CN101707621B - 一种适合三元对等鉴别可信网络连接架构的网络传输方法 - Google Patents

一种适合三元对等鉴别可信网络连接架构的网络传输方法 Download PDF

Info

Publication number
CN101707621B
CN101707621B CN2009103112703A CN200910311270A CN101707621B CN 101707621 B CN101707621 B CN 101707621B CN 2009103112703 A CN2009103112703 A CN 2009103112703A CN 200910311270 A CN200910311270 A CN 200910311270A CN 101707621 B CN101707621 B CN 101707621B
Authority
CN
China
Prior art keywords
taep
access controller
requestor
groups
discrimination method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2009103112703A
Other languages
English (en)
Other versions
CN101707621A (zh
Inventor
肖跃雷
曹军
铁满霞
黄振海
葛莉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Priority to CN2009103112703A priority Critical patent/CN101707621B/zh
Publication of CN101707621A publication Critical patent/CN101707621A/zh
Priority to PCT/CN2010/073133 priority patent/WO2011069355A1/zh
Application granted granted Critical
Publication of CN101707621B publication Critical patent/CN101707621B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明为一种适合三元对等鉴别可信网络连接架构的网络传输方法,该方法包括以下步骤:1)请求者、鉴别访问控制器和鉴别服务器执行TAEP鉴别方法;1.1)鉴别访问控制器利用TAEP的Request分组和Response分组来获取请求者的TAEP鉴别方法身份;1.2)鉴别访问控制器利用TAEP的Request分组和Response分组来向鉴别服务器获取TAEP鉴别方法类型;1.3)鉴别访问控制器选取一种TAEP鉴别方法与请求者、鉴别服服务器执行TAEP鉴别方法过程;1.4)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程。本发明采用的TAEP鉴别方法和内TAEP鉴别方法都是可扩展鉴别框架,从而增强了可扩展性和应用性;增强了安全性;具有很好的前向兼容性。

