WO2011035508A1

WO2011035508A1 - 一种可实现平台配置保护的双向平台鉴别方法及其系统

Info

Publication number: WO2011035508A1
Application number: PCT/CN2009/075389
Authority: WO
Inventors: 肖跃雷; 曹军; 黄振海; 葛莉
Original assignee: 西安西电捷通无线网络通信有限公司
Priority date: 2009-09-22
Filing date: 2009-12-08
Publication date: 2011-03-31
Also published as: CN101656719A; CN101656719B

Abstract

本发明涉及一种可实现平台配置保护的双向平台鉴别方法及其系统。该系统包括网络中的可信中心TC、端点A以及端点B；端点A和端点B都信任可信中心TC；端点A和端点B通过平台鉴别协议互相连通；端点B和可信中心TC通过平台鉴别协议互相连通。本发明有效地保护了端点A和端点B的平台配置，对端点A和端点B的平台配置实现了更细粒度的保护。

Description

一种可实现平台配置保护的双向平台鉴别方法及其系统技术领域

本发明属于网络安全技术领域，尤其涉及一种可实现平台配置保护的双向平台鉴别方法及其系统。

背景技术

随着信息化的不断发展，病毒、蠕虫等恶意软件的问题异常突出。目前已经出现了超过三万五千种的恶意软件，每年都有超过四千万的计算机被感染。为了解决这些问题，除了用户鉴别之外还需要增加对用户所在平台的识别和鉴别，即：平台鉴别，包括平台身份鉴别和平台组件校验及评估，目的是确定用户所在平台是否处于一个可信赖状态。平台身份鉴别主要是验证平台签名，以及验证平台签名密钥对应的平台身份证书的有效性，其中平台身份证书可为身份证明密钥（ Attestation Identity Key , AIK )证书，平台签名可为 AIK签名，它是通过执行 TPM— Quote命令从本地可信平台模块（Trusted Platform Module, TPM ) 来获取的。平台组件校验主要是验证平台组件的正确性，如：平台组件是否被篡改，国际可信计算组织（ Trusted Computing Group, TCG )是基于平台完整性来实现的，而平台组件评估主要是判定平台组件是否符合评估策略。平台鉴别可以运用于各种不同的应用场景。例如，基于客户端的可信赖性来控制客户端对网络的访问；判定数字版权管理（Digital Rights Management, DRM )客户端软件是否处于一个可信赖状态，是否已执行了一定的策略来防止非法使用、复制或重新分配知识产权。目前的平台鉴别方法都^^于 Client/Server (客户端 /服务器）模型的，参见图 1 , 图 1为现有技术中基于 Client/Server的平台鉴別模型结构示意图。

在这些基于 Client/Server模型的平台鉴别方法中， Client需要向 Server报告 Client的详细平台组件信息，即 Server完全知道 Client的平台配置，以便 Server 可以实现对 Client的平台组件校验及评估。但是，这不利于 Client对自身平台配置的保护。若 Server为 Client的服务提供方，且 Client完全信赖 Server,则 Client 不需要对自身平台配置实现保护。若 Client和 Server不存在这种完全信赖关系，则 Client需要对自身平台配置实现保护，这种情况在双向平台鉴别过程中尤其突出。因此，需要建立一种可实现平台配置保护的双向平台鉴别方法及其系统。

发明内容

为了解决背景技术中存在的上述技术问题，本发明提供了一种可有效地保护端点 A和端点 B的平台配置以及对端点 A和端点 B的平台配置实现更细粒度保护的可实现平台配置保护的双向平台鉴别方法及其系统。

本发明提供了一种可实现平台配置保护的双向平台鉴别方法，所述方法包括以下步骤：

步骤 1、端点 B向端点 A发送对端点 A的平台组件请求度量参数；步骤 2、端点 A收到步骤 1中的信息后，向端点 B发送对端点 A的平台组件请求度量参数所标识信息的平台组件度量值、对端点 A的平台组件请求度量参数所标识信息的平台组件度量值的平台签名、端点 A的平台身份证书、对端点 A的平台组件请求度量参数所标识信息的平台配置保护策略、对端点 B的平台组件请求度量参数和对端点 B的平台组件请求度量参数所标识信息的平台组件评估策略；其中，对端点 A的平台组件请求度量参数所标识信息的平台组件度量值中可泄露端点 A的平台配置的信息、对端点 A的平台组件请求度量参数所标识信息的平台配置保护策略，对端点 B的平台组件请求度量参数所标识信息的平台组件评估策略需要利用端点 A和可信中心 TC ( Trusted Center, TC )之间的安全密钥进行加密保护；

步骤 3、端点 B收到步骤 2中的信息后，向可信中心 TC发送端点 A的平台身份证书、对端点 A的平台组件请求度量参数所标识信息的平台组件度量值、对端点 A的平台组件请求度量参数、对端点 A的平台组件请求度量参数所标识信息的平台组件评估策略、对端点 A的平台组件请求度量参数所标识信息的平台配置保护策略、端点 B的平台身份证书、对端点 B的平台组件请求度量参数所标识信息的平台组件度量值、对端点 B的平台组件请求度量参数、对端点 B的平台组件请求度量参数所标识信息的平台组件评估策略和对端点 B的平台组件请求度量参数所标识信息的平台配置保护策略；其中，对端点 A的平台组件请求度量参数、对端点 B的平台组件请求度量参数、对端点 B的平台组件请求度量参数所标识信息的平台组件度量值中可泄露端点 B的平台配置的信息、对端点 B的平台组件请求度量参数所标识信息的平台配置保护策略，对端点 A的平台组件请求度量参数所标识信息的平台组件评估策略需要利用端点 B和可信中心 TC之间的安全密钥进行加密保护；

步骤 4、可信中心 TC收到步骤 3中的信息后，向端点 B发送端点 A的平台身份证书的验证结果、端点 A的平台组件评估结果、端点 A的平台组件修补信息、端点 B的平台身份证书的验证结果、端点 B的平台组件评估结果、端点 B 的平台组件修补信息和可信中心 TC对以上信息的用户签名；其中端点 A的平台组件修补信息需要利用端点 A和可信中心 TC之间的安全密钥进行加密保护，端点 B的平台组件修补信息需要利用端点 B和可信中心 TC之间的安全密钥进行加密保护；

步骤 5、端点 B收到步骤 4中的信息后，向端点 A发送对端点 B的平台组件请求度量参数所标识信息的平台组件度量值中不会泄露端点 B的平台配置的信息、对端点 B的平台组件请求度量参数所标识信息的平台组件度量值的平台签名、端点 B的平台身份证书和步骤 4中的信息；

步骤 6、端点 A收到步骤 5中的信息后，端点 A向端点 B发送端点 A生成的访问决策。

当端点 A收到步骤 1中的信息后，上述步骤 2的具体实现方式是：步骤 2.1、验证对端点 A的平台组件请求度量参数是否符合端点 A所设置的对端点 A的平台组件请求度量参数所标识信息的平台配置保护策略，若不符合，则丢弃步骤 1中的信息，否则执行步骤 2.2和步骤 2.3;

步骤 2.2、依据对端点 A的平台组件请求度量参数去获取对端点 A的平台组件请求度量参数所标识信息的平台组件度量值；

步骤 2.3、向端点 B发送对端点 A的平台组件请求度量参数所标识信息的平台组件度量值、对端点 A的平台组件请求度量参数所标识信息的平台组件度量值的平台签名、端点 A的平台身份证书、对端点 A的平台组件请求度量参数所标识信息的平台配置保护策略、对端点 B的平台组件请求度量参数和对端点 B的平台组件请求度量参数所标识信息的平台组件评估策略；其中，对端点 A 的平台组件请求度量参数所标识信息的平台组件度量值中可泄露端点 A的平台配置的信息、对端点 A的平台组件请求度量参数所标识信息的平台配置保护策略，对端点 B的平台组件请求度量参数所标识信息的平台组件评估策略需要利用端点 A和可信中心 TC之间的安全密钥进行加密保护。

当端点 B收到步骤 2中的信息后，上述步骤 3的具体实现方式是：步骤 3.1、验证对端点 A的平台组件请求度量参数所标识信息的平台组件度量值中的平台签名，若验证不通过，则丟弃步骤 2.3中的信息，否则执行步骤 3.2;

步骤 3.2、验证对端点 B的平台组件请求度量参数是否符合端点 B所设置的对端点 B的平台组件请求度量参数所标识信息的平台配置保护策略，若不符合，则丟弃步骤 2.3中的信息，否则执行步骤 3.3和步骤 3.4;

步骤 3.3、依据对端点 B的平台组件请求度量参数去获取对端点 B的平台组件请求度量参数所标识信息的平台组件度量值；

步骤 3.4、向可信中心 TC发送端点 A的平台身份证书、对端点 A的平台组件请求度量参数所标识信息的平台组件度量值、对端点 A的平台组件请求度量参数、对端点 A的平台组件请求度量参数所标识信息的平台组件评估策略、对端点 A的平台组件请求度量参数所标识信息的平台配置保护策略、端点 B的平台身份证书、对端点 B的平台组件请求度量参数所标识信息的平台组件度量值、对端点 B的平台组件请求度量参数、对端点 B的平台组件请求度量参数所标识信息的平台组件评估策略和对端点 B的平台组件请求度量参数所标识信息的平台配置保护策略；其中，对端点 A的平台组件请求度量参数、对端点 B 的平台组件请求度量参数、对端点 B的平台组件请求度量参数所标识信息的平台组件度量值中可泄露端点 B的平台配置的信息、对端点 B的平台组件请求度量参数所标识信息的平台配置保护策略，对端点 A的平台组件请求度量参数所标识信息的平台组件评估策略需要利用端点 B和可信中心 TC之间的安全密钥进行加密保护。

当可信中心 TC收到步驟 3中的信息后，上述步骤 4的具体实现方式是：步骤 4.1、验证端点 A的平台身份证书和端点 B的平台身份证书，生成端点 A的平台身份证书的验证结果和端点 B的平台身份证书的验证结果；

步骤 4.2、依据对端点 A的平台组件请求度量参数、对端点 A的平台组件请求度量参数所标识信息的平台组件评估策略和对端点 A的平台组件请求度量参数所标识信息的平台配置保护策略，校验和评估对端点 A的平台组件请求度量参数所标识信息的平台组件度量值，生成端点 A的平台组件评估结果和端点 A的平台组件修补信息；其中，若对端点 A的平台组件请求度量参数所标识信息的平台组件评估策略不符合对端点 A的平台组件请求度量参数所标识信息的平台配置保护策略，则在端点 A的平台组件评估结果中给出相应的错误指示；

步骤 4.3、依据对端点 B的平台组件请求度量参数、对端点 B的平台组件请求度量参数所标识信息的平台组件评估策略和对端点 B的平台组件请求度量参数所标识信息的平台配置保护策略，校验和评估对端点 B的平台组件请求度量参数所标识信息的平台组件度量值，生成端点 B的平台组件评估结果和端点 B的平台组件修补信息；其中，若对端点 B的平台组件请求度量参数所标识信息的平台组件评估策略不符合对端点 B的平台组件请求度量参数所标识信息的平台配置保护策略，则在端点 B的平台组件评估结果中给出相应的错误指步骤 4.4、向端点 B发送端点 A的平台身份证书的验证结果、端点 A的平台组件评估结果、端点 A的平台组件修补信息、端点 B的平台身份证书的验证结果、端点 B的平台组件评估结果、端点 B的平台组件修补信息和可信中心 TC 对以上信息的用户签名；其中，端点 A的平台组件修补信息需要利用端点 A和可信中心 TC之间的安全密钥进行加密保护，端点 B的平台组件修补信息需要利用端点 B和可信中心 TC之间的安全密钥进行加密保护。

当端点 B收到步骤 4中的信息后，上述步骤 5的具体实现方式是：步骤 5.1、验证可信中心 TC的用户签名，若验证不通过，则丟弃步骤 4.4 中的信息；否则，执行步骤 5.2和步骤 5.3 ;

步骤 5.2、若已完成对端点 A的平台鉴别，则依据端点 A的平台身份证书的验证结果和端点 A的平台组件评估结果生成访问决策；否则本轮平台鉴别协议结束后将与端点 A执行另外一轮平台鉴别协议；

步骤 5.3、向端点 A发送对端点 B的平台组件请求度量参数所标识信息的平台组件度量值中不会泄露端点 B的平台配置的信息、对端点 B的平台组件请求度量参数所标识信息的平台组件度量值的平台签名、端点 B的平台身份证书和步骤 4.4中的信息。

当端点 A收到步骤 5中的信息后 , 上述步骤 6的具体实现方式是：步骤 6.1、验证对端点 B的平台组件请求度量参数所标识信息的平台组件度量值中的平台签名，若验证不通过，则丢弃步骤 5.3中的信息，否则执行步骤 6.2;

步骤 6.2、验证步骤 5.3中可信中心 TC的用户签名，若验证不通过，则丟弃步骤 5.3中的信息；否则，执行步骤 6.3 ;

