一种基于三元对等鉴别的可信网络连接实现方法 本申请要求于 2008年 12月 8 日提交中国专利局, 申请号为
200810184119.3 , 发明名称为 "一种基于三元对等鉴别的可信网络连接实 现方法"的中国专利申请的优先权,其全部内容通过引用结合在本申请中。 技术领域
本发明涉及通信技术领域, 尤其涉及一种基于三元对等鉴别的可信网 络连接实现方法。 背景技术
随着信息化的发展, 病毒、 蠕虫等恶意软件的问题异常突出, 目前已 经出现了超过三万五千种的恶意软件, 每年都有超过四千万的计算机被感 染。 要遏制住这类攻击, 不仅需要解决安全的传输和数据输入时的检查, 还要从源头即从每一台连接到网络的终端开始防御。 而传统的安全防御技 术已经无法防御种类繁多的恶意攻击。
国际可信计算组织 ( Trusted Computing Group; 以下简称: TCG )针 对这个问题, 专门制定了一个基于可信计算技术的网络连接规范——可信 网络连接( Trusted Network Connect; 以下简称: TNC ) ,简记为 TCG-TNC , TCG-TNC 包括了开放的终端完整性架构和一套确保安全互操作的标准, 这套标准可以在用户需要时保护一个网络, 且由用户自定义保护到什么程 度。 TCG-TNC 本质上就是要从终端的完整性开始建立连接。 首先, 要创 建一套在可信网络内部系统运行状况的策略。 只有遵守网络设定策略的终 端才能访问网络, 网络将隔离和定位那些不遵守策略的设备。 由于使用了 可信平台模块, 因此还可以阻挡 root kits的攻击, root kits是一种攻击脚 本、 经修改的系统程序, 或者成套攻击脚本和工具, 用于在一个目标系统 中非法获取系统的最高控制权限。
由于 TCG-TNC架构中访问请求者不评估策略执行点的完整性, 从而 TCG-TNC 架构存在策略执行点不可信的问题, 因此现有技术提出了一种 基于三元对等鉴别 ( Tri-element Peer Authentication; 以下简称: TePA )
的可信网络连接架构来解决这一问题, 图 1为现有技术基于三元对等鉴别 的可信网络连接架构的示意图。
但是, 由于基于三元对等鉴别的可信网络连接架构与 TCG-TNC架构 完全不一样, 因此 TCG-TNC架构的可信网络连接实现方法不能适用于基 于三元对等鉴别的可信网络连接架构。 发明内容
本发明提供一种基于三元对等鉴别的可信网络连接实现方法, 以建立 一种适合基于三元对等鉴别的可信网络连接架构的可信网络连接的实现 方法。
本发明提供一种基于三元对等鉴别的可信网络连接实现方法, 包括: 步骤 1 , 配置与初始化;
步骤 2 , 请求网络连接: 访问请求者向访问控制器发送网络连接请求, 所述访问控制器接收所述网络连接请求;
步骤 3 , 用户身份鉴别;
步骤 4 , 平台鉴别;
其中, 步骤 1包括:
步骤 11 ,网络用户为所述访问请求者配置对所述访问控制器的安全策 略, 包括所述访问请求者对所述访问控制器的平台评估策略; 网络管理员 为所述访问控制器配置对所述访问请求者的安全策略, 包括所述访问控制 器对所述访问请求者的平台评估策略;
步骤 12 ,所述访问请求者和所述访问控制器加载和初始化各自的完整 性收集者, 策略管理器加载和初始化完整性校验者;
步骤 3包括:
步骤 31 ,若所述访问请求者或所述访问控制器不要求进行用户身份鉴 别过程, 则跳至步骤 33 ;
步骤 32 ,若所述访问请求者或所述访问控制器要求进行用户身份鉴别 过程, 则: 当所述访问请求者和所述访问控制器没有执行过所述用户身份 鉴别过程时, 所述访问请求者和所述访问控制器执行基于所述策略管理器 为可信方的三元对等鉴别协议, 实现所述访问请求者和所述访问控制器之
间的用户身份鉴别及密钥协商, 执行步骤 33 ; 当所述访问请求者和所述访 问控制器已执行过所述用户身份鉴别过程时, 所述访问请求者和所述访问 控制器可以基于已执行过的用户身份鉴别过程实现所述访问请求者和所 述访问控制器之间的用户身份鉴别及密钥协商, 或重新执行基于所述策略 管理器为可信方的三元对等鉴别协议实现所述访问请求者和所述访问控 制器之间的用户身份鉴别及密钥协商, 执行步骤 33;
步骤 33 , 若所述访问请求者或所述访问控制器要求立即做出访问决 策, 则当所述访问请求者或所述访问控制器不要求进行用户身份鉴别过程 时, 所述访问请求者和所述访问控制器依据本地安全策略做出访问决策, 并执行访问控制; 当所述访问请求者或所述访问控制器要求进行用户身份 鉴别过程时, 所述访问请求者和所述访问控制器依据对对方的用户身份鉴 别结果和本地安全策略做出访问决策, 并执行访问控制; 否则, 所述访问 请求者或所述访问控制器要求执行平台鉴别过程。
上述步骤 4具体包括:
步骤 41 ,若所述访问请求者或所述访问控制器要求在线向所述策略管 理器申请平台身份证书, 则所述访问请求者或所述访问控制器在线向所述 策略管理器申请平台身份证书;
步骤 42 ,若网络管理员还没有为所述访问控制器配置对所述访问请求 者的平台评估策略, 则所述访问控制器向所述策略管理器请求对所述访问 请求者的平台评估策略, 然后所述策略管理器发送所述访问控制器对所述 访问请求者的平台评估策略给所述访问控制器, 所述访问控制器收到所述 访问控制器对所述访问请求者的平台评估策略后进行配置;
步骤 43 ,所述访问请求者和所述访问控制器执行基于所述策略管理器 为可信方的三元对等鉴别协议, 实现所述访问请求者和所述访问控制器之 间的平台鉴别, 包括平台身份验证和平台完整性评估, 其中所述策略管理 器负责所述访问请求者和所述访问控制器的平台身份证书验证、 平台完整 性的完整性校验者级评估;
步骤 44 , 步骤 43执行多轮, 直至所述访问请求者和所述访问控制器 都已按照配置的平台评估策略完成对对方的平台完整性评估, 所述访问请 求者依据对所述访问控制器的平台评估策略和对所述访问控制器的平台
完整性的完整性校验者级评估结果生成对所述访问控制器的平台完整性 的平台级评估结果, 然后所述访问请求者依据对所述访问控制器的平台评 估策略、 所述访问控制器的平台身份证书验证结果和对所述访问控制器的 平台完整性的平台级评估结果生成对所述访问控制器的平台鉴别结果; 所 述访问控制器依据对所述访问请求者的平台评估策略和对所述访问请求 者的平台完整性的完整性校验者级评估结果生成对所述访问请求者的平 台完整性的平台级评估结果, 然后所述访问控制器依据对所述访问请求者 的平台评估策略、 所述访问请求者的平台身份证书验证结果和对所述访问 请求者的平台完整性的平台级评估结果生成对所述访问请求者的平台鉴 别结果;
步骤 45 ,当所述访问请求者或所述访问控制器不要求进行用户身份鉴 别过程时, 所述访问请求者和所述访问控制器依据本地安全策略和对对方 的平台鉴别结果做出访问决策, 并执行访问控制; 当所述访问请求者或所 述访问控制器要求进行用户身份鉴别过程时, 所述访问请求者和所述访问 控制器依据对对方的用户身份鉴别结果、 对对方的平台鉴别结果和本地安 全策略做出访问决策, 并执行访问控制。
上述步骤 4具体包括:
步骤 401 , 若所述访问请求者或所述访问控制器要求在线向所述策略 管理器申请平台身份证书, 则所述访问请求者或所述访问控制器在线向所 述策略管理器申请平台身份证书;
步骤 402 , 若网络管理员还没有为所述访问控制器配置对所述访问请 求者的平台评估策略, 则所述访问控制器向所述策略管理器请求对所述访 问请求者的平台评估策略, 然后所述策略管理器发送所述访问控制器对访 问请求者的平台评估策略给所述访问控制器, 所述访问控制器收到所述访 问控制器对所述访问请求者的平台评估策略后进行配置;
步骤 403 , 所述访问请求者和所述访问控制器执行基于所述策略管理 器为可信方的三元对等鉴别协议, 实现所述访问请求者和所述访问控制器 之间的平台鉴别, 包括平台身份验证和平台完整性评估, 其中所述策略管 理器负责所述访问请求者和所述访问控制器的平台身份证书验证、 平台完 整性的平台级评估;
步骤 404 , 步骤 403执行多轮, 直至所述访问请求者和所述访问控制 器都已按照配置的平台评估策略完成对对方的平台完整性评估, 这时所述 策略管理器才生成所述访问请求者和所述访问控制器的平台完整性的平 台级评估结果并发送给所述访问请求者和所述访问控制器; 所述访问请求 者依据对所述访问控制器的平台评估策略、 所述访问控制器的平台身份证 书验证结果和对所述访问控制器的平台完整性的平台级评估结果生成对 所述访问控制器的平台鉴别结果; 所述访问控制器依据对所述访问请求者 的平台评估策略、 所述访问请求者的平台身份证书验证结果和对所述访问 请求者的平台完整性的平台级评估结果生成对所述访问请求者的平台鉴 别结果;
步骤 405 , 当所述访问请求者或所述访问控制器不要求进行用户身份 鉴别过程时, 所述访问请求者和所述访问控制器依据本地安全策略和对对 方的平台鉴别结果做出访问决策, 并执行访问控制; 当所述访问请求者或 所述访问控制器要求进行用户身份鉴别过程时, 所述访问请求者和所述访 问控制器依据对对方的用户身份鉴别结果、 对对方的平台鉴别结果和本地 安全策略做出访问决策, 并执行访问控制。
上述步骤 4之后还包括: 步骤 5 , 平台修补后的重新平台鉴别。
上述步骤 5具体包括:
步骤 51 , 若执行完步骤 4后, 所述访问请求者或所述访问控制器要求 进行平台修补过程, 则所述访问请求者或所述访问控制器进行平台修补; 步骤 52 , 所述访问请求者或所述访问控制器完成平台修补后,根据平 台修补过程对所述访问请求者和所述访问控制器之间的网络连接性的影 响和本地安全策略跳至步骤 2、 步骤 3或步骤 4。
上述步骤 5之后还包括: 步骤 6 , 平台鉴别后被激活的重新平台鉴别; 若所述访问请求者或所述访问控制器根据本地安全策略被激活进行重新 平台鉴别过程, 则根据本地安全策略跳至步骤 3或步骤 4。
本发明还可以适用于实体间的可信通信, 具体包括:
当一个访问请求者通过访问控制器连接到网络之后, 若这个访问请求 者要求与网络中的另一个访问请求者进行可信通信, 则这个访问请求者、 另一个访问请求者和策略管理器执行上述本发明提供的基于三元对等鉴
别的可信网络连接实现方法, 实现这个访问请求者和另一个访问请求者之 间用户身份鉴别和平台鉴别, 保证这个访问请求者和另一个访问请求者之 间的可信通信, 其中这个访问请求者或另一个访问请求者都可以充当上述 本发明提供的基于三元对等鉴别的可信网络连接实现方法中的访问请求 者角色或访问控制器角色。
本发明还可以适用于对实体的可信管理, 具体包括:
当策略管理器要求对网络中访问控制器和所有访问请求者进行可信 管理时, 若策略管理器要求对网络中的一个访问请求者进行可信管理, 则 这个访问请求者和策略管理器执行上述本发明提供的基于三元对等鉴别 的可信网络连接实现方法, 实现策略管理器对这个访问请求者的用户身份 鉴别和平台鉴别, 其中这个访问请求者充当上述本发明提供的基于三元对 等鉴别的可信网络连接实现方法中的访问请求者角色, 策略管理器充当上 述本发明提供的基于三元对等鉴别的可信网络连接实现方法中的访问控 制器角色和策略管理器角色; 若策略管理器要求对网络中的访问控制器进 行可信管理, 则访问控制器和策略管理器执行上述本发明提供的基于三元 对等鉴别的可信网络连接实现方法, 实现策略管理器对访问控制器的用户 身份鉴别和平台鉴别, 其中访问控制器充当上述本发明提供的基于三元对 等鉴别的可信网络连接实现方法中的访问请求者角色, 策略管理器充当上 述本发明提供的基于三元对等鉴别的可信网络连接实现方法中的访问控 制器角色和策略管理器角色;
本发明具有以下优点:
1、 本发明对访问请求者、 访问控制器和策略管理器执行三元对等鉴 别协议, 增强了可信网络连接实现方法的安全性;
2、本发明将 TCG-TNC的二元可信网络连接架构扩展为适用于基于三 元对等鉴别的可信网络架构, 提高了基于三元对等鉴别的可信网络连接实 现方法的应用范围;
3、 本发明的平台鉴别过程可釆用一轮协议完成, 也可以釆用多轮协 议完成, 满足不同网络设备的需求, 同时提高了基于三元对等鉴别的可信 网络连接实现方法的效率;
4、 本发明既可以适用于实体的可信网络连接、 又可以适用于对等实
体间的可信通信, 还可以适用于对实体的可信管理, 提高了基于三元对等 鉴别的可信网络连接实现方法的适用性。 附图说明
图 1为现有技术基于三元对等鉴别的可信网络连接架构的示意图; 图 2为本发明第一种模式下的实施例一的流程图;
图 3为本发明第一种模式下的实施例二的流程图;
图 4为本发明第二种模式下的实施例一的流程图;
图 5为本发明第二种模式下的实施例二的流程图。 具体实施方式
本发明提供的方法有两种模式, 图 2为本发明第一种模式下的实施例 一的流程图, 图 3为本发明第一种模式下的实施例二的流程图。
参见图 2和图 3 , 在第一种模式下, 本发明具体包括:
步骤 1 , 配置与初始化。 其中, 该步骤 1包括:
步骤 11 , 网络用户为访问请求者配置对访问控制器的安全策略, 包括 访问请求者对访问控制器的平台评估策略; 网络管理员为访问控制器配置 对访问请求者的安全策略, 包括访问控制器对访问请求者的平台评估策 略。 其中, 访问控制器配置对访问请求者的平台评估策略可以按步骤 42 动态实现;
步骤 12 , 访问请求者和访问控制器加载和初始化各自的完整性收集 者, 策略管理器加载和初始化完整性校验者。
具体地, 步骤 12可以包括:
步骤 121 , 当 TNC客户端启动时, TNC客户端首先通过访问请求者 的完整性收集接口 ( Integrity Measurement Collector Interface; 以下简称: IF-IMC )加载访问请求者的各个完整性收集者, 然后通过访问请求者的完 整性收集接口 IF-IMC初始化访问请求者的各个完整性收集者, 其中在加 载过程中 TNC客户端可以验证访问请求者的各个完整性收集者的完整性; 步骤 122 , 当 TNC接入点启动时, TNC接入点首先通过访问控制器 的完整性收集接口 IF-IMC加载访问控制器的各个完整性收集者, 然后通
过访问控制器的完整性收集接口 IF-IMC初始化访问控制器的各个完整性 收集者, 其中在加载过程中 TNC接入点可以验证访问控制器的各个完整 性收集者的完整性;
步骤 123 , 当评估策略服务者启动时, 评估策略服务者首先通过完整 性校马全接口 ( Integrity Measurement Verifier Interface; 以下简称: IF-IMV ) 加载各个完整性校检者, 然后通过完整性校验接口 IF-IMV初始化各个完 整性校检者, 其中在加载过程中评估策略服务者可以验证各个完整性校检 者的完整性。
步骤 2 , 请求网络连接: 络访问请求者向网络访问控制者发送网络连 接请求, 网络访问控制者接收该网络连接请求。
步骤 3 , 用户身份鉴别。 其中, 该步骤 3包括:
步骤 31 , 若访问请求者或访问控制器不要求进行用户身份鉴别过程 , 则跳至步骤 33 ;
步骤 32 ,若访问请求者或访问控制器要求进行用户身份鉴别过程 ,则: 当访问请求者和访问控制器没有执行过用户身份鉴别过程时, 网络访问请 求者和网络访问控制者执行基于鉴别策略服务者为可信方的三元对等鉴 别协议, 实现访问请求者和访问控制器之间的用户身份鉴别及密钥协商, 执行步骤 33; 当访问请求者和访问控制器已执行过用户身份鉴别过程时, 网络访问请求者和网络访问控制者可以基于已执行过的用户身份鉴别过 程实现访问请求者和访问控制器之间的用户身份鉴别及密钥协商, 也可以 重新执行基于鉴别策略服务者为可信方的三元对等鉴别协议实现访问请 求者和访问控制器之间的用户身份鉴别及密钥协商, 执行步骤 33;
步骤 33 , 若访问请求者或访问控制器要求立即做出访问决策, 则: 当 访问请求者或访问控制器不要求进行用户身份鉴别过程时, 网络访问请求 者和网络访问控制者依据本地安全策略做出访问决策, 并执行访问控制; 当访问请求者或访问控制器要求进行用户身份鉴别过程时, 网络访问请求 者和网络访问控制者依据对对方的用户身份鉴别结果和本地安全策略做 出访问决策, 并执行访问控制; 否则, 网络访问请求者向 TNC客户端请 求执行平台鉴别过程, 或网络访问控制者向 TNC接入点请求执行平台鉴 别过程。
步骤 4 , 平台鉴别。 其中, 该步骤 4包括:
步骤 41 ,若访问请求者或访问控制器要求在线向策略管理器申请平台 身份证书, 则网络访问请求者或网络访问控制者在线向评估策略服务者申 请平台身份证书;
步骤 42 ,若网络管理员还没有为访问控制器配置对访问请求者的平台 评估策略, 则 TNC接入点向评估策略服务者请求对访问请求者的平台评 估策略, 然后评估策略服务者发送访问控制器对访问请求者的平台评估策 略给 TNC接入点, TNC接入点收到访问控制器对访问请求者的平台评估 策略后进行配置;
步骤 43 ,访问请求者和访问控制器执行基于策略管理器为可信方的三 元对等鉴别协议, 实现访问请求者和访问控制器之间的平台鉴别 (包括平 台身份验证和平台完整性评估) , 其中策略管理器负责访问请求者和访问 控制器的平台身份证书验证, 以及平台完整性的完整性校验者级评估, 具 体步骤如下, 见图 2和图 3 :
步骤 431 , TNC接入点首先根据对访问请求者的平台评估策略生成访 问控制器向访问请求者请求的平台完整性度量信息 ParmP_AR和访问控制器 对访问请求者的平台完整性的完整性校验者级评估策略 EvalIMVs_AR, 然后 向 TNC客户端发送消息 1 , 该消息 1包括访问控制器的鉴别标识 NAC、 访 问控制器的平台身份证书 C ertAiK-Ac、访问控制器向访问请求者请求的平台 完整性度量信息 Parmp_AR和其他参数 Textl ;
步骤 432 , TNC客户端收到消息 1后, 首先根据访问控制器向访问请 求者请求的平台完整性度量信息 ParmP_A向访问请求者的各个完整性收集 者获取相应的访问请求者的平台完整性度量日志 LogAR, 然后根据访问请 求者的平台完整性度量日志 LogAR向访问请求者的可信平台模块获取相应 的访问请求者的平台配置寄存器值 PCRsAR和使用访问请求者的平台身份 证书 CertAI]^AR对应私钥对访问控制器的鉴别标识 NAC和访问请求者的平 台配置寄存器值 PCRsAR的签名 [NAC , PCRsAR]slg-ARp , 接着根据对访问控 制器的平台评估策略生成访问请求者向访问控制器请求的平台完整性度 量信息 ParmP_AC和访问请求者对访问控制器的平台完整性的完整性校验者 级评估策略 EvalIMV^AC , 最后向 TNC接入点发送消息 2 , 该消息 2包括访
问请求者的平台配置寄存器值 PCRsAR, 访问请求者的平台完整性度量曰 志 LogAR,使用访问请求者的平台身份证书 CertAIK_AR对应私钥对访问控制 器的鉴别标识 NAC和访问请求者的平台配置寄存器值 PCRsAR的签名 [NAC , PCRsAR]Slg-ARP , 访问请求者的挑战 NAR , 访问请求者的平台身份证书 CertAIK_AR,访问请求者向访问控制器请求的平台完整性度量信息 Parmp_AC, 访问请求者对访问控制器的平台完整性的完整性校验者级评估策略 EvaliMVs-Ac和其他参数 Text2;
步骤 433 , TNC接入点收到消息 2后, 首先验证使用访问请求者的平 台身份证书 Cert
AI]^
AR对应私钥对访问控制器的鉴别标识 N
AC和访问请求 者的平台配置寄存器值 PCRS
AR的签名 [N
AC, PCRSAR]
Slg-ARP的有效性, 若 验证不通过, 则丟弃该消息, 否则根据访问请求者向访问控制器请求的平 台完整性度量信息 Parm
P_
AC向访问控制器的各个完整性收集者获取相应的 访问控制器的平台完整性度量日志 Lo
gAC , 然后根据访问控制器的平台完 整性度量日志 Lo
gAC向访问控制器的可信计算模块获取相应的访问控制器 的平台配置寄存器值 PCRSAC和使用访问控制器的平台身份证书
对应私钥对访问请求者的挑战 N
AR和访问控制器的平台配置寄存器值 PCRSAC的签名 [N
AR, PCRSAC] Sig-ACP ' 最后向评估策略服务者发送消息 3 , 该消息 3包括访问控制器的挑战 N
AC_p
M, 访问请求者的挑战 N
AR, 访问请 求者的平台身份证书 Cert
AM ,访问控制器的平台身份证书 Cert
AI]^
AC , 访 问请求者的平台配置寄存器值 PCRs
AR, 访问请求者的平台完整性度量曰 志 Lo
gAR, 访问控制器的平台配置寄存器值 PCRSAC, 访问控制器的平台完 整性度量日志 Lo
gAC , 访问控制器向访问请求者请求的平台完整性度量信 息 Parm
P_
AR, 访问控制器对访问请求者的平台完整性的完整性校验者级评 估策略 Eval
IMVs_
AR, 访问请求者向访问控制器请求的平台完整性度量信息 Parmp.Ac , 访问请求者对访问控制器的平台完整性的完整性校验者级评估 策略 Eval
IMVs-AC和其他参数 Text3 ;
步骤 434 , 评估策略服务者收到消息 3后, 首先生成访问请求者的平 台身份证书的验证结果 ReAM和访问控制器的平台身份证书的验证结果 ReAiK_AC , 若访问请求者的平台身份证书有效, 则: 首先利用访问请求者 的平台配置寄存器值 PCRsAR来校验访问请求者的平台完整性度量曰志
LogAR的正确性, 若访问请求者的平台完整性度量日志 LogAR不正确, 则 丟弃该消息, 否则将访问请求者的平台完整性度量日志 LogAR, 访问控制 器对访问请求者的平台完整性的完整性校验者级评估策略 EvalIMVs_AR和访 问控制器向访问请求者请求的平台完整性度量信息 ParmP_AR发送给各个完 整性校验者, 然后各个完整性校验者根据访问请求者的平台完整性度量曰 志 LogAR, 访问控制器对访问请求者的平台完整性的完整性校验者级评估 策略 EvalIMVs_AR和访问控制器向访问请求者请求的平台完整性度量信息 ParmP-AR生成访问请求者的平台完整性的完整性校验者级评估结果
ReiMVs-AR 和访问请求者的平台完整性的完整性校验者级修补信息
RemiMVs-A并发送给评估策略服务者, 若访问控制器的平台身份证书有效, 则: 首先利用访问控制器的平台配置寄存器值 PCRSAC来校验访问控制器 的平台完整性度量日志 Lo
gAC的正确性, 若访问控制器的平台完整性度量 曰志 Lo
gAC不正确, 则丟弃该消息, 否则将访问控制器的平台完整性度量 曰志 Lo
gAC , 访问请求者对访问控制器的平台完整性的完整性校验者级评 估策略 Eval
IMVs_
AC和访问请求者向访问控制器请求的平台完整性度量信息 Parm
P-AC发送给各个完整性校验者, 然后各个完整性校验者根据访问控制 器的平台完整性度量日志 Lo
gAC , 访问请求者对访问控制器的平台完整性 的完整性校验者级评估策略 Eval
IMVs_
AC和访问请求者向访问控制器请求的 平台完整性度量信息 Parm
P_
AC生成访问控制器的平台完整性的完整性校验 者级评估结果 Re
IMV^
AC和访问控制器的平台完整性的完整性校验者级修 补信息 Rem
IMVs_
AC并发送给评估策略服务者, 然后评估策略服务者根据访 问请求者的平台完整性度量日志 Lo
gAR生成实际收到的访问请求者的平台 完整性度量信息 Parm
PP_
AR, 根据访问控制器的平台完整性度量日志 Lo
gAC 生成实际收到的访问控制器的平台完整性度量信息 Parmpp_
AC ,最后向 TNC 接入点发送消息 4。 其中消息 4的构成形式有两种, 第一种构成形式下, 消息 4包括访问请求者的平台身份证书的验证结果 Re
AI]^
AR, 访问请求者 的平台完整性的完整性校验者级评估结果 Re
IMVs_
AR, 访问请求者的平台完 整性的完整性校验者级修补信息 Rem
IMV^
AR, 实际收到的访问请求者的平 台完整性度量信息 Parm
P AR , 访问控制器的平台身份证书的验证结果 Re
AIK_
AC , 访问控制器的平台完整性的完整性校验者级评估结果 Re
IMVs_
AC ,
访问控制器的平台完整性的完整性校验者级修补信息 Rem
IMV^
AC , 实际收 到的访问控制器的平台完整性度量信息 Parm
PP_
AC,使用策略管理器的用户 身份证书 Cert
User_p
M对应私钥对访问控制器的挑战 N
AC_p
M, 访问请求者的 平台身份证书 Cert
AI AR ,访问请求者的平台身份证书的验证结果 Re
AI]^
AR , 访问请求者的平台配置寄存器值 PCRs
AR, 访问控制器向访问请求者请求 的平台完整性度量信息 Parm
P_
AR, 访问控制器对访问请求者的平台完整性 的完整性校验者级评估策略 Eval
IMVs_
AR, 实际收到的访问请求者的平台完 整性度量信息 Parm
PP_
AR,访问请求者的平台完整性的完整性校验者级评估 结果 Re
IMVs_
AR , 访问请求者的平台完整性的完整性校验者级修补信息 RemiMVs-AR , 访问请求者的挑战 N
AR , 访问控制器的平台身份证书 CertAiK-Ac 访问控制器的平台身份证书的验证结果 Re
AI]^
AC , 访问控制器 的平台配置寄存器值 PCRSAC, 访问请求者向访问控制器请求的平台完整 性度量信息 Parm
P_
AC , 访问请求者对访问控制器的平台完整性的完整性校 验者级评估策略 Eval
IMV^
AC , 实际收到的访问控制器的平台完整性度量信 息 Parm
PP_
AC , 访问控制器的平台完整性的完整性校验者级评估结果 ReiMVs-Ac , 访问控制器的平台完整性的完整性校验者级修补信息 RemiMVs-Ac和其他参数 Text6 的签名 [N
AC-PM, Cert
AIK-AR, Re
AIK-AR, PCRs
AR, Parmp.A ? EvaliMVs-A ' Parmpp.A ? ReiMVs-A ' RemiMVs-A ' A ? CertAiK-Ac ' RSAIK-AC ' PCRSAC ' Parmp.Ac ' EvaliMVs-Ac ' Parmpp—Ac, RSIMVS-AC ' RemiMVs-Ac ' Text6]
Slg_p
MU和其他参数 Text4; 第二种构成形式下, 消息 4包括访问请求 者的平台身份证书的验证结果 Re
AI]^
AR, 访问请求者的平台完整性的完整 性校验者级评估结果 Re
IMVs_
AR, 访问请求者的平台完整性的完整性校验者 级修补信息 Rem
IMV^
AR , 实际收到的访问请求者的平台完整性度量信息 Parmpp
-AR, 访问控制器的平台身份证书的验证结果 Re
AI]^
AC , 访问控制器 的平台完整性的完整性校验者级评估结果 Re
IMVs_
AC , 访问控制器的平台完 整性的完整性校验者级修补信息 Rem
IMV^
AC , 实际收到的访问控制器的平 台完整性度量信息
, 使用策略管理器的用户身份证书 Cert
Userf
M 对应私钥对访问控制器的挑战 N
AC_p
M , 访问请求者的平台身份证书 CertAiK-AR , 访问请求者的平台身份证书的验证结果 Re
AI]^
AR , 访问请求者 的平台配置寄存器值 PCRs
AR, 访问控制器向访问请求者请求的平台完整
性度量信息 Parm
P_
AR, 访问控制器对访问请求者的平台完整性的完整性校 验者级评估策略 Eval
IMVs_
AR, 实际收到的访问请求者的平台完整性度量信 息 Parm
PP_
AR , 访问请求者的平台完整性的完整性校验者级评估结果 ReiMVs-AR , 访问控制器的平台完整性的完整性校验者级修补信息 Rem
IMVs-AC和其他参数 Text6的签名 [N
AC-PM, Cert
AIK-AR, Re
AIK-AR, PCRs
AR, Parm
P-AR , Eval
IMVs-AR , Parm
PP-AR , Re爾
S-AR , Rem
IMVs-AC , 其他参数 Text6]
Slg-PMu , 使用策略管理器的用户身份证书 Cert
Userf
M对应私钥对访问 请求者的挑战 N
AR, 访问控制器的平台身份证书 Cert
AIK_
AC , 访问控制器的 平台身份证书的验证结果 Re
AIK-AC , 访问控制器的平台配置寄存器值 PCRs
AC, 访问请求者向访问控制器请求的平台完整性度量信息 Parmp_
AC , 访问请求者对访问控制器的平台完整性的完整性校验者级评估策略 EvaliMVs-Ac 实际收到的访问控制器的平台完整性度量信息 Parmpp_
AC, 访 问控制器的平台完整性的完整性校验者级评估结果 Re
IMVs_
AC , 访问请求者 的平台完整性的完整性校验者级修补信息 Rem
IMVs_
AR和其他参数 Text7的 签名 [N
AR, Cert
AIK-AC , Re
AIK-AC, PCRs
AC, Parm
P-AC , Eval
IMVs-AC, Parm
PP-AC, ReiMv
s-Ac, Rem
IMVs-AR, 其他参数 Text7]
Slg-PMU和其他参数 Text4;
步骤 435 , TNC接入点收到消息 4后, 若消息 4为第一种构成形式, 则: 首先验证使用策略管理器的用户身份证书 Cert
Userf
M对应私钥对访问 控制器的挑战 N
AC_p
M ,访问请求者的平台身份证书 Cert
AIK_
AR ,访问请求者 的平台身份证书的验证结果 Re
AI]^
AR , 访问请求者的平台配置寄存器值 PCRSAR, 访问控制器向访问请求者请求的平台完整性度量信息 Parmp_
AR, 访问控制器对访问请求者的平台完整性的完整性校验者级评估策略 EvaliMVs-AR , 实际收到的访问请求者的平台完整性度量信息 Parmpp_
AR, 访 问请求者的平台完整性的完整性校验者级评估结果 Re
IMVs_
AR, 访问请求者 的平台完整性的完整性校验者级修补信息 Rem
IMVs_
AR, 访问请求者的挑战 N
AR, 访问控制器的平台身份证书
, 访问控制器的平台身份证书 的验证结果 Re
AIK-AC , 访问控制器的平台配置寄存器值 PCRs
AC , 访问请求 者向访问控制器请求的平台完整性度量信息 Parm
P_
AC , 访问请求者对访问 控制器的平台完整性的完整性校验者级评估策略 Eval
IMV^
AC, 实际收到的 访问控制器的平台完整性度量信息 Parm
PP_
AC ,访问控制器的平台完整性的
完整性校验者级评估结果 Re
IMVs_
AC , 访问控制器的平台完整性的完整性校 验者级修补信息 Rem
IMV^
AC和其他参数 Text6的签名 [N
AC^
M, Cert
Ai
K-AR , RSAIK-A ' PCRSA ? Parmp.A ? EvaliMVs-A ' Parmpp.A ? ReiMVs-A ' RemiMVs-A ' N
AR , Cert
AIK-AC , Re
AIK-AC , PCRs
AC , Parm
P-AC , Eval
IMVs-AC , Parm
PP-AC , ReiMv
s-Ac , RemiMVs-Ac Text6]
Slg-PMu的有效性, 若验证不通过, 则丟弃该 消息, 否则将访问控制器的平台完整性的完整性校验者级修补信息 Rem
IMVs_
AC发送给访问控制器的对应完整性收集者,最后向 TNC客户端发 送消息 5 (第一种构成形式) , 该消息 5包括访问控制器的挑战 N
AC_p
M, 访问控制器的平台配置寄存器值 PCRSAC, 使用访问控制器的平台身份证 书 Cert
AIK_
AC对应私钥对访问请求者的挑战 N
AR和访问控制器的平台配置 寄存器值 PCRSAC的签名 [N
AR, PCRs
Ac]s
lg-ACP , 访问控制器对访问请求者 的平台完整性的完整性校验者级评估策略 Eval
IMVs_
AR, 对访问请求者的平 台鉴别结果 Re
aa;ess, 消息 4和其他参数 Text5 ; 若消息 4为第二种构成形 式, 则: 首先验证使用策略管理器的用户身份证书 Cert
Use p
M对应私钥对 访问控制器的挑战 N
AC_p
M ,访问请求者的平台身份证书 Cert
AIK_
AR ,访问请 求者的平台身份证书的验证结果 Re
AIK_
AR, 访问请求者的平台配置寄存器 值 PCRs
AR , 访问控制器向访问请求者请求的平台完整性度量信息 Parm
P-AR, 访问控制器对访问请求者的平台完整性的完整性校验者级评估 策略 Eval
IMVs_
AR,实际收到的访问请求者的平台完整性度量信息 Parmpp_
AR, 访问请求者的平台完整性的完整性校验者级评估结果 Re
IMVs_
AR, 访问控制 器的平台完整性的完整性校验者级修补信息 Rem
IMVs_
AC和其他参数 Text6 的签名 [N
AC-PM , Cert
AiK-A , Re
AiK-A , PCRS
A , Parm
P-AR , Eval
IMVs-AR , Parm
PP-A
5 Re
IMVs-AR, Rem
IMv
s-Ac, 其他参数 Text6]
Slg-PMU的有效性, 若验 证不通过, 则丟弃该消息, 否则将访问请求者的平台完整性的完整性校验 者级修补信息 Rem
IMV^
AR发送给访问请求者的对应完整性收集者, 最后向 TNC客户端发送消息 5 (第二种构成形式) , 该消息 5包括访问控制器的 挑战 访问控制器的平台配置寄存器值 PCRSAC, 使用访问控制器 的平台身份证书 Cert
AIK_
AC对应私钥对访问请求者的挑战 N
AR和访问控制 器的平台配置寄存器值 PCRSAC的签名 [N
AR, PCRs
Ac]s
LG-ACP , 对访问请求 者的平台鉴别结果 Re
access , 访问控制器的平台身份证书的验证结果
Re
AIK_
AC , 访问控制器的平台完整性的完整性校验者级评估结果 Re
IMVs_
AC , 访问请求者的平台完整性的完整性校验者级修补信息 Rem
IMV^
AR, 实际收 到的访问控制器的平台完整性度量信息 Parm
PP_
AC,使用策略管理器的用户 身份证书 Cert
User_p
M对应私钥对访问请求者的挑战 N
AR, 访问控制器的平 台身份证书 Cert
AI]^
AC , 访问控制器的平台身份证书的验证结果 Re
AI]^
AC , 访问控制器的平台配置寄存器值 PCRSAC, 访问请求者向访问控制器请求 的平台完整性度量信息 Parm
P_
AC , 访问请求者对访问控制器的平台完整性 的完整性校验者级评估策略 Eval
IMV^
AC, 实际收到的访问控制器的平台完 整性度量信息 Parm
PP_
AC,访问控制器的平台完整性的完整性校验者级评估 结果 Re
IMVs_
AC , 访问请求者的平台完整性的完整性校验者级修补信息 Rem
IMVs-AR和其他参数 Text7的签名 [N
AR, Cert
AIK-AC, Re
AIK-AC , PCRs
AC , Parm
P-Ac , Eval
IMVs-AC , Parm
PP-AC , Re爾
S-AC , Rem
IMVs-AR , 其他参数 Text7 ]
Slg-PMU , 和其他参数 Text5;
步骤 436 , TNC客户端收到消息 5后, 若消息 5为第一种构成形式, 则: 首先验证使用访问控制器的平台身份证书 Cert
AI]^
AC对应私钥对访问 请求者的挑战 N
AR和访问控制器的平台配置寄存器值 PCRSAC的签名 [N
AR ,
的有效性, 若验证不通过, 则丟弃该消息, 否则验证消息 4 中的使用策略管理器的用户身份证书 Cert
UserfM对应私钥对访问控制器的 挑战 N
AC_p
M ,访问请求者的平台身份证书 Cert
AIK_
AR ,访问请求者的平台身 份证书的验证结果 Re
AIK_
AR, 访问请求者的平台配置寄存器值 PCRs
AR, 访 问控制器向访问请求者请求的平台完整性度量信息 Parm
P_
AR, 访问控制器 对访问请求者的平台完整性的完整性校验者级评估策略 Eval
IMV^
AR, 实际 收到的访问请求者的平台完整性度量信息 Parm
PP_
AR,访问请求者的平台完 整性的完整性校验者级评估结果 Re
IMVs_
AR, 访问请求者的平台完整性的完 整性校验者级修补信息 Rem
IMVs_
AR, 访问请求者的挑战 N
AR, 访问控制器 的平台身份证书
, 访问控制器的平台身份证书的验证结果 Re
AiK-Ac 访问控制器的平台配置寄存器值 PCRs
AC , 访问请求者向访问控 制器请求的平台完整性度量信息 Parm
P_
AC , 访问请求者对访问控制器的平 台完整性的完整性校验者级评估策略 Eval
IMV^
AC , 实际收到的访问控制器 的平台完整性度量信息 Parm
PP_
AC ,访问控制器的平台完整性的完整性校验
者级评估结果 Re
IMV^
AC , 访问控制器的平台完整性的完整性校验者级修补 信息 Rem
IMVs-AC和其他参数 Text6 的签名 [N
AC-PM, Cert
AIK-AR, Re
AIK-AR, PCRSA ? Parmp.A ? EvaliMVs-A ' Parmpp.A ? ReiMVs-A ' RemiMVs-A ' NAR, CertAiK-Ac ' RSAIK-AC ' PCRSAC ' Parmp.Ac ' EvaliMVs-Ac ' Parmpp—Ac, RSIMVS-AC ' RemiMVs-Ac Text6]
Slg-p
MU的有效性, 若验证不通过, 则丟弃该消息, 否则 将访问请求者的平台完整性的完整性校验者级修补信息 Rem
IMV^
AR发送给 访问请求者的对应完整性收集者; 若消息 5为第二种构成形式, 则: 首先 验证使用访问控制器的平台身份证书 Cert
AI]^
AC对应私钥对访问请求者的 挑战 N
AR和访问控制器的平台配置寄存器值 PCRSAC 的签名 [N
AR ,
的有效性, 若验证不通过, 则丟弃该消息, 否则验证使用策 略管理器的用户身份证书 Cert
Use p
M对应私钥对访问请求者的挑战 N
AR, 访问控制器的平台身份证书 Cert
AI]^
AC ,访问控制器的平台身份证书的验证 结果 Re
AI]^
AC, 访问控制器的平台配置寄存器值 PCRSAC, 访问请求者向访 问控制器请求的平台完整性度量信息 Parm
P_
AC , 访问请求者对访问控制器 的平台完整性的完整性校验者级评估策略 Eval
IMV^
AC , 实际收到的访问控 制器的平台完整性度量信息 Parm
PP_
AC ,访问控制器的平台完整性的完整性 校验者级评估结果 Re
IMV^
AC , 访问请求者的平台完整性的完整性校验者级 修补信息 Rem
IMVs-AR和其他参数 Text7的签名 [N
AR, Cert
AIK-AC , Re
AIK-AC , PCRs
AC , Parm
P-AC , Eval
IMVs-AC , Parm
PP-AC , Re
IMVs-AC , Rem
IMVs-AR, 其他 参数 Text7]
Slg^
MU的有效性, 若验证不通过, 则丟弃该消息, 否则将访问 请求者的平台完整性的完整性校验者级修补信息 Rem
IMV^
AR发送给访问请 求者的对应完整性收集者;
步骤 44 , 若实际收到的访问请求者的平台完整性度量信息 ParmPP_AR 和访问控制器向访问请求者请求的平台完整性度量信息 ParmP_AR不相同, 或实际收到的访问控制器的平台完整性度量信息 ParmPP_AC和访问请求者 向访问控制器请求的平台完整性度量信息 ParmP_AC不相同, 则步骤 43需 要再次执行, 直至访问请求者和访问控制器都已按照配置的平台评估策略 完成对对方的平台完整性评估, TNC客户端依据对访问控制器的平台评估 策略和访问控制器的平台完整性的完整性校验者级评估结果 ReIMVs_AC生 成访问控制器的平台完整性的平台级评估结果 ReP_AC , 然后依据对访问控
制器的平台评估策略、 访问控制器的平台身份证书的验证结果 ReAI]^AC和 访问控制器的平台完整性的平台级评估结果 ReP_AC生成对访问控制器的平 台鉴别结果, 最后将对访问控制器的平台鉴别结果发送给网络访问请求 者; TNC接入点依据对访问请求者的平台评估策略和访问请求者的平台完 整性的完整性校验者级评估结果 ReIMVs_AR生成访问请求者的平台完整性 的平台级评估结果 ReP_AR, 然后依据对访问请求者的平台评估策略、 访问 请求者的平台身份证书的验证结果 ReAI]^AR和访问请求者的平台完整性的 平台级评估结果 ReP_AR生成对访问请求者的平台鉴别结果 Reaccess, 最后将 对访问请求者的平台鉴别结果 Reaccess发送给网络访问控制者;
步骤 45 , 当访问请求者或访问控制器不要求进行用户身份鉴别过程 时, 网络访问请求者和网络访问控制者依据本地安全策略和对对方的平台 鉴别结果做出访问决策, 并执行访问控制; 当访问请求者或访问控制器要 求进行用户身份鉴别过程时, 网络访问请求者和网络访问控制者依据对对 方的用户身份鉴别结果、 对对方的平台鉴别结果和本地安全策略做出访问 决策, 并执行访问控制;
步骤 5 , 平台修补后的重新平台鉴别。 其中, 该步骤 5包括: 步骤 51 , 若执行完步骤 4后, 访问请求者或访问控制器要求进行平台 修补过程, 则访问请求者的各个完整性收集者根据访问请求者的平台完整 性的完整性校验者级修补信息!^!!!^^^进行平台修补, 或访问控制器的 各个完整性收集者根据访问控制器的平台完整性的完整性校验者级修补 信息 RemIMVs_AC进行平台修补;
步骤 52 , 访问请求者的各个完整性收集者完成平台修补后通知 TNC 客户端进行重新平台鉴别过程, 或访问控制器的各个完整性收集者完成平 台修补后通知 TNC接入点进行重新平台鉴别过程, TNC客户端或 TNC接 入点根据平台修补过程对访问请求者和访问控制器之间的网络连接性的 影响和本地安全策略跳至步骤 2、 步骤 3或步骤 4;
步骤 6 , 平台鉴别后被激活的重新平台鉴别; 若访问请求者的各个完 整性收集者或 TNC客户端, 访问控制器的各个完整性收集者或 TNC接入 点根据本地安全策略被激活进行重新平台鉴别过程, 则根据本地安全策略 跳至步骤 3或步骤 4。
图 4为本发明第二种模式下的实施例一的流程图, 图 5为本发明第二 种模式下的实施例二的流程图。 参见图 4和图 5 , 在第二种模式下, 本发 明具体包括:
步骤 10 , 配置与初始化。 其中, 该步骤 10包括:
步骤 101 , 网络用户为访问请求者配置对访问控制器的安全策略, 包 括访问请求者对访问控制器的平台评估策略。 网络管理员为访问控制器配 置对访问请求者的安全策略, 包括访问控制器对访问请求者的平台评估策 略, 其中访问控制器配置对访问请求者的平台评估策略可以按步骤 42 动 态实现;
步骤 102 , 访问请求者和访问控制器加载和初始化各自的完整性收集 者, 策略管理器加载和初始化完整性校验者。
具体地, 步骤 102可以包括:
步骤 1021 , 当 TNC客户端启动时, TNC客户端首先通过访问请求者 的完整性收集接口 IF-IMC加载访问请求者的各个完整性收集者, 然后通 过访问请求者的完整性收集接口 IF-IMC初始化访问请求者的各个完整性 收集者, 其中在加载过程中 TNC客户端可以验证访问请求者的各个完整 性收集者的完整性;
步骤 1022 , 当 TNC接入点启动时, TNC接入点首先通过访问控制器 的完整性收集接口 IF-IMC加载访问控制器的各个完整性收集者, 然后通 过访问控制器的完整性收集接口 IF-IMC初始化访问控制器的各个完整性 收集者, 其中在加载过程中 TNC接入点可以验证访问控制器的各个完整 性收集者的完整性;
步骤 1023 , 当评估策略服务者启动时, 评估策略服务者首先通过完整 性校验接口 IF-IMV 加载各个完整性校检者, 然后通过完整性校验接口 IF-IMV 初始化各个完整性校检者, 其中在加载过程中评估策略服务者可 以验证各个完整性校检者的完整性。
步骤 20, 请求网络连接: 网络访问请求者向网络访问控制者发送网络 连接请求, 网络访问控制者接收该网络连接请求。
步骤 30 , 用户身份鉴别。 其中, 该步骤 30包括:
步骤 301 ,若访问请求者或访问控制器不要求进行用户身份鉴别过程 ,
则跳至步骤 303 ;
步骤 302 , 若访问请求者或访问控制器要求进行用户身份鉴别过程, 则: 当访问请求者和访问控制器没有执行过用户身份鉴别过程时, 网络访 问请求者和网络访问控制者执行基于鉴别策略服务者为可信方的三元对 等鉴别协议, 实现访问请求者和访问控制器之间的用户身份鉴别及密钥协 商, 执行步骤 303 ; 当访问请求者和访问控制器已执行过用户身份鉴别过 程时, 网络访问请求者和网络访问控制者可以基于已执行过的用户身份鉴 别过程实现访问请求者和访问控制器之间的用户身份鉴别及密钥协商, 也 可以重新执行基于鉴别策略服务者为可信方的三元对等鉴别协议实现访 问请求者和访问控制器之间的用户身份鉴别及密钥协商, 执行步骤 303; 步骤 303 , 若访问请求者或访问控制器要求立即做出访问决策, 则: 当访问请求者或访问控制器不要求进行用户身份鉴别过程时, 网络访问请 求者和网络访问控制者依据本地安全策略做出访问决策, 并执行访问控 制; 当访问请求者或访问控制器要求进行用户身份鉴别过程时, 网络访问 请求者和网络访问控制者依据对对方的用户身份鉴别结果和本地安全策 略做出访问决策, 并执行访问控制; 否则, 网络访问请求者向 TNC客户 端请求执行平台鉴别过程, 或网络访问控制者向 TNC接入点请求执行平 台鉴别过程。
步骤 40 , 平台鉴别。 其中, 该步骤 40包括:
步骤 401 , 若访问请求者或访问控制器要求在线向策略管理器申请平 台身份证书, 则网络访问请求者或网络访问控制者在线向评估策略服务者 申请平台身份证书;
步骤 402 , 若网络管理员还没有为访问控制器配置对访问请求者的平 台评估策略, 则 TNC接入点向评估策略服务者请求对访问请求者的平台 评估策略, 然后评估策略服务者发送访问控制器对访问请求者的平台评估 策略给 TNC接入点, TNC接入点收到访问控制器对访问请求者的平台评 估策略后进行配置;
步骤 403 , 访问请求者和访问控制器执行基于策略管理器为可信方的 三元对等鉴别协议, 实现访问请求者和访问控制器之间的平台鉴别 (包括 平台身份验证和平台完整性评估) , 其中策略管理器负责访问请求者和访
问控制器的平台身份证书验证, 以及平台完整性的平台级评估, 具体步骤 如下, 见图 4和图 5:
步骤 4031 , TNC接入点首先根据对访问请求者的平台评估策略生成 访问控制器向访问请求者请求的平台完整性度量信息 ParmP_AR和访问控制 器对访问请求者的平台完整性的平台级评估策略 Evalp_AR, 然后向 TNC客 户端发送消息 1 , 该消息 1 包括访问控制器的鉴别标识 NAC, 访问控制器 的平台身份证书 CertAIK_AC,访问控制器向访问请求者请求的平台完整性度 量信息 Para^AR和其他参数 Textl ;
步骤 4032 , TNC客户端收到消息 1后, 首先根据访问控制器向访问 请求者请求的平台完整性度量信息 ParmP_A向访问请求者的各个完整性收 集者获取相应的访问请求者的平台完整性度量日志 LogAR, 然后根据访问 请求者的平台完整性度量日志 LogAR向访问请求者的可信平台模块获取相 应的访问请求者的平台配置寄存器值 PCRsAR和使用访问请求者的平台身 份证书 CertAI]^AR对应私钥对访问控制器的鉴别标识 NAC和访问请求者的 平台配置寄存器值 PCRSAR的签名 [NAC, PCRSAR]Slg-ARP , 接着根据对访问 控制器的平台评估策略生成访问请求者向访问控制器请求的平台完整性 度量信息 ParmP_AC和访问请求者对访问控制器的平台完整性的平台级评估 策略 Evalp_AC , 最后向 TNC接入点发送消息 2 , 包括访问请求者的平台配 置寄存器值 PCRsAR, 访问请求者的平台完整性度量日志 LogAR, 使用访问 请求者的平台身份证书 CertAI]^AR对应私钥对访问控制器的鉴别标识 NAC 和访问请求者的平台配置寄存器值 PCRSAR的签名 [NAC, PCRSAR]Slg-ARP , 访问请求者的挑战 NAR , 访问请求者的平台身份证书 CertAIK_AR , 访问请求 者向访问控制器请求的平台完整性度量信息 ParmP_AC, 访问请求者对访问 控制器的平台完整性的平台级评估策略 Evalp_AC和其他参数 Text2;
步骤 4033 , TNC接入点收到消息 2后, 首先验证使用访问请求者的 平台身份证书 CertAI]^AR对应私钥对访问控制器的鉴别标识 NAC和访问请 求者的平台配置寄存器值 PCRsAR的签名 [NAC, PCRsAR]Slg-ARP的有效性, 若验证不通过, 则丟弃该消息, 否则根据访问请求者向访问控制器请求的 平台完整性度量信息 ParmP_AC向访问控制器的各个完整性收集者获取相应 的访问控制器的平台完整性度量日志 LogAC, 然后根据访问控制器的平台
完整性度量日志 LogAC向访问控制器的可信计算模块获取相应的访问控制 器的平台配置寄存器值 PCRSAC 和使用访问控制器的平台身份证书 CertAiK-Ac对应私钥对访问请求者的挑战 NAR和访问控制器的平台配置寄 存器值 PCRsAC的签名 [NAR, PCRsAc]sLG-ACP , 最后向评估策略服务者发送 消息 3 , 该消息 3包括访问控制器的挑战 NAC_pM , 访问请求者的挑战 NAR, 访问请求者的平台身份证书 CertAM , 访问控制器的平台身份证书 CertAiK-Ac 访问请求者的平台配置寄存器值 PCRsAR, 访问请求者的平台 完整性度量日志 LogAR, 访问控制器的平台配置寄存器值 PCRsAC , 访问控 制器的平台完整性度量日志 LogAC , 访问控制器向访问请求者请求的平台 完整性度量信息 ParmP_AR, 访问控制器对访问请求者的平台完整性的平台 级评估策略 EvalP_AR, 访问请求者向访问控制器请求的平台完整性度量信 息 ParmP_AC , 访问请求者对访问控制器的平台完整性的平台级评估策略 EvalP-Ac和其他参数 Text3 ;
步骤 4034 , 评估策略服务者收到消息 3后, 首先生成访问请求者的平 台身份证书的验证结果 Re
AM和访问控制器的平台身份证书的验证结果 Re
Ai
K_
AC , 若访问请求者的平台身份证书有效, 则: 首先利用访问请求者 的平台配置寄存器值 PCRs
AR来校验访问请求者的平台完整性度量曰志 Lo
gAR的正确性, 若访问请求者的平台完整性度量日志 Lo
gAR不正确, 则 丟弃该消息, 否则将访问请求者的平台完整性度量日志 Lo
gAR, 访问控制 器对访问请求者的平台完整性的平台级评估策略 Eval
P_
AR和访问控制器向 访问请求者请求的平台完整性度量信息 Parm
P_
AR发送给各个完整性校验 者,然后各个完整性校验者根据访问请求者的平台完整性度量日志 Lo
gAR, 访问控制器对访问请求者的平台完整性的平台级评估策略 Eval
P_
AR和访问 控制器向访问请求者请求的平台完整性度量信息 Parm
P_
AR生成访问请求者 的平台完整性的平台级评估结果 Re
P_
AR和访问请求者的平台完整性的平台 级修补信息 Rem
P 并发送给评估策略服务者,若访问控制器的平台身份证 书有效, 则: 首先利用访问控制器的平台配置寄存器值 PCRSAC来校验访 问控制器的平台完整性度量日志 Lo
gAC的正确性, 若访问控制器的平台完 整性度量日志 Lo
gAC不正确, 则丟弃该消息, 否则将访问控制器的平台完 整性度量日志 Lo
gAC , 访问请求者对访问控制器的平台完整性的平台级评
估策略 Eval
P_
AC和访问请求者向访问控制器请求的平台完整性度量信息 Parm
P-AC发送给各个完整性校验者, 然后各个完整性校验者根据访问控制 器的平台完整性度量日志 Lo
gAC , 访问请求者对访问控制器的平台完整性 的平台级评估策略 Eval
P_
AC和访问请求者向访问控制器请求的平台完整性 度量信息 Parn^Ac生成访问控制器的平台完整性的平台级评估结果 Re^
AC 和访问控制器的平台完整性的平台级修补信息 Ren^Ac并发送给评估策略 服务者, 然后评估策略服务者根据访问请求者的平台完整性度量曰志 !^^^生成实际收到的访问请求者的平台完整性度量信息 Parmpp_
AR, 根据 访问控制器的平台完整性度量日志 Lo
gAC生成实际收到的访问控制器的平 台完整性度量信息 Parmpp_
AC , 最后向 TNC接入点发送消息 4。 其中消息 4 的构成形式有两种, 第一种构成形式下, 消息 4包括访问请求者的平台身 份证书的验证结果 Re
AM, 访问请求者的平台完整性的平台级评估结果 Re
P-AR , 访问请求者的平台完整性的平台级修补信息 Remp_
AR, 实际收到的 访问请求者的平台完整性度量信息 Parm
PP_
AR ,访问控制器的平台身份证书 的验证结果 Re A AC , 访问控制器的平台完整性的平台级评估结果
, 访问控制器的平台完整性的平台级修补信息
, 实际收到的访问控 制器的平台完整性度量信息
, 使用策略管理器的用户身份证书 Certuser-PM对应私钥对访问控制器的挑战 N
AC_p
M,访问请求者的平台身份证 书 Cert
AM , 访问请求者的平台身份证书的验证结果 Re
AI]^
AR , 访问请求 者的平台配置寄存器值 PCRs
AR, 访问控制器向访问请求者请求的平台完 整性度量信息 Parm
P_
AR, 访问控制器对访问请求者的平台完整性的平台级 评估策略 Eval
P_
AR , 实际收到的访问请求者的平台完整性度量信息 Parmpp.AR , 访问请求者的平台完整性的平台级评估结果 Re
P_
AR, 访问请求 者的平台完整性的平台级修补信息 Rem
P_
AR, 访问请求者的挑战 N
AR, 访 问控制器的平台身份证书
,访问控制器的平台身份证书的验证结 果 Re
An^
AC, 访问控制器的平台配置寄存器值 PCRs
AC , 访问请求者向访问 控制器请求的平台完整性度量信息 Parm
P_
AC , 访问请求者对访问控制器的 平台完整性的平台级评估策略 Eval
P_
AC, 实际收到的访问控制器的平台完 整性度量信息 Parm
PP_
AC , 访问控制器的平台完整性的平台级评估结果 Re
P_
AC , 访问控制器的平台完整性的平台级修补信息 Rem
P_
AC和其他参数
Text6的签名 [N
AC-PM, Cert
AIK-AR , Re
AIK-AR, PCRs
AR, Parm
P-AR, Eval
P-AR, Parm
PP-AR , Re
P-AR, Rem
P-AR, N
AR, Cert
AIK-AC , Re
AIK-AC , PCRs
AC , Parm
P-AC , Evalp
-Ac , Parm
PP-AC, Re
P-Ac , Rem
P-AC , Text6]
Slg-PMU和其他参数 Text4; 第 二种构成形式下, 消息 4 包括访问请求者的平台身份证书的验证结果 Re
Ai
K_
AR, 访问请求者的平台完整性的平台级评估结果 Re
P_
AR, 访问请求者 的平台完整性的平台级修补信息 Rem
P_
AR, 实际收到的访问请求者的平台 完整性度量信息 Parm
P AR , 访问控制器的平台身份证书的验证结果 Re
AIK_
AC , 访问控制器的平台完整性的平台级评估结果 Re
P_
AC , 访问控制器 的平台完整性的平台级修补信息 Rem
P_
AC , 实际收到的访问控制器的平台 完整性度量信息
, 使用策略管理器的用户身份证书 Cert
Userf
M对 应私钥对访问控制器的挑战 N
AC_p
M , 访问请求者的平台身份证书 CertAiK-AR , 访问请求者的平台身份证书的验证结果 Re
AI]^
AR , 访问请求者 的平台配置寄存器值 PCRs
AR, 访问控制器向访问请求者请求的平台完整 性度量信息 Parm
P_
AR, 访问控制器对访问请求者的平台完整性的平台级评 估策略 Evalp_
AR,实际收到的访问请求者的平台完整性度量信息 Parmpp_
AR, 访问请求者的平台完整性的平台级评估结果 Re
P_
AR , 访问控制器的平台完 整性的平台级修补信息 Remp_
AC和其他参数 Text6 的签名 [N
AC_
PM , CertAiK-A ^ Re
AiK-AR, PCRs
AR, Parm
P-AR, Eval
P-AR, Parm
PP-AR, Re
P-AR, Rem
P-AC, 其他参数 Text6]
Slg^
MU, 使用策略管理器的用户身份证书 Cert
Userf
M对应私 钥对访问请求者的挑战 N
AR , 访问控制器的平台身份证书 Cert
AIK_
AC , 访问 控制器的平台身份证书的验证结果 Re
AIK-AC , 访问控制器的平台配置寄存 器值 PCRSAC , 访问请求者向访问控制器请求的平台完整性度量信息 Parm
P-AC , 访问请求者对访问控制器的平台完整性的平台级评估策略 Evalp_
AC , 实际收到的访问控制器的平台完整性度量信息 Parmpp_
AC , 访问 控制器的平台完整性的平台级评估结果 Re
P_
AC , 访问请求者的平台完整性 的平台级修补信息 Remp
-AR和其他参数 Text7 的签名 [N
AR, Cert
Ai
K-Ac . Re
AiK-Ac, PCRs
AC , Parm
P-AC , Eval
P-AC , Parm
PP-AC , Re
P-AC , Rem
P-AR , 其 他参数
和其他参数 Text4;
步骤 4035 , TNC接入点收到消息 4后, 若消息 4为第一种构成形式, 则: 首先验证使用策略管理器的用户身份证书 Cert
Userf
M对应私钥对访问
控制器的挑战 N
AC_p
M ,访问请求者的平台身份证书 Cert
AIK_
AR ,访问请求者 的平台身份证书的验证结果 Re
AI]^
AR , 访问请求者的平台配置寄存器值 PCRSAR, 访问控制器向访问请求者请求的平台完整性度量信息 Parmp_
AR, 访问控制器对访问请求者的平台完整性的平台级评估策略 Eval
P_
AR, 实际 收到的访问请求者的平台完整性度量信息 Parm
PP_
AR,访问请求者的平台完 整性的平台级评估结果 Re
P_
AR, 访问请求者的平台完整性的平台级修补信 息 Remp_
AR , 访问请求者的挑战 N
AR , 访问控制器的平台身份证书 CertAiK-Ac 访问控制器的平台身份证书的验证结果 Re
AI]^
AC , 访问控制器 的平台配置寄存器值 PCRSAC, 访问请求者向访问控制器请求的平台完整 性度量信息 Parm
P_
AC , 访问请求者对访问控制器的平台完整性的平台级评 估策略 Eval
P_
AC ,实际收到的访问控制器的平台完整性度量信息 Parm
PP_
AC, 访问控制器的平台完整性的平台级评估结果 Re
P_
AC , 访问控制器的平台完 整性的平台级修补信息 Remp_
AC和其他参数 Text6 的签名 [N
AC_
PM , Cert
AIK-AR, Re
AIK-AR, PCRs
AR, Parm
P-AR, Eval
P-AR, Parm
PP-AR, Re
P-AR, Rem
P-AR, N
AR, Cert
AiK-Ac Re
AiK-Ac, PCRs
Ac Parm
P-A Eval
P-AC, Parm
PP-A Re
P-AC , Rem
P-Ac .
的有效性, 若验证不通过, 则丟弃该消息, 否则将 访问控制器的平台完整性的平台级修补信息 Ren^Ac发送给访问控制器的 对应完整性收集者, 最后向 TNC客户端发送消息 5 (第一种构成形式) , 该消息 5包括访问控制器的挑战
访问控制器的平台配置寄存器值 PCRs
AC, 使用访问控制器的平台身份证书 Cert
AIK_
AC对应私钥对访问请求 者的挑战 N
AR和访问控制器的平台配置寄存器值 PCRSAC的签名 [N
AR , PCRs
Ac]s
lg-ACP , 访问控制器对访问请求者的平台完整性的平台级评估策略 Evalp
-AR ,对访问请求者的平台鉴别结果 Re
access,消息 4和其他参数 Text5 ; 若消息 4为第二种构成形式, 则: 首先验证使用策略管理器的用户身份证 书 Cert
User_p
M对应私钥对访问控制器的挑战 N
AC_p
M, 访问请求者的平台身 份证书 Cert
AIK R , 访问请求者的平台身份证书的验证结果 Re
AI]^
AR , 访问 请求者的平台配置寄存器值 PCRs
AR, 访问控制器向访问请求者请求的平 台完整性度量信息 Parm
P_
AR, 访问控制器对访问请求者的平台完整性的平 台级评估策略 Eval
P_
AR , 实际收到的访问请求者的平台完整性度量信息 Parm
PP-AR, 访问请求者的平台完整性的平台级评估结果 Re
P_
AR, 访问控制
器的平台完整性的平台级修补信息 Remp_
AC和其他参数 Text6 的签名 [N
AC-PM, Cert
AIK-AR , Re
AIK-AR, PCRs
AR, Parm
P-AR, Eval
P-AR, Parm
PP-AR, Re
P-AR , Rem
P-Ac , 其他参数 Text6]
Slg-p
MU的有效性, 若验证不通过, 则丟 弃该消息, 否则将访问请求者的平台完整性的平台级修补信息!^!!^^发 送给访问请求者的对应完整性收集者, 最后向 TNC客户端发送消息 5 (第 二种构成形式) , 该消息 5包括访问控制器的挑战 N
AC_p
M, 访问控制器的 平台配置寄存器值 PCRSAC, 使用访问控制器的平台身份证书 Cert
AIK-AC对 应私钥对访问请求者的挑战 N
AR和访问控制器的平台配置寄存器值 PCRSAC的签名 [N
AR, PCRSAC] Sig-ACP,对访问请求者的平台鉴别结果 Re
access, 访问控制器的平台身份证书的验证结果 Re
AI]^
AC, 访问控制器的平台完整 性的平台级评估结果
, 访问请求者的平台完整性的平台级修补信息 Rem
P-AR, 实际收到的访问控制器的平台完整性度量信息 Parm
PP_
AC , 使用 策略管理器的用户身份证书 Cert
User_p
M对应私钥对访问请求者的挑战 N
AR, 访问控制器的平台身份证书 Cert
AI]^
AC ,访问控制器的平台身份证书的验证 结果 Re
AI]^
AC, 访问控制器的平台配置寄存器值 PCRSAC, 访问请求者向访 问控制器请求的平台完整性度量信息 Parm
P_
AC , 访问请求者对访问控制器 的平台完整性的平台级评估策略 Eval
P_
AC , 实际收到的访问控制器的平台 完整性度量信息 Parm
PP_
AC , 访问控制器的平台完整性的平台级评估结果 Re
P_
AC , 访问请求者的平台完整性的平台级修补信息 Rem
P_
AR和其他参数 Text7 的签名 [N
AR , Cert
AIK-AC , Re
AIK-Ac , PCRs
AC , Parm
P-AC , Eval
P-AC , Parm
PP-AC ' Rep—Ac , Rem
P-AR, 其他参数 Text7]
Slg
-PMU , 和其他参数 Text5 ; 步骤 4036 , TNC客户端收到消息 5后, 若消息 5为第一种构成形式, 则: 首先验证使用访问控制器的平台身份证书 Cert
AI]^
AC对应私钥对访问 请求者的挑战 N
AR和访问控制器的平台配置寄存器值 PCRSAC的签名 [N
AR ,
的有效性, 若验证不通过, 则丟弃该消息, 否则验证消息 4 中的使用策略管理器的用户身份证书 Cert
UserfM对应私钥对访问控制器的 挑战 N
AC_p
M ,访问请求者的平台身份证书 Cert
AIK_
AR ,访问请求者的平台身 份证书的验证结果 Re
AIK_
AR, 访问请求者的平台配置寄存器值 PCRs
AR, 访 问控制器向访问请求者请求的平台完整性度量信息 Parm
P_
AR, 访问控制器 对访问请求者的平台完整性的平台级评估策略 Evalp_
AR, 实际收到的访问
请求者的平台完整性度量信息 Parm
P AR,访问请求者的平台完整性的平台 级评估结果 Re^
AR, 访问请求者的平台完整性的平台级修补信息 Rem
P-AR, 访问请求者的挑战 N
AR , 访问控制器的平台身份证书
, 访问控制 器的平台身份证书的验证结果 Re
AIK-AC , 访问控制器的平台配置寄存器值 PCRs
AC, 访问请求者向访问控制器请求的平台完整性度量信息 Paraip
-AC , 访问请求者对访问控制器的平台完整性的平台级评估策略 Eval
P-AC , 实际 收到的访问控制器的平台完整性度量信息
,访问控制器的平台完 整性的平台级评估结果 Re
P_
AC, 访问控制器的平台完整性的平台級修补信 息 Rem
P-AC和其他参数 Text6的签名 [N Ac-PM ' CertAiK-A ' RSAIK-AR ' PCRSA ? Parm
P-AR, Evalp
-AR, Parm
PP-AR, Re
P-AR, Rem
P-AR, N
AR, Cert
AIK-AC, Re
Ai
K-Ac, PCRs
Ac , Parm
P-AC , Eval
P-AC , Parm
PP-AC , Re
P-AC , Rem
P-Ac, Text6]
Slg-pMu 的有效性, 若验证不通过, 则丟弃该消息, 否则将访问请求者的平台完整 性的平台级修补信息 Rem
AR发送给访问请求者的对应完整性收集者; 若 消息 5为第二种构成形式, 则: 首先验证使用访问控制器的平台身份证书 CertAiK-Ac对应私钥对访问请求者的挑战 N
AR和访问控制器的平台配置寄 存器值 PCRs
AC的签名 [N
AR, PCRs
AC]
Slg-ACP的有效性, 若验证不通过, 则 丟弃该消息, 否则验证使用策略管理器的用户身份证书 Cert
User-PM对应私 钥对访问请求者的挑战 N
AR, 访问控制器的平台身份证书 Cert
AIK-AC , 访问 控制器的平台身份证书的验证结果 Re
AIK-AC, 访问控制器的平台配置寄存 器值 PCRSAC , 访问请求者向访问控制器请求的平台完整性度量信息 Parm
P-AC , 访问请求者对访问控制器的平台完整性的平台级评估策略 Eval
P_
AC , 实际收到的访问控制器的平台完整性度量信息
, 访问 控制器的平台完整性的平台级评估结果
, 访问请求者的平台完整性 的平台级修补信息
和其他参数 Text7 的签名 [N
AR, Cert
AIK-AC , Re
AiK-Ac, PCRs
AC, Parm
P-AC, Eval
P-AC, Parm
PP-AC , Re
P-AC, Rem
P-AR , 其 他参数 Text7]
Slg-PMU的有效性, 若验证不通过, 则丟弃该消息, 否则将访 问请求者的平台完整性的平台级修补信息 Rem
P-AR发送给访问请求者的对 应完整性收集者;
步骤 404 , 若实际收到的访问请求者的平台完整性度量信息 Parmpp-AR 和访问控制器向访问请求者请求的平台完整性度量信息 不相同,
或实际收到的访问控制器的平台完整性度量信息 ParmPP_AC和访问请求者 向访问控制器请求的平台完整性度量信息 ParmP_AC不相同, 则步骤 403需 要再次执行, 直至访问请求者和访问控制器都已按照配置的平台评估策略 完成对对方的平台完整性评估, TNC客户端依据对访问控制器的平台评估 策略、 访问控制器的平台身份证书的验证结果 ReAI]^AC和访问控制器的平 台完整性的平台级评估结果 ReP_AC生成对访问控制器的平台鉴别结果, 最 后将对访问控制器的平台鉴别结果发送给网络访问请求者; TNC接入点依 据对访问请求者的平台评估策略、 访问请求者的平台身份证书的验证结果 ReAiK-AR和访问请求者的平台完整性的平台级评估结果 ReP_AR生成对访问 请求者的平台鉴别结果 Reaccess , 最后将对访问请求者的平台鉴别结果 Reaccess发送给网络访问控制者;
步骤 405 , 当访问请求者或访问控制器不要求进行用户身份鉴别过程 时, 网络访问请求者和网络访问控制者依据本地安全策略和对对方的平台 鉴别结果做出访问决策, 并执行访问控制; 当访问请求者或访问控制器要 求进行用户身份鉴别过程时, 网络访问请求者和网络访问控制者依据对对 方的用户身份鉴别结果、 对对方的平台鉴别结果和本地安全策略做出访问 决策, 并执行访问控制;
步骤 50 , 平台修补后的重新平台鉴别。 其中, 该步骤 50包括: 步骤 501 , 若执行完步骤 40后, 访问请求者或访问控制器要求进行平 台修补过程, 则访问请求者的各个完整性收集者根据访问请求者的平台完 整性的平台级修补信息 Remp 进行平台修补, 或访问控制器的各个完整 性收集者根据访问控制器的平台完整性的平台级修补信息 Ren^Ac进行平 台修补;
步骤 502 , 访问请求者的各个完整性收集者完成平台修补后通知 TNC 客户端进行重新平台鉴别过程, 或访问控制器的各个完整性收集者完成平 台修补后通知 TNC接入点进行重新平台鉴别过程, TNC客户端或 TNC接 入点根据平台修补过程对访问请求者和访问控制器之间的网络连接性的 影响和本地安全策略跳至步骤 20、 步骤 30或步骤 40;
步骤 60, 平台鉴别后被激活的重新平台鉴别; 若访问请求者的各个完 整性收集者或 TNC客户端, 访问控制器的各个完整性收集者或 TNC接入
点根据本地安全策略被激活进行重新平台鉴别过程, 则根据本地安全策略 跳至步骤 30或步骤 40。
本领域普通技术人员可以理解: 实现上述方法实施例的全部或部分步 骤可以通过程序指令相关的硬件来完成, 前述的程序可以存储于一计算机 可读取存储介质中, 该程序在执行时, 执行包括上述方法实施例的步骤; 而前述的存储介质包括: ROM、 RAM, 磁碟或者光盘等各种可以存储程 序代码的介质。
最后应说明的是: 以上实施例仅用以说明本发明的技术方案, 而非对 其限制; 尽管参照前述实施例对本发明进行了详细的说明, 本领域的普通 技术人员应当理解: 其依然可以对前述各实施例所记载的技术方案进行修 改, 或者对其中部分技术特征进行等同替换; 而这些修改或者替换, 并不 使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。