Description

一种适合三元对等鉴别可信网络连接架构的网络传输方法
技术领域
本发明涉及一种适合三元对等鉴别可信网络连接架构的网络传输方法。
背景技术
随着信息化的发展,病毒、蠕虫等恶意软件的问题异常突出。目前已经出现了超过三万五千种的恶意软件,每年都有超过四千万的计算机被感染。要遏制住这类攻击,不仅通过解决安全的传输和数据输入时的检查,还要从源头即从每一台连接到网络的终端开始防御。而传统的安全防御技术已经无法防御种类繁多的恶意攻击。
国际可信计算组织(Trusted Computing Group,TCG)针对这个问题,专门制定了一个基于可信计算技术的网络连接规范枛可信网络连接(Trusted Network Connect,TNC),简记为TCG-TNC,其包括了开放的终端完整性架构和一套确保安全互操作的标准。TCG-TNC架构参见图1。
由于TCG-TNC架构中的策略执行点处于网络边缘,且访问请求者不对策略执行点进行平台鉴别,所以该架构存在策略执行点不可信赖的问题。为了解决这一问题,一种基于三元对等鉴别(Tri-element Peer Authentication,TePA)的TNC架构被提出。基于TePA的TNC架构参见图2。
可扩展鉴别协议(Extensible Authentication Protocol,EAP)是一个鉴别框架,它用于点到点的鉴别,可支持多种鉴别机制。EAP并不在链路控制阶段指定鉴别方法,而是把这个过程推迟到鉴别阶段。这样鉴别器就可以要求更多的信息以后再决定使用什么鉴别方法。这种机制允许使用一台“后端”鉴别服务器来真正执行鉴别机制,而鉴别器只是传递鉴别交换信息。
由于EAP仅仅是一个适合点到点鉴别协议的鉴别框架,所以EAP不适合实现三方鉴别协议,如:三元对等鉴别协议枛鉴别双方基于可信第三方来实现双向鉴别。为了满足三方鉴别协议的需要,一种适合三方鉴别协议的鉴别框架构枛三元鉴别可扩展协议(Tri-elementAuthentication Extensible Protocol,TAEP)被提出,其中TAEP包的格式与EAP包的格式类同,但TAEP的层次模型与EAP不相同。
TAEP包的格式如下:
Figure G200910311270320091211D000021
Code
Code字段长度为1个八位位组,表示TAEP分组的类型:
1    Request
2    Response
3    Success
4    Failure
Identifier
Identifier字段长度为1个八位位组,用于匹配Request和Response分组。
Length
Length字段长度为2个八位位组,表示整个TAEP分组的八位位组数,即指包括Code、Identifier、Length和Data所有字段的长度总和。
Data
Data字段长度可变,分组含0个或多个八位位组,其格式由Code字段的值决定。若Code字段的值为Request或Response,则Data字段包含Type字段和Type-Date字段,其中Type字段可为Identity和TP Authentication等。若Code字段的值为Success或Failure,则Data字段不存在。
TAEP复用模型如图3所示:
TAEP消息交换的步骤如下:
1)鉴别访问控制器发送Request分组给请求者要求开始鉴别,Request有一个Tpye字段指示请求的类型,Type字段是Identity,表示身份;
2)请求者发送Response分组给鉴别访问控制器来响应有效的Request,Response分组中包含一个Type字段,对应于Request分组中的Type字段,Type-Data字段中包含有对等体的身份;
3)鉴别访问控制器发送Request分组给鉴别服务器,Request有一个Type字段指示请求的类型,Type是TP Authentication,用于向鉴别服务器请求鉴别方法类型;
4)鉴别服务器发送Response分组给鉴别访问控制器,Response分组中包含一个Type字段,对应于Request分组中的Type字段;
5)鉴别访问控制器根据鉴别服务器返回的鉴别方法类型,选择一种鉴别方法开始鉴别过程。发送Request分组给请求者,请求者响应Response分组给鉴别访问控制器,Request和Response的序列根据需要持续交互。鉴别访问控制器向鉴别服务器发送Request分组,而鉴别服务器向鉴别访问控制器响应Response分组。此Request和Response的序列会持续需要的长度。鉴别访问控制器负责重传Request分组;
