送给TNC接入点；当TNC客户端没有收到TNC接入点发送的平台鉴别协议中的消息1，即步骤2.4.1)～步骤2.4.4)不存在时，若TNC客户端收到网络访问请求者发送的平台鉴别请求，或者通过执行另一轮平台鉴别协议，则TNC客户端启动平台鉴别过程，并构造平台鉴别协议中的消息2发送给TNC接入点；

2.4.6)若TNC接入点收到的平台鉴别协议中的消息2为首轮平台鉴别协议消息(若TNC接入点此时还没有装载和初始化访问控制器中的IMC，则利用访问控制器中的IMC平台绑定方法、TNC_IMC_Initialize和TNC_TNCAP_ReportMessageTypes来实现访问控制器中IMC的装载和初始化)，则TNC接入点本地创建ConnectionID，并可以调用TNC_IMC_NotifyConnectionChange向访问控制器中的IMC通告网络连接状态为CREATE，接着可以调用TNC_IMC_NotifyConnectionChange向访问控制器中的IMC通告网络连接状态为HANDSHAKE，表示访问控制器中的IMC与策略管理器中的IMV之间的完整性握手过程开始，然后调用TNC_IMC_RequestMeasurementInfo向访问控制器中的IMC通告请求度量的完整性度量参数，否则直接调用TNC_IMC_RequestMeasurementInfo向访问控制器中的IMC通告请求度量的完整性度量参数，访问控制器中的IMC收到请求度量的完整性度量参数后利用访问控制器中的IF-PTS请求PTS执行度量，并生成对访问控制器的完整性度量值；

2.4.7)访问控制器中的IMC调用TNC_TNCAP_SendMessage向TNC接入点发送对访问控制器的完整性度量值，还可以调用TNC_TNCAP_ProvidePCRsIndex向TNC接入点提供可信平台评估层组件可知的PCR引用数据；

2.4.8)当该轮平台鉴别协议的该步骤消息将要发送，则TNC接入点首先调用TNC_IMC_PAIEnding向访问控制器中的IMC通告让访问控制器中的IMC停止收集完整性度量值；

2.4.9)TNC接入点构造平台鉴别协议中的消息3发送给评估策略服务者；

2.4.10)评估策略服务者收到TNC接入点发送的平台鉴别协议中的消息3后，首先调用TNC_IMV_SetAttributePolicy向策略管理器中的IMV通告本轮平台鉴别协议所通过设置的评估策略，然后调用TNC_IMV_ReceiveMessage来向策略管理器中的IMV发送已收到的完整性度量层消息；

2.4.11)策略管理器中的IMV收到步骤2.4.10)中发送的消息后，将这些消息发给与策略管理器中的IMV相连接的PTS，若PTS解析这些信息出错，则生成组件级错误信息并发送给策略管理器中的IMV，否则PTS解析这些消息并在后台(TCG-TNC架构定义的)参照完整性清单数据库的协助下生成组件级评估结果和平台修补信息；

2.4.12)策略管理器中的IMV调用TNC_EPS_SendMessage向评估策略服务者发送步骤2.4.11)中生成的完整性度量层消息。

2.4.13)策略管理器中的IMV可以调用TNC_EPS_ProvideRecommendation向评估策略服务者提供组件级评估结果(可信平台评估层组件可知的)；

2.4.14)策略管理器中的IMV可以调用TNC_EPS_ProvidePCRsIndex向评估策略服务者提供完整性度量值中的PCR引用数据(可信平台评估层组件可知的)；

2.4.15)评估策略服务者构造平台鉴别协议中的消息4并发送给TNC接入点；2.4.16)TNC接入点收到评估策略服务者发送的平台鉴别协议中的消息4后，首先调用TNC_IMC_ReceiveMessage向访问控制器中的IMC发送已收到的完整性度量层消息，若对访问请求者的评估已完成，则根据对访问请求者的完整性度量值的组件级评估结果生成访问控制器的访问决策，否则表明TNC接入点通过执行另一轮平台鉴别协议，即：该轮平台鉴别协议结束后重新从步骤2.4.1)开始执行，然后TNC接入点构造平台鉴别协议中的消息5发送给TNC客户端；

2.4.17)TNC客户端收到步骤2.4.16)中发送的平台鉴别协议中的消息5后，首先调用TNC_IMC_ReceiveMessage向访问请求者中的IMC发送已收到的完整性度量层消息，若收到访问控制器的访问决策(表示对访问请求者的平台鉴别已经完成)，则可以调用TNC_IMC_NotifyConnectionChange向访问请求者中的IMC通告访问控制器的访问决策(也就是网络连接状态)，若对访问控制器的评估已完成，则根据对访问控制器的完整性度量值的组件级评估结果生成访问请求者的访问决策，否则表明TNC客户端通过执行另一轮平台鉴别协议，即：该轮平台鉴别协议结束后重新从步骤2.4.5)开始执行，然后TNC客户端构造平台鉴别协议中的消息6发送给TNC接入点；

2.4.18)TNC接入点收到步骤2.4.17)中发送的平台鉴别协议中的消息6后，可以调用TNC_IMC_NotifyConnectionChange向访问控制器中的IMC通告访问请求者的访问决策(也就是网络连接状态)。

2.5)平台修补完成后，访问请求者中的IMC调用TNC_TNCC_RequestHandshakeRetry向TNC客户端请求重新执行完整性握手，访问控制器中的IMC调用TNC_TNCAP_RequestHandshakeRetry向TNC接入点请求重新执行完整性握手，或者评估策略发生了改变，从而通过重新执行平台鉴别过程，则根据网络连接状态和本地安全策略跳至步骤2.1)、步骤2.2)或步骤2.4)。

上述步骤2.4)描述了一个完整的平台鉴别过程，其中的平台鉴别协议可以为上面所述的IF-TNCCAP和IF-PTS的具体实现方法中的平台鉴别协议，若应用于单向平台鉴别，则可以选用步骤2.4)中的一些子步骤来实现。

在上述步骤2.4)中，为了保证TNC客户端、TNC接入点和评估策略服务者的可信赖性，在装载TNC客户端，或TNC客户端的服务启动时，访问请求者中的PTS可以扫描TNC客户端的文件代码和内存代码，在装载TNC接入点，或TNC接入点的服务启动时，访问控制器中的PTS可以扫描TNC接入点的文件代码和内存代码，在装载评估策略服务者，或评估策略服务者的服务启动时，策略管理器中的PTS可以扫描评估策略服务者的文件代码和内存代码。

在上述步骤2.4)中，为了保证访问请求者中的IMC、访问控制器中的IMC和策略管理器中的IMV的可信赖性，在装载访问请求者中的IMC，或访问请求者中的IMC的服务启动时，TNC客户端可以利用访问请求者中的IF-PTS向访问请求者中的PTS请求扫描访问请求者中的IMC的文件代码和内存代码，在装载访问控制器中的IMC，或访问控制器中的IMC的服务启动时，TNC接入点可以利用访问控制器中的IF-PTS向访问控制器中的PTS请求扫描访问控制器中的IMC的文件代码和内存代码，在装载策略管理器中的IMV，或策略管理器中的IMV的服务启动时，评估策略服务者可以利用策略管理器中的IF-PTS向策略管理器中的PTS请求扫描策略管理器中的IMV的文件代码和内存代码。

在上述步骤2.4)中，为了保证网络访问请求者、网络访问控制者和鉴别策略服务者的可信赖性，在装载网络访问请求者，或网络访问请求者的服务启动时，TNC客户端可以利用访问请求者中的IF-PTS向访问请求者中的PTS请求扫描网络访问请求者的文件代码和内存代码，在装载网络访问控制者，或网络访问控制者的服务启动时，TNC接入点可以利用访问控制器中的IF-PTS向访问控制器中的PTS请求扫描网络访问控制者的文件代码和内存代码，在装载鉴别策略服务者，或鉴别策略服务者的服务启动时，评估策略服务者可以利用策略管理器中的IF-PTS向策略管理器中的PTS请求扫描鉴别策略服务者的文件代码和内存代码。

Claims (3)

1.一种三元对等鉴别可信网络连接架构的实现方法，其特征在于：该方法包括以下步骤：

1）通过定义接口建立三元对等鉴别可信网络连接架构，其实现方式是：

1.1）可信网络传输接口IF-TNT的实现：

可信网络传输接口IF-TNT通过用户鉴别协议来实现网络访问请求者和访问控制器之间的用户鉴别；通过网络传输协议来实现访问请求者和访问控制器在可信网络连接TNC过程中的数据传输；通过访问控制协议来实现访问请求者和访问控制器之间的访问控制；所述用户鉴别协议的实现方式是：若访问请求者和访问控制器之间已实现过用户鉴别，且访问请求者和访问控制器之间的安全关联仍然有效，则网络访问请求者和网络访问控制者利用访问请求者和访问控制器之间的安全关联来实现访问请求者和访问控制器之间的用户鉴别；否则，网络访问请求者、网络访问控制者和鉴别策略服务者执行三元对等鉴别协议来实现访问请求者和访问控制器之间的用户鉴别，其中鉴别策略服务者充当可信第三方角色；所述网络传输协议实现方式为：采用与遂道扩展认证协议EAP封装传输机制相同的方式对用户鉴别协议数据和平台鉴别协议数据进行封装传输，其中用户鉴别协议数据封装在一个封装传输包中，而平台鉴别协议数据首先要封装成一个封装传输包并利用安全遂道进行保护，然后将上述安全遂道保护的封装传输包嵌套封装在一个封装传输包中；或者是采用相互独立的封装传输机制对用户鉴别协议数据和平台鉴别协议数据进行封装传输，其中用户鉴别协议数据独立封装在一个封装传输包中，平台鉴别协议数据独立封装在一个封装传输包中并利用安全遂道进行保护；

1.2）鉴别策略服务接口IF-APS的实现：

鉴别策略服务接口IF-APS是网络访问控制者和鉴别策略服务者之间的接口，该接口中定义了用户鉴别协议，用户鉴别协议数据是利用可信网络传输接口IF-TNT和鉴别策略服务接口IF-APS中定义的网络传输协议进行传输；所述网络传输协议是一个三方协议的封装包和解析包处理过程，该协议数据封装包在访问控制器处通过解析包，然后再封装成另一个协议数据封装包发送给另外一 方；

1.3）TNC客户端－TNC接入点接口IF-TNCCAP的实现：

TNC客户端－TNC接入点接口IF-TNCCAP通过网络连接管理机制来实现可信网络连接TNC客户端和TNC接入点之间的网络连接管理；通过平台鉴别协议来实现访问请求者和访问控制器之间的平台鉴别；通过平台鉴别协议管理机制来实现对平台鉴别过程中平台鉴别协议的管理；通过对完整性度量层消息的封装机制来实现完整性度量层消息的路由；所述网络连接管理机制的实现方法是：可信网络连接TNC客户端为每一对可信网络连接TNC客户端－TNC接入点本地创建一个网络连接标识，用于标识每一个可信网络连接TNC过程；可信网络连接TNC接入点为每一对可信网络连接TNC客户端－TNC接入点本地创建一个网络连接标识，用于标识每一个可信网络连接TNC过程；在一个可信网络连接TNC过程中，可信网络连接TNC客户端、可信网络连接TNC接入点和评估策略服务者首先执行一次平台鉴别过程，若该次平台鉴别过程后通过进行平台修补，或者评估策略发生了改变，则可信网络连接TNC客户端、可信网络连接TNC接入点和评估策略服务者通过重新执行一次平台鉴别过程，可信网络连接TNC客户端和可信网络连接TNC接入点保持上述创建的网络连接标识不变，直至该可信网络连接TNC过程被终止；所述平台鉴别协议的实现方法是由可信网络连接TNC客户端、可信网络连接TNC接入点和评估策略服务者执行的三元对等鉴别协议，其中可信网络连接TNC客户端和可信网络连接TNC接入点互相请求对方平台的完整性度量值，可信网络连接TNC客户端和可信网络连接TNC接入点仅验证对方平台的完整性度量值的平台签名，而平台身份证书的有效性验证和完整性度量值的评估由评估策略服务者来完成；或者是在一次平台鉴别过程中，可信网络连接TNC客户端、可信网络连接TNC接入点和评估策略服务者可能通过执行多轮平台鉴别协议，其中，在每一轮平台鉴别协议中可信网络连接TNC客户端和可信网络连接TNC接入点互相发送请求对方平台的完整性度量参数，而向评估策略服务者发送的是已完成度量的完整性度量参数，本轮平台鉴别协议完成后，若请求度量的完整性度量参数与已完成度量的完整性度量参数不相同，则可信网络连接TNC客户端、可信网络连接TNC接入点和评估策略服务者 通过执行另外一轮平台鉴别协议，否则本次平台鉴别过程已成功完成；所述完整性度量层消息的封装机制为：由消息类型、完整性收集者标识和完整性度量层消息构成的封装格式进行封装；

1.4）评估策略服务接口IF-EPS的实现：

评估策略服务接口IF-EPS通过平台鉴别协议来实现访问请求者和访问控制器之间的平台鉴别；通过对完整性度量层消息的封装机制来实现完整性度量层消息的路由；通过评估策略动态分发机制来实现对访问请求者的评估策略的动态分发；所述评估策略动态分发机制是可信网络连接TNC接入点向评估策略服务者请求对访问请求者的评估策略，评估策略服务者返回对访问请求者的评估策略给可信网络连接TNC接入点；

1.5）完整性度量收集者接口IF-IMC的实现：

包括访问请求者中完整性度量收集者接口IF-IMC的具体实现和访问控制器中完整性度量收集者接口IF-IMC的具体实现，其中访问请求者中的完整性度量收集者接口IF-IMC和访问控制器中的完整性度量收集者接口IF-IMC通过定义功能函数来实现完整性握手；

所述访问请求者中的完整性度量收集者接口IF-IMC需定义的功能函数为：可信网络连接TNC客户端发现、装载访问请求者中的完整性收集者IMC；可信网络连接TNC客户端初始化访问请求者中的完整性收集者IMC；访问请求者中的完整性收集者IMC向可信网络连接TNC客户端报告所支持的消息类型；可信网络连接TNC客户端向访问请求者中的完整性收集者IMC通告网络连接状态；可信网络连接TNC客户端向访问请求者中的完整性收集者IMC通告请求度量的完整性度量参数；访问请求者中的完整性收集者IMC向可信网络连接TNC客户端发送完整性度量层消息；访问请求者中的完整性收集者IMC向可信网络连接TNC客户端提供完整性度量值中的平台配置寄存器PCR引用数据，包括引用的平台配置寄存器PCR值和对这些引用平台配置寄存器PCR值的平台签名；可信网络连接TNC客户端向访问请求者中的完整性收集者IMC通告该轮平台鉴别协议的该步骤消息将要发送，让访问请求者中的完整性收集者IMC停止收集完整性度量值；可信网络连接TNC客户端向访问请求者中的完整性收集者IMC发送已收到的完整性度量 层消息；可信网络连接TNC客户端终止访问请求者中的完整性收集者IMC；访问请求者中的IMC向可信网络连接TNC客户端请求重新执行完整性握手；

所述访问控制器中的完整性度量收集者接口IF-IMC需定义的功能函数为：可信网络连接TNC接入点发现、装载访问控制器中的完整性收集者IMC；可信网络连接TNC接入点初始化访问控制器中的完整性收集者IMC；访问控制器中的完整性收集者IMC向可信网络连接TNC接入点报告所支持的消息类型；可信网络连接TNC接入点向访问控制器中的完整性收集者IMC通告网络连接状态；可信网络连接TNC接入点向访问控制器中的完整性收集者IMC通告请求度量的完整性度量参数；访问控制器中的完整性收集者IMC向可信网络连接TNC接入点发送完整性度量层消息；访问控制器中的完整性收集者IMC向可信网络连接TNC接入点提供完整性度量值中平台配置寄存器PCR引用数据，包括引用的平台配置寄存器PCR值和对这些引用平台配置寄存器PCR值的平台签名；可信网络连接TNC接入点向访问控制器中的完整性收集者IMC通告该轮平台鉴别协议的该步骤消息将要发送，让访问控制器中的完整性收集者IMC停止收集完整性度量值；可信网络连接TNC接入点向访问控制器中的完整性收集者IMC发送已收到的完整性度量层消息；可信网络连接TNC接入点终止访问控制器中的完整性收集者IMC；访问控制器中的完整性收集者IMC向可信网络连接TNC接入点请求重新执行完整性握手；

1.6）完整性度量校验接口IF-IMV的实现：完整性度量校验接口IF-IMV通过定义功能函数来实现完整性握手；

所述完整性度量校验接口IF-IMV通过定义的功能函数为：评估策略服务者发现、装载策略管理器中的完整性校验者IMV；评估策略服务者初始化策略管理器中的完整性校验者IMV；策略管理器中的完整性校验者IMV向评估策略服务者报告所支持的消息类型；评估策略服务者向策略管理器中的完整性校验者IMV通告本轮平台鉴别协议所通过设置的评估策略；评估策略服务者向策略管理器中的完整性校验者IMV发送已收到的完整性度量层消息；策略管理器中的完整性校验者IMV向评估策略服务者发送完整性度量层消息；策略管理器中的完整性校验者IMV向评估策略服务者提供完整性度量值中平台配置寄存器PCR 引用数据，包括引用的平台配置寄存器PCR值和对这些引用PCR值的平台签名；策略管理器中的完整性校验者IMV向评估策略服务者提供组件级评估结果；评估策略服务者终止策略管理器中的完整性校验者IMV；

1.7）完整性度量接口IF-IM的实现：完整性度量接口IF-IM通过利用完整性收集者IMC和完整性校验者IMV之间所传输消息的封装方法来实现完整性收集者IMC和完整性校验者IMV之间的互通；所述完整性度量接口IF-IM的封装方法为：与TCG-TNC架构中消息交换接口IF-M的封装方法相同；

2）实现三元对等鉴别可信网络连接架构的可信网络连接，其步骤是：

2.1）网络访问请求者向网络访问控制者发送网络访问请求；

2.2）网络访问请求者、网络访问控制者和鉴别策略服务者执行可信网络传输接口IF-TNT和鉴别策略服务接口IF-APS中定义的用户鉴别协议，其中用户鉴别协议数据是利用可信网络传输接口IF-TNT和鉴别策略服务接口IF-APS中定义的网络传输协议进行传输；用户鉴别协议完成后，若网络访问控制者要求立即做出访问决策，则网络访问控制者根据用户鉴别结果做出访问决策并利用可信网络传输接口IF-TNT中定义的访问控制协议执行访问控制，否则向可信网络连接TNC接入点发送平台鉴别请求；若网络访问请求者要求立即做出访问决策，则网络访问请求者根据用户鉴别结果做出访问决策并利用可信网络传输接口IF-TNT中定义的访问控制协议执行访问控制，否则向可信网络连接TNC客户端发送平台鉴别请求；

2.3）当可信网络连接TNC接入点收到网络访问控制者发送的平台鉴别请求时，若可信网络连接TNC接入点通过向评估策略服务者请求对访问请求者的评估策略，则利用评估策略服务接口IF-EPS中定义的评估策略动态分发机制进行该评估策略请求；

2.4）当可信网络连接TNC接入点收到网络访问控制者发送的平台鉴别请求时，可信网络连接TNC接入点利用TNC客户端－TNC接入点接口IF-TNCCAP中定义的平台鉴别协议启动平台鉴别过程；当可信网络连接TNC客户端收到网络访问请求者发送的平台鉴别请求时，若可信网络连接TNC接入点没有收到网络访问控制者发送的平台鉴别请求，则可信网络连接TNC客户端利用TNC客户端 －TNC接入点接口IF-TNCCAP中定义的平台鉴别协议启动平台鉴别过程；访问请求者、访问控制器和评估策略服务者执行平台鉴别过程；当可信网络连接TNC客户端收到TNC客户端－TNC接入点接口IF-TNCCAP和评估策略服务接口IF-EPS中定义的平台鉴别协议消息时，通过检查可信网络连接TNC客户端是否已装载和初始化访问请求者中的完整性收集者IMC，若可信网络连接TNC客户端还没有装载和初始化访问请求者中的完整性收集者IMC，则利用访问请求者中完整性度量收集者接口IF-IMC定义的功能函数载装和初始化访问请求者中的IMC；当可信网络连接TNC接入点收到TNC客户端－TNC接入点接口IF-TNCCAP和评估策略服务接口IF-EPS中定义的平台鉴别协议消息时，通过检查可信网络连接TNC接入点是否已装载和初始化访问控制器中的完整性收集者IMC，若可信网络连接TNC接入点还没有装载和初始化访问控制器中的完整性收集者IMC，则利用访问控制器中完整性度量收集者接口IF-IMC定义的功能函数载装和初始化访问控制器中的完整性收集者IMC；当评估策略服务者收到TNC客户端－TNC接入点接口IF-TNCCAP和评估策略服务接口IF-EPS中定义的平台鉴别协议消息时，通过检查评估策略服务者是否已装载和初始化策略管理器中的完整性校验者IMV，若评估策略服务者还没有装载和初始化策略管理器中的完整性校验者IMV，则利用策略管理器中完整性度量校验接口IF-IMV定义的功能函数载装和初始化策略管理器中的完整性校验者IMV；可信网络连接TNC客户端、可信网络连接TNC接入点和评估策略服务者可执行TNC客户端－TNC接入点接口IF-TNCCAP和评估策略服务接口IF-EPS中定义的平台鉴别协议，其中平台鉴别协议数据利用可信网络传输接口IF-TNT和鉴别策略服务接口IF-APS中定义的网络传输协议进行传输，评估策略服务者通过为每一轮平台鉴别协议或每一次平台鉴别过程创建一个会话标识来实现区分；平台鉴别过程完成后，可信网络连接TNC客户端可根据平台鉴别过程中各轮平台鉴别协议中的平台鉴别结果做出访问决策并发送给网络访问请求者；可信网络连接TNC接入点可根据平台鉴别过程中各轮平台鉴别协议中的平台鉴别结果做出访问决策并发送给网络访问控制者，或者评估策略服务者可根据平台鉴别过程中各轮平台鉴别协议中的平台鉴别结果做出访问决策并发送给可信网络连接TNC接入点，然后可信 网络连接TNC接入点发送给网络访问控制者；网络访问请求者和网络访问控制者利用可信网络传输接口IF-TNT中定义的访问控制方法执行访问控制；

2.5）平台修补完成后，访问请求者中的完整性收集者IMC或访问控制器中的完整性收集者IMC利用访问请求者中的完整性度量收集者接口IF-IMC或访问控制器中的完整性度量收集者接口IF-IMC中定义的功能函数向可信网络连接TNC客户端或可信网络连接TNC接入点请求重新执行平台鉴别过程，或者评估策略发生了改变而要求重新执行平台鉴别过程，则根据网络连接状态和本地安全策略跳至步骤2.1）、步骤2.2）或步骤2.3）。

2.根据权利要求1所述的三元对等鉴别可信网络连接架构的实现方法，其特征在于：所述步骤1.1）中访问控制协议是基于三元对等鉴别的访问控制方法。

3.根据权利要求1或2所述的三元对等鉴别可信网络连接架构的实现方法，其特征在于：所述步骤2）中，对于三元对等鉴别可信网络连接架构中的各个组件，被装载或服务启用时被执行完整性校验，以确定这些组件处于可信赖状态。 

Images