KR101296101B1 - 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법 - Google Patents

트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법 Download PDF

Info

Publication number
KR101296101B1
KR101296101B1 KR1020117015670A KR20117015670A KR101296101B1 KR 101296101 B1 KR101296101 B1 KR 101296101B1 KR 1020117015670 A KR1020117015670 A KR 1020117015670A KR 20117015670 A KR20117015670 A KR 20117015670A KR 101296101 B1 KR101296101 B1 KR 101296101B1
Authority
KR
South Korea
Prior art keywords
access
platform
access control
control device
integrity
Prior art date
Application number
KR1020117015670A
Other languages
English (en)
Other versions
KR20110093939A (ko
Inventor
유엘레이 시아오
준 카오
리 게
젠하이 후앙
Original Assignee
차이나 아이더블유엔콤 씨오., 엘티디
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 차이나 아이더블유엔콤 씨오., 엘티디 filed Critical 차이나 아이더블유엔콤 씨오., 엘티디
Publication of KR20110093939A publication Critical patent/KR20110093939A/ko
Application granted granted Critical
Publication of KR101296101B1 publication Critical patent/KR101296101B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Abstract

본 발명은 일종 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법을 제공하는데 상기 방법은: 절차1: 설정과 초기화를 진행하고; 절차2: 네트워크 연결을 청구하는데 액세스 청구 장치는 액세스 제어 장치에게 네트워크 연결 청구를 송신하고 상기 액세스 제어 장치제어 장치네트워크 연결 청구를 수신하며; 절차3: 사용자 신분 인증을 진행하며; 절차4: 플랫폼 인증을 진행하는 절차를 포함 한다. 본 발명은 트러스트 네트워크 커넥트 실현 방법의 안전성을 증강하고 부동한 네트워크 설비의 수요를 만족 함과 동시에 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법의 효율을 제고하고 본 발명은 실체적인 트러스트 네트워크 커넥트에 적용할 수도 있고 대등한 실체 사이의 트러스트 통신에도 적용할 수 있으며 또한 실체적인 트러스트 관리에 적용할 수도 있어 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법의 적용성을 제고하였다

Description

트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법{TRUSTED NETWORK CONNECTION IMPLEMENTING METHOD BASED ON TRI-ELEMENT PEER AUTHENTICATION}
본 출원은 2008년 12월 8일에 중국 특허청에 제출한 출원번호가 200810184119.3인 발명 명칭이 《 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법 》인 중국 특허 출원의 우선권을 요구하며 그 내용을 전부 본 출원에 인용하여 결합한다.
본 발명은 일종 통신 기술 영역에 관한 것으로서 특히는 일종 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법에 관한 것이다.
정보화가 발전함에 따라 바이러스, 웜 등 악성 소프트웨어의 문제가 각별히 돌출해 지고 있는데 목전에 이미 3만 5천 가지의 악성 소프트웨어가 나타났으며 매년 마다 4천만을 초과하는 컴퓨터가 감염되고 있다. 이러한 공격을 억제하기 위해서는 안전한 전송과 데이터 입력 시의 점검을 해결하여야 할 뿐만 아니라 또한 출처, 즉 네트워크에 연결된 매개 단말부터 방어를 진행하여야 한다. 하지만 전통적인 안전 방어 기술은 이미 다양한 종류의 악의적인 공격을 방어할 수 없게 되였다.
국제 트러스티드 컴퓨팅 그룹(Trusted Computing Group ;이하 TCG로 약칭 함)은 이러한 문제에 대해 전문적으로 일종 트러스트 계산 기술에 기초한 네트워크 연결 사양--트러스트 네트워크 커넥트(Trusted Network Connect;이하 TNC로 약칭 함)를 개발하였는데 TCG-TNC로 요약하며 TCG-TNC는 개방된 단말 무결성 구조와 한개 상호 운용성의 안전을 확보하는 표준을 포함하는데 이 표준은 사용자가 수요할 때 한개 네트워크를 보호하고 사용자가 직접 어느 정도 보호를 진행할 것인 지 정의할 수 있다. TCG-TNC은 본질상에서 단말의 무결성으로부터 연결을 건립하기 시작한다. 우선 트러스티드 네트워크 내부 시스템 운행 상황의 전략을 작성한다. 네트워크 설정 전략을 지키는 단말만이 네트워크를 액세스할 수 있고 네트워크는 전략을 지키지 않는 설비를 격리하고 위치 확정한다. 트러스트 플랫폼 모듈을 사용했기 때문에 root kits의 공격도 막을 수 있는데 root kits는 일종 공격 스크립트, 보정을 거친 시스템 프로그램이거나 또는 세트로 된 공격 스크립트과 툴 이며 한개 목표 시스템 중에서 비법적으로 시스템의 최대 제어 권한을 획득한다.
TCG-TNC구조 중에서 액세스 청구자는 전략 실행 점의 무결성에 대해 평가하지 않기 때문에 TCG-TNC 구조에는 전략 실행 점이 신뢰 되지 못하는 문제가 존재하여 종래 기술은 일종 트라이 요소 피어 인증(Tri-element Peer Authentication;아래에 TePA로 약칭함)에 기초한 트러스트 네트워크 커넥트 구조로 이 문제를 해결하려 한다. 도 1은 종래 기술의 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 구조의 개략도이다.
하지만 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 구조와 TCG-TNC구조는 완전히 다르기 때문에 TCG-TNC구조의 트러스트 네트워크 커넥트 실현 방법은 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 구조에 적용될 수 없다.
본 발명은 일종 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법을 제공하여 일종 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 구조에 적합한 트러스트 네트워크 커넥트의 실현 방법을 건립하는데 그 목적이 있다.
본 발명은 일종 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법을 제공하는데
설정과 초기화를 진행하는 절차1;
네트워크 연결을 청구하는데 액세스 청구자는 액세스 컨트롤러에게 네트워크 연결 청구를 송신하고 상기 액세스 컨트롤러는 상기 네트워크 연결 청구를 수신하는 절차2;
사용자 신분 인증을 진행하는 절차3; 및
플랫폼 인증을 진행하는 절차4를 포함하고
그중 절차1은:
네트워크 사용자는 상기 액세스 청구자에게 상기 액세스 컨트롤러에 대한 안전 전략을 설정하는데 상기 액세스 청구자가 상기 액세스 컨트롤러에 대한 플랫폼 평가 전략을 포함하고; 네트워크 관리자는 상기 액세스 컨트롤러에게 상기 액세스 청구자에 대한 안전 전략을 설정하는데 상기 액세스 컨트롤러가 상기 액세스 청구자에 대한 플랫폼 평가 전략을 포함하는 절차11;
상기 액세스 청구자와 상기 액세스 컨트롤러는 각자의 무결성 수집자를 로드하고 초기화하고 전략 매니저는 무결성 검증자를 로드하고 초기화하는 절차12를 포함하고
절차3은:
만일 상기 액세스 청구자 또는 상기 액세스 컨트롤러가 사용자 신분 인증 과정을 진행할 것을 요구하지 않으면 절차33을 실행하는 절차31;
만일 상기 액세스 청구자 또는 상기 액세스 컨트롤러가 사용자 신분 인증 과정을 진행할 것을 요구하면 상기 액세스 청구자와 상기 액세스 컨트롤러가 상기 사용자 신분 인증 과정을 진행하지 않았을 경우 상기 액세스 청구자와 상기 액세스 컨트롤러는 상기 전략 매나저가 신뢰자 임을 조건으로 한 트라이 요소 피어 인증 프로토콜을 실행하여 상기 액세스 청구자와 상기 액세스 컨트롤러 사이의 사용자 신분 인증 및 키 합의를 실현하고 절차33을 실행하며;상기 액세스 청구자와 상기 액세스 컨트롤러가 이미 상기 사용자 신분 인증 과정을 실행하였을 경우 상기 액세스 청구자와 상기 액세스 컨트롤러는 이미 실행한 사용자 신분 인증 과정에 근거하여 상기 액세스 청구자와 상기 액세스 컨트롤러 사이의 사용자 신분 인증 및 키 합의를 실현할 수도 있고 새로 다시 상기 전략 매니저가 신뢰자 임을 조건으로 한 트라이 요소 피어 인증 프로토콜을 실행하여 상기 액세스 청구자와 상기 액세스 컨트롤러 사이의 사용자 신분 인증 및 키 합의를 실현하고 절차33을 실행하는 절차32;
만일 상기 액세스 청구자 또는 상기 액세스 컨트롤러가 액세스 결정을 즉시적으로 요구하면 상기 액세스 청구자 또는 상기 액세스 컨트롤러가 사용자 신분 인증 과정을 진행할 것을 요구하지 않을 경우 상기 액세스 청구자와 상기 액세스 컨트롤러는 로컬 안전 전략에 의거하여 액세스 결정을 내리고 액세스 제어를 실행하고; 상기 액세스 청구자 또는 상기 액세스 컨트롤러가 상기 사용자 신분 인증 과정을 진행할 것을 요구할 경우 상기 액세스 청구자와 상기 액세스 컨트롤러는 상대방에 대한 사용자 신분 인증 결과와 로컬 안전 전략에 의거하여 액세스 결정을 내리고 액세스 제어를 실행하며 상기 액세스 청구자 또는 상기 액세스 컨트롤러가 상기 사용자 신분 인증 과정을 진행할 것을 요구하지 아니할 경우 상기 액세스 청구자 또는 상기 액세스 컨트롤러는 플랫폼 인증 과정을 실행할 것을 요구하는 절차33을 포함한다.
상기 절차4는 구체적으로:
만일 상기 액세스 청구자 또는 상기 액세스 컨트롤러가 온라인으로 상기 전략 매니저에 플랫폼 신분 증명서를 청구하면 상기 액세스 청구자 또는 상기 액세스 컨트롤러는 온라인으로 상기 전략 매니저에 플랫폼 신분 증명서를 청구하는 절차41;
만일 네트워크 관리자가 상기 액세스 컨트롤러에 상기 액세스 청구자에 대한 플랫폼 평가 전략을 설정하지 않았다면 상기 액세스 컨트롤러는 상기 전략 매니저에 상기 액세스 청구자에 대한 플랫폼 평가 전략을 청구한 다음 상기 전략 매니저는 상기 액세스 컨트롤러가 상기 액세스 청구자에 대한 플랫폼 평가 전략을 상기 액세스 컨트롤러에 송신하며 상기 액세스 컨트롤러는 상기 액세스 컨트롤러가 상기 액세스 청구자에 대한 플랫폼 평가 전략을 수신한 후 설정을 진행하는 절차42;
상기 액세스 청구자와 상기 액세스 컨트롤러는 상기 전략 매니저가 신뢰자 임을 조건으로 한 트라이 요소 피어 인증 프로토콜을 실행하여 상기 액세스 청구자와 상기 액세스 컨트롤러 사이의 플랫폼 신분 검사와 플랫폼 무결성 평가를 포함한 플랫폼 인증을 실현하는데 그중 상기 전략 매니저는 상기 액세스 청구자와 상기 액세스 컨트롤러의 플랫폼 신분 증명서 검사 및 플랫폼 무결성의 무결성 검증자 레벨 평가를 담당하는 절차43;
상기 액세스 청구자와 상기 액세스 컨트롤러가 설정된 플랫폼 평가 전략에 따라 모두 이미 상대방에 대한 플랫폼 무결성 평가를 완성할 때까지 절차43을 여러 차례 실행하고 상기 액세스 청구자는
상기 액세스 컨트롤러의 플랫폼 평가 전략과 상기 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과에 따라 상기 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 평가 결과를 생성한 후 상기 액세스 청구자는 상기 액세스 컨트롤러에 대한 플랫폼 평가 전략, 상기 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과와 상기 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 평가 결과에 근거하여 상기 액세스 컨트롤러의 플랫폼 인증 결과를 생성하고; 상기 액세스 컨트롤러는 상기 액세스 청구자의 플랫폼 평가 전략과 상기 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과에 근거하여 상기 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 평가 결과를 생성한 후 상기 액세스 컨트롤러는 상기 액세스 청구자에 대한 플랫폼 평가 전략, 상기 액세스 청구자의 플랫폼 신분 증명서의 검사 결과와 상기 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 평가 결과에 근거하여 상기 액세스 청구자에 대한 플랫폼 인증 결과를 생성하는 절차44;
상기 액세스 청구자 또는 상기 액세스 컨트롤러가 사용자 신분 인증 과정을 진행할 것을 요구하지 않을 경우, 상기 액세스 청구자와 상기 액세스 컨트롤러는 로컬 안전 전략과 상대방에 대한 플랫폼 인증 결과에 근거하여 액세스 결정을 내리고 액세스 제어를 실행하며; 상기 액세스 청구자 또는 상기 액세스 컨트롤러가 사용자 신분 인증 과정을 진행할 것을 요구할 경우, 상기 액세스 청구자와 상기 액세스 컨트롤러는 상대방에 대한 사용자 신분 인증 결과, 상대방에 대한 플랫폼 인증 결과와 로컬 안전 전략에 근거하여 액세스 결정을 내리고 액세스 제어를 실행하는 절차45를 포함한다.
상기 절차4는 구체적으로:
만일 상기 액세스 청구자 또는 상기 액세스 컨트롤러가 온라인으로 상기 전략 매니저에 플랫폼 신분 증명서를 청구하면 상기 액세스 청구자 또는 상기 액세스 컨트롤러는 온라인으로 상기 전략 매니저에 플랫폼 신분 증명서를 청구하는 절차401;
만일 네트워크 관리자가 상기 액세스 컨트롤러에 상기 액세스 청구자에 대한 플랫폼 평가 전략을 설정하지 않았다면 상기 액세스 컨트롤러는 상기 전략 매니저에 상기 액세스 청구자에 대한 플랫폼 평가 전략을 청구한 다음 상기 전략 매니저는 상기 액세스 컨트롤러가 상기 액세스 청구자에 대한 플랫폼 평가 전략을 상기 액세스 컨트롤러에 송신하며 상기 액세스 컨트롤러는 상기 액세스 컨트롤러가 상기 액세스 청구자에 대한 플랫폼 평가 전략을 수신한 후 설정을 진행하는 절차402;
상기 액세스 청구자와 상기 액세스 컨트롤러는 상기 전략 매니저가 신뢰자 임을 조건으로 한 트라이 요소 피어 인증 프로토콜을 실행하여 상기 액세스 청구자와 상기 액세스 컨트롤러 사이의 플랫폼 신분 검사와 플랫폼 무결성 평가를 포함한 플랫폼 인증을 실현하는데 그중 상기 전략 매니저는 상기 액세스 청구자와 상기 액세스 컨트롤러의 플랫폼 신분 증명서 검사 및 플랫폼 무결성의 플랫폼 레벨 평가를 담당하는 절차403;
상기 액세스 청구자와 상기 액세스 컨트롤러 각각이 설정된 플랫폼 평가 전략에 따라 상대방에 대한 플랫폼 무결성 평가를 완성할 때까지 절차403을 여러 차례 실행하고 상기 상대방에 대한 플랫폼 무결성 평가가 완성되면 상기 전략 매니저는 상기 액세스 청구자와 상기 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 평가 결과를 생성하고 상기 액세스 청구자와 상기 액세스 컨트롤러에 송신하고; 상기 액세스 청구자는 상기 액세스 컨트롤러에 대한 플랫폼 평가 전략, 상기 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과와 상기 액세스 컨트롤러에 대한 플랫폼 무결성의 플랫폼 레벨 평가 결과에 근거하여 상기 액세스 컨트롤러에 대한 플랫폼 인증 결과를 생성하고; 상기 액세스 컨트롤러는 상기 액세스 청구자의 플랫폼 평가 전략, 상기 액세스 청구자의 플랫폼 신분 증명서의 검사 결과와 상기 액세스 청구자에 대한 플랫폼 무결성의 플랫폼 레벨 평가 결과에 근거하여 상기 액세스 청구자에 대한 플랫폼 인증 결과를 생성하는 절차404;
상기 액세스 청구자 또는 상기 액세스 컨트롤러가 사용자 신분 인증 과정을 진행할 것을 요구하지 않을 경우, 상기 액세스 청구자와 상기 액세스 컨트롤러는 로컬 안전 전략과 상대방에 대한 플랫폼 인증 결과에 근거하여 액세스 결정을 내리고 액세스 제어를 실행하며; 상기 액세스 청구자 또는 상기 액세스 컨트롤러가 사용자 신분 인증 과정을 진행할 것을 요구할 경우, 상기 액세스 청구자와 상기 액세스 컨트롤러는 상대방에 대한 사용자 신분 인증 결과, 상대방에 대한 플랫폼 인증 결과와 로컬 안전 전략에 근거하여 액세스 결정를 내리고 액세스 제어를 실행하는 절차405를 포함한다.
상기 절차 4 이후에 더 나아가
플랫폼 복구 후 다시 새로 플랫폼 인증을 진행하는 절차5를 더 포함한다.
상기 절차5는 구체적으로
만일 절차4를 실행 완료한 후 상기 액세스 청구자 또는 상기 액세스 컨트롤러가 플랫폼 복구 과정을 진행할 것을 요구하면 상기 액세스 청구자 또는 상기 액세스 컨트롤러는 플랫폼 복구를 진행하는 절차51;
상기 액세스 청구자 또는 상기 액세스 컨트롤러가 플랫폼 복구를 완성한 후 플랫폼 복구 과정에 의한 상기 액세스 청구자와 상기 액세스 컨트롤러 사이의 네트워크 연결성에 미친 영향과 로컬 안전 전략에 근거하여 절차2, 절차3 또는 절차4로 이동하는 절차52를 포함한다.
상기 절차 5 이후에 더 나아가
플랫폼 인증 후 활성화 된 새로운 플랫폼 인증을 진행하는데; 만일 상기 액세스 청구자 또는 상기 액세스 컨트롤러가 로컬 안전 전략에 근거하여 활성화 되여 새로운 플랫폼 인증 과정을 진행하면 로컬 안전 전략에 근거하여 절차3 또는 절차4로 이동하는 절차6을 포함한다.
본 발명은 또 실체 사이의 트러스트 통신에 적용될 수 있는데 구체적으로:
한개 액세스 청구자가 액세스 컨트롤러를 통해 네트워크에 연결 된 후 만일 상기 액세스 청구자가 네트워크 중의 다른 한개 액세스 청구자와 트러스트 통신을 진행할 것을 요구하면 상기 액세스 청구자, 상기 다른 한개 액세스 청구자와 전략 매니저는 상기 본 발명이 제공한 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법을 실행하여 상기 액세스 청구자와 상기 다른 한개 액세스 청구자 사이의 사용자 신분 인증과 플랫폼 인증을 실현하고 상기 액세스 청구자와 상기 다른 한개 액세스 청구자 사이의 트러스트 통신을 확보하는데 그중 상기 액세스 청구자 또는 상기 다른 한개 액세스 청구자는 모두 상기 본 발명이 제공한 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법 중의 액세스 청구자 역할 또는 액세스 컨트롤러 역할을 할 수 있다.
본 발명은 또 실체에 대한 트러스트 관리에 적용할 수 있는데 구체적으로:
전략 매니저가 네트워크 중에서 액세스 컨트롤러와 모든 액세스 청구자에 대해 트러스트 관리를 진행할 것을 요구할 경우, 만일 전략 매니저가 네트워크 중의 한개 액세스 청구자에 대해 트러스트 관리를 진행할 것을 요구하면 상기 액세스 청구자와 전략 매니저는 상기 본 발명이 제공하는 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법을 실행하여 전략 매니저가 상기 액세스 청구자에 대한 사용자 신분 인증과 플랫폼 인증을 실현하는데 그중 상기 액세스 청구자는 상기 본 발명이 제공하는 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법 중의 액세스 청구자 역할을 하고 전략 매니저는 상기 본 발명이 제공하는 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법 중의 액세스 컨트롤러 역할과 전략 매니저 역할을 하며; 만일 전략 매니저가 네트워크 중의 액세스 컨트롤러에 대해 트러스트 관리를 진행할 것을 요구하면 액세스 컨트롤러와 전략 매니저는 본 발명이 제공하는 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법을 실행하여 전략 매니저가 액세스 컨트롤러에 대한 사용자 신분 인증과 플랫폼 인증을 실현하는데 그중, 액세스 컨트롤러는 상기 본 발명이 제공하는 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법 중의 액세스 청구자 역할을 하고 전략 매니저는 상기 본 발명이 제공하는 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법 중의 액세스 컨트롤러 역할과 전략 매니저 역할을 한다.
본 발명은 아래와 같은 효과를 구비한다:
1. 본 발명은 액세스 청구자, 액세스 컨트롤러와 전략 매니저에 대해 트라이 요소 피어 인증 프로토콜을 실행하여 트러스트 네트워크 커넥트 실현 방법의 안전성을 증강하였다.
2. 본 발명은 TCG-TNC의 쌍 요소 트러스트 네트워크 커넥트 구조를 트라이 요소 피어 인증에 기초한 트러스티드 네트워크 구조로 확장하여 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법의 응용범위를 제고하였다.
3. 본 발명의 플랫폼 인증 과정은 한개 프로토콜을 채용하여 완성할 수도 있고 여러개 프로토콜을 채용하여 완성할 수도 있으며 부동한 네트워크 설비의 수요를 만족시킴과 동시에 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법의 효율을 제고하였다.
4. 본 발명은 실체적인 트러스트 네트워크 커넥트에 적용할 수도 있고 대등한 실체 사이의 트러스트 통신에도 적용할 수 있으며 또한 실체적인 트러스트 관리에 적용할 수도 있어 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법의 적용성을 제고하였다.
도 1은 종래기술의 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 구조의 개략도이고;
도 2는 본 발명의 제 1모드 하의 실시예1의 흐름도이며;
도 3은 본 발명의 제 1모드 하의 실시예2의 흐름도이며;
도 4는 본 발명의 제 2모드 하의 실시예1의 흐름도이며;
도 5는 본 발명의 제 2모드 하의 실시예2의 흐름도이다
본 발명이 제공한 방법은 두가지 모드가 있는데 도 2는 본 발명의 제 1모드 하의 실시예1의 흐름도이고 도 3은 본 발명의 제 1모드 하의 실시예2의 흐름도이다. 도 2와 도 3을 참조하면 제 1모드 하에서 본 발명은 구체적으로 아래와 같은 절차를 포함한다.
절차1: 설정과 초기화를 진행한다. 그중, 상기 절차1은:
절차11: 네트워크 사용자가 액세스 청구자에게 액세스 컨트롤러에 대한 안전 전략을 설정하는데 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 평가 전략을 포함하고; 네트워크 관리자가 액세스 컨트롤러에게 액세스 청구자에 대한 안전 전략을 설정하는데 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 평가 전략을 포함한다. 그중, 액세스 컨트롤러가 액세스 청구자에 대해 플랫폼 평가 전략을 설정하는 절차는 절차42에 따라 동적으로 실현하고;
절차12: 액세스 청구자와 액세스 컨트롤러는 각자의 무결성 수집자를 로드하고 초기화하고 전략 매니저는 무결성 검증자를 로드하고 초기화를 진행한다.
구체적으로 절차12는 아래와 같은 절차를 포함할 수 있다. 즉
절차121: TNC 클라이언트 사이드가 시동되면 TNC 클라이언트 사이드는 우선 액세스 청구자의 무결성 수집 인터페이스(Integrity Measurement Collector Interface;이하 IF-IMC로 약칭함)를 통해 액세스 청구자의 각 무결성 수집자를 로드한 후 액세스 청구자의 무결성 수집 인터페이스 IF-IMC를 통해 액세스 청구자의 각 무결성 수집자를 초기화하는데 그중, 로드 과정에서 TNC 클라이언트 사이드는 액세스 청구자의 각 무결성 수집자의 무결성을 검사하고;
절차122: TNC 액세스 포인트가 시동되면 TNC 액세스 포인트는 우선 액세스 컨트롤러의 무결성 수집 인터페이스 IF-IMC를 통해 액세스 컨트롤러의 각 무결성 수집자를 로드한 후 액세스 컨트롤러의 무결성 수집 인터페이스 IF-IMC를 통해 액세스 컨트롤러의 각 무결성 수집자를 초기화하는데 그중, 로드 과정 중에서 TNC 액세스 포인트는 액세스 컨트롤러의 각 무결성 수집자의 무결성을 검사할 수 있으며;
절차123: 전략 평가 서비스 공급자가 시동 되면 전략 평가 서비스 공급자는 우선 무결성 검증 인터페이스(Integrity Measurement Verifier Interface;아래에 IF-IMV로 약칭 함)를 통해 각 무결성 검증자를 로드한 후 무결성 검증 인터페이스IF-IMV를 통해 각 무결성 검증자를 초기화하는데 그중, 로드 과정에서 전략 평가 서비스 공급자는 각 무결성 검증자의 무결성을 검사할 수 있다.
절차2: 네트워크 연결을 청구한다:네트워크 액세스 청구자는 네트워크 액세스 컨트롤러에게 네트워크 연결 청구를 송신하고 네트워크 액세스 컨트롤러는 상기 네트워크 연결 청구를 수신한다.
절차3: 사용자 신분 인증을 진행한다. 그중, 상기 절차3은 아래와 같은 절차를 포함한다:
절차31: 만일 액세스 청구자 또는 액세스 컨트롤러가 사용자 신분 인증 과정을 진행할 것을 요구하지 않으면 절차33을 실행하고;
절차32: 만일 액세스 청구자 또는 액세스 컨트롤러가 사용자 신분 인증 과정을 진행할 것을 요구하면 액세스 청구자와 액세스 컨트롤러가 사용자 신분 인증 과정을 진행하지 않았을 경우 네트워크 액세스 청구자와 네트워크 액세스 컨트롤러는 인증 전략 서비스 공급자가 신뢰자 임을 조건으로 한 트라이 요소 피어 인증 프로토콜을 실행하여 액세스 청구자와 액세스 컨트롤러 사이의 사용자 신분 인증 및 키 합의(key agreement)를 실현하고 절차33을 실행하며;액세스 청구자와 액세스 컨트롤러가 이미 사용자 신분 인증 과정을 실행하였을 경우 네트워크 액세스 청구자와 네트워크 액세스 컨트롤러는 이미 실행한 사용자 신분 인증 과정에 근거하여 액세스 청구자와 액세스 컨트롤러 사이의 사용자 신분 인증 및 키 합의를 실현할 수도 있고 새로 다시 인증 전략 서비스 공급자가 신뢰자 임을 조건으로 한 트라이 요소 피어 인증 프로토콜을 실행하여 액세스 청구자와 액세스 컨트롤러 사이의 사용자 신분 인증 및 키 합의를 실현하고 절차33을 실행하며;
절차33: 만일 액세스 청구자 또는 액세스 컨트롤러가 즉시 액세스 결정을 요구하면 액세스 청구자 또는 액세스 컨트롤러가 사용자 신분 인증 과정을 진행할 것을 요구하지 않을 경우 네트워크 액세스 청구자와 네트워크 액세스 컨트롤러는 로컬 안전 전략에 의거하여 액세스 결정을 내리고 액세스 제어를 실행하고; 액세스 청구자 또는 액세스 컨트롤러가 사용자 신분 인증 과정을 진행할 것을 요구할 경우 네트워크 액세스 청구자와 네트워크 액세스 제어 장치는 상대방에 대한 사용자 신분 인증 결과와 로컬 안전 전략에 의거하여 액세스 결정을 내리고 액세스 제어를 실행하는데 그렇지 아니할 경우 네트워크 액세스 청구자는 TNC 클라이언트 사이드에게 플랫폼 인증 과정을 실행할 것을 청구하거나 또는 네트워크 액세스 컨트롤러가 TNC 액세스 포인트에 플랫폼 인증 과정을 실행할 것을 청구한다.
절차4: 플랫폼 인증을 진행한다. 그중 상기 절차4는 아래와 같은 절차를 포함한다:
절차41: 만일 액세스 청구자 또는 액세스 컨트롤러가 온라인으로 전략 매니저에 플랫폼 신분 증명서를 청구하면 네트워크 액세스 청구자 또는 네트워크 액세스 컨트롤러는 온라인으로 전략 평가 서비스 공급자에 플랫폼 신분 증명서를 청구하고;
절차42: 만일 네트워크 관리자가 액세스 컨트롤러에 액세스 청구자에 대한 플랫폼 평가 전략을 설정하지 않으면 TNC 액세스 포인트는 전략 평가 서비스 공급자에 액세스 청구자에 대한 플랫폼 평가 전략을 청구한 다음 전략 평가 서비스 공급자는 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 평가 전략을 TNC 액세스 포인트에 송신하며 TNC 액세스 포인트는 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 평가 전략을 수신한 후 설정을 진행하며;
절차43: 액세스 청구자와 액세스 컨트롤러는 전략 매니저가 신뢰자 인 트라이 요소 피어 인증 프로토콜을 실행하여 액세스 청구자와 액세스 컨트롤러 사이의 플랫폼 인증(플랫폼 신분 검사와 플랫폼 무결성 평가를 포함)을 실현하는데 그중 전략 매니저는 액세스 청구자와 액세스 컨트롤러의 플랫폼 신분 증명서 검사 및 플랫폼 무결성의 무결성 검증자 레벨 평가를 담당하며, 구체적인 절차는 도 2와 도 3에 도시 된 바와 같이 아래와 같다:
절차431: TNC 액세스 포인트는 우선 액세스 청구자에 대한 플랫폼 평가 전략에 근거하여 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP - AR와 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 무결성의 무결성 검증자 레벨 평가 전략 EvalIMVs - AR을 생성한 후 TNC 클라이언트 사이드에 메세지1을 송신하는데 상기 메세지1은 액세스 컨트롤러의 인증 표식NAC, 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK - AC, 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보 ParmP - AR와 기타 파라미터Text1를 포함하며;
절차432: TNC클라이언트 사이드는 메세지1을 수신한 후 우선 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP-A에 근거하여 액세스 청구자의 각 무결성 수집자로부터 상응한 액세스 청구자의 플랫폼 무결성 계측 로그LogAR를 획득한 후 액세스 청구자의 플랫폼 무결성 계측 로그LogAR에 근거하여 액세스 청구자의 트러스트 플랫폼 모듈로부터 상응한 액세스 청구자의 플랫폼 설정 레지스터 값PCRsAR과, 액세스 청구자의 플랫폼 신분 증명서CertAIK-AR에 대응하는 비밀 키를 사용하여 액세스 컨트롤러에 대한 인증 표식NAC과 액세스 청구자의 플랫폼설정 레지스터 값PCRsAR의 사인[NAC, PCRsAR]Sig-ARP를 획득하고 액세스 컨트롤러의 플랫폼 평가 전략에 대해 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보ParmP-AC와 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 무결성의 무결성 검증자 레벨 평가 전략 EvalIMVs-AC를 생성하며 마지막에 TNC액세스 포인트에 메세지2를 송신하는데 상기 메세지2는 액세스 청구자의 플랫폼 설정 레지스터 값 PCRsAR, 액세스 청구자의 플랫폼 무결성 계측 로그LogAR, 액세스 청구자의 플랫폼 신분 증명서CertAIK-AR에 대응하는 비밀 키를 사용하여 액세스 컨트롤러에 대한 인증 표식NAC와 액세스 청구자의 플랫폼 설정 레지스터 값PCRsAR의 사인[NAC, PCRsAR]Sin-ARP, 액세스 청구자의 도전NAR, 액세스 청구자의 플랫폼 신분 증명서CertAIK-AR, 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보ParmP-AC, 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 무결성의 무결성 검증자 레벨 평가 전략 EvalIMVs-AC와 기타 파라미터Text2를 포함하며;
절차433: TNC 액세스 포인트는 메세지2를 수신한 후 우선 액세스 청구자의 플랫폼 신분 증명서CertAIK-AR에 대응하는 비밀 키를 사용하여 액세스 컨트롤러에 대한 인증 표식NAC와 액세스 청구자의 플랫폼 설정 레지스터 값PCRsAR의 사인[NAC, PCRsAR]Sin-ARP의 유효성을 검사하고 만일 검사에 통과하지 못하면 상기 메세지를 폐기하고 그렇지 아니하면 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보ParmP-AC에 근거하여 액세스 컨트롤러의 각 무결성 수집자로부터 상응한 액세스 컨트롤러의 플랫폼 무결성 계측 로그LogAC를 획득한 후 액세스 컨트롤러의 플랫폼 무결성 계측 로그LogAC에 근거하여 액세스 컨트롤러의 트러스트 계산 모듈로부터 상응한 액세스 컨트롤러의 플랫폼 설정 레지스터 값PCRsAC와 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC에 대응하는 비밀 키를 사용하여 액세스 청구자에 대한 도전NAR과 액세스 컨트롤러의 플랫폼 설정 레지스터 값PCRsAC의 사인 [NAR, PCRsACSig-ACP를 획득하며 마지막으로 전략 평가 서비스 공급자에게 메세지3을 송신하는데 상기 메세지3은 액세스 컨트롤러의 도전NAC-PM, 액세스 청구자의 도전NAR, 액세스 청구자의 플랫폼 신분 증명서CertAIK-AR, 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC, 액세스 청구자의 플랫폼 설정 레지스터 값PCRsAR, 액세스 청구자의 플랫폼 무결성 계측 로그LogAR, 액세스 컨트롤러의 플랫폼 설정 레지스터 값PCRsAC, 액세스 컨트롤러의 플랫폼 무결성 계측 로그LogAC, 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP-AR, 액세스 컨트롤러가 액세스 청구자의 플랫폼 무결성에 대한 무결성 검증자 레벨 평가 전략EvalIMVs-AR, 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보ParmP-AC, 액세스 청구자가 액세스 컨트롤러의 플랫폼 무결성에 대한 무결성 검증자 레벨 평가 전략EvalIMVs-AC와 기타 파라미터Text3을 포함하며;
절차434: 전략 평가 서비스 공급자가 메세지3을 수신한 후 우선 액세스 청구자의 플랫폼 신분 증명서의 검사 결과ReAIK-AR와 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC를 생성하는데 만일 액세스 청구자의 플랫폼 신분 증명서가 유효하면 우선 액세스 청구자의 플랫폼 설정 레지스터 값PCRsAR를 이용하여 액세스 청구자의 플랫폼 무결성 계측 로그LogAR의 정확성을 검증하고 만일 액세스 청구자의 플랫폼 무결성 계측 로그LogAR가 정확하지 않으면 상기 메세지를 폐기하고 그렇지 아니하면 액세스 청구자의 플랫폼 무결성 계측 로그LogAR, 액세스 컨트롤러가 액세스 청구자의 플랫폼 무결성에 대한 무결성 검증자 레벨 평가 전략EvalIMVs-AR 및 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP-AR을 각 무결성 검증자에게 송신한 후 각 무결성 검증자는 액세스 청구자의 플랫폼 무결성 계측 로그LogAR, 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 무결성의 무결성 검증자 레벨 평가 전략EvalIMVs-AR 및 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP-AR에 근거하여 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과ReIMVs-AR과 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보RemIMVs-A를 생성하여 전략 평가 서비스 공급자에게 송신하는데 만일 액세스 컨트롤러의 플랫폼 신분 증명서가 유효하면 우선 액세스 컨트롤러의 플랫폼 설정 레지스터 값PCRsAC을 이용하여 액세스 컨트롤러의 플랫폼 무결성 계측 로그LogAC의 정확성을 검증하는데 만일 액세스 컨트롤러의 플랫폼 무결성 계측 로그 LogAC가 정확하지 않으면 상기 메세지를 폐기하고 그렇지 아니하면 액세스 컨트롤러의 플랫폼 무결성 계측 로그LogAC, 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 무결성의 무결성 검증자 레벨 평가 전략 EvalIMVs-AC와 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보 ParmP-AC를 각 무결성 검증자에게 송신한 후 각 무결성 검증자는 액세스 컨트롤러의 플랫폼 무결성 계측 로그LogAC, 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 무결성의 무결성 검증자 레벨 평가 전략EvalIMVs-AC 및 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보ParmP-AC에 근거하여 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과ReIMVs-AC와 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보RemIMVs-AC를 생성하여 전략 평가 서비스 공급자에게 송신한 후 전략 평가 서비스 공급자는 액세스 청구자의 플랫폼 무결성 계측 로그LogAR에 근거하여 실제 수신한 액세스 청구자의 플랫폼 무결성 계측 정보ParmPP-AR를 생성하고 액세스 컨트롤러의 플랫폼 무결성 계측 로그LogAC에 근거하여 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC를 생성한 후 마지막에 TNC 액세스 포인트에 메세지4를 송신한다. 그중 메세지4의 구성 형식은 두가지가 있는데 제 1구성 형식 하에서 메세지4는 액세스 청구자의 플랫폼 신분 증명서의 검사 결과ReAIK-AR, 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과 ReIMVs-AR, 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보RemIMVs-AR, 실제 수신한 액세스 청구자의 플랫폼 무결성 계측 정보ParmPP-AR, 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC, 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과ReIMVs-AC, 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보RemIMVs-AC, 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC, 전략 매니저의 사용자 신분 증명서 CertUser-PM에 대응하는 비밀 키를 사용하여 액세스 컨트롤러에 대한 도전NAC-PM, 액세스 청구자의 플랫폼 신분 증명서CertAIK-AR, 액세스 청구자의 플랫폼 신분 증명서의 검사 결과ReAIK-AR, 액세스 청구자의 플랫폼 설정 레지스터 값PCRsAR, 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP-AR, 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 무결성의 무결성 검증자 레벨 평가 전략 EvalIMVs-AR, 실제 수신한 액세스 청구자의 플랫폼 무결성 계측 정보 ParmPP-AR, 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과ReIMVs-AR, 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보 RemIMVs-AR, 액세스 청구자의 도전NAR, 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC, 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC , 액세스 컨트롤러의 플랫폼 설정 레지스터 값 PCRsAC, 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보 ParmP-AC, 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 무결성의 무결성 검증자 레벨 평가 전략EvalIMVs-AC, 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC, 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과ReIMVs-AC, 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보RemIMVs-AC 및 기타 파라미터Text6의 사인 [NAC-PM, CertAIK-AR, ReAIK-AR , PCRsAR, ParmP-AR, EvalIMVs-AR, ParmPP-AR, ReIMVs-AR , RemIMVs-AR, NAR, CertAIK-AC, ReAIK-AC, PCRsAC, ParmP-AC, EvalIMVs-AC, ParmPP-AC, ReIMVs-AC , RemIMVs-AC, Text6] Sig-PMU 및 기타 파라미터Text4를 포함하고;제 2구성 형식 하에서 메세지4는 액세스 청구자의 플랫폼 신분 증명서의 검사 결과ReAIK-AR, 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과ReIMVs-AR, 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보 RemIMVs-AR, 실제 수신한 액세스 청구자의 플랫폼 무결성 계측 정보 ParmPP-AR, 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC, 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과 ReIMVs-AC, 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보RemIMVs-AC, 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC, 전략 매니저의 사용자 신분 증명서 CertUser-PM에 대응하는 비밀 키를 사용하여 액세스 컨트롤러에 대한 도전NAC-PM, 액세스 청구자의 플랫폼 신분 증명서CertAIK-AR, 액세스 청구자의 플랫폼 신분 증명서의 검사 결과ReAIK-AR, 액세스 청구자의 플랫폼 설정 레지스터 값PCRsAR, 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP-AR, 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 무결성의 무결성 검증자 레벨 평가 전략EvalIMVs-AR, 실제 수신한 액세스 청구자의 플랫폼 무결성 계측 정보 ParmPP-AR, 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과 ReIMVs-AR, 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보RemIMVs-AC 및 기타 파라미터Text6의 사인 [NAC-PM, CertAIK-AR, ReAIK-AR , PCRsAR, ParmP-AR, EvalIMVs-AR, ParmPP-AR, ReIMVs-AR , RemIMVs-AC, 기타 파라미터 Text6] Sig-PMU, 전략 매니저의 사용자 신분 증명서CertUser-PM에 대응하는 비밀 키를 사용하여 액세스 청구자에 대한 도전NAR, 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC, 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC , 액세스 컨트롤러의 플랫폼 설정 레지스터 값 PCRsAC, 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보ParmP-AC, 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 무결성의 무결성 검증자 레벨 평가 전략EvalIMVs-AC, 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC, 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과ReIMVs-AC, 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보RemIMVs-AR 및 기타 파라미터Text7의 사인 [NAR, CertAIK-AC, ReAIK-AC, PCRsAC, ParmP-AC, EvalIMVs-AC, ParmPP-AC, ReIMVs-AC , RemIMVs-AR, 기타 파라미터Text7] Sig-PMU와 기타 파라미터Text4를 포함하며;
절차435: TNC 액세스 포인트가 메세지4를 수신한 후 만일 메세지4가 제 1구성 형식이면 우선 전략 매니저의 사용자 신분 증명서 CertUser-PM에 대응하는 비밀 키를 사용하여 액세스 컨트롤러에 대한 도전NAC-PM, 액세스 청구자의 플랫폼 신분 증명서CertAIK-AR, 액세스 청구자의 플랫폼 신분 증명서의 검사 결과ReAIK-AR, 액세스 청구자의 플랫폼 설정 레지스터 값PCRsAR, 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP-AR, 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 무결성의 무결성 검증자 레벨 평가 전략 EvalIMVs-AR, 실제 수신한 액세스 청구자의 플랫폼 무결성 계측 정보 ParmPP-AR, 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과 ReIMVs-AR, 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보 RemIMVs-AR, 액세스 청구자의 도전NAR, 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC, 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC , 액세스 컨트롤러의 플랫폼 설정 레지스터 값 PCRsAC, 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보 ParmP-AC, 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 무결성의 무결성 검증자 레벨 평가 전략EvalIMVs-AC, 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC, 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과ReIMVs-AC, 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보RemIMVs-AC 및 기타 파라미터Text6의 사인 [NAC-PM, CertAIK-AR, ReAIK-AR , PCRsAR, ParmP-AR, EvalIMVs-AR, ParmPP-AR, ReIMVs-AR , RemIMVs-AR, NAR, CertAIK-AC, ReAIK-AC, PCRsAC, ParmP-AC, EvalIMVs-AC, ParmPP-AC, ReIMVs-AC , RemIMVs-AC, Text6] Sig-PMU의 유효성을 검사하고 만일 검사를 통과하지 못하면 상기 메세지를 폐기하고 그렇지 아니하면 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보RemIMVs-AC를 액세스 컨트롤러의 대응되는 무결성 수집자에게 송신하고 마지막으로 TNC 클라이언트 사이드에 메세지5 (제 1구조형식)를 송신하는데 상기 메세지5는 액세스 컨트롤러의 도전NAC-PM, 액세스 컨트롤러의 플랫폼 설정 레지스터 값PCRsAC, 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC에 대응하는 비밀 키를 사용하여 액세스 청구자에 대한 도전NAR과 액세스 컨트롤러의 플랫폼 설정 레지스터 값PCRsAC의 사인[NAR, PCRsACSig-ACP, 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 무결성의 무결성 검증자 레벨 평가 전략EvalIMVs-AR, 액세스 청구자에 대한 플랫폼 인증 결과Reaccess, 메세지4와 가타 파라미터Text5를 포함하고; 만일 메세지4가 제 2구성 형식이면 우선 전략 매니저의 사용자 신분 증명서 CertUser-PM에 대응하는 비밀 키를 사용하여 액세스 컨트롤러에 대한 도전NAC-PM, 액세스 청구자의 플랫폼 신분 증명서CertAIK-AR, 액세스 청구자의 플랫폼 신분 증명서의 검사 결과ReAIK-AR, 액세스 청구자의 플랫폼 설정 레지스터 값PCRsAR, 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP-AR, 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 무결성의 무결성 검증자 레벨 평가 전략EvalIMVs-AR, 실제 수신한 액세스 청구자의 플랫폼 무결성 계측 정보 ParmPP-AR, 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과 ReIMVs-AR, 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보RemIMVs-AC 및 기타 파라미터Text6의 사인 [NAC-PM, CertAIK-AR, ReAIK-AR , PCRsAR, ParmP-AR, EvalIMVs-AR, ParmPP-AR, ReIMVs-AR , ReIMVs-AC , 기타 Text6] Sig-PMU의 유효성을 검사하고 만일 검사를 통과하지 못하면 상기 메세지를 폐기하고 그렇지 아니하면 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보RemIMVs-AR를 액세스 청구자의 대응되는 무결성 수집자에게 송신하고 마지막으로 TNC 클라이언트 사이드에 메세지5(제 2구성 형식)를 송신하는데 상기 메세지5 는 액세스 컨트롤러의 도전NAC-PM, 액세스 컨트롤러의 플랫폼 설정 레지스터 값 PCRsAC, 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC에 대응하는 비밀 키를 사용하여 액세스 청구자에 대한 도전NAR과 액세스 컨트롤러의 플랫폼 설정 레지스터 값PCRsAC의 사인[NAR, PCRsACSig-ACP, 액세스 청구자에 대한 플랫폼 인증 결과Reaccess, 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC, 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과ReIMVs-AC, 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보RemIMVs-AR, 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC, 전략 매니저의 사용자 신분 증명서CertUser-PM에 대응하는 키를 사용하여 액세스 청구자에 대한 도전NAR, 액세스 컨트롤러의 플랫폼 신분 증명서 CertAIK-AC, 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC , 액세스 컨트롤러의 플랫폼 설정 레지스터 값 PCRsAC, 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보ParmP-AC, 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 무결성의 무결성 검증자 레벨 평가 전략EvalIMVs-AC, 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC, 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과ReIMVs-AC, 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보RemIMVs-AR 및 기타 파라미터Text7의 사인 [NAR, CertAIK-AC, ReAIK-AC, PCRsAC, ParmP-AC, EvalIMVs-AC, ParmPP-AC, ReIMVs-AC , RemIMVs-AR, 기타 파라미터Text7] Sig-PMU와 기타 파라미터Text5를 포함하며;
절차436: TNC 클라이언트 사이드가 메세지5를 수신한 후 만일 메세지5가 제 1 구성 형식이면 우선 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC에 대응하는 비밀 키를 사용하여 액세스 청구자에 대한 도전NAR과 액세스 컨트롤러의 플랫폼 설정 레지스터 값PCRsAC의 사인[NAR, PCRsACSig-ACP의 유효성을 검사하는데 검사를 통과하지 못하면 상기 메세지를 폐기하고 그렇지 아니하면 정보4중의 전략 매니저의 사용자 신분 증명서 CertUser-PM에 대응하는 비밀 키를 사용하여 액세스 컨트롤러에 대한 도전NAC-PM, 액세스 청구자의 플랫폼 신분 증명서CertAIK-AR, 액세스 청구자의 플랫폼 신분 증명서의 검사 결과 ReAIK-AR, 액세스 청구자의 플랫폼 설정 레지스터 값PCRsAR, 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP-AR, 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 무결성의 무결성 검증자 레벨 평가 전략EvalIMVs-AR, 실제 수신한 액세스 청구자의 플랫폼 무결성 계측 정보 ParmPP-AR, 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과 ReIMVs-AR, 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보 RemIMVs-AR, 액세스 청구자의 도전NAR, 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC, 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC , 액세스 컨트롤러의 플랫폼 설정 레지스터 값 PCRsAC, 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보ParmP-AC, 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 무결성의 무결성 검증자 레벨 평가 전략EvalIMVs-AC, 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC, 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과ReIMVs-AC, 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보RemIMVs-AC 및 기타 파라미터Text6의 사인 [NAC-PM, CertAIK-AR, ReAIK-AR , PCRsAR, ParmP-AR, EvalIMVs-AR, ParmPP-AR, ReIMVs-AR , RemIMVs-AR, NAR, CertAIK-AC, ReAIK-AC, PCRsAC, ParmP-AC, EvalIMVs-AC, ParmPP-AC, ReIMVs-AC , RemIMVs-AC, Text6] Sig-PMU의 유효성을 검사하는데 검사를 통과하지 못하면 상기 메세지를 폐기하고 그렇지 아니할 경우 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보RemIMVs-AR를 액세스 청구자의 대응하는 무결성 수집자에 송신하며; 만일 메세지5가 제 2구성 형식 이면 우선 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC에 대응하는 비밀 키를 사용하여 액세스 청구자에 대한 도전NAR과 액세스 컨트롤러의 플랫폼 설정 레지스터 값PCRsAC의 사인[NAR, PCRsACSig-ACP의 유효성을 검사하는데 검사를 통과하지 못하면 상기 메세지를 폐기하고 그렇지 아니하면 전략 매니저의 사용자 신분 증명서 CertUser-PM에 대응하는 키를 사용하여 액세스 청구자에 대한 도전NAR, 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC, 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC , 액세스 컨트롤러의 플랫폼 설정 레지스터 값 PCRsAC, 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보ParmP-AC, 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 무결성의 무결성 검증자 레벨 평가 전략EvalIMVs-AC, 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC, 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과ReIMVs-AC, 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보 RemIMVs-AR 및 기타 파라미터Text7의 사인 [NAR, CertAIK-AC, ReAIK-AC, PCRsAC, ParmP-AC, EvalIMVs-AC, ParmPP-AC, ReIMVs-AC , RemIMVs-AR, 기타 파라미터Text7] Sig-PMU의 유효성을 검사하는데 검사를 통과하지 못하면 상기 메세지를 폐기하고 그렇지 아니하면 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보RemIMVs-AR를 액세스 청구자의 대응되는 무결성 수집자에 송신하며;
절차44: 만일 실제 수신한 액세스 청구자의 플랫폼 무결성 계측 정보ParmPP-AR와 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP-AR가 부동하거나 또는 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC와 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보ParmP-AC가 부동하면 액세스 청구자와 액세스 컨트롤러가 설정 된 플랫폼 평가 전략에 따라 상대방에 대한 플랫폼 무결성 평가를 완성할 때까지 다시 재차 절차43을 실행할 필요가 있고 TNC 클라이언트 사이드는 액세스 컨트롤러의 플랫폼 평가 전략과 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과ReIMVs-AC에 따라 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 평가 결과ReP-AC를 생성한 후 액세스 컨트롤러의 플랫폼 평가 전략, 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC와 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 평가 결과ReP-AC에 근거하여 액세스 컨트롤러의 플랫폼 인증 결과를 생성하고 마지막으로 액세스 컨트롤러에 대한 플랫폼 인증 결과를 네트워크 액세스 청구자에게 송신하며;TNC 액세스 포인트는 액세스 청구자의 플랫폼 평가 전략과 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과ReIMVs-AR에 근거하여 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 평가 결과ReP-AR를 생성한 후 액세스 청구자에 대한 플랫폼 평가 전략, 액세스 청구자의 플랫폼 신분 증명서의 검사 결과ReAIK-AR와 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 평가 결과ReP-AR에 근거하여 액세스 청구자에 대한 플랫폼 인증 결과Reaccess를 생성하며 마지막으로 액세스 청구자의 플랫폼 인증 결과Reaccess를 네트워크 액세스 컨트롤러에게 송신하며;
절차45: 액세스 청구자 또는 액세스 컨트롤러가 사용자 신분 인증 과정을 진행할 것을 요구하지 않을 경우, 네트워크 액세스 청구자와 네트워크 액세스 컨트롤러는 로컬 안전 전략과 상대방에 대한 플랫폼 인증 결과에 근거하여 액세스 결정을 내리고 액세스 제어를 실행하며; 액세스 청구자 또는 액세스 컨트롤러가 사용자 신분 인증 과정을 진행할 것을 요구할 경우, 네트워크 액세스 청구자와 네트워크 액세스 컨트롤러는 상대방에 대한 사용자 신분 인증 결과, 상대방에 대한 플랫폼 인증 결과와 로컬 안전 전략에 근거하여 액세스 결정를 내리고 액세스 제어를 실행하며;
절차5: 플랫폼 복구 후 다시 새로 플랫폼 인증을 진행한다. 그중 상기 절차5는 아래와 같은 절차를 포함한다:
절차51: 만일 절차4를 실행 완료한 후 액세스 청구자 또는 액세스 컨트롤러가 플랫폼 복구 과정을 진행할 것을 요구하면 액세스 청구자의 각 무결성 수집자는 액세스 청구자의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보RemIMVs-AR에 근거하여 플랫폼 복구를 진행하거나 또는 액세스 컨트롤러의 각 무결성 수집자는 액세스 컨트롤러의 플랫폼 무결성의 무결성 검증자 레벨 복구 정보RemIMVs-AC에 근거하여 플랫폼 복구를 진행하며;
절차52: 액세스 청구자의 각 무결성 수집자는 플랫폼 복구를 완성한 후 TNC클라이언트 사이드에게 새로운 플랫폼 인증 과정을 진행할 것을 통지하거나 또는 액세스 컨트롤러의 각 무결성 수집자는 플랫폼 복구를 완성한 후 TNC액세스 포인트에게 새로운 플랫폼 인증 과정을 진행할 것을 통지하며 TNC 클라이언트 사이드 또는 TNC 액세스 포인트는 플랫폼 복구 과정이 액세스 청구자와 액세스 컨트롤러 사이의 네트워크 연결성에 대한 영향과 로컬 안전 전략에 근거하여 절차2, 절차3 또는 절차4로 이동하며;
절차6: 플랫폼 인증 후 활성화 된 새로운 플랫폼 인증을 진행하는데; 만일 액세스 청구자의 각 무결성 수집자 또는 TNC 클라이언트 사이드, 액세스 컨트롤러의 각 무결성 수집자 또는 TNC 액세스 포인트가 로컬 안전 전략에 근거하여 활성화 되여 새로운 플랫폼 인증 과정을 진행하면 로컬 안전 전략에 근거하여 절차3 또는 절차4로 이동한다.
도 4는 본 발명의 제 2모드 하의 실시예1의 흐름도이고 도 5는 본 발명의 제 2모드 하의 실시예2의 흐름도이다. 도 4와 도 5를 참조하면 제 2 모드 하에서 본 발명은 구체적으로 아래와 같은 절차를 포함한다:
절차10: 설정과 초기화를 진행한다. 그중, 상기 절차10은:
절차101: 네트워크 사용자가 액세스 청구자에게 액세스 컨트롤러에 대한 안전 전략을 설정하는데 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 평가 전략을 포함한다. 네트워크 관리자가 액세스 컨트롤러에게 액세스 청구자에 대한 안전 전략을 설정하는데 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 평가 전략을 포함하는데 그중, 액세스 컨트롤러가 액세스 청구자에 대해 플랫폼 평가 전략을 설정하는 절차는 절차42에 따라 동적으로 실현할 수 있고;
절차102: 액세스 청구자와 액세스 컨트롤러는 각자의 무결성 수집자를 로드하고 초기화하고 전략 매니저는 무결성 검증자를 로드하고 초기화를 진행한다.
구체적으로 절차12는 아래와 같은 절차를 포함할 수 있다. 즉
절차1021: TNC 클라이언트 사이드가 시동되면 TNC 클라이언트 사이드는 우선 액세스 청구자의 무결성 수집 인터페이스를 통해 액세스 청구자의 각 무결성 수집자를 로드한 후 액세스 청구자의 무결성 수집 인터페이스 IF-IMC를 통해 액세스 청구자의 각 무결성 수집자를 초기화하는데 그중, 로드 과정에서 TNC 클라이언트 사이드는 액세스 청구자의 각 무결성 수집자의 무결성을 검사하고;
절차1022: TNC 액세스 포인트가 시동되면 TNC 액세스 포인트는 우선 액세스 컨트롤러의 무결성 수집 인터페이스 IF-IMC를 통해 액세스 컨트롤러의 각 무결성 수집자를 로드한 후 액세스 컨트롤러의 무결성 수집 인터페이스 IF-IMC를 통해 액세스 컨트롤러의 각 무결성 수집자를 초기화하는데 그중, 로드 과정 중에서 TNC 액세스 포인트는 액세스 컨트롤러의 각 무결성 수집자의 무결성을 검사할 수 있으며;
절차1023: 전략 평가 서비스 공급자가 시동 되면 전략 평가 서비스 공급자는 우선 무결성 검증 인터페이스를 통해 각 무결성 검증자를 로드한 후 무결성 검증 인터페이스IF-IMV를 통해 각 무결성 검증자를 초기화하는데 그중, 로드 과정에서 전략 평가 서비스 공급자는 각 무결성 검증자의 무결성을 검사할 수 있다.
절차20: 네트워크 연결을 청구한다:네트워크 액세스 청구자는 네트워크 액세스 컨트롤러에게 네트워크 연결 청구를 송신하고 네트워크 액세스 컨트롤러는 상기 네트워크 연결 청구를 수신한다.
절차30: 사용자 신분 인증을 진행한다. 그중, 상기 절차30은 아래와 같은 절차를 포함한다:
절차301: 만일 액세스 청구자 또는 액세스 컨트롤러가 사용자 신분 인증 과정을 진행할 것을 요구하지 않으면 절차303로 이동하고;
절차302: 만일 액세스 청구자 또는 액세스 컨트롤러가 사용자 신분 인증 과정을 진행할 것을 요구하면 액세스 청구자와 액세스 컨트롤러가 사용자 신분 인증 과정을 진행하지 않았을 경우 네트워크 액세스 청구자와 네트워크 액세스 컨트롤러는 인증 전략 서비스 공급자가 신뢰자 인 트라이 요소 피어 인증 프로토콜을 실행하여 액세스 청구자와 액세스 컨트롤러 사이의 사용자 신분 인증 및 키 합의를 실현하고 절차303을 실행하며;액세스 청구자와 액세스 컨트롤러가 이미 사용자 신분 인증 과정을 실행하였을 경우 네트워크 액세스 청구자와 네트워크 액세스 컨트롤러는 이미 실행한 사용자 신분 인증 과정에 근거하여 액세스 청구자와 액세스 컨트롤러 사이의 사용자 신분 인증 및 키 합의를 실현할 수도 있고 새로 다시 인증 전략 서비스 공급자가 신뢰자 인 트라이 요소 피어 인증 프로토콜을 실행하여 액세스 청구자와 액세스 컨트롤러 사이의 사용자 신분 인증 및 키 합의를 실현하고 절차303을 실행하며;
절차303: 만일 액세스 청구자 또는 액세스 컨트롤러가 즉시 액세스 결정을 요구하면 액세스 청구자 또는 액세스 컨트롤러가 사용자 신분 인증 과정을 진행할 것을 요구하지 않을 경우 네트워크 액세스 청구자와 네트워크 액세스 컨트롤러는 로컬 안전 전략에 의거하여 액세스 결정을 내리고 액세스 제어를 실행하고; 액세스 청구자 또는 액세스 컨트롤러가 사용자 신분 인증 과정을 진행할 것을 요구할 경우 네트워크 액세스 청구자와 네트워크 액세스 컨트롤러는 상대방에 대한 사용자 신분 인증 결과와 로컬 안전 전략에 의거하여 액세스 결정을 내리고 액세스 제어를 실행하는데 그렇지 아니할 경우 네트워크 액세스 청구자는 TNC 클라이언트 사이드에게 플랫폼 인증 과정을 실행할 것을 청구하거나 또는 네트워크 액세스 컨트롤러가 TNC 액세스 포인트에 플랫폼 인증 과정을 실행할 것을 청구한다.
절차40: 플랫폼 인증을 진행한다. 그중 상기 절차40는 아래와 같은 절차를 포함한다:
절차401: 만일 액세스 청구자 또는 액세스 컨트롤러가 온라인으로 전략 매니저에 플랫폼 신분 증명서를 청구하면 네트워크 액세스 청구자 또는 네트워크 액세스 제어 장치는 온라인으로 전략 평가 서비스 공급자에 플랫폼 신분 증명서를 청구하고;
절차402: 만일 네트워크 관리자가 액세스 컨트롤러에 액세스 청구자에 대한 플랫폼 평가 전략을 설정하지 않으면 TNC 액세스 포인트는 전략 평가 서비스 공급자에 액세스 청구자에 대한 플랫폼 평가 전략을 청구한 다음 전략 평가 서비스 공급자는 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 평가 전략을 TNC 액세스 포인트에 송신하며 TNC 액세스 포인트는 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 평가 전략을 수신한 후 설정을 진행하며;
절차403: 액세스 청구자와 액세스 컨트롤러는 전략 매니저가 신뢰자 인 트라이 요소 피어 인증 프로토콜을 실행하여 액세스 청구자와 액세스 컨트롤러 사이의 플랫폼 인증(플랫폼 신분 검사와 플랫폼 무결성 평가를 포함)을 실현하는데 그중 전략 매니저는 액세스 청구자와 액세스 컨트롤러의 플랫폼 신분 증명서 검사 및 플랫폼 무결성의 무결성 검증자 레벨 평가를 담당하는데 구체적인 절차는 도 4와 도 5에 도시 된 바와 같이 아래와 같다:
절차4031: TNC 액세스 포인트는 우선 액세스 청구자에 대한 플랫폼 평가 전략에 근거하여 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP - AR와 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 무결성의 플랫폼 레벨 평가 전략 EvalP - AR을 생성한 후 TNC 클라이언트 사이드에 메세지1을 송신하는데 상기 메세지1은 액세스 컨트롤러의 인증 표식NAC, 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK - AC, 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보 ParmP - AR와 기타 파라미터Text1를 포함하며;
절차4032: TNC클라이언트 사이드는 메세지1을 수신한 후 우선 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP-A에 근거하여 액세스 청구자의 각 무결성 수집자로부터 상응한 액세스 청구자의 플랫폼 무결성 계측 로그LogAR를 획득한 후 액세스 청구자의 플랫폼 무결성 계측 로그LogAR에 근거하여 액세스 청구자의 트러스트 플랫폼 모듈로부터 상응한 액세스 청구자의 플랫폼 설정 레지스터 값PCRsAR과, 액세스 청구자의 플랫폼 신분 증명서CertAIK-AR에 대응하는 비밀 키를 사용하여 액세스 컨트롤러에 대한 인증 표식NAC과 액세스 청구자의 플랫폼설정 레지스터 값PCRsAR의 사인[NAC, PCRsAR]Sig-ARP를 획득하고 액세스 컨트롤러의 플랫폼 평가 전략에 대해 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보ParmP-AC와 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 무결성의 플랫폼 레벨 평가 전략 EvalP-AC를 생성하며 마지막에 TNC액세스 포인트에 메세지2를 송신 하는데 상기 메세지2는 액세스 청구자의 플랫폼 설정 레지스터 값 PCRsAR, 액세스 청구자의 플랫폼 무결성 계측 로그LogAR, 액세스 청구자의 플랫폼 신분 증명서CertAIK-AR에 대응하는 비밀 키를 사용하여 액세스 컨트롤러에 대한 인증 표식NAC와 액세스 청구자의 플랫폼 설정 레지스터 값PCRsAR의 사인[NAC, PCRsAR]Sin-ARP, 액세스 청구자의 도전NAR, 액세스 청구자의 플랫폼 신분 증명서CertAIK-AR, 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보ParmP-AC, 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 무결성의 플랫폼 레벨 평가 전략 EvalP-AC와 기타 파라미터Text2를 포함하며;
절차4033: TNC 액세스 포인트는 메세지2를 수신한 후 우선 액세스 청구자의 플랫폼 신분 증명서CertAIK-AR에 대응하는 비밀 키를 사용하여 액세스 컨트롤러에 대한 인증 표식NAC와 액세스 청구자의 플랫폼 설정 레지스터 값PCRsAR의 사인[NAC, PCRsAR]Sin-ARP의 유효성을 검사하고 만일 검사에 통과하지 못하면 상기 메세지를 폐기하고 그렇지 아니하면 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보ParmP-AC에 근거하여 액세스 컨트롤러의 각 무결성 수집자로부터 상응한 액세스 컨트롤러의 플랫폼 무결성 계측 로그LogAC를 획득한 후 액세스 컨트롤러의 플랫폼 무결성 계측 로그LogAC에 근거하여 액세스 컨트롤러의 트러스트 계산 모듈로부터 상응한 액세스 컨트롤러의 플랫폼 설정 레지스터 값PCRsAC와 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC에 대응하는 비밀 키를 사용하여 액세스 청구자에 대한 도전NAR과 액세스 컨트롤러의 플랫폼 설정 레지스터 값PCRsAC의 사인 [NAR, PCRsACSig-ACP를 획득하며 마지막으로 전략 평가 서비스 공급자에게 메세지3을 송신하는데 상기 메세지3은 액세스 컨트롤러의 도전NAC-PM, 액세스 청구자의 도전NAR, 액세스 청구자의 플랫폼 신분 증명서CertAIK-AR, 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC, 액세스 청구자의 플랫폼 설정 레지스터 값PCRsAR, 액세스 청구자의 플랫폼 무결성 계측 로그LogAR, 액세스 컨트롤러의 플랫폼 설정 레지스터 값PCRsAC, 액세스 컨트롤러의 플랫폼 무결성 계측 로그LogAC, 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보 ParmP-AR, 액세스 컨트롤러가 액세스 청구자의 플랫폼 무결성에 대한 무결성 검증자 레벨 평가 전략EvalIMVs-AR, 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보ParmP-AC, 액세스 청구자가 액세스 컨트롤러의 플랫폼 무결성에 대한 플랫폼 레벨 평가 전략EvalP-AC와 기타 파라미터Text3을 포함하며;
절차4034: 전략 평가 서비스 공급자가 메세지3을 수신한 후 우선 액세스 청구자의 플랫폼 신분 증명서의 검사 결과ReAIK-AR와 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC를 생성하는데 만일 액세스 청구자의 플랫폼 신분 증명서가 유효하면 우선 액세스 청구자의 플랫폼 설정 레지스터 값PCRsAR를 이용하여 액세스 청구자의 플랫폼 무결성 계측 로그LogAR의 정확성을 검증하고 만일 액세스 청구자의 플랫폼 무결성 계측 로그LogAR가 정확하지 않으면 상기 메세지를 폐기하고 그렇지 아니하면 액세스 청구자의 플랫폼 무결성 계측 로그 LogAR, 액세스 컨트롤러가 액세스 청구자의 플랫폼 무결성에 대한 플랫폼 레벨 평가 전략EvalP-AR 및 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP-AR을 각 무결성 검증자에게 송신한 후 각 무결성 검증자는 액세스 청구자의 플랫폼 무결성 계측 로그LogAR, 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 무결성의 플랫폼 레벨 평가 전략EvalP-AR 및 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP-AR에 근거하여 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 평가 결과ReP-AR과 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 복구 정보RemP-A를 생성하여 전략 평가 서비스 공급자에게 송신하는데 만일 액세스 컨트롤러의 플랫폼 신분 증명서가 유효하면 우선 액세스 컨트롤러의 플랫폼 설정 레지스터 값PCRsAC을 이용하여 액세스 컨트롤러의 플랫폼 무결성 계측 로그LogAC의 정확성을 검증하는데 만일 액세스 컨트롤러의 플랫폼 무결성 계측 로그 LogAC가 정확하지 않으면 상기 메세지를 폐기하고 그렇지 아니하면 액세스 컨트롤러의 플랫폼 무결성 계측 로그LogAC, 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 무결성의 플랫폼 레벨 평가 전략 EvalP-AC와 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보 ParmP-AC를 각 무결성 검증자에게 송신한 후 각 무결성 검증자는 액세스 컨트롤러의 플랫폼 무결성 계측 로그LogAC, 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 무결성의 플랫폼 레벨 평가 전략EvalP-AC 및 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보ParmP-AC에 근거하여 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 평가 결과ReP-AC와 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 복구 정보RemP-AC를 생성하여 전략 평가 서비스 공급자에게 송신한 후 전략 평가 서비스 공급자는 액세스 청구자의 플랫폼 무결성 계측 로그LogAR에 근거하여 실제 수신한 액세스 청구자의 플랫폼 무결성 계측 정보ParmPP-AR를 생성하고 액세스 컨트롤러의 플랫폼 무결성 계측 로그LogAC에 근거하여 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC를 생성한 후 마지막에 TNC 액세스 포인트에 메세지4를 송신한다. 그중 메세지4의 구성 형식은 두가지가 있는데 제 1구성 형식 하에서 메세지4는 액세스 청구자의 플랫폼 신분 증명서의 검사 결과ReAIK-AR, 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 평가 결과 ReP-AR, 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 복구 정보RemP-AR, 실제 수신한 액세스 청구자의 플랫폼 무결성 계측 정보ParmPP-AR, 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC, 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 평가 결과ReP-AC, 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 복구 정보RemP-AC, 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC, 전략 매니저의 사용자 신분 증명서 CertUser-PM에 대응하는 비밀 키를 사용하여 액세스 컨트롤러에 대한 도전NAC-PM, 액세스 청구자의 플랫폼 신분 증명서CertAIK-AR, 액세스 청구자의 플랫폼 신분 증명서의 검사 결과ReAIK-AR, 액세스 청구자의 플랫폼 설정 레지스터 값PCRsAR, 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP-AR, 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 무결성의 플랫폼 레벨 평가 전략 EvalP-AR, 실제 수신한 액세스 청구자의 플랫폼 무결성 계측 정보 ParmPP-AR, 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 평가 결과ReP-AR, 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 복구 정보 RemP-AR, 액세스 청구자의 도전NAR, 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC, 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC , 액세스 컨트롤러의 플랫폼 설정 레지스터 값 PCRsAC, 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보 ParmP-AC, 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 무결성의 플랫폼 레벨 평가 전략EvalP-AC, 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC, 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 평가 결과ReP-AC, 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 복구 정보RemP-AC 및 기타 파라미터Text6의 사인 [NAC-PM, CertAIK-AR, ReAIK-AR , PCRsAR, ParmP-AR, EvalP-AR, ParmPP-AR, ReP-AR , RemP-AR, NAR, CertAIK-AC, ReAIK-AC, PCRsAC, ParmP-AC, EvalP-AC, ParmPP-AC, ReP-AC , RemP-AC, Text6] Sig-PMU 및 기타 파라미터Text4를 포함하고;제 2구성 형식 하에서 메세지4는 액세스 청구자의 플랫폼 신분 증명서의 검사 결과ReAIK-AR, 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 평가 결과ReP-AR, 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 복구 정보 RemP-AR, 실제 수신한 액세스 청구자의 플랫폼 무결성 계측 정보 ParmPP-AR, 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC, 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 평가 결과 ReP-AC, 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 복구 정보RemP-AC, 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC, 전략 매니저의 사용자 신분 증명서 CertUser-PM에 대응하는 비밀 키를 사용하여 액세스 컨트롤러에 대한 도전NAC-PM, 액세스 청구자의 플랫폼 신분 증명서CertAIK-AR, 액세스 청구자의 플랫폼 신분 증명서의 검사 결과ReAIK-AR, 액세스 청구자의 플랫폼 설정 레지스터 값PCRsAR, 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP-AR, 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 무결성의 플랫폼 레벨 평가 전략EvalP-AR, 실제 수신한 액세스 청구자의 플랫폼 무결성 계측 정보 ParmPP-AR, 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 평가 결과 ReP-AR, 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 복구 정보RemP-AC 및 기타 파라미터Text6의 사인 [NAC-PM, CertAIK-AR, ReAIK-AR , PCRsAR, ParmP-AR, EvalP-AR, ParmPP-AR, ReP-AR , RemP-AC, 기타 파라미터 Text6] Sig-PMU, 전략 매니저의 사용자 신분 증명서CertUser-PM에 대응하는 키를 사용하여 액세스 청구자에 대한 도전NAR, 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC, 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC , 액세스 컨트롤러의 플랫폼 설정 레지스터 값 PCRsAC, 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보ParmP-AC, 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 무결성의 플랫폼 레벨 평가 전략EvalP-AC, 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC, 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 평가 결과ReP-AC, 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 복구 정보RemP-AR 및 기타 파라미터Text7의 사인 [NAR, CertAIK-AC, ReAIK-AC, PCRsAC, ParmP-AC, EvalP-AC, ParmPP-AC, ReP-AC , RemP-AR, 기타 파라미터Text7] Sig-PMU와 기타 파라미터Text4를 포함하며;
절차4035: TNC 액세스 포인트가 메세지4를 수신한 후 만일 메세지4가 제 1구성 형식이면 우선 전략 매니저의 사용자 신분 증명서 CertUser-PM에 대응하는 비밀 키를 사용하여 액세스 컨트롤러에 대한 도전NAC-PM, 액세스 청구자의 플랫폼 신분 증명서CertAIK-AR, 액세스 청구자의 플랫폼 신분 증명서의 검사 결과ReAIK-AR, 액세스 청구자의 플랫폼 설정 레지스터 값PCRsAR, 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP-AR, 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 무결성의 플랫폼 레벨 평가 전략 EvalP-AR, 실제 수신한 액세스 청구자의 플랫폼 무결성 계측 정보 ParmPP-AR, 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 평가 결과 ReP-AR, 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 복구 정보 RemP-AR, 액세스 청구자의 도전NAR, 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC, 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC , 액세스 컨트롤러의 플랫폼 설정 레지스터 값 PCRsAC, 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보 ParmP-AC, 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 무결성의 플랫폼 레벨 평가 전략EvalP-AC, 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC, 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 평가 결과ReP-AC, 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 복구 정보RemP-AC 및 기타 파라미터Text6의 사인 [NAC-PM, CertAIK-AR, ReAIK-AR , PCRsAR, ParmP-AR, EvalP-AR, ParmPP-AR, ReP-AR , RemP-AR, NAR, CertAIK-AC, ReAIK-AC, PCRsAC, ParmP-AC, EvalP-AC, ParmPP-AC, ReP-AC , RemP-AC, Text6] Sig-PMU의 유효성을 검사하고 만일 검사를 통과하지 못하면 상기 메세지를 폐기하고 그렇지 아니하면 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 복구 정보RemP-AC를 액세스 컨트롤러의 대응되는 무결성 수집자에게 송신하고 마지막으로 TNC 클라이언트 사이드에 메세지5 (제 1구조형식)를 송신하는데 상기 메세지5는 액세스 컨트롤러의 도전NAC-PM, 액세스 컨트롤러의 플랫폼 설정 레지스터 값PCRsAC, 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC에 대응하는 비밀 키를 사용하여 액세스 청구자에 대한 도전NAR과 액세스 컨트롤러의 플랫폼 설정 레지스터 값PCRsAC의 사인[NAR, PCRsACSig-ACP, 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 무결성의 플랫폼 레벨 평가 전략EvalP-AR, 액세스 청구자에 대한 플랫폼 인증 결과Reaccess, 메세지4와 가타 파라미터Text5를 포함하고; 만일 메세지4가 제 2구성 형식이면 우선 전략 매니저의 사용자 신분 증명서 CertUser-PM에 대응하는 비밀 키를 사용하여 액세스 컨트롤러에 대한 도전NAC-PM, 액세스 청구자의 플랫폼 신분 증명서CertAIK-AR, 액세스 청구자의 플랫폼 신분 증명서의 검사 결과ReAIK-AR, 액세스 청구자의 플랫폼 설정 레지스터 값PCRsAR, 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP-AR, 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 무결성의 플랫폼 레벨 평가 전략EvalP-AR, 실제 수신한 액세스 청구자의 플랫폼 무결성 계측 정보 ParmPP-AR, 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 평가 결과 ReP-AR, 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 복구 정보RemP-AC 및 기타 파라미터Text6의 사인 [NAC-PM, CertAIK-AR, ReAIK-AR , PCRsAR, ParmP-AR, EvalP-AR, ParmPP-AR, ReP-AR , ReP-AC , 기타 Text6] Sig-PMU의 유효성을 검사하고 만일 검사를 통과하지 못하면 상기 메세지를 폐기하고 그렇지 아니하면 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 복구 정보RemP-AR를 액세스 청구자의 대응되는 무결성 수집자에게 송신하고 마지막으로 TNC 클라이언트 사이드에 메세지5(제 2구성 형식)를 송신하는데 상기 메세지5 는 액세스 컨트롤러의 도전NAC-PM, 액세스 컨트롤러의 플랫폼 설정 레지스터 값 PCRsAC, 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC에 대응하는 비밀 키를 사용하여 액세스 청구자에 대한 도전NAR과 액세스 컨트롤러의 플랫폼 설정 레지스터 값PCRsAC의 사인[NAR, PCRsACSig-ACP, 액세스 청구자에 대한 플랫폼 인증 결과Reaccess, 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC, 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 평가 결과ReP-AC, 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 복구 정보RemP-AR, 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC, 전략 매니저의 사용자 신분 증명서CertUser-PM에 대응하는 키를 사용하여 액세스 청구자에 대한 도전NAR, 액세스 컨트롤러의 플랫폼 신분 증명서 CertAIK-AC, 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC , 액세스 컨트롤러의 플랫폼 설정 레지스터 값 PCRsAC, 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보ParmP-AC, 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 무결성의 플랫폼 레벨 평가 전략EvalP-AC, 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC, 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 평가 결과ReP-AC, 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 복구 정보RemP-AR 및 기타 파라미터Text7의 사인 [NAR, CertAIK-AC, ReAIK-AC, PCRsAC, ParmP-AC, EvalP-AC, ParmPP-AC, ReP-AC , RemP-AR, 기타 파라미터Text7] Sig-PMU와 기타 파라미터Text5를 포함하며;
절차4036: TNC 클라이언트 사이드가 메세지5를 수신한 후 만일 메세지5가 제 1 구성 형식이면 우선 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC에 대응하는 비밀 키를 사용하여 액세스 청구자에 대한 도전NAR과 액세스 컨트롤러의 플랫폼 설정 레지스터 값PCRsAC의 사인[NAR, PCRsACSig-ACP의 유효성을 검사하는데 검사를 통과하지 못하면 상기 메세지를 폐기하고 그렇지 아니하면 정보4중의 전략 매니저의 사용자 신분 증명서 CertUser-PM에 대응하는 비밀 키를 사용하여 액세스 컨트롤러에 대한 도전NAC-PM, 액세스 청구자의 플랫폼 신분 증명서CertAIK-AR, 액세스 청구자의 플랫폼 신분 증명서의 검사 결과 ReAIK-AR, 액세스 청구자의 플랫폼 설정 레지스터 값PCRsAR, 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP-AR, 액세스 컨트롤러가 액세스 청구자에 대한 플랫폼 무결성의 플랫폼 레벨 평가 전략EvalP-AR, 실제 수신한 액세스 청구자의 플랫폼 무결성 계측 정보 ParmPP-AR, 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 평가 결과 ReP-AR, 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 복구 정보 RemP-AR, 액세스 청구자의 도전NAR, 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC, 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC , 액세스 컨트롤러의 플랫폼 설정 레지스터 값 PCRsAC, 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보ParmP-AC, 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 무결성의 플랫폼 레벨 평가 전략EvalP-AC, 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC, 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 평가 결과ReP-AC, 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 복구 정보RemP-AC 및 기타 파라미터Text6의 사인 [NAC-PM, CertAIK-AR, ReAIK-AR , PCRsAR, ParmP-AR, EvalP-AR, ParmPP-AR, ReP-AR , RemP-AR, NAR, CertAIK-AC, ReAIK-AC, PCRsAC, ParmP-AC, EvalP-AC, ParmPP-AC, ReP-AC , RemP-AC, Text6] Sig-PMU의 유효성을 검사하는데 검사를 통과하지 못하면 상기 메세지를 폐기하고 그렇지 아니할 경우 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 복구 정보RemP-AR를 액세스 청구자의 대응하는 무결성 수집자에 송신하며; 만일 메세지5가 제 2구성 형식 이면 우선 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC에 대응하는 비밀 키를 사용하여 액세스 청구자에 대한 도전NAR과 액세스 컨트롤러의 플랫폼 설정 레지스터 값PCRsAC의 사인[NAR, PCRsACSig-ACP의 유효성을 검사하는데 검사를 통과하지 못하면 상기 메세지를 폐기하고 그렇지 아니하면 전략 매니저의 사용자 신분 증명서 CertUser-PM에 대응하는 키를 사용하여 액세스 청구자에 대한 도전NAR, 액세스 컨트롤러의 플랫폼 신분 증명서CertAIK-AC, 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC , 액세스 컨트롤러의 플랫폼 설정 레지스터 값 PCRsAC, 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보ParmP-AC, 액세스 청구자가 액세스 컨트롤러에 대한 플랫폼 무결성의 플랫폼 레벨 평가 전략EvalP-AC, 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC, 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 평가 결과ReP-AC, 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 복구 정보 RemP-AR 및 기타 파라미터Text7의 사인 [NAR, CertAIK-AC, ReAIK-AC, PCRsAC, ParmP-AC, EvalP-AC, ParmPP-AC, ReP-AC , RemP-AR, 기타 파라미터Text7] Sig-PMU의 유효성을 검사하는데 검사를 통과하지 못하면 상기 메세지를 폐기하고 그렇지 아니하면 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 복구 정보RemP-AR를 액세스 청구자의 대응되는 무결성 수집자에 송신하며;
절차404: 만일 실제 수신한 액세스 청구자의 플랫폼 무결성 계측 정보ParmPP-AR와 액세스 컨트롤러가 액세스 청구자에 청구한 플랫폼 무결성 계측 정보ParmP-AR가 부동하거나 또는 실제 수신한 액세스 컨트롤러의 플랫폼 무결성 계측 정보ParmPP-AC와 액세스 청구자가 액세스 컨트롤러에 청구한 플랫폼 무결성 계측 정보ParmP-AC가 부동하면 액세스 청구자와 액세스 컨트롤러가 설정 된 플랫폼 평가 전략에 따라 상대방에 대한 플랫폼 무결성 평가를 완성할 때까지 다시 재차 절차403을 실행할 필요가 있고 TNC 클라이언트 사이드는 액세스 컨트롤러의 플랫폼 평가 전략, 액세스 컨트롤러의 플랫폼 신분 증명서의 검사 결과ReAIK-AC와 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 평가 결과ReP-AC에 근거하여 액세스 컨트롤러의 플랫폼 인증 결과를 생성하고 마지막으로 액세스 컨트롤러에 대한 플랫폼 인증 결과를 네트워크 액세스 청구자에게 송신하며;TNC 액세스 포인트는 액세스 청구자의 플랫폼 평가 전략, 액세스 청구자의 플랫폼 신분 증명서의 검사 결과ReAIK-AR와 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 평가 결과ReP-AR에 근거하여 액세스 청구자에 대한 플랫폼 인증 결과Reaccess를 생성하며 마지막으로 액세스 청구자의 플랫폼 인증 결과Reaccess를 네트워크 액세스 컨트롤러에게 송신하며;
절차405: 액세스 청구자 또는 액세스 컨트롤러가 사용자 신분 인증 과정을 진행할 것을 요구하지 않을 경우, 네트워크 액세스 청구자와 네트워크 액세스 컨트롤러는 로컬 안전 전략과 상대방에 대한 플랫폼 인증 결과에 근거하여 액세스 결정을 내리고 액세스 제어를 실행하며; 액세스 청구자 또는 액세스 컨트롤러가 사용자 신분 인증 과정을 진행할 것을 요구할 경우, 네트워크 액세스 청구자와 네트워크 액세스 컨트롤러는 상대방에 대한 사용자 신분 인증 결과, 상대방에 대한 플랫폼 인증 결과와 로컬 안전 전략에 근거하여 액세스 결정를 내리고 액세스 제어를 실행하며;
절차50: 플랫폼 복구 후 다시 새로 플랫폼 인증을 진행한다. 그중 상기 절차50는 아래와 같은 절차를 포함한다:
절차501: 만일 절차40를 실행 완료한 후 액세스 청구자 또는 액세스 컨트롤러가 플랫폼 복구 과정을 진행할 것을 요구하면 액세스 청구자의 각 무결성 수집자는 액세스 청구자의 플랫폼 무결성의 플랫폼 레벨 복구 정보RemP-AR에 근거하여 플랫폼 복구를 진행하거나 또는 액세스 컨트롤러의 각 무결성 수집자는 액세스 컨트롤러의 플랫폼 무결성의 플랫폼 레벨 복구 정보RemP-AC에 근거하여 플랫폼 복구를 진행하며;
절차502: 액세스 청구자의 각 무결성 수집자는 플랫폼 복구를 완성한 후 TNC클라이언트 사이드에게 새로운 플랫폼 인증 과정을 진행할 것을 통지하거나 또는 액세스 컨트롤러의 각 무결성 수집자는 플랫폼 복구를 완성한 후 TNC액세스 포인트에게 새로운 플랫폼 인증 과정을 진행할 것을 통지하며 TNC 클라이언트 사이드 또는 TNC 액세스 포인트는 플랫폼 복구 과정이 액세스 청구자와 액세스 컨트롤러 사이의 네트워크 연결성에 대한 영향과 로컬 안전 전략에 근거하여 절차20, 절차30 또는 절차40로 이동하며;
절차60: 플랫폼 인증 후 활성화 된 새로운 플랫폼 인증을 진행하는데; 만일 액세스 청구자의 각 무결성 수집자 또는 TNC 클라이언트 사이드, 액세스 컨트롤러의 각 무결성 수집자 또는 TNC 액세스 포인트가 로컬 안전 전략에 근거하여 활성화 되여 새로운 플랫폼 인증 과정을 진행하면 로컬 안전 전략에 근거하여 절차30 또는 절차40로 이동한다.
당업자가 이해할 수 있다 싶이, 상기 방법을 실현하는 실시예의 전부 또는 부분적인 절차는 프로그램 명령어와 관련되는 하드웨어로 완성 될 수 있고 상기 프로그램은 컴퓨터가 판독 가능한 저장 매체에 저장될 수 있고 상기 프로그램을 실행할 경우 상기 방법의 실시예를 포함하는 절차를 실행하며 상기 저장 매체는 ROM, RAM, 디스크 또는 광 디스크 등 각종 프로그램 코드를 저장할 수 있는 매체를 포함한다.
마지막으로 설명하여할 것은 상술한 실시예는 단지 본 발명의 기술안을 설명하기 위한 것이지 본 발명을 제한하지 않으며 비록 상기 실시예를 참조하여 본 발명에 대해 상세히 설명하였지만 당업자가 이해할 수 있다 싶이, 상기 각 실시예에 기재 된 기술안에 대해 보정을 진행하거나 그중의 부분적인 기술적 특징에 대해 등가 교환을 진행할 수 있는데 이런 보정 또는 교환은 상응한 기술안으로 하여금 본질적으로 본 발명의 각 실시예의 기술안의 사상과 범위를 벗어나게 하지 않는다.

Claims (6)

  1. 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법에 있어서,
    액세스 청구 장치에 의한 액세스 제어 장치에 대한 플랫폼 평가 전략이 포함된 상기 액세스 제어 장치에 대한 안전 전략은 상기 액세스 청구 장치에 설정되어 있으며;
    액세스 제어 장치에 의한 액세스 청구 장치에 대한 플랫폼 평가 전략이 포함된 상기 액세스 청구 장치에 대한 안전 전략은 상기 액세스 제어 장치에 설정되어 있으며;
    상기 방법은,
    상기 액세스 청구 장치와 상기 액세스 제어 장치 각각이 무결성 수집 장치를 로드하여 초기화하고, 전략 관리 장치가 무결성 검증자를 로드하여 초기화하는 절차 1;
    액세스 청구 장치가 액세스 제어 장치에게 네트워크 연결 청구를 송신하고 상기 액세스 제어 장치가 상기 네트워크 연결 청구를 수신하는 절차 2;
    액세스 청구 장치 또는 액세스 제어 장치가 사용자 신분 인증을 진행하는 절차 3; 및
    액세스 청구 장치 또는 액세스 제어 장치가 플랫폼 인증을 진행하는 절차 4를 포함하고;
    절차 3은,
    만일 상기 액세스 청구 장치 또는 상기 액세스 제어 장치가 사용자 신분 인증 과정을 진행할 것을 요구하지 않으면 절차 33을 실행하는 절차 31;
    만일 상기 액세스 청구 장치 또는 상기 액세스 제어 장치가 사용자 신분 인증 과정을 진행할 것을 요구하면 상기 액세스 청구 장치와 상기 액세스 제어 장치가 상기 사용자 신분 인증 과정을 진행하지 않았을 경우 상기 액세스 청구 장치와 상기 액세스 제어 장치는 상기 전략 관리 장치가 신뢰자 임을 조건으로 한 트라이 요소 피어 인증 프로토콜을 실행하여 상기 액세스 청구 장치와 상기 액세스 제어 장치 사이의 사용자 신분 인증 및 키 합의를 실현하고 절차 33을 실행하며;상기 액세스 청구 장치와 상기 액세스 제어 장치가 이미 상기 사용자 신분 인증 과정을 실행하였을 경우 상기 액세스 청구 장치와 상기 액세스 제어 장치는 이미 실행한 사용자 신분 인증 과정에 근거하여 상기 액세스 청구 장치와 상기 액세스 제어 장치 사이의 사용자 신분 인증 및 키 합의를 실현할 수도 있고 새로 다시 상기 전략 관리 장치가 신뢰자 임을 조건으로 한 트라이 요소 피어 인증 프로토콜을 실행하여 상기 액세스 청구 장치와 상기 액세스 제어 장치 사이의 사용자 신분 인증 및 키 합의를 실현하고 절차33을 실행하는 절차32; 및
    만일 상기 액세스 청구 장치 또는 상기 액세스 제어 장치가 즉시 액세스 필요하는지 여부에 대한 결정을 요구하면 상기 액세스 청구 장치 또는 상기 액세스 제어 장치가 사용자 신분 인증 과정을 진행할 것을 요구하지 않을 경우 상기 액세스 청구 장치와 상기 액세스 제어 장치는 로컬 안전 전략에 의거하여 액세스 필요하는지 여부에 대한 결정을 내리고 액세스 제어를 실행하고; 상기 액세스 청구 장치 또는 상기 액세스 제어 장치가 상기 사용자 신분 인증 과정을 진행할 것을 요구할 경우 상기 액세스 청구 장치와 상기 액세스 제어 장치는 상대방에 대한 사용자 신분 인증 결과와 로컬 안전 전략에 의거하여 액세스 필요하는지 여부에 대한 결정을 내리고 액세스 제어를 실행하며 상기 액세스 청구 장치 또는 상기 액세스 제어 장치가 상기 사용자 신분 인증 과정을 진행할 것을 요구하지 아니할 경우 상기 액세스 청구 장치 또는 상기 액세스 제어 장치는 플랫폼 인증 과정을 실행할 것을 요구하는 절차 33을 포함하는 것을 특징으로 하는, 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법.
  2. 제 1 항에 있어서,
    상기 절차 4는 구체적으로:
    만일 상기 액세스 청구 장치 또는 상기 액세스 제어 장치가 온라인으로 상기 전략 관리 장치에 플랫폼 신분 증명서를 청구하면 상기 액세스 청구 장치 또는 상기 액세스 제어 장치는 온라인으로 상기 전략 관리 장치에 플랫폼 신분 증명서를 청구하는 절차 41;
    상기 액세스 제어 장치에 상기 액세스 청구 장치에 대한 플랫폼 평가 전략이 설정되지 않았다면 상기 액세스 제어 장치는 상기 전략 관리 장치에 상기 액세스 청구 장치에 대한 플랫폼 평가 전략을 청구한 다음 상기 전략 관리 장치는 상기 액세스 제어 장치가 상기 액세스 청구 장치에 대한 플랫폼 평가 전략을 상기 액세스 제어 장치에 송신하며 상기 액세스 제어 장치는 상기 액세스 제어 장치가 상기 액세스 청구 장치에 대한 플랫폼 평가 전략을 수신한 후 설정을 진행하는 절차 42;
    상기 액세스 청구 장치와 상기 액세스 제어 장치는 상기 전략 관리 장치가 신뢰자 임을 조건으로 한 트라이 요소 피어 인증 프로토콜을 실행하여 상기 액세스 청구 장치와 상기 액세스 제어 장치 사이의 플랫폼 신분 검사와 플랫폼 무결성 평가를 포함한 플랫폼 인증을 실현하는데 그중 상기 전략 관리 장치는 상기 액세스 청구 장치와 상기 액세스 제어 장치의 플랫폼 신분 증명서 검사 및 플랫폼 무결성의 무결성 검증자 레벨 평가를 담당하는 절차43;
    상기 액세스 청구 장치와 상기 액세스 제어 장치가 설정된 플랫폼 평가 전략에 따라 상대방에 대한 플랫폼 무결성 평가를 완성할 때까지 절차 43을 여러 차례 실행하고 상기 액세스 청구 장치는
    상기 액세스 제어 장치의 플랫폼 평가 전략과 상기 액세스 제어 장치의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과에 따라 상기 액세스 제어 장치의 플랫폼 무결성의 플랫폼 레벨 평가 결과를 생성한 후 상기 액세스 청구 장치는 상기 액세스 제어 장치에 대한 플랫폼 평가 전략, 상기 액세스 제어 장치의 플랫폼 신분 증명서의 검사 결과와 상기 액세스 제어 장치의 플랫폼 무결성의 플랫폼 레벨 평가 결과에 근거하여 상기 액세스 제어 장치의 플랫폼 인증 결과를 생성하고; 상기 액세스 제어 장치는 상기 액세스 청구 장치의 플랫폼 평가 전략과 상기 액세스 청구 장치의 플랫폼 무결성의 무결성 검증자 레벨 평가 결과에 근거하여 상기 액세스 청구 장치의 플랫폼 무결성의 플랫폼 레벨 평가 결과를 생성한 후 상기 액세스 제어 장치는 상기 액세스 청구 장치에 대한 플랫폼 평가 전략, 상기 액세스 청구 장치의 플랫폼 신분 증명서의 검사 결과와 상기 액세스 청구 장치의 플랫폼 무결성의 플랫폼 레벨 평가 결과에 근거하여 상기 액세스 청구 장치에 대한 플랫폼 인증 결과를 생성하는 절차 44; 및
    상기 액세스 청구 장치 또는 상기 액세스 제어 장치가 사용자 신분 인증 과정을 진행할 것을 요구하지 않을 경우, 상기 액세스 청구 장치와 상기 액세스 제어 장치는 로컬 안전 전략과 상대방에 대한 플랫폼 인증 결과에 근거하여 액세스 필요하는지 여부에 대한 결정을 내리고 액세스 제어를 실행하며; 상기 액세스 청구 장치 또는 상기 액세스 제어 장치가 사용자 신분 인증 과정을 진행할 것을 요구할 경우, 상기 액세스 청구 장치와 상기 액세스 제어 장치는 상대방에 대한 사용자 신분 인증 결과, 상대방에 대한 플랫폼 인증 결과와 로컬 안전 전략에 근거하여 액세스 필요하는지 여부에 대한 결정을 내리고 액세스 제어를 실행하는 절차 45를 포함하는 것을 특징으로 하는, 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법.
  3. 제 1 항에 있어서,
    상기 절차4는 구체적으로:
    만일 상기 액세스 청구 장치 또는 상기 액세스 제어 장치가 온라인으로 상기 전략 관리 장치에 플랫폼 신분 증명서를 청구하면 상기 액세스 청구 장치 또는 상기 액세스 제어 장치는 온라인으로 상기 전략 관리 장치에 플랫폼 신분 증명서를 청구하는 절차 401;
    상기 액세스 제어 장치에 상기 액세스 청구 장치에 대한 플랫폼 평가 전략이 설정되지 않았다면 상기 액세스 제어 장치는 상기 전략 관리 장치에 상기 액세스 청구 장치에 대한 플랫폼 평가 전략을 청구한 다음 상기 전략 관리 장치는 상기 액세스 제어 장치가 상기 액세스 청구 장치에 대한 플랫폼 평가 전략을 상기 액세스 제어 장치에 송신하며 상기 액세스 제어 장치는 상기 액세스 제어 장치가 상기 액세스 청구 장치에 대한 플랫폼 평가 전략을 수신한 후 설정을 진행하는 절차 402;
    상기 액세스 청구 장치와 상기 액세스 제어 장치는 상기 전략 관리 장치가 신뢰자 임을 조건으로 한 트라이 요소 피어 인증 프로토콜을 실행하여 상기 액세스 청구 장치와 상기 액세스 제어 장치 사이의 플랫폼 신분 검사와 플랫폼 무결성 평가를 포함한 플랫폼 인증을 실현하는데 그중 상기 전략 관리 장치는 상기 액세스 청구 장치와 상기 액세스 제어 장치의 플랫폼 신분 증명서 검사 및 플랫폼 무결성의 플랫폼 레벨 평가를 담당하는 절차 403;
    상기 액세스 청구 장치와 상기 액세스 제어 장치가 각각 설정된 플랫폼 평가 전략에 따라 상대방에 대한 플랫폼 무결성 평가를 완성할 때까지 절차 403을 여러 차례 실행하고 상기 상대방에 대한 플랫폼 부결성 평가가 완성되면 상기 전략 관리 장치는 상기 액세스 청구 장치와 상기 액세스 제어 장치의 플랫폼 무결성의 플랫폼 레벨 평가 결과를 생성하고 상기 액세스 청구 장치와 상기 액세스 제어 장치에 송신하고; 상기 액세스 청구 장치는 상기 액세스 제어 장치에 대한 플랫폼 평가 전략, 상기 액세스 제어 장치의 플랫폼 신분 증명서의 검사 결과와 상기 액세스 제어 장치에 대한 플랫폼 무결성의 플랫폼 레벨 평가 결과에 근거하여 상기 액세스 제어 장치에 대한 플랫폼 인증 결과를 생성하고; 상기 액세스 제어 장치는 상기 액세스 청구 장치의 플랫폼 평가 전략, 상기 액세스 청구 장치의 플랫폼 신분 증명서의 검사 결과와 상기 액세스 청구 장치에 대한 플랫폼 무결성의 플랫폼 레벨 평가 결과에 근거하여 상기 액세스 청구 장치에 대한 플랫폼 인증 결과를 생성하는 절차 404; 및
    상기 액세스 청구 장치 또는 상기 액세스 제어 장치가 사용자 신분 인증 과정을 진행할 것을 요구하지 않을 경우, 상기 액세스 청구 장치와 상기 액세스 제어 장치는 로컬 안전 전략과 상대방에 대한 플랫폼 인증 결과에 근거하여 액세스 필요하는지 여부에 대한 결정을 내리고 액세스 제어를 실행하며; 상기 액세스 청구 장치 또는 상기 액세스 제어 장치가 사용자 신분 인증 과정을 진행할 것을 요구할 경우, 상기 액세스 청구 장치와 상기 액세스 제어 장치는 상대방에 대한 사용자 신분 인증 결과, 상대방에 대한 플랫폼 인증 결과와 로컬 안전 전략에 근거하여 액세스 필요하는지 여부에 대한 결정을 내리고 액세스 제어를 실행하는 절차 405를 포함하는 것을 특징으로 하는, 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 절차 4 이후에 더 나아가
    플랫폼 복구 후 다시 새로 플랫폼 인증을 진행하는 절차5를 더 포함하는 것을 특징으로 하는, 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법.
  5. 제 4 항에 있어서,
    상기 절차 5는 구체적으로
    만일 절차 4를 실행 완료한 후 상기 액세스 청구 장치 또는 상기 액세스 제어 장치가 플랫폼 복구 과정을 진행할 것을 요구하면 상기 액세스 청구 장치 또는 상기 액세스 제어 장치는 플랫폼 복구를 진행하는 절차 51; 및
    상기 액세스 청구 장치 또는 상기 액세스 제어 장치가 플랫폼 복구를 완성한 후 플랫폼 복구 과정에 의한 상기 액세스 청구 장치와 상기 액세스 제어 장치 사이의 네트워크 연결성에 미친 영향과 로컬 안전 전략에 근거하여 절차 2, 절차 3 또는 절차 4로 이동하는 절차 52를 포함하는 것을 특징으로 하는, 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법.
  6. 제 5 항에 있어서,
    상기 절차 5 이후에 더 나아가
    플랫폼 인증 후 활성화 된 새로운 플랫폼 인증을 진행하는데; 만일 상기 액세스 청구 장치 또는 상기 액세스 제어 장치가 로컬 안전 전략에 근거하여 활성화 되어 새로운 플랫폼 인증 과정을 진행하면 로컬 안전 전략에 근거하여 절차 3 또는 절차 4로 이동하는 절차 6을 포함하는 것을 특징으로 하는, 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법.
KR1020117015670A 2008-12-08 2009-12-01 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법 KR101296101B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200810184119.3 2008-12-08
CN2008101841193A CN101447992B (zh) 2008-12-08 2008-12-08 一种基于三元对等鉴别的可信网络连接实现方法
PCT/CN2009/075242 WO2010066169A1 (zh) 2008-12-08 2009-12-01 一种基于三元对等鉴别的可信网络连接实现方法

Publications (2)

Publication Number Publication Date
KR20110093939A KR20110093939A (ko) 2011-08-18
KR101296101B1 true KR101296101B1 (ko) 2013-08-19

Family

ID=40743389

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020117015670A KR101296101B1 (ko) 2008-12-08 2009-12-01 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법

Country Status (4)

Country Link
US (1) US8931049B2 (ko)
KR (1) KR101296101B1 (ko)
CN (1) CN101447992B (ko)
WO (1) WO2010066169A1 (ko)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101447992B (zh) 2008-12-08 2011-04-06 西安西电捷通无线网络通信股份有限公司 一种基于三元对等鉴别的可信网络连接实现方法
CN101572704B (zh) * 2009-06-08 2012-05-23 西安西电捷通无线网络通信股份有限公司 一种适合三元对等鉴别可信网络连接架构的访问控制方法
CN101631113B (zh) * 2009-08-19 2011-04-06 西安西电捷通无线网络通信股份有限公司 一种有线局域网的安全访问控制方法及其系统
CN101795281B (zh) * 2010-03-11 2012-03-28 西安西电捷通无线网络通信股份有限公司 一种适合可信连接架构的平台鉴别实现方法及系统
CN101909058B (zh) * 2010-07-30 2013-01-16 天维讯达无线电设备检测(北京)有限责任公司 一种适合可信连接架构的平台鉴别策略管理方法及系统
CN101958890B (zh) * 2010-08-10 2013-08-28 西安邮电学院 一种数据链路层安全通信中设备发现方法
GB2487049A (en) * 2011-01-04 2012-07-11 Vestas Wind Sys As Remote and local authentication of user for local access to computer system
CN103023911B (zh) * 2012-12-25 2015-10-14 北京工业大学 可信网络设备接入可信网络认证方法
CN103581203A (zh) * 2013-11-20 2014-02-12 北京可信华泰信息技术有限公司 基于可信计算的可信网络连接方法
CN103780395B (zh) * 2014-01-24 2017-11-10 广东电网公司电力科学研究院 网络接入证明双向度量的方法和系统
CN104468606B (zh) * 2014-12-24 2018-10-09 国家电网公司 一种基于电力生产控制类系统的可信连接系统和方法
CN105049434B (zh) * 2015-07-21 2019-02-22 中国科学院软件研究所 一种对等网络环境下的身份认证方法与加密通信方法
CN107292176B (zh) * 2016-04-05 2021-01-15 联想企业解决方案(新加坡)有限公司 用于访问计算设备的可信平台模块的方法和系统
CN109729523B (zh) * 2017-10-31 2021-02-23 华为技术有限公司 一种终端联网认证的方法和装置
CN109040060B (zh) * 2018-08-01 2021-03-02 广州杰赛科技股份有限公司 终端匹配方法和系统、计算机设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101159640A (zh) 2007-11-16 2008-04-09 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络接入控制系统
CN101232378A (zh) 2007-12-29 2008-07-30 西安西电捷通无线网络通信有限公司 一种无线多跳网络的认证接入方法
CN101242267A (zh) 2007-08-01 2008-08-13 西安西电捷通无线网络通信有限公司 一种增强安全性的可信网络连接方法

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7206941B2 (en) * 2000-08-28 2007-04-17 Contentguard Holdings, Inc. Method and apparatus for validating security components through a request for content
US7591017B2 (en) * 2003-06-24 2009-09-15 Nokia Inc. Apparatus, and method for implementing remote client integrity verification
US8713626B2 (en) * 2003-10-16 2014-04-29 Cisco Technology, Inc. Network client validation of network management frames
US7747862B2 (en) * 2004-06-28 2010-06-29 Intel Corporation Method and apparatus to authenticate base and subscriber stations and secure sessions for broadband wireless networks
US8266676B2 (en) * 2004-11-29 2012-09-11 Harris Corporation Method to verify the integrity of components on a trusted platform using integrity database services
CN100389555C (zh) * 2005-02-21 2008-05-21 西安西电捷通无线网络通信有限公司 一种适合有线和无线网络的接入认证方法
US8024488B2 (en) * 2005-03-02 2011-09-20 Cisco Technology, Inc. Methods and apparatus to validate configuration of computerized devices
US7827593B2 (en) * 2005-06-29 2010-11-02 Intel Corporation Methods, apparatuses, and systems for the dynamic evaluation and delegation of network access control
US7739724B2 (en) * 2005-06-30 2010-06-15 Intel Corporation Techniques for authenticated posture reporting and associated enforcement of network access
US8661521B2 (en) * 2005-08-30 2014-02-25 Intel Corporation Controlling a network connection using dual-switching
US20070174429A1 (en) * 2006-01-24 2007-07-26 Citrix Systems, Inc. Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment
US7592906B1 (en) * 2006-06-05 2009-09-22 Juniper Networks, Inc. Network policy evaluation
US8533846B2 (en) * 2006-11-08 2013-09-10 Citrix Systems, Inc. Method and system for dynamically associating access rights with a resource
US8347346B2 (en) * 2007-05-31 2013-01-01 International Business Machines Corporation Management of mandatory access control for graphical user interface applications
CN100534036C (zh) * 2007-08-01 2009-08-26 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络连接方法
US8923212B2 (en) * 2007-08-17 2014-12-30 Qualcomm Incorporated Method and apparatus for interference management
CN101136928B (zh) * 2007-10-19 2012-01-11 北京工业大学 一种可信网络接入控制系统
US20090158407A1 (en) * 2007-12-13 2009-06-18 Fiberlink Communications Corporation Api translation for network access control (nac) agent
US8434125B2 (en) * 2008-03-05 2013-04-30 The Boeing Company Distributed security architecture
CN101447992B (zh) * 2008-12-08 2011-04-06 西安西电捷通无线网络通信股份有限公司 一种基于三元对等鉴别的可信网络连接实现方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242267A (zh) 2007-08-01 2008-08-13 西安西电捷通无线网络通信有限公司 一种增强安全性的可信网络连接方法
CN101159640A (zh) 2007-11-16 2008-04-09 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络接入控制系统
CN101232378A (zh) 2007-12-29 2008-07-30 西安西电捷通无线网络通信有限公司 一种无线多跳网络的认证接入方法

Also Published As

Publication number Publication date
US20110239271A1 (en) 2011-09-29
CN101447992B (zh) 2011-04-06
CN101447992A (zh) 2009-06-03
WO2010066169A1 (zh) 2010-06-17
US8931049B2 (en) 2015-01-06
KR20110093939A (ko) 2011-08-18

Similar Documents

Publication Publication Date Title
KR101296101B1 (ko) 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법
RU2437230C2 (ru) Способ доверенного сетевого соединения для совершенствования защиты
JP5259724B2 (ja) 3エレメントピア認証に基づく信頼されているネットワークアクセス制御方法
KR101114728B1 (ko) 삼원 동일 식별자 기반의 신뢰성 있는 네트워크 액세스 제어 시스템
US8255977B2 (en) Trusted network connect method based on tri-element peer authentication
EP2426853B1 (en) Platform authentication method suitable for trusted network connect architecture based on tri-element peer authentication
RU2437228C2 (ru) Система доверительного сетевого подключения для улучшения безопасности
US8191113B2 (en) Trusted network connect system based on tri-element peer authentication
US20110238996A1 (en) Trusted network connect handshake method based on tri-element peer authentication
KR20110051281A (ko) 3 개의 피어 인증(tepa)에 기반한 신뢰할만한 플랫폼을 인증하는 방법
CN101741842A (zh) 一种基于可信计算实现可信ssh的方法
WO2011109959A1 (zh) 一种适合可信连接架构的平台鉴别实现方法及系统
Latah et al. CWT-DPA: Component-wise waiting time for BC-enabled data plane authentication
Cheng et al. Per-user network access control kernel module with secure multifactor authentication
CN117560134A (zh) 一种基于区块链的分布式可信网络接入方法
Schmidt et al. Trusted Computing Enhanced OpenID
Novalyst Trusted Computing Enhanced OpenID
Eldridge et al. Final report for the network authentication investigation and pilot.

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160729

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170728

Year of fee payment: 5