6)对话一直持续到鉴别访问控制器不能鉴别请求者,鉴别访问控制器将发送Failure分组给请求者;或者鉴别访问控制器判断成功的鉴别已经完成,鉴别访问控制器或停止发送Request分组,结束消息交互,或发送Success分组给请求者。
在某些情况下,鉴别方法是确定的或通过其他方式确定鉴别方法及身份时,上述3)、4)步骤可有选择的进行。
在图2所示的基于TePA的TNC架构中,由于网络访问控制层除了传输用户鉴别协议数据外还传输上两层的平台鉴别协议数据,且平台鉴别协议数据在访问请求者和访问控制器之间需要利用安全隧道进行传输,所以所述三元鉴别可扩展协议不能完成基于TePA的TNC架构的网络传输。
发明内容
本发明为解决背景技术中存在的上述技术问题,而提供一种适合三元对等鉴别可信网络连接架构的网络传输方法。
本发明的技术解决方案是:本发明为一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于:该方法包括以下步骤:
1)请求者、鉴别访问控制器和鉴别服务器执行TAEP鉴别方法;
1.1)鉴别访问控制器利用TAEP的Request分组和Response分组来获取请求者的TAEP鉴别方法身份;
1.2)鉴别访问控制器利用TAEP的Request分组和Response分组来向鉴别服务器获取TAEP鉴别方法类型;
1.3)鉴别访问控制器选取一种TAEP鉴别方法与请求者、鉴别服服务器执行TAEP鉴别方法过程;
1.4)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程。
上述步骤1.1)的具体步骤如下:
1.1.1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值为Identity;
1.1.2)请求者向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤1.1.1)中TAEP的Request分组中的Type字段,Type-Data字段中包含请求者的TAEP鉴别方法身份。
上述步骤1.2)的具体步骤如下:
1.2.1)鉴别访问控制器向鉴别服务器发送TAEP的Request分组,其中Type字段的值为TPAuthentication,Type-Data字段中包含请求者和鉴别访问控制器的TAEP鉴别方法身份;
1.2.2)鉴别服务器向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤1.2.1)中TAEP的Request分组中的Type字段,Type-Data字段中包含TAEP鉴别方法类型。
上述步骤1.3)的具体步骤如下:鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一系列TAEP的Request分组和Response分组,其中鉴别访问控制器向请求者发送TAEP的Request分组,而请求者收到鉴别访问控制器所发送的TAEP的Request分组后向鉴别访问控制器返回TAEP的Response分组,鉴别访问控制器向鉴别服务器发送TAEP的Request分组,而鉴别服务器收到鉴别访问控制器所发送的TAEP的Request分组后向鉴别访问控制器返回TAEP的Response分组,Type字段为鉴别访问控制器选取的TAEP鉴别方法类型,Type-Data字段中包含Type字段的值对应的TAEP鉴别方法消息。
上述步骤1.4)的具体步骤如下:
1.4.1)若在步骤1.3)中的TAEP鉴别方法过程中鉴别访问控制器成功认证请求者,则向请求者发送TAEP的Success分组;
1.4.2)若在步骤1.3)中的TAEP鉴别方法过程中鉴别访问控制器不能成功认证请求者,则向请求者发送TAEP的Failure分组。
上述步骤1)之后还包括步骤2)请求者、鉴别访问控制器和鉴别服务器执行TAEP隧道鉴别方法;
2.1)请求者和鉴别访问控制器执行隧道方法,建立请求者和鉴别访问控制器之间的安全隧道;
2.1.1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值为TAEP隧道鉴别方法类型,Type-Data字段的值为TAEP隧道鉴别方法启动标识;
2.1.2)请求者和鉴别访问控制器之间交互一系列TAEP的Request分组和Response分组,其中Type字段的值为步骤2.1.1)中的TAEP隧道鉴别方法类型,Type-Data字段的值为Type字段的值对应的隧道方法消息,直至建立请求者和鉴别访问控制器之间的安全隧道;
2.2)请求者、鉴别访问控制器和鉴别服务器在步骤2.1)中建立的安全隧道中执行内TAEP鉴别方法;
2.2.1)鉴别访问控制器利用TAEP的Request分组和Response分组来获取请求者的内TAEP鉴别方法身份;
2.2.2)鉴别访问控制器利用TAEP的Request分组和Response分组来向鉴别服务器获取内TAEP鉴别方法类型;
2.2.3)鉴别访问控制器选取一种内TAEP鉴别方法与请求者、鉴别服务器执行内TAEP鉴别方法过程;
2.2.4)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程;
上述步骤2.2.1)的具体步骤如下:
2.2.1.1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值为步骤2.2.1)中的TAEP隧道鉴别方法类型,Type-Data字段的值为利用步骤2.1)中建立的安全隧道进行保护的内TAEP鉴别方法包,内TAEP鉴别方法包中的Code字段的值为Request,Type字段的值为Identity;
2.2.1.2)请求者向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤2.2.1.1)中TAEP的Request分组中的Type字段,Type-Data字段的值为利用步骤2.1)中建立的安全隧道进行保护的内TAEP鉴别方法包,内TAEP鉴别方法包中的Code字段的值为Response,Type字段对应步骤2.2.1.1中内TAEP鉴别方法包的Request分组中的Type字段,Type-Data字段中包含请求者的内TAEP鉴别方法身份。
上述步骤2.2.2)的具体步骤如下:
2.2.2.1)鉴别访问控制器向鉴别服务器发送TAEP的Request分组,其中Type字段的值为TP Authentication,Type-Data字段中包含请求者和鉴别访问控制器的内TAEP鉴别方法身份;
2.2.2.2)鉴别服务器向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤2.2.2.1)中TAEP的Request分组中的Type字段,Type-Data字段中包含内TAEP鉴别方法类型。
上述步骤2.2.3)的具体步骤如下:鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一系列TAEP的Request分组和Response分组,直到内TAEP鉴别方法过程完成,对于鉴别访问控制器与请求者之间交互的一系列TAEP的Request分组和Response分组,其中Type字段的值为步骤2.2.1)中的TAEP隧道鉴别方法类型,Type-Data字段的值为内TAEP鉴别方法包,内TAEP鉴别方法包的Type字段的值为步骤2.2.3)中鉴别访问控制器选取的内TAEP鉴别方法类型,Type-Data字段中包含Type字段的值对应的内TAEP鉴别方法消息。
上述步骤2.2.4)的具体步骤如下:
2.2.4.1)若在步骤2.2.3)中的内TAEP鉴别方法过程中鉴别访问控制器成功认证请求者,则向请求者发送TAEP的Success分组;
2.2.4.2)若在步骤2.2.3)中的内TAEP鉴别方法过程中鉴别访问控制器不能成功认证请求者,则向请求者发送TAEP的Failure分组。
上述步骤2.2.2)中,鉴别访问控制器利用TAEP的Request分组和Response分组来向鉴别服务器获取内TAEP鉴别方法的辅助数据。
在上述方法中,若步骤1)中已建立请求者和鉴别访问控制器之间的会话密钥,则鉴别过程结束后可利用该会话密钥对请求者和鉴别访问控制器之间的数据进行安全保护,也可以混合该会话密钥和步骤2)中已建立的安全隧隧对请求者和鉴别访问控制器之间的数据进行安全保护;若步骤1)中没有建立请求者和鉴别访问控制器之间的会话密钥,则鉴别过程结束后可利用步骤2)中已建立的安全隧隧对请求者和鉴别访问控制器之间的数据进行安全保护。
本发明具有以下优点:
1、本发明采用的TAEP鉴别方法和内TAEP鉴别方法都是可扩展鉴别框架,从而增强了可扩展性和应用性;
2、本发明采用的TAEP鉴别方法在安全隧道建立前进行传输,而内TAEP鉴别方法在安全隧道建立后进行传输,从而具有很好的前向兼容性;
3、本发明采用的内TAEP鉴别方法消息在安全隧道中进行传输,从而增强了安全性。
附图说明
图1为现有技术中的TCG-TNC架构图;
图2为现有技术中的基于TePA的TNC架构;
图3为现有技术中的TAEP复用模型图;
图4为本发明中的隧道TAEP封装层次图。
具体实施方式
本发明适合三元对等鉴别可信网络连接架构的网络传输方法的具体实施步骤如下:
1)请求者、鉴别访问控制器和鉴别服务器执行TAEP鉴别方法,如:执行用户鉴别协议。该TAEP鉴别方法还可以建立请求者和鉴别访问控制器之间的会话密钥;
1.1)鉴别访问控制器利用TAEP的Request分组和Response分组来获取请求者的TAEP鉴别方法身份,如:获取请求者的用户身份;
1.1.1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值为Identity;
1.1.2)请求者向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤1.1.1)中TAEP的Request分组中的Type字段,Type-Data字段中包括请求者的TAEP鉴别方法身份,如:包括请求者的用户身份;
1.2)鉴别访问控制器利用TAEP的Request分组和Response分组来向鉴别服务器获取TAEP鉴别方法类型,如:用户鉴别方法类型;
1.2.1)鉴别访问控制器向鉴别服务器发送TAEP的Request分组,其中Type字段的值为TP Authentication,Type-Data字段中包含请求者和鉴别访问控制器的TAEP鉴别方法身份,如:图2中访问请求者和访问控制器的用户身份;
1.2.2)鉴别服务器向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤1.2.1)中TAEP的Request分组中的Type字段,Type-Data字段中包含TAEP鉴别方法类型,如:图2中用户鉴别协议类型;
1.3)鉴别访问控制器选取一种TAEP鉴别方法与请求者、鉴别服服务器执行TAEP鉴别方法过程,如:执行用户鉴别协议;
1.3.1)鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一系列TAEP的Request分组和Response分组,其中Type字段为步骤1.3)中鉴别访问控制器选取的TAEP鉴别方法类型,Type-Data字段中包含Type字段的值对应的TAEP鉴别方法消息,如:用户鉴别协议消息;
若步骤1.3)完成后还需要执行TAEP隧道鉴别方法,则执行步骤2),否则,执行步骤1.4);
1.4)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程;
1.4.1)若在步骤1.3.1)中的TAEP鉴别方法过程中鉴别访问控制器成功认证请求者,如:成功认证请求者的用户身份,则向请求者发送TAEP的Success分组;
1.4.2)若在步骤1.3.1)中的TAEP鉴别方法过程中鉴别访问控制器不能成功认证请求者,如:不能成功认证请求者的用户身份,则向请求者发送TAEP的Failure分组。
2)请求者、鉴别访问控制器和鉴别服务器执行TAEP隧道鉴别方法;
2.1)请求者和鉴别访问控制器执行隧道方法,建立请求者和鉴别访问控制器之间的安全隧道,如:执行安全传输层协议(Transport Layer Security,TLS)协议建立请求者和鉴别访问控制器之间的安全隧道。由于步骤1)中已实现请求者和鉴别访问控制器之间的双向用户鉴别,所以可以执行TLS协议的完全匿名模式来建立请求者和鉴别访问控制器之间的安全隧道;
2.2.1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值为TAEP隧道鉴别方法类型,Type-Data字段的值为TAEP隧道鉴别方法启动标识,如:Start;
2.2.2)请求者和鉴别访问控制器之间交互一系列TAEP的Request分组和Response分组,其中Type字段的值为步骤2.2.1)中的TAEP隧道鉴别方法类型,Type-Data字段的值为Type字段的值对应的隧道方法消息,如:TLS协议消息,直至建立请求者和鉴别访问控制器之间的安全隧道;
2.2)请求者、鉴别访问控制器和鉴别服务器在步骤2.1)中建立的安全隧道中执行内TAEP鉴别方法,如:利用TLS协议的记录协议来安全传输内TAEP鉴别方法消息;
2.2.1)鉴别访问控制器利用TAEP的Request分组和Response分组来获取请求者的内TAEP鉴别方法身份,如:获取请求者的平台身份;
