CN101989990A - 一种适合可信连接架构的安全远程证明方法及系统 - Google Patents
一种适合可信连接架构的安全远程证明方法及系统 Download PDFInfo
- Publication number
- CN101989990A CN101989990A CN 201010547811 CN201010547811A CN101989990A CN 101989990 A CN101989990 A CN 101989990A CN 201010547811 CN201010547811 CN 201010547811 CN 201010547811 A CN201010547811 A CN 201010547811A CN 101989990 A CN101989990 A CN 101989990A
- Authority
- CN
- China
- Prior art keywords
- platform
- authentication protocol
- access controller
- access
- discrimination process
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种适合可信连接架构的安全远程证明方法及系统,该方法包括以下步骤:1)访问控制器启动可信网络连接后,访问控制器和访问请求者在执行平台鉴别过程之前执行鉴别协议;2)访问控制器、访问请求者和策略管理器执行平台鉴别过程,其中平台鉴别过程中的平台鉴别协议中的平台签名与步骤1)中所执行的鉴别协议相互绑定。本发明提供了一种可增强平台鉴别过程中的远程证明的安全性以及增强TCA的安全性的适合可信连接架构的安全远程证明方法及系统。
Description
技术领域
本发明属网络安全技术领域,涉及一种适合可信连接架构的安全远程证明方法及系统。
背景技术
随着信息化的发展,病毒、蠕虫等恶意软件的问题异常突出。目前已经出现了超过三万五千种的恶意软件,每年都有超过四千万的计算机被感染。要遏制住这类攻击,不仅通过解决安全的传输和数据输入时的检查,还要从源头即从每一台连接到网络的终端开始防御,而传统的安全防御技术已经无法防御种类繁多的恶意攻击。
TCG(Trusted Computing Group,国际可信计算组织)针对这个问题,专门制定了一个基于可信计算技术的网络连接规范——TNC(Trusted NetworkConnect,可信网络连接),简记为TCG-TNC,其包括了开放的终端完整性架构和一套确保安全互操作的标准,TCG-TNC架构参见图1所示。
由于TCG-TNC架构中的策略执行点处于网络边缘,且访问请求者不对策略执行点进行平台鉴别,所以该架构存在策略执行点不可信赖的问题。为了解决这一问题,提出了一种基于TePA(Tri-element Peer Authentication,三元对等鉴别)的TNC架构,简称为TCA(Trusted Connect Architecture,可信连接架构),该TCA架构参见图2。
远程证明是指一个实体向远程的另一个实体证明它的平台配置信息。在图2所示的TCA架构中,访问请求者可以基于策略管理器向访问控制器证明它的平台配置信息,而访问控制器也可以基于策略管理器向访问请求者证明它的平台配置信息。TCA的远程证明功能是利用TCA所执行的平台鉴别过程来实现的,其中每一个平台鉴别过程可以包含一轮或多轮平台鉴别协议。
在一个可信网络连接过程中,TCA在执行平台鉴别过程之前可能还执行一个或多个鉴别协议,如:用户鉴别协议和TLS(Transport Layer Security,安全传输层协议),从而使得平台鉴别过程中的远程证明不安全,易造成中间人攻击。在中国无线局域网标准中,用户鉴别协议为基于证书的WAI(Wide AuthenticationInfrastucture,普适的鉴别基础设施)协议或基于预共享密钥的WAI协议,其中基于证书的WAI协议包含证书鉴别过程、单播密钥协商过程和组播密钥协商过程,基于预共享密钥的WAI协议包含单播密钥协商过程和组播密钥协商过程。TLS包含TLS握手协议和TLS记录协议,其中TLS握手协议存在全匿名模式和非全匿名模式。
发明内容
为了解决背景技术中存在的上述技术问题,本发明提供了一种可增强平台鉴别过程中的远程证明的安全性以及增强TCA的安全性的适合可信连接架构的安全远程证明方法及系统。
本发明的技术解决方案是:本发明提供了一种适合可信连接架构的安全远程证明方法,其特殊之处在于:所述适合可信连接架构的安全远程证明方法包括以下步骤:
1)访问控制器启动可信网络连接后,访问控制器和访问请求者在执行平台鉴别过程之前执行鉴别协议;
2)访问控制器、访问请求者和策略管理器执行平台鉴别过程,其中平台鉴别过程中的平台鉴别协议中的平台签名与步骤1)中所执行的鉴别协议相互绑定。
上述步骤1)中访问控制器启动可信网络连接后,访问控制器、访问请求者以及策略管理器在执行平台鉴别过程之前执行鉴别协议。
上述步骤1)中执行的鉴别协议是一个或多个。
上述步骤1)执行的鉴别协议是多个时,所述步骤2)中平台鉴别过程中的每一轮平台鉴别协议中的平台签名与步骤1)中所执行的每一个鉴别协议相互绑定。
对于步骤1)中所执行的每一个鉴别协议,若访问请求者和访问控制器在该鉴别协议中产生访问请求者和访问控制器之间的会话密钥,则步骤2)中所执行的平台鉴别过程中的每一轮平台鉴别协议中的平台签名绑定该会话密钥。
对于步骤1)中所执行的每一个鉴别协议,若访问请求者和访问控制器在该鉴别协议中产生访问请求者和访问控制器之间的主密钥,则步骤2)中所执行的平台鉴别过程中的每一轮平台鉴别协议中的平台签名绑定该主密钥。
对于步骤1)中所执行的每一个鉴别协议,若访问请求者和访问控制器在该鉴别协议中不产生会话密钥和主密钥,则步骤2)中所执行的平台鉴别过程中的每一轮平台鉴别协议中的访问请求者产生的平台签台绑定一个仅能由访问请求者在该鉴别协议中发送的数据项;步骤2)中所执行的平台鉴别过程中的每一轮平台鉴别协议中的访问控制器产生的平台鉴台绑定一个仅能由访问控制器在该鉴别协议中发送的数据项。
一种适合可信连接架构的安全远程证明系统,其特殊之处在于:所述适合可信连接架构的安全远程证明系统包括访问控制器、访问请求者以及策略管理器;所述访问控制器启动可信网络连接后,访问控制器和访问请求者在执行平台鉴别过程之前执行鉴别协议;所述访问控制器、访问请求者和策略管理器执行平台鉴别过程中的平台鉴别协议中的平台签名与访问控制器和访问请求者在执行平台鉴别过程之前执行鉴别协议相互绑定。
上述访问控制器启动可信网络连接后,访问控制器、访问请求者以及策略管理器在执行平台鉴别过程之前执行鉴别协议;所述访问控制器、访问请求者和策略管理器执行平台鉴别过程中的平台鉴别协议中的平台签名与访问控制器和访问请求者在执行平台鉴别过程之前执行鉴别协议相互绑定。
上述访问控制器、访问请求者和策略管理器执行平台鉴别过程中每一轮平台鉴别协议中的平台签名与访问控制器和访问请求者在执行平台鉴别过程之前所执行的每一个鉴别协议相互绑定。
本发明的优点是:
本发明所提供的方法在一个可信网络连接过程中,访问控制器和访问请求者在平台鉴别过程中的每一轮平台鉴别协议中的平台签名中绑定此前执行的一个或多个鉴别协议,该绑定方式可以是绑定主密钥、绑定回话密钥或绑定特定的数据项,无论那种绑定方式都是可以增强平台鉴别过程中的远程证明的安全性,从而增强TCA的安全性。
附图说明
图1是现有技术中TCG-TNC架构示意图;
图2是现有技术中TCA架构示意图。
具体实施方式
本发明提供了一种适合可信连接架构的安全远程证明方法,为了便于理解,本发明提供了以下两个实施例进行详细说明:
实例一:
步骤11)访问控制器启动可信网络连接后,访问控制器、访问请求者和策略管理器执行基于证书的WAI协议中的证书鉴别过程并产生访问控制器和访问请求者之间的主密钥,或者访问控制器和访问请求者执行基于预共享密钥的WAI协议中的单播密钥协商过程并产生访问控制器和访问请求者之间的单播密钥。
步骤12)访问控制器和访问请求者执行基于全匿名模式的TLS握手协议并建立访问控制器和访问请求者之间的TLS隧道密钥以及相关密码套件。
步骤13)访问控制器、访问请求者和策略管理器在步骤12)中建立的TLS隧道密钥以及相关密码套件的保护下执行平台鉴别过程,其中平台鉴别过程中的每一轮平台鉴别协议中的平台鉴名绑定步骤11)中的主密钥或单播密钥,以及绑定步骤12)中的TLS隧道密钥,如:访问控制器或访问请求者在计算平台鉴别过程中的每一轮平台鉴别协议中的平台鉴名时以步骤11)中的主密钥或单播密钥,步骤12)中的TLS隧道密钥作为输入参数。
在步骤13)中,访问控制器和访问请求者之间的平台鉴别过程中的每一轮平台鉴别协议的数据都是利用TLS记录协议进行传输的。
在步骤13)中,平台签名可以是TPM(Trusted Platform Module,可信平台模块)中存储的AIK(Attestation Identity Key,证明身份密钥)签名。
实例二:
步骤21)访问控制器启动可信网络连接后,访问控制器、访问请求者和策略管理器执行一个隧道鉴别协议并建立访问控制器和访问请求者之间的隧道密钥以及相关密码套件。
步骤22)访问控制器、访问请求者和策略管理器在步骤21)中建立的隧道密钥以及相关密码套件的保护下执行平台鉴别过程,其中平台鉴别过程中的每一轮平台鉴别协议中的平台签名绑定步骤21)中的隧道密钥,如:访问控制器或访问请求者在计算平台鉴别过程中的每一轮平台鉴别协议中的平台签名时以步骤21)中的隧道密钥作为输入参数。
