WO2009018742A1 - Système de connexion à un réseau de confiance basé sur une authentification de pair à trois éléments - Google Patents
Système de connexion à un réseau de confiance basé sur une authentification de pair à trois éléments Download PDFInfo
- Publication number
- WO2009018742A1 WO2009018742A1 PCT/CN2008/071699 CN2008071699W WO2009018742A1 WO 2009018742 A1 WO2009018742 A1 WO 2009018742A1 CN 2008071699 W CN2008071699 W CN 2008071699W WO 2009018742 A1 WO2009018742 A1 WO 2009018742A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- integrity
- access
- requester
- access controller
- platform
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/127—Trusted platform modules [TPM]
Description
一种基于三元对等鉴别的可信网络连接系统
本申请要求于 2007 年 8 月 3 日提交中国专利局、 申请号为 200710018414.7、 发明名称为"一种基于三元对等鉴别的可信网络连接系统"的 中国专利申请的优先权, 其全部内容通过引用结合在本申请中。
技术领域
本发明属于网络安全技术领域,具体涉及一种基于三元对等鉴别的可信网 络连接系统。
背景技术
随着信息化的发展, 病毒、 蠕虫等恶意软件的问题异常突出。 目前已经出 现了超过三万五千种的恶意软件,每年都有超过四千万的计算机被感染。要遏 制住这类攻击, 不仅需要解决安全的传输和数据输入时的检查,还要从源头即 从每一台连接到网络的终端开始防御。而传统的安全防御技术已经无法防御种 类繁多的恶意攻击。
国际可信计算组织 TCG针对这个问题, 专门制定了一个基于可信计算技 术的网络连接规范——可信网络连接 TNC, 简记为 TCG-TNC, 其包括了开放 的终端完整性架构和一套确保安全互操作的标准。这套标准可以在用户需要时 保护一个网络, 且由用户自定义保护到什么程度。 TCG-TNC本质上就是要从 终端的完整性开始建立连接。 首先,要创建一套在可信网络内部系统运行状况 的策略。 只有遵守网络设定策略的终端才能访问网络, 网络将隔离和定位那些 不遵守策略的设备。 由于使用了可信平台模块 TPM, 所以还可以阻挡 root kits 的攻击。 root kits是一种攻击脚本、 经修改的系统程序, 或者成套攻击脚本和 工具, 用于在一个目标系统中非法获取系统的最高控制权限。
现有 TCG-TNC架构如图 1所示, 具有访问请求者 AR、 策略执行点 PEP、 策略决策点 PDP三类逻辑实体实体,可以分布在网络的任意位置。该 TCG-TNC 架构在纵向上可分为网络访问层、 完整性评估层、 完整性度量层三个层次。 网 络访问层具有网络访问请求者 NAR、 策略执行者 PE和网络访问授权者 NAA 三个组件, 以及网络授权传输协议接口 IF-T和策略实施接口 IF-PEP。 网络访 问层用于支持传统的网络连接技术。完整性评估层负责评估所有请求访问网络 的实体的完整性。 该层有两个重要的接口: 完整性度量收集接口 IF-IMC和完
整性度量校验接口 IF-IMV。 此外, 在 TNC客户端和 TNC服务端之间还具有 一个完整性评估接口 IF-TNCCS。完整性度量层有完整性收集者 IMC和完整性 校验者 IMV两个组件, 负责收集和校验请求访问者的完整性相关信息。
现有 TCG-TNC架构一次完整的可信网络连接的信息传输过程是: 在建立 网络连接之前, TNC客户端 TNCC需要准备好所需要的平台完整性信息, 交 给完整性收集者 IMC。 在一个拥有可信平台模块的终端里面, 这也就是将网 络策略所需的平台信息经散列后存入各个平台配置寄存器, TNC服务端 TNCS 需要预先制定平台完整性的验证要求, 并交给完整性校验者 IMV。 具体过程 下:
( 1 ) 网络访问请求者 NAR向策略执行者发起访问请求。
( 2 )策略执行者将访问请求描述发送给网络访问授权者。
( 3 )网络访问授权者收到网络访问请求者 NAR的访问请求描述后,与网 络访问请求者 NAR执行用户鉴别协议。 当用户鉴别成功时, 网络访问授权者 将访问请求和用户鉴别成功的信息发往 TNC服务端 TNCS。
( 4 ) TNC服务端 TNCS收到网络访问授权者发送的访问请求和用户鉴别 成功的信息后, 与 TNC客户端 TNCC开始执行双向平台凭证认证, 比如验证 平台的身份证明密钥 AIK。
( 5 )当平台凭证认证成功时, TNC客户端 TNCC告诉完整性收集者 IMC 开始了一个新的网络连接且需要进行一个完整性握手协议。完整性收集者 IMC 通过完整性度量收集接口 IF-IMC 返回所需平台完整性信息。 TNC 服务端 TNCS将这些平台完整性信息通过完整性度量校验接口 IF-IMV交给完整性校 验者 IMV。
( 6 )在完整性握手协议过程中, TNC客户端 TNCC与 TNC服务端 TNCS 要交换一次或多次数据, 直到 TNC服务端 TNCS满意为止。
( 7 )当 TNC服务端 TNCS完成了对 TNC客户端 TNCC的完整性握手协 议, 它将发送一个推荐信给网络访问授权者, 要求允许访问。 如果还有另外的 安全考虑, 此时策略决策点仍旧可以不允许访问请求者 AR的访问。
( 8 ) 网络访问授权者将访问决定传递给策略执行者, 策略执行者最终执 行该决定, 来控制访问请求者 AR的访问。
目前, 尚无成熟的 TCG-TNC架构产品进入市场。 TCG-TNC架构的一些 重要技术还处于研究及规范阶段, 其主要还存在如下缺陷:
1.可扩展性差。 由于在策略执行点和策略决策点之间存在预定义的安全通 道, 而策略决策点可能管理着大量的策略执行点, 这将迫使它配置大量的安全 通道, 造成管理的复杂性, 因此, 可扩展性差。
2.密钥协商过程复杂。 因为要对网络访问层之上的数据进行安全保护, 所 以需要在访问请求者和策略决策点之间建立安全通道,即在它们之间进行会话 密钥协商; 但是, 访问请求者和策略执行点之间也需要进行数据保护, 从而需 要在访问请求者和策略执行点之间再次进行会话密钥协商,使密钥协商过程复 杂化。
3.安全性相对较低。 访问请求者和策略决策点协商出来的主密钥由策略决 策点传递给策略执行点。 密钥在网络上传递, 引入了新的安全攻击点, 使安全 性降低。 此外, 两次会话密钥协商使用了相同的主密钥, 也使整个可信网络连 接架构的安全性降低。
4.访问请求者可能无法验证策略决策点的 AIK证书有效性。 在平台凭证认 证, 两端都需要对 AIK证书进行有效性验证。 若策略决策点是访问请求者的上 网服务提供者,访问请求者在可信网络连接之前不能访问网络, 也即无法验证 策略决策点的 AIK证书的有效性, 所以是不安全的。
5.平台完整性评估是不对等的。 在 TCG-TNC架构中, 策略决策点对访问 请求者进行平台完整性评估,但访问请求者对策略决策点不进行平台完整性评 估。如果策略决策点的平台不可信, 那么访问请求者连接到不可信的设备上是 不安全的。 而对等可信在 Ad hoc网络中是必须的。
发明内容
本发明提供一种基于三元对等鉴别的可信网络连接系统,能够解决了背景 技术中可扩展性差、 密钥协商过程复杂、 安全性相对较低、 访问请求者可能无 法验证 AIK证书有效性和平台完整性评估不对等的技术问题。
本发明的技术解决方案如下:
一种基于三元对等鉴别的可信网络连接系统, 包括访问请求者 AR, 访问
控制器 AC和策略管理器 PM; 其中,
所述的访问请求者 AR与访问控制器 AC通过协议接口网络连通, 所述的 访问控制器 AC与策略管理器 PM通过协议接口网络连通,所述的访问请求者 AR通过访问控制器 AC与策略管理器 PM网络连通;
所述连通访问请求者 AR与访问控制器 AC的协议接口包括: 用于实现访 问请求者 AR与访问控制器 AC之间的双向用户鉴别和密钥协商、访问请求者 AR与访问控制器 AC相互访问控制的网络授权传输协议接口 IF-T; 及基于策 略管理器 PM验证访问请求者 AR及访问控制器 AC的 AIK证书有效性和策略 管理器 PM校验访问请求者 AR及访问控制器 AC的平台完整性来实现访问请 求者 AR 与访问控制器 AC 之间的平台完整性评估的完整性评估接口 IF-T CCS;
所述连通访问控制器 AC与策略管理器 PM的协议接口包括: 用于实现访 问请求者 AR与访问控制器 AC之间的双向用户鉴别和密钥协商、访问请求者 AR与访问控制器 AC相互访问控制的用户鉴别授权接口 IF-UAA; 用于实现 访问请求者 AR与访问控制器 AC之间的平台完整性评估、 策略管理器 PM验 证访问请求者 AR及访问控制器 AC的 AIK证书有效性、策略管理器 PM校验 访问请求者 AR及访问控制器 AC的平台完整性的平台评估授权接口 IF-PEA; 以及用于收集和校验访问控制器 AC 的平台完整性相关信息的完整性度量接 口 IF-M; 所述的访问请求者 AR与策略管理器 PM之间具有收集和校验访问 请求者 AR的平台完整性相关信息的完整性度量接口 IF-M。
优选的, 上述访问请求者 AR 包括网络访问请求者 NAR、 TNC客户端 TNCC和访问请求者 AR的完整性收集者 IMd; 所述的网络访问请求者 NAR 与 TNC客户端 TNCC以数据承载方式连通, 所述的 TNC客户端 TNCC与访 问请求者 AR的完整性收集者 IMd通过完整性度量收集接口 IF-IMC相连通; 上述访问控制器 AC包括网络访问控制者 NAC、 TNC服务端 TNCS和访 问控制器 AC的完整性收集者 IMC2; 所述的网络访问控制者 NAC与 TNC服 务端 TNCS以数据承载方式连通, 所述的 TNC服务端 TNCS与访问控制器的 完整性收集者 IMC2通过完整性度量收集接口 IF-IMC相连通;
上述策略管理器 PM 包括用户鉴别服务单元 UASU、 平台评估服务单元
PESU和完整性校验者 IMV;所述的用户鉴别服务单元 UASU与平台评估服务 单元 PESU以数据承载方式连通,所述的平台评估服务单元 PESU与完整性校 验者 IMV通过完整性度量校验接口 IF-IMV相连通;
上述网络访问请求者 NAR与网络访问控制者 NAC通过网络授权传输协 议接口 IF-T相连通,所述的网络访问控制者 NAC与用户鉴别服务单元 UASU 通过用户鉴别授权接口 IF-UAA相连通;
上述 TNC客户端 TNCC 与 TNC服务端 TNCS 通过完整性评估接口 IF-TNCCS相连通, 所述的 TNC服务端 TNCS与平台评估服务单元 PESU通 过平台评估 4受权接口 IF-PEA相连通;
上述访问请求者 AR的完整性收集者 IMd与完整性校验者 IMV通过完整 性度量接口 IF-M相连通, 所述的访问控制器的完整性收集者 IMC2与完整性 校验者 IMV通过完整性度量接口 IF-M相连通。
优选的, 上述访问请求者 AR和访问控制器 AC是具有可信平台模块的逻 辑实体。
优选的, 上述访问请求者 AR的完整性收集者 IMC 是收集 TNC客户端
TNCC预先准备的平台完整性信息的组件; 所述的访问控制器 AC的完整性收 集者 IMC2是收集 TNC服务端 TNCS预先准备的平台完整性信息的组件; 所 述的完整性校验者 IMV是接受 TNC客户端 TNCC与 TNC服务端 TNCS预先 制定的平台完整性验证要求并对访问请求者 AR和访问控制器 AC进行平台完 整性校验的组件。
通过本发明上述技术方案可知,密钥协商在访问请求者和访问控制器之间 进行,直接对平台完整性评估过程的数据和可信网络连接之后的服务数据进行 安全保护, 无需进行二次会话密钥协商, 因此, 可简化密钥协商过程和提高可 信网络连接的安全性。鉴别过程产生的主密钥无需在网络中进行传输,从而可 保证密钥的安全性。
另外, 本发明在完整性评估层釆用了三元对等鉴别方法, 也就是基于第三 方的双向鉴别方法, 分别对访问请求者和访问控制器的 AIK证书和平台完整 性实现集中鉴别和校验, 不仅增强了平台完整性评估过程的安全性, 而且简化 了可信网络连接架构的密钥管理及完整性校验机制。
此外,本发明不但在网络访问层釆用了三元对等鉴别方法来实现双向用户 鉴别,而且在完整性评估层也釆用了三元对等鉴别方法来实现双向的平台完整 性评估, 因此, 提高了整个可信网络连接架构的安全性。
实际应用中,一个策略管理器要管理大量的访问控制器。本发明可以消除 访问控制器和策略管理器之间的强安全关联的需求, 因此, 增强了可信网络连 接的扩展性。
附图说明
图 1为现有 TCG-TNC基本架构的示意图;
图 2为本发明 TNC基本架构的示意图;
图 3为本发明的一次完整的可信网络连接的信息传输示意图。
附图符号说明如下:
PEP: 策略执行点; PE: 策略执行者; PDP: 策略决策点; NAA: 网络访 问授权者; AR: 访问请求者; AC: 访问控制器; PM: 策略管理器; IMC1 : 访问请求者的完整性收集者; IMC2: 访问控制器的完整性收集者; IMV: 完 整性校验者; TNCC: TNC客户端; TNCS: TNC服务端; PESU: 平台评估 服务单元; NAR: 网络访问请求者; NAC: 网络访问控制者; UASU: 用户鉴 别服务单元; IF-T: 网络授权传输协议接口, 是网络访问请求者 NAR与网络 访问控制者 NAC之间的协议接口; IF-UAA: 用户鉴别授权接口, 是网络访问 控制者 NAC与用户鉴别服务单元 UASU之间的协议接口; IF-TNCCS: 完整 性评估接口, 是 TNC客户端 TNCC与 TNC服务端 TNCS之间的协议接口; IF-PEA:平台评估授权接口,是 TNC服务端 TNCS与平台评估服务单元 PESU 的协议接口; IF-IMC: 完整性度量收集接口, 是 TNC客户端 TNCC与访问请 求者的完整性收集者 IMC1之间的协议接口, 也是 TNC服务端 TNCS与访问 控制器的完整性收集者 IMC2之间的协议接口; IF-IMV:完整性度量校验接口, 是平台评估服务单元 PESU与完整性校验者 IMV之间的协议接口; IF-M: 完 整性度量接口 ,是访问请求者的完整性收集者 IMC 与完整性校验者 IMV之间 的协议接口,也是访问控制器的完整性收集者 IMC2与完整性校验者 IMV之间 的协议接口。
具体实施方式
参见图 2, 本发明主要由访问请求者 AR、 访问控制器 AC和策略管理器 PM三个逻辑实体构成, 其可以分布于网络的的任意位置。 访问请求者 AR又 称为请求者、 用户站等; 访问控制器 AC又称为鉴别访问控制器、 基站、 接入 服务单元等;策略管理器 PM又称为鉴别服务器、可信服务器、后台服务器等。 访问请求者 AR与访问控制器 AC通过协议接口网络连通, 访问控制器 AC与 策略管理器 PM通过协议接口网络连通, 策略管理器 PM通过访问控制器 AC 与访问请求者 AR网络连通。
访问请求者 AR主要由网络访问请求者 NAR、 TNC客户端 TNCC和访问 请求者的完整性收集者 IMC构成。网络访问请求者 NAR与 TNC客户端 TNCC 以数据承载方式连通, 用于 TNC客户端 TNCC转发消息。 TNC客户端 TNCC 与访问请求者的完整性收集者 IMd通过完整性度量收集接口 IF-IMC相连通 , 以实现访问请求者的完整性收集者 IMd与完整性校验者 IMV的通信。
访问控制器 AC主要由网络访问控制者 NAC、 TNC服务端 TNCS、 访问 控制器的完整性收集者 IMC2构成。网络访问控制者 NAC与 TNC服务端 TNCS 以数据承载方式连通, 用于 TNC服务端 TNCS转发消息。 TNC服务端 TNCS 与访问控制器的完整性收集者 IMC2通过完整性度量收集接口 IF-IMC相连通, 以实现访问控制器的完整性收集者 IMC2与完整性校验者 IMV的通信。
策略管理器 PM 主要由用户鉴别服务单元 UASU、 平台评估服务单元 PESU、完整性校验者 IMV构成。用户鉴别服务单元 UASU与平台评估服务单 元 PESU以数据承载方式连通, 用于平台评估服务单元 PESU转发消息。 平台 评估服务单元 PESU与完整性校验者 IMV通过完整性度量校验接口 IF-IMV相 连通,以实现完整性校验者 IMV与访问请求者的完整性收集者 IMd和访问控 制器的完整性收集者 IMC2的通信。
其中, 由网络访问请求者 NAR、 网络访问控制者 NAC和用户鉴别服务单 元 UASU三个组件构成网络访问层。 网络访问请求者 NAR与网络访问控制者 NAC通过网络授权传输协议接口 IF-T相连通, 网络访问控制者 NAC与用户 鉴别服务单元 UASU通过用户鉴别授权接口 IF-UAA相连通。网络访问层负责 实现访问请求者 AR与访问控制器 AC之间的双向用户鉴别及密钥协商,依据 网络用户鉴别结果和平台完整性评估结果实现访问请求者 AR 与访问控制器
AC的相互访问控制。 网络访问层釆用基于三元对等鉴别的访问控制方法, 该 访问控制方法为中国 WLAN标准中釆用的网络访问控制技术。
由 TNC客户端 TNCC、 TNC服务端 TNCS、 平台评估服务单元 PESU三 个实体构成完整性评估层。 TNC客户端 TNCC与 TNC服务端 TNCS通过完整 性评估接口 IF-TNCCS相连通, TNC服务端 TNCS与平台评估服务单元 PESU 通过平台评估授权接口 IF-PEA相连通。完整性评估层负责实现访问请求者 AR 与策略管理器 PM之间的平台完整性评估,包括平台凭证认证和平台完整性校 验。由策略管理器 PM来验证访问请求者 AR和访问控制器 AC的 AIK证书有 效性, 并且负责校验访问请求者 AR和访问控制器 AC的平台完整性。 在完整 性评估层, TNC客户端 TNCC、 TNC服务端 TNCS、 平台评估服务单元 PESU 执行三元对等鉴别, 即基于第三方的双向鉴别。
由访问请求者 AR的完整性收集者 IMd、 访问控制器 AC的完整性收集 者 IMC2、 完整性校验者 IMV三个组件构成完整性度量层。 访问请求者的完整 性收集者 IMC1与完整性校验者 IMV通过完整性度量接口 IF-M相连通, 访问 控制器的完整性收集者 IMC2与完整性校验者 IMV通过完整性度量接口 IF-M 相连通。 完整性度量层负责收集和校验访问请求者 AR和访问控制器 AC的平 台完整性相关信息。
参见图 3 , 釆用本发明实现基于三元对等鉴别的可信网络连接的具体步骤 下:
(1.) 在建立网络连接之前, 首先进行初始化。
(1.1)访问请求者 AR的 TNC客户端 TNCC预先准备平台完整性信息,交 给自身的访问请求者的完整性收集者 IM(^。 访问控制器 AC的 TNC服务端 TNCS 预先准备平台完整性信息, 交给自身的访问控制器的完整性收集者 IMC2。
(1.2) TNC客户端 TNCC和 TNC服务端 TNCS预先制定完整性验证要求, 该完整性验证要求包括访问请求者 AR与访问控制器 AC相互请求对方验证的 平台配置寄存器表。
(1.3)访问请求者 AR和访问控制器 AC的可信平台模块将网络策略所需 信息经散列后存入平台配置寄存器。
(2.) 进行用户鉴别。
(2.1) 网络访问请求者 NAR向网络访问控制者 NAC发起访问请求。
(2.2) 网络访问控制者 NAC接收到网络访问请求者 NAR的访问请求后, 启动双向用户鉴别过程, 网络访问层的网络访问请求者 NAR、 网络访问控制 者 NAC和用户鉴别服务单元 UASU之间开始执行三元对等鉴别协议, 实现访 问请求者 AR与访问控制器 AC的双向用户鉴别及密钥协商。
(2.3) 当双向用户鉴别成功时, 网络访问请求者 NAR和网络访问控制者 NAC 将用户鉴别成功的信息分别发往 TNC客户端 TNCC 和 TNC服务端 TNCS, 并根据用户鉴别结果对网络访问请求者 NAR和网络访问控制者 NAC 的端口进行控制。
(3.) 进行完整性评估。
当访问控制器 AC的 TNC服务端 TNCS收到网络访问控制者 NAC发送的 用户鉴别成功的信息时, 完整性评估层的 TNC客户端 TNCC、 TNC服务端 TNCS 和平台评估服务单元 PESU利用三元对等鉴别协议来实现访问请求者 AR和访问控制器 AC的平台完整性评估。
其中, 平台完整性评估可釆用下列实现方式:
① . 进行平台凭证认证: 由策略管理器 PM验证访问请求者 AR和访问控 制器 AC的 AIK证书有效性。
② . 进行平台完整性校验: 策略管理器 PM校验访问请求者 AR和访问控 制器 AC的平台完整性。
(4.) 进行访问控制。
TNC服务端 TNCS和 TNC客户端 TNCC各自汇总访问控制器 AC和访问 请求者 AR的平台完整性评估结果, 然后, 分别向网络访问请求者 NAR和网 络访问控制者 NAC发送推荐。 网络访问请求者 NAR和网络访问控制者 NAC 分别依据各自收到的推荐对端口进行控制 ,从而实现访问请求者 AR和访问控 制器 AC的相互访问控制。
本发明上述实施例中, 密钥协商在访问请求者和访问控制器之间进行, 直 接对平台完整性评估过程的数据和可信网络连接之后的服务数据进行安全保 护, 无需进行二次会话密钥协商, 因此, 可简化密钥协商过程和提高可信网络
连接的安全性。鉴别过程产生的主密钥无需在网络中进行传输,从而可保证密 钥的安全性。
另外,在完整性评估层釆用了三元对等鉴别方法, 也就是基于第三方的双 向鉴别方法, 分别对访问请求者和访问控制器的 AIK证书和平台完整性实现 集中鉴别和校验, 不仅增强了平台完整性评估过程的安全性, 而且简化了可信 网络连接架构的密钥管理及完整性校验机制。
此外,本发明实施例不但在网络访问层釆用了三元对等鉴别方法来实现双 向用户鉴别,而且在完整性评估层也釆用了三元对等鉴别方法来实现双向的平 台完整性评估, 因此, 提高了整个可信网络连接架构的安全性。
再者, 在实际应用中, 一个策略管理器要管理大量的访问控制器。 本发明 实施例可以消除访问控制器和策略管理器之间的强安全关联的需求, 因此,增 强了可信网络连接的扩展性。
以上对本发明所提供的基于三元对等鉴别的可信网络连接系统进行了详 实施例的说明只是用于帮助理解本发明的方案; 同时,对于本领域的一般技术 人员, 依据本发明的思想, 在具体实施方式及应用范围上均会有改变之处, 综 上所述, 本说明书内容不应理解为对本发明的限制。
Claims
权 利 要 求
1。一种基于三元对等鉴别的可信网络连接系统, 包括访问请求者 AR, 其 特征在于, 还包括访问控制器 AC和策略管理器 PM;
所述的访问请求者 AR与访问控制器 AC通过协议接口网络连通, 所述的 访问控制器 AC与策略管理器 PM通过协议接口网络连通,所述的访问请求者 AR通过访问控制器 AC与策略管理器 PM网络连通;
所述连通访问请求者 AR与访问控制器 AC的协议接口包括: 用于实现访 问请求者 AR与访问控制器 AC之间的双向用户鉴别和密钥协商、访问请求者 AR与访问控制器 AC相互访问控制的网络授权传输协议接口 IF-T; 及基于策 略管理器 PM验证访问请求者 AR及访问控制器 AC的 AIK证书有效性和策略 管理器 PM校验访问请求者 AR及访问控制器 AC的平台完整性来实现访问请 求者 AR 与访问控制器 AC 之间的平台完整性评估的完整性评估接口 IF-T CCS;
所述连通访问控制器 AC与策略管理器 PM的协议接口包括: 用于实现访 问请求者 AR与访问控制器 AC之间的双向用户鉴别和密钥协商、访问请求者 AR与访问控制器 AC相互访问控制的用户鉴别授权接口 IF-UAA; 用于实现 访问请求者 AR与访问控制器 AC之间的平台完整性评估、 策略管理器 PM验 证访问请求者 AR及访问控制器 AC的 AIK证书有效性、策略管理器 PM校验 访问请求者 AR及访问控制器 AC的平台完整性的平台评估授权接口 IF-PEA; 以及用于收集和校验访问控制器 AC 的平台完整性相关信息的完整性度量接 口 IF-M;
所述的访问请求者 AR与策略管理器 PM之间具有收集和校验访问请求者 AR的平台完整性相关信息的完整性度量接口 IF-M。
2.根据权利要求 1所述的基于三元对等鉴别的可信网络连接系统, 其特征 在于:
所述的访问请求者 AR包括网络访问请求者 NAR、 TNC客户端 TNCC和 访问请求者 AR的完整性收集者 IMd ; 所述的网络访问请求者 NAR与 TNC 客户端 TNCC以数据承载方式连通,所述的 TNC客户端 TNCC与访问请求者 AR的完整性收集者 IMd通过完整性度量收集接口 IF-IMC相连通;
所述的访问控制器 AC包括网络访问控制者 NAC、 TNC服务端 TNCS和 访问控制器 AC的完整性收集者 IMC2; 所述的网络访问控制者 NAC与 TNC 服务端 TNCS以数据承载方式连通, 所述的 TNC服务端 TNCS与访问控制器 的完整性收集者 IMC2通过完整性度量收集接口 IF-IMC相连通;
所述的策略管理器 PM包括用户鉴别服务单元 UASU、平台评估服务单元
PESU和完整性校验者 IMV;所述的用户鉴别服务单元 UASU与平台评估服务 单元 PESU以数据承载方式连通,所述的平台评估服务单元 PESU与完整性校 验者 IMV通过完整性度量校验接口 IF-IMV相连通;
所述的网络访问请求者 NAR与网络访问控制者 NAC通过网络授权传输 协议接口 IF-T 相连通, 所述的网络访问控制者 NAC 与用户鉴别服务单元 UASU通过用户鉴别授权接口 IF-UAA相连通;
所述的 TNC客户端 TNCC与 TNC服务端 TNCS通过完整性评估接口 IF-TNCCS相连通, 所述的 TNC服务端 TNCS与平台评估服务单元 PESU通 过平台评估 4受权接口 IF-PEA相连通;
所述的访问请求者的完整性收集者 IMd与完整性校验者 IMV通过完整性 度量接口 IF-M相连通, 所述的访问控制器的完整性收集者 IMC2与完整性校 验者 IMV通过完整性度量接口 IF-M相连通。
3.根据权利要求 1或 2所述的基于三元对等鉴别的可信网络连接系统, 其 特征在于: 所述的访问请求者 AR和访问控制器 AC是具有可信平台模块的逻 辑实体。
4.根据权利要求 3所述的基于三元对等鉴别的可信网络连接系统, 其特征 在于:所述的访问请求者 AR的完整性收集者 IMd是收集 TNC客户端 TNCC 预先准备的平台完整性信息的组件; 所述的访问控制器 AC 的完整性收集者 IMC2是收集 TNC服务端 TNCS预先准备的平台完整性信息的组件;所述的完 整性校验者 IMV是接收 TNC客户端 TNCC与 TNC服务端 TNCS预先制定的 平台完整性验证要求并对访问请求者 AR和访问控制器 AC进行平台完整性校 验的组件。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010518480A JP5178833B2 (ja) | 2007-08-03 | 2008-07-21 | 三要素ピア認証に基づいた信頼されたネットワーク接続システム |
| US12/628,903 US8191113B2 (en) | 2007-08-03 | 2009-12-01 | Trusted network connect system based on tri-element peer authentication |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2007100184147A CN100566252C (zh) | 2007-08-03 | 2007-08-03 | 一种基于三元对等鉴别的可信网络连接系统 |
| CN200710018414.7 | 2007-08-03 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| US12/628,903 Continuation US8191113B2 (en) | 2007-08-03 | 2009-12-01 | Trusted network connect system based on tri-element peer authentication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2009018742A1 true WO2009018742A1 (fr) | 2009-02-12 |
Family
ID=39933498
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2008/071699 WO2009018742A1 (fr) | 2007-08-03 | 2008-07-21 | Système de connexion à un réseau de confiance basé sur une authentification de pair à trois éléments |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8191113B2 (zh) |
| JP (1) | JP5178833B2 (zh) |
| CN (1) | CN100566252C (zh) |
| WO (1) | WO2009018742A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010534988A (ja) * | 2007-08-01 | 2010-11-11 | 西安西▲電▼捷通▲無▼▲綫▼▲網▼絡通信有限公司 | 安全性が強化されたトラステッドネットワークコネクト方法 |
| JP2010536203A (ja) * | 2007-08-08 | 2010-11-25 | 西安西▲電▼捷通▲無▼▲綫▼▲網▼絡通信有限公司 | 安全性が強化されたトラステッドネットワークコネクトシステム |
| JP2012529795A (ja) * | 2009-06-08 | 2012-11-22 | 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司 | 3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法 |
| EP2421215A4 (en) * | 2009-04-16 | 2016-05-25 | China Iwncomm Co Ltd | METHOD OF ESTABLISHING A TRUSTWORTHY NETWORK CONNECTING FRAME OF THE THREE-ELEMENT PEER AUTHENTICATION |
| EP2426853A4 (en) * | 2009-04-28 | 2017-06-14 | China Iwncomm Co., Ltd | Platform authentication method suitable for trusted network connect architecture based on tri-element peer authentication |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100496025C (zh) * | 2007-11-16 | 2009-06-03 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制方法 |
| CN100553212C (zh) * | 2007-11-16 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制系统 |
| CN101431517B (zh) * | 2008-12-08 | 2011-04-27 | 西安西电捷通无线网络通信股份有限公司 | 一种基于三元对等鉴别的可信网络连接握手方法 |
| CN101527717B (zh) * | 2009-04-16 | 2012-11-28 | 西安西电捷通无线网络通信股份有限公司 | 一种三元对等鉴别可信网络连接架构的实现方法 |
| CN101656719B (zh) * | 2009-09-22 | 2011-11-02 | 西安西电捷通无线网络通信股份有限公司 | 一种可实现平台配置保护的双向平台鉴别方法 |
| CN101795281B (zh) * | 2010-03-11 | 2012-03-28 | 西安西电捷通无线网络通信股份有限公司 | 一种适合可信连接架构的平台鉴别实现方法及系统 |
| US8726348B2 (en) * | 2010-12-15 | 2014-05-13 | The Boeing Company | Collaborative rules based security |
| GB2487049A (en) * | 2011-01-04 | 2012-07-11 | Vestas Wind Sys As | Remote and local authentication of user for local access to computer system |
| DE102013219375A1 (de) * | 2013-09-26 | 2015-03-26 | Siemens Aktiengesellschaft | Anpassen von Zugriffsregeln für einen Datenaustausch zwischen einem ersten Netzwerk und einem zweiten Netzwerk |
| DE102014105243A1 (de) * | 2013-12-05 | 2015-06-11 | Deutsche Post Ag | Zugangskontrollsystem |
| CN104079570B (zh) * | 2014-06-27 | 2017-09-22 | 东湖软件产业股份有限公司 | 一种基于IPsec的可信网络连接方法 |
| CN104468606B (zh) * | 2014-12-24 | 2018-10-09 | 国家电网公司 | 一种基于电力生产控制类系统的可信连接系统和方法 |
| CN107553086A (zh) * | 2017-08-31 | 2018-01-09 | 上海知正离心机有限公司 | 设备装卸辅助装置 |
| CN113794685B (zh) * | 2021-08-16 | 2023-09-29 | 德威可信(北京)科技有限公司 | 一种基于可信评估的数据传输方法及装置 |
| CN115277259B (zh) * | 2022-09-27 | 2023-02-28 | 南湖实验室 | 一种支持隐私计算持久化数据大规模跨平台迁徙的方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1976338A (zh) * | 2006-12-18 | 2007-06-06 | 西安西电捷通无线网络通信有限公司 | 一种三元结构的对等访问控制系统 |
| US20070143629A1 (en) * | 2004-11-29 | 2007-06-21 | Hardjono Thomas P | Method to verify the integrity of components on a trusted platform using integrity database services |
| CN101136928A (zh) * | 2007-10-19 | 2008-03-05 | 北京工业大学 | 一种可信网络接入框架 |
| CN101159640A (zh) * | 2007-11-16 | 2008-04-09 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制系统 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7849495B1 (en) * | 2002-08-22 | 2010-12-07 | Cisco Technology, Inc. | Method and apparatus for passing security configuration information between a client and a security policy server |
| US7552326B2 (en) | 2004-07-15 | 2009-06-23 | Sony Corporation | Use of kernel authorization data to maintain security in a digital processing system |
| CN1655504B (zh) * | 2005-02-21 | 2010-05-05 | 西安西电捷通无线网络通信有限公司 | 基于端口的对等访问控制方法 |
| US7827593B2 (en) * | 2005-06-29 | 2010-11-02 | Intel Corporation | Methods, apparatuses, and systems for the dynamic evaluation and delegation of network access control |
| US7900059B2 (en) | 2005-12-13 | 2011-03-01 | International Business Machines Corporation | Sealing of data for applications |
| US7827545B2 (en) * | 2005-12-15 | 2010-11-02 | Microsoft Corporation | Dynamic remediation of a client computer seeking access to a network with a quarantine enforcement policy |
| US7793096B2 (en) * | 2006-03-31 | 2010-09-07 | Microsoft Corporation | Network access protection |
| US7592906B1 (en) * | 2006-06-05 | 2009-09-22 | Juniper Networks, Inc. | Network policy evaluation |
| CN100495963C (zh) * | 2006-09-23 | 2009-06-03 | 西安西电捷通无线网络通信有限公司 | 一种公钥证书状态的获取及验证方法 |
| CN100512312C (zh) * | 2006-12-18 | 2009-07-08 | 西安西电捷通无线网络通信有限公司 | 一种三元结构的对等访问控制方法 |
| US20090077631A1 (en) * | 2007-09-13 | 2009-03-19 | Susann Marie Keohane | Allowing a device access to a network in a trusted network connect environment |
-
2007
- 2007-08-03 CN CNB2007100184147A patent/CN100566252C/zh active Active
-
2008
- 2008-07-21 JP JP2010518480A patent/JP5178833B2/ja active Active
- 2008-07-21 WO PCT/CN2008/071699 patent/WO2009018742A1/zh active Application Filing
-
2009
- 2009-12-01 US US12/628,903 patent/US8191113B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070143629A1 (en) * | 2004-11-29 | 2007-06-21 | Hardjono Thomas P | Method to verify the integrity of components on a trusted platform using integrity database services |
| CN1976338A (zh) * | 2006-12-18 | 2007-06-06 | 西安西电捷通无线网络通信有限公司 | 一种三元结构的对等访问控制系统 |
| CN101136928A (zh) * | 2007-10-19 | 2008-03-05 | 北京工业大学 | 一种可信网络接入框架 |
| CN101159640A (zh) * | 2007-11-16 | 2008-04-09 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制系统 |
Non-Patent Citations (1)
| Title |
|---|
| "TCG Trusted Network Connect TNC Architecture for Interoperability", SPECIFICATION VERSION1.2. REVISION 4, TCG PUBLISHED, 21 May 2007 (2007-05-21), pages SECTIONS 3-6 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010534988A (ja) * | 2007-08-01 | 2010-11-11 | 西安西▲電▼捷通▲無▼▲綫▼▲網▼絡通信有限公司 | 安全性が強化されたトラステッドネットワークコネクト方法 |
| JP2010536203A (ja) * | 2007-08-08 | 2010-11-25 | 西安西▲電▼捷通▲無▼▲綫▼▲網▼絡通信有限公司 | 安全性が強化されたトラステッドネットワークコネクトシステム |
| EP2421215A4 (en) * | 2009-04-16 | 2016-05-25 | China Iwncomm Co Ltd | METHOD OF ESTABLISHING A TRUSTWORTHY NETWORK CONNECTING FRAME OF THE THREE-ELEMENT PEER AUTHENTICATION |
| EP2426853A4 (en) * | 2009-04-28 | 2017-06-14 | China Iwncomm Co., Ltd | Platform authentication method suitable for trusted network connect architecture based on tri-element peer authentication |
| JP2012529795A (ja) * | 2009-06-08 | 2012-11-22 | 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司 | 3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法 |
| US8719897B2 (en) | 2009-06-08 | 2014-05-06 | China Iwncomm Co., Ltd. | Access control method for tri-element peer authentication credible network connection structure |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101242268A (zh) | 2008-08-13 |
| US8191113B2 (en) | 2012-05-29 |
| JP2010535440A (ja) | 2010-11-18 |
| US20100077213A1 (en) | 2010-03-25 |
| JP5178833B2 (ja) | 2013-04-10 |
| CN100566252C (zh) | 2009-12-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2009018742A1 (fr) | Système de connexion à un réseau de confiance basé sur une authentification de pair à trois éléments | |
| WO2009015581A1 (fr) | Procédé visant à obtenir une connexion de réseau fiable, reposant sur une authentification d'homologues impliquant trois éléments | |
| JP5093350B2 (ja) | 安全性が強化されたトラステッドネットワークコネクト方法 | |
| JP5248621B2 (ja) | 3値同等識別に基づく、信頼されているネットワークアクセス制御システム | |
| RU2444156C1 (ru) | Способ управления доступом к защищенной сети на основе трехэлементной аутентификации одноранговых объектов | |
| WO2009018743A1 (fr) | Système de connexion à un réseau de confiance destiné à améliorer la sécurité | |
| WO2010066187A1 (zh) | 一种基于三元对等鉴别的可信网络连接握手方法 | |
| WO2010124504A1 (zh) | 适合基于三元对等鉴别的可信网络连接架构的平台鉴别方法 | |
| WO2010066169A1 (zh) | 一种基于三元对等鉴别的可信网络连接实现方法 | |
| WO2012013011A1 (zh) | 一种适合可信连接架构的平台鉴别策略管理方法及设备 | |
| WO2011109959A1 (zh) | 一种适合可信连接架构的平台鉴别实现方法及系统 | |
| WO2010121474A1 (zh) | 一种适合三元对等鉴别可信网络连接架构的平台鉴别管理方法 | |
| WO2011069355A1 (zh) | 一种适合三元对等鉴别可信网络连接架构的网络传输方法 | |
| WO2011022902A1 (zh) | 一种可实现双向平台鉴别的方法 | |
| WO2011035508A1 (zh) | 一种可实现平台配置保护的双向平台鉴别方法及其系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 08773225 Country of ref document: EP Kind code of ref document: A1 |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2010518480 Country of ref document: JP |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 08773225 Country of ref document: EP Kind code of ref document: A1 |