步骤 6.3、若已完成对端点 B的平台鉴别，则依据端点 B的平台身份证书的验证结果和端点 B的平台组件评估结果生成访问决策；否则本轮平台鉴別协议结束后将与端点 B执行另外一轮平台鉴别协议。本发明还提供一种可实现平台配置保护的双向平台鉴别系统，所述可实现平台配置保护的双向平台鉴别系统包括网络中的可信中心 TC、端点 A以及端点 B; 所述端点 A和端点 B都信任可信中心 TC。

所述端点 A包括：用于生成对端点 B的平台组件请求度量参数以及生成对端点 B的平台组件请求度量参数所标识信息的平台组件评估策略的生成单元；用于验证对端点 A的平台组件请求度量参数是否符合端点 A所设置的对端点 A 的平台组件请求度量参数所标识信息的平台配置保护策略、验证对端点 B的平台组件请求度量参数所标识信息的平台组件度量值中的平台签名以及验证可信中心 TC的用户签名的验证单元；用于依据对端点 A的平台组件请求度量参数去获取对端点 A的平台组件请求度量参数所标识信息的平台组件度量值的获取单元以及用于依据端点 B的平台身份证书的验证结果和端点 B的平台组件评估结果生成访问决策的生成单元。

所述端点 B包括：用于向可信中心 TC发送端点 A的平台身份证书、对端点 A的平台组件请求度量参数所标识信息的平台组件度量值、对端点 A的平台组件请求度量参数、对端点 A的平台组件请求度量参数所标识信息的平台组件评估策略、对端点 A的平台组件请求度量参数所标识信息的平台配置保护策略、端点 B的平台身份证书、对端点 B的平台组件请求度量参数所标识信息的平台组件度量值、对端点 B的平台组件请求度量参数、对端点 B的平台组件请求度量参数所标识信息的平台组件评估策略和对端点 B的平台组件请求度量参数所标识信息的平台配置保护策略的发送单元；用于生成对端点 A的平台组件请求度量参数以及生成对端点 A的平台组件请求度量参数所标识信息的平台组件评估策略的生成单元；用于验证对端点 A的平台组件请求度量参数所标识信息的平台组件度量值中的平台签名、验证对端点 B的平台组件请求度量参数是否符合端点 B所设置的对端点 B的平台组件请求度量参数所标识信息的平台配置保护策略以及验证可信中心 TC的用户签名的验证单元；用于依据对端点 B的平台组件请求度量参数去获取对端点 B的平台组件请求度量参数所标识信息的平台组件度量值的获取单元；以及，用于依据端点 A的平台身份证书的验证结果和端点 A的平台组件评估结果生成访问决策的生成单元；

所述可信中心 TC包括：用于处理从端点 B收到的端点 A的平台身份证书、对端点 A的平台组件请求度量参数所标识信息的平台组件度量值、对端点 A的平台组件请求度量参数、对端点 A的平台组件请求度量参数所标识信息的平台组件评估策略、对端点 A的平台组件请求度量参数所标识信息的平台配置保护策略、端点 B的平台身份证书、对端点 B的平台组件请求度量参数所标识信息的平台组件度量值、对端点 B的平台组件请求度量参数、对端点 B的平台组件请求度量参数所标识信息的平台组件评估策略和对端点 B的平台组件请求度量参数所标识信息的平台配置保护策略，其中对端点 A的平台组件请求度量参数、对端点 B的平台组件请求度量参数、对端点 B的平台组件请求度量参数所标识信息的平台组件度量值中可泄露端点 B的平台配置的信息、对端点 B的平台组件请求度量参数所标识信息的平台配置保护策略和对端点 A的平台组件请求度量参数所标识信息的平台组件评估策略需要利用端点 B和可信中心 TC之间的安全密钥进行加密保护的处理单元；用于生成端点 A的平台身份证书的验证结果、端点 A的平台组件评估结果、端点 A的平台组件修补信息、端点 B的平台身份证书的验证结果、端点 B的平台组件评估结果、端点 B的平台组件修补信息以及可信中心 TC对这些信息的用户签名的生成单元；

所述端点 A和端点 B通过平台鉴别协议互相连通；所述端点 B和可信中心 TC通过平台鉴别协议互相连通。

本发明的优点是：

1、有效地保护了端点 A和端点 B的平台配置。本发明在端点 A和端点 B将自身平台的平台组件度量信息加密传输给可信中心 TC, 并将对对方的平台组件评估策略发送给可信中心 TC , 由可信中心 TC来实现端点 A和端点 B的平台组件度量信息的校验和评估，有效地保护了端点 A和端点 B的平台配置。 2、对端点 A和端点 B的平台配置实现了更细粒度的保护。本发明的端点 A 和端点 B设置了自身平台的平台组件保护策略，有效地防止了端点 A和端点 B 通过设置对对方的平台组件度量请求参数和对对方的平台组件评估策略来探询对方的平台配置，从而对端点 A和端点 B的平台配置实现了更细粒度的保护。附图说明

图 1为现有技术中基于 Client/Server的平台鉴别模型结构示意图；图 2为本发明中可实现平台配置保护的双向平台鉴别模型的结构示意图；图 3为本发明中基于 TePA的 TNC架构的双向平台鉴別模型的结构示意图。具体实施方式

参见图 2 , 图 2为本发明中可实现平台配置保护的双向平台鉴别模型的结构示意图。本发明实施例提供了一种可实现平台配置保护的双向平台鉴别方法，具体可以包括以下步骤：

步骤 1、端点 B产生一个 160比特随机数^，然后向端点 A发送^和对端点 A的平台组件请求度量参 ¾ ¾r ,其中 ¾nw 标识端点 A中的哪些平台组件以及哪些完整性信息需要度量。

步骤 2、端点 A收到步骤 1中的信息后，首先判断 ¾r//? 是否符合端点 A对 ¾? /7 所标识信息的平台配置保护略 ProtPoiicies_A , 若不符合 , 则丢弃步骤 1中的信息，否则利用杂凑函数 SHA1计算 SHA1 ( N_B, K_M ), 其中 ^为端点 A 和端点 B之间建立的可双向认证的安全通道，然后执行 ΓΡΜ— Qwofe命令从本地 TPM获取 ¾r 所标识信息的平台配置寄存器（ Platform Configuration Register, PCR )值和 AIK签名值 ί¾^ , 其中 c¾/j^是端点 Α利用对 SHA1 ( N_B, KAB )和 PCR 々AIK签名， ¾^_-y4是端点 A的 AIK私钥，接着再获取¾ 所标识信息的存储度量日志（Stored Measurement Log , SML )值 SML_A, 最后向端点 B发送 SML_A, Cert(AIK_PK-A), σ_ΑΙΚ._Α, ProtPolicies_A, N_A , Parms_B和 EvalPohciesB , 其中 Cert(AIK_≠_A) 端点 A的 AIK证书， N4是端点 Α产生的一个 160比特随机数， ¾^ 是对端点 A的平台组件请求度量参数，它标识端点 B中的哪些平台组件以及哪些完整性信息需要度量， EvalPolicies_B 为端点 A对 ^¾所标识信息的平台组件评估策略， ^C^ Slf^构匪 s_A 所标识信息的平台组件度量值， SV/ 是《^7 所标识信息的平台组件度量值中可泄露端点 A的平台配置的信息， SML_A、 ProtPolicies_A和 EvalPolicies_B 要利用端点 A和可信中心 TC之间的安全密钥进行加密保护。

步骤 3、端点 B收到步骤 2中的信息后，首先计算 SHA1 (N_B, KAB), 并验证 σ_ΑΙΚ—_Α, 若验证不通过，则丟弃步骤 2中的信息，否则判断是否符合端点 B对¾ 1¾所标识信息的平台配置保护策略 ProtPo/ e , 若不符合，则终止，否则利用杂凑函数 SHA1计算 SHA1 (N_A, K^), 然后执行 TPM— Quote 命令从本地 TPM获取《所标识信息的 PCR PC¾和 AIK签名值，其中 c¾/ _B是端点 B利用 /¾ ^对 SHA1 (N_A, KAB ) 和 PCR^々AIK签名， AIK_SK—_B 是端点 B的 AIK私钥，接着再获取所标识信息的 SML值最后向可信中心 TC发送 Nij-rc, Cert(AIK_pk._A), PCR_A, SML_A, Parms_A, EvalPolicies_A, ProtPoliciesA， NA， CertAIK_pk-B)， PCRB， SML_B， Parms_B， EvalPolicies_B和 ProtPoliciesB , 其中 SML_A、 PmtPohcies_A和 Eva!Po!icies_B是歩骤 2中的对应值， N rc是端点 B产生的一个随机数， EvalPolicies_A 端点 8对^¾ 所标识信息的平台组件评估策略， Cert(AIK_PK-B) 端点 B的一个 AIK证书， PCR_B和 SML_B构成¾ 所标识信息的平台组件度量值， SML_B Parms_B所标 i、信息的平台组件度量值中可泄露端点 B的平台配置的信息， Parms_A、 Parms_B、 SML_B、 Prai^/c^^o ra/^/zci^需要利用端点 B和可信中心 TC之间的安全密钥进行力 p密保护。

步骤 4、可信中心 TC收到步骤 3中的信息后，首先验证 Cert(AIK_≠—A)和 Cert(^K^ 的有效性，并生成相应的 AIK证书验证结果 R 和 R , 然后分别利用 (^¾和^ ¾来验证 ^ /^和&^!^的正确性 ,即分析处理&1^ ^和 SMi^并重新计算 ρ ^σΡΟ¾，若重新计算的 P R ^PC 分别与步骤 3中的 /^ 和 PC 互相匹配，则所接收到的^ ^和 5¾&_β是有效和未被篡改的，否则是无效，接着分另 ll才艮据 ParmsA、 EvalPoliciesA、 ProtPoliciesA和 Parms_B、 5 EvalPolicies_B, ProtPohcies_B^m验、 i ^SML SML_B, 并分别生成端点 A的组件级评估结果 Re 、端点 A的组件级修补信息 Re 和端点 B的组件级评估结果 Re 、端点 B的组件级修补信息 Rew ，最后向端点 B发送 R ， Re ， Rems_A, Re_B, Res_B, Rems_B和 Ore, 其中 c_rc是可信中心 TC利用可信中心 TC的用户私钥 sbrc对 NB-TC, Cert(AIK_pk—A), PCRA, Pm 'A, EvalPoliciesA,

l o ResA， RemsA， NA， CertAIK_pk-B) , Re_B, PCRB， Parms_B， EvalPolicies_B， ProtPolicies_B， ¾ 和 //7 的用户签名， R£m¾需要利用端点 A和可信中心 TC之间的安全密钥进行加密保护， w 需要利用端点 B和可信中心 TC之间的安全密钥进行加密保护, EvalPoliciesA ^ ProtPoliciesA » EvalPolicies_B和 ProtPolicies_B ^ 3 的对应值， Pa丽 Parms_B分 M是步骤 1和步骤 2中的对应值。若 EvalPolicies_A

15 不符合 ProtPoliciesA, ^EvalPoliciesB不符合 ProtPoliciesB, 贝分另¹ J在?e ^Re 中给出相应的错误提示。

步骤 5、端点 B收到步骤 4中的信息后，首先验证 ij_rc，若验证不通过，则丢弃步骤 4中的信息，否则若已完成对端点 Α的平台鉴别，则根据 R 和 Re 做出访问决策（即允许、禁止或隔离），否则本轮平台鉴别协议结束后将与端

20 点 A执行另一轮平台鉴别协议，然后向端点 A发送 N^_rc， EvalPolicies_A, Cert(AIK_pk._B), PCR_B, ProtPolicies_B, / -?和步骤 4中的信息，其中 PC¾是对端点 B的平台组件请求度量参数所标识信息的平台组件度量值中不会泄露端点 B的平台配置的信息， EvalPoliciesA和 ProtPolicies_B 3中的对应值。

步骤 6、端点 A收到步骤 5中的信息后，首先计算 SHA1 N_A, K_M), 并验

25 证 (7 , 若验证不通过，则丟弃步骤 5中的信息，否则验证 σττ, 若验证不通过，则丟弃步驟 5中的信息，否则若已完成对端点 Β的平台鉴别，则根据 R 和 Re 做出访问决策（即允许、禁止或隔离），否则本轮平台鉴别协议结束后将与端点 B执行另一轮平台鉴别协议。

上述步骤 5中端点 B发送的信息可包含步骤 5中端点 B做出的访问决策。上述步骤 6完成后，端点 A可向端点 B发送步骤 6中端点 A做出的访问决策。在上述可实现平台配置保护的双向平台鉴别方法中，端点 A和端点 B之间的平台鉴别协议消息是利用 ^进行安全传输的。

在上述可实现平台配置保护的双向平台鉴别方法中，若 Re ^指示端点 A 需要进行平台修补，则端点 A完成平台修补后将与端点 B执行另外一轮平台鉴别协议；若指示端点 B需要进行平台修补，则端点 B完成平台修补后将与端点 A执行另外一轮平台鉴别协议。

在上述可实现平台配置保护的双向平台鉴别方法中，若 6 指示端点 A的平台组件评估策略与端点 A的平台配置保护策略相沖突，则端点 B修正相应的平台组件评估策略后将与端点 A执行另外一轮平台鉴别协议；若 ^¾ 指示端点 B的平台组件评估策略与端点 B的平台配置保护策略相冲突，则端点 A修正相应的平台组件评估策略后将与端点 B执行另外一轮平台鉴别协议。

由于 TCG所提出的可信网络连接 ( Trusted Network Connect, TNC )架构存在问题，所以一种基于三元对等鉴别（ Tri-element Peer Authentication, TePA ) 的 TNC架构被提出，参见图 3 , 图 3为本发明中基于 TePA的 TNC架构的双向平台鉴别模型的结构示意图，其中 TNC客户端上端的完整性收集者、 TNC接入点上端的完整性收集者和评估策略服务者上端的完整性校验者都可以是多个。在图 3中，从左至右三列分别为访问请求者、访问控制器和策略管理器，从上至下三行分别为完整性度量层、可信平台评估层和网络访问控制层。在访问请求者中，从上至下的组件分别为完整性收集者、 TNC客户端和网络访问请求者。在访问控制器中，从上至下的组件分别为完整性收集者、 TNC接入点和网絡访问控制者。在策略管理器中，从上至下的组件分别为完整性校验者、评估策略服务者和鉴别策略服务者。组件之间存在相应的接口：完整性度量接口（ Integrity Measurement Interface, IF- IM ) 是完整性收集者和完整性校验者之间的接口； TNC客户端 - TNC接入点接口（ TNC Client-TNC Access Point Interface, IF-TNCCAP )是 TNC客户端和 TNC接入点之间的接口; 评估策略服务接口 (Evaluation Policy Service Interface, IF- EPS )是 TNC 接入点和评估策略服务者之间的接口；可信网络传输接口 (Trusted Network Transport Interface, IF- TNT)是网络访问请求者和网络访问控制者之间的接口，鉴另¹ J策略月艮务接口 ( Authentication Policy Service Interface, IF-APS )是网络访问控制者和鉴别策略服务者之间的接口，完整性度量收集者接口 ( Integrity Measurement Collector Interface, IF- IMC) 是完整性收集者和 TNC客户端之间，以及完整性收集者和 TNC接入点之间的接口，完整性度量校验接口 ( Integrity Measurement Verifier Interface, IF-IMV ) 是完整性校验者和评估策略服务者之间的接口。

若本发明应用于图 3所示的基于 TePA的 TNC架构，则上述可实现平台配置保护的双向平台鉴别方法的实施步骤可以如下：

步骤 1、 TNC接入点产生一个 160比特随机数 N4C, 然后向 TNC客户端发送

N4C和对访问请求者的平台

, 其中 Pa ^标识访问请求者中的哪些平台组件以及哪些完整性信息需要度量。

步骤 2、 TNC客户端收到步骤 1中的信息后，执行如下步骤：

步骤 201、判断 Parms 是否符合访问请求者 ¾r ^所标识信息的平台配置保护策略 Pra o/ce^, 若不符合，则丢弃步骤 1中的信息，否则执行步骤 202〜步骤 205;

步骤 202、利用杂凑函数 SHA1计算 SHA1 (N_AC, KAB ), 其中 ^是网络访问控制层为访问请求者和访问控制器之间建立的可双向认证的安全通道，然后将 SHA1 (N_AC, KAB ) 和 Par ^发送给 TNC客户端上端的完整性收集者；步骤 203、 TNC客户端上端的完整性收集者依据 SHA1 N_AC, K_M ) 和执行 ρ¾ο¾命令从本地 TPM获取 ^ ^j?所标识信息的 PCR值 0½和入1 签名值(7«, 其中(7«是本地 TPM利用对 SHA1 (N_AC, ^ ) 和 PCR^^AIK签名，是访问请求者的 AIK私钥，然后将

Cert(AIK_≠-AR)和 σ_Μ发送给 TNC客户端，其中 Cer^/^^^ 是访问请求者的 AIK证书；

步骤 204、 TNC客户端上端的完整性收集者依据 Panw^获取^r ^?所标识信息的平台组件度量值，它们是利用 IF-IM接口封装的，可包括步骤 203中发送的 PC¾^^a ¾r ^所标识信息的 SML值？， Slfi^是¾r ¾?所标识信息的平台组件度量值中可泄露访问请求者的平台配置的信息，然后向 TNC 客户端发送 IF-IM封装的 ^r ^所标识信息的平台组件度量值；

步骤 205、 TNC客户端向 TNC接入点发送步骤 203中发送的信息，步骤 204 中发送的信息， ProtPoliciesAR, NAR, Parms_AC和 EvaWolicies_AC, 其中 N4?是 TNC 客户端产生的一个 160比特随机数， ¾/m¾_c是对访问控制器的平台组件请求度量参数，它标识访问控制器中的哪些平台组件以及哪些完整性信息需要度量， EvaWolicies_AC为访问请求者对¾^77 ^斤标识信息的平台组件评估策略，步骤 204中发送的信息、 ProtPoliciesAR和 EvalPolicies_AC ;要矛用访问请求者和策略管理器之间的安全密钥进行加密保护。

步骤 3、 TNC接入点收到步骤 205中的信息后，执行如下步骤：

步骤 301、 TNC接入点计算 SHA1 (N_AC, K_M), 并验证若验证不通过，则丟弃步骤 205中的信息，否则判断 ¾m¾_c是否符合访问控制器对 ¾r _c所标识信息的平台配置保护策略 Prai¾/zce _c，若不符合，则丟弃步骤 205的信息，否则执行步骤 302 ~步骤 305；

步骤 302、利用杂凑函数 SHA1计算 SHA1 (NAR, KAB ), 然后将 SHAl (NAR, K_M ) ¾r _c发送给 TNC接入点上端的完整性收集者；

步骤 303、 TNC接入点上端的完整性收集者依据 SHAl ( NAR, KM ) 和执行 TPM— G¾ote命令从本地 TPM获取标识信息的 PCR值 PCR^^AIK签名 σϋ值，其中 σϋ是本地 ΤΡΜ利用 ^¾^c对 SHAl NAR, K_M ) 和的 AIK签名， AIK_sk—_AC i方问控制器的 AIK私钥，然后将

Cert(H_{p C}^(¾^c发送给 TNC接入点，其中 C_ertAIK_pk—_Ad访问控制器的 AIK证书；

步骤 304、 TNC接入点上端的完整性收集者依据 Pa _c获取¾r _c所标识信息的平台组件度量值，它们是利用 IF-IM接口封装的，可包括步骤 303中发送的尸 C ^ ¾ _c所标识信息的 SML值 SVf/^c, SMT^c是¾r _c所标识信息的平台组件度量值中可泄露访问控制器的平台配置的信息，然后向 TNC 接入点发送 IF-IM封装的所标识信息的平台组件度量值；

步骤 305、 TNC接入点向评估策略服务者发送 Nn, CertiAIKpk.AR), 步骤 204 )中发送的信息， ParmsAR， EvalPoliciesAR， ProtPoliciesAR， NAR， CertAIK_pk-Ac)，步骤 304中发送的信息， Pa丽 _AC, EvalPolicies_AC和 ProtPolicies_AC,其中步骤 204 中发送的信息、 ProtPoliciesAR和 EvaWolicies_AC 骤 205中对应的加密值， N4 PM是 TNC接入点产生的一个随机数， EvalPoliciesAR是访问控制器对 ¾rm ^所标识信息的平台组件评估策略， Cert(AJK_≠—_AC)是访问控制器的一个 AIK证书， ParmsAR、 Parms_AC、步骤 304中发送的信息、 ProtPolicies_AC和 EvalPoliciesAj^要利用访问控制器和策略管理器之间的安全密钥进行加密保护。

步骤 4、评估策略服务者收到步骤 305中的信息后，执行如下步骤：步骤 401、验证 Cert(AK^^和 Ceri(^Kpn)的有效性，并生成相应的 AIK 证书验证结果 Re^?和 R _c;

步骤 402、验证 EvalPoliciesAR是否符合 ProtPoliciesAR , 对于符合 ProtPoliciesAR的那部分平台组件，则将步骤 305中的步骤 204中发送的信息、符合的那部分平台组件的 ¾ ¾^^Era/¾/ce¾?发送给评估策略服务者上端的完整性校验者，评估策略服务者上端的完整性校验者依据所接收到的 ¾r ¾?和 ra/ o/ce^校验及评估步骤 305中的步骤 204中发送的信息，并生成访问请求者的平台组件评估结果 Re ^和访问请求者的平台组件修补信息 R ¾«, 然后发送给评估策略服务者；对于不符合的那部分平台组件，则直接生成访问请求者的平台组件评估结果 Re¾?, 并在中给出相应的不符合指示，而访问请求者的平台组件修补信息 Rern^直接置空。同理， iEvalPolicies_AC 否将合 ProtPolicws_AC, 对于符合 ProiPo/ e _c 的那部分平台组件，则将步骤 305中的步骤 304中发送的信息、符合 ProtPolwiesAc的那部分平台组件的 ¾r c和 ra/Po/zcze^c发送给评估策略服务者上端的完整性校验者，评估策略服务者上端的完整性校验者依据所接收到的 Pa丽 _A(^EvalPoli.cies_AC a估步骤 305中的步骤 304中发送的信息，并生成访问控制器的平台组件评估结果 We _c和访问控制器的平台组件修补信息 Rew _c，然后发送给评估策略服务者；对于不符合 ProPo/ce^c的那部分平台组件，则直接生成访问控制器的平台组件评估结果 Re _c, 并在 Re _c 中给出相应的不符合指示，而访问控制器的平台组件修补信息 We _c直接置步骤 403、评估策略服务者上端的完整性校检者向评估策略服务者发送 PC M和 PCR_AC

步驟 404、评策略服务者向 TNC接入点发送 R^, Re Ac, σ_ΡΜ—_ΑΙΚ, Res^, RemsAR, Res Ac, Rems_AC和 σ_ΡΜ-_Ρα{, 其中 σ/¾ ^ 是策略管理器利用它的用户私 sk_PM N_AC-_PM, CertiAIKpk.AR), Re^, N , Cer(H_pn)和 Re. 的用户签名， σ_ΡΜ— p_C是策略管理器利用它的用户私钥 _PM对 Nn_A/, PCRAR, ParmsAR, EvalPoliciesAR , ProtPoliciesAR， Res^， RemsAR， NAR， PCRAC， P rms_AC， EvalPolicies_AC, ProtPolicies_AC, Re _c ?ew c的用户签名， Rew<¾?需要利用访问请求者和策略管理器之间的安全密钥进行加密保护， W£m¾_c需要利用访问控制器和策略管理器之间的安全密钥进行加密保护， EvalPol esAR、 ProtPolicies_M、 EvalPolicies_AC ProtPolicies_Ad 3Q5中的对应值， Parms_M ¾TO _c分别是步骤 1和步骤 205中的对应值。

步骤 5、 TNC接入点收到步骤 404中的信息后，首先验证 O_PM-PCR , 若验证不通过，则丢弃步骤 404中的信息，否则若已完成对访问请求者的平台鉴别，则根据和 R_E¾I?做出访问决策（即允许、禁止或隔离），否则本轮平台鉴别协议结束后将与 TNC客户端执行另一轮平台鉴别协议，然后向端点 A 发送 N C-PM， EvalPoliciesAR , Cert(AIK_PK._AC) , PCRAC , ProtPolicies_AC , AIK-B ' 步骤 4中的信息和 c o/¾_c , 其中 ^0? 是¾^^^所标识信息的平台组件度量值中不会泄露访问控制器的平台配置的信息， EvalPoliciesAR和 ProtPolicies_AC 是步骤 305中的对应值， ^0«^是丁 (接入点所做出的访问决策，它仅当 TNC 接入点已完成对访问请求者的平台鉴别时存在。此外，若 ^^^为非空，则 TNC接入点需要向它上端的完整性收集者通告¾ _c。

步骤 6、 TNC客户端收到步骤 5中的信息后，首先计算 SHA1 ( NAR , K ), 并验证若验证不通过，则丢弃步骤 5中的信息，否则验证<¾^/^和 σρΜ—PCR , 若险证不通过，则丟弃步骤 5中的信息，否则若已完成对访问控制器的平台鉴别，则根据¾4_C和 Re _c做出访问决策（即允许、禁止或隔离），并向 TNC接入点发迭 N_AC和 ActioriAR , 其中 ci o^^是 TNC客户端所做出的访问决策，它仅当 TNC客户端已完成对访问控制器的平台鉴别时存在，否则本轮平台鉴别协议结束后将与 TNC接入点执行另一轮平台鉴别协议。此外，若 RemsAR 为非空，则 TNC客户端需要向它上端的完整性收集者通告 Re ^; 若步骤 5中的信息中包含 Actwn_AC , 则 TNC客户端需要向它上端的完整性收集者通告 Actio iAc：。

步骤 7、 TNC接入点收到步骤 6中的信息后，向它上端的完整性收集者通告 ActioriAR。

在上述可实现平台配置保护的双向平台鉴别方法中， TNC客户端和 TNC接入点之间的平台鉴别协议消息是利用^ 进行安全传输的。

在上述可实现平台配置保护的双向平台鉴别方法中，若 R ¾ ?指示 TNC客户端上端的完整性收集者需要进行平台修补，则 TNC客户端上端的完整性收集者完成平台修补后将通知 TNC客户端与 TNC接入点执行另外一轮平台鉴别协议；若 R£m¾_c指示 TNC接入点上端的完整性收集者需要进行平台修补，则 TNC接入点上端的完整性收集者完成平台修补后将通知 TNC接入点与 TNC客户端执行另外一轮平台鉴别协议。

在上述可实现平台配置保护的双向平台鉴别方法中，若 Re¾ ?指示访问请求者的平台组件评估策略与访问请求者的平台配置保护策略相冲突，则 TNC 接入点修正相应的平台组件评估策略后将与 TNC客户端执行另外一轮平台鉴别协议；若 Re _c指示访问控制器的平台组件评估策略与访问控制器的平台配置保护策略相冲突，则 TNC客户端修正相应的平台组件评估策略后将与 TNC 接入点执行另外一轮平台鉴别协议。

不管是以何种方式来实现本发明所述的这种双向平台鉴别方法，在上述两种实施方法中，若平台鉴别协议不是首轮平台鉴别协议，则平台鉴别协议中不包含 AIK证书验证的相关信息。在上述两种实施方法中，通过选用一个方向的平台鉴别协议参数就能实现可实现平台配置保护的单向平台鉴别。

本发明在提供可实现平台配置保护的双向平台鉴别方法的同时，还提供了一种可实现平台配置保护的双向平台鉴别系统，该系统包括网络中的可信中心 TC、端点 A以及端点 B ; 所述端点 A和端点 B都信任可信中心 TC;

所述端点 A包括：用于生成对端点 B的平台组件请求度量参数以及生成对端点 B的平台组件请求度量参数所标识信息的平台组件评估策略的生成单元；用于验证对端点 A的平台组件请求度量参数是否符合端点 A所设置的对端点 A 的平台组件请求度量参数所标识信息的平台配置保护策略、验证对端点 B的平台组件请求度量参数所标识信息的平台组件度量值中的平台签名以及验证可信中心 TC的用户签名的验证单元；用于依据对端点 A的平台组件请求度量参数去获取对端点 A的平台组件请求度量参数所标识信息的平台组件度量值的获取单元以及用于依据端点 B的平台身份证书的验证结果和端点 B的平台组件评估结果生成访问决策的生成单元；

所述端点 B包括：用于向可信中心 TC发送端点 A的平台身份证书、对端点 A的平台组件请求度量参数所标识信息的平台组件度量值、对端点 A的平台组件请求度量参数、对端点 A的平台组件请求度量参数所标识信息的平台组件评估策略、对端点 A的平台组件请求度量参数所标识信息的平台配置保护策略、端点 B的平台身份证书、对端点 B的平台组件请求度量参数所标识信息的平台组件度量值、对端点 B的平台组件请求度量参数、对端点 B的平台组件请求度量参数所标识信息的平台组件评估策略和对端点 B的平台组件请求度量参数所标识信息的平台配置保护策略的发送单元；用于生成对端点 A的平台组件请求度量参数以及生成对端点 A的平台组件请求度量参数所标识信息的平台组件评估策略的生成单元；用于验证对端点 A的平台组件请求度量参数所标识信息的平台组件度量值中的平台签名、验证对端点 B的平台组件请求度量参数是否符合端点 B所设置的对端点 B的平台组件请求度量参数所标识信息的平台配置保护策略以及验证可信中心 TC的用户签名的验证单元；用于依据对端点 B的平台组件请求度量参数去获取对端点 B的平台组件请求度量参数所标识信息的平台组件度量值的获取单元，以及用于依据端点 A的平台身份证书的险证结果和端点 A的平台组件评估结果生成访问决策的生成单元；所述可信中心 TC包括：用于处理从端点 B收到的端点 A的平台身份证书、对端点 A的平台组件请求度量参数所标识信息的平台组件度量值、对端点 A的平台组件请求度量参数、对端点 A的平台组件请求度量参数所标识信息的平台组件评估策略、对端点 A的平台组件请求度量参数所标识信息的平台配置保护策略、端点 B的平台身份证书、对端点 B的平台组件请求度量参数所标识信息的平台组件度量值、对端点 B的平台组件请求度量参数、对端点 B的平台组件请求度量参数所标识信息的平台组件评估策略和对端点 B的平台组件请求度量参数所标识信息的平台配置保护策略，其中对端点 A的平台组件请求度量参数、对端点 B的平台组件请求度量参数、对端点 B的平台组件请求度量参数所标识信息的平台组件度量值中可泄露端点 B的平台配置的信息、对端点 B的平台组件请求度量参数所标识信息的平台配置保护策略和对端点 A的平台组件请求度量参数所标识信息的平台组件评估策略需要利用端点 B和可信中心 TC之间的安全密钥进行加密保护的处理单元；用于生成端点 A的平台身份证书的验证结果、端点 A的平台组件评估结果、端点 A的平台组件修补信息、端点 B的平台身份证书的验证结果、端点 B的平台组件评估结果、端点 B的平台组件修补信息以及可信中心 TC对这些信息的用户签名的生成单元；

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

权利要求

1、一种可实现平台配置保护的双向平台鉴别方法，其特征在于：所述方法包括以下步骤：

步驟 1、端点 B向端点 A发送对端点 A的平台组件请求度量参数；步骤 2、端点 A收到步骤 1中的信息后，向端点 B发送对端点 A的平台组件请求度量参数所标识信息的平台组件度量值、对端点 A的平台组件请求度量参数所标识信息的平台组件度量值的平台签名、端点 A的平台身份证书、对端点 A的平台组件请求度量参数所标识信息的平台配置保护策略、对端点 B的平台组件请求度量参数和对端点 B的平台组件请求度量参数所标识信息的平台组件评估策略；其中，对端点 A的平台组件请求度量参数所标识信息的平台组件度量值中可泄露端点 A的平台配置的信息、对端点 A的平台组件请求度量参数所标识信息的平台配置保护策略，对端点 B的平台组件请求度量参数所标识信息的平台组件评估策略需要利用端点 A和可信中心 TC之间的安全密钥进行加密保护；

步驟 5、端点 B收到步骤 4中的信息后，向端点 A发送对端点 B的平台组件请求度量参数所标识信息的平台组件度量值中不会泄露端点 B的平台配置的信息、对端点 B的平台组件请求度量参数所标识信息的平台组件度量值的平台签名、端点 B的平台身份证书和步骤 4中的信息；

步骤 6端点 A收到步骤 5中的信息后，端点 A向端点 B发送端点 A生成的访问决策。

2、根据权利要求 1所述的可实现平台配置保护的双向平台鉴别方法，其特征在于：当端点 A收到步骤 1中的信息后，所述步骤 2包括：

步骤 2.1、验证对端点 A的平台组件请求度量参数是否符合端点 A所设置的对端点 A的平台组件请求度量参数所标识信息的平台配置保护策略，若不符合，则丟弃步骤 1中的信息，否则执行步骤 2.2和步骤 2.3;

3、根据权利要求 2所述的可实现平台配置保护的双向平台鉴别方法，其特征在于：当端点 B收到步骤 2中的信息后，所述步骤 3包括：

步骤 3.1、验证对端点 A的平台组件请求度量参数所标识信息的平台组件度量值中的平台签名，若验证不通过，则丢弃步骤 2.3中的信息，否则执行步骤 3.2;

4、根据权利要求 3所述的可实现平台配置保护的双向平台鉴别方法，其特征在于：当可信中心 TC收到步骤 3中的信息后，所述步骤 4包括：

步骤 4.1、验证端点 A的平台身份证书和端点 B的平台身份证书，生成端点 A的平台身份证书的验证结果和端点 B的平台身份证书的验证结果；

步骤 4.3、依据对端点 B的平台组件请求度量参数、对端点 B的平台组件请求度量参数所标识信息的平台组件评估策略和对端点 B的平台组件请求度量参数所标识信息的平台配置保护策略，校验和评估对端点 B的平台组件请求度量参数所标识信息的平台组件度量值，生成端点 B的平台组件评估结果和端点 B的平台组件修补信息；其中，若对端点 B的平台组件请求度量参数所标识信息的平台组件评估策略不符合对端点 B的平台组件请求度量参数所标识信息的平台配置保护策略，则在端点 B的平台组件评估结果中给出相应的错误指示；

步骤 4.4、向端点 B发送端点 A的平台身份证书的验证结果、端点 A的平台组件评估结果、端点 A的平台组件修补信息、端点 B的平台身份证书的验证结果、端点 B的平台组件评估结果、端点 B的平台组件修补信息和可信中心 TC 对以上信息的用户签名；其中，端点 A的平台组件修补信息需要利用端点 A和可信中心 TC之间的安全密钥进行加密保护，端点 B的平台组件修补信息需要利用端点 B和可信中心 TC之间的安全密钥进行加密保护。

5、根据权利要求 4所述的可实现平台配置保护的双向平台鉴别方法，其特征在于：当端点 B收到步骤 4中的信息后，所述步骤 5包括：

步骤 5.1、验证可信中心 TC的用户签名，若验证不通过，则丢弃步骤 4.4 中的信息；否则，执行步骤 5.2和步骤 5.3 ;

步驟 5.3、向端点 A发送对端点 B的平台组件请求度量参数所标识信息的平台组件度量值中不会泄露端点 B的平台配置的信息、对端点 B的平台组件请求度量参数所标识信息的平台组件度量值的平台签名、端点 B的平台身份证书和步骤 4.4中的信息。

6、根据权利要求 5所述的可实现平台配置保护的双向平台鉴别方法，其特征在于：当端点 A收到步骤 5中的信息后，所述步骤 6包括：

步骤 6.1、验证对端点 B的平台组件请求度量参数所标识信息的平台组件度量值中的平台签名，若验证不通过，则丟弃步骤 5.3中的信息，否则执行步骤 6.2;

步骤 6.2、验证步骤 5.3中可信中心 TC的用户签名，若验证不通过，则丢弃步骤 5.3中的信息；否则，执行步骤 6.3 ;

步骤 6.3、若已完成对端点 B的平台鉴别，则依据端点 B的平台身份证书的验证结果和端点 B的平台组件评估结果生成访问决策；否则本轮平台鉴别协议结束后将与端点 B执行另外一轮平台鉴别协议。

7、一种可实现平台配置保护的双向平台鉴别系统，其特征在于：所述可实现平台配置保护的双向平台鉴别系统包括网络中的可信中心 TC、端点 A以及端点 B; 所述端点 A和端点 B都信任可信中心 TC;

所述端点 A包括：用于生成对端点 B的平台组件请求度量参数以及生成对端点 B的平台组件请求度量参数所标识信息的平台组件评估策略的生成单元；用于验证对端点 A的平台组件请求度量参数是否符合端点 A所设置的对端点 A 的平台组件请求度量参数所标识信息的平台配置保护策略、验证对端点 B的平台组件请求度量参数所标识信息的平台组件度量值中的平台签名以及验证可信中心 TC的用户签名的验证单元；用于依据对端点 A的平台组件请求度量参数去获取对端点 A的平台组件请求度量参数所标识信息的平台组件度量值的获取单元；以及，用于依据端点 B的平台身份证书的验证结果和端点 B的平台组件评估结果生成访问决策的生成单元；

所述端点 B包括：用于向可信中心 TC发送端点 A的平台身份证书、对端点 A的平台组件请求度量参数所标识信息的平台组件度量值、对端点 A的平台组件请求度量参数、对端点 A的平台组件请求度量参数所标识信息的平台组件评估策略、对端点 A的平台组件请求度量参数所标识信息的平台配置保护策略、端点 B的平台身份证书、对端点 B的平台组件请求度量参数所标识信息的平台组件度量值、对端点 B的平台组件请求度量参数、对端点 B的平台组件请求度量参数所标识信息的平台组件评估策略和对端点 B的平台组件请求度量参数所标识信息的平台配置保护策略的发送单元；用于生成对端点 A的平台组件请求度量参数以及生成对端点 A的平台组件请求度量参数所标识信息的平台组件评估策略的生成单元；用于验证对端点 A的平台组件请求度量参数所标识信息的平台组件度量值中的平台签名、验证对端点 B的平台组件请求度量参数是否符合端点 B所设置的对端点 B的平台组件请求度量参数所标识信息的平台配置保护策略以及验证可信中心 TC的用户签名的险证单元；用于依据对端点 B的平台组件请求度量参数去获取对端点 B的平台组件请求度量参数所标识信息的平台组件度量值的获取单元；以及，用于依据端点 A的平台身份证书的险证结果和端点 A的平台组件评估结果生成访问决策的生成单元；