在步骤21)中,隧道鉴别协议可以由基于证书的WAI协议中的证书鉴别过程和单播密钥协商过程,TLS握手协议中密码套件协商过程和除TLS握手协议外的TLS共同构成。
在步骤22)中,访问控制器和访问请求者之间的平台鉴别过程中的每一轮平台鉴别协议的数据都是利用TLS记录协议进行传输的。
在步骤22)中,平台签名可以是TPM中存储的AIK签名。
本发明还提供了一种适合可信连接架构的安全远程证明系统,该系统包括访问控制器、访问请求者以及策略管理器;访问控制器启动可信网络连接后,访问控制器和访问请求者在执行平台鉴别过程之前执行鉴别协议;访问控制器、访问请求者和策略管理器执行平台鉴别过程中的平台鉴别协议中的平台签名与访问控制器和访问请求者在执行平台鉴别过程之前执行鉴别协议相互绑定。
访问控制器启动可信网络连接后,访问控制器、访问请求者以及策略管理器在执行平台鉴别过程之前执行鉴别协议;访问控制器、访问请求者和策略管理器执行平台鉴别过程中的平台鉴别协议中的平台签名与访问控制器和访问请求者在执行平台鉴别过程之前执行鉴别协议相互绑定。
访问控制器、访问请求者和策略管理器执行平台鉴别过程中每一轮平台鉴别协议中的平台签名与访问控制器和访问请求者在执行平台鉴别过程之前所执行的每一个鉴别协议相互绑定。
Claims (10)
1.一种适合可信连接架构的安全远程证明方法,其特征在于:所述适合可信连接架构的安全远程证明方法包括以下步骤:
1)访问控制器启动可信网络连接后,访问控制器和访问请求者在执行平台鉴别过程之前执行鉴别协议;
2)访问控制器、访问请求者和策略管理器执行平台鉴别过程,其中平台鉴别过程中的平台鉴别协议中的平台签名与步骤1)中所执行的鉴别协议相互绑定。
2.根据权利要求1所述的适合可信连接架构的安全远程证明方法,其特征在于:所述步骤1)中访问控制器启动可信网络连接后,访问控制器、访问请求者以及策略管理器在执行平台鉴别过程之前执行鉴别协议。
3.根据权利要求1或2所述的适合可信连接架构的安全远程证明方法,其特征在于:所述步骤1)中执行的鉴别协议是一个或多个。
4.根据权利要求3所述的适合可信连接架构的安全远程证明方法,其特征在于:所述步骤1)执行的鉴别协议是多个时,所述步骤2)中平台鉴别过程中的每一轮平台鉴别协议中的平台签名与步骤1)中所执行的每一个鉴别协议相互绑定。
5.根据权利要求4所述的适合可信连接架构的安全远程证明方法,其特征在于:对于步骤1)中所执行的每一个鉴别协议,若访问请求者和访问控制器在该鉴别协议中产生访问请求者和访问控制器之间的会话密钥,则步骤2)中所执行的平台鉴别过程中的每一轮平台鉴别协议中的平台签名绑定该会话密钥。
6.根据权利要求4所述的适合可信连接架构的安全远程证明方法,其特征在于:对于步骤1)中所执行的每一个鉴别协议,若访问请求者和访问控制器在该鉴别协议中产生访问请求者和访问控制器之间的主密钥,则步骤2)中所执行的平台鉴别过程中的每一轮平台鉴别协议中的平台签名绑定该主密钥。
7.根据权利要求4所述的适合可信连接架构的安全远程证明方法,其特征在于:对于步骤1)中所执行的每一个鉴别协议,若访问请求者和访问控制器在该鉴别协议中不产生会话密钥和主密钥,则步骤2)中所执行的平台鉴别过程中的每一轮平台鉴别协议中的访问请求者产生的平台签台绑定一个仅能由访问请求者在该鉴别协议中发送的数据项;步骤2)中所执行的平台鉴别过程中的每一轮平台鉴别协议中的访问控制器产生的平台鉴台绑定一个仅能由访问控制器在该鉴别协议中发送的数据项。
8.一种适合可信连接架构的安全远程证明系统,其特征在于:所述适合可信连接架构的安全远程证明系统包括访问控制器、访问请求者以及策略管理器;所述访问控制器启动可信网络连接后,访问控制器和访问请求者在执行平台鉴别过程之前执行鉴别协议;所述访问控制器、访问请求者和策略管理器执行平台鉴别过程中的平台鉴别协议中的平台签名与访问控制器和访问请求者在执行平台鉴别过程之前执行鉴别协议相互绑定。
9.根据权利要求8所述的适合可信连接架构的安全远程证明系统,其特征在于:所述访问控制器启动可信网络连接后,访问控制器、访问请求者以及策略管理器在执行平台鉴别过程之前执行鉴别协议;所述访问控制器、访问请求者和策略管理器执行平台鉴别过程中的平台鉴别协议中的平台签名与访问控制器和访问请求者在执行平台鉴别过程之前执行鉴别协议相互绑定。
10.根据权利要求8或9所述的适合可信连接架构的安全远程证明系统,其特征在于:所述访问控制器、访问请求者和策略管理器执行平台鉴别过程中每一轮平台鉴别协议中的平台签名与访问控制器和访问请求者在执行平台鉴别过程之前所执行的每一个鉴别协议相互绑定。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010547811 CN101989990A (zh) | 2010-11-10 | 2010-11-17 | 一种适合可信连接架构的安全远程证明方法及系统 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010539124.9 | 2010-11-10 | ||
| CN201010539124 | 2010-11-10 | ||
| CN 201010547811 CN101989990A (zh) | 2010-11-10 | 2010-11-17 | 一种适合可信连接架构的安全远程证明方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101989990A true CN101989990A (zh) | 2011-03-23 |
Family
ID=43746333
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010547811 Pending CN101989990A (zh) | 2010-11-10 | 2010-11-17 | 一种适合可信连接架构的安全远程证明方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101989990A (zh) |
| WO (1) | WO2012062136A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012062136A1 (zh) * | 2010-11-10 | 2012-05-18 | 西安西电捷通无线网络通信股份有限公司 | 适合可信连接架构的安全远程证明方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610273A (zh) * | 2009-08-03 | 2009-12-23 | 西安西电捷通无线网络通信有限公司 | 一种安全的远程证明方法 |
| CN101707621A (zh) * | 2009-12-11 | 2010-05-12 | 西安西电捷通无线网络通信有限公司 | 一种适合三元对等鉴别可信网络连接架构的网络传输方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8549295B2 (en) * | 2006-05-31 | 2013-10-01 | Microsoft Corporation | Establishing secure, mutually authenticated communication credentials |
| CN101136928B (zh) * | 2007-10-19 | 2012-01-11 | 北京工业大学 | 一种可信网络接入控制系统 |
| CN101344903A (zh) * | 2008-09-02 | 2009-01-14 | 中国科学院软件研究所 | 基于tpm的多实例动态远程证明方法 |
| CN101795281B (zh) * | 2010-03-11 | 2012-03-28 | 西安西电捷通无线网络通信股份有限公司 | 一种适合可信连接架构的平台鉴别实现方法及系统 |
| CN101989990A (zh) * | 2010-11-10 | 2011-03-23 | 西安西电捷通无线网络通信股份有限公司 | 一种适合可信连接架构的安全远程证明方法及系统 |
-
2010
- 2010-11-17 CN CN 201010547811 patent/CN101989990A/zh active Pending
-
2011
- 2011-08-02 WO PCT/CN2011/077900 patent/WO2012062136A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610273A (zh) * | 2009-08-03 | 2009-12-23 | 西安西电捷通无线网络通信有限公司 | 一种安全的远程证明方法 |
| CN101707621A (zh) * | 2009-12-11 | 2010-05-12 | 西安西电捷通无线网络通信有限公司 | 一种适合三元对等鉴别可信网络连接架构的网络传输方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012062136A1 (zh) * | 2010-11-10 | 2012-05-18 | 西安西电捷通无线网络通信股份有限公司 | 适合可信连接架构的安全远程证明方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2012062136A1 (zh) | 2012-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101741842B (zh) | 一种基于可信计算实现可信ssh的方法 | |
| CN101431517B (zh) | 一种基于三元对等鉴别的可信网络连接握手方法 | |
| CA2895522A1 (en) | System and method for monitoring data in a client environment | |
| CN104038478A (zh) | 一种嵌入式平台身份验证可信网络连接方法和系统 | |
| WO2014105914A1 (en) | Security enclave device to extend a virtual secure processing environment to a client device | |
| CN101610273B (zh) | 一种安全的远程证明方法 | |
| CN101789939B (zh) | 一种有效的可信OpenSSH的实现方法 | |
| Thakur et al. | Cryptographically secure privacy-preserving authenticated key agreement protocol for an IoT network: A step towards critical infrastructure protection | |
| CN101795281A (zh) | 一种适合可信连接架构的平台鉴别实现方法及系统 | |
| Andola et al. | An enhanced smart card and dynamic ID based remote multi-server user authentication scheme | |
| US11689517B2 (en) | Method for distributed application segmentation through authorization | |
| Dong et al. | Blockchain technology and application: an overview | |
| Kim et al. | Puf-based iot device authentication scheme on iot open platform | |
| CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
| Xu et al. | Fog-enabled private blockchain-based identity authentication scheme for smart home | |
| CN101834852B (zh) | 一种保护平台信息的可信OpenSSH的实现方法 | |
| CN101707621B (zh) | 一种适合三元对等鉴别可信网络连接架构的网络传输方法 | |
| CN101888383B (zh) | 一种可扩展的可信ssh的实现方法 | |
| CN101572706B (zh) | 一种适合三元对等鉴别可信网络连接架构的平台鉴别消息管理方法 | |
| CN102098397A (zh) | 一种基于ZRTP密钥交换的VoIP媒体流可信传输的实现方法 | |
| CN101989990A (zh) | 一种适合可信连接架构的安全远程证明方法及系统 | |
| Basic et al. | Trust your BMS: Designing a Lightweight Authentication Architecture for Industrial Networks | |
| Liu et al. | Risk-based dynamic identity authentication method based on the UCON model | |
| CN106973067A (zh) | 一种平台环境完整性检测方法和装置 | |
| Reddy | A study of security threats and attacks in cloud computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110323 |