JP5093350B2 - 安全性が強化されたトラステッドネットワークコネクト方法 - Google Patents
安全性が強化されたトラステッドネットワークコネクト方法 Download PDFInfo
- Publication number
- JP5093350B2 JP5093350B2 JP2010518481A JP2010518481A JP5093350B2 JP 5093350 B2 JP5093350 B2 JP 5093350B2 JP 2010518481 A JP2010518481 A JP 2010518481A JP 2010518481 A JP2010518481 A JP 2010518481A JP 5093350 B2 JP5093350 B2 JP 5093350B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- requester
- aik
- tpm
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/127—Trusted platform modules [TPM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Description
(1)ネットワークアクセス要求者がポリシー実行者にアクセス要求を発する。
(2)ポリシー実行者がアクセス要求の記述をネットワークアクセス授権者に送信する。
(3)ネットワークアクセス授権者が、ネットワークアクセス要求者のアクセス要求の記述を受信すると、ネットワークアクセス要求者のユーザ認証プロトコルを実行する。ユーザ認証に成功すると、ネットワークアクセス授権者は、アクセス要求とユーザ認証成功の情報をTNCサーバーに送信する。
(4)TNCサーバーは、ネットワークアクセス授権者から送信されたアクセス要求とユーザ認証成功の情報を受信すると、TNCクライアントと双方向のプラットフォームの証明書の認証の実行を開始し、例えば、プラットフォームの身元確認キーAIKを検証する。
(5)プラットフォームの証明書の認証に成功すると、TNCクライアントは、完全性收集者IMCに、一つの新たなネットワーク接続が開始され、且つ一つの完全性ハンドシェークプロトコルを行う必要があることを通知する。完全性收集者IMCは、完全性計測の收集インタフェースIF-IMCを介して必要とされるプラットフォームの完全性情報を返送する。TNCサーバーは、これらのプラットフォームの完全性情報を完全性計測のチェックインタフェースIF-IMVを介して完全性チェック者IMVに渡す。
(6)完全性ハンドシェークプロトコルの過程において、TNCサーバーが満足になるまで、TNCクライアントは、TNCサーバーと一回又は数回のデータのやり取りを行う必要がある。
(7)TNCサーバーは、TNCクライアントに対する完全性ハンドシェークプロトコルを完了すると、一つの推薦状をネットワークアクセス授権者に送信して、アクセスの許可を要求する。また他の安全考慮があれば、このとき、アクセス授権者は、アクセス要求者からのアクセスを許可しなくても良い。
(8)ネットワークのアクセス授権者は、アクセスの決定をポリシー実行者に伝送し、ポリシー実行者は、最終的にこの決定を実行して、アクセス要求者のアクセスを制御する。
安全性が強化されたトラステッドネットワークコネクト方法であって、以下のステップを含み、即ち、
(1.)初期化ステップ:
(1.1)アクセス要求者のTNCクライアントとアクセス授権者のTNCサーバーが、予めプラットフォームの完全性情報を用意しておき、それぞれの完全性計測レイヤーの完全性收集者IMCに渡す。
(1.2)TNCクライアントとTNCサーバーは、予め完全性の検証要求を制定しておく。この完全性の検証要求には、アクセス要求者とアクセス授権者が互いに相手に検証を要求するPCRsテーブルを含む。
(1.3)アクセス要求者とアクセス授権者とのトラステッドプラットフォームモジュールTPMは、ネットワークポリシーに必要とされたプラットフォーム情報をハッシュしてからプラットフォームのコンフィギュレーションレジスタPCRsに記憶する。
(2.)ユーザ認証ステップ:
(2.1)ネットワークアクセスレイヤーにおいて、ネットワークアクセス要求者は、ポリシー実行者にアクセス要求を発し、ポリシー実行者は、このアクセス要求をネットワークアクセス授権者に転送する。
(2.2)ネットワークアクセス授権者は、アクセス要求を受信すると、双方向のユーザの認証過程を開始し、ネットワークアクセスレイヤーのネットワークアクセス要求者と、ネットワークアクセス授権者とユーザ認証サービスユニットとの間で、三重要素の対等認証プロトコルの実行が開始されて、アクセス要求者とアクセス授権者との双方向のユーザ認証及びキーネゴシエーションが実現される。その後、ネットワークアクセス授権者は、双方向のユーザ認証過程で生成されたメインキーを予め確立されたセキュアチャネルによって、ポリシー実行ポイントに伝送する。最後に、ポリシー実行ポイントは、メインキーを利用して、アクセス要求者とのキーネゴシエーションを行う。
(2.3)双方向のユーザ認証が成功すると、ネットワークアクセス要求者とネットワークアクセス授権者は、ユーザ認証成功の情報をそれぞれ完全性評価レイヤーのTNCクライアントとTNCサーバーに送信する。
(3.)完全性評価ステップ:
アクセス授権者のTNCサーバーがネットワークアクセス授権者から送信されたユーザ認証成功の情報を受信すると、完全性評価レイヤーと完全性計測レイヤーにおいて、アクセス授権者のTNCサーバーと、アクセス要求者のTNCクライアントとポリシー管理機のプラットフォーム評価サービスユニットは、三重要素の対等認証プロトコルにより、アクセス要求者とアクセス授権者との双方向のプラットフォームの完全性評価を実現する。このプラットフォームの完全性評価の過程において、アクセス授権者のTNCサーバーと、アクセス要求者のTNCクライアントとポリシー管理機のプラットフォーム評価サービスユニットは、上位レイヤーの完全性收集者、完全性チェック者との情報のやり取りを行う。
(4.)アクセス制御ステップ:
TNCサーバーとTNCクライアントとのそれぞれは、アクセス授権者とアクセス要求者のプラットフォームの完全性の評価結果をまとめて、その後、ネットワークアクセス授権者とネットワークアクセス要求者のそれぞれに推薦を送信し、ネットワークアクセス要求者とネットワークアクセス授権者とのそれぞれは、それぞれ受信した推薦に従って、ポートを制御して、アクセス要求者とアクセス授権者との相互のアクセス制御を実現する。
アクセス要求者がアクセス授権者のプラットフォームの完全性を検証する。これに対し、アクセス授権者はアクセス要求者の完全性を検証し、
ポリシー管理機がアクセス要求者とアクセス授権者のAIK証明書の有効性を検証することである。
(3.1.1)アクセス授権者のTNCサーバーがネットワークアクセス授権者から送信されたユーザ認証成功の情報を受信したとき、又はユーザ認証が成功したことが確認されたときに、アクセス授権者は、アクセス要求者に以下の情報を送信する。即ち、
(a).アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSと、(b).アクセス授権者のAIK証明書CertAC−AIKと、(c).アクセス授権者がアクセス要求者に要求したPCRsテーブルPCRsListARと、である。
(3.1.2)アクセス要求者は前記ステップ(3.1.1)においてアクセス授権者から送信された情報を受信すると、まず、アクセス授権者から要求されたPCRsテーブルに従って、相応するPCRs値をトラステッドプラットフォームモジュールTPMへ抽出する。その後、トラステッドプラットフォームモジュールTPMにおいて、AIKプライベートキーを利用して、トラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSを署名する。最後に、アクセス要求者は、アクセス授権者に以下のような情報を送信する。即ち、
(a).アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSと、(b).アクセス要求者のトラステッドプラットフォームモジュールTPMが産生した乱数NARと、(c).アクセス要求者のAIK証明書CertAR−AIKと、(d).アクセス要求者がアクセス授権者に要求したPCRsテーブルPCRsListACと、(e).アクセス授権者から要求されたPCRs値PCRsARと、(f).アクセス授権者から要求されたPCRs値に対応する計測ログLogARと、(g).アクセス要求者がトラステッドプラットフォームモジュールTPMにおいて、AIKプライベートキーを利用して、トラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSに対して行った署名とである。
(3.1.3)アクセス授権者は、前記ステップ(3.1.2)においてアクセス要求者から送信された情報を受信すると、まず、トラステッドプラットフォームモジュールTPMに、アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSの一致性を検証させる。次に、アクセス要求者のAIK証明書の中の公開キーを利用して、アクセス要求者のAIK署名の有効性を検証する。その後、アクセス授権者がアクセス要求者に要求したPCRs値と、アクセス授権者から要求されたPCRs値に対応する計測ログLogAR及びデータベースから提供された標準の完全性の計測値を利用して、アクセス要求者のプラットフォームの完全性に対するチェックを行い、アクセス授権者のアクセス要求者のプラットフォームの完全性に対するチェック結果を生成する。最後に、アクセス授権者は、ポリシー管理機に以下の情報を送信する。即ち、
(a).アクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARと、(b).アクセス授権者のユーザが生成した乱数NACと、(c).アクセス要求者のAIK証明書と、(d).アクセス授権者のAIK証明書とである。