2.2.1.1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值为步骤2.2.1)中的TAEP隧道鉴别方法类型,Type-Data字段的值为利用步骤2.1)中建立的安全隧道进行保护的内TAEP鉴别方法包。内TAEP鉴别方法包的Code字段的值为Request,Type字段的值为Identity;
2.2.1.2)请求者向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤2.2.1.1)中TAEP的Request分组中的Type字段,Type-Data字段的值为利用步骤2.1)中建立的安全隧道进行保护的内TAEP鉴别方法包。内TAEP鉴别方法包的Code字段的值为Response,Type字段对应步骤2.2.1.1中内TAEP鉴别方法包的Request分组中的Type字段,Type-Data字段中包含请求者的内TAEP鉴别方法身份,如:包含请求者的平台身份;
2.2.2)鉴别访问控制器利用TAEP的Request分组和Response分组来向鉴别服务器获取内TAEP鉴别方法类型,如:平台鉴别协议类型;
2.2.2.1)鉴别访问控制器向鉴别服务器发送TAEP的Request分组,其中Type字段的值为TP Authentication,Type-Data字段中包含请求者和鉴别访问控制器的内TAEP鉴别方法身份,如:包含请求者和鉴别访问控制器的平台身份;
2.2.2.2)鉴别服务器向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤2.2.2.1)中TAEP的Request分组中的Type字段,Type-Data字段中包含内TAEP鉴别方法类型,如:包含平台鉴别协议类型;
2.2.3)鉴别访问控制器选取一种内TAEP鉴别方法与请求者、鉴别服务器执行内TAEP鉴别方法过程,如:执行平台鉴别协议;
2.2.3.1)鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一系列TAEP的Request分组和Response分组,直到内TAEP鉴别方法过程完成。对于鉴别访问控制器与请求者之间交互的一系列TAEP的Request分组和Response分组,其中Type字段的值为步骤2.2.1)中的TAEP隧道鉴别方法类型,Type-Data字段的值为内TAEP鉴别方法包。内TAEP鉴别方法包的Type字段的值为步骤2.2.3)中鉴别访问控制器选取的内TAEP鉴别方法类型,Type-Data字段中包含Type字段的值对应的内TAEP鉴别方法消息,如:包含平台鉴别协议消息;
2.2.4)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程;
2.2.4.1)若在步骤2.2.3.1)中的内TAEP鉴别方法过程中鉴别访问控制器成功认证请求者,如:成功认证请求者的平台(包含平台身份和平台完整性),则向请求者发送TAEP的Success分组;
2.2.4.2)若在步骤2.2.3.1)中的内TAEP鉴别方法过程中鉴别访问控制器不能成功认证请求者,如:不成功认证请求者的平台(包含平台身份和平台完整性),则向请求者发送TAEP的Failure分组。
在所述步骤2.2.2)中,鉴别访问控制器还可以利用TAEP的Request分组和Response分组来向鉴别服务器获取内TAEP鉴别方法的辅助数据,如:平台鉴别协议的策略信息(包含平台保护策略和平台评估策略等)。
若上述步骤1)中已建立请求者和鉴别访问控制器之间的会话密钥,则鉴别过程结束后可利用该会话密钥对请求者和鉴别访问控制器之间的数据进行安全保护,也可以混合该会话密钥和步骤2)中已建立的安全隧隧对请求者和鉴别访问控制器之间的数据进行安全保护,如:对该会话密钥和步骤2)中已建立的安全隧隧进行异或运算;若步骤1)中没有建立请求者和鉴别访问控制器之间的会话密钥,则鉴别过程结束后可利用步骤2)中已建立的安全隧隧对请求者和鉴别访问控制器之间的数据进行安全保护。
参见图4,当本发明方案应用于图2所示的基于TePA的TNC架构时,访问请求者、访问控制器和策略管理器分别对应本发明方案中的请求者、鉴别访问控制器和鉴别服务器。此外,访问请求者和访问控制器在计算平台签名时,若访问请求者和访问控制器之间已建立会话密钥,则平台签名,如:证明身份密钥(Attestation Identity Key,AIK)签名,需要绑定访问请求者和访问控制器之间的会话密钥和TAEP隧道鉴别方法中隧道方法建立的安全隧道;若访问请求者和访问控制器之间没有建立会话密钥,则平台签名需要绑定可认证对方用户身份的保密值和TAEP隧道鉴别方法中隧道方法建立的安全隧道。

Claims (10)

1.一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于:该方法包括以下步骤:
1)请求者、鉴别访问控制器和鉴别服务器执行三元鉴别可扩展协议TAEP鉴别方法;
1.1)鉴别访问控制器利用TAEP的Request分组和Response分组来获取请求者的TAEP鉴别方法身份;
1.2)鉴别访问控制器利用TAEP的Request分组和Response分组来向鉴别服务器获取TAEP鉴别方法类型;
1.3)鉴别访问控制器选取一种TAEP鉴别方法与请求者、鉴别服务器执行TAEP鉴别方法过程;若步骤1.3)完成后还需要执行TAEP隧道鉴别方法,则执行步骤2),否则,执行步骤1.4);
1.4)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程;
2)请求者、鉴别访问控制器和鉴别服务器执行TAEP隧道鉴别方法;
2.1)请求者和鉴别访问控制器执行隧道方法,建立请求者和鉴别访问控制器之间的安全隧道;
2.1.1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值为TAEP隧道鉴别方法类型,Type-Data字段的值为TAEP隧道鉴别方法启动标识;
2.1.2)请求者和鉴别访问控制器之间交互一系列TAEP的Request分组和Response分组,其中Type字段的值为步骤2.1.1)中的TAEP隧道鉴别方法类型,Type-Data字段的值为Type字段的值对应的隧道方法消息,直至建立请求者和鉴别访问控制器之间的安全隧道;
2.2)请求者、鉴别访问控制器和鉴别服务器在步骤2.1)中建立的安全隧道中执行内TAEP鉴别方法;
2.2.1)鉴别访问控制器利用TAEP的Request分组和Response分组来获取请求者的内TAEP鉴别方法身份;
2.2.2)鉴别访问控制器利用TAEP的Request分组和Response分组来向鉴别服务器获取内TAEP鉴别方法类型;
2.2.3)鉴别访问控制器选取一种内TAEP鉴别方法与请求者、鉴别服务器执行内TAEP鉴别方法过程;
2.2.4)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程。
2.根据权利要求1所述的一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于:所述步骤1.1)的具体步骤如下:
1.1.1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值为Identity;
1.1.2)请求者向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤1.1.1)中TAEP的Request分组中的Type字段,Type-Data字段中包含请求者的TAEP鉴别方法身份。
3.根据权利要求2所述的一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于:所述步骤1.2)的具体步骤如下:
1.2.1)鉴别访问控制器向鉴别服务器发送TAEP的Request分组,其中Type字段的值为TP Authentication,Type-Data字段中包含请求者和鉴别访问控制器的TAEP鉴别方法身份;
1.2.2)鉴别服务器向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤1.2.1)中TAEP的Request分组中的Type字段,Type-Data字段中包含TAEP鉴别方法类型。
4.根据权利要求3所述的一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于:所述步骤1.3)的具体步骤如下:鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一系列TAEP的Request分组和Response分组,其中Type字段为鉴别访问控制器选取的TAEP鉴别方法类型,Type-Data字段中包含Type字段的值对应的TAEP鉴别方法消息。
5.根据权利要求4所述的一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于:所述步骤1.4)的具体步骤如下:
1.4.1)若在步骤1.3)中的TAEP鉴别方法过程中鉴别访问控制器成功认证请求者,则向请求者发送TAEP的Success分组;
1.4.2)若在步骤1.3)中的TAEP鉴别方法过程中鉴别访问控制器不能成功认证请求者,则向请求者发送TAEP的Failure分组。
6.根据权利要求5所述的一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于:所述步骤2.2.1)的具体步骤如下:
2.2.1.1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值为步骤2.2.1)中的TAEP隧道鉴别方法类型,Type-Data字段的值为利用步骤2.1)中建立的安全隧道进行保护的内TAEP鉴别方法包,内TAEP鉴别方法包中的Code字段的值为Request,Type字段的值为Identity;
2.2.1.2)请求者向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤2.2.1.1)中TAEP的Request分组中的Type字段,Type-Data字段的值为利用步骤2.1)中建立的安全隧道进行保护的内TAEP鉴别方法包,内TAEP鉴别方法包中的Code字段的值为Response,Type字段对应步骤2.2.1.1中内TAEP鉴别方法包的Request分组中的Type字段,Type-Data字段中包含请求者的内TAEP鉴别方法身份。
7.根据权利要求6所述的一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于:所述步骤2.2.2)的具体步骤如下:
2.2.2.1)鉴别访问控制器向鉴别服务器发送TAEP的Request分组,其中Type字段的值为TP Authentication,Type-Data字段中包含请求者和鉴别访问控制器的内TAEP鉴别方法身份;
2.2.2.2)鉴别服务器向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤2.2.2.1)中TAEP的Request分组中的Type字段,Type-Data字段中包含内TAEP鉴别方法类型。
8.根据权利要求7所述的一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于:所述步骤2.2.3)的具体步骤如下:鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一系列TAEP的Request分组和Response分组,直到内TAEP鉴别方法过程完成,对于鉴别访问控制器与请求者之间交互的一系列TAEP的Request分组和Response分组,其中Type字段的值为步骤2.2.1)中的TAEP隧道鉴别方法类型,Type-Data字段的值为内TAEP鉴别方法包,内TAEP鉴别方法包的Type字段的值为步骤2.2.3)中鉴别访问控制器选取的内TAEP鉴别方法类型,Type-Data字段中包含Type字段的值对应的内TAEP鉴别方法消息。
9.根据权利要求8所述的一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于:所述步骤2.2.4)的具体步骤如下:
2.2.4.1)若在步骤2.2.3)中的内TAEP鉴别方法过程中鉴别访问控制器成功认证请求者,则向请求者发送TAEP的Success分组;
2.2.4.2)若在步骤2.2.3)中的内TAEP鉴别方法过程中鉴别访问控制器不能成功认证请求者,则向请求者发送TAEP的Failure分组。
10.根据权利要求9所述的一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于:所述步骤2.2.2)中,鉴别访问控制器利用TAEP的Request分组和Response分组来向鉴别服务器获取内TAEP鉴别方法的辅助数据。
CN2009103112703A 2009-12-11 2009-12-11 一种适合三元对等鉴别可信网络连接架构的网络传输方法 Active CN101707621B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN2009103112703A CN101707621B (zh) 2009-12-11 2009-12-11 一种适合三元对等鉴别可信网络连接架构的网络传输方法
PCT/CN2010/073133 WO2011069355A1 (zh) 2009-12-11 2010-05-24 一种适合三元对等鉴别可信网络连接架构的网络传输方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2009103112703A CN101707621B (zh) 2009-12-11 2009-12-11 一种适合三元对等鉴别可信网络连接架构的网络传输方法

Publications (2)

Publication Number Publication Date
CN101707621A CN101707621A (zh) 2010-05-12
CN101707621B true CN101707621B (zh) 2012-05-09

Family

ID=42377811

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009103112703A Active CN101707621B (zh) 2009-12-11 2009-12-11 一种适合三元对等鉴别可信网络连接架构的网络传输方法

Country Status (2)

Country Link
CN (1) CN101707621B (zh)
WO (1) WO2011069355A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101707621B (zh) * 2009-12-11 2012-05-09 西安西电捷通无线网络通信股份有限公司 一种适合三元对等鉴别可信网络连接架构的网络传输方法
CN101989990A (zh) * 2010-11-10 2011-03-23 西安西电捷通无线网络通信股份有限公司 一种适合可信连接架构的安全远程证明方法及系统
CN102006291A (zh) * 2010-11-10 2011-04-06 西安西电捷通无线网络通信股份有限公司 一种适合可信连接架构的网络传输方法及系统
CN109040060B (zh) * 2018-08-01 2021-03-02 广州杰赛科技股份有限公司 终端匹配方法和系统、计算机设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101527718A (zh) * 2009-04-16 2009-09-09 西安西电捷通无线网络通信有限公司 一种建立三元对等鉴别可信网络连接架构的方法
CN101572704A (zh) * 2009-06-08 2009-11-04 西安西电捷通无线网络通信有限公司 一种适合三元对等鉴别可信网络连接架构的访问控制方法
CN101662410A (zh) * 2009-09-22 2010-03-03 西安西电捷通无线网络通信有限公司 一种基于隧道技术的三元鉴别可扩展方法及其系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8266676B2 (en) * 2004-11-29 2012-09-11 Harris Corporation Method to verify the integrity of components on a trusted platform using integrity database services
CN101707621B (zh) * 2009-12-11 2012-05-09 西安西电捷通无线网络通信股份有限公司 一种适合三元对等鉴别可信网络连接架构的网络传输方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101527718A (zh) * 2009-04-16 2009-09-09 西安西电捷通无线网络通信有限公司 一种建立三元对等鉴别可信网络连接架构的方法
CN101572704A (zh) * 2009-06-08 2009-11-04 西安西电捷通无线网络通信有限公司 一种适合三元对等鉴别可信网络连接架构的访问控制方法
CN101662410A (zh) * 2009-09-22 2010-03-03 西安西电捷通无线网络通信有限公司 一种基于隧道技术的三元鉴别可扩展方法及其系统

Also Published As

Publication number Publication date
CN101707621A (zh) 2010-05-12
WO2011069355A1 (zh) 2011-06-16

Similar Documents

Publication Publication Date Title
US11095679B2 (en) Method and apparatus for processing account in blockchain, storage medium, and computer device
CN112749188B (zh) 联盟链中解决子链间数据隔离的数据处理方法及终端
CN110692071A (zh) 基于脚本的区块链交互
CN112615915B (zh) 一种在私有链之间构建联盟链的方法
CN109981639B (zh) 基于区块链的分布式可信网络连接方法
EP2375669B1 (en) Method for protecting the first message of security protocol
CN109359464B (zh) 一种基于区块链技术的无线安全认证方法
CN114255031A (zh) 用于执行交易的跨区块链的系统、跨链交易方法及设备
CN110147666B (zh) 物联网场景下的轻量级nfc身份认证方法、物联网通信平台
CN101741842A (zh) 一种基于可信计算实现可信ssh的方法
JP2022527610A (ja) ブロックチェーンネットワークにおけるブロックを伝搬する方法及び装置
CN112733129B (zh) 一种服务器带外管理的可信接入方法
CN101707621B (zh) 一种适合三元对等鉴别可信网络连接架构的网络传输方法
CN116112187B (zh) 一种远程证明方法、装置、设备及可读存储介质
CN101795281B (zh) 一种适合可信连接架构的平台鉴别实现方法及系统
CN101610273B (zh) 一种安全的远程证明方法
CN101789939B (zh) 一种有效的可信OpenSSH的实现方法
Liou et al. T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs
CN104333541A (zh) 一种可信自助服务系统
CN102137103A (zh) 通过扩展MIKEY协议实现VoIP媒体流可信传输的方法
CN104333450A (zh) 一种可信自助服务系统的建立方法
CN101635709B (zh) 一种可实现双向平台鉴别的方法
CN101662410B (zh) 一种基于隧道技术的三元鉴别可扩展方法及其系统
Bella What is correctness of security protocols?
WO2012083667A1 (zh) 一种适合可信连接架构的平台鉴别过程管理方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant