WO2010118613A1

WO2010118613A1 - 一种三元对等鉴别可信网络连接架构的实现方法

Info

Publication number: WO2010118613A1
Application number: PCT/CN2009/075697
Authority: WO
Inventors: 肖跃雷; 曹军; 葛莉; 黄振海
Original assignee: 西安西电捷通无线网络通信有限公司
Priority date: 2009-04-16
Filing date: 2009-12-18
Publication date: 2010-10-21
Also published as: CN101527717A; CN101527717B

Description

一种三元对等鉴别可信网络连接架构的实现方法

技术领域

本发明涉及网络技术领域，尤其涉及一种三元对等鉴别可信网络连接架构的实现方法。背景技术

随着信息化的发展，病毒、蠕虫等恶意软件的问题异常突出。目前已经出现了超过三万五千种的恶意软件，每年都有超过四千万的计算机被感染。要遏制住这类攻击，不仅通过解决安全的传输和数据输入时的检查，还要从源头即从每一台连接到网络的终端开始防御。而传统的安全防御技术已经无法防御种类繁多的恶意攻击。

国际可信计算组织（Trusted Computing Group, TCG )针对这个问题，专门制定了一个基于可信计算技术的网络连接规范——可信网络连接 ( Trusted Network Connect, TNC ) , 简记为 TCG-TNC, 其包括了开放的终端完整性架构和一套确保安全互操作的标准。这套标准可以在用户通过时保护一个网络，且由用户自定义保护到什么程度。 TCG-TNC本质上就是要从终端的完整性开始建立连接。首先，要创建一套在可信网络内部系统运行状况的策略。只有遵守网络设定策略的终端才能访问网络，网络将隔离和定位那些不遵守策略的设备。由于使用了可信平台模块（Trusted Platform Module, TPM ) , 所以还可以阻挡 root kits的攻击。 root kits是一种攻击脚本、经修改的系统程序，或者成套攻击脚本和工具，用于在一个目标系统中非法获取系统的最高控制权限。 TCG-TNC架构参见图 1。

图 1为现有技术中 TCG-TNC架构示意图，在图 1中，特定厂家完整性收集者（ Integrity Measurement Collector, IMC ) -完整性校验者（ Integrity Measurement Verifier , IMV ) 消息交换接口（ Vendor- Specific IMC-IMV Messages, IF-M )是完整性收集者和完整性校验者之间的接口， TNC客户端 - TNC服务端接口（TNC Client-TNC Server Interface, IF-TNCCS )是 TNC 客户端和 TNC服务端之间的接口，网络授权传输协议（ Network Authorization Transport Protocol, IF-T )是网络访问请求者和网络访问授权者之间的接口，策略执行点接口（ Policy Enforcement Point Integrity, IF-PEP )是策略执行点和网络访问授权者之间的接口，完整性度量收集者接口（ Integrity Measurement Collector Inteface, IF-IMC )是完整性收集者和 TNC客户端之间的接口，完整性度量校马全接口（Integrity Measurement Verifier Interface, IF-IMV )是完整性校验者和 TNC服务端之间的接口。

但是，由于图 1所示的 TCG-TNC架构中访问请求者不评估策略执行点的完整性，所以该架构存在策略执行点不可信赖的问题。为了解决这一问题，一种基于三元对等鉴别（Tri-element Peer Authentication, TePA ) 的 TNC架构被提出。基于 TePA的 TNC架构参见图 2。

图 2为现有技术中基于 TePA的 TNC架构示意图，在图 2中，完整性度量接口（ Integrity Measurement Interface, IF-IM )是完整性收集者和完整性校验者之间的接口， TNC客户端 - TNC接入点接口 ( TNC Client-TNC Access Point Interface, IF-TNCCAP )是 TNC客户端和 TNC接入点之间的接口，评估策略服务接口（ Evaluation Policy Service Interface, IF-EPS )是 TNC接入点和评估策略服务者之间的接口，可信网络传输接口（ Trusted Network Transport Interface , IF-TNT )是网络访问请求者和网络访问控制者之间的接口，鉴别策略服务接口（Authentication Policy Service Interface, IF-APS )是网络访问控制者和鉴别策略服务者之间的接口，完整性度量收集者接口（Integrity Measurement Collector Interface, IF-IMC )是完整性收集者和 TNC客户端之间，以及完整性收集者和 TNC 接入点之间的接口，完整性度量校验接口 ( Integrity Measurement Verifier Interface, IF-IMV )是完整性校验者和评估策略服务者之间的接口。

为了具体实现图 1所示的 TCG-TNC架构， TCG详细定义了 TCG-TNC 架构中各个接口的具体实现方法：在 IF-PEP规范中定义远程用户拨号认证系统（Remote Authentication Dial In User Service, RADIUS )协议等；在 IF-T 的遂道 EAP封装传输方法等；在 IF-TNCCS规范中定义了平台鉴别（包括平台凭证鉴别和完整性握手）的消息传输协议和连接管理等，包括如何路由 IMC 和 IMV之间传输的消息；在 IF-M规范中定义了 IMC和 IMV之间所传输消息的封装方法等，包括定义 IF-M消息来描述组件的各个属性及其相关处理属性，如：产品信息属性和安全处理属性等；在 IF-IMC规范中定义了 TNC客户端和 IMC之间的功能函数，用于支持平台鉴别过程；在 IF-IMV规范中定义了 TNC服务端和 IMV之间的功能函数，也是用于支持平台鉴别过程。此夕卜，在 TNC过程中 TCG-TNC架构的一些组件还可能通过可信平台服务接口 ( Trusted Platform Service Interface , IF-PTS )与可信平台服务（ Trusted Platform Service, PTS )进行通信。 PTS负责管理完整性度量日志、创建快照和完整性报告等，并通过 IF-PTS为 TCG-TNC架构的一些组件提供服务。 IF-PTS是一个与架构类型无关的接口，即该 IF-PTS可适用于图 1和图 2所示的 TNC架构。

同理，为了具体实现图 2所示的基于 TePA的 TNC架构，需要通过详细定义基于 TePA的 TNC架构中各个接口的具体实现方法，然后基于上述接口的具体实现来实现基于 TePA的 TNC架构。但是，由于图 2所示的基于 TePA的 TNC架构与图 1所示的 TCG-TNC架构存在着较大的差异性，所以基于 TePA的 TNC架构的具体实现方法也不同。发明内容为了解决背景技术中存在的上述技术问题，本发明提供了一种三元对等鉴别可信网络连接架构的实现方法，建立终端可信、实现终端的可信网络连接、实现终端间的可信认证和实现对终端的可信管理。本发明的目的就是详细定义基于 TePA的 TNC架构中各个接口的具体实现方法，然后基于上述接口的具体实现来实现基于 TePA的 TNC架构。

本发明的技术解决方案是：本发明提供了一种三元对等鉴别可信网络连接架构的实现方法，该方法包括以下步骤：

步骤 1、通过定义接口建立三元对等鉴别可信网络连接架构；

步骤 2、实现三元对等鉴别可信网络连接架构的可信网络连接。

其中，步骤 1具体包括：

步骤 11、 IF-TNT的具体实现： IF-TNT通过用户鉴别协议来实现网络访问请求者和访问控制器之间的用户鉴别；通过网络传输协议来实现访问请求者和访问控制器在 TNC过程中的数据传输；通过访问控制协议来实现访问请求者和访问控制器之间的访问控制；

步骤 12、 IF-APS的具体实现： IF-APS通过用户鉴别协议来实现网络访问请求者和访问控制器之间的用户鉴别；通过网络传输协议来实现访问请求者和访问控制器在 TNC过程中的数据传输；

步骤 13、 IF-TNCCAP的具体实现： IF-TNCCAP通过网络连接管理机制来实现 TNC客户端和 TNC接入点之间的网络连接管理；通过平台鉴别协议来实现访问请求者和访问控制器之间的平台鉴别；通过平台鉴别协议管理机制来实现对平台鉴别过程中平台鉴别协议的管理；通过对完整性度量层消息的封装机制来实现完整性度量层消息的路由；

步骤 14、 IF-EPS的具体实现： IF-EPS通过平台鉴别协议来实现访问请求者和访问控制器之间的平台鉴别；通过对完整性度量层消息的封装机制来实现完整性度量层消息的路由；通过评估策略动态分发机制来实现对访问请求者的评估策略的动态分发；步骤 15、 IF-IMC的具体实现：包括访问请求者中 IF-IMC的具体实现和访问控制器中 IF-IMC的具体实现，其中访问请求者中的 IF-IMC和访问控制器中的 IF-IMC通过定义功能函数来实现完整性握手；

步骤 16、 IF-IMV的具体实现： IF-IMV通过定义功能函数来实现完整性握手；

步骤 17、 IF-IM的具体实现： IF-IM通过利用 IMC和 IMV之间所传输消息的封装方法来实现 IMC和 IMV之间的互通；

步骤 2具体包括：

步骤 21、网络访问请求者向网络访问控制者发送网络访问请求；步骤 22、网络访问请求者、网络访问控制者和鉴别策略服务者执行

IF-TNT 和 IF-APS 中定义的用户鉴别协议，其中用户鉴别协议数据是利用 IF-TNT和 IF-APS中定义的网络传输协议进行传输；用户鉴别协议完成后，若网络访问控制者要求立即做出访问决策，则网络访问控制者根据用户鉴别结果做出访问决策并利用 IF-TNT中定义的访问控制协议执行访问控制，否则向 TNC接入点发送平台鉴别请求；若网络访问请求者要求立即做出访问决策，则网络访问请求者根据用户鉴别结果做出访问决策并利用 IF-TNT中定义的访问控制协议执行访问控制，否则向 TNC客户端发送平台鉴别请求；步骤 23、当 TNC接入点收到网络访问控制者发送的平台鉴别请求时，若 TNC接入点通过向评估策略服务者请求对访问请求者的评估策略，则利用 IF-EPS中定义的评估策略动态分发机制进行该评估策略请求；

步骤 24、当 TNC接入点收到网络访问控制者发送的平台鉴别请求时， TNC接入点利用 IF-TNCCAP中定义的平台鉴别协议启动平台鉴别过程；当 TNC客户端收到网络访问请求者发送的平台鉴别请求时，若 TNC接入点没有收到网络访问控制者发送的平台鉴别请求，则 TNC客户端利用 IF-TNCCAP 中定义的平台鉴别协议启动平台鉴别过程；访问请求者、访问控制器和评估策略服务者执行平台鉴别过程；步骤 25、平台修补完成后，访问请求者中的 IMC或访问控制器中的 IMC 利用访问请求者中的 IF-IMC或访问控制器中的 IF-IMC中定义的功能函数向 TNC客户端或 TNC接入点请求重新执行平台鉴别过程，或者评估策略发生了改变而要求重新执行平台鉴别过程，则根据网络连接状态和本地安全策略跳至步骤 21、步骤 22或步骤 23。

上述步骤 11和步骤 12中用户鉴别协议的实现方式是：若访问请求者和访问控制器之间已实现过用户鉴别，且访问请求者和访问控制器之间的安全关联仍然有效，则网络访问请求者和网络访问控制者利用访问请求者和访问控制器之间的安全关联来实现访问请求者和访问控制器之间的用户鉴别；否则，网络访问请求者、网络访问控制者和鉴别策略服务者执行三元对等鉴别协议来实现访问访问请求者和访问控制器之间的用户鉴别，其中鉴别策略服务者充当可信第三方角色。

上述步骤 11和步骤 12中网络传输协议实现方式为：釆用与遂道 EAP封装传输机制相同的方式对用户鉴别协议数据和平台鉴别协议数据进行封装传输，其中用户鉴别协议数据封装在一个封装传输包中，而平台鉴别协议数据首先要封装成一个封装传输包并利用安全遂道进行保护，然后将上述安全遂道保护的封装传输包嵌套封装在一个封装传输包中。

上述步骤 11和步骤 12中网络传输协议实现方式为：釆用相互独立的封装传输机制对用户鉴别协议数据和平台鉴别协议数据进行封装传输，其中用户鉴别协议数据独立封装在一个封装传输包中 , 平台鉴别协议数据独立封装在一个封装传输包中并利用安全遂道进行保护。

上述步骤 11中访问控制协议是基于三元对等鉴别的访问控制方法。上述步骤 13 中的网络连接管理机制的实现方法是： TNC客户端为每一对 TNC客户端—— TNC接入点本地创建一个网络连接标识，用于标识每一个 TNC过程； TNC接入点为每一对 TNC客户端—— TNC接入点本地创建一个网络连接标识，用于标识每一个 TNC过程；在一个 TNC过程中， TNC客户端、 TNC接入点和评估策略服务者首先执行一次平台鉴别过程，若该次平台鉴别过程后通过进行平台修补，或者评估策略发生了改变，则 TNC客户端、 TNC接入点和评估策略服务者通过重新执行一次平台鉴别过程， TNC客户端和 TNC接入点保持上述创建的网络连接标识不变，直至该 TNC过程被终止。

上述步骤 13和步骤 14中的平台鉴别协议的实现方法是由 TNC客户端、 TNC接入点和评估策略服务者执行的三元对等鉴别协议，其中 TNC客户端和 TNC接入点互相请求对方平台的完整性度量值， TNC客户端和 TNC接入点仅验证对方平台的完整性度量值的平台签名，而平台身份证书的有效性验证和完整性度量值的评估由评估策略服务者来完成。

上述步骤 13中的平台鉴别协议管理机制的实现方法是：在一次平台鉴别过程中， TNC客户端、 TNC接入点和评估策略服务者可能通过执行多轮平台鉴别协议，其中，在每一轮平台鉴别协议中 TNC客户端和 TNC接入点互相发送请求对方平台的完整性度量参数，而向评估策略服务者发送的是已完成度量的完整性度量参数，本轮平台鉴别协议完成后，若请求度量的完整性度量参数与已完成度量的完整性度量参数不相同，则 TNC客户端、 TNC接入点和评估策略服务者通过执行另外一轮平台鉴别协议，否则本次平台鉴别过程已成功完成。

上述步骤 13和步骤 14中的对完整性度量层消息的封装机制为：由消息类型、完整性收集者标识和完整性度量层消息构成的封装格式进行封装。上述步骤 14中的评估策略动态分发机制是 TNC接入点向评估策略服务者请求对访问请求者的评估策略，评估策略服务者返回对访问请求者的评估策略给 TNC接入点。

上述步骤 15中的访问请求者中的 IF-IMC需定义的功能函数为： TNC客户端发现、装载访问请求者中的 IMC; TNC客户端初始化访问请求者中的 IMC; 访问请求者中的 IMC向 TNC客户端报告所支持的消息类型； TNC客户端向访问请求者中的 IMC通告网络连接状态； TNC客户端向访问请求者中的 IMC通告请求度量的完整性度量参数；访问请求者中的 IMC向 TNC客户端发送完整性度量层消息；访问请求者中的 IMC向 TNC客户端提供完整性度量值中的平台配置寄存器（Platform Configuration Register, PCR ) 引用数据，包括引用的 PCR值和对这些引用 PCR值的平台签名； TNC客户端向访问请求者中的 IMC通告该轮平台鉴别协议的该步骤消息将要发送，让访问请求者中的 IMC停止收集完整性度量值； TNC客户端向访问请求者中的 IMC 发送已收到的完整性度量层消息； TNC客户端终止访问请求者中的 IMC; 访问请求者中的 IMC向 TNC客户端请求重新执行完整性握手。

上述步骤 15中的访问控制器中的 IF-IMC需定义的功能函数为： TNC接入点发现、装载访问控制器中的 IMC; TNC接入点初始化访问控制器中的 IMC; 访问控制器中的 IMC向 TNC接入点报告所支持的消息类型； TNC接入点向访问控制器中的 IMC通告网络连接状态； TNC接入点向访问控制器中的 IMC通告请求度量的完整性度量参数；访问控制器中的 IMC向 TNC接入点发送完整性度量层消息；访问控制器中的 IMC向 TNC接入点提供完整性度量值中 PCR引用数据，包括引用的 PCR值和对这些引用 PCR值的平台签名； TNC接入点向访问控制器中的 IMC通告该轮平台鉴别协议的该步骤消息将要发送，让访问控制器中的 IMC停止收集完整性度量值； TNC接入点向访问控制器中的 IMC发送已收到的完整性度量层消息； TNC接入点终止访问控制器中的 IMC; 访问控制器中的 IMC向 TNC接入点请求重新执行完整性握手。

上述步骤 16中的 IF-IMV通过定义的功能函数为：评估策略服务者发现、装载策略管理器中的 IMV; 评估策略服务者初始化策略管理器中的 IMV; 策略管理器中的 IMV向评估策略服务者报告所支持的消息类型；评估策略服务者向策略管理器中的 IMV通告本轮平台鉴别协议所通过设置的评估策略；评估策略服务者向策略管理器中的 IMV发送已收到的完整性度量层消息；策略管理器中的 IMV向评估策略服务者发送完整性度量层消息；策略管理器中的 IMV向评估策略服务者提供完整性度量值中 PCR引用数据，包括引用的 PCR 值和对这些引用 PCR值的平台签名；策略管理器中的 IMV向评估策略服务者提供组件级评估结果；评估策略服务者终止策略管理器中的 IMV。

上述步骤 17中的 IF-IM的封装方法为：与 TCG-TNC架构中 IF-M的封装方法相同。

上述步骤 24中，当 TNC客户端收到 IF-TNCCAP和 IF-EPS中定义的平台鉴别协议消息时，通过检查 TNC客户端是否已装载和初始化访问请求者中的 IMC, 若 TNC客户端还没有装载和初始化访问请求者中的 IMC, 则利用访问请求者中 IF-IMC定义的功能函数载装和初始化访问请求者中的 IMC; 当 TNC接入点收到 IF-TNCCAP和 IF-EPS中定义的平台鉴别协议消息时，通过检查 TNC接入点是否已装载和初始化访问控制器中的 IMC, 若 TNC接入点还没有装载和初始化访问控制器中的 IMC, 则利用访问控制器中 IF-IMC 定义的功能函数载装和初始化访问控制器中的 IMC; 当评估策略服务者收到 IF-TNCCAP和 IF-EPS中定义的平台鉴别协议消息时，通过检查评估策略服务者是否已装载和初始化策略管理器中的 IMV, 若评估策略服务者还没有装载和初始化策略管理器中的 _IMV, 则利用策略管理器中 IF-IMV定义的功能函数载装和初始化策略管理器中的 IMV。

上述步骤 24 中， TNC客户端、 TNC接入点和评估策略服务者可执行 IF-TNCCAP和 IF-EPS中定义的平台鉴别协议，其中平台鉴别协议数据利用 IF-TNT和 IF-APS中定义的网络传输协议进行传输，评估策略服务者通过为每一轮平台鉴别协议或每一次平台鉴别过程创建一个会话标识来实现区分。

上述步骤 24 中，平台鉴别过程完成后， TNC客户端可根据平台鉴别过请求者； TNC接入点可根据平台鉴别过程中各轮平台鉴别协议中的组件级评估结果做出访问决策并发送给网络访问控制者，或者评估策略服务者可根据平台鉴别过程中各轮平台鉴别协议中的组件级评估结果做出访问决策并发送给 TNC接入点，然后 TNC接入点发送给网络访问控制者；网络访问请求者和网络访问控制者利用 IF-TNT中定义的访问控制方法执行访问控制。

上述步骤 2中，对于三元对等鉴别可信网络连接架构中的各个组件，被装载或服务启用时被执行完整性校验，以确定这些组件处于可信赖状态。

本发明的优点是：

1、本发明可建立终端可信，本发明在建立终端可信的过程中，基于 TePA 的 TNC架构中的访问请求者中的完整性收集者、 TNC客户端、 TNC接入点由终端来实现，而策略管理器中的完整性校验者和评估策略服务者可由终端来实现，也可由第三方服务提供者来实现，然后执行基于 TePA的 TNC架构中的平台鉴别过程来建立终端可信。

2、本发明可实现终端的可信网络连接，本发明在终端的可信网络连接过程中，基于 TePA的 TNC架构中的访问请求者由接入网络的终端来实现，而访问控制器和策略管理器由网络服务提供者来实现，其中策略管理器的部分功能或所有功能还可以由第三方服务提供者来实现，然后执行基于 TePA的 TNC架构中的 TNC过程来实现终端的可信网络连接。

3、本发明可实现终端间的可信认证，本发明在终端间的可信认证中，基于 TePA的 TNC架构中的访问请求者由一个终端来实现，而访问控制器由另一个终端来实现，策略管理器可由网络服务提供者来实现，其中策略管理器的部分功能或所有功能还可以由第三方服务提供者来实现，若终端间已完成用户鉴别并生成了会话密钥，则执行基于 TePA的 TNC架构中的平台鉴别过程来实现终端间的可信认证，否则执行基于 TePA的 TNC架构中的 TNC过程来实现终端间的可信认证。

4、本发明可实现对终端的可信管理 ,本发明在对终端的可信管理过程中 , 基于 TePA的 TNC架构中的访问请求者由终端来实现，而访问控制器和策略管理器由网络服务提供者来实现，其中策略管理器的部分功能或所有功能还可以由第三方服务提供者来实现，若终端和网络服务提供者之间已完成用户鉴别并生成了会话密钥，则执行基于 TePA的 TNC架构中的平台鉴别过程来实现对终端的可信管理，否则执行基于 TePA的 TNC架构中的 TNC过程来实现对终端的可信管理。

5、本发明可广泛应用，本发明基于 TePA的 TNC架构的具体实现中的平台鉴别过程可釆用一轮平台鉴别协议完成，也可以釆用多轮平台鉴别协议完成，满足不同网络设备的需求。

6、本发明有利于独立实现，本发明在基于 TePA的 TNC架构的具体实现中，策略管理器不参与网络连接管理，是一个独立的角色，有利于独立实现，从而使得策略管理器完全可以由可信第三方来实现；附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1为现有技术中 TCG-TNC架构示意图；

图 2为现有技术中基于 TePA的 TNC架构示意图；

图 3为本发明的访问请求者中 IF-IMC的交互示意图；

图 4为本发明的访问控制器中 IF-IMC的交互示意图；

图 5为本发明的策略管理器中 IF-IMV的交互示意图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。本发明提供了一种三元对等鉴别可信网络连接架构的实现方法，该方法包括以下步骤：

其中，步骤 1具体包括：

步骤 11、 IF-TNT和 IF-APS的具体实现方法： IF-TNT和 IF-APS中定义的用户鉴别协议可以釆用基于对称密钥和非对称密钥的三元对等鉴别协议，如：中国无线局域网标准中的 WAI协议。

IF-TNT和 IF-APS中定义的网络传输协议可以为：协议数据封装包可以釆用与 EAP相同或类似的协议数据封装包，但该协议数据封装包的处理与 EAP 不一样，该协议数据封装包在访问控制器处通过解析包，然后再封装成另一个协议数据封装包发送给另外一方，不像 EAP是一个点到点协议的封装包和解析包处理过程，而是一个三方协议的封装包和解析包处理过程，其中三方协议封装包可称为三元认证扩展协议封装包（ Tri-element Authentication Extensible Protocol, TAEP )；用户鉴别协议数据和平台鉴别协议数据可以釆用与遂道 EAP类似的封装方法进行封装，也可以釆用相互独立的封装方法进行封装，对于前者，访问请求者和访问控制器将收到一个成功类型的协议数据封装包，如： TAEP-success封装包，与整个 TNC过程相对应，对于后者，访问请求者和访问控制器将收到两个成功类型的协议数据封装包，如： TAEP-success封装包，分别与用户鉴别过程、平台鉴别过程相对应。

IF-TNT和 IF-APS中定义的访问控制协议可以釆用基于三元对等鉴别的访问控制方法，如：中国无线局域标准中所釆用的访问控制方法。

步骤 12、 IF-TNCCAP和 IF-EPS的具体实现方法： IF-TNCCAP中定义的网络连接管理机制可以为： TNC客户端本地生成与 TNC接入点的网络连接标识， TNC接入点本地生成与 TNC客户端的网络连接标识，网络连接标识用 ConnectionID表示； TNC客户端和 TNC接入点为每一个 ConnectionID设置一些网络连接状态，如：创建、完整性握手、允许、禁止、隔离和终止连接。在一个 TNC过程中， TNC客户端、 TNC接入点和评估策略服务者首先执行一次平台鉴别过程，若本次平台鉴别过程后需要进行平台修补，或者评估策略发生了改变，则 TNC客户端、 TNC接入点和评估策略服务者需要重新执行一次平台鉴别过程， TNC客户端和 TNC接入点保持上述创建的 ConnectionID不变，但网络连接状态可以设置为不同状态，直至该 TNC过程被终止。

IF-TNCCAP中定义的平台鉴别协议管理机制可以为：在一次平台鉴别过程中， TNC客户端、 TNC接入点和评估策略服务者可能需要执行多轮平台鉴别协议，其中，在每一轮平台鉴别协议中 TNC客户端和 TNC接入点互相发送请求对方平台的完整性度量参数，而向评估策略服务者发送的是已完成度量的完整性度量参数，本轮平台鉴别协议完成后，若请求度量的完整性度量参数与已完成度量的完整性度量参数不相同，则 TNC客户端、 TNC接入点和评估策略服务者需要执行另外一轮平台鉴别协议，否则本次平台鉴别过程已成功完成。

IF-EPS中定义的评估策略动态分发机制可以为：评估策略服务者为每一级别用户、每一级别服务设置对应的评估策略， TNC接入点可以将访问请求者的用户身份、或者访问请求者所请求的服务、或者访问请求者的用户身份和所请求的服务发送给评估策略服务者，然后评估策略服务者依据本地的设置向 TNC接入点返回对访问请求者的评估策略。

IF-TNCCAP和 IF-EPS中定义的对完整性度量层消息的封装机制可为（消息类型 +完整性收集者标识 +完整性度量层消息表）列表，该消息类型可由组件类型和厂家标识构成：

IF-TNCCAP和 IF-APS中定义的平台鉴别协议是由 TNC客户端、 TNC接入点和评估策略服务者执行的三元对等鉴别协议，其中 TNC客户端和 TNC接入点互相请求对方平台的完整性度量值， TNC客户端和 TNC接入点仅验证对方平台的完整性度量值的平台签名，而平台身份证书的有效性验证和完整性度量值的评估由评估策略服务者来完成。

步骤 13、访问请求者中 IF-IMC的具体实现方法：

访问请求者中 IF-IMC的功能函数为：

步骤 131、发现、装载访问请求者中的 IMC的函数，它与特定平台相关，可以利用不同的方法实现；

步骤 132、 TNC—IMC— Initialize { imcID , min Version , max Version , *pOutActualVersion } , 用于初始化 IMC, 由访问请求者中的 IMC实现，其中 imcID为 TNC客户端为该 IMC分配的完整性收集者标识， min Version和 max Version是 TNC客户端支持的应用接口函数版本号， *pOutActualVersion是实际使用的应用接口函数版本号；

步骤 133、 TNC TNCC ReportMessageTypes { imcID , supportedTypes , typeCount ) , 用于访问请求者中的 IMC向 TNC客户端通告所支持的消息类型，由 TNC客户端实现，其中 supportedTypes为访问请求者所支持的各个消息类型， typeCount为访问请求者所支持的消息类型的数目；

步骤 134、 TNC IMC NotifyConnectionChange { imcID , connectionID , newState } ,用于 TNC客户端向访问请求者中的 IMC通告网络连接状态，由 IMC 实现，其中 connectionID为 TNC客户端创建的网络连接标识， newState为网络连接状态；

步骤 135、 TNC IMC RequestMeasurementlnfo { imcID , connectionID , Measurementlnfo } , 用于 TNC客户端向访问请求者中的 IMC通知请求度量的完整性度量参数，由 IMC实现，其中 Measurementlnfo为请求度量的完整性度量参数；

步骤 136、 TNC— TNCC— SendMessage { imcID , connectionID , messgae , messageLength, messageType } , 用于访问请求者中的 IMC向 TNC客户端发送完整性度量层消息，由 TNC客户端实现，其中 messgae为完整性度量层消息， messageLength为 message的长度, messageType为 message的消息类型；步骤 137 、 TNC TNCC ProvidePCRsIndex { imcID , connectionID , PCRsIndex) , 用于访问请求者中的 IMC向 TNC客户端提供完整性度量值中的 PCR引用数据（可信平台评估层组件可知的），由 TNC客户端实现，其中 PCRsIndex为完整性度量值中的 PCR引用数据；

步骤 138、 TNC IMC PAIEnding { imcID, connectionID } , 用于 TNC客户端向访问请求者中的 IMC通告该轮平台鉴别协议的该步骤消息将要发送，让访问请求者中的 IMC停止收集完整性度量值，由 IMC实现；

步骤 139、 TNC IMC ReceiveMessage { imcID , connectionID , messgae, messageLength, messageType } , 用于 TNC客户端向访问请求者中的 IMC发送已收到的完整性度量层消息，由 IMC实现；

步骤 1310、 TNC—IMC— Terminate { imcID }，用于 TNC客户端终止访问请求者中的 IMC, 由 IMC实现；

步骤 1311、 TNC TNCC RequestHandshakeRetry { imcID, connectionID, reason } , 用于访问请求者中的 IMC向 TNC客户端请求重新执行完整性握手，由 TNC客户端实现，其中 reason为请求重新执行完整性握手的原因。

图 3为本发明的访问请求者中 IF-IMC的交互示意图，在平台鉴别过程中，访问请求者中 IF-IMC的交互示意图，参见图 3。在图 3中， IF-IMC中的虚线功能函数调用箭头表示可选的，而实线功能函数调用箭头表示必备的，完整性握手过程中的平台鉴别协议可以是任意轮的（不局限于 2轮），直至做出访问决策为止，且访问请求者和访问控制器都可以发起平台鉴别协议。

步骤 14、访问控制器中 IF-IMC的具体实现方法

访问控制器中 IF-IMC的功能函数为：

步骤 141、发现、装载访问控制器中的 IMC的函数，它与特定平台相关，可以利用不同的方法实现；

步骤 142、 TNC—IMC— Initialize { imcID , min Version , max Version , *pOutActualVersion } , 用于初始化 IMC, 由访问控制器中的 IMC实现，其中 imcID为 TNC接入点为该 IMC分配的完整性收集者标识， min Version和 max Version是 TNC接入点支持的应用接口函数版本号， *pOutActualVersion是实际使用的应用接口函数版本号；

步骤 143、 TNC TNCAP ReportMessageTypes { imcID, supportedTypes , typeCount ) , 用于访问控制器中的 IMC向 TNC接入点通告所支持的消息类型，由 TNC接入点实现，其中 supportedTypes为访问控制器所支持的各个消息类型， typeCount为访问控制器所支持的消息类型的数目；

步骤 144、 TNC IMC NotifyConnectionChange { imcID , connectionlD , newState } ,用于 TNC接入点向访问控制器中的 IMC通告网络连接状态，由 IMC 实现，其中 connectionlD为 TNC接入点创建的网络连接标识， newState为网络连接状态；

步骤 145、 TNC IMC RequestMeasurementlnfo { imcID , connectionlD , Measurementlnfo } , 用于 TNC接入点向访问控制器中的 IMC通知请求度量的完整性度量参数，由 IMC实现，其中 Measurementlnfo为请求度量的完整性度量参数；

步骤 146、 TNC TNCAP SendMessage { imcID, connectionlD, messgae, messageLength, messageType } , 用于访问控制器中的 IMC向 TNC接入点发送完整性度量层消息，由 TNC接入点实现，其中 messgae为完整性度量层消息， messageLength为 message的长度, messageType为 message的消息类型；

步骤 147、 TNC TNCAP ProvidePCRsIndex { imcID , connectionlD ,

PCRsIndex ) , 用于访问控制器中的 IMC向 TNC接入点提供完整性度量值中的 PCR引用数据（可信平台评估层组件可知的），由 TNC接入点实现，其中 PCRsIndex为完整性度量值中的 PCR引用数据；

步骤 148、 TNC IMC PAIEnding { imcID, connectionlD } , 用于 TNC接入点向访问控制器中的 IMC通告该轮平台鉴别协议的该步骤消息将要发送，让访问控制器中的 IMC停止收集完整性度量值，由 IMC实现；步骤 149、 TNC IMC ReceiveMessage { imcID , connectionID , messgae, messageLength, messageType } , 用于 TNC接入点向访问控制器中的 IMC发送已收到的完整性度量层消息，由 IMC实现；

步骤 1410、 TNC—IMC— Terminate { imcID }，用于 TNC接入点终止访问控制器中的 IMC, 由 IMC实现；

步骤 1411、 TNC TNCAP RequestHandshakeRetry { imcID , connectionID , reason } , 用于访问控制器中的 IMC向 TNC接入点请求重新执行完整性握手，由 TNC接入点实现，其中 reason为请求重新执行完整性握手的原因。

图 4为本发明的访问控制器中 IF-IMC的交互示意图，在平台鉴别过程中，访问控制器中 IF-IMC的交互示意图，参见图 4。在图 4中， IF-IMC中的虚线功能函数调用箭头表示可选的，而实线功能函数调用箭头表示必备的，完整性握手过程中的平台鉴别协议可以是任意轮的（不局限于 2轮），直至做出访问决策为止，且访问请求者和访问控制器都可以发起平台鉴别协议。

步骤 15、 IF-IMV的具体实现方法：

策略管理器中 IF-IMV的功能函数为：

步骤 151、发现、装载策略管理器中的 IMV的功能函数，它与特定平台相关，可以利用不同的方法实现；

步骤 152、 TNC—IMV— Initialize { imvID , min Version , max Version , *pOutActualVersion } , 用于评估策略服务者初始化策略管理器中的 IMV, 由策略管理器中的 IMV实现，其中 imvID为评估策略服务者为该策略管理器中的 IMV分配的完整性校验者标识， min Version和 maxVersion是评估策略服务者支持的应用接口函数版本号， *pOutActual Version是实际使用的应用接口函数版本号；

步骤 153、 TNC EPS ReportMessageTypes { imvID , supportedTypes , typeCount ) , 用于策略管理器中的 IMV向评估策略服务者通告所支持的消息类型，由评估策略服务者实现，其中 supportedTypes为策略管理器中的 IMV所支持的各个消息类型， typeCount为策略管理器中的 IMV所支持的消息类型的数目；

步骤 154 、 TNC IMV SetAttributePolicy { imvID , PAIBindingID , AttributePolicy } , 用于评估策略服务者向策略管理器中的 IMV通告本轮平台鉴别协议所通过设置的评估策略，由策略管理器中的 IMV实现，其中 PAIBindingID为评估策略服务者为本轮平台鉴别协议创建的平台鉴别协议绑由平台鉴别协议中访问控制器的平台鉴别校验挑战 NAC-PM和访问请求者的平台鉴别请求挑战 NAR共同导出的一个随机数， AttributePolic为所通过设置的评估策略；

步骤 155、 TNC IMV ReceiveMessage { imvID, PAIBindingID, messgae, messageLength, messageType } , 用于评估策略服务者向策略管理器中的 IMV 发送已收到的完整性度量层消息，由策略管理器中的 IMV实现，其中 messgae 为完整性度量层消息 , messageLength为 message的长度, messageType为 message的消息类型；

步骤 156、 TNC— EPS— SendMessage { imvID , PAIBindingID , messgae , messageLength, messageType } , 用于策略管理器中的 IMV向评估策略服务者发送完整性度量层消息，由评估策略服务者实现；

步骤 157、 TNC EPS ProvideRecommendation { imvID , PAIBindingID , recommendation, evaluation } , 用于策略管理器中的 IMV向评估策略服务者提供组件级评估结果（可信平台评估层组件可知的），由评估策略服务者实现，估结果中的评定结果；

步骤 158 、 TNC EPS ProvidePCRsIndex { imvID , PAIBindingID , PCRsIndex ) ，用于策略管理器中的 IMV向评估策略服务者提供完整性度量值中的 PCR引用数据（可信平台评估层组件可知的），由评估策略服务者实现，其中 PCRsIndex为完整性度量值中的 PCR引用数据；

步骤 159、 TNC—IMV— Terminate { imvID } , 用于评估策略服务者终止的策略管理器中的 IMV, 由策略管理器中的 IMV实现；

图 5为本发明的策略管理器中 IF-IMV的交互示意图，在平台鉴别过程中，策略管理器中 IF-IMV的交互示意图，参见图 5。在图 5中， IF-IMV中的虚线功能函数调用箭头表示可选的，而实线功能函数调用箭头表示必备的，完整性握手过程中的平台鉴别协议可以是任意轮的（不局限于 2轮），直至做出访问决策为止，且访问请求者和访问控制器都可以发起平台鉴别协议。

步骤 16、 IF-IM的具体实现方法：

除了使用 TNC— IMC— RequestMeasurementlnfo来完成 TCG-TNC架构中的请求完整性度量属性功能（使用完整性度量层消息来完成，即使用 IF-M消息来完成）夕卜，其他与 TCG-TNC架构中 IF-M相同。

步骤 2、实现三元对等鉴别可信网络连接架构的可信网络连接，其具体步骤是：

步骤 21、网络访问请求者向网络访问控制者发送网络访问请求；步骤 22、网络访问请求者、网络访问控制者和鉴别策略服务者执行用户鉴别协议，如：中国无线局域网标准中 WAI协议，其中用户鉴别协议数据釆用 TAEP包封装传输。用户鉴别协议完成后，若网络访问控制者要求立即做出访问决策，则网络访问控制者根据用户鉴别结果做出访问决策并釆用基于三元等鉴别的访问控制方法（如：中国无线局域网标准中所釆用的访问控制方法）执行访问控制，否则向 TNC接入点发送平台鉴别请求；若网络访问请求者要求立即做出访问决策，则网络访问请求者根据用户鉴别结果做出访问决策并釆用基于三元等鉴别的访问控制方法（如：中国无线局域网标准中所釆用的访问控制方法）执行访问控制，否则向 TNC客户端发送平台鉴别请求。在装载 TNC接入点，或 TNC接入点的服务启动时，访问控制器中的 PTS可以扫描 TNC接入点的文件代码和内存代码，以保证其可信赖性。在装载 TNC客户端，或 TNC客户端的服务启动时，访问请求者中的 PTS可以扫描 TNC客户端的文件代码和内存代码，以保证其可信赖性。

步骤 23、当 TNC接入点收到网络访问控制者发送的平台鉴别请求时，若 TNC接入点通过向评估策略服务者请求对访问请求者的评估策略，则基于访问请求者的用户级别和访问请求者所请求的服务级别向评估策略服务者发送评估策略请求，然后评估策略服务者下发相应的评估策略。在装载评估策略服务者，或评估策略服务者的服务启动时，策略管理器中的 PTS可以扫描评估策略服务者的文件代码和内存代码，以保证其可信赖性。在请求评估策略过程中，由于涉及到可信赖性，所以 TNC接入点可以利用访问控制器中的 IF-PTS向 PTS请求扫描网络访问控制者的文件代码和内存代码，以保证其可信赖性；评估策略服务者可以利用策略管理器中的 IF-PTS请求扫描鉴别策略服务者的文件代码和内存代码，以保证其可信赖性。

步骤 24平台鉴别过程

步骤 241、当 TNC接入点收到网络访问控制者发送的平台鉴别请求，或者通过执行另一轮平台鉴别协议时， TNC接入点启动平台鉴别过程，并构造平台鉴别协议中的消息 1发送给 TNC客户端；

步骤 242、若 TNC客户端收到的平台鉴别协议中的消息 1为首轮平台鉴别协议消息（若 TNC客户端此时还没有装载和初始化访问请求者中的 IMC, 则利用访问请求者中的 IMC平台绑定方法、 TNC—IMC— Initialize和 TNC— TNCC— ReportMessageTypes来实现访问请求者中 IMC的装载和初始化 ) , 则 TNC客户端本地创建 ConnectionID , 并可以调用 TNC— IMC— NotifyConnectionChange向访问请求者中的 IMC通告网络连接状态为 CREATE, 接着可以调用 TNC—IMC— NotifyConnectionChange向访问请求者中的 IMC通告网络连接状态为 HANDSHAKE, 表示访问请求者中的 IMC与策略管理器中的 IMV之间的完整性握手过程开始，然后调用 TNC—IMC— RequestMeasurementlnfo向访问请求者中的 IMC通告请求度量的完整性度量参数 , 否则直接调用 TNC—IMC— RequestMeasurementlnfo向访问请求者中的 IMC通告请求度量的完整性度量参数，访问请求者中的 IMC收到请求度量的完整性度量参数后利用访问请求者中的 IF-PTS请求 PTS执行度量，并生成对访问请求者的完整性度量值；

步骤 243、访问请求者中的 IMC调用 TNC— TNCC— SendMessage向 TNC客户端发送对访问请求者的完整性度量值，还可以调用 TNC— TNCC— ProvidePCRsIndex向 TNC客户端提供可信平台评估层组件可知的 PCR引用数据；

步骤 244、当该轮平台鉴别协议的该步骤消息将要发送，则 TNC客户端首先调用 TNC— IMC— PAIEnding向访问请求者中的 IMC通告让访问请求者中的 IMC停止收集完整性度量值；

步骤 245、当 TNC客户端收到 TNC接入点发送的平台鉴别协议中的消息 1 , 即步骤 241〜步骤 244存在时， TNC客户端构造平台鉴别协议中的消息 2发送给 TNC接入点；当 TNC客户端没有收到 TNC接入点发送的平台鉴别协议中的消息 1 , 即步骤 241〜步骤 244不存在时，若 TNC客户端收到网络访问请求者发送的平台鉴别请求，或者通过执行另一轮平台鉴别协议，则 TNC客户端启动平台鉴别过程，并构造平台鉴别协议中的消息 2发送给 TNC接入点；

步骤 246、若 TNC接入点收到的平台鉴别协议中的消息 2为首轮平台鉴别协议消息（若 TNC接入点此时还没有装载和初始化访问控制器中的 IMC, 则利用访问控制器中的 IMC平台绑定方法、 TNC—IMC— Initialize和 TNC— TNCAP— ReportMessageTypes来实现访问控制器中 IMC的装载和初始化），则 TNC接入点本地创建 ConnectionID , 并可以调用 TNC—IMC— NotifyConnectionChange向访问控制器中的 IMC通告网络连接状态为 CREATE, 接着可以调用 TNC—IMC— NotifyConnectionChange向访问控制器中的 IMC通告网络连接状态为 HANDSHAKE, 表示访问控制器中的 IMC与策略管理器中的 IMV之间的完整性握手过程开始，然后调用 TNC— IMC— RequestMeasurementlnfo向访问控制器中的 IMC通告请求度量的完整性度量参数，否则直接调用 TNC—IMC— RequestMeasurementlnfo向访问控制器中的 IMC通告请求度量的完整性度量参数，访问控制器中的 IMC收到请求度量的完整性度量参数后利用访问控制器中的 IF-PTS请求 PTS执行度量，并生成对访问控制器的完整性度量值；

步骤 247、访问控制器中的 IMC调用 TNC— TNCAP— SendMessage向 TNC接入点发送对访问控制器的完整性度量值，还可以调用 TNC— TNCAP— ProvidePCRsIndex向 TNC接入点提供可信平台评估层组件可知的 PCR引用数据；

步骤 248、当该轮平台鉴别协议的该步骤消息将要发送，则 TNC接入点首先调用 TNC— IMC— PAIEnding向访问控制器中的 IMC通告让访问控制器中的 IMC停止收集完整性度量值；

步骤 249、 TNC接入点构造平台鉴别协议中的消息 3发送给评估策略服务者；

步骤 2410、评估策略服务者收到 TNC接入点发送的平台鉴别协议中的消息 3后，首先调用 TNC— IMV— SetAttributePolicy向策略管理器中的 IMV通告本轮平台鉴别协议所通过设置的评估策略，然后调用 TNC—IMV— ReceiveMessage 来向策略管理器中的 IMV发送已收到的完整性度量层消息；

步骤 2411、策略管理器中的 IMV收到步骤 2410中发送的消息后，将这些消息发给与策略管理器中的 IMV相连接的 PTS, 若 PTS解析这些信息出错，则生成组件级错误信息并发送给策略管理器中的 IMV，否则 PTS解析这些消息并在后台（TCG-TNC架构定义的）参照完整性清单数据库的协助下生成组件级评估结果和平台修补信息；

步骤 2412、策略管理器中的 IMV调用 TNC— EPS— SendMessage向评估策略服务者发送步骤 2411中生成的完整性度量层消息。

步骤 2413、策略管理器中的 IMV可以调用 TNC— EPS— ProvideRecommendation 向评估策略服务者提供组件级评估结果（可信平台评估层组件可知的）；步骤 2414、策略管理器中的 IMV可以调用 TNC— EPS— ProvidePCRsIndex向评估策略服务者提供完整性度量值中的 PCR引用数据 (可信平台评估层组件可知的）；

步骤 2415、评估策略服务者构造平台鉴别协议中的消息 4并发送给 TNC接入点；

步骤 2416、 TNC接入点收到评估策略服务者发送的平台鉴别协议中的消息 4后，首先调用 TNC— IMC— ReceiveMessage向访问控制器中的 IMC发送已收到的完整性度量层消息，若对访问请求者的评估已完成，则根据对访问请求者的完整性度量值的组件级评估结果生成访问控制器的访问决策，否则表明 TNC接入点通过执行另一轮平台鉴别协议，即：该轮平台鉴别协议结束后重新从步骤 241开始执行，然后 TNC接入点构造平台鉴别协议中的消息 5发送给 TNC客户端；

步骤 2417、 TNC客户端收到步骤 2416中发送的平台鉴别协议中的消息 5 后，首先调用 TNC—IMC— ReceiveMessage向访问请求者中的 IMC发送已收到的完整性度量层消息，若收到访问控制器的访问决策（表示对访问请求者的平台鉴别已经完成），则可以调用 TNC— IMC— NotifyConnectionChange向访问请求者中的 IMC通告访问控制器的访问决策（也就是网络连接状态），若对访问控制器的评估已完成，则根据对访问控制器的完整性度量值的组件级评估结果生成访问请求者的访问决策，否则表明 TNC客户端通过执行另一轮平台鉴别协议，即：该轮平台鉴别协议结束后重新从步骤 245开始执行，然后 TNC 客户端构造平台鉴别协议中的消息 6发送给 TNC接入点；

步骤 2418、 TNC接入点收到步骤 2417中发送的平台鉴别协议中的消息 6 后，可以调用 TNC—IMC— NotifyConnectionChange向访问控制器中的 IMC通告访问请求者的访问决策（也就是网络连接状态）。

步骤 25 、平台修补完成后，访问请求者中的 IMC调用 TNC— TNCC— RequestHandshakeRetry向 TNC客户端请求重新执行完整性握手，访问控制器中的 IMC调用 TNC—TNCAP— RequestHandshakeRetry向 TNC接入点请求重新执行完整性握手，或者评估策略发生了改变，从而通过重新执行平台鉴别过程，则根据网络连接状态和本地安全策略跳至步骤 21、步骤 22或步骤 24。

上述步骤 24描述了一个完整的平台鉴别过程，其中的平台鉴别协议可以为上面所述的 IF-TNCCAP和 IF-PTS的具体实现方法中的平台鉴别协议，若应用于单向平台鉴别，则可以选用步骤 24中的一些子步骤来实现。

在上述步骤 24中，为了保证 TNC客户端、 TNC接入点和评估策略服务者的可信赖性，在装载 TNC客户端，或 TNC客户端的服务启动时，访问请求者中的 PTS可以扫描 TNC客户端的文件代码和内存代码，在装载 TNC接入点，或 TNC接入点的服务启动时，访问控制器中的 PTS可以扫描 TNC接入点的文件代码和内存代码，在装载评估策略服务者，或评估策略服务者的服务启动时，策略管理器中的 PTS可以扫描评估策略服务者的文件代码和内存代码。

在上述步骤 24中，为了保证访问请求者中的 IMC、访问控制器中的 IMC 和策略管理器中的 IMV的可信赖性，在装载访问请求者中的 IMC, 或访问请求者中的 IMC的服务启动时， TNC客户端可以利用访问请求者中的 IF-PTS向访问请求者中的 PTS请求扫描访问请求者中的 IMC的文件代码和内存代码 ,在装载访问控制器中的 IMC, 或访问控制器中的 IMC的服务启动时， TNC接入点可以利用访问控制器中的 IF-PTS向访问控制器中的 PTS请求扫描访问控制器中的 IMC的文件代码和内存代码，在装载策略管理器中的 IMV, 或策略管理器中的 IMV的服务启动时，评估策略服务者可以利用策略管理器中的 IF-PTS向策略管理器中的 PTS请求扫描策略管理器中的 IMV的文件代码和内存代码。

在上述步骤 24中，为了保证网络访问请求者、网络访问控制者和鉴别策略服务者的可信赖性，在装载网络访问请求者，或网络访问请求者的服务启动时， TNC客户端可以利用访问请求者中的 IF-PTS向访问请求者中的 PTS请求扫描网络访问请求者的文件代码和内存代码，在装载网络访问控制者，或网络访问控制者的服务启动时， TNC接入点可以利用访问控制器中的 IF-PTS向访问控制器中的 PTS请求扫描网络访问控制者的文件代码和内存代码，在装载鉴别策略服务者，或鉴别策略服务者的服务启动时，评估策略服务者可以利用策略管理器中的 IF-PTS向策略管理器中的 PTS请求扫描鉴别策略服务者的文件代码和内存代码。

Claims

权利要求

1、一种三元对等鉴别可信网络连接架构的实现方法，其特征在于：该方法包括以下步骤：

步骤 2、实现三元对等鉴别可信网络连接架构的可信网络连接；其中，步骤 1包括：

步骤 11、可信网络传输接口 IF-TNT的实现：所述 IF-TNT通过用户鉴别协议来实现网络访问请求者和访问控制器之间的用户鉴别；通过网络传输协议来实现访问请求者和访问控制器在可信网络连接 TNC过程中的数据传输；通过访问控制协议来实现访问请求者和访问控制器之间的访问控制；

步骤 12、鉴别策略服务接口 IF- APS的实现：所述 IF-APS通过用户鉴别协议来实现网络访问请求者和访问控制器之间的用户鉴别；通过网络传输协议来实现访问请求者和访问控制器在 TNC过程中的数据传输；

步骤 13、 TNC 客户端 - TNC接入点接口 IF-TNCCAP 的实现：所述 IF-TNCCAP通过网络连接管理机制来实现 TNC客户端和 TNC接入点之间的网络连接管理；通过平台鉴别协议来实现访问请求者和访问控制器之间的平台鉴别；通过平台鉴别协议管理机制来实现对平台鉴别过程中平台鉴别协议的管理；通过对完整性度量层消息的封装机制来实现完整性度量层消息的路由；

步骤 14、评估策略服务接口 IF-EPS的实现：所述 IF-EPS通过平台鉴别协议来实现访问请求者和访问控制器之间的平台鉴别；通过对完整性度量层消息的封装机制来实现完整性度量层消息的路由；通过评估策略动态分发机制来实现对访问请求者的评估策略的动态分发；

步骤 15、完整性度量收集者接口 IF-IMC的实现：包括访问请求者中所述 IF-IMC的具体实现和访问控制器中所述 IF-IMC的具体实现，其中所述访问请求者中的所述 IF-IMC和所述访问控制器中的所述 IF-IMC通过定义功能函数来实现完整性握手；

步骤 16、完整性度量校验接口 IF-IMV的实现：所述 IF-IMV通过定义功能函数来实现完整性握手；

步骤 17、完整性度量校验 IF-IM的实现：所述 I F-IM通过利用完整性度量收集者 IMC 和完整性度量校验 IMV之间所传输消息的封装方法来实现 IMC和 IMV之间的互通；

步骤 2包括：

步骤 21、所述网络访问请求者向所述网络访问控制者发送网络访问请求；步骤 22、所述网络访问请求者、所述网络访问控制者和所述鉴别策略服务者执行所述 IF-TNT和所述 IF-APS中定义的用户鉴别协议，其中用户鉴别协议数据是利用所述 IF-TNT 和所述 IF-APS 中定义的网络传输协议进行传输；用户鉴别协议完成后，若网络访问控制者要求立即做出访问决策，则网络访问控制者根据用户鉴别结果做出访问决策并利用所述 IF-TNT 中定义的访问控制协议执行访问控制，否则向所述 TNC接入点发送平台鉴别请求；若网络访问请求者要求立即做出访问决策，则网络访问请求者根据用户鉴别结果做出访问决策并利用所述 IF-TNT中定义的访问控制协议执行访问控制，否则向 TNC客户端发送平台鉴别请求；

步骤 23、当所述 TNC接入点收到网络访问控制者发送的平台鉴别请求时，若所述 TNC接入点通过向评估策略服务者请求对访问请求者的评估策步骤 24、当所述 TNC接入点收到网络访问控制者发送的平台鉴别请求时，所述 TNC接入点利用所述 IF-TNCCAP中定义的平台鉴别协议启动平台鉴别过程；当所述 TNC客户端收到网络访问请求者发送的平台鉴别请求时，若所述 TNC接入点没有收到网络访问控制者发送的平台鉴别请求，则所述 TNC客户端利用所述 IF-TNCCAP中定义的平台鉴别协议启动平台鉴别过程；访问请求者、访问控制器和评估策略服务者执行平台鉴别过程；步骤 25、平台修补完成后，访问请求者中的完整性收集者 IMC或访问控制器中的 IMC 利用访问请求者中的所述 IF-IMC 或访问控制器中的所述 IF-IMC中定义的功能函数向 TNC客户端或 TNC接入点请求重新执行平台鉴别过程，或者评估策略发生了改变而要求重新执行平台鉴别过程，则根据网络连接状态和本地安全策略跳至步骤 21、步骤 22或步骤 23。

2、根据权利要求 1所述的三元对等鉴别可信网络连接架构的实现方法，其特征在于：所述步骤 11和步骤 12中用户鉴别协议的实现方式是：若访问请求者和访问控制器之间已实现过用户鉴别，且所述访问请求者和所述访问控制器之间的安全关联仍然有效，则所述网络访问请求者和所述网络访问控制者利用所述访问请求者和所述访问控制器之间的安全关联来实现访问请求者和访问控制器之间的用户鉴别；否则，所述网络访问请求者、所述网络访问控制者和所述鉴别策略服务者执行三元对等鉴别协议来实现访问所述访问请求者和所述访问控制器之间的用户鉴别，其中所述鉴别策略服务者充当可信第三方角色。

3、根据权利要求 1所述的三元对等鉴别可信网络连接架构的实现方法，其特征在于：所述步骤 11和步骤 12中网络传输协议实现方式为：釆用与遂道可扩展认证协议 EAP封装传输机制相同的方式对用户鉴别协议数据和平台鉴别协议数据进行封装传输，其中用户鉴别协议数据封装在一个封装传输包中，而平台鉴别协议数据首先要封装成一个封装传输包并利用安全遂道进行保护，然后将所述安全遂道保护的封装传输包嵌套封装在一个封装传输包中。

4、根据权利要求 1所述的三元对等鉴别可信网络连接架构的实现方法，其特征在于：所述步骤 11和步骤 12中网络传输协议实现方式为：釆用相互独立的封装传输机制对用户鉴别协议数据和平台鉴别协议数据进行封装传输，其中用户鉴别协议数据独立封装在一个封装传输包中，平台鉴别协议数据独立封装在一个封装传输包中并利用安全遂道进行保护。

5、根据权利要求 1所述的三元对等鉴别可信网络连接架构的实现方法，其特征在于：所述步骤 11中访问控制协议是基于三元对等鉴别的访问控制方法。

6、根据权利要求 1所述的三元对等鉴别可信网络连接架构的实现方法，其特征在于：所述步骤 13 中的网络连接管理机制的实现方法是： TNC客户端为每一对 TNC客户端—— TNC接入点本地创建一个网络连接标识，用于标识每一个 TNC过程；所述 TNC接入点为每一对 TNC客户端—— TNC接入点本地创建一个网络连接标识，用于标识每一个 TNC过程；在一个 TNC 过程中，所述 TNC客户端、所述 TNC接入点和评估策略服务者首先执行一次平台鉴别过程，若该次平台鉴别过程后通过进行平台修补，或者评估策略发生了改变，则所述 TNC客户端、所述 TNC接入点和评估策略服务者通过重新执行一次平台鉴别过程，所述 TNC客户端和所述 TNC接入点保持上述创建的网络连接标识不变，直至该 TNC过程被终止。

7、根据权利要求 1所述的三元对等鉴别可信网络连接架构的实现方法，其特征在于：所述步骤 13和步骤 14中的平台鉴别协议的实现方法是由所述 TNC客户端、所述 TNC接入点和评估策略服务者执行的三元对等鉴别协议，其中所述 TNC客户端和所述 TNC接入点互相请求对方平台的完整性度量值，所述 TNC客户端和所述 TNC接入点仅验证对方平台的完整性度量值的平台签名，而平台身份证书的有效性验证和完整性度量值的评估由评估策略服务者来冗成。

8、根据权利要求 1所述的三元对等鉴别可信网络连接架构的实现方法，其特征在于：所述步骤 13中的平台鉴别协议管理机制的实现方法是：在一次平台鉴别过程中， TNC客户端、 TNC接入点和评估策略服务者可能通过执行多轮平台鉴别协议，其中，在每一轮平台鉴别协议中所述 TNC客户端和所述 TNC接入点互相发送请求对方平台的完整性度量参数，而向评估策略服务者发送的是已完成度量的完整性度量参数，本轮平台鉴别协议完成后，若请求度量的完整性度量参数与已完成度量的完整性度量参数不相同，则所述 TNC 客户端、所述 TNC接入点和评估策略服务者通过执行另外一轮平台鉴别协议，否则本次平台鉴别过程已成功完成。

9、根据权利要求 1所述的三元对等鉴别可信网络连接架构的实现方法，其特征在于：所述步骤 13和步骤 14中的对完整性度量层消息的封装机制为：由消息类型、完整性收集者标识和完整性度量层消息构成的封装格式进行封装。

10、根据权利要求 1所述的三元对等鉴别可信网络连接架构的实现方法，其特征在于：所述步骤 14中的评估策略动态分发机制是所述 TNC接入点向评估策略服务者请求对访问请求者的评估策略，评估策略服务者返回对访问请求者的评估策略给所述 TNC接入点。

11、根据权利要求 1所述的三元对等鉴别可信网络连接架构的实现方法，其特征在于：所述步骤 15中的访问请求者中的 IF-IMC需定义的功能函数为：所述 TNC客户端发现、装载访问请求者中的 IMC; 所述 TNC客户端初始化访问请求者中的 IMC; 访问请求者中的 IMC向所述 TNC客户端报告所支持的消息类型；所述 TNC客户端向访问请求者中的 IMC通告网络连接状态；所述 TNC客户端向访问请求者中的 IMC通告请求度量的完整性度量参数；访问请求者中的 IMC向所述 TNC客户端发送完整性度量层消息；访问请求者中的 IMC向所述 TNC客户端提供完整性度量值中的 PCR引用数据，包括引用的平台配置寄存器 PCR值和对这些引用 PCR值的平台签名；所述 TNC 客户端向访问请求者中的 IMC 通告该轮平台鉴别协议的该步骤消息将要发送，让访问请求者中的 IMC停止收集完整性度量值；所述 TNC客户端向访问请求者中的 IMC发送已收到的完整性度量层消息；所述 TNC客户端终止访问请求者中的 IMC; 访问请求者中的 IMC向所述 TNC客户端请求重新执行完整性握手。

12、根据权利要求 1所述的三元对等鉴别可信网络连接架构的实现方法，其特征在于：所述步骤 15中的访问控制器中的所述 IF-IMC需定义的功能函数为：所述 TNC接入点发现、装载访问控制器中的 IMC; 所述 TNC接入点初始化访问控制器中的 IMC; 访问控制器中的 IMC向所述 TNC接入点 4艮告所支持的消息类型；所述 TNC接入点向访问控制器中的 IMC通告网络连接状态；所述 TNC接入点向访问控制器中的 IMC通告请求度量的完整性度量参数；访问控制器中的 IMC向所述 TNC接入点发送完整性度量层消息；访问控制器中的 IMC向所述 TNC接入点提供完整性度量值中 PCR引用数据，包括引用的 PCR值和对这些 I用 PCR值的平台签名；所述 TNC接入点向访问控制器中的 IMC通告该轮平台鉴别协议的该步骤消息将要发送，让访问控制器中的 IMC停止收集完整性度量值；所述 TNC接入点向访问控制器中的 IMC发送已收到的完整性度量层消息； TNC接入点终止访问控制器中的 IMC；访问控制器中的 IMC向所述 TNC接入点请求重新执行完整性握手。

13、根据权利要求 1所述的三元对等鉴别可信网络连接架构的实现方法，其特征在于：所述步骤 16中的 IF-IMV通过定义的功能函数为：评估策略服务者发现、装载策略管理器中的完整性校验者 IMV; 评估策略服务者初始化策略管理器中的所述 IMV;策略管理器中的所述 IMV向评估策略服务者报告所支持的消息类型；评估策略服务者向策略管理器中的所述 IMV通告本轮平台鉴别协议所通过设置的评估策略；评估策略服务者向策略管理器中的所述 IMV发送已收到的完整性度量层消息；策略管理器中的所述 IMV向评估策略服务者发送完整性度量层消息；策略管理器中的所述 IMV向评估策略服务者提供完整性度量值中 PCR引用数据，包括引用的 PCR值和对这些引用 PCR 值的平台签名；策略管理器中的 IMV向评估策略服务者提供组件级评估结果；评估策略服务者终止策略管理器中的 IMV。

14、根据权利要求 1所述的三元对等鉴别可信网络连接架构的实现方法，其特征在于：所述步骤 17中的 IF-IM的封装方法为：与所述 TCG-TNC架构中 IF-M的封装方法相同。

15、根据权利要求 1所述的三元对等鉴别可信网络连接架构的实现方法，其特征在于：所述步骤 24中，当所述 TNC客户端收到所述 IF-TNCCAP和所述 IF-EPS中定义的平台鉴别协议消息时，通过检查所述 TNC客户端是否已装载和初始化访问请求者中的 IMC,若所述 TNC客户端还没有装载和初始化访问请求者中的 IMC, 则利用访问请求者中 IF-IMC定义的功能函数载装和初始化访问请求者中的 IMC; 当所述 TNC接入点收到 IF-TNCCAP和 IF-EPS 中定义的平台鉴别协议消息时，通过检查所述 TNC接入点是否已装载和初始化访问控制器中的 IMC,若所述 TNC接入点还没有装载和初始化访问控制器中的 IMC, 则利用访问控制器中 IF-IMC定义的功能函数载装和初始化访问控制器中的 IMC; 当评估策略服务者收到 IF-TNCCAP和 IF-EPS中定义的平台鉴别协议消息时，通过检查评估策略服务者是否已装载和初始化策略管理器中的 IMV, 若评估策略服务者还没有装载和初始化策略管理器中的 IMV, 则利用策略管理器中 IF-IMV 定义的功能函数载装和初始化策略管理器中的 IMV。

16、根据权利要求 1所述的三元对等鉴别可信网络连接架构的实现方法，其特征在于：所述步骤 24中，所述 TNC客户端、所述 TNC接入点和所述评估策略服务者可执行 IF-TNCCAP和 IF-EPS中定义的平台鉴别协议，其中平台鉴别协议数据利用 IF-TNT和 IF-APS中定义的网络传输协议进行传输，评估策略服务者通过为每一轮平台鉴别协议或每一次平台鉴别过程创建一个会话标识来实现区分。

17、根据权利要求 1所述的三元对等鉴别可信网络连接架构的实现方法，其特征在于：所述步骤 24中，平台鉴别过程完成后，所述 TNC客户端可根据平台鉴别过程中各轮平台鉴别协议中的平台鉴别结果做出访问决策并发送给网络访问请求者；所述 TNC接入点可根据平台鉴别过程中各轮平台鉴别协议中的平台鉴别结果做出访问决策并发送给网络访问控制者，或者评估策略服务者可根据平台鉴别过程中各轮平台鉴别协议中的平台鉴别结果做出访问决策并发送给所述 TNC接入点，然后所述 TNC接入点发送给网络访问控制者；网络访问请求者和网络访问控制者利用 IF-TNT中定义的访问控制方法执行访问控制。

18、根据权利要求 1至 17任一权利要求所述的三元对等鉴别可信网络连接架构的实现方法，其特征在于：所述步骤 2中，对于三元对等鉴别可信网络连接架构中的各个组件，被装载或服务启用时被执行完整性校验，以确定这些组件处于可信赖状态。