(3.1.4)ポリシー管理機は、前記ステップ(3.1.3)においてアクセス授権者から送信された情報を受信すると、まず、アクセス要求者とアクセス授権者のAIK証明書に対する検証を行って、アクセス要求者とアクセス授権者の証明書検証結果Resu1tAIKを生成する。この証明書検証結果は、アクセス授権者のユーザが生成した乱数NACと、アクセス要求者のAIK証明書CertAR−AIKと、アクセス要求者のAIK証明書の検証結果ReAR−AIKと、アクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARと、アクセス授権者のAIK証明書CertAC−AIKと、アクセス授権者のAIK証明書の検証結果ReAC−AIKとを含む。その後、ポリシー管理機の身元証明書に対応するプライベートキーを利用して、証明書の検証結果に対して署名する。最後に、ポリシー管理機は、アクセス授権者に生成した証明書の検証結果ResultAIK及び証明書の検証結果ResultAIKに対する署名[ResultAIK]Sigを送信する。
(3.1.5)アクセス授権者は、前記ステップ(3.1.4)においてポリシー管理機から送信された情報を受信すると、まず、アクセス授権者のユーザが生成した乱数NACとアクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARとの一致性を検証し、ポリシー管理機の身元証明書に対応する公開キーを利用して、ポリシー管理機の署名の有効性を検証する。次に、証明書の検証結果に従って、アクセス要求者のAIK証明書の有効性を検証し、アクセス授権者のアクセス要求者に対するプラットフォームの完全性のチェック結果を利用して、プラットフォームの完全性の評価結果を生成する。その後、アクセス要求者から要求されたPCRsテーブルに従って、相応するPCRs値をトラステッドプラットフォームモジュールTPMへ抽出し、トラステッドプラットフォームモジュールTPMにおいて、AIKプライベートキーを利用して、トラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARに対して署名する。最後に、アクセス授権者は、アクセス要求者に以下のような情報を送信する。即ち、
(a).ステップ(3.1.4)においてポリシー管理機から送信されたメッセージ内容と、(b).アクセス要求者のトラステッドプラットフォームモジュールTPMで生成した乱数NARと、(c).アクセス授権者のユーザが生成した乱数NACと、(d).アクセス要求者から要求されたPCRs値PCRsACと、(e).アクセス要求者から要求されたPCRs値に対応する計測ログLogACと、(f).アクセス授権者がトラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARに対して行った署名である。
(3.1.6)アクセス要求者は、前記ステップ(3.1.5)においてアクセス授権者から送信された情報を受信すると、まず、ポリシー管理機の身元証明書に対応する公開キーで、ポリシー管理機の署名の有効性を検証する。次に、アクセス要求者は、アクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARの一致性を検証し、アクセス授権者のAIK証明書の中の公開キーで、アクセス授権者のAIK署名の有効性を検証し、続いて、証明書の検証結果に従って、アクセス授権者のAIK証明書の有効性を検証する。その後、アクセス要求者がアクセス授権者に要求したPCRs値と、アクセス要求者から要求されたPCRs値に対応する計測ログLogAC及びデータベースから提供された標準の完全性の計測値を用いて、アクセス授権者のプラットフォーム完全性に対してチェックして、アクセス授権者のプラットフォーム完全性のチェック結果を生成する。最後に、アクセス要求者は、アクセス授権者のAIK証明書の有効性とアクセス授権者に対するプラットフォームの完全性のチェック結果に従って、プラットフォームの完全性の評価結果を生成する。
ポリシー管理機はアクセス要求者とアクセス授権者のプラットフォームの完全性をチェックし、
ポリシー管理機は、アクセス要求者とアクセス授権者のAIK証明書の有効性を検証する。
(3.2.1)アクセス授権者は、ネットワークアクセス授権者から送信されたユーザ認証成功の情報を受信すると、アクセス要求者に以下の情報を送信する。即ち、
(a).アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSと、(b).アクセス授権者のAIK証明書CertAC−AIKと、(c).アクセス授権者がアクセス要求者に要求したPCRsテーブルPCRsListARである。
(3.2.2)アクセス要求者は、前記ステップ(3.2.1)においてアクセス授権者から送信された情報を受信すると、まず、アクセス授権者から要求されたPCRsテーブルに従って、相応するPCRs値をトラステッドプラットフォームモジュールTPMへ抽出する。その後、トラステッドプラットフォームモジュールTPMにおいて、AIKプライベートキーで、トラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数Nsに対して署名する。最後に、アクセス要求者は、アクセス授権者に以下のような情報を送信する。即ち、
(a).アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSと、(b).アクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARと、(c).アクセス要求者のAIK証明書CertAR−AIKと、(d).アクセス要求者がアクセス授権者に要求したPCRsテーブルPCRsListACと、(e).アクセス授権者から要求されたPCRs値PCRsARと、(f).アクセス授権者から要求されたPCRs値に対応する計測ログLogARと、(g).アクセス要求者がトラステッドプラットフォームモジュールTPMにおいてAIKプライベートキーを利用してトラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSに対して行った署名とである。
(3.2.3)アクセス授権者は、前記ステップ(3.2.2)においてアクセス要求者から送信された情報を受信すると、まず、トラステッドプラットフォームモジュールTPMに、アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSの一致性を検証させ、アクセス要求者のAIK証明書の中の公開キーを利用してアクセス要求者のAIK署名の有効性を検証し、続いて、アクセス要求者から要求されたPCRsテーブルに従って、相応するPCRs値をトラステッドプラットフォームモジュールTPMへ抽出する。その後、アクセス授権者は、トラステッドプラットフォームモジュールTPMにおいて、AIKプライベートキーを利用して、トラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARに対して署名する。最後に、アクセス授権者は、ポリシー管理機に以下の情報を送信する。即ち、
(a).アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSと、(b).アクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARと、(c).アクセス要求者のAIK証明書CertAR−AIKと、(d).アクセス授権者から要求されたPCRs値PCRsARと、(e).アクセス授権者から要求されたPCRs値に対応する計測ログLogARと、(f).アクセス要求者がトラステッドプラットフォームモジュールTPMにおいてAIKプライベートキーを利用してトラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSに対して行った署名と、(g).アクセス授権者のユーザが生成した乱数NACと、(h).アクセス授権者のAIK証明書CertAC−AIKと、(i).アクセス要求者から要求されたPCRs値PCRsACと、(j).アクセス要求者から要求されたPCRs値に対応する計測ログLogACと、(k).アクセス授権者がトラステッドプラットフォームモジュールTPMにおいてAIKプライベートキーを利用してトラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARに対して行った署名とである。
(3.2.4)ポリシー管理機は前記ステップ(3.2.3)においてアクセス授権者から送信された情報を受信すると、まず、アクセス要求者とアクセス授権者とのそれぞれのAIK証明書に対応する公開キーを利用して、アクセス要求者とアクセス授権者のAIK署名の有効性及びAIK証明書の有効性を検証する。その後、アクセス要求者とアクセス授権者とのそれぞれのトラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値の計測ログとデータベースの中の標準の完全性の計測値に応じて、新たに相応するPCRs値を算出し、且つ、ステップ(3.2.3)においてアクセス授権者から送信されたメッセージの中の対応するPCRs値と比較し、続いて、アクセス要求者とアクセス授権者のAIK証明書認証とプラットフォームの完全性のチェック結果ResultAIK−PCRsを生成し、ポリシー管理機の身元証明書に対応するプライベートキーで、生成されたAIK証明書認証とプラットフォームの完全性のチェック結果に対して、署名[ResultAIK−PCRs]Sigを行う。最後に、アクセス授権者に、アクセス要求者とアクセス授権者のAIK証明書認証とプラットフォームの完全性のチェック結果ResultAIK−PCRs及びポリシー管理機のアクセス要求者とアクセス授権者のAIK証明書認証とプラットフォームの完全性のチェック結果に対する署名[ResultAIK−PCRs]Sigを送信する。前記のアクセス要求者とアクセス授権者のAIK証明書認証とプラットフォームの完全性のチェック結果ResultAIK−PCRsは、
(a).アクセス授権者のユーザが生成した乱数NACと、(b).アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSと、(c).アクセス要求者のAIK証明書CertAR−AIKと、(d).アクセス授権者から要求されたPCRs値PCRsARと、(e).アクセス要求者に対するプラットフォームの完全性のチェック結果ReARと、(f).アクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARと、(g).アクセス授権者のAIK証明書CertAC−AIKと、(h).アクセス要求者から要求されたPCRs値PCRsACと、(i)アクセス授権者に対するプラットフォームの完全性のチェック結果ReACと、(j).アクセス要求者のAIK証明書の検証結果ReAR−AIKと、(k).アクセス授権者のAIK証明書の検証結果ReAC−AIKと、を含む。
(3.2.5)アクセス授権者は、前記ステップ(3.2.4)においてポリシー管理機から送信された情報を受信すると、まず、アクセス授権者のユーザが生成した乱数NACとステップ(3.2.4)においてポリシー管理機から送信された情報の中のアクセス授権者のユーザが生成した乱数NACとが一致するかどうかを検証し、ポリシー管理機のユーザの署名の有効性を検証する。続いて、トラステッドプラットフォームモジュールTPMに、アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSの一致性を検証させ、アクセス要求者のAIK証明書CertAR−AIKとアクセス授権者から要求されたPCRs値PCRsARとの一致性を検証する。その後、アクセス要求者のAIK証明書の検証結果ReAR−AIKとアクセス要求者に対するプラットフォームの完全性のチェック結果ReARを検証して、アクセス要求者のプラットフォームの完全性の評価結果を生成する。最後に、アクセス授権者は、アクセス要求者に、ステップ(3.2.4)の中の情報と、アクセス授権者がトラステッドプラットフォームモジュールTPMにおいてAIKプライベートキーを利用してトラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARに対して行った署名を送信する。
(3.2.6)アクセス要求者は、前記ステップ(3.2.5)においてアクセス授権者から送信された情報を受信すると、まず、アクセス授権者のAIK署名の有効性とポリシー管理機のユーザの署名の有効性を検証する。その後、トラステッドプラットフォームモジュールTPMに、アクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARの一致性を検証させる。続いて、アクセス授権者のAIK証明書とアクセス要求者から要求されたPCRs値の一致性を検証する。最後に、アクセス授権者のAIK証明書の検証結果ReAC−AIKとアクセス授権者に対するプラットフォームの完全性のチェック結果ReACを検証して、アクセス要求者のプラットフォームの完全性の評価結果を生成する。
1)アクセス授権者のプラットフォームの完全性チェックがTNCクライアントで行われ、アクセス要求者のプラットフォームの完全性チェックがTNCサーバーで行われるプラットフォーム完全性チェックと、
2)三重要素の対等認証プロトコルに従ってアクセス要求者とアクセス授権者のプラットフォームの証明書認証が実現され、アクセス要求者とアクセス授権者のAIK証明書認証のいずれも、プラットフォーム評価サービスユニットにより実現されるプラットフォームの証明書認証と、である。
1)アクセス要求者とアクセス授権者のプラットフォームの完全性チェックのいずれも、プラットフォーム評価サービスユニットにより完成されるプラットフォームの完全性チェックと、
2)三重要素の対等認証プロトコルに従ってアクセス要求者とアクセス授権者のプラットフォームの証明書認証が実現され、アクセス要求者とアクセス授権者のAIK証明書の有効性の検証のいずれも、プラットフォーム評価サービスユニットにより完成されるプラットフォームの証明書認証と、である。
(1.)初期化を行う。ネットワーク接続が確立される前に、以下のステップを行う。即ち、
(1.1)アクセス要求者のTNCクライアントとアクセス授権者のTNCサーバーとは、予めプラットフォームの完全性情報を用意しておき、それぞれの完全性計測レイヤーの完全性收集者IMCに渡す。
(1.2)TNCクライアントとTNCサーバーは、予め完全性の検証要求を制定しておく。この完全性の検証要求には、アクセス要求者とアクセス授権者が互いに相手に検証を要求するPCRsテーブルを含む。第一のプラットフォーム完全性評価の方式の場合には、TNCクライアントとTNCサーバーは予め制定された完全性の検証要求を直接にアクセス要求者とアクセス授権者の完全性チェック者IMVに渡す。第二のプラットフォーム完全性評価の方式の場合には、TNCクライアントとTNCサーバーは、プラットフォームの完全性評価の過程において、はじめて予め制定された完全性の検証要求をポリシー管理機の完全性チェック者IMVに渡す。
(1.3)アクセス要求者とアクセス授権者のトラステッドプラットフォームモジュールTPMは、ネットワークポリシーに必要とされるプラットフォーム情報をハッシュしてから、プラットフォームコンフィギュレーションレジスタPCRsに記憶する。
(2.1)ネットワークアクセスレイヤーにおいて、ネットワークアクセス要求者は、ポリシー実行者にアクセス要求を発し、ポリシー実行者は、このアクセス要求をネットワークアクセス授権者に転送する。
(2.2)ネットワークアクセス授権者は、アクセス要求を受信すると、双方向のユーザの認証過程を開始し、ネットワークアクセスレイヤーのネットワークアクセス要求者と、ネットワークアクセス授権者とユーザ認証サービスユニットとの間で、三重要素の対等認証プロトコルの実行が開始されて、アクセス要求者とアクセス授権者との双方向のユーザ認証及びキーネゴシエーションが実現される。その後、ネットワークアクセス授権者は、双方向のユーザ認証過程で生成されたメインキーを予め確立されたセキュアチャネルによって、ポリシー実行ポイントに伝送する。最後に、ポリシー実行ポイントは、メインキーを利用して、アクセス要求者とのキーネゴシエーションを行う。
(2.3)双方向のユーザ認証が成功すると、ネットワークアクセス要求者とネットワークアクセス授権者は、ユーザ認証成功の情報をそれぞれ完全性評価レイヤーのTNCクライアントとTNCサーバーに送信する。
アクセス授権者のTNCサーバーがネットワークアクセス授権者から送信されたユーザ認証成功の情報を受信すると、完全性評価レイヤーと完全性計測レイヤーにおいて、アクセス授権者のTNCサーバーと、アクセス要求者のTNCクライアントとポリシー管理機のプラットフォーム評価サービスユニットは、三重要素の対等認証プロトコルにより、アクセス要求者とアクセス授権者との双方向のプラットフォームの完全性評価を実現する。当該プラットフォーム完全性評価の過程には、一回又は数回のデータのやり取りを行う必要があるかもしれない。
(3.1.1)アクセス授権者のTNCサーバーがネットワークアクセス授権者から送信されたユーザ認証成功の情報を受信したとき、又はユーザ認証が成功したことが確認されたときに、アクセス授権者は、アクセス要求者に以下の情報を送信する。即ち、
(a).アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSと、(b).アクセス授権者のAIK証明書CertAC−AIKと、(c).アクセス授権者がアクセス要求者に要求するPCRsテーブルPCRsListARと、である。
(a).アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSと、(b).アクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARと、(c).アクセス要求者のAIK証明書CertAR−AIKと、(d).アクセス要求者がアクセス授権者に要求するPCRsテーブルPCRsListACと、(e).アクセス授権者から要求されたPCRs値PCRsARと、(f).アクセス授権者から要求されたPCRs値に対応する計測ログLogARと、(g).アクセス要求者がトラステッドプラットフォームモジュールTPMにおいて、AIKプライベートキーを利用して、トラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSに対して行った署名とである。
(a).アクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARと、(b).アクセス授権者のユーザが生成した乱数NACと、(c).アクセス要求者のAIK証明書と、(d).アクセス授権者のAIK証明書とである。
(a).ステップ(3.1.4)においてポリシー管理機から送信されたメッセージ内容と、(b).アクセス要求者のトラステッドプラットフォームモジュールTPMで生成した乱数NARと、(c).アクセス授権者のユーザが生成した乱数NACと、(d).アクセス要求者から要求されたPCRs値PCRsACと、(e).アクセス要求者から要求されたPCRs値に対応する計測ログLogACと、(f).アクセス授権者がトラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARに対して行った署名である。
(3.2.1)アクセス授権者は、ネットワークアクセス授権者から送信されたユーザ認証成功の情報を受信すると、アクセス要求者に以下の情報を送信する。即ち、
(a).アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSと、(b).アクセス授権者のAIK証明書CertAC−AIKと、(c).アクセス授権者がアクセス要求者に要求するPCRsテーブルPCRsListARである。
(a).アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSと、(b).アクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARと、(c).アクセス要求者のAIK証明書CertAR−AIKと、(d).アクセス要求者がアクセス授権者に要求するPCRsテーブルPCRsListACと、(e).アクセス授権者から要求されたPCRs値PCRsARと、(f).アクセス授権者から要求されたPCRs値に対応する計測ログLogARと、(g).アクセス要求者がトラステッドプラットフォームモジュールTPMにおいてAIKプライベートキーを利用してトラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSに対して行った署名とである。
(a).アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSと、(b).アクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARと、(c).アクセス要求者のAIK証明書CertAR−AIKと、(d).アクセス授権者から要求されたPCRs値PCRsARと、(e).アクセス授権者から要求されたPCRs値に対応する計測ログLogARと、(f).アクセス要求者がトラステッドプラットフォームモジュールTPMにおいてAIKプライベートキーを利用してトラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSに対して行った署名と、(g).アクセス授権者のユーザが生成した乱数NACと、(h).アクセス授権者のAIK証明書CertAC−AIKと、(i).アクセス要求者から要求されたPCRs値PCRsACと、(j).アクセス要求者から要求されたPCRs値に対応する計測ログLogACと、(k).アクセス授権者がトラステッドプラットフォームモジュールTPMにおいてAIKプライベートキーを利用してトラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARに対して行った署名とである。
(a).アクセス授権者のユーザが生成した乱数NACと、(b).アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSと、(c).アクセス要求者のAIK証明書CertAR−AIKと、(d).アクセス授権者から要求されたPCRs値PCRsARと、(e).アクセス要求者に対するプラットフォーム完全性チェック結果ReARと、(f).アクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARと、(g).アクセス授権者のAIK証明書CertAC−AIKと、(h).アクセス要求者から要求されたPCRs値PCRsACと、(i)アクセス授権者に対するプラットフォームの完全性のチェック結果ReACと、(j).アクセス要求者のAIK証明書の検証結果ReAR−AIKと、(k).アクセス授権者のAIK証明書の検証結果ReAC−AIKと、を含む。
TNCサーバーとTNCクライアントのそれぞれは、アクセス授権者とアクセス要求者のプラットフォームの完全性の評価結果をまとめ、その後、ネットワークアクセス授権者とネットワークアクセス要求者とのそれぞれに推薦を送信し、ネットワークアクセス要求者とネットワークアクセス授権者とのそれぞれは、それぞれ受信した推薦に従って、ポートを制御して、アクセス要求者とアクセス授権者の相互のアクセスの制御を実現するようにする。TNCサーバーとTNCクライアントからネットワークアクセス授権者とネットワークアクセス要求者に送信される推薦は、アクセス許可情報、アクセス禁止情報又は隔離補修情報などである。
Claims (10)
- 安全性が強化されたトラステッドネットワークコネクト方法であって、以下のステップ、即ち、
(1.)初期化ステップ:
(1.1)アクセス要求者のTNCクライアントとアクセス授権者のTNCサーバーが、予めプラットフォームの完全性情報を用意しておき、それぞれの完全性計測レイヤーの完全性收集者IMCに渡し、
(1.2)前記TNCクライアントとTNCサーバーは、予め完全性の検証要求を制定しておき、前記完全性の検証要求には、アクセス要求者とアクセス授権者が互いに相手に検証を要求するPCRsテーブルを含み、
(1.3)前記アクセス要求者とアクセス授権者とのトラステッドプラットフォームモジュールTPMは、ネットワークポリシーに必要とされたプラットフォーム情報をハッシュしてからプラットフォームのコンフィギュレーションレジスタPCRsに記憶すること、
(2.)ユーザ認証ステップ:
(2.1)ネットワークアクセスレイヤーにおいて、ネットワークアクセス要求者は、ポリシー実行者にアクセス要求を発し、ポリシー実行者は、該アクセス要求をネットワークアクセス授権者に転送し、
(2.2)前記ネットワークアクセス授権者は、前記アクセス要求を受信すると、双方向のユーザの認証過程を開始し、ネットワークアクセスレイヤーのネットワークアクセス要求者と、ネットワークアクセス授権者とユーザ認証サービスユニットとの間で、三重要素の対等認証プロトコルの実行が開始されて、アクセス要求者とアクセス授権者との双方向のユーザ認証及びキーネゴシエーションが実現され、その後、ネットワークアクセス授権者は、双方向のユーザ認証過程で生成されたメインキーを予め確立されたセキュアチャネルによって、ポリシー実行ポイントに伝送し、最後に、ポリシーの実行ポイントは、メインキーを利用して、アクセス要求者とのキーネゴシエーションを行い、
(2.3)双方向のユーザ認証が成功すると、前記ネットワークアクセス要求者とネットワークアクセス授権者は、ユーザ認証成功の情報をそれぞれ完全性評価レイヤーのTNCクライアントとTNCサーバーに送信すること、
(3.)完全性評価ステップ:
アクセス授権者のTNCサーバーがネットワークアクセス授権者から送信されたユーザ認証成功の情報を受信すると、完全性評価レイヤーと完全性計測レイヤーにおいて、アクセス授権者のTNCサーバーと、アクセス要求者のTNCクライアントとポリシー管理機のプラットフォーム評価サービスユニットは、三重要素の対等認証プロトコルにより、アクセス要求者とアクセス授権者との双方向のプラットフォームの完全性評価を実現すること、
(4.)アクセス制御ステップ:
前記TNCサーバーとTNCクライアントとのそれぞれは、アクセス授権者とアクセス要求者のプラットフォームの完全性の評価結果をまとめて、ネットワークアクセス授権者とネットワークアクセス要求者のそれぞれに推薦を送信し、ネットワークアクセス要求者とネットワークアクセス授権者とのそれぞれは、それぞれ受信した推薦に従って、ポートを制御して、アクセス要求者とアクセス授権者との相互のアクセス制御を実現すること、
を含むことを特徴とする安全性が強化されたトラステッドネットワークコネクト方法。 - 前記ステップ(3.)において、アクセス授権者のTNCサーバーと、アクセス要求者のTNCクライアントとポリシー管理機のプラットフォーム評価サービスユニットは、三重要素の対等認証プロトコルにより、アクセス要求者とアクセス授権者の双方向のプラットフォームの完全性評価を実現し、このプラットフォームの完全性評価の実現方式は、
アクセス要求者がアクセス授権者のプラットフォームの完全性を検証することに対し、アクセス授権者がアクセス要求者の完全性を検証すること、
ポリシー管理機がアクセス要求者とアクセス授権者のAIK証明書の有効性を検証することを含むことを特徴とする請求項1に記載の安全性が強化されたトラステッドネットワークコネクト方法。 - 前記ステップ(3.)において、アクセス授権者のTNCサーバーと、アクセス要求者のTNCクライアントとポリシー管理機のプラットフォーム評価サービスユニットは、三重要素の対等認証プロトコルにより、アクセス要求者とアクセス授権者との双方向のプラットフォームの完全性評価を実現し、このプラットフォーム完全性評価の具体的な実施方式は、以下:
(3.1.1)アクセス授権者のTNCサーバーがネットワークアクセス授権者から送信されたユーザ認証成功の情報を受信したとき、又はユーザ認証が成功したことが確認されたときに、アクセス授権者は、アクセス要求者に以下の情報:
(a).アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSと、
(b).アクセス授権者のAIK証明書CertAC_AIKと、
(c).アクセス授権者がアクセス要求者に要求するPCRsテーブルPCRsListAR
を送信すること、
(3.1.2)アクセス要求者は前記ステップ(3.1.1)においてアクセス授権者から送信された情報を受信すると、アクセス授権者から要求されたPCRsテーブルに従って、相応するPCRs値をトラステッドプラットフォームモジュールTPMへ抽出し、トラステッドプラットフォームモジュールTPMにおいて、AIKプライベートキーを利用して、トラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSに署名し、アクセス要求者は、アクセス授権者に以下の情報:
(a).アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSと、
(b).アクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARと、
(c).アクセス要求者のAIK証明書CertAR_AIKと、
(d).アクセス要求者がアクセス授権者に要求するPCRsテーブルPCRsListACと、
(e).アクセス授権者から要求されたPCRs値PCRsARと、
(f).アクセス授権者から要求されたPCRs値に対応する計測ログLogARと、
(g).アクセス要求者がトラステッドプラットフォームモジュールTPMにおいて、AIKプライベートキーを利用して、トラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSに対して行った署名
を送信すること、
(3.1.3)アクセス授権者は、前記ステップ(3.1.2)においてアクセス要求者から送信された情報を受信すると、トラステッドプラットフォームモジュールTPMに、アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSの一致性を検証させ、次に、アクセス要求者のAIK証明書の中の公開キーを利用して、アクセス要求者のAIK署名の有効性を検証し、アクセス授権者がアクセス要求者に要求したPCRs値と、アクセス授権者から要求されたPCRs値に対応する計測ログLogAR及びデータベースから提供された標準の完全性の計測値を利用して、アクセス要求者のプラットフォームの完全性に対するチェックを行い、アクセス授権者のアクセス要求者のプラットフォームの完全性に対するチェック結果を生成し、アクセス授権者は、ポリシー管理機に以下の情報:
(a).アクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARと、
(b).アクセス授権者のユーザが生成した乱数NACと、
(c).アクセス要求者のAIK証明書と、
(d).アクセス授権者のAIK証明書、
を送信すること、
(3.1.4)ポリシー管理機は、前記ステップ(3.1.3)においてアクセス授権者から送信された情報を受信すると、アクセス要求者とアクセス授権者のAIK証明書に対する検証を行って、アクセス要求者とアクセス授権者の証明書の検証結果Resu1tAIKを生成し、この証明書検証結果は、アクセス授権者のユーザが生成した乱数NACと、アクセス要求者のAIK証明書CertAR−AIKと、アクセス要求者のAIK証明書の検証結果ReAR−AIKと、アクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARと、アクセス授権者のAIK証明書CertAC−AIKと、アクセス授権者のAIK証明書の検証結果ReAC−AIKとを含み、ポリシー管理機の身元証明書に対応するプライベートキーを利用して、証明書の検証結果に対して署名し、ポリシー管理機は、アクセス授権者に生成した証明書の検証結果ResultAIK及び証明書の検証結果ResultAIKに対する署名[ResultAIK]Sigを送信すること、
(3.1.5)アクセス授権者は、前記ステップ(3.1.4)においてポリシー管理機から送信された情報を受信すると、アクセス授権者のユーザが生成した乱数NACとアクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARとの一致性を検証し、ポリシー管理機の身元証明書に対応する公開キーを利用して、ポリシー管理機の署名の有効性を検証し、証明書の検証結果に従って、アクセス要求者のAIK証明書の有効性を検証し、アクセス授権者のアクセス要求者に対するプラットフォームの完全性のチェック結果を利用して、プラットフォームの完全性の評価結果を生成し、アクセス要求者から要求されたPCRsテーブルに従って、相応するPCRs値をトラステッドプラットフォームモジュールTPMへ抽出し、トラステッドプラットフォームモジュールTPMにおいて、AIKプライベートキーを利用して、トラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARに対して署名し、アクセス授権者は、アクセス要求者に以下のような情報:
(a).ステップ(3.1.4)においてポリシー管理機から送信されたメッセージ内容と、
(b).アクセス要求者のトラステッドプラットフォームモジュールTPMで生成した乱数NARと、
(c).アクセス授権者のユーザが生成した乱数NACと、
(d).アクセス要求者から要求されたPCRs値PCRsACと、
(e).アクセス要求者から要求されたPCRs値に対応する計測ログLogACと、
(f).アクセス授権者がトラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARに対して行った署名、
を送信すること、
(3.1.6)アクセス要求者は、前記ステップ(3.1.5)においてアクセス授権者から送信された情報を受信すると、ポリシー管理機の身元証明書に対応する公開キーで、ポリシー管理機の署名の有効性を検証し、次に、アクセス要求者は、アクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARの一致性を検証し、アクセス授権者のAIK証明書の中の公開キーで、アクセス授権者のAIK署名の有効性を検証し、続いて、証明書の検証結果に従って、アクセス授権者のAIK証明書の有効性を検証し、アクセス要求者がアクセス授権者に要求したPCRs値と、アクセス要求者から要求されたPCRs値に対応する計測ログLogAC及びデータベースから提供された標準の完全性の計測値を用いて、アクセス授権者のプラットフォーム完全性に対してチェックして、アクセス授権者のプラットフォーム完全性のチェック結果を生成し、アクセス要求者は、アクセス授権者のAIK証明書の有効性とアクセス授権者に対するプラットフォームの完全性のチェック結果に従って、プラットフォームの完全性の評価結果を生成すること、
を含むことを特徴とする請求項1に記載の安全性が強化されたトラステッドネットワークコネクト方法。 - 前記ステップ(3.1.5)においてアクセス要求者のプラットフォームの完全性の評価結果を生成する過程において、アクセス授権者は、再びアクセス要求者と完全性情報をやり取りするときに、ステップ(3.1.1)乃至ステップ(3.1.6)を繰り返して行うことを特徴とする請求項3に記載の安全性が強化されたトラステッドネットワークコネクト方法。
- 前記ステップ(3.1.6)においてアクセス授権者のプラットフォームの完全性の評価結果を生成する過程には、アクセス要求者は、再びアクセス授権者と完全性情報をやり取りしようとするときに、ステップ(3.1.2)乃至ステップ(3.1.6)を繰り返して行うことを特徴とする請求項3又は4に記載の安全性が強化されたトラステッドネットワークコネクト方法。
- 前記ステップ(3.)においてアクセス授権者のTNCサーバーと、アクセス要求者のTNCクライアント及びポリシー管理機のプラットフォーム評価サービスユニットは、三重要素の対等認証プロトコルにより、アクセス要求者とアクセス授権者の双方向のプラットフォーム完全性評価を実現し、このプラットフォーム完全性評価の実現方式は、
ポリシー管理機はアクセス要求者とアクセス授権者のプラットフォームの完全性をチェックすること、
ポリシー管理機はアクセス要求者とアクセス授権者のAIK証明書の有効性を検証することを含むことを特徴とする請求項1に記載の安全性が強化されたトラステッドネットワークコネクト方法。 - 前記ステップ(3.)においてアクセス授権者のTNCサーバーと、アクセス要求者のTNCクライアント及びポリシー管理機のプラットフォーム評価サービスユニットは、三重要素の対等認証プロトコルによりアクセス要求者とアクセス授権者の双方向のプラットフォームの完全性評価を実現し、このプラットフォームの完全性評価の具体的な実現方式は、以下のことを含む、即ち、
(3.2.1)アクセス授権者は、ネットワークアクセス授権者から送信されたユーザ認証成功の情報を受信すると、アクセス要求者に以下の情報:
(a).アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSと、
(b).アクセス授権者のAIK証明書CertAC−AIKと、
(c).アクセス授権者がアクセス要求者に要求するPCRsテーブルPCRsListAR、
を送信すること、
(3.2.2)アクセス要求者は、前記ステップ(3.2.1)においてアクセス授権者から送信された情報を受信すると、アクセス授権者から要求されたPCRsテーブルに従って、相応するPCRs値をトラステッドプラットフォームモジュールTPMへ抽出し、トラステッドプラットフォームモジュールTPMにおいて、AIKプライベートキーで、トラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSに対して署名し、アクセス要求者は、アクセス授権者に以下の情報:
(a).アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSと、
(b).アクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARと、
(c).アクセス要求者のAIK証明書CertAR−AIKと、
(d).アクセス要求者がアクセス授権者に要求するPCRsテーブルPCRsListACと、
(e).アクセス授権者から要求されたPCRs値PCRsARと、
(f).アクセス授権者から要求されたPCRs値に対応する計測ログLogARと、
(g).アクセス要求者がトラステッドプラットフォームモジュールTPMにおいてAIKプライベートキーを利用してトラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSに対して行った署名
を送信すること、
(3.2.3)アクセス授権者は、前記ステップ(3.2.2)においてアクセス要求者から送信された情報を受信すると、トラステッドプラットフォームモジュールTPMに、アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSの一致性を検証させ、アクセス要求者のAIK証明書の中の公開キーを利用してアクセス要求者のAIK署名の有効性を検証し、アクセス要求者から要求されたPCRsテーブルに従って、相応するPCRs値をトラステッドプラットフォームモジュールTPMへ抽出し、アクセス授権者は、トラステッドプラットフォームモジュールTPMにおいて、AIKプライベートキーを利用して、トラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARに対して署名し、アクセス授権者は、ポリシー管理機に以下の情報:
(a).アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSと、
(b).アクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARと、
(c).アクセス要求者のAIK証明書CertAR−AIKと、
(d).アクセス授権者から要求されたPCRs値PCRsARと、
(e).アクセス授権者から要求されたPCRs値に対応する計測ログLogARと、
(f).アクセス要求者がトラステッドプラットフォームモジュールTPMにおいてAIKプライベートキーを利用してトラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSに対して行った署名と、
(g).アクセス授権者のユーザが生成した乱数NACと、
(h).アクセス授権者のAIK証明書CertAC−AIKと、
(i).アクセス要求者から要求されたPCRs値PCRsACと、
(j).アクセス要求者から要求されたPCRs値に対応する計測ログLogACと、
(k).アクセス授権者がトラステッドプラットフォームモジュールTPMにおいてAIKプライベートキーを利用してトラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARに対して行った署名
を送信すること、
(3.2.4)ポリシー管理機は前記ステップ(3.2.3)においてアクセス授権者から送信された情報を受信すると、アクセス要求者とアクセス授権者とのそれぞれのAIK証明書に対応する公開キーを利用して、アクセス要求者とアクセス授権者のAIK署名の有効性及びAIK証明書の有効性を検証し、アクセス要求者とアクセス授権者とのそれぞれのトラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値の計測ログとデータベースの中の標準の完全性の計測値に応じて、新たに相応するPCRs値を算出し、且つ、ステップ(3.2.3)においてアクセス授権者から送信されたメッセージの中の対応するPCRs値と比較し、アクセス要求者とアクセス授権者のAIK証明書認証とプラットフォームの完全性のチェック結果ResultAIK−PCRsを生成し、ポリシー管理機の身元証明書に対応するプライベートキーで、生成されたAIK証明書認証とプラットフォームの完全性のチェック結果に対して、署名[ResultAIK−PCRs]Sigを行い、アクセス授権者に、アクセス要求者とアクセス授権者のAIK証明書認証とプラットフォームの完全性のチェック結果ResultAIK−PCRs及びポリシー管理機のアクセス要求者とアクセス授権者のAIK証明書認証とプラットフォームの完全性のチェック結果に対する署名[ResultAIK−PCRs]Sigを送信し、前記のアクセス要求者とアクセス授権者のAIK証明書認証とプラットフォームの完全性のチェック結果ResultAIK−PCRsは、
(a).アクセス授権者のユーザが生成した乱数NACと、
(b).アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSと、
(c).アクセス要求者のAIK証明書CertAR−AIKと、
(d).アクセス授権者から要求されたPCRs値PCRsARと、
(e).アクセス要求者に対するプラットフォームの完全性のチェック結果ReARと、
(f).アクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARと、
(g).アクセス授権者のAIK証明書CertAC−AIKと、
(h).アクセス要求者から要求されたPCRs値PCRsACと、
(i).アクセス授権者に対するプラットフォームの完全性のチェック結果ReACと、
(j).アクセス要求者のAIK証明書の検証結果ReAR−AIKと、
(k).アクセス授権者のAIK証明書の検証結果ReAC−AIKと、を含むこと、
(3.2.5)アクセス授権者は、前記ステップ(3.2.4)においてポリシー管理機から送信された情報を受信すると、アクセス授権者のユーザが生成した乱数NACとステップ(3.2.4)においてポリシー管理機から送信された情報の中のアクセス授権者のユーザが生成した乱数NACとが一致するかどうかを検証し、ポリシー管理機のユーザの署名の有効性を検証し、トラステッドプラットフォームモジュールTPMに、アクセス授権者のトラステッドプラットフォームモジュールTPMが生成した乱数NSの一致性を検証させ、アクセス要求者のAIK証明書CertAR−AIKとアクセス授権者から要求されたPCRs値PCRsARとの一致性を検証し、アクセス要求者のAIK証明書の検証結果ReAR−AIKとアクセス要求者に対するプラットフォームの完全性のチェック結果ReARを検証して、アクセス要求者のプラットフォームの完全性の評価結果を生成し、アクセス授権者は、アクセス要求者に、ステップ(3.2.4)の中の情報と、アクセス授権者がトラステッドプラットフォームモジュールTPMにおいてAIKプライベートキーを利用してトラステッドプラットフォームモジュールTPMにより抽出された相応のPCRs値とアクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARに対して行った署名を送信すること、
(3.2.6)アクセス要求者は、前記ステップ(3.2.5)においてアクセス授権者から送信された情報を受信すると、アクセス授権者のAIK署名の有効性とポリシー管理機のユーザの署名の有効性を検証し、トラステッドプラットフォームモジュールTPMに、アクセス要求者のトラステッドプラットフォームモジュールTPMが生成した乱数NARの一致性を検証させ、アクセス授権者のAIK証明書とアクセス要求者から要求されたPCRs値の一致性を検証し、アクセス授権者のAIK証明書の検証結果ReAC−AIKとアクセス授権者に対するプラットフォームの完全性のチェック結果ReACを検証して、アクセス要求者のプラットフォームの完全性の評価結果を生成することであることを特徴とする請求項1に記載の安全性が強化されたトラステッドネットワークコネクト方法。 - 前記ステップ(3.2.5)においてアクセス要求者のプラットフォームの完全性の評価結果を生成する過程において、アクセス授権者は、再びアクセス要求者と完全性情報をやり取りする時に、ステップ(3.2.1)乃至ステップ(3.2.6)を繰り返して行うことを特徴とする請求項7に記載の安全性が強化されたトラステッドネットワークコネクト方法。
- 前記ステップ(3.2.6)においてアクセス授権者のプラットフォームの完全性のチェック結果を生成する過程において、アクセス要求者は、再びアクセス授権者と完全性情報をやり取りする時に、ステップ(3.2.2)乃至ステップ(3.2.6)を繰り返して行うことを特徴とする請求項7又は8に記載の安全性が強化されたトラステッドネットワークコネクト方法。
- 前記ステップ(4.)においてTNCサーバーとTNCクライアントからネットワークアクセス授権者とネットワークアクセス要求者に送信される推薦は、アクセス許可情報、アクセス禁止情報又は隔離補修情報などであることを特徴とする請求項1〜4又は6〜8のいずれに記載の安全性が強化されたトラステッドネットワークコネクト方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2007100183962A CN100566251C (zh) | 2007-08-01 | 2007-08-01 | 一种增强安全性的可信网络连接方法 |
CN200710018396.2 | 2007-08-01 | ||
PCT/CN2008/071701 WO2009015580A1 (fr) | 2007-08-01 | 2008-07-21 | Procédé de connexion de réseau de confiance pour améliorer la sécurité |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010534988A JP2010534988A (ja) | 2010-11-11 |
JP5093350B2 true JP5093350B2 (ja) | 2012-12-12 |
Family
ID=39933497
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010518481A Active JP5093350B2 (ja) | 2007-08-01 | 2008-07-21 | 安全性が強化されたトラステッドネットワークコネクト方法 |
Country Status (7)
Country | Link |
---|---|
US (1) | US8271780B2 (ja) |
EP (1) | EP2184886A4 (ja) |
JP (1) | JP5093350B2 (ja) |
KR (1) | KR101104486B1 (ja) |
CN (1) | CN100566251C (ja) |
RU (1) | RU2437230C2 (ja) |
WO (1) | WO2009015580A1 (ja) |
Families Citing this family (51)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100512313C (zh) | 2007-08-08 | 2009-07-08 | 西安西电捷通无线网络通信有限公司 | 一种增强安全性的可信网络连接系统 |
CN100496025C (zh) * | 2007-11-16 | 2009-06-03 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制方法 |
CN100553212C (zh) | 2007-11-16 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制系统 |
CN101345660B (zh) * | 2008-08-21 | 2010-06-09 | 西安西电捷通无线网络通信有限公司 | 一种基于tcpa/tcg可信网络连接的可信网络管理方法 |
CN100581170C (zh) * | 2008-08-21 | 2010-01-13 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别可信网络连接的可信网络管理方法 |
US8161285B2 (en) * | 2008-09-26 | 2012-04-17 | Microsoft Corporation | Protocol-Independent remote attestation and sealing |
CN101447992B (zh) * | 2008-12-08 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 一种基于三元对等鉴别的可信网络连接实现方法 |
CN101547095B (zh) * | 2009-02-11 | 2011-05-18 | 广州杰赛科技股份有限公司 | 基于数字证书的应用服务管理系统及管理方法 |
CN101547097B (zh) * | 2009-02-11 | 2011-05-04 | 广州杰赛科技股份有限公司 | 基于数字证书的数字媒体管理系统及管理方法 |
WO2010121020A1 (en) * | 2009-04-15 | 2010-10-21 | Interdigital Patent Holdings, Inc. | Validation and/or authentication of a device for communication with a network |
CN101527717B (zh) * | 2009-04-16 | 2012-11-28 | 西安西电捷通无线网络通信股份有限公司 | 一种三元对等鉴别可信网络连接架构的实现方法 |
CN101540676B (zh) * | 2009-04-28 | 2012-05-23 | 西安西电捷通无线网络通信股份有限公司 | 一种适合三元对等鉴别可信网络连接架构的平台鉴别方法 |
CN101631113B (zh) | 2009-08-19 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 一种有线局域网的安全访问控制方法及其系统 |
CN101635709B (zh) * | 2009-08-25 | 2011-04-27 | 西安西电捷通无线网络通信股份有限公司 | 一种可实现双向平台鉴别的方法 |
CN102004876B (zh) * | 2009-12-31 | 2012-07-18 | 郑州信大捷安信息技术股份有限公司 | 可容忍非信任组件的安全终端加固模型及加固方法 |
CN101778099B (zh) * | 2009-12-31 | 2012-10-03 | 郑州信大捷安信息技术股份有限公司 | 可容忍非信任组件的可信网络接入架构及其接入方法 |
CN101795281B (zh) * | 2010-03-11 | 2012-03-28 | 西安西电捷通无线网络通信股份有限公司 | 一种适合可信连接架构的平台鉴别实现方法及系统 |
US9208318B2 (en) * | 2010-08-20 | 2015-12-08 | Fujitsu Limited | Method and system for device integrity authentication |
US9111079B2 (en) | 2010-09-30 | 2015-08-18 | Microsoft Technology Licensing, Llc | Trustworthy device claims as a service |
CN102404315B (zh) * | 2010-09-30 | 2015-01-14 | 微软公司 | 作为服务的可信设备声明 |
KR101515312B1 (ko) | 2010-10-13 | 2015-04-24 | 차이나 아이더블유엔콤 씨오., 엘티디 | 네트워크 액세스의 제어 방법 및 시스템 |
GB2487049A (en) * | 2011-01-04 | 2012-07-11 | Vestas Wind Sys As | Remote and local authentication of user for local access to computer system |
US8925091B2 (en) | 2011-09-01 | 2014-12-30 | Dell Products, Lp | System and method for evaluation in a collaborative security assurance system |
US20130301830A1 (en) | 2012-05-08 | 2013-11-14 | Hagai Bar-El | Device, system, and method of secure entry and handling of passwords |
US9092427B2 (en) | 2012-06-08 | 2015-07-28 | Lockheed Martin Corporation | Dynamic trust session |
US8925059B2 (en) | 2012-06-08 | 2014-12-30 | Lockheed Martin Corporation | Dynamic trust connection |
US8782423B2 (en) * | 2012-06-19 | 2014-07-15 | Microsoft Corporation | Network based management of protected data sets |
US10795985B2 (en) * | 2013-07-18 | 2020-10-06 | Sequitur Labs Inc. | Applications of secured memory areas and secure environments in policy-based access control systems for mobile computing devices |
CN103428287B (zh) * | 2013-08-09 | 2017-04-12 | 华为技术有限公司 | 一种连接建立的方法及装置 |
US9407638B2 (en) * | 2013-08-26 | 2016-08-02 | The Boeing Company | System and method for trusted mobile communications |
US9391980B1 (en) * | 2013-11-11 | 2016-07-12 | Google Inc. | Enterprise platform verification |
EP2899940B1 (en) * | 2014-01-23 | 2020-06-03 | Vodafone GmbH | Connection method for secure connecting of a mobile device system to a network |
US9680824B1 (en) * | 2014-05-07 | 2017-06-13 | Skyport Systems, Inc. | Method and system for authentication by intermediaries |
CN104038478A (zh) * | 2014-05-19 | 2014-09-10 | 瑞达信息安全产业股份有限公司 | 一种嵌入式平台身份验证可信网络连接方法和系统 |
CN104239802A (zh) * | 2014-10-15 | 2014-12-24 | 浪潮电子信息产业股份有限公司 | 一种基于云数据中心的可信服务器设计方法 |
US10341342B2 (en) | 2015-02-05 | 2019-07-02 | Carrier Corporation | Configuration data based fingerprinting for access to a resource |
CN104794410B (zh) * | 2015-03-23 | 2018-01-09 | 中国科学院软件研究所 | 一种基于可信计算技术的数据库安全保护方法 |
CN106851650A (zh) * | 2015-12-07 | 2017-06-13 | 普天信息技术有限公司 | 移动通信系统中的平台完整性鉴别的处理方法和系统 |
CN107292176B (zh) * | 2016-04-05 | 2021-01-15 | 联想企业解决方案(新加坡)有限公司 | 用于访问计算设备的可信平台模块的方法和系统 |
US9830469B1 (en) | 2016-10-31 | 2017-11-28 | International Business Machines Corporation | Automated mechanism to secure customer data |
US9928365B1 (en) | 2016-10-31 | 2018-03-27 | International Business Machines Corporation | Automated mechanism to obtain detailed forensic analysis of file access |
US10346625B2 (en) | 2016-10-31 | 2019-07-09 | International Business Machines Corporation | Automated mechanism to analyze elevated authority usage and capability |
US10514854B2 (en) * | 2016-11-04 | 2019-12-24 | Microsoft Technology Licensing, Llc | Conditional authorization for isolated collections |
CN108696868B (zh) * | 2017-03-01 | 2020-06-19 | 西安西电捷通无线网络通信股份有限公司 | 用于网络连接的凭证信息的处理方法和装置 |
US10650156B2 (en) | 2017-04-26 | 2020-05-12 | International Business Machines Corporation | Environmental security controls to prevent unauthorized access to files, programs, and objects |
CN106973067A (zh) * | 2017-05-10 | 2017-07-21 | 成都麟成科技有限公司 | 一种平台环境完整性检测方法和装置 |
CN107396350B (zh) * | 2017-07-12 | 2021-04-27 | 西安电子科技大学 | 基于sdn-5g网络架构的sdn组件间安全保护方法 |
US10819696B2 (en) | 2017-07-13 | 2020-10-27 | Microsoft Technology Licensing, Llc | Key attestation statement generation providing device anonymity |
CN109714168B (zh) | 2017-10-25 | 2022-05-27 | 阿里巴巴集团控股有限公司 | 可信远程证明方法、装置和系统 |
CN112733129B (zh) * | 2021-01-14 | 2024-06-04 | 北京工业大学 | 一种服务器带外管理的可信接入方法 |
CN113794685B (zh) * | 2021-08-16 | 2023-09-29 | 德威可信(北京)科技有限公司 | 一种基于可信评估的数据传输方法及装置 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19539700C1 (de) | 1995-10-25 | 1996-11-28 | Siemens Ag | Sicherheitschip |
JP3283414B2 (ja) | 1995-12-22 | 2002-05-20 | 松下電器産業株式会社 | 型抜き装置 |
US6157707A (en) | 1998-04-03 | 2000-12-05 | Lucent Technologies Inc. | Automated and selective intervention in transaction-based networks |
GB0020441D0 (en) * | 2000-08-18 | 2000-10-04 | Hewlett Packard Co | Performance of a service on a computing platform |
ATE315859T1 (de) | 2002-09-17 | 2006-02-15 | Errikos Pitsos | Verfahren und vorrichtung zur bereitstellung einer liste von öffentlichen schlüsseln in einem public-key-system |
CN1191696C (zh) * | 2002-11-06 | 2005-03-02 | 西安西电捷通无线网络通信有限公司 | 一种无线局域网移动设备安全接入及数据保密通信的方法 |
US8266676B2 (en) * | 2004-11-29 | 2012-09-11 | Harris Corporation | Method to verify the integrity of components on a trusted platform using integrity database services |
CN1848722B (zh) | 2005-04-14 | 2010-08-25 | 联想(北京)有限公司 | 建立可信虚拟专用网连接的方法和系统 |
US20070067845A1 (en) | 2005-09-22 | 2007-03-22 | Alcatel | Application of cut-sets to network interdependency security risk assessment |
CN100493088C (zh) | 2005-09-23 | 2009-05-27 | 北京交通大学 | 一种应用于ad hoc网络的合作增强机制的方法 |
CN100534036C (zh) | 2007-08-01 | 2009-08-26 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接方法 |
CN100566252C (zh) * | 2007-08-03 | 2009-12-02 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接系统 |
CN100512313C (zh) * | 2007-08-08 | 2009-07-08 | 西安西电捷通无线网络通信有限公司 | 一种增强安全性的可信网络连接系统 |
CN101136928B (zh) * | 2007-10-19 | 2012-01-11 | 北京工业大学 | 一种可信网络接入控制系统 |
CN100496025C (zh) | 2007-11-16 | 2009-06-03 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制方法 |
CN100553212C (zh) | 2007-11-16 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制系统 |
-
2007
- 2007-08-01 CN CNB2007100183962A patent/CN100566251C/zh active Active
-
2008
- 2008-07-21 EP EP08773226A patent/EP2184886A4/en not_active Withdrawn
- 2008-07-21 JP JP2010518481A patent/JP5093350B2/ja active Active
- 2008-07-21 US US12/671,575 patent/US8271780B2/en active Active
- 2008-07-21 WO PCT/CN2008/071701 patent/WO2009015580A1/zh active Application Filing
- 2008-07-21 RU RU2010106634/08A patent/RU2437230C2/ru active
- 2008-07-21 KR KR1020107004273A patent/KR101104486B1/ko active IP Right Grant
Also Published As
Publication number | Publication date |
---|---|
EP2184886A1 (en) | 2010-05-12 |
CN100566251C (zh) | 2009-12-02 |
RU2010106634A (ru) | 2011-09-10 |
JP2010534988A (ja) | 2010-11-11 |
US8271780B2 (en) | 2012-09-18 |
EP2184886A4 (en) | 2011-12-07 |
WO2009015580A1 (fr) | 2009-02-05 |
US20110191579A1 (en) | 2011-08-04 |
KR20100039417A (ko) | 2010-04-15 |
RU2437230C2 (ru) | 2011-12-20 |
CN101242267A (zh) | 2008-08-13 |
KR101104486B1 (ko) | 2012-01-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5093350B2 (ja) | 安全性が強化されたトラステッドネットワークコネクト方法 | |
JP5187397B2 (ja) | 安全性が強化されたトラステッドネットワークコネクトシステム | |
JP5259724B2 (ja) | 3エレメントピア認証に基づく信頼されているネットワークアクセス制御方法 | |
JP5248621B2 (ja) | 3値同等識別に基づく、信頼されているネットワークアクセス制御システム | |
US8255977B2 (en) | Trusted network connect method based on tri-element peer authentication | |
US8191113B2 (en) | Trusted network connect system based on tri-element peer authentication | |
KR101296101B1 (ko) | 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법 | |
CN113449343B (zh) | 基于量子技术的可信计算系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120821 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120903 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5093350 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150928 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |