CN101635709B - 一种可实现双向平台鉴别的方法 - Google Patents
一种可实现双向平台鉴别的方法 Download PDFInfo
- Publication number
- CN101635709B CN101635709B CN2009100236846A CN200910023684A CN101635709B CN 101635709 B CN101635709 B CN 101635709B CN 2009100236846 A CN2009100236846 A CN 2009100236846A CN 200910023684 A CN200910023684 A CN 200910023684A CN 101635709 B CN101635709 B CN 101635709B
- Authority
- CN
- China
- Prior art keywords
- terminal
- platform
- aik
- platform assembly
- rems
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及的可实现双向平台鉴别的方法中,服务器S为终端A和终端B提供了所有平台鉴别能力,包括平台身份鉴别和平台组件的评估,终端A和终端B仅需要验证对方的平台签名、验证服务器S的用户签名以及根据平台身份证书验证结果和平台组件评估结果生成访问决策,有效地降低了终端A和终端B的负荷,并且增强了该双向平台鉴别方法的应用性;通过设定网络管理策略,并结合组件分类表,可以有效地保护终端A和终端B中的某些平台组件不被暴露给对方。
Description
技术领域
本发明属于网络完全技术领域,具体涉及一种可实现双向平台鉴别的方法。
背景技术
随着信息化的不断发展,病毒、蠕虫等恶意软件的问题异常突出。目前已经出现了超过三万五千种的恶意软件,每年都有超过四千万的计算机被感染。为了解决这些问题,除了用户鉴别之外还需要增加对用户所在平台的识别和鉴别,即:平台鉴别,包括平台身份鉴别和平台组件评估,目的是确定用户所在平台是否处于一个可信赖状态。平台鉴别可以运用于各种不同的应用场景。例如,基于客户端的可信赖性来控制客户端对网络的访问;判定数字版权管理(Digital Rights Management,DRM)客户端软件是否处于一个可信赖状态,是否已执行了一定的策略来防止非法使用、复制或重新分配知识产权。目前,大多数平台鉴别应用都是单向模式。
若要实现双向平台鉴别,则可以正反方向执行两次单向平台鉴别。不过,也有一些研究者们为点对点网络专门设计了双向平台鉴别模式。但是,上述双向平台鉴别实现方法存在以下问题:
(1)鉴别双方进行平台身份鉴别时都需要各自利用平台私有认证中心(Certificate Authority,CA)来验证对方的平台身份证书的有效性,如:身份证明密钥(Attestation Identity Key,AIK)证书的有效性,也就是需要与平台私有CA进行通信,其中平台私有CA为鉴别双方的平台颁发平台证书。但是,在有些情况下它们可能都不具有,或者可能只有一方具有与平台私有CA进行通信的能力;
(2)各种平台的组件是复杂多样的,鉴别双方不可能存储足够多的平台组件的基准值来校验和评估对方平台组件的可信赖状态,如:存储的基准完整性值。因此,鉴别双方都需要各自与第三方管理的平台组件基准值数据库进行通信才能完成对对方平台的平台组件评估。但是,在有些情况下它们可能都不具有,或者可能只有一方具有与第三方管理的平台组件基准值数据库进行通信的能力。此外,平台组件的校验是较为复杂的,这将会大大增加终端A和终端B的负荷。
(3)鉴别双方不存在所在网络的管理策略来防止对方进行平台组件信息探测,使得自身的平台组件信息完全暴露给对方,增加了自身平台的危险性。
发明内容
本发明的目的就是克服背景技术中所述的现有的双向平台鉴别实现方法所存在的技术问题。
本发明的技术解决方案是:一种可实现双向平台鉴别的方法,其特殊之处在于,该方法包括以下步骤:
1)服务器S分别建立与平台私有CA、组件分类表及网络管理策略之间的通信,其中平台私有CA用于颁发终端A和终端B的平台身份证书,以及在执行平台鉴别协议时验证终端A和终端B的平台身份证书的有效性;组件分类表中的平台组件基准值是通过服务器S与基准值数据库进行通信而获得的;基准值数据库用于存储各种平台组件的基准值;网络管理策略用于生成终端A和终端B的平台组件评估结果,并对平台组件信息进行保护;
2)终端B发起与终端A的平台鉴别协议:终端B向终端A发送对终端A的平台组件度量参数;
3)终端A等待终端B发起的平台鉴别协议:若在一个设定的时间内终端A还没有收到终端B发起的平台鉴别协议,终端A则主动发起与终端B的平台鉴别协议,终端A向终端B发送对终端B的平台组件度量参数;否则,终端A收到步骤2)中的消息后,根据终端B在步骤2)中发送的对终端A的平台组件度量参数获取终端A的平台组件度量值,然后将所获得的终端A的平台组件度量值发送给终端B,同时向终端B发送对终端B的平台组件度量参数;
4)终端B首先验证终端A的平台组件度量值中的平台签名是否有效,若无效,则丢弃该消息;若有效,则根据终端A在步骤3)中发送的对终端B的平台组件度量参数获取终端B的平台组件度量值,然后向服务器S发送终端A的平台身份证书、终端B的平台身份证书、终端A的平台组件度量值和终端B的平台组件度量值;
5)服务器S首先利用平台私有CA验证终端A和终端B的平台身份证书的有效性,并生成相应的平台身份证书验证结果;若平台身份证书无效,则将终端A和终端B的平台身份证书验证结果发送给终端B,否则利用组件分类表中相应的平台组件的基准值来校验终端A和终端B的平台组件度量值,并生成相应的平台组件校验结果,然后利用网络管理策略、组件分类表和平台组件校验结果来生成终端A和终端B的平台组件评估结果,最后将终端A和终端B的平台身份证书验证结果和平台组件评估结果发送给终端B;
6)终端B首先验证终端A和终端B的平台身份证书验证结果和平台组件评估结果的服务器S的用户签名,若无效,则丢弃该消息;否则,当终端B已完成对终端A的平台鉴别时,终端B根据所获得的终端A的平台身份证书验证结果和所执行的各轮平台鉴别协议中的终端A的平台组件评估结果生成终端B的访问决策,并执行终端B的访问决策,最后,终端B将从步骤5)中获得的终端A和终端B的平台身份证书验证结果和平台组件评估结果、终端B的平台组件度量值中的平台签名所涉及的信息、终端B的访问决策发送给终端A;当终端B还未完成对终端A的平台鉴别时,终端B将从步骤5)中获得的终端A和终端B的平台身份证书验证结果和平台组件评估结果、终端B的平台组件度量值中的平台签名所涉及的信息发送给终端A;终端B在完成本轮平台鉴别协议后跳至步骤2)执行另一轮平台鉴别协议;
7)终端A首先验证终端B的平台组件度量值中的平台签名所涉及的信息的平台签名,若无效,则丢弃该消息;若有效,则验证步骤5)中的终端A和终端B的平台身份证书验证结果和平台组件评估结果的服务器S的用户签名,若无效,则丢弃该消息;若有效,则验证终端B的访问决策,若终端B的访问决策存在且值为禁止,则断开与终端B的连接,否则,当终端A已完成对终端B的平台鉴别时,终端A根据所获得的终端B的平台身份证书验证结果和所执行的各轮平台鉴别协议中的终端B的平台组件评估结果生成终端A的访问决策,并执行终端A的访问决策,最后将终端A的访问决策发送给终端B;当终端A还未完成对终端B的平台鉴别时,终端A在完成本轮平台鉴别协议后跳至步骤3)执行另一轮平台鉴别协议;若终端A收到终端B的访问决策,则将终端B的访问决策通告于终端A中执行平台鉴别协议的相关组件;
8)终端B将终端A的访问决策通告于终端B中执行平台鉴别协议的相关组件。
上述终端A的平台身份证书是指终端A的身份证明密钥AIK证书AIKA,终端B的平台身份证书是指终端终端B的身份证明密钥AIK证书AIKB。
上述步骤2)的具体步骤是:终端B生成随机数NB和对终端A的平台完整性度量参数ParmsA,然后将它们发送给终端A;ParmsA是终端A中平台配置寄存器PCR的序号列表、终端A中平台组件的组件类型列表或终端A中平台组件的标识列表中的任一种或任两种、三种的混合列表。
上述步骤3)的具体步骤是:终端A根据NB和ParmsA获取终端A中各个平台组件的完整性报告ReportsA和PCR引用数据QuotesA,其中,ReportsA包含终端A的PCR引用数据和快照,并需要安全传输至服务器S;QuotesA包含NB、终端A的PCR值、对NB和终端A的PCR值的AIK签名、终端A的AIK证书AIKA;然后向终端B发送ReportsA,QuotesA,随机数NA和对终端B的平台完整性度量参数ParmsB,其中ParmsB是终端B中PCR的序号列表、终端B中平台组件的组件类型列表或终端B中平台组件的标识列表中的任一种或任两种、三种的混合列表。
上述步骤4)的具体步骤是:终端B验证QuotesA中的AIK签名,若无效,则丢弃该消息;若有效,则根据NA和ParmsB获取终端B中各个平台组件的完整性报告ReportsB和PCR引用数据QuotesB,其中ReportsB包含终端B的PCR引用数据和快照;QuotesB包含NA、终端B的PCR值、对NA和终端B的PCR值的AIK签名、终端B的AIK证书AIKB,然后向服务器S发送NB-S,NA,AIKA,AIKB,ReportsA,ReportsB,其中NB-S是终端B产生的随机数。
上述步骤5)的具体步骤是:服务器S利用平台私有CA验证终端A和终端B的AIK证书AIKA和AIKB的有效性,并生成相应的AIK证书有效性验证结果ReA和ReB,当AIK证书有效时,服务器S进一步利用组件分类表中相应平台组件的完整性基准值来校验终端A和终端B的ReportsA和ReportsB中的平台组件的完整性度量值,并生成平台组件完整性校验结果,然后利用网络管理策略、组件分类表、终端A和终端B的平台组件完整性校验结果生成终端A和终端B的组件级评估结果ResA和ResB、组件级修补信息RemsA和RemsB,其中RemsA需要安全传输至终端A,RemsB需要安全传输至终端B,最后向终端B发送ReA,ReB,[NB-S,NA,AIKA,AIKB,ReA,ReB]Sig,ResA,RemsA,ResB,RemsB,[NB-S,NA,QuotesA,QuotesB,ResA,RemsA,ResB,RemsB]Sig;其中ReA,ReB和[NB-S,NA,AIKA,AIKB,ReA,ReB]Sig是终端A和终端B的AIK证书验证结果,ResA,RemsA,ResB,RemsB和[NB-S,NA,QuotesA,QuotesB,ResA,RemsA,ResB,RemsB]Sig是终端A和终端B的平台组件评估结果,[NB-S,NA,AIKA,AIKB,ReA,ReB]Sig是服务器S对NB-S,NA,AIKA,AIKB,ReA和ReB的用户签名,[NB-S,NA,QuotesA,QuotesB,ResA,RemsA,ResB,RemsB]Sig是服务器S对NB-S,NA,QuotesA,QuotesB,ResA,RemsA,ResB和RemsB的用户签名,终端A和终端B的AIK证书验证结果仅在执行首轮平台鉴别协议时才存在。
上述步骤6)的具体步骤是:终端B验证[NB-S,NA,AIKA,AIKB,ReA,ReB]Sig和[NB-S,NA,QuotesA,QuotesB,ResA,RemsA,ResB,RemsB]Sig的服务器S的用户签名,若无效则丢弃该消息;若有效,则向终端A发送QuotesB,NB-S,ActionB和步骤5)的终端A和终端B的AIK证书验证结果和平台组件评估结果;其中ActionB是终端B的访问决策,其值为允许、禁止或隔离,ActionB在终端B已完成对终端A的平台鉴别时才存在。
上述步骤7)的具体步骤是:终端A验证QuotesB中的AIK签名,然后验证步骤5)中的[NB-S,NA,AIKA,AIKB,ReA,ReB]Sig和[NB-S,NA,QuotesA,QuotesB,ResA,RemsA,ResB,RemsB]Sig的服务器S的用户签名,若无效,则丢弃该消息;若有效,则验证ActionB,若ActionB存在且其值为禁止,则断开与终端B的连接,否则,当终端A已完成对终端B的平台鉴别时,终端A根据所获得的终端B的AIK证书验证结果和所执行的各轮平台鉴别协议中的终端B的平台组件评估结果生成终端A的访问决策ActionA,并执行该访问决策ActionA,最后将该访问决策发送给终端B;当终端A还未完成对终端B的平台鉴别时,终端A在完成本轮平台鉴别协议后跳至步骤3)执行另一轮平台鉴别协议;若终端A收到终端B的访问决策,则将终端B的访问决策通告于终端A中执行平台鉴别协议的相关组件;ActionA值为允许、禁止或隔离,ActionA在终端A已完成对终端B的平台鉴别时才存在。
上述终端A和终端B之间的平台鉴别协议消息是由终端A和终端B之间建立的安全通道进行安全保护的;若该安全通道相关于终端A和终端B之间的用户认证,则可以在AIK签名中绑定该安全通道来增强平台鉴别协议的安全性;若该安全通道不相关于终端A和终端B之间的用户认证,则可以在AIK签名中绑定该安全通道和用户认证信息来增强平台鉴别协议的安全性。
上述步骤6)中若本轮平台鉴别协议不是终端A和终端B之间的首轮平台鉴别协议,则本步骤发送给终端A的消息中不包含终端A和终端B的平台身份证书验证结果。
本发明中的服务器S为终端A和终端B提供了所有平台鉴别能力,包括平台身份鉴别和平台组件的评估,终端A和终端B仅需要验证对方的平台签名、验证服务器S的用户签名以及根据平台身份证书验证结果和平台组件评估结果生成访问决策,有效地降低了终端A和终端B的负荷,并且增强了该双向平台鉴别方法的应用性;通过设定网络管理策略,并结合组件分类表,可以有效地保护终端A和终端B中的某些平台组件不被暴露给对方。
附图说明
图1是本发明的示意框图。
具体实施方式
参见图1,本发明的可实现双向平台鉴别的方法的具体步骤如下:
步骤1)服务器S建立与平台私有CA的通信,建立与组件分类表的通信,建立与网络管理策略的通信,其中组件分类表中的平台组件基准值可以通过与基准值数据库进行通信而获得。
平台私有CA可以由服务器S来充当或建立,也可以由第三方权威机构来充当,它用于颁发终端A和终端B的平台身份证书,如:终端A和终端B的AIK证书,以及在执行平台鉴别协议时验证终端A和终端B的平台身份证书的有效性。
基准值数据库由第三方权威机构来建立,它存储了各种平台组件的基准值,如:各种平台组件的完整性基准值。
组件分类表可以由服务器S来建立,也可以由第三方权威机构来建立,它的每1条记录可以包含平台组件的组件类型、序号、标识、版本号、安全级别和基准值等等,其中基准值需要通过与基准数据库进行通信才能获得。例如,组件分类表的结构如下所示:
平台组件的组件类型表示该平台组件属于哪一类型的平台组件,平台组件的序号表示该平台组件在组件分类表中的位置编号(用于模糊区分同一组件类型下的不同平台组件),平台组件的标识表示该平台组件是什么(如:是天网防火墙还是其他防火墙,用于明确区分同一组件类型下的不同平台组件),平台组件的版本号表示该平台组件属于哪一个版本(如:v5.1.1.1002),平台组件的安全级别表示该平台组件属于哪一个安全级别,平台组件的基准值可以用来校验平台鉴别协议中的平台组件度量值(如:平台组件的完整性基准值)。
网络管理器策略由服务器S来建立,它用于生成终端A和终端B的平台组件评估结果,可以对某些平台组件信息进行保护,以避免在终端A和终端B之间被对方探知。当网络管理策略设定某个平台组件在终端A和终端B之间不需要防止被暴露时,服务器S生成的平台组件评估结果可以包含平台组件的组件类型、序号、标识、版本号、安全级别、运行状况和平台组件校验结果。例如:非保护模式下的平台组件评估结果的结构如下所示:
运行状况是指平台组件的是否正在运行,是利用哪个端口号在通信等等,平台组件校验结果可以是平台组件的完整性校验结果,用于显示平台组件的完整性状态。
当网络管理策略设定某个平台组件在终端A和终端B之间需要防止被暴露时,服务器S生成的平台组件评估结果可以包含平台组件的组件类型、序号、安全级别、运行状况和平台组件校验结果。例如:保护模式下的平台组件评估结果的结构如下所示:
运行状况不能包含可识别平台组件的信息,如:可识别平台组件的端口号。因为某端口号可能仅限于某平台组件使用,所以通过该端口号可识别出平台组件,从而暴露了平台组件。
步骤2)终端B发起与终端A的平台鉴别协议,它向终端A发送对终端A的平台组件度量参数,它标识终端A中哪些平台组件需要度量。例如:终端B生成随机数NB和对终端A的平台完整性度量参数ParmsA,其中ParmsA标识终端A中哪些平台完整性需要度量,然后将它们发送给终端A。ParmsA可以是终端A中平台配置寄存器PCR的序号列表,可以是终端A中平台组件的组件类型列表,可以是终端A中平台组件的标识列表,还可以是上述两者或三者的混合列表。
步骤3)终端A等待终端B发起的平台鉴别协议,若在一个设定的时间内还没有收到终端B发起的平台鉴别协议,则主动发起与终端B的平台鉴别协议,它向终端B发送对终端B的平台组件度量参数,它标识终端B中哪些平台组件需要度量,否则收到步骤2)中的消息后,根据终端B在步骤2)中发送的对终端A的平台组件度量参数获取终端A的平台组件度量值,然后将所获得的终端A的平台组件度量值发送给终端B,同时向终端B发送对终端B的平台组件度量参数,它标识终端B中哪些平台组件需要度量。例如:终端A根据NB和ParmsA获取终端A中各个平台组件的完整性报告ReportsA和PCR引用数据QuotesA,其中ReportsA包含终端A的PCR引用数据和快照等,它需要安全传输至服务器S,QuotesA包含NB、终端A的PCR值、对NB和终端A的PCR值的AIK签名、终端A的AIK证书AIKA等,然后向终端B发送ReportsA,QuotesA,随机数NA和对终端B的平台完整性度量参数ParmsB,其中ParmsB标识终端B中哪些平台完整性需要度量。ParmsB可以是终端B中PCR的序号列表,可以是终端B中平台组件的组件类型列表,可以是终端B中平台组件的标识列表,还可以是上述两者或三者的混合列表。
步骤4)终端B收到步骤3)中的消息后,首先验证终端A的平台组件度量值中的平台签名,若无效,则丢弃该消息,否则根据终端A在步骤3)中发送的对终端B的平台组件度量参数获取终端B的平台组件度量值,然后向服务器S发送终端A的平台身份证书、终端B的平台身份证书、终端A的平台组件度量值和终端B的平台组件度量值。例如:终端B验证QuotesA中的AIK签名,若无效,则丢弃该消息;若有效,则根据NA和ParmsB获取终端B中各个平台组件的完整性报告ReportsB和PCR引用数据QuotesB,其中ReportsB包含终端B的PCR引用数据和快照等,它需要安全传输至服务器S,QuotesB包含NA、终端B的PCR值、对NA和终端B的PCR值的AIK签名、终端B的AIK证书AIKB等,然后向服务器S发送NB-S,NA,AIKA,AIKB,ReportsA,ReportsB,其中NB-S是终端B产生的随机数。
步骤5)服务器S收到步骤4)中的消息后,首先利用平台私有CA验证终端A和终端B的平台身份证书的有效性并生成相应的平台身份证书验证结果,若平台身份证书无效,则将终端A和终端B的平台身份证书验证结果发送给终端B,否则利用组件分类表中相应平台组件的基准值来校验终端A和终端B的平台组件度量值并生成相应的平台组件校验结果,然后利用网络管理策略、组件分类表和平台组件校验结果来生成终端A和终端B的平台组件评估结果,最后将终端A和终端B的平台身份证书验证结果和平台组件评估结果发送给终端B。值得注意的是:终端A和终端B的平台身份证书验证结果仅在执行首轮平台鉴别协议时才存在。例如:服务器S利用平台私有CA验证终端A和终端B的AIK证书AIKA和AIKB的有效性,并生成相应的AIK证书有效性验证结果ReA和ReB,当AIK证书有效时,服务器S进一步利用组件分类表中相应平台组件的完整性基准值来校验终端A和终端B的ReportsA和ReportsB中的平台组件的完整性度量值,并生成平台组件完整性校验结果,然后利用网络管理策略、组件分类表、终端A和终端B的平台组件完整性校验结果生成终端A和终端B的组件级评估结果ResA和ResB、组件级修补信息RemsA和RemsB,其中RemsA需要安全传输至终端A,RemsB需要安全传输至终端B,最后向终端B发送ReA,ReB,[NB-S,NA,AIKA,AIKB,ReA,ReB]Sig,ResA,RemsA,ResB,RemsB,[NB-S,NA,QuotesA,QuotesB,ResA,RemsA,ResB,RemsB]Sig,其中ReA,ReB和[NB-S,NA,AIKA,AIKB,ReA,ReB]Sig是终端A和终端B的AIK证书验证结果,ResA,RemsA,ResB,RemsB和[NB-S,NA,QuotesA,QuotesB,ResA,RemsA,ResB,RemsB]Sig是终端A和终端B的平台组件评估结果,[NB-S,NA,AIKA,AIKB,ReA,ReB]Sig是服务器S对NB-S,NA,AIKA,AIKB,ReA和ReB的用户签名,[NB-S,NA,QuotesA,QuotesB,ResA,RemsA,ResB,RemsB]Sig是服务器S对NB-S,NA,QuotesA,QuotesB,ResA,RemsA,ResB和RemsB的用户签名,终端A和终端B的AIK证书验证结果仅在执行首轮平台鉴别协议时才存在。
步骤6)终端B收到步骤5)中的消息后,首先验证终端A和终端B的平台身份证书验证结果和平台组件评估结果的服务器S的用户签名,若无效,则丢弃该消息,否则:当终端B已完成对终端A的平台鉴别时,终端B根据所获得的终端A的平台身份证书验证结果和所执行的各轮平台鉴别协议中的终端A的平台组件评估结果生成终端B的访问决策,并执行终端B的访问决策,最后终端B将步骤5)中的消息、终端B的平台组件度量值中的平台签名所涉及的信息、终端B的访问决策发送给终端A;当终端B还未完成对终端A的平台鉴别时,终端B将步骤5)中的消息、终端B的平台组件度量值中的平台签名所涉及的信息发送给终端A,另外终端B在完成本轮平台鉴别协议后需要发起另一轮平台鉴别协议,也就是完成本轮平台鉴别协议后跳至步骤2)执行另一轮平台鉴别协议。若本轮平台鉴别协议不是终端A和终端B之间的首轮平台鉴别协议,则本步骤发送给终端A的消息中不包含终端A和和终端B的平台身份证书验证结果。例如:终端B验证[NB-S,NA,AIKA,AIKB,ReA,ReB]Sig和[NB-S,NA,QuotesA,QuotesB,ResA,RemsA,ResB,RemsB]Sig的服务器S的用户签名,若无效则丢弃该消息;若有效,则向终端A发送QuotesB,NB-S,ActionB和步骤5)中的消息,其中ActionB是终端B的访问决策,其值可为允许、禁止或隔离等,它在终端B已完成对终端A的平台鉴别时才存在。
步骤7)终端A收到步骤6)中的消息后,首先验证终端B的平台组件度量值中的平台签名所涉及的信息的平台签名,若无效,则丢弃该消息,否则验证步骤5)中的消息中的终端A和终端B的平台身份证书验证结果和平台组件评估结果的服务器S的用户签名,若无效,则丢弃该消息,否则验证终端B的访问决策,若终端B的访问决策存在且值为禁止,则断开与终端B的连接,否则:当终端A已完成对终端B的平台鉴别时,终端A根据所获得的终端B的平台身份证书验证结果和所执行的各轮平台鉴别协议中的终端B的平台组件评估结果生成终端A的访问决策,并执行终端A的访问决策,最后将终端A的访问决策发送给终端B;当终端A还未完成对终端B的平台鉴别时,终端A在完成本轮平台鉴别协议后需要等待终端B发起的平台鉴别协议,或者主动发起另一轮平台鉴别协议,也就是完成本轮平台鉴别协议后跳至步骤3)执行另一轮平台鉴别协议。若终端A收到终端B的访问决策,则将终端B的访问决策通告于终端A中执行平台鉴别协议的相关组件。例如:终端A验证QuotesB中的AIK签名,然后验证步骤5)中的消息的[NB-S,NA,AIKA,AIKB,ReA,ReB]Sig和[NB-S,NA,QuotesA,QuotesB,ResA,RemsA,ResB,RemsB]Sig的服务器S的用户签名,若无效则丢弃该消息;若有效,则向终端B发送NB和ActionA,其中ActionA是终端A的访问决策,其值可为允许、禁止或隔离等,这条消息在终端A已完成对终端B的平台鉴别时才存在。
步骤8)终端B收到步骤7)中的消息后,将终端A的访问决策通告于终端B中执行平台鉴别协议的相关组件。
在上述可实现双向平台鉴别的方法中,终端A和终端B之间的平台鉴别协议消息是由终端A和终端B之间建立的安全通道进行安全保护。若该安全通道相关于终端A和终端B之间的用户认证,则可以在AIK签名中绑定该安全通道来增强平台鉴别协议的安全性。若该安全通道不相关于终端A和终端B之间的用户认证,则可以在AIK签名中绑定该安全通道和用户认证信息来增强平台鉴别协议的安全性。
上面所述的绑定相关于终端A和终端B之间的用户认证的安全通道,或者绑定不相关于终端A和终端B之间的用户认证的安全通道、终端A和终端B的用户认证信息的方法适用于任何双向平台鉴别方法。
Claims (10)
1.一种可实现双向平台鉴别的方法,其特征在于:该方法包括以下步骤:
1)服务器S分别建立与平台私有认证中心、组件分类表及网络管理策略之间的通信,其中平台私有认证中心用于颁发终端A和终端B的平台身份证书,以及在执行平台鉴别协议时验证终端A和终端B的平台身份证书的有效性;组件分类表中的平台组件基准值是通过服务器S与基准值数据库进行通信而获得的;基准值数据库用于存储各种平台组件的基准值;网络管理策略用于生成终端A和终端B的平台组件评估结果,并对平台组件信息进行保护;
2)终端B发起与终端A的平台鉴别协议:终端B向终端A发送对终端A的平台组件度量参数;
3)终端A等待终端B发起的平台鉴别协议:若在一个设定的时间内终端A还没有收到终端B发起的平台鉴别协议,终端A则主动发起与终端B的平台鉴别协议,终端A向终端B发送对终端B的平台组件度量参数;否则,终端A收到步骤2)中的消息后,根据终端B在步骤2)中发送的对终端A的平台组件度量参数获取终端A的平台组件度量值,然后将所获得的终端A的平台组件度量值发送给终端B,同时向终端B发送对终端B的平台组件度量参数;
4)终端B首先验证终端A的平台组件度量值中的平台签名是否有效,若无效,则丢弃该消息;若有效,则根据终端A在步骤3)中发送的对终端B的平台组件度量参数获取终端B的平台组件度量值,然后向服务器S发送终端A的平台身份证书、终端B的平台身份证书、终端A的平台组件度量值和终端B的平台组件度量值;
5)服务器S首先利用平台私有认证中心验证终端A和终端B的平台身份证书的有效性,并生成相应的平台身份证书验证结果;若平台身份证书无效,则将终端A和终端B的平台身份证书验证结果发送给终端B,否则利用组件分类表中相应的平台组件的基准值来校验终端A和终端B的平台组件度量值,并生成相应的平台组件校验结果,然后利用网络管理策略、组件分类表和平台组件校验结果来生成终端A和终端B的平台组件评估结果,最后将终端A和终端B的平台身份证书验证结果和平台组件评估结果发送给终端B;
6)终端B首先验证终端A和终端B的平台身份证书验证结果和平台组件评估结果的服务器S的用户签名,若无效,则丢弃该消息;否则,当终端B已完成对终端A的平台鉴别时,终端B根据所获得的终端A的平台身份证书验证结果和所执行的各轮平台鉴别协议中的终端A的平台组件评估结果生成终端B的访问决策,并执行终端B的访问决策,最后,终端B将从步骤5)中获得的终端A和终端B的平台身份证书验证结果和平台组件评估结果、终端B的平台组件度量值中的平台签名所涉及的信息、终端B的访问决策发送给终端A;当终端B还未完成对终端A的平台鉴别时,终端B将从步骤5)中获得的终端A和终端B的平台身份证书验证结果和平台组件评估结果、终端B的平台组件度量值中的平台签名所涉及的信息发送给终端A;终端B在完成本轮平台鉴别协议后跳至步骤2)执行另一轮平台鉴别协议;
7)终端A首先验证终端B的平台组件度量值中的平台签名所涉及的信息的平台签名,若无效,则丢弃该消息;若有效,则验证步骤5)中的终端A和终端B的平台身份证书验证结果和平台组件评估结果的服务器S的用户签名,若无效,则丢弃该消息;若有效,则验证终端B的访问决策,若终端B的访问决策存在且值为禁止,则断开与终端B的连接,否则,当终端A已完成对终端B的平台鉴别时,终端A根据所获得的终端B的平台身份证书验证结果和所执行的各轮平台鉴别协议中的终端B的平台组件评估结果生成终端A的访问决策,并执行终端A的访问决策,最后将终端A的访问决策发送给终端B;当终端A还未完成对终端B的平台鉴别时,终端A在完成本轮平台鉴别协议后跳至步骤3)执行另一轮平台鉴别协议;若终端A收到终端B的访问决策,则将终端B的访问决策通告于终端A中执行平台鉴别协议的相关组件;
8)终端B将终端A的访问决策通告于终端B中执行平台鉴别协议的相关组件。
2.根据权利要求1所述的可实现双向平台鉴别的方法,其特征在于:所述终端A的平台身份证书是指终端A的身份证明密钥AIK证书AIKA,终端B的平台身份证书是指终端终端B的身份证明密钥AIK证书AIKB。
3.根据权利要求2所述的可实现双向平台鉴别的方法,其特征在于:所述步骤2)的具体步骤是:终端B生成随机数NB和对终端A的平台完整性度量参数ParmsA,然后将它们发送给终端A;ParmsA是终端A中平台配置寄存器PCR的序号列表、终端A中平台组件的组件类型列表或终端A中平台组件的标识列表中的任一种或任两种、三种的混合列表。
4.根据权利要求3所述的可实现双向平台鉴别的方法,其特征在于:所述步骤3)的具体步骤是:终端A根据NB和ParmsA获取终端A中各个平台组件的完整性报告ReportsA和PCR引用数据QuotesA,其中,ReportsA包含终端A的PCR引用数据和快照,并需要安全传输至服务器S;QuotesA包含NB、终端A的PCR值、对NB和终端A的PCR值的AIK签名、终端A的AIK证书AIKA;然后向终端B发送ReportsA,QuotesA,随机数NA和对终端B的平台完整性度量参数ParmsB,其中ParmsB是终端B中PCR的序号列表、终端B中平台组件的组件类型列表或终端B中平台组件的标识列表中的任一种或任两种、三种的混合列表。
5.根据权利要求4所述的可实现双向平台鉴别的方法,其特征在于:所述步骤4)的具体步骤是:终端B验证QuotesA中的AIK签名,若无效,则丢弃该消息;若有效,则根据NA和ParmsB获取终端B中各个平台组件的完整性报告ReportsB和PCR引用数据QuotesB,其中ReportsB包含终端B的PCR引用数据和快照;QuotesB包含NA、终端B的PCR值、对NA和终端B的PCR值的AIK签名、终端B的AIK证书AIKB,然后向服务器S发送NB-S,NA,AIKA,AIKB,ReportsA,ReportsB,其中NB-S是终端B产生的随机数。
6.根据权利要求5所述的可实现双向平台鉴别的方法,其特征在于:所述步骤5)的具体步骤是:服务器S利用平台私有认证中心验证终端A和终端B的AIK证书AIKA和AIKB的有效性,并生成相应的AIK证书有效性验证结果ReA和ReB,当AIK证书有效时,服务器S进一步利用组件分类表中相应平台组件的完整性基准值来校验终端A和终端B的ReportsA和ReportsB中的平台组件的完整性度量值,并生成平台组件完整性校验结果,然后利用网络管理策略、组件分类表、终端A和终端B的平台组件完整性校验结果生成终端A和终端B的组件级评估结果ResA和ResB、组件级修补信息RemsA和RemsB,其中RemsA需要安全传输至终端A,RemsB需要安全传输至终端B,最后向终端B发送ReA,ReB,[NB-S,NA,AIKA,AIKB,ReA,ReB]Sig,ResA,RemsA,ResB,RemsB,[NB-S,NA,QuotesA,QuotesB,ReSA,RemsA,ResB,RemsB]Sig;其中ReA,ReB和[NB-S,NA,AIKA,AIKB,ReA,ReB]sig是终端A和终端B的AIK证书验证结果,ResA,RemsA,ResB,RemsB和[NB-S,NA,QuotesA,QuotesB,ResA,RemsA,ResB,RemsB]Sig是终端A和终端B的平台组件评估结果,[NB-S,NA,AIKA,AIKB,ReA,ReB]Sig是服务器S对NB-S,NA,AIKA,AIKB,ReA和ReB的用户签名,[NB-S,NA,QuotesA,QuotesB,ResA,RemsA,ResB,RemsB]Sig是服务器S对NB-S,NA,QuotesA,QuotesB,ResA,RemsA,ResB和RemsB的用户签名,终端A和终端B的AIK证书验证结果仅在执行首轮平台鉴别协议时才存在。
7.根据权利要求6所述的可实现双向平台鉴别的方法,其特征在于:所述步骤6)的具体步骤是:终端B验证[NB-S,NA,AIKA,AIKB,ReA,ReB]Sig和[NB-S,NA,QuotesA,QuotesA,ResA,RemsA,ResB,RemsB]Sig的服务器S的用户签名,若无效则丢弃该消息;若有效,则向终端A发送QuotesB,NB-S,ActionB和步骤5)的终端A和终端B的AIK证书验证结果和平台组件评估结果;其中ActionB是终端B的访问决策,其值为允许、禁止或隔离,ActionB在终端B已完成对终端A的平台鉴别时才存在。
8.根据权利要求7所述的可实现双向平台鉴别的方法,其特征在于:所述步骤7)的具体步骤是:终端A验证QuotesB中的AIK签名,然后验证步骤5)中的[NB-S,NA,AIKA,AIKB,ReA,ReB]Sig和[NB-S,NA,QuotesA,QuotesB,ReSA,RemsA,ResB,RemsB]Sig的服务器S的用户签名,若无效,则丢弃该消息;若有效,则验证ActionB,若ActionB存在且其值为禁止,则断开与终端B的连接,否则,当终端A已完成对终端B的平台鉴别时,终端A根据所获得的终端B的AIK证书验证结果和所执行的各轮平台鉴别协议中的终端B的平台组件评估结果生成终端A的访问决策ActionA,并执行该访问决策ActionA,最后将该访问决策发送给终端B;当终端A还未完成对终端B的平台鉴别时,终端A在完成本轮平台鉴别协议后跳至步骤3)执行另一轮平台鉴别协议;若终端A收到终端B的访问决策,则将终端B的访问决策通告于终端A中执行平台鉴别协议的相关组件;ActionA值为允许、禁止或隔离,ActionA在终端A已完成对终端B的平台鉴别时才存在。
9.根据权利要求1至8中任一权利要求所述的可实现双向平台鉴别的方法,其特征在于:所述终端A和终端B之间的平台鉴别协议消息是由终端A和终端B之间建立的安全通道进行安全保护的;若该安全通道相关于终端A和终端B之间的用户认证,则可以在AIK签名中绑定该安全通道来增强平台鉴别协议的安全性;若该安全通道不相关于终端A和终端B之间的用户认证,则可以在AIK签名中绑定该安全通道和用户认证信息来增强平台鉴别协议的安全性。
10.根据权利要求1所述的可实现双向平台鉴别的方法,其特征在于:所述步骤6)中若本轮平台鉴别协议不是终端A和终端B之间的首轮平台鉴别协议,则本步骤发送给终端A的消息中不包含终端A和终端B的平台身份证书验证结果。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100236846A CN101635709B (zh) | 2009-08-25 | 2009-08-25 | 一种可实现双向平台鉴别的方法 |
PCT/CN2009/075540 WO2011022902A1 (zh) | 2009-08-25 | 2009-12-14 | 一种可实现双向平台鉴别的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100236846A CN101635709B (zh) | 2009-08-25 | 2009-08-25 | 一种可实现双向平台鉴别的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101635709A CN101635709A (zh) | 2010-01-27 |
CN101635709B true CN101635709B (zh) | 2011-04-27 |
Family
ID=41594770
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009100236846A Active CN101635709B (zh) | 2009-08-25 | 2009-08-25 | 一种可实现双向平台鉴别的方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101635709B (zh) |
WO (1) | WO2011022902A1 (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104994106B (zh) * | 2015-07-13 | 2018-04-10 | 河南中盾云安全研究中心 | 用于智能手机与可穿戴设备的配对/解配对系统及方法 |
CN110334514B (zh) * | 2019-07-05 | 2021-05-14 | 北京可信华泰信息技术有限公司 | 一种基于可信计算平台验证度量报告的方法及装置 |
CN114696999A (zh) * | 2020-12-26 | 2022-07-01 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101136928A (zh) * | 2007-10-19 | 2008-03-05 | 北京工业大学 | 一种可信网络接入框架 |
CN101242267A (zh) * | 2007-08-01 | 2008-08-13 | 西安西电捷通无线网络通信有限公司 | 一种增强安全性的可信网络连接方法 |
CN101431517A (zh) * | 2008-12-08 | 2009-05-13 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接握手方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100583768C (zh) * | 2007-04-27 | 2010-01-20 | 中国科学院软件研究所 | 基于安全需求的远程证明方法及其系统 |
-
2009
- 2009-08-25 CN CN2009100236846A patent/CN101635709B/zh active Active
- 2009-12-14 WO PCT/CN2009/075540 patent/WO2011022902A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101242267A (zh) * | 2007-08-01 | 2008-08-13 | 西安西电捷通无线网络通信有限公司 | 一种增强安全性的可信网络连接方法 |
CN101136928A (zh) * | 2007-10-19 | 2008-03-05 | 北京工业大学 | 一种可信网络接入框架 |
CN101431517A (zh) * | 2008-12-08 | 2009-05-13 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接握手方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2011022902A1 (zh) | 2011-03-03 |
CN101635709A (zh) | 2010-01-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Sattarova Feruza et al. | IT security review: Privacy, protection, access control, assurance and system security | |
Andress | The basics of information security: understanding the fundamentals of InfoSec in theory and practice | |
CN1889432B (zh) | 基于智能卡的口令远程认证方法、智能卡、服务器和系统 | |
CN100496025C (zh) | 一种基于三元对等鉴别的可信网络接入控制方法 | |
CN104169940B (zh) | 将公司数字信息限制在公司界限内的方法 | |
CN101431517B (zh) | 一种基于三元对等鉴别的可信网络连接握手方法 | |
Sule et al. | Cybersecurity through the lens of digital identity and data protection: issues and trends | |
CN102110200A (zh) | 计算机可执行的认证方法 | |
CN103095659A (zh) | 一种互联网中账户登录方法和系统 | |
CN102035838B (zh) | 一种基于平台身份的信任服务连接方法与信任服务系统 | |
Sethi et al. | Misbinding attacks on secure device pairing and bootstrapping | |
CN101714927A (zh) | 内网安全综合管理的网络接入控制方法 | |
CN112583608B (zh) | 协作处理方法、装置及设备 | |
CN101795281B (zh) | 一种适合可信连接架构的平台鉴别实现方法及系统 | |
CN101635709B (zh) | 一种可实现双向平台鉴别的方法 | |
CN114513317A (zh) | 一种抗分布式拒绝服务攻击方法、系统、设备及存储介质 | |
CN101707621B (zh) | 一种适合三元对等鉴别可信网络连接架构的网络传输方法 | |
CN101572706B (zh) | 一种适合三元对等鉴别可信网络连接架构的平台鉴别消息管理方法 | |
CN106533678A (zh) | 一种基于多重签名的登录方法及其系统 | |
CN105912945A (zh) | 一种操作系统安全加固装置及运行方法 | |
Xie et al. | VOAuth: A solution to protect OAuth against phishing | |
CN101656719B (zh) | 一种可实现平台配置保护的双向平台鉴别方法 | |
CN101572703B (zh) | 一种可保护平台配置信息的平台认证系统及方法 | |
Ijzermans et al. | Resilience after corporate or industrial espionage | |
KR102629034B1 (ko) | 타임 슬롯 락킹 방식의 회귀형 자원 공유 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |