專利名稱:一種基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接握手方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接握手方法。
背景技術(shù):
隨著信息化的發(fā)展,病毒、蠕蟲(chóng)等惡意軟件的問(wèn)題異常突出。目前已經(jīng)出 現(xiàn)了超過(guò)三萬(wàn)五千種的惡意軟件,每年都有超過(guò)四千萬(wàn)的計(jì)算機(jī)被感染。要遏 制住這類攻擊,不僅需要解決安全的傳輸和數(shù)據(jù)輸入時(shí)的檢查,還要從源頭即 從每一臺(tái)連接到網(wǎng)絡(luò)的終端開(kāi)始防御。而傳統(tǒng)的安全防御技術(shù)已經(jīng)無(wú)法防御種
類繁多的惡意攻擊。
國(guó)際可信計(jì)算組織TCG針對(duì)這個(gè)問(wèn)題,專門制定了一個(gè)基于可信計(jì)算技 術(shù)的網(wǎng)絡(luò)連接規(guī)范——可信網(wǎng)絡(luò)連接(Trusted Network Connect, TNC),簡(jiǎn)記 為TCG-TNC,其包括了開(kāi)放的終端完整性架構(gòu)和一套確保安全互操作的標(biāo)準(zhǔn)。 這套標(biāo)準(zhǔn)可以在用戶需要時(shí)保護(hù)一個(gè)網(wǎng)絡(luò),且由用戶自定義保護(hù)到什么程度。 TCG-TNC本質(zhì)上就是要從終端的完整性開(kāi)始建立連接。首先,要?jiǎng)?chuàng)建一套在 可信網(wǎng)絡(luò)內(nèi)部系統(tǒng)運(yùn)行狀況的策略。只有遵守網(wǎng)絡(luò)設(shè)定策略的終端才能訪問(wèn)網(wǎng) 絡(luò),網(wǎng)絡(luò)將隔離和定位那些不遵守策略的設(shè)備。由于使用了可信平臺(tái)模塊,所 以還可以阻擋root kits的攻擊。root kits是一種攻擊腳本、經(jīng)修改的系統(tǒng)程序, 或者成套攻擊腳本和工具,用于在一個(gè)目標(biāo)系統(tǒng)中非法獲取系統(tǒng)的最高控制權(quán) 限。
由于TCG-TNC架構(gòu)中訪問(wèn)請(qǐng)求者不評(píng)估策略執(zhí)行點(diǎn)的完整性,從而 TCG-TNC架構(gòu)存在策略執(zhí)行點(diǎn)不可信的問(wèn)題,所以研究者們提出了一種基于 三元對(duì)等鑒別(Tri-dement Peer Authentication, TePA)的可信網(wǎng)絡(luò)連接架構(gòu)來(lái) 解決這一問(wèn)題,如圖1所示。在圖1所示的基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接 架構(gòu)中,訪問(wèn)請(qǐng)求者、訪問(wèn)控制器和策略管理器先執(zhí)行基于三元對(duì)等鑒別的用 戶身份鑒別過(guò)程,然后再執(zhí)行基于三元對(duì)等鑒別的平臺(tái)鑒別過(guò)程,實(shí)現(xiàn)訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的可信網(wǎng)絡(luò)連接。
由于平臺(tái)鑒別過(guò)程與用戶身份鑒別過(guò)程之間存在著密切的關(guān)聯(lián)性,而且平 臺(tái)鑒別過(guò)程中一些數(shù)據(jù)是基于用戶的,所以我們可以將用戶身份鑒別過(guò)程和平 臺(tái)鑒別過(guò)程綁定為一個(gè)可信網(wǎng)絡(luò)連接握手方法,從而簡(jiǎn)化圖1所述的可信網(wǎng)絡(luò) 連接過(guò)程。
發(fā)明內(nèi)容
本發(fā)明為解決背景技術(shù)中存在的上述技術(shù)問(wèn)題,而提供一種基于三元對(duì)等 鑒別的可信網(wǎng)絡(luò)連接握手方法。
本發(fā)明的技術(shù)解決方案是本發(fā)明為一種基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連 接握手方法,其特殊之處在于該方法包括以下步驟
1) 訪問(wèn)控制器向訪問(wèn)請(qǐng)求者發(fā)送消息1,包括訪問(wèn)控制器的鑒別標(biāo)識(shí)NAc, 訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAK.AC,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完 整性度量信息ParmP-AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser-AC,用于協(xié)商密鑰 的ECDH參數(shù)ParmECDH和其他參數(shù)Textl;
2) 訪問(wèn)請(qǐng)求者收到消息l后,向訪問(wèn)控制器發(fā)送消息2;
3) 訪問(wèn)控制器收到消息2后,向策略管理器發(fā)送消息3;4) 策略管理器收到消息3后,向訪問(wèn)控制器發(fā)送消息4;
5) 訪問(wèn)控制器收到消息4后,向訪問(wèn)請(qǐng)求者發(fā)送消息5;
6) 訪問(wèn)請(qǐng)求者收到消息5后,完成可信網(wǎng)絡(luò)連接握手。
上述歩驟2)的具體步驟如下訪問(wèn)請(qǐng)求者收到消息l后,首先根據(jù)訪問(wèn)控 制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息Parmp.M提取相應(yīng)的訪問(wèn)請(qǐng)求者 的平臺(tái)配置寄存器值PCRSAK,訪問(wèn)請(qǐng)求者的平臺(tái)完整性度量日志LogM和使
用訪問(wèn)請(qǐng)求者平臺(tái)身份證書(shū)對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的鑒別標(biāo)識(shí)NAC和訪問(wèn)請(qǐng)求
者的平臺(tái)配置寄存器值PCRs線的簽名[NAc, PCRsAR]sig.ARP,然后向訪問(wèn)控制器 發(fā)送消息2,包括訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRSAR,訪問(wèn)請(qǐng)求者的平臺(tái)
完整性度量日志L0gAR,使用訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertA!K-AR對(duì)應(yīng)私鑰對(duì) 訪問(wèn)控制器的鑒別標(biāo)識(shí)NAC和訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRSAR的簽名[N八c, PCRSAR]Sig-ARP , 訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū) CertAIK.AR,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Parmp.Ac,訪 問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EValIMVs.AC,
訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gx ,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)Certu^AR,用于協(xié)商密
鑰的ECDH參數(shù)ParmECDH,其他參數(shù)Text2和使用訪問(wèn)請(qǐng)求者的用戶身份證書(shū) CertUser.AR對(duì)應(yīng)私鑰對(duì)消息2中除本字段外的其他字段的簽名[NAc,PCRsAR, Logar, [NAC, PCRsAR]Sig_ARp, NAR, Cert息-ar, ParmP-Ac, Eval譜"c, gx , CertUser-AR, ParmECDH,其他參數(shù)Text2]sig-ARLJ。
上述步驟3)的具體步驟如下訪問(wèn)控制器收到消息2后,首先驗(yàn)證使用
訪問(wèn)請(qǐng)求者的用戶身份證書(shū)Certu^m對(duì)應(yīng)私鑰對(duì)消息2中除本字段外的其他 字段的簽名[NAc,PCRsAR, LogAR, [NAC, PCRsAR]Sig.ARP, NAR, CertAIK.AR, ParmP.AC, EvalIMVs.AC, gx, CertUser-AR, ParmECDH,其他參數(shù)Text2]Sig.ARU的有效性,若驗(yàn)證不 通過(guò),則丟棄該消息,否則驗(yàn)證使用訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CerUnc-ar對(duì)應(yīng) 私鑰對(duì)訪問(wèn)控制器的鑒別標(biāo)識(shí)NAc和訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR 的簽名[NAC,PCRs放]sig.arp的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否則根據(jù)
訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Parmp-Ac提取相應(yīng)的訪問(wèn) 控制器的平臺(tái)配置寄存器值PCRsAC,訪問(wèn)控制器的平臺(tái)完整性度量日志LogAC
和使用訪問(wèn)控制器的平臺(tái)身份證書(shū)CertA,k.ac對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)
NAR和訪問(wèn)控制器的平臺(tái)配置寄存器值PCRSAC的簽名[NAR, PCRsAC]Sig.ACP,然 后向策略管理器發(fā)送消息3,包括訪問(wèn)控制器的挑戰(zhàn)NAC-PM,訪問(wèn)請(qǐng)求者的挑 戰(zhàn)NAR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK-AR,訪問(wèn)控制器的平臺(tái)身份證書(shū) CertA1K.AC,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性 度量日志LogAR,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac,訪問(wèn)控制器的平臺(tái) 完整性度量日志LogAc,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息 Parmp.AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略 EvalIMVs.AR,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Parmp.Ac,訪 問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EValIMVs-AC,訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的MAC地址的級(jí)聯(lián)值A(chǔ)DDID,訪問(wèn)請(qǐng)求者的用戶身 份證書(shū)CertUsCT.AR,訪問(wèn)控制器的用戶身份證書(shū)Certuser.Ac和其他參數(shù)Text3。
上述步驟4)的具體步驟如下首先生成訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)
證結(jié)果Reu,AR和訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUseNAC,然后生成 訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA^AK和訪問(wèn)控制器的平臺(tái)身份證書(shū) 的驗(yàn)證結(jié)果ReAIK.AC,若訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)有效,則生成訪問(wèn)請(qǐng)求者 的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果Re,Mw.AK和訪問(wèn)請(qǐng)求者的平臺(tái)完整性的 完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs.AR,若訪問(wèn)控制器的平臺(tái)身份證書(shū)有效,則
生成訪問(wèn)控制器的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果Re!MVs-AC和訪問(wèn)控制器
的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息Rem1MVs—AC,最后向訪問(wèn)控制器發(fā)送 消息4,其中消息4的構(gòu)成形式有兩種,第一種構(gòu)成形式下,消息4包括訪問(wèn) 請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的整性 校驗(yàn)者級(jí)評(píng)估結(jié)果RetMVs.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ) 信息RemIMVs.AR,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA,K-Ac,訪問(wèn)控制器 的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AC,訪問(wèn)控制器的平臺(tái)完整性的 完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs.AC,訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的MAC地址的 級(jí)聯(lián)值A(chǔ)DDID,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser-AR,訪問(wèn)控制器 的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUsCT-AC,使用策略管理器的用戶身份證書(shū) Certu,PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的挑戰(zhàn)NAC-PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū) CertAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA!K.AR,訪問(wèn)請(qǐng)求者的平臺(tái) 配置寄存器值PCRsAR,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息 ParmP.AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略 EvalIMVs.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估結(jié)果Re}
MVs-AR, 訪
問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs-AC,訪問(wèn)請(qǐng)求者的 用戶身份證書(shū)CertUser-AR,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser—AR,訪 問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK-AC,訪問(wèn)控制器的平 臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK-AC,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAC,訪
23問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Parmp.Ac;,訪問(wèn)請(qǐng)求者對(duì)訪 問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EValIMVs.AC,訪問(wèn)控制器的 平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估結(jié)果Re1MVs.AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的 完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs.AR,訪問(wèn)控制器的用戶身份證書(shū)CertUsw.AC, 訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUsw.AC和其他參數(shù)Text6的簽名 [Nac'-pm, Cert風(fēng)-ar, ReAiK-ar, PCRsar, Parmp孩,Eval!MVs-AR, ReiMVs-ar, RemiMVs-ac, Certuser—ar, Reuser—ar, Nar, CertAIK-Ac, Reak-Ac, PCRsac, ParmP-Ac, Eval1Mvs-ac, ReIMVs.AC, RemIMVs.AR, CertuwAc, ReUser.AC,其他參數(shù)Text6]Sig—PMU禾口其他參數(shù) Text4;第二種構(gòu)成形式下,消息4包括訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果 ReA1K.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AR,訪問(wèn)請(qǐng) 求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息Rem!MVs.AR,訪問(wèn)控制器的平臺(tái) 身份證書(shū)的驗(yàn)證結(jié)果ReA1K.AC,訪問(wèn)控制器的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估 結(jié)果ReIMVs-AC,訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息 RemIMVs.AC,訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的MAC地址的級(jí)聯(lián)值A(chǔ)DDID,訪問(wèn)請(qǐng)求 者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUsCT.AR,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié) 果Reu^Ac,使用策略管理器的用戶身份證書(shū)Certu,PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器 的挑戰(zhàn)NAc.PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)身份 證書(shū)的驗(yàn)證結(jié)果ReAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR,訪問(wèn)控制 器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP.AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求 者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EvalIMVs.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完 整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AR,訪問(wèn)控制器的平臺(tái)完整性的完整性校 驗(yàn)者級(jí)修補(bǔ)信息RemIMVs.AC,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUser.AR,訪問(wèn)請(qǐng)求 者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser-AR和其他參數(shù)Text6的簽名[NAc掘,
CertAIK-AR,ReAIK-AR,PCRsAR,Pamip-AR,EvaljMVs-AR,ReIMVs-AR,RemiMVs—AC,
CertUser-AR, ReUser-AR,其他參數(shù)Text6]Sig-PMU,使用策略管理器的用戶身份證書(shū) CertUsCT.PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū) CertAIK.AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果Re皿.Ac,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAC,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息 Pamip.M:,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略 EvalIMVs-AC,訪問(wèn)控制器的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReMVs-Ac,訪問(wèn) 請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs.AR,訪問(wèn)控制器的用 戶身份證書(shū)CertUsCT.AC,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果Re^.Ac和其他 參數(shù)Text7的簽名[NAR, CertAIK.AC, ReAIK.AC, PCRsAC, ParmP.AC, EvalIMVs.AC, ReIMVs-AC, RemIMVs.AR, CertUser-AC, ReUsei.-AC,其他參數(shù)Text7]Sig-pMlj和其他參數(shù) Text4。
上述歩驟5)的具體步驟如下訪問(wèn)控制器收到消息4后,若消息4為第 一種構(gòu)成形式,貝U:首先驗(yàn)證使用策略管理器的用戶身份證書(shū)Certu鄉(xiāng).pm對(duì)應(yīng)私 鑰對(duì)訪問(wèn)控制器的挑戰(zhàn)Nac.pm,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK.AR,訪問(wèn)請(qǐng) 求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK—AR,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值 PCRsAR,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP_AR,訪問(wèn) 控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EValIMVs-AR,訪 問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AR,訪問(wèn)控制器的平 臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs-AC,訪問(wèn)請(qǐng)求者的用戶身份證書(shū) CertUsCT—AR,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser.AR,訪問(wèn)請(qǐng)求者的挑 戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū)CertA1K_AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的 驗(yàn)證結(jié)果ReAIK-AC,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac,訪問(wèn)請(qǐng)求者向訪 問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Parmp.Ac,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平 臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EVal1MVs.AC,訪問(wèn)控制器的平臺(tái)完整性的 完整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs-AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者 級(jí)修補(bǔ)信息RemIMVs.AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser-AC,訪問(wèn)控制器的 用戶身份證書(shū)的驗(yàn)證結(jié)果Reuser.Ac和其他參數(shù)Text6的簽名[NAc-pm, Cert風(fēng)-ar, Re八iK-ar, PCRsar, Parmp.ar, Evalimvs.ar, Reimvs—ar, Rem1MVs—AC, CertUser-AR, Reuser-ar, NAR, Cert嵐-ac, Re嵐-Ac, PCRsAC, ParmP—AC, EvalIMVs-AC, Reimvs-ac, Remimvs-ar, Certu,Ac, ReUse,AC,其他參數(shù)Text6]Sig-PMU的有效性,然后根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果RetMVs.ak生成訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平
臺(tái)級(jí)評(píng)估結(jié)果ReP.AR,根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果Re^k.^和 訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep.ak生成訪問(wèn)請(qǐng)求者的平臺(tái)鑒別 結(jié)果,接著根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)鑒別結(jié)果和訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)
證結(jié)果Reuse卜ar生成訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的接入結(jié)果Reaeeess,接著生成訪
問(wèn)控制器的密鑰數(shù)據(jù)gy并根據(jù)訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gx、訪問(wèn)控制器的密鑰數(shù)
據(jù)gy和用于協(xié)商密鑰的ECDH參數(shù)ParniECDH生成訪問(wèn)請(qǐng)求者和訪問(wèn)控制器之 間會(huì)話密鑰,最后向訪問(wèn)請(qǐng)求者發(fā)送消息5 (第一種構(gòu)成形式),包括訪問(wèn)控制
器的挑戰(zhàn)NAC.PM,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRSAC,使用訪問(wèn)控制器的
平臺(tái)身份證書(shū)CerUnc.Ac對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)N^和訪問(wèn)控制器的平 臺(tái)配置寄存器值PCRsAc的簽名[N線,PCRsAC]Sig-ACP,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者 的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EvalIMVs.AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求 者的接入結(jié)果Re,w消息4',訪問(wèn)控制器的密鑰數(shù)據(jù)gy,其他參數(shù)Text5和使 用訪問(wèn)控制器的用戶身份證書(shū)對(duì)應(yīng)私鑰對(duì)消息5中除本字段外的其他字段的簽 名[Nar, Nac.pm, PCRsac, [Nar, PCRsac]
sig-acp, Eval!MVs-AR, Reaccess,消息4', gy,其 他參數(shù)Text5]Sig.ACU,其中消息4'指消息4中除訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的MAC 地址的級(jí)聯(lián)值A(chǔ)DDID外的其他字段;若消息4為第二種構(gòu)成形式,貝lj:首先 驗(yàn)證使用策略管理器的用戶身份證書(shū)CertUser.PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的挑戰(zhàn) NAC,PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK-AR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的 驗(yàn)證結(jié)果ReA,K.AR,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR,訪問(wèn)控制器向訪 問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP.AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平 臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EvalIMVs.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的 整性校驗(yàn)者級(jí)評(píng)估結(jié)果Re1MVs-AR,訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí) 修補(bǔ)信息RemIMVs-AC,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUser.AR,訪問(wèn)請(qǐng)求者的用 戶身份證書(shū)的驗(yàn)證結(jié)果ReUser—AR和其他參數(shù)Text6的簽名[NAc-PM, CertAIK-AR,
Re八iK匿AR, PCRs八r, Pamip-ar, EvaliMVs-ar, R^imvs-ar, RemiMVs-Ac, Gertuser-ar, Reuser-ar, 其他參數(shù)TeXt6]Slg.PMU的有效性,然后根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AR生成訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果 ReP.AR,根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果Re皿.ar和訪問(wèn)請(qǐng)求者的平 臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep.ak生成訪問(wèn)請(qǐng)求者的平臺(tái)鑒別結(jié)果,接著根據(jù) 訪問(wèn)請(qǐng)求者的平臺(tái)鑒別結(jié)果和訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser.AR 生成訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的接入結(jié)果Reaccess,接著生成訪問(wèn)控制器的密鑰
數(shù)據(jù)gy并根據(jù)訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gx、訪問(wèn)控制器的密鑰數(shù)據(jù)gy和用于協(xié)
商密鑰的ECDH參數(shù)ParmECDH生成訪問(wèn)請(qǐng)求者和訪問(wèn)控制器之間會(huì)話密鑰, 最后向訪問(wèn)請(qǐng)求者發(fā)送消息5 (第二種構(gòu)成形式),包括訪問(wèn)控制器的挑戰(zhàn) NAC.PM,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac,使用訪問(wèn)控制器的平臺(tái)身份 證書(shū)CertA,k.Ac對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)N放和訪問(wèn)控制器的平臺(tái)配置寄 存器值PCRsac的簽名[nar, PCRsAC]Sig.ACP, Reaixess,訪問(wèn)控制器的平臺(tái)身份證書(shū) 的驗(yàn)證結(jié)果ReAIK_AC,訪問(wèn)控制器的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果 ReIMVs.AC,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser-AC,訪問(wèn)請(qǐng)求者的平臺(tái) 完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs-AR,訪問(wèn)控制器的密鑰數(shù)據(jù)gy,使
用策略管理器的用戶身份證書(shū)Certu,PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪
問(wèn)控制器的平臺(tái)身份證書(shū)CertA1K-AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果 ReA1K.AC,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器 請(qǐng)求的平臺(tái)完整性度量信息Parmp.Ac,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性 的完整性校驗(yàn)者級(jí)評(píng)估策略EValIMVs.AC,訪問(wèn)控制器的平臺(tái)完整性的整性校驗(yàn) 者級(jí)評(píng)估結(jié)果RefMVs.AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息 RemIMVs.AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser-AC,訪問(wèn)控制器的用戶身份證 書(shū)的驗(yàn)證結(jié)果ReUser-AC和其他參數(shù)Text7的筌名[Nar, CertAIK-AC, ReAIK-AC, PCRs八c, Parmp-Ac, EvalIMVs-AC, Re隨s-AC, RemiMVs-AR, Certuser-ac, Reuser-AC,其他參 數(shù)Text7]Sig.PMU,其他參數(shù)Text5和使用訪問(wèn)控制器的用戶身份證書(shū)CertUser-AC 對(duì)應(yīng)私鑰對(duì)消息5中除本字段外的其他字段的簽名[NAR, NAC-PM, PCRsAC, [Nar, PCRsAC]sig-ACp, Reaccess, ReAIK-AC, ReIMVs-Ac, Reuser—Ac, Rem,s-AR, gy, [NAR, Cert復(fù)-Ac, Re息-Ac, PCRsAc, Parmp_Ac, EvalIMvs.Ac, Re謂s誦AC, Rem聽(tīng)s-ar,
27Certuser-ac, ReUser.AC,其他參數(shù)Text7]sig.pMu,其他參數(shù)Text5]Sig-ACU。
上述步驟6)的具體步驟如下訪問(wèn)請(qǐng)求者收到消息5后,若消息5為第 一種構(gòu)成形式,貝!j:首先驗(yàn)證使用訪問(wèn)控制器的用戶身份證書(shū)Certu^Ac對(duì)應(yīng)私 鑰對(duì)消息5中除本字段外的其他字段的簽名[nar, nac.pm, PCRsac, [Nar, PCRsAC]Sig.ACP, Eval1MVs.AR, Reaccess,消息4', gy,其他參數(shù)Text5]Sig—ACU的有效性, 若驗(yàn)證不通過(guò),則丟棄該消息,否則驗(yàn)證使用訪問(wèn)控制器的平臺(tái)身份證書(shū) CerU^Ac:對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)nak和訪問(wèn)控制器的平臺(tái)配置寄存器值 PCRSAc的簽名[NAK, PCRSAC]sig.acp的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,
否則驗(yàn)證消息4'中的使用策略管理器的用戶身份證書(shū)CertUser-PM對(duì)應(yīng)私鑰對(duì)訪 問(wèn)控制器的挑戰(zhàn)NAC-PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK—AR,訪問(wèn)請(qǐng)求者的 平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK-AR,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsar, 訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP.AR,訪問(wèn)控制器對(duì) 訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EvalIMVs-AR,訪問(wèn)請(qǐng)求者 的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AR,訪問(wèn)控制器的平臺(tái)完整性 的完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs.AC,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUser-AR,
訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu^ar,訪問(wèn)請(qǐng)求者的挑戰(zhàn)nar,訪問(wèn)
控制器的平臺(tái)身份證書(shū)CertA1K-AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果 ReAIK—Ac,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器 請(qǐng)求的平臺(tái)完整性度量信息Parmp.Ac,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性 的完整性校驗(yàn)者級(jí)評(píng)估策略EValIMVs.AC,訪問(wèn)控制器的平臺(tái)完整性的完整性校 驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信 息Rem1MVs.AR,訪問(wèn)控制器的用戶身份證書(shū)CertUsei..AC,訪問(wèn)控制器的用戶身份 證書(shū)的驗(yàn)證結(jié)果ReUser-AC和其他參數(shù)Text6的簽名[N ac-pm, Certaik.ar, R_eaik-ar, PCRs八r, Panrip-ar, EvalIMVs-AR, ReIMVs-AR, RemIMVs-Ac, Certuser-ar, Reuser-ar, Nar, GertAIK-AC, R_eaik-Ac, PGR_sAC, ParmP-Ac, EvalIMVs-Ac, R"eIMVs.AC, Remimvs-ar, CertUse,AC, ReUse,AC,其他參數(shù)Text6]sig.pMu的有效性,若驗(yàn)證不通過(guò),則丟棄該
消息,否則根據(jù)訪問(wèn)控制器的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果Re!MVs-ac生成訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep-AC,根據(jù)訪問(wèn)控制器的平臺(tái)
身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AC和訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果 ReP.AC;生成訪問(wèn)控制器的平臺(tái)鑒別結(jié)果,接著根據(jù)訪問(wèn)控制器的平臺(tái)鑒別結(jié)果 和訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser.AR生成訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制 器的訪問(wèn)決策,最后訪問(wèn)控制器根據(jù)訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gx、訪問(wèn)控制器的 密鑰數(shù)據(jù)gy和用于協(xié)商密鑰的ECDH參數(shù)PamiECDH生成訪問(wèn)請(qǐng)求者和訪問(wèn)控 制器之間會(huì)話密鑰;若消息5為第二種構(gòu)成形式,貝lj:首先驗(yàn)證使用訪問(wèn)控制 器的用戶身份證書(shū)Certu,Ac對(duì)應(yīng)私鑰對(duì)消息5中除本字段外的其他字段的簽 名[Nar, Nac-pm, PCRsac, [Nar, PCRsAc〗sig-acp, Reaccess, ReAiK-ac, ReIMvs-ac, Reuser-ac, Remimvs-ar, gy, [Nar, CertAiK-ac, R^aik-ac, PCRsAC, ParmP.Ac, EvdIMVs-A。 Rcimvs-ac, Rem1MVs-AR, CertUser-AC, ReUser.AC,其他參數(shù)Text7]Sig-PMU,其他參數(shù)Text5]Sig-ACU
的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否則驗(yàn)證使用訪問(wèn)控制器的平臺(tái)身 份證書(shū)Cert^k-Ac對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR和訪問(wèn)控制器的平臺(tái)配置
寄存器值PCRSAC的簽名[NAR,PCRSAc]sig.acp的有效性,若驗(yàn)證不通過(guò),則丟棄
該消息,否則驗(yàn)證使用策略管理器的用戶身份證書(shū)CertUser-PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng) 求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK-AC,訪問(wèn)控制器的平臺(tái)身 份證書(shū)的驗(yàn)證結(jié)果ReAIK—AC,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAC,訪問(wèn)請(qǐng) 求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Parmp-Ac,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控 制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EValIMVs-AC,訪問(wèn)控制器的平臺(tái) 完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs-AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性 校驗(yàn)者級(jí)修補(bǔ)信息Rem1MVs-AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser-AC,訪問(wèn)控 制器的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu^Ac和其他參數(shù)Text7的簽名[N^, CertAIK-AC, ReAIK-AC, PCRsAC, ParmP.AC, EvaliMVs—Ac, ReIMVs-AC, RemIMVs-AR, Certu,Ac, ReUse,._AC,其他參數(shù)Text7]sig-PMU的有效性,若驗(yàn)證不通過(guò),則丟棄該 消息,否則根據(jù)訪問(wèn)控制器的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AC4 成訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP-AC,根據(jù)訪問(wèn)控制器的平臺(tái) 身份證書(shū)的驗(yàn)證結(jié)果ReAIK_AC和訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AC;生成訪問(wèn)控制器的平臺(tái)鑒別結(jié)果,接著根據(jù)訪問(wèn)控制器的平臺(tái)鑒別結(jié)果
和訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser.AR生成訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制
器的訪問(wèn)決策,最后訪問(wèn)控制器根據(jù)訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gx、訪問(wèn)控制器的
密鑰數(shù)據(jù)gy和用于協(xié)商密鑰的ECDH參數(shù)PamiECDH生成訪問(wèn)請(qǐng)求者和訪問(wèn)控 制器之間會(huì)話密鑰。
上述步驟2)的具體步驟如下訪問(wèn)請(qǐng)求者收到消息l后,首先根據(jù)訪問(wèn) 控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息Pamip.ak提取相應(yīng)的訪問(wèn)請(qǐng)求 者的平臺(tái)配置寄存器值PCRsAR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性度量日志LogAR和 使用訪問(wèn)請(qǐng)求者平臺(tái)身份證書(shū)對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的鑒別標(biāo)識(shí)NAc和訪問(wèn)請(qǐng) 求者的平臺(tái)配置寄存器值PCRsAR的簽名[NAc, PCR.sAR]sig.ARP,然后向訪問(wèn)控制 器發(fā)送消息2,包括訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRSAR,訪問(wèn)請(qǐng)求者的平 臺(tái)完整性度量日志LogAR,使用訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CerU^ar對(duì)應(yīng)私鑰
對(duì)訪問(wèn)控制器的鑒別標(biāo)識(shí)NAC和訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRSAR的簽
名[Nac, PCRsAR]Sig.ARP,訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū) CertA1K.AR,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Parmp-Ac,訪 問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略Evalp—Ac,訪問(wèn)請(qǐng)求者 的密鑰數(shù)據(jù)gx ,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)Certu,M,用于協(xié)商密鑰的ECDH 參數(shù)ParmECDH,其他參數(shù)Text2和使用訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUser-AR 對(duì)應(yīng)私鑰對(duì)消息2中除本字段外的其他字段的簽名[NAc,PCRsAR, LogAR, [NAC, PCRsAR〗Sig_ARp, NAR, CertAIK.AR, ParmP—AC, EvalP.AC, gx, CertUser-AR, ParmECDH,其他 參數(shù)Tex?!絪ig-細(xì)。
上述步驟3)的具體步驟如下訪問(wèn)控制器收到消息2后,首先驗(yàn)證使用 訪問(wèn)請(qǐng)求者的用戶身份證書(shū)Certu^-ak對(duì)應(yīng)私鑰對(duì)消息2中除本字段外的其他 字段的簽名[NAc,PCRsAR, LogAR, [NAC, PCRsAR]Sig_ARP, NAR, CertA1K—AR, ParmP.AC, Evalp.Ac, gx, CertUsw-AR, ParmECDH,其他參數(shù)Text2]Sig.ARU的有效性,若驗(yàn)證不通 過(guò),則丟棄該消息,否則驗(yàn)證使用訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAK孩對(duì)應(yīng)私 鑰對(duì)訪問(wèn)控制器的鑒別標(biāo)識(shí)NAc和訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsar的簽名[Nw,PCRSAR]sig.arp的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否則根據(jù)訪
問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Pamip.Ac提取相應(yīng)的訪問(wèn)控 制器的平臺(tái)配置寄存器值PCRsac,訪問(wèn)控制器的平臺(tái)完整性度量日志LogAC 和使用訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK.AC對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn) NAR和訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAc的簽名[NAR, PCRsAC]Sig-ACP,然 后向策略管理器發(fā)送消息3,包括訪問(wèn)控制器的挑戰(zhàn)Nac-pm,訪問(wèn)請(qǐng)求者的挑 戰(zhàn)NAR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK-AR,訪問(wèn)控制器的平臺(tái)身份證書(shū) CertAIK.AC,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRSAR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性 度量日志LogAR,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac,訪問(wèn)控制器的平臺(tái) 完整性度量日志LogAC,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息 ParmP—AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP-AR, 訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息ParmP-AC,訪問(wèn)請(qǐng)求者對(duì) 訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP_AC,訪問(wèn)請(qǐng)求者和訪問(wèn)控制 器的MAC地址的級(jí)聯(lián)值A(chǔ)DDID,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)Certu,ar,訪問(wèn) 控制器的用戶身份證書(shū)Certuac和其他參數(shù)Text3。
上述步驟4)的具體步驟如下策略管理器收到消息3后,首先生成訪問(wèn) 請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu,ar和訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn) 證結(jié)果ReUser.AC,然后生成訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果Re嵐—ar和訪 問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK_AC,若訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū) 有效,則生成訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep.ar和訪問(wèn)請(qǐng)求者 的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp.ar,若訪問(wèn)控制器的平臺(tái)身份證書(shū)有效, 則生成訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep.Ac和訪問(wèn)控制器的平臺(tái) 完整性的平臺(tái)級(jí)修補(bǔ)信息Remp-Ac,最后向訪問(wèn)控制器發(fā)送消息4,其中消息4 的構(gòu)成形式有兩種;第一種構(gòu)成形式下,消息4包括訪問(wèn)請(qǐng)求者的平臺(tái)身份證 書(shū)的驗(yàn)證結(jié)果ReAoc.ar,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep-ar,訪 問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息RemP-AR,訪問(wèn)控制器的平臺(tái)身份證 書(shū)的驗(yàn)證結(jié)果ReAK.Ac,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep-Ac,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp.Ac,訪問(wèn)請(qǐng)求者和訪問(wèn)控制器 的MAC地址的級(jí)聯(lián)值A(chǔ)DDID,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果 ReUseT.AR,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser.AC,使用策略管理器的 用戶身份證書(shū)Certu,pM對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的挑戰(zhàn)NAc.pM,訪問(wèn)請(qǐng)求者的平 臺(tái)身份證書(shū)CertAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AR,訪問(wèn) 請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完 整性度量信息ParmP_AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估 策略Evalp.ak,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep.ar,訪問(wèn)控制器 的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp.Ac,訪問(wèn)請(qǐng)求者的用戶身份證書(shū) CertUse,..AR,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser.AR,訪問(wèn)請(qǐng)求者的挑 戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK-AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的 驗(yàn)證結(jié)果ReA1K.AC,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac,訪問(wèn)請(qǐng)求者向訪 問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息ParmP—AC,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平 臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略Evalp—Ac,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估 結(jié)果Rep.Ac,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp-ar,訪問(wèn)控制器 的用戶身份證書(shū)CertUse。AC,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu,Ac和 其他參數(shù)Text6的簽名[NAc.PM, CertA1K.AR, ReAIK.AR, PCRsAR, ParmP.AR, EvalP—AR,
Rep-ar, Rem^Ac, Certuser-ar, Reuser-ar, Nar, Cert風(fēng)-ac, Re八k-ac, PCRsAC, ParmMc, Evalp-Ac, Rep.Ac, RemP.AR, CertUser—AC, ReUser-AC,其他參數(shù)Text6]Sig-pMu和其他參數(shù) Text4;第二種構(gòu)成形式下,消息4包括訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果 ReAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP-AR,訪問(wèn)請(qǐng)求者的平 臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息RemP.AR,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果 ReAK.AC,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP-AC,訪問(wèn)控制器的平 臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息RemP-AC,訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的MAC地址的 級(jí)聯(lián)值A(chǔ)DDID,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser-AR,訪問(wèn)控制器 的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUsCT.AC,使用策略管理器的用戶身份證書(shū) Certu^-PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的挑戰(zhàn)NAC-PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAk-ar, 訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái) 配置寄存器值PCRsAR,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息 PamiP-AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP.AR, 訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AR,訪問(wèn)控制器的平臺(tái)完整性 的平臺(tái)級(jí)修補(bǔ)信息Remp.Ac,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUser-AR,訪問(wèn)請(qǐng)求 者的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu,ar和其他參數(shù)Text6的簽名[>^損, CertAIK-AR, Re縱孩,PCRsAR, ParmP—AR, EvalP-AR, Rep-AR, RemP-AC, CertUser—AR, ReUs"R,其他參數(shù)Text6]sig.PMu,使用策略管理器的用戶身份證書(shū)CertUser-PM對(duì) 應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK.AC,訪問(wèn) 控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA1K.AC,訪問(wèn)控制器的平臺(tái)配置寄存器值 PCRsAC,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Parmp-Ac,訪問(wèn) 請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略Evalp.Ac,訪問(wèn)控制器的 平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep—Ac,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ) 信息RemP.AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser-AC,訪問(wèn)控制器的用戶身份 證書(shū)的驗(yàn)證結(jié)果ReUser.AC和其他參數(shù)Text7的筌名[Nar, CertAIK-AC, ReAtK-AC, PCRsAC, Parmp.Ac, EvalP-AC, ReP.AC, RemP.AR, CertUser.AC, ReUser.AC,其4也參類女 Text7]Sig.PMU和其他參數(shù)Text4。
上述步驟5)的具體步驟如下訪問(wèn)控制器收到消息4后,若消息4為第
一種構(gòu)成形式,貝'j:首先驗(yàn)證使用策略管理器的用戶身份證書(shū)Certu,pm對(duì)應(yīng)私
鑰對(duì)訪問(wèn)控制器的挑戰(zhàn)NAC-PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK-AR,訪問(wèn)請(qǐng) 求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA,K.AR,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值 PCRsAR,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP-AR,訪問(wèn) 控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP_AR,訪問(wèn)請(qǐng)求者的 平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AR,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ) 信息RemP.AC,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUser.AR,訪問(wèn)請(qǐng)求者的用戶身份 證書(shū)的驗(yàn)證結(jié)果Reu^AR,訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū) CertA1K.AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA!K-AC,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRSac,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息
ParmP.AC,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP.AC, 訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性 的平臺(tái)級(jí)修補(bǔ)信息RemP-AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser.AC,訪問(wèn)控制 器的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser.AC和其他參數(shù)Text6的簽名[NAc.pM, CertA|K.AR, ReAIK.AR, PCRsAR, Parmp.ar, EvalP.AR, ReP.AR, RemP.AC, Certuser-ar, Reuser-ar, NAR, CertAIK—AC, Re緣墨Ac, PCRsAC, ParmP-AC, EvalP-AC, ReP-AC, RemP-AR, CertUser.AC, ReUser.AC,其他參數(shù)Text6]sig-pMu的有效性,然后根據(jù)訪問(wèn)請(qǐng)求者的平 臺(tái)身份證書(shū)的驗(yàn)證結(jié)果Re^k.ar和訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果 ReP.AR生成訪問(wèn)請(qǐng)求者的平臺(tái)鑒別結(jié)果,接著根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)鑒別結(jié)果 和訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser.AR生成訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求 者的接入結(jié)果Reaw;ess,接著生成訪問(wèn)控制器的密鑰數(shù)據(jù)gy并根據(jù)訪問(wèn)請(qǐng)求者的 密鑰數(shù)據(jù)gx、訪問(wèn)控制器的密鑰數(shù)據(jù)gy和用于協(xié)商密鑰的ECDH參數(shù)ParmECDH 生成訪問(wèn)請(qǐng)求者和訪問(wèn)控制器之間會(huì)話密鑰,最后向訪問(wèn)請(qǐng)求者發(fā)送消息5(第
一種構(gòu)成形式),包括訪問(wèn)控制器的挑戰(zhàn)nac-pm,訪問(wèn)控制器的平臺(tái)配置寄存器
值PCRsAC,使用訪問(wèn)控制器的平臺(tái)身份證書(shū)CertA,k.Ac對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者 的挑戰(zhàn)NAR和訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac的筌名[Nar, PCRsAC]Sig.ACP,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略 EvalP.AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的接入結(jié)果Re,ss,消息4',訪問(wèn)控制器的 密鑰數(shù)據(jù)gy,其他參數(shù)Text5和使用訪問(wèn)控制器的用戶身份證書(shū)對(duì)應(yīng)私鑰對(duì)消 息5中除本字段外的其他字段的簽名[nar, Nac.pm, PCRsac, [Nar, PCRsAC]Sig-ACP, EvalP.AR, Rea(xess,消息4', gy,其他參數(shù)Text5]Sig-ACU,其中消息4'指消息4中除 訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的MAC地址的級(jí)聯(lián)值A(chǔ)DDID外的其他字段;若消
息4為第二種構(gòu)成形式,則首先驗(yàn)證使用策略管理器的用戶身份證書(shū)Certu,pm
對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的挑戰(zhàn)NAC.PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK—AR, 訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK-AR,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存 器值PCRsAR,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息Parmp-ar,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP-AR,訪問(wèn)請(qǐng)求 者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AR,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí) 修補(bǔ)信息Remp-Ac,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUsCT.AR,訪問(wèn)請(qǐng)求者的用戶 身份證書(shū)的驗(yàn)證結(jié)果ReUser.AR和其他參數(shù)Text6的簽名[NAc.pM, CertAIK.AR, ReAk-ar, PCRsar, Parmp-ar, EvalP.AR, ReP-AR, RemP-AC, CertUser-AR, ReUser-AR,其他 參數(shù)Text6]Sig.PMU的有效性,然后根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果 ReAIK.AR和訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP—AR生成訪問(wèn)請(qǐng)求者 的平臺(tái)鑒別結(jié)果,接著根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)鑒別結(jié)果和訪問(wèn)請(qǐng)求者的用戶身 份證書(shū)的驗(yàn)證結(jié)果Reuw.ar生成訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的接入結(jié)果Reaccess,
接著生成訪問(wèn)控制器的密鑰數(shù)據(jù)gy并根據(jù)訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gx、訪問(wèn)控制
器的密鑰數(shù)據(jù)gy和用于協(xié)商密鑰的ECDH參數(shù)PamiECDH生成訪問(wèn)請(qǐng)求者和訪 問(wèn)控制器之間會(huì)話密鑰,最后向訪問(wèn)請(qǐng)求者發(fā)送消息5 (第二種構(gòu)成形式),包
括訪問(wèn)控制器的挑戰(zhàn)NAC.pm,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRSAC,使用訪
問(wèn)控制器的平臺(tái)身份證書(shū)CertA^Ac對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)N放和訪問(wèn) 控制器的平臺(tái)配置寄存器值PCRsac的簽名[nar, PCRsac〗 Sig-acp, Rea 訪問(wèn)控 制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK—AC,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí) 評(píng)估結(jié)果Rep.Ac,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果Reuse,.-Ac,訪問(wèn)請(qǐng)求者 的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp.AR,訪問(wèn)控制器的密鑰數(shù)據(jù)gy,使用策略
管理器的用戶身份證書(shū)Certuse卜pM對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制
器的平臺(tái)身份證書(shū)CertAIK.AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK_AC, 訪問(wèn)控制器的平臺(tái)配置寄存器值PCRSac,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平 臺(tái)完整性度量信息Parmp.ac,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí) 評(píng)估策略EvalP-AC,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep-Ac,訪問(wèn)請(qǐng) 求者的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp-ar,訪問(wèn)控制器的用戶身份證書(shū) CertUsM-AC,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu,Ac和其他參數(shù)Text7 的筌名[Nar, CertAIK.AC, ReAIK.AC, PCRsAC, ParmP.AC, EvalP.AC, ReP.AC, RemP.AR, CertUsei..AC, ReUser-AC,其他參數(shù)Text7]sig_PMU,其他參數(shù)Text5和使用訪問(wèn)控制器
35的用戶身份證書(shū)Certu^ac對(duì)應(yīng)私鑰對(duì)消息5中除本字段外的其他字段的簽名 [Nar, Nac-pm, PCRs八c, [Nar, PCRsAc]sig-八cp, Reaccess, Re八!K陽(yáng)Ac, Rep-Ac, Reuser-Ac, Remp-AR, gy, [NAR, Cert息-Ac, ReAIK-AC, PCRsAC, ParmP-AC, EvalP-AC, ReP-Ac, RemP_AR, CertUser.AC, ReUser-AC,其他參數(shù)Text7]Slg-PMU,其他參數(shù)Text5]Sig.ACU。
上述歩驟6)的具體步驟如下訪問(wèn)請(qǐng)求者收到消息5后,若消息5為第
一種構(gòu)成形式,貝(j:首先驗(yàn)證使用訪問(wèn)控制器的用戶身份證書(shū)Certuser.ac對(duì)應(yīng)私
鑰對(duì)消息5中除本字段外的其他字段的簽名[NAR, NAC.PM, PCRsac, [Nar,
PCRsAC]Sig-ACP,
Evalp-AR, Reaeeess,消息4',gy,其他參數(shù)Text5]Sig-ACU的有效性,若 驗(yàn)證不通過(guò),則丟棄該消息,否則驗(yàn)證使用訪問(wèn)控制器的平臺(tái)身份證書(shū) CertAiK.Ac對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)N^和訪問(wèn)控制器的平臺(tái)配置寄存器值
PCRSAC的簽名[NAK, PCRSAC]sig-ACp的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,
否則驗(yàn)證消息4'中的使用策略管理器的用戶身份證書(shū)CertUsCT.PM對(duì)應(yīng)私鑰對(duì)訪 問(wèn)控制器的挑戰(zhàn)NAC.PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK_AR,訪問(wèn)請(qǐng)求者的 平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK-AR,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR, 訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP—AR,訪問(wèn)控制器對(duì) 訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP-AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整 性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AR,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息 Remp.Ac,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUsCT.AR,訪問(wèn)請(qǐng)求者的用戶身份證書(shū) 的驗(yàn)證結(jié)果ReUse「AR,訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū) CertAIK_AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA^Ac,訪問(wèn)控制器的平臺(tái) 配置寄存器值PCRsac,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息 ParmP.AC,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP-AC, 訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性 的平臺(tái)級(jí)修補(bǔ)信息RemP.AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser-AC,訪問(wèn)控制 器的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu,Ac和其他參數(shù)Text6的簽名[NAc-pm, CertAIK.AR, ReAIK.AR, PCRsAR, ParmP.AR, EvalP.AR, ReP-AR, Remp.Ac, CertUser.AR, ReUser.AR, NAR, CertAIK.AC, ReAIK.AC, PCRsAC, ParmP-AC, EvalP.AC, ReP-AC, RemP.AR,CertUsef.AC, ReUsw.AC,其他參數(shù)Text6]sig.PMu的有效性,若驗(yàn)證不通過(guò),則丟棄該 消息,否則根據(jù)訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA,K.AC和訪問(wèn)控制器 的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep.Ac生成訪問(wèn)控制器的平臺(tái)鑒別結(jié)果,接著 根據(jù)訪問(wèn)控制器的平臺(tái)鑒別結(jié)果和訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果 ReUsCT.AR生成訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的訪問(wèn)決策,最后訪問(wèn)控制器根據(jù)訪問(wèn) 請(qǐng)求者的密鑰數(shù)據(jù)gx、訪問(wèn)控制器的密鑰數(shù)據(jù)gy和用于協(xié)商密鑰的ECDH參 數(shù)PamiK:dh生成訪問(wèn)請(qǐng)求者和訪問(wèn)控制器之間會(huì)話密鑰;若消息5為第二種構(gòu) 成形式,貝U:首先驗(yàn)證使用訪問(wèn)控制器的用戶身份證書(shū)Certu,Ac對(duì)應(yīng)私鑰對(duì)消 息5中除本字段外的其他字段的簽名[nar, Nac.pm, PCRsac, [Nar, PCRsAC]Sig-ACP,
Rea(xess, ReAiK-ac, ReP-AC, ReUser-Ac, Remp-ar, gy, [Nar, CertAiK—ac, ReAiK-ac, PCRsac, Parm!).Ac, EvalP.AC, ReP.AC, RemP.AR, CertUser.AC, ReUser—AC,其^也參類j( Text7]Sig.pMU,
其他參數(shù)TeXt5]Sig.ACU的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否則驗(yàn)證使 用訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAiAc對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)Nw和 訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAC的筌名[Nar, PCRsAC]Sig—ACP的有效性, 若驗(yàn)證不通過(guò),則丟棄該消息,否則驗(yàn)證使用策略管理器的用戶身份證書(shū) CertUsCT.PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū) CertA1K.AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAnc.Ac,訪問(wèn)控制器的平臺(tái) 配置寄存器值PCRSac,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息 ParmP.AC,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP.AC, 訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP-AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性 的平臺(tái)級(jí)修補(bǔ)信息RemP.AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser-AC,訪問(wèn)控制 器的用戶身份證書(shū)的驗(yàn)證結(jié)果Re,.Ac和其他參數(shù)Text7的筌名[Nar, CertAIK-AC, ReAIK-AC, PCRsAC, Parmp-Ac, EvalP-AC, ReP-AC, RemP-AR, CertUser-Ac, ReUser-AC,其他 參數(shù)TeXt7]Sig.PMU的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否則根據(jù)訪問(wèn)控 制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AC和訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí) 評(píng)估結(jié)果Rep.Ac生成訪問(wèn)控制器的平臺(tái)鑒別結(jié)果,接著根據(jù)訪問(wèn)控制器的平臺(tái) 鑒別結(jié)果和訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser.AR生成訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的訪問(wèn)決策,最后訪問(wèn)控制器可以根據(jù)訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gX、
訪問(wèn)控制器的密鑰數(shù)據(jù)gy和用于協(xié)商密鑰的ECDH參數(shù)PamiECDH生成訪問(wèn)請(qǐng) 求者和訪問(wèn)控制器之間會(huì)話密鑰。
本發(fā)明還可以適用于對(duì)等實(shí)體間的可信通信,具體步驟如下
當(dāng)一個(gè)訪問(wèn)請(qǐng)求者通過(guò)訪問(wèn)控制器連接到網(wǎng)絡(luò)之后,若這個(gè)訪問(wèn)請(qǐng)求者要 求與網(wǎng)絡(luò)中的另一個(gè)訪問(wèn)請(qǐng)求者進(jìn)行可信通信,則這個(gè)訪問(wèn)請(qǐng)求者、另一個(gè)訪 問(wèn)請(qǐng)求者和策略管理器執(zhí)行上述發(fā)明中的基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接 握手方法,實(shí)現(xiàn)這個(gè)訪問(wèn)請(qǐng)求者和另一個(gè)訪問(wèn)請(qǐng)求者之間用戶身份鑒別和平臺(tái) 鑒別,保證這個(gè)訪問(wèn)請(qǐng)求者和另一個(gè)訪問(wèn)請(qǐng)求者之間的可信通信,其中這個(gè)訪 問(wèn)請(qǐng)求者或另一個(gè)訪問(wèn)請(qǐng)求者都可以充當(dāng)上述發(fā)明中的基于三元對(duì)等鑒別的 可信網(wǎng)絡(luò)連接握手方法中的訪問(wèn)請(qǐng)求者角色或訪問(wèn)控制器角色。
本發(fā)明還可以適用于對(duì)實(shí)體的可信管理,具體步驟如下
當(dāng)策略管理器要求對(duì)網(wǎng)絡(luò)中訪問(wèn)控制器和所有訪問(wèn)請(qǐng)求者進(jìn)行可信管理 時(shí),若策略管理器要求對(duì)網(wǎng)絡(luò)中的一個(gè)訪問(wèn)請(qǐng)求者進(jìn)行可信管理,則這個(gè)訪問(wèn) 請(qǐng)求者和策略管理器執(zhí)行上述發(fā)明中的基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接握 手方法,實(shí)現(xiàn)策略管理器對(duì)這個(gè)訪問(wèn)請(qǐng)求者的用戶身份鑒別和平臺(tái)鑒別,其中 這個(gè)訪問(wèn)請(qǐng)求者充當(dāng)上述發(fā)明中的基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接握手方 法中的訪問(wèn)請(qǐng)求者角色,策略管理器充當(dāng)上述發(fā)明中的基于三元對(duì)等鑒別的可
信網(wǎng)絡(luò)連接握手方法中的訪問(wèn)控制器角色和策略管理器角色;若策略管理器要
求對(duì)網(wǎng)絡(luò)中的訪問(wèn)控制器進(jìn)行可信管理,則訪問(wèn)控制器和策略管理器執(zhí)行上述 發(fā)明中的基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接握手方法,實(shí)現(xiàn)策略管理器對(duì)訪問(wèn) 控制器的用戶身份鑒別和平臺(tái)鑒別,其中訪問(wèn)控制器充當(dāng)上述發(fā)明中的基于三 元對(duì)等鑒別的可信網(wǎng)絡(luò)連接握手方法中的訪問(wèn)請(qǐng)求者角色,策略管理器充當(dāng)上 述發(fā)明中的基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接握手方法中的訪問(wèn)控制器角色 和策略管理器角色。 本發(fā)明具有以下優(yōu)點(diǎn).-
1、本發(fā)明對(duì)訪問(wèn)請(qǐng)求者、訪問(wèn)控制器和策略管理器執(zhí)行三元對(duì)等鑒別協(xié)議,增強(qiáng)了可信網(wǎng)絡(luò)連接握手方法的安全性。
2、 本發(fā)明對(duì)訪問(wèn)請(qǐng)求者、訪問(wèn)控制器和策略管理器執(zhí)行一輪協(xié)議就實(shí)現(xiàn) 了訪問(wèn)請(qǐng)求者和訪問(wèn)控制器之間的雙向用戶身份鑒別和平臺(tái)完整性評(píng)估,甚至 還可以協(xié)商出訪問(wèn)請(qǐng)求者和訪問(wèn)控制器之間的會(huì)話密鑰,提高了可信網(wǎng)絡(luò)連接 握手方法的效率。
3、 本發(fā)明既可以適用于實(shí)體的可信網(wǎng)絡(luò)連接、又可以適用于對(duì)等實(shí)體間
的可信通信,還可以適用于對(duì)實(shí)體的可信管理,提高基于三元對(duì)等鑒別的可信
網(wǎng)絡(luò)連接實(shí)現(xiàn)方法的適用性。
圖1是基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接架構(gòu); 圖2是第一種模式下的本發(fā)明的實(shí)現(xiàn)方法一; 圖3是第一種模式下的本發(fā)明的實(shí)現(xiàn)方法二; 圖4是第二種模式下的本發(fā)明的實(shí)現(xiàn)方法一; 圖5是第二種模式下的本發(fā)明的實(shí)現(xiàn)方法二。
具體實(shí)施例方式
一種基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接握手方法有兩種模式。 第一種模式如下
訪問(wèn)請(qǐng)求者、訪問(wèn)控制器和策略管理器執(zhí)行一輪基于三元對(duì)等鑒別協(xié)議, 實(shí)現(xiàn)訪問(wèn)請(qǐng)求者和訪問(wèn)控制器之間的用戶身份鑒別和平臺(tái)鑒別(包括平臺(tái)身份 驗(yàn)證和平臺(tái)完整性評(píng)估),其中策略管理器負(fù)責(zé)訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的用 戶身份證書(shū)驗(yàn)證、平臺(tái)身份證書(shū)驗(yàn)證和平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估。
訪問(wèn)請(qǐng)求者執(zhí)行完一輪協(xié)議后,首先根據(jù)訪問(wèn)控制器的平臺(tái)完整性的完整 性校驗(yàn)者級(jí)評(píng)估結(jié)果生成訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果,然后根 據(jù)訪問(wèn)控制器的平臺(tái)身份證書(shū)驗(yàn)證結(jié)果和訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí) 評(píng)估結(jié)果生成訪問(wèn)控制器的平臺(tái)鑒別結(jié)果,最后根據(jù)訪問(wèn)控制器的用戶身份證 書(shū)驗(yàn)證結(jié)果和訪問(wèn)控制器的平臺(tái)鑒別結(jié)果生成訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的訪 問(wèn)決策。訪問(wèn)控制器執(zhí)行完一輪協(xié)議后,首先根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整 性校驗(yàn)者級(jí)評(píng)估結(jié)果生成訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果,然后根 據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)驗(yàn)證結(jié)果和訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí) 評(píng)估結(jié)果生成訪問(wèn)請(qǐng)求者的平臺(tái)鑒別結(jié)果,最后根據(jù)訪問(wèn)請(qǐng)求者的用戶身份證 書(shū)驗(yàn)證結(jié)果和訪問(wèn)請(qǐng)求者的平臺(tái)鑒別結(jié)果生成訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的接 入結(jié)果。
訪問(wèn)請(qǐng)求者和訪問(wèn)控制器執(zhí)行完一輪協(xié)議后,還可以協(xié)商出訪問(wèn)請(qǐng)求者和 訪問(wèn)控制器之間的會(huì)話密鑰。 第二種模式如下
訪問(wèn)請(qǐng)求者、訪問(wèn)控制器和策略管理器執(zhí)行一輪基于三元對(duì)等鑒別協(xié)議, 實(shí)現(xiàn)訪問(wèn)請(qǐng)求者和訪問(wèn)控制器之間的用戶身份鑒別和平臺(tái)鑒別(包括平臺(tái)身份 驗(yàn)證和平臺(tái)完整性評(píng)估),其中策略管理器負(fù)責(zé)訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的用 戶身份證書(shū)驗(yàn)證、平臺(tái)身份證書(shū)驗(yàn)證和平臺(tái)完整性的平臺(tái)級(jí)評(píng)估。
訪問(wèn)請(qǐng)求者執(zhí)行完一輪協(xié)議后,首先根據(jù)訪問(wèn)控制器的平臺(tái)身份證書(shū)驗(yàn)證 結(jié)果和訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果生成訪問(wèn)控制器的平臺(tái)鑒 別結(jié)果,然后根據(jù)訪問(wèn)控制器的用戶身份證書(shū)驗(yàn)證結(jié)果和訪問(wèn)控制器的平臺(tái)鑒 別結(jié)果生成訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的訪問(wèn)決策。
訪問(wèn)控制器執(zhí)行完一輪協(xié)議后,首先根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)驗(yàn)證 結(jié)果和訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果生成訪問(wèn)請(qǐng)求者的平臺(tái)鑒 別結(jié)果,然后根據(jù)訪問(wèn)請(qǐng)求者的用戶身份證書(shū)驗(yàn)證結(jié)果和訪問(wèn)請(qǐng)求者的平臺(tái)鑒 別結(jié)果生成訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的接入結(jié)果。
訪問(wèn)請(qǐng)求者和訪問(wèn)控制器執(zhí)行完一輪協(xié)議后,還可以協(xié)商出訪問(wèn)請(qǐng)求者和 訪問(wèn)控制器之間的會(huì)話密鑰。
參見(jiàn)圖2、 3,在第一種模式下,本發(fā)明的具體步驟如下
l)訪問(wèn)控制器向訪問(wèn)請(qǐng)求者發(fā)送消息1,包括訪問(wèn)控制器的鑒別標(biāo)識(shí)NAC,
訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK.AC,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完 整性度量信息ParmP.AR,訪問(wèn)控制器的用戶身份證書(shū)Certu,Ac,用于協(xié)商密鑰的ECDH參數(shù)ParmECDH和其他參數(shù)Textl;
2) 訪問(wèn)請(qǐng)求者收到消息1后,首先根據(jù)訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的 平臺(tái)完整性度量信息ParmP.AR提取相應(yīng)的訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值 PCRsAR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性度量日志LogM和使用訪問(wèn)請(qǐng)求者平臺(tái)身
份證書(shū)對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的鑒別標(biāo)識(shí)NAC和訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器
值PCRsAR的簽名[NAc, PCRsAR]sig-ARP,然后向訪問(wèn)控制器發(fā)送消息2,包括訪 問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性度量日志
LogAR,使用訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertA!K.AR對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的鑒
別標(biāo)識(shí)NAC和訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR的簽名[NAc, PCRsAR]Sig.ARP,訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAK.AR, 訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息ParmP.AC,訪問(wèn)請(qǐng)求者對(duì) 訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EvalIMVs.AC,訪問(wèn)請(qǐng)求者 的密鑰數(shù)據(jù)gx ,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUser_AR,用于協(xié)商密鑰的ECDH 參數(shù)ParmECDH,其他參數(shù)Text2和使用訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUser—AR 對(duì)應(yīng)私鑰對(duì)消息2中除本字段外的其他字段的簽名[NAC,PCRSAR, LogAR, [NAC, PCRsAR]Sig.ARp, NAR, CertAIK—AR, ParmP.AC, EvalIMVs.AC, gx, CertUser-AR, ParmECDH,其 他參數(shù)Text2]sig-放u;
3) 訪問(wèn)控制器收到消息2后,首先驗(yàn)證使用訪問(wèn)請(qǐng)求者的用戶身份證書(shū) CertUsCT.AR對(duì)應(yīng)私鑰對(duì)消息2中除本字段外的其他字段的簽名[NAC,PCRsAR, LogAR, [NAC, PCRsAR]Sig.ARp, NAR, CertA1K—AR, ParmP.AC, EvalIMVs.AC, gx, CertUser-AR, ParaiECDH,其他參數(shù)Text2]s,g-ARu的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否 則驗(yàn)證使用訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK-AR對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的鑒 別標(biāo)識(shí)NAC和訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR的簽名[Nw, PCRSM]sig.MP的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否則根據(jù)訪問(wèn)請(qǐng)求者 向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Parmp-Ac提取相應(yīng)的訪問(wèn)控制器的平 臺(tái)配置寄存器值PCRsAC,訪問(wèn)控制器的平臺(tái)完整性度量日志LogAc和使用訪 問(wèn)控制器的平臺(tái)身份證書(shū)CerUnc.Ac對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)Nar和坊向控制器的平臺(tái)配置寄存器值PCRs^的簽名[N^, PCRsAolSlg.Aa),然后向策略管 理器發(fā)送消息3,包括訪問(wèn)控制器的挑戰(zhàn)N^.pm,訪問(wèn)請(qǐng)求者的挑戰(zhàn)N^,訪問(wèn) 請(qǐng)求者的平臺(tái)身份證書(shū)Cert風(fēng).ar,訪問(wèn)控制器的平臺(tái)身份證書(shū)Cert里.Ac,訪問(wèn) 請(qǐng)求者的平臺(tái)配置寄存器值PCRs^,訪問(wèn)請(qǐng)求者的平臺(tái)完整性度量日志L0gAK, 訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac,訪問(wèn)控制器的平臺(tái)完整性度量日志 LogAc,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP.AR,訪問(wèn)控 制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EvalIMVs.AR,訪問(wèn) 請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息ParmP.AC,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn) 控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EvalIMVs.AC,訪問(wèn)請(qǐng)求者和訪 問(wèn)控制器的MAC地址的級(jí)聯(lián)值A(chǔ)DDID,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUsCT.AR: 訪問(wèn)控制器的用戶身份證書(shū)Cert^.Ac和其他參數(shù)Text3;
4)策略管理器收到消息3后,首先生成訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn) 證結(jié)果Re^r—M和訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu,AC,然后生成 訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA,K.M和訪問(wèn)控制器的平臺(tái)身份證書(shū) 的驗(yàn)證結(jié)果ReAIK-AC,若訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)有效,則生成訪問(wèn)請(qǐng)求者 的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果Re^v"K和訪問(wèn)請(qǐng)求者的平臺(tái)完整性的 完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs.AR,若訪問(wèn)控制器的平臺(tái)身份證書(shū)有效,則 生成訪問(wèn)控制器的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果Re,MVs.Ac和訪問(wèn)控制器 的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息Rem1MVs.AC,最后向訪問(wèn)控制器發(fā)送 消息4,其中消息4的構(gòu)成形式有兩種。第一種構(gòu)成形式下,消息4包括訪問(wèn) 請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的整性 校驗(yàn)者級(jí)評(píng)估結(jié)果Re1MVs_AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ) 信息Rem1MVs-AR,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果Re嵐.Ac,訪問(wèn)控制器 的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AC,訪問(wèn)控制器的平臺(tái)完整性的 完整性校驗(yàn)者級(jí)修補(bǔ)信息Rem1MVs.AC,訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的MAC地址的 級(jí)聯(lián)值A(chǔ)DDID,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser.AR,訪問(wèn)控制器 的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUsCT.AC,使用策略管理器的用戶身份證書(shū)Certu,pM對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的挑戰(zhàn)NAC.PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū) CertA[K.AR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA,k.ar,訪問(wèn)請(qǐng)求者的平臺(tái) 配置寄存器值PCRsAR,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息 ParmP.AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略 Eval1MVs.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReMVs.M,訪 問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs.AC,訪問(wèn)請(qǐng)求者的 用戶身份證書(shū)CertUser.AR,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser-AR,訪 問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK.AC,訪問(wèn)控制器的平 臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AC,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac,訪 問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息ParmP.AC,訪問(wèn)請(qǐng)求者對(duì)訪 問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EValIMVs-AC,訪問(wèn)控制器的 平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的 完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs-AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser.AC, 訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu,Ac,和其他參數(shù)Text6的簽名 [Nac-pm, CertAiK-ar, ReAiK-ar, PCRsar, Paraip.ar, EvaliMVs-ar, ReiMVs-ar, RemiMVs-Ac, CertUser—AR, ReUser—AR, NAR, CertAIK.AC, ReAK-AC, PCRsAC, ParmP.AC, EvalIMVs_AC, Re則vs-AC, RemIMVs—AR, CertUser.AC, ReUser.AC,其他參數(shù)Text6]Sig_pMU和其他參數(shù) Text4;第二種構(gòu)成形式下,消息4包括訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果 ReAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AR,訪問(wèn)請(qǐng) 求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs.AR,訪問(wèn)控制器的平臺(tái) 身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AC,訪問(wèn)控制器的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估 結(jié)果ReIMVs-AC,訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息 Rem1MVs.AC,訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的MAC地址的級(jí)聯(lián)值A(chǔ)DDID,訪問(wèn)請(qǐng)求 者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser-AR,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié) 果ReUser-AC,使用策略管理器的用戶身份證書(shū)Certuser.pM對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器 的挑戰(zhàn)NAc.pM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK_AR,訪問(wèn)請(qǐng)求者的平臺(tái)身份 證書(shū)的驗(yàn)證結(jié)果ReAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP.AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求 者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EvalIMVs.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完 整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AR,訪問(wèn)控制器的平臺(tái)完整性的完整性校 驗(yàn)者級(jí)修補(bǔ)信息RemIMVs.AC,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUser-AR,訪問(wèn)請(qǐng)求 者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser-AR和其他參數(shù)Text6的簽名[>^掘,
Cert嵐-ar, ReAiK-ar, PCRsar, Parmp孩,EvaliMVs-ar, ReiMVs-ar, RemiMVs-ac, CertUsCT-AR, ReUse,..AR,其他參數(shù)Text6]Sig-PMU,使用策略管理器的用戶身份證書(shū)
CertUser.PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū) CertAK-AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA^.Ac,訪問(wèn)控制器的平臺(tái) 配置寄存器值PCRsAC,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息 PamiP.AC,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略 EvalIMVs.AC,訪問(wèn)控制器的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReMVs.Ac,訪問(wèn) 請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs_AR,訪問(wèn)控制器的用 戶身份證書(shū)CertUser_AC,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu,Ac和其他 參數(shù)Text7的簽名[N放,CertAIK.AC, ReAIK-AC, PCRsAC, ParmP.AC, EvalIMVs-AC, Re腺vs-Ac, RemIMVs.AR, CertUser-AC, ReUser.AC,其他參數(shù)Text7]sig.pMu和其他參數(shù) Text4;
5)訪問(wèn)控制器收到消息4后,若消息4為第一種構(gòu)成形式,貝(J:首先驗(yàn) 證使用策略管理器的用戶身份書(shū)CertUsCT-PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的挑戰(zhàn) Naopm,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK-AR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的 驗(yàn)證結(jié)果ReAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR,訪問(wèn)控制器向訪 問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP.AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平 臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EvalIMVs.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的 完整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AR,訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者 級(jí)修補(bǔ)信息Rem!MVs_AC,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUsCT—AR,訪問(wèn)請(qǐng)求者的 用戶身份證書(shū)的驗(yàn)證結(jié)果Reu^放,訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái) 身份證書(shū)CertAIK.AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA1K.AC,訪問(wèn)控
44制器的平臺(tái)配置寄存器值PCRsAC,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整 性度量信息ParmP.AC,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者 級(jí)評(píng)估策略EValtMVs-AC,訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估結(jié)果 Re,MVs.AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息Rem^^m,訪 問(wèn)控制器的用戶身份證書(shū)Certu,Ac,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果 ReUsei.-AC和其他參數(shù)Text6的簽名[NAC-PM, Cert縱.ar, ReAiK陽(yáng)ar, PCRsar, Parmp-ar,
EvalMVs-ar, RCiMVs-ar, RemiMVs-ac, Certuser-ar, R^User-ar, Nar, GertAIK-ac, RCaIK-AC,
PCRsAC, ParmP.AC, EvalIMVs.AC, ReIMVs.AC, RemIMVs.AR, CertUser-AC, ReUser-Ac,其4也參 數(shù)TeXt6kg.PMU的有效性,然后根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的整性校驗(yàn)者級(jí) 評(píng)估結(jié)果Renv^.w生成訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AR,根 據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AR和訪問(wèn)請(qǐng)求者的平臺(tái)完整性 的平臺(tái)級(jí)評(píng)估結(jié)果Rep.M生成訪問(wèn)請(qǐng)求者的平臺(tái)鑒別結(jié)果,接著根據(jù)訪問(wèn)請(qǐng)求 者的平臺(tái)鑒別結(jié)果和訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUsCT.AR生成訪問(wèn) 控制器對(duì)訪問(wèn)請(qǐng)求者的接入結(jié)果Reaeeess,接著生成訪問(wèn)控制器的密鑰數(shù)據(jù)gy
并根據(jù)訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gx、訪問(wèn)控制器的密鑰數(shù)據(jù)gy和用于協(xié)商密鑰的
ECDH參數(shù)ParmECDH生成訪問(wèn)請(qǐng)求者和訪問(wèn)控制器之間會(huì)話密鑰,最后向訪問(wèn)
請(qǐng)求者發(fā)送消息5 (第一種構(gòu)成形式),包括訪問(wèn)控制器的挑戰(zhàn)NAC-PM,訪問(wèn)控
制器的平臺(tái)配置寄存器值PCRsac,使用訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK.AC 對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)N^和訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAC 的簽名[N^, PCRsAC]sig.ACP,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性 校驗(yàn)者級(jí)評(píng)估策略Eva,Mv^K,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的接入結(jié)果Re^^消 息4',訪問(wèn)控制器的密鑰數(shù)據(jù)gy,其他參數(shù)Text5和使用訪問(wèn)控制器的用戶身份 證書(shū)對(duì)應(yīng)私鑰對(duì)消息5中除本字段外的其他字段的簽名[NAR, NAC.PM, PCRsac, [Nar, PCRsAC]sig-acp, Eval謂s.ar, Re 消息4', gy,其他參數(shù)Text5]sig.ACU,其 中消息4'指消息4中除訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的MAC地址的級(jí)聯(lián)值A(chǔ)DDID 外的其他字段;若消息4為第二種構(gòu)成形式,貝'j:首先驗(yàn)證使用策略管理器的 用戶身份證書(shū)CerUto.PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的挑戰(zhàn)NAc.PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK_AR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK_AR,訪問(wèn) 請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完 整性度量信息ParmP.AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn) 者級(jí)評(píng)估策略EvalIMVs.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果 ReIMVs—AR,訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息RennMVs.Ac,訪 問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUsei..AR,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果 Reu,AR和其他參數(shù)Text6的簽名[NAc.飾CertAIK.AR, ReAIK-AR, PCRsAR, ParmP.AR, EvaliMVs—AR, Re1Mvs-AR, Remnvivs-AC, CertUser.AR, Reuser-AR,其i也參數(shù)Text6]sig-PMU的 有效性,然后根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AR 生成訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AR,根據(jù)訪問(wèn)請(qǐng)求者的平 臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAK.M和訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果 ReP.AR生成訪問(wèn)請(qǐng)求者的平臺(tái)鑒別結(jié)果,接著根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)鑒別結(jié)果 和訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUsCT.AR生成訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求 者的接入結(jié)果Reaeress,接著生成訪問(wèn)控制器的密鑰數(shù)據(jù)gy并根據(jù)訪問(wèn)請(qǐng)求者的 密鑰數(shù)據(jù)gx、訪問(wèn)控制器的密鑰數(shù)據(jù)gy和用于協(xié)商密鑰的ECDH參數(shù)ParmECDH 生成訪問(wèn)請(qǐng)求者和訪問(wèn)控制器之間會(huì)話密鑰,最后向訪問(wèn)請(qǐng)求者發(fā)送消息5(第
二種構(gòu)成形式),包括訪問(wèn)控制器的挑戰(zhàn)NAC.PM,訪問(wèn)控制器的平臺(tái)配置寄存器
值PCRsAC,使用訪問(wèn)控制器的平臺(tái)身份證書(shū)Cert皿.Ac對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者 的挑戰(zhàn)NAR和訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAC的簽名[N放, PCRsAC]Sig.ACP, Reaa;ess,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AC,訪問(wèn) 控制器的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AC,訪問(wèn)控制器的用戶身 份證書(shū)的驗(yàn)證結(jié)果ReUsw.AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ) 信息RemIMVs—AR,訪問(wèn)控制器的密鑰數(shù)據(jù)gy,使用策略管理器的用戶身份證書(shū) CertUsCT.PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū) CertAIK.AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAnc.Ac,訪問(wèn)控制器的平臺(tái) 配置寄存器值PCRsAC,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息 ParmP-AC,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略access5
EvalIMVs-AC,訪問(wèn)控制器的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReMVs-Ac,訪問(wèn) 請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs.AR,訪問(wèn)控制器的用 戶身份證書(shū)CertUser.AC,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果Reuw.Ac和其他 參數(shù)Text7的簽名[nar, CertAIK.AC, ReAIK.AC, PCRsAC, ParmP.AC, EvalIMVs.AC, ReiMVs-ac, RemIMVs-AR, CertUser.AC, ReUser.AC,其他參數(shù)Text7〗Sig.pMU,其他參數(shù) Text5和使用訪問(wèn)控制器的用戶身份證書(shū)Certu^Ac對(duì)應(yīng)私鑰對(duì)消息5中除本字 段外的其他字段的簽名[NM, NAC.PM, PCRsac, [Nar, PCRsAC]sig.ACP, Reaccess,
ReAiK-ac, RejMVs-ac, Reuser-Ac, RemiMVs-ar, gy, [Nar, CertAIK-AC, Re嵐-Ac, PCRsac, Parmp-Ac, EvalIMVs—AC, ReIMVs—AC, Rem謹(jǐn)孩,CertUser—AC, ReUser-AC,其他參數(shù) Text7]Sig—PMU,其他參數(shù)Text5]sig-ACU;
6)訪問(wèn)請(qǐng)求者收到消息5后,若消息5為第一種構(gòu)成形式,貝(J:首先驗(yàn) 證使用訪問(wèn)控制器的用戶身份證書(shū)Certu^Ac對(duì)應(yīng)私鑰對(duì)消息5中除本字段外
的其他字段的簽名[N^, NAC.PM, PCRSac, [Nar, PCRsAC]Sig-ACP, Eval!MVs-AR, Reaca 消息4', gy,其他參數(shù)Text5]sig—acu的有效性,若驗(yàn)證不通過(guò),則丟棄該消息, 否則驗(yàn)證使用訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK.AC對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的 挑戰(zhàn)NAR和訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAC的簽名[NAR, PCRsAC]Sig-ACP 的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否則驗(yàn)證消息4'中的使用策略管理 器的用戶身份證書(shū)Certu,PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的挑戰(zhàn)NAC.PM,訪問(wèn)請(qǐng)求者 的平臺(tái)身份證書(shū)CertAIK_AR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA1K_AR, 訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平 臺(tái)完整性度量信息ParmP.AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性 校驗(yàn)者級(jí)評(píng)估策略EvalIMVs.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng) 估結(jié)果Re1MVs.AR,訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息 RemIMVs_AC,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUser.AR,訪問(wèn)請(qǐng)求者的用戶身份證 書(shū)的驗(yàn)證結(jié)果ReUsCT-AR,訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū) CertAIK.AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAK.Ac,訪問(wèn)控制器的平臺(tái) 配置寄存器值PCRsAC,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度
(曰息Parmp.Ac,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略 EvalIMVs.AC,訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估結(jié)果Re證s.Ac,訪 問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs-AR,訪問(wèn)控制器的 用戶身份證書(shū)CertUsCT.AC,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu^.Ac和其 他參數(shù)Text6的簽名[NAc.PM, CertAIK—AR, ReAIK.AR, PCRsAR, ParmP.AR, EvalIMVs.AR,
ReiMVs-ar, RemjMVs-ac, Cert(jser-ar, Reuser-ar, Nar, Cei"tAIK-AC, ReAIK-ac, PCRsac,
Parmp-八c, EvalIMVs-AC, ReIMVs-AC, Rem,—AR, CertUser—AC, ReUser-AC,其他參數(shù) Text6]sig.PMu的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否則根據(jù)訪問(wèn)控制器的 平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果Re,Mv^c生成訪問(wèn)控制器的平臺(tái)完整性的 平臺(tái)級(jí)評(píng)估結(jié)果ReP.AC,根據(jù)訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK-AC 和訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep.Ac生成訪問(wèn)控制器的平臺(tái)鑒 別結(jié)果,接著根據(jù)訪問(wèn)控制器的平臺(tái)鑒別結(jié)果和訪問(wèn)控制器的用戶身份證書(shū)的 驗(yàn)證結(jié)果Reu^^生成訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的訪問(wèn)決策,最后訪問(wèn)控制器
根據(jù)訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gx、訪問(wèn)控制器的密鑰數(shù)據(jù)gy和用于協(xié)商密鑰的
ECDH參數(shù)ParmECDH生成訪問(wèn)請(qǐng)求者和訪問(wèn)控制器之間會(huì)話密鑰;若消息5為
第二種構(gòu)成形式,貝!h首先驗(yàn)證使用訪問(wèn)控制器的用戶身份證書(shū)Certuser-AC對(duì)應(yīng)
私鑰對(duì)消息5中除本字段外的其他字段的簽名[N放,NAC.PM, PCRsAC, [Nar, PCRsAc]sig-ACP, Reaccess, ReAiK-AC, Re^vs-AC, Reuser-AC, RemiMVs-AR, gy, [NAR, CertAIK—AC, ReA1K—AC, PCRsAC, ParmP.AC, EvalIMvs-Ac, ReIMVs-Ac, Rem麗s-AR, CertUsei-AC, ReUse,AC,其他參數(shù)Text7]Sig-PMU,其他參數(shù)Text5]Sig.ACU的有效性,若 驗(yàn)證不通過(guò),則丟棄該消息,否則驗(yàn)證使用訪問(wèn)控制器的平臺(tái)身份證書(shū) Cert風(fēng)-Ac對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR和訪問(wèn)控制器的平臺(tái)配置寄存器值 PCRSac白勺簽名[NAR, PCRsAC〗Sig-ACP 的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,
否則驗(yàn)證使用策略管理器的用戶身份證書(shū)Certuse卜pM對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的
挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK.AC,訪問(wèn)控制器的平臺(tái)身份證書(shū) 的驗(yàn)證結(jié)果ReAIK—AC,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAC,訪問(wèn)請(qǐng)求者向 訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Parmp-Ac,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EVal1MVs.AC,訪問(wèn)控制器的平臺(tái)完整性 的整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者 級(jí)修補(bǔ)信息RemIMVs-AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser-AC,訪問(wèn)控制器的 用戶身份證書(shū)的驗(yàn)證結(jié)果ReUsM.AC和其他參數(shù)Text7的筌名[Nar, CertAIK_AC, ReAtK.Ac, PCRsac, Parmp.Ac, EvalIMVs.AC, ReJMvs-ac, RemjMvs-ar, CertUser-Ac, ReUser—AC, 其他參數(shù)Text7]Sig.PMU的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否則根據(jù)訪
問(wèn)控制器的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果Re,MVs.AC生成訪問(wèn)控制器的平
臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AC,根據(jù)訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié) 果ReA,K.Ac和訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep-Ac生成訪問(wèn)控制 器的平臺(tái)鑒別結(jié)果,接著根據(jù)訪問(wèn)控制器的平臺(tái)鑒別結(jié)果和訪問(wèn)控制器的用戶 身份證書(shū)的驗(yàn)證結(jié)果Reu,AR生成訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的訪問(wèn)決策,最后
訪問(wèn)控制器根據(jù)訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gx、訪問(wèn)控制器的密鑰數(shù)據(jù)gy和用于協(xié)
商密鑰的ECDH參數(shù)ParmECDH生成訪問(wèn)請(qǐng)求者和訪問(wèn)控制器之間會(huì)話密鑰。 參見(jiàn)圖4、 5,在第二種模式下,本發(fā)明的具體步驟如下 l)訪問(wèn)控制器向訪問(wèn)請(qǐng)求者發(fā)送消息1,包括訪問(wèn)控制器的鑒別標(biāo)識(shí)NAC, 訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK-AC,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完 整性度量信息ParmP.AR,訪問(wèn)控制器的用戶身份證書(shū)Certu,Ac,用于協(xié)商密鑰 的ECDH參數(shù)ParmECDH和其他參數(shù)Textl;
2)訪問(wèn)請(qǐng)求者收到消息1后,首先根據(jù)訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平 臺(tái)完整性度量信息ParmP.AR提取相應(yīng)的訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值 PCRsAR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性度量日志LogAR和使用訪問(wèn)請(qǐng)求者平臺(tái)身
份證書(shū)對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的鑒別標(biāo)識(shí)NAC和訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器
值PCRsAR的簽名[NAc, PCRsAR]Sig-ARP,然后向訪問(wèn)控制器發(fā)送消息2,包括訪 問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性度量日志 LogAR,使用訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertA,k.ar對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的鑒 別標(biāo)識(shí)NAC和訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR的筌名[Nac, PCRsAR]Sig.ARP,訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAK,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAAR,
49訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息ParmP-AC,訪問(wèn)請(qǐng)求者對(duì) 訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略Evalp-Ac,訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù) gx ,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUser-AR,用于協(xié)商密鑰的ECDH參數(shù) ParmECDH,其他參數(shù)Text2和使用訪問(wèn)請(qǐng)求者的用戶身份證書(shū)Certu^.AR對(duì)應(yīng)私 鑰對(duì)消息2中除本字段外的其他字段的簽名[NAc,PCRsAR, LogAR, [NAC, PCRsar]sig-arp, NAR, Cert感.ar, ParmP-AC, EvalP.AC, gx, Certuser-ar, ParmECDH,其他 參數(shù)Text2〗sig掘;
3)訪問(wèn)控制器收到消息2后,首先驗(yàn)證使用訪問(wèn)請(qǐng)求者的用戶身份證書(shū) CertUse,..AR對(duì)應(yīng)私鑰對(duì)消息2中除本字段外的其他字段的簽名[NAC,PCRSAR, LogAR, [NAC, PCRsAR]sig.ARp, NAR, CertAIK.AR, ParmP.AC, EvalP—AC, gx , CertUser.AR, ParmECDH,其他參數(shù)Text2]Sig.ARU的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否 則驗(yàn)證使用訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK-AR對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的鑒 別標(biāo)識(shí)NAC和訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR的簽名[NAc, PCRs放]sig.然p的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否則根據(jù)訪問(wèn)請(qǐng)求者 向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Parmp.Ac提取相應(yīng)的訪問(wèn)控制器的平 臺(tái)配置寄存器值PCRsAC,訪問(wèn)控制器的平臺(tái)完整性度量日志LogAc和使用訪
問(wèn)控制器的平臺(tái)身份證書(shū)CertAK-ac對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)Nar和坊向
控審U器的平臺(tái)酉己置寄存器值PCRs八c的簽名[NAR, PCRsAC]sig—ACP, 然后向策略管
理器發(fā)送消息3,包括訪問(wèn)控制器的挑戰(zhàn)NAc.pm,訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)
請(qǐng)求者的平臺(tái)身份證書(shū)CertMK.ar,訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK-AC,訪問(wèn) 請(qǐng)求者的平臺(tái)配置寄存器值PCRSAR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性度量日志LogAR, 訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac,訪問(wèn)控制器的平臺(tái)完整性度量日志 LogAC,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP-AR,訪問(wèn)控 制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP-AR,訪問(wèn)請(qǐng)求者向訪 問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息ParmP_AC,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平 臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略Evalp'Ac,訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的MAC地址的 級(jí)聯(lián)值A(chǔ)DDID,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUsCT-AR,訪問(wèn)控制器的用戶身份證書(shū)Certu^.Ac和其他參數(shù)Text3;
4)策略管理器收到消息3后,首先生成訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn) 證結(jié)果Reu,ak和訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser.AC,然后生成 訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果Re^k.ar和訪問(wèn)控制器的平臺(tái)身份證書(shū) 的驗(yàn)證結(jié)果ReAIK.AC,若訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)有效,則生成訪問(wèn)請(qǐng)求者 的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep.m和訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)修 補(bǔ)信息RemP-AR,若訪問(wèn)控制器的平臺(tái)身份證書(shū)有效,則生成訪問(wèn)控制器的平 臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AC和訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信 息Remp.Ac,最后向訪問(wèn)控制器發(fā)送消息4,其中消息4的構(gòu)成形式有兩種。第 --種構(gòu)成形式下,消息4包括訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAtK_AR, 訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP—AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性 的平臺(tái)級(jí)修補(bǔ)信息RemP.AR,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AC, 訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AC,訪問(wèn)控制器的平臺(tái)完整性 的平臺(tái)級(jí)修補(bǔ)信息Remp.Ac,訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的MAC地址的級(jí)聯(lián)值 ADDID,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUsCT.AR,訪問(wèn)控制器的用戶 身份證書(shū)的驗(yàn)證結(jié)果ReUs -AC,使用策略管理器的用戶身份證書(shū)Certu,pm對(duì)應(yīng) 私鑰對(duì)訪問(wèn)控制器的挑戰(zhàn)NAC.PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK-AR,訪問(wèn) 請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值 PCRsAR,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP-AR,訪問(wèn) 控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EValP-AR,訪問(wèn)請(qǐng)求者的 平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AR,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ) 信息RemP.AC,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUs .AR,訪問(wèn)請(qǐng)求者的用戶身份 證書(shū)的驗(yàn)證結(jié)果Reu,m,訪問(wèn)請(qǐng)求者的挑戰(zhàn)nar,訪問(wèn)控制器的平臺(tái)身份證書(shū) CertAIK.AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAK—Ac,訪問(wèn)控制器的平臺(tái) 配置寄存器值PCRsac,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息 ParmP.AC,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP.AC, 訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep.Ac,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp-ar,訪問(wèn)控制器的用戶身份證書(shū)CertUse「AC,訪問(wèn)控制 器的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser.AC和其他參數(shù)Text6的簽名[NAc.pm, Cert風(fēng)-ar, ReAIK_AR, PCRsAR, ParmP.AR, EvalP.AR, ReP-AR, RemP-AC, Certuser-ar, Reuser-ar, NAR, Cert感-a" Rsaik-ac, PCRsac, ParmP-AC, EvalP-AC, ReP—AC, RemP-AR, CertUsCT-AC, ReUser.AC,其他參數(shù)Text6]Sig.PMU和其他參數(shù)Text4;第二種構(gòu)成形式 下,消息4包括訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AR,訪問(wèn)請(qǐng)求者的 平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP-AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ) 信息RemP-AR,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AC,訪問(wèn)控制器的 平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP-AC,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ) 信息Remp.Ac,訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的MAC地址的級(jí)聯(lián)值A(chǔ)DDID,訪問(wèn)請(qǐng) 求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUsCT.AR,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證 結(jié)果ReUser_AC,使用策略管理器的用戶身份證書(shū)Certuser.pm對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制 器的挑戰(zhàn)NAC.PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK—AR,訪問(wèn)請(qǐng)求者的平臺(tái)身 份證書(shū)的驗(yàn)證結(jié)果ReAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR,訪問(wèn)控 制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP.AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng) 求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平 臺(tái)級(jí)評(píng)估結(jié)果Rep.ar,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp.Ac,訪 問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUsCT.AR,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果 Reuser-ar和其他參數(shù)Text6的簽名[NAc-pm, CertAIK—AR, Re感孩,PCRsAR, ParmP-AR, Evalp.ar, Rep.ar, RemP.AC, Certuser-ar, ReUser—AR,其f也參類女Text6]Sig.PMu,使用策略 管理器的用戶身份證書(shū)Certu^pm對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制 器的平臺(tái)身份證書(shū)CertA1K-AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK-AC, 訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAC,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平 臺(tái)完整性度量信息Pamip.Ac,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí) 評(píng)估策略EvalP.AC,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep.Ac,訪問(wèn)請(qǐng) 求者的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息RemP-AR,訪問(wèn)控制器的用戶身份證書(shū) CertUse,AC,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser.AC和其他參數(shù)Text7的簽名[NAR, CertAIK.AC, ReAIK.AC, PCRsAC, ParmP.AC, EvalP-AC, ReP.AC, RemP.AR, CertUser_AC, ReUser-AC,其他參數(shù)Text7]sig德u和其他參數(shù)Text4;
5)訪問(wèn)控制器收到消息4后,若消息4為第一種構(gòu)成形式,貝U:首先驗(yàn) 證使用策略管理器的用戶身份證書(shū)CertUsCT-PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的挑戰(zhàn) NAC.PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的 驗(yàn)證結(jié)果ReAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR,訪問(wèn)控制器向訪 問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP.AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平 臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估 結(jié)果Rep.M,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp.Ac,訪問(wèn)請(qǐng)求者 的用戶身份證書(shū)CertUsCT.AR,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser—AR, 訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū)CertA1K-AC,訪問(wèn)控制器的 平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AC,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAC, 訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Parmp-Ac,訪問(wèn)請(qǐng)求者對(duì) 訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略Evalp.Ac,訪問(wèn)控制器的平臺(tái)完整 性的平臺(tái)級(jí)評(píng)估結(jié)果ReP-AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息 RemP.AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser.AC,訪問(wèn)控制器的用戶身份證書(shū) 的驗(yàn)證結(jié)果Reu,Ac和其他參數(shù)Text6的簽名[N AC-PM, Gert八lK-AR, ReAIK-AR, PCRsAR, Parmp-ar, EvdP-AR, ReP—Ar, RemP-Ac, Certuser-ar, Reuser-ar, NAR, CertAiK-Ac, ReAIK.AC, PCRsAC, Parmp-AC, EvalP—AC, ReP-AC, RemP-AR, CertUser-Ac, ReUser-AC,其他 參數(shù)TeXt6]Sig-PMU的有效性,然后根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果 ReAIK.AR和訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AR生成訪問(wèn)請(qǐng)求者 的平臺(tái)鑒別結(jié)果,接著根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)鑒別結(jié)果和訪問(wèn)請(qǐng)求者的用戶身 份證書(shū)的驗(yàn)證結(jié)果Reuser-ar生成訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的接入結(jié)果Reaccess, 接著生成訪問(wèn)控制器的密鑰數(shù)據(jù)g-v并根據(jù)訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gx、訪問(wèn)控制 器的密鑰數(shù)據(jù)gy和用于協(xié)商密鑰的ECDH參數(shù)ParmECDH生成訪問(wèn)請(qǐng)求者和訪 問(wèn)控制器之間會(huì)話密鑰,最后向訪問(wèn)請(qǐng)求者發(fā)送消息5 (第一種構(gòu)成形式),包
括訪問(wèn)控制器的挑戰(zhàn)NAC.pm,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRSAC,使用訪問(wèn)控制器的平臺(tái)身份證書(shū)Cert^K.Ac對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR和訪問(wèn)
控制器的平臺(tái)配置寄存器值PCRsAc的簽名[NAR, PCRsAC]Sig.ACP,訪問(wèn)控制器對(duì) 訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP—AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求 者的接入結(jié)果Re,M,消息4',訪問(wèn)控制器的密鑰數(shù)據(jù)gy,其他參數(shù)Text5和使 用訪問(wèn)控制器的用戶身份證書(shū)對(duì)應(yīng)私鑰對(duì)消息5中除本字段外的其他字段的簽 名[Nar, Nac.pm, PCRsac, [Nar, PCRsAC]Sig.ACP, EvalP.AR, Reaccess,消息4', gy,其他 參數(shù)TeXt5]Sig.ACU,其中消息4'指消息4中除訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的MAC 地址的級(jí)聯(lián)值A(chǔ)DDID外的其他字段;若消息4為第二種構(gòu)成形式,貝lj:首先 驗(yàn)證使用策略管理器的用戶身份證書(shū)CertUsei..PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的挑戰(zhàn) NAC.PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的 驗(yàn)證結(jié)果ReAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR,訪問(wèn)控制器向訪 問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP_AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平 臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估 結(jié)果Rep-m,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp.Ac,訪問(wèn)請(qǐng)求者 的用戶身份證書(shū)CertUsei..AR,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu鄉(xiāng).ar和 其他參數(shù)Text6的簽名[NAc.pm, CertAIK—AR, ReAIK.AR, PCRsAR, ParmP.AR, EvalP.AR, ReP.AR, RemP.AC, CertUsewVR, ReUser-AR,其他參數(shù)Text6]Sig.PMU的有效性,然后根據(jù) 訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AR和訪問(wèn)請(qǐng)求者的平臺(tái)完整性的 平臺(tái)級(jí)評(píng)估結(jié)果Rep.m生成訪問(wèn)請(qǐng)求者的平臺(tái)鑒別結(jié)果,接著根據(jù)訪問(wèn)請(qǐng)求者 的平臺(tái)鑒別結(jié)果和訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu^ar生成訪問(wèn)控 制器對(duì)訪問(wèn)請(qǐng)求者的接入結(jié)果Re^^,接著生成訪問(wèn)控制器的密鑰數(shù)據(jù)gy并根
據(jù)訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gx、訪問(wèn)控制器的密鑰數(shù)據(jù)gy和用于協(xié)商密鑰的
ECDH參數(shù)ParaiK:dh生成訪問(wèn)請(qǐng)求者和訪問(wèn)控制器之間會(huì)話密鑰,最后向訪問(wèn)
請(qǐng)求者發(fā)送消息5 (第二種構(gòu)成形式),包括訪問(wèn)控制器的挑戰(zhàn)NAC-pm,訪問(wèn)控
制器的平臺(tái)配置寄存器值PCRsac,使用訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK-AC 對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)N^和訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac 的筌名[Nar, PCRsAC]Sig.ACP, Rea(xess,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AC,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AC,訪問(wèn)控制器的用 戶身份證書(shū)的驗(yàn)證結(jié)果Rei^.Ac,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息 RemP.AR,訪問(wèn)控制器的密鑰數(shù)據(jù)gy,使用策略管理器的用戶身份證書(shū) CertUsCT.PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū) CertA[K.AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA,K.Ac,訪問(wèn)控制器的平臺(tái) 配置寄存器值PCRsAC,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息 Parmp.Ac,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略Evalp—AC, 訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP-AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性 的平臺(tái)級(jí)修補(bǔ)信息RemP.AR,訪問(wèn)控制器的用戶身份證書(shū)CertUsCT-AC,訪問(wèn)控制 器的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu,Ac和其他參數(shù)Text7的簽名[N^, CertAIK-AC, Re八iK-ac, PCRsAC, Parmp-Ac, EvalP_AC, ReP-AC, Remp-ar, CertUser-AC, ReUser-AC,其他 參數(shù)TeXt7]s,g.PMU,其他參數(shù)Text5和使用訪問(wèn)控制器的用戶身份證書(shū)CertUser-AC 對(duì)應(yīng)私鑰對(duì)消息5中除本字段外的其他字段的簽名[nar, nac.pm, PCRsac, [Nar, PCRsAc]sig-acp, Reaccess, ReA1K-AC, ReP.AC, ReUser.AC, RemP.AR, gy, [NAr, CertAIK.Ac, ReAIK—AC, PCRsAC, Parmp-Ac, EvalP.AC, ReP.AC, RemP.AR, CertUser—AC, ReUser.AC,其{也 參數(shù)Text7]Sig.PMU,其他參數(shù)Text5]Sig.ACU;
6)訪問(wèn)請(qǐng)求者收到消息5后,若消息5為第一種構(gòu)成形式,貝(j:首先驗(yàn) 證使用訪問(wèn)控制器的用戶身份證書(shū)Cert^.Ac對(duì)應(yīng)私鑰對(duì)消息5中除本字段外 的其他字段的簽名[nar, nac-pm, PCRsac, [Nar, PCRsAC]Sig—ACP, EvalP—AR, Reaccess, 消息4', gy,其他參數(shù)Text5]sig.Acu的有效性,若驗(yàn)證不通過(guò),則丟棄該消息, 否則驗(yàn)證使用訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK.AC對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的 挑戰(zhàn)nar和訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAC的簽名[nar, PCRsAC]Sig-ACP 的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否則驗(yàn)證消息4'中的使用策略管理 器的用戶身份證書(shū)CertUse,PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的挑戰(zhàn)NAC.PM,訪問(wèn)請(qǐng)求者 的平臺(tái)身份證書(shū)CertAIK_AR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK-AR, 訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平 臺(tái)完整性度量信息ParmP.AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep-ar,訪問(wèn)控 制器的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp.Ac,訪問(wèn)請(qǐng)求者的用戶身份證書(shū) CertUsCT.AR,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser.AR,訪問(wèn)請(qǐng)求者的挑 戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK.AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的 驗(yàn)證結(jié)果ReAK.AC,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAC,訪問(wèn)請(qǐng)求者向訪 問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息ParmP.AC,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平 臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略Evalp—Ac,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估 結(jié)果Rep.Ac,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp.ak,訪問(wèn)控制器 的用戶身份證書(shū)Certu,Ac,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu,Ac和 其他參數(shù)Text6的簽名[NAc.pM, CertAIK.AR, ReA1K_AR, PCRsar, ParmP—AR, EvalP.AR, Rep-AR, Remp.Ac, Gertuser-ar, ReUser.AR, Nar, CertAIK.AC, ReAiK-Ac, PCRsAc, ParmP.AC, Evalp—Ac, Rep.Ac, RemP.AR, Certuser-ac, ReUser-AC,其他參數(shù)Text6]Sig.PMu的有效性, 若驗(yàn)證不通過(guò),則丟棄該消息,否則根據(jù)訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié) 果ReAUd和訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep-Ac生成訪問(wèn)控制 器的平臺(tái)鑒別結(jié)果,接著根據(jù)訪問(wèn)控制器的平臺(tái)鑒別結(jié)果和訪問(wèn)控制器的用戶 身份證書(shū)的驗(yàn)證結(jié)果Reu^^生成訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的訪問(wèn)決策,最后
訪問(wèn)控制器根據(jù)訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gx、訪問(wèn)控制器的密鑰數(shù)據(jù)gy和用于協(xié)
商密鑰的ECDH參數(shù)PamiECDH生成訪問(wèn)請(qǐng)求者和訪問(wèn)控制器之間會(huì)話密鑰; 若消息5為第二種構(gòu)成形式,貝lj:首先驗(yàn)證使用訪問(wèn)控制器的用戶身份證書(shū) CertUsCT.AC對(duì)應(yīng)私鑰對(duì)消息5中除本字段外的其他字段的簽名[NAR, NAC-PM, PCRs八c, [NAR, PCRsAC]Sig-ACp, Reaccess, ReAIK-AC, ReP-AC, ReUser_AC, RemP-AR, gy, [NAR, CertA1K—AC, ReAIK—AC, PCRsAC, ParmP-AC, EvalP—AC, ReP-AC, RemP—AR, Certuser-ac, ReUser-AC,其他參數(shù)Text7]sig-PMU,其他參數(shù)Text5]Sig.ACU的有效性,若驗(yàn)證不通 過(guò),則丟棄該消息,否則驗(yàn)證使用訪問(wèn)控制器的平臺(tái)身份證書(shū)CerUnc-Ac對(duì)應(yīng)私
鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR和訪問(wèn)控制器的平臺(tái)配置寄存器值PCRSAC的簽名Sig—acp的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否則驗(yàn)證使用策
略管理器的用戶身份證書(shū)Certuser.pm對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK-AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果 ReA1K.AC,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器 請(qǐng)求的平臺(tái)完整性度量信息ParmP.AC,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性 的平臺(tái)級(jí)評(píng)估策略Evalp.Ac,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep.Ac 訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息RemP.AR,訪問(wèn)控制器的用戶身份 證書(shū)CertUsCT.AC,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUsCT.AC和其他參數(shù) Text7的簽名[NAR, CertAIK.AC, ReAIK.AC, PCRsAC, ParmP.AC, EvalP.AC, ReP—AC, RemP-AR, CertUser-AC, ReUser.AC,其他參數(shù)Text7]Sig.PMU的有效性,若驗(yàn)證不通過(guò),
則丟棄該消息,否則根據(jù)訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAK.ac和訪
問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep-Ac生成訪問(wèn)控制器的平臺(tái)鑒別結(jié) 果,接著根據(jù)訪問(wèn)控制器的平臺(tái)鑒別結(jié)果和訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證 結(jié)果Reu,M生成訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的訪問(wèn)決策,最后訪問(wèn)控制器可以
根據(jù)訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gx、訪問(wèn)控制器的密鑰數(shù)據(jù)gy和用于協(xié)商密鑰的
ECDH參數(shù)ParmECDH生成訪問(wèn)請(qǐng)求者和訪問(wèn)控制器之間會(huì)話密鑰。
權(quán)利要求
1、一種基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接握手方法,其特征在于該方法包括以下步驟1)訪問(wèn)控制器向訪問(wèn)請(qǐng)求者發(fā)送消息1,包括訪問(wèn)控制器的鑒別標(biāo)識(shí)NAC,訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK-AC,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP-AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser-AC,用于協(xié)商密鑰的ECDH參數(shù)ParmECDH和其他參數(shù)Text1;2)訪問(wèn)請(qǐng)求者收到消息1后,向訪問(wèn)控制器發(fā)送消息2;3)訪問(wèn)控制器收到消息2后,向策略管理器發(fā)送消息3;4)策略管理器收到消息3后,向訪問(wèn)控制器發(fā)送消息4;5)訪問(wèn)控制器收到消息4后,向訪問(wèn)請(qǐng)求者發(fā)送消息5;6)訪問(wèn)請(qǐng)求者收到消息5后,完成可信網(wǎng)絡(luò)連接握手。
2、 根據(jù)權(quán)利要求1所述的基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接握手方法,其特征在于所述步驟2)的具體步驟如下訪問(wèn)請(qǐng)求者收到消息l后,首先根據(jù)訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息Parmp-AR提取相應(yīng)的訪 問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性度量日志 LogAR和使用訪問(wèn)請(qǐng)求者平臺(tái)身份證書(shū)對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的鑒別標(biāo)識(shí)NAC 和訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR的簽名[NAc, PCRsAR]Sig-ARP,然后向 訪問(wèn)控制器發(fā)送消息2,包括訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRSAR,訪問(wèn)請(qǐng) 求者的平臺(tái)完整性度量日志LogAR,使用訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK-AR 對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的鑒別標(biāo)識(shí)NAC和訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRSM的簽名[NAC,PCRSAR]sig-ARP,訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK.AR,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息 Parmp.Ac,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略 Eval1MVs.AC,訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gx ,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)Certuser-八R, 用于協(xié)商密鑰的ECDH參數(shù)ParmECDH,其他參數(shù)Text2和使用訪問(wèn)請(qǐng)求者的用 戶身份證書(shū)Certu^M對(duì)應(yīng)私鑰對(duì)消息2中除本字段外的其他字段的簽名[NAC,PCRsAR, LogAR, [NAC, PCRsAR]Sig.ARP, NAR, CertAIK.AR, ParmP.AC, EvaIIMVs.AC, gx, CertUser-AR, ParmECDH,其他參數(shù)Text2〗Sig-ARU 。
3、 根據(jù)權(quán)利要求2所述的基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接握手方法, 其特征在于所述步驟3)的具體步驟如下訪問(wèn)控制器收到消息2后,首先驗(yàn)證使用訪問(wèn)請(qǐng)求者的用戶身份證書(shū)Certu,AR對(duì)應(yīng)私鑰對(duì)消息2中除本字段 外的其他字段的簽名[NAc,PCRsAR, LogAR, [NAC, PCRsAR]sig-ARP, NAR, CertAIK—AR, Parmp-Ac, EvalIMVs.AC, gx, CertUser-AR, ParmECDH,其他參數(shù)Text2]Sig.ARU的有效性, 若驗(yàn)證不通過(guò),則丟棄該消息,否則驗(yàn)證使用訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū) CerUu〈.M對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的鑒別標(biāo)識(shí)NAc和訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRSAR的簽名[NAC,PCRSAR]sig.ARp的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否則根據(jù)訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Pamip.Ac提 取相應(yīng)的訪問(wèn)控制器的平臺(tái)配置寄存器值PCRSac,訪問(wèn)控制器的平臺(tái)完整性度 量日志LogAc和使用訪問(wèn)控制器的平臺(tái)身份證書(shū)Cert^k.Ac對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng) 求者的挑戰(zhàn)NAR和訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAC的筌名[Nak, PCRsAC]Slg.ACP,然后向策略管理器發(fā)送消息3,包括訪問(wèn)控制器的挑戰(zhàn)NAc-pm, 訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK.AR,訪問(wèn)控制器的 平臺(tái)身份證書(shū)CerU,k.Ac,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRSAR,訪問(wèn)請(qǐng)求者 的平臺(tái)完整性度量日志LogAR,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAC,訪問(wèn) 控制器的平臺(tái)完整性度量日志LogAC,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完 整性度量信息ParmP.AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn) 者級(jí)評(píng)估策略Eval1MVs.AR,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信 息ParmP.AC,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策 略Eval,Mn,訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的MAC地址的級(jí)聯(lián)值A(chǔ)DDID,訪問(wèn)請(qǐng) 求者的用戶身份證書(shū)CertUser.AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser.AC和其他 參數(shù)Text3 。
4、 根據(jù)權(quán)利要求3所述的基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接握手方法, 其特征在于所述步驟4)的具體步驟如下首先生成訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu,AR和訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser-AC,然后生成訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAiAR和訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AC,若訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)有效,則生成訪問(wèn)請(qǐng)求者的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果RAMVs.AK和訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs.AR,若訪問(wèn)控制器的平臺(tái)身份證書(shū) 有效,則生成訪問(wèn)控制器的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果Re^vs-Ac和訪 問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs.AC,最后向訪問(wèn)控 制器發(fā)送消息4,其中消息4的構(gòu)成形式有兩種,第一種構(gòu)成形式下,消息4 包括訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整 性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn) 者級(jí)修補(bǔ)信息Rem1MVs—AR,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA,K.Ac,訪 問(wèn)控制器的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果Re1MVs.AC,訪問(wèn)控制器的平臺(tái) 完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs.AC,訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的 MAC地址的級(jí)聯(lián)值A(chǔ)DDID,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser.AR, 訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUsCT.AC,使用策略管理器的用戶身份 證書(shū)Certu^pM對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的挑戰(zhàn)NAc,,訪問(wèn)請(qǐng)求者的平臺(tái)身份證 書(shū)CertAIK-AR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK-AR,訪問(wèn)請(qǐng)求者的 平臺(tái)配置寄存器值PCRsAR,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量 信息ParmP.AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估 策略Eval1MVs—AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估結(jié)果 Re1MVs.AR,訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息Rem,MVs.Ac,訪 問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUsCT.AR,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果 ReUsCT.AR,訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAK,訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK-AC,訪問(wèn) 控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK-AC,訪問(wèn)控制器的平臺(tái)配置寄存器值 PCRsAC,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Parmp.Ac,訪問(wèn) 請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EValIMVs.AC,訪 問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs-AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs_AR,訪問(wèn)控制器的用戶身份證書(shū) CertUser.AC,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser.AC和其他參數(shù)Text6 的簽名[Nac-pm, CertAiK-ar, Re八iK-ar, PCRsar, Parmp-ar, EvaliMVs-ar, ReiMVs-ar, Rem麵s-ac, Certuser-ar, Reuser-ar, Nar, CertAiK-ac, ReAiK-Ac, PCRsac, Parmp-Ac, EvalIMVs-Ac, ReIMVs-AC, Rem1MVs-AR, CertUser-Ac, ReUser-Ac,其他參數(shù)Text6]sig-pMu禾口 其他參數(shù)Text4;第二種構(gòu)成形式下,消息4包括訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū) 的驗(yàn)證結(jié)果ReAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果 Re1MVs.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息RennMv"k,訪 問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK—AC,訪問(wèn)控制器的平臺(tái)完整性的整 性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AC,訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修 補(bǔ)信息RemIMVs.AC,訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的MAC地址的級(jí)聯(lián)值A(chǔ)DDID, 訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUsCT.AR,訪問(wèn)控制器的用戶身份證書(shū) 的驗(yàn)證結(jié)果ReUsCT.AC,使用策略管理器的用戶身份證書(shū)Certuse卜pm對(duì)應(yīng)私鑰對(duì)訪 問(wèn)控制器的挑戰(zhàn)NAC-PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK.AR,訪問(wèn)請(qǐng)求者的 平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK-AR,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR, 訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP.AR,訪問(wèn)控制器對(duì) 訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EValIMVs.AR,訪問(wèn)請(qǐng)求者 的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AR,訪問(wèn)控制器的平臺(tái)完整性的 完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs-AC,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUser-AR, 訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu^ar和其他參數(shù)Text6的簽名 [Nac-pm, CertAIK—AR, ReAiK-ar, PCRs八r, ParmP.AR, Eva"MVs-ar, Reimvs.ar, Remimvs—ac, CertUser.AR, ReUse「AR,其他參數(shù)Text6]Sig.PMU,使用策略管理器的用戶身份證書(shū) CertUsCT.PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū) CertA1K.AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果Re皿-Ac,訪問(wèn)控制器的平臺(tái) 配置寄存器值PCRsAC,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息 ParmP.AC:,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略 EVdIMVs.AC,訪問(wèn)控制器的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果Renvjvs-Ac,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs.AR,訪問(wèn)控制器的用 戶身份證書(shū)CertUser-AC,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果Reuser-Ac和其他 參數(shù)Text7的簽名[NAR, CertAIK.AC, ReAIK.AC, PCRsAC, ParmP.AC, EvalIMVs.AC, ReiMVs扁Ac, RemMVs.AR, CertUse,.-AC, ReUser.AC,其他參數(shù)Text7]Sig.pMU禾卩其他參數(shù) Text4。
5、根據(jù)權(quán)利要求4所述的基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接握手方法, 其特征在于所述步驟5)的具體步驟如下訪問(wèn)控制器收到消息4后,若消息4為第一種構(gòu)成形式,則首先驗(yàn)證使用策略管理器的用戶身份證書(shū)Certu^PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的挑戰(zhàn)NAC.PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK.AR, 訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK-AR,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存 器值PCRsAR,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP.AR, 訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略Eval,MVs.AR, 訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估結(jié)果Re1MVs.AR,訪問(wèn)控制器的 平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs-AC,訪問(wèn)請(qǐng)求者的用戶身份證 書(shū)CertUsei..AR,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser-AR,訪問(wèn)請(qǐng)求者的 挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK.AC,訪問(wèn)控制器的平臺(tái)身份證書(shū) 的驗(yàn)證結(jié)果ReAIK.AC,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAC,訪問(wèn)請(qǐng)求者向 訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Parmp.Ac,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的 平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EValIMVs-AC,訪問(wèn)控制器的平臺(tái)完整性 的完整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn) 者級(jí)修補(bǔ)信息RemIMVs.AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser-AC,訪問(wèn)控制器 的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser.AC和其他參數(shù)Text6的簽名[NAC-PM, Cert組-ar, ReAIK-AR, PCRsar, ParmP—AR, EvalIMvs-ar, ReIMVs—Ar, RemIMvs-ac, CertUser.AR, ReUser.AR, NAR, CertAiK.AC, ReAIK—AC, PCRsAC, ParmP.AC, EvalIMVs-AC, ReIMVs.AC, RemIMVs-AR, CertUser-AC, ReUser-AC,其他參數(shù)Text6]Sig-pMU的有效性,然后 根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果Renvivs-AR生成訪問(wèn)請(qǐng)求 者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AR,根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA^^和訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep-ar生成訪問(wèn)請(qǐng)求者的平臺(tái)鑒別結(jié)果,接著根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)鑒別結(jié)果和訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu,ar生成訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的接入結(jié)果 Rea(xess,接著生成訪問(wèn)控制器的密鑰數(shù)據(jù)gy并根據(jù)訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gx、 訪問(wèn)控制器的密鑰數(shù)據(jù)gy和用于協(xié)商密鑰的ECDH參數(shù)PamiECDH生成訪問(wèn)請(qǐng) 求者和訪問(wèn)控制器之間會(huì)話密鑰,最后向訪問(wèn)請(qǐng)求者發(fā)送消息5 (第一種構(gòu)成 形式),包括訪問(wèn)控制器的挑戰(zhàn)NAC.PM,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac, 使用訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAK-Ac對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR 和訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAc的簽名[NAR, PCRsAC]Sig.ACP,訪問(wèn)控 制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EvalIMVs_AR,訪問(wèn) 控制器對(duì)訪問(wèn)請(qǐng)求者的接入結(jié)果Re^,消息4',訪問(wèn)控制器的密鑰數(shù)據(jù)gy,其 他參數(shù)Text5和使用訪問(wèn)控制器的用戶身份證書(shū)對(duì)應(yīng)私鑰對(duì)消息5中除本字段 外的其他字段的簽名[NAR, Nac掘,PCRsac, [Nar, PCRsAC]sig-ACP, EvalIMVs-AR, Reaceess,消息4', gy,其他參數(shù)Text5]sig-Acu,其中消息4'指消息4中除訪問(wèn)請(qǐng)求 者和訪問(wèn)控制器的MAC地址的級(jí)聯(lián)值A(chǔ)DDID外的其他字段;若消息4為第二種構(gòu)成形式,貝(j:首先驗(yàn)證使用策略管理器的用戶身份證書(shū)Certu鄉(xiāng).pm對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的挑戰(zhàn)NAC-PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertA1K.AR,訪問(wèn)請(qǐng) 求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAfK—AR,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值 PCRsAR,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP—AR,訪問(wèn) 控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EvalIMVs.AR,訪 問(wèn)請(qǐng)求者的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果Re1MVs.AR,訪問(wèn)控制器的平臺(tái) 完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs.AC,訪問(wèn)請(qǐng)求者的用戶身份證書(shū) CertUsCT-AR,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser.AR和其他參數(shù)Text6 的簽名[NAc—pm, CertAIK.AR, ReA1K—AR, PCRsAR, ParmP.AR, EvalIMVs.AR, ReIMVs-AR, RemIMVs-AC, CertUser-AR, ReUser-AR,其他參數(shù)Text6]Sig-PMlJ的有效性,然后根據(jù)訪問(wèn) 請(qǐng)求者的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果Rewvs.ar生成訪問(wèn)請(qǐng)求者的平臺(tái) 完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AR,根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AR和訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP_AR生成訪問(wèn)請(qǐng)求者 的平臺(tái)鑒別結(jié)果,接著根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)鑒別結(jié)果和訪問(wèn)請(qǐng)求者的用戶身 份證書(shū)的驗(yàn)證結(jié)果Reuser.ar生成訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的接入結(jié)果Reaccess,接著生成訪問(wèn)控制器的密鑰數(shù)據(jù)gy并根據(jù)訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gx、訪問(wèn)控制器的密鑰數(shù)據(jù)gy和用于協(xié)商密鑰的ECDH參數(shù)ParaiECDH生成訪問(wèn)請(qǐng)求者和訪 問(wèn)控制器之間會(huì)話密鑰,最后向訪問(wèn)請(qǐng)求者發(fā)送消息5 (第二種構(gòu)成形式),包括訪問(wèn)控制器的挑戰(zhàn)nac.pm,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRSAC,使用訪 問(wèn)控制器的平臺(tái)身份證書(shū)CertAK-ac對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR和訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAc的簽名[NAR, PCRsAC]Sig.ACP, Reaccess,訪問(wèn)控 制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA1K_AC,訪問(wèn)控制器的平臺(tái)完整性的整性校 驗(yàn)者級(jí)評(píng)估結(jié)果RAMVs.Ac,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu,Ac,訪 問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs-AR,訪問(wèn)控制器的密鑰數(shù)據(jù)gy,使用策略管理器的用戶身份證書(shū)Certu,pM對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK-AC,訪問(wèn)控制器的平臺(tái)身份證 書(shū)的驗(yàn)證結(jié)果ReAIK.AC,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac,訪問(wèn)請(qǐng)求者 向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Parmp-Ac,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器 的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略Eval1MVs.AC,訪問(wèn)控制器的平臺(tái)完整 性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn) 者級(jí)修補(bǔ)信息RemIMVs.AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser-AC,訪問(wèn)控制器 的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu,Ac和其他參數(shù)Text7的筌名[Nar, CertAIK.AC, ReAiK-Ac, PCRsAC, Parmp-Ac, EvalIMVs.Ac, Re誇s-AC, Rem麗s-ar, CertUser-AC, ReUser-Ac, 其他參數(shù)Text7]Sig.PMU,其他參數(shù)Text5和使用訪問(wèn)控制器的用戶身份證書(shū) CertUsCT.AC對(duì)應(yīng)私鑰對(duì)消息5中除本字段外的其他字段的簽名[NAR, NAC.PM, PCRsAC, [Nar, PCRsAc]sig-acp, Re獄ss, ReAiK-ac, ReiMVs-ac, ReUser—AC, Rem1MVs-AR, gy, [NAR, CertAIK-AC, Re嵐-Ac, PCRsAC, Parmp.Ac, EvaliMvs-Ac, ReMVs-AC, RemiMvs-AR, CertUser-AC, ReUser—AC,其他參數(shù)Text7]Sig-PMU,其他參數(shù)Text5]Sig-ACU。
6、根據(jù)權(quán)利要求5所述的基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接握手方法,其特征在于所述步驟6)的具體步驟如下訪問(wèn)請(qǐng)求者收到消息5后,若消 息5為第一種構(gòu)成形式,則首先驗(yàn)證使用訪問(wèn)控制器的用戶身份證書(shū)Certuser-ac對(duì)應(yīng)私鑰對(duì)消息5中除本字段外的其他字段的簽名[NAR, NAC.PM, PCRsac, [Nar, PCRsAC]ccess 消息4', gy,其他參數(shù)Text5]Sig-ACU的有效性, 若驗(yàn)證不通過(guò),則丟棄該消息,否則驗(yàn)證使用訪問(wèn)控制器的平臺(tái)身份證書(shū)CertA,k.ac對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR和訪問(wèn)控制器的平臺(tái)配置寄存器值 PCRSAC的簽名[NAR, PCRSAc]sig.ACp的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否則驗(yàn)證消息4'中的使用策略管理器的用戶身份證書(shū)CertUser.PM對(duì)應(yīng)私鑰對(duì)訪 問(wèn)控制器的挑戰(zhàn)NAC-PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK.AR,訪問(wèn)請(qǐng)求者的 平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK-AR,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsar, 訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP.AR,訪問(wèn)控制器對(duì) 訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略Eval1MVs-AR,訪問(wèn)請(qǐng)求者 的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AR,訪問(wèn)控制器的平臺(tái)完整性 的完整性校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs-AC,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUser_AR, 訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu^ar,訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn) 控制器的平臺(tái)身份證書(shū)CertA1K.AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果 ReAIK—AC,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器 請(qǐng)求的平臺(tái)完整性度量信息Parmp.Ac,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性 的完整性校驗(yàn)者級(jí)評(píng)估策略EvalIMVs.AC,訪問(wèn)控制器的平臺(tái)完整性的完整性校 驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性校驗(yàn)者級(jí)修補(bǔ)信 息RemIMVs.AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser-AC,訪問(wèn)控制器的用戶身份 證書(shū)的驗(yàn)證結(jié)果ReUser-AC其他參數(shù)Text6的簽名[NAc.踢,CertAIK-AR, ReAIK.AR, PCRsar, Parmp—ar, EvaliMVs-ar, Re謂s-ar, Rem!MVs-Ac, Certuser-ar, Reuser-ar, Nar, Cert息-八c, ReAiK-Ac, PCRsAC, ParmP-AC, EvaliMVs-AC, Re麗s-八c, Remimvs-ar, CertUsei..AC, ReUsM.AC,其他參數(shù)Text6]sig.PMu的有效性,若驗(yàn)證不通過(guò),則丟棄該 消息,否則根據(jù)訪問(wèn)控制器的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs-AC生 成訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP-AC,根據(jù)訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AC和訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果 ReP.AC生成訪問(wèn)控制器的平臺(tái)鑒別結(jié)果,接著根據(jù)訪問(wèn)控制器的平臺(tái)鑒別結(jié)果 和訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu,ar生成訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制 器的訪問(wèn)決策,最后訪問(wèn)控制器根據(jù)訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gx、訪問(wèn)控制器的 密鑰數(shù)據(jù)gy和用于協(xié)商密鑰的ECDH參數(shù)ParaiECDH生成訪問(wèn)請(qǐng)求者和訪問(wèn)控 制器之間會(huì)話密鑰;若消息5為第二種構(gòu)成形式,貝'」首先驗(yàn)證使用訪問(wèn)控制 器的用戶身份證書(shū)Certu^Ac對(duì)應(yīng)私鑰對(duì)消息5中除本字段外的其他字段的簽名[Nar, Nac-pm, PCRSac, [Nar, PCRsac]Sig-acp, Re,ss, Re八k-ac, Re麗s-ac, ReUser-ac,Rem瞎s-AR, gy, [NAR, Cert雄-Ac, ReAIK-AC, PCRsAC, ParmP-AC, EvalIMVs—AC, ReiMVs.Ac, RemIMVs-AR, CertUser-AC, ReUser-AC,其他參數(shù)Text7〗Sig-pMU,其他參數(shù)Text5]sig-ACU 的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否則驗(yàn)證使用訪問(wèn)控制器的平臺(tái)身 份證書(shū)CertA,k.Ac對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR和訪問(wèn)控制器的平臺(tái)配置寄存器值PCRSAc的簽名[NAR,PCRSAckg-acp的有效性,若驗(yàn)證不通過(guò),貝l話棄該消息,否則驗(yàn)證使用策略管理器的用戶身份證書(shū)Certu,pm對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng) 求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAllC-AC,訪問(wèn)控制器的平臺(tái)身 份證書(shū)的驗(yàn)證結(jié)果ReAIK-AC,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac,訪問(wèn)請(qǐng) 求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Parmp-Ac,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控 制器的平臺(tái)完整性的完整性校驗(yàn)者級(jí)評(píng)估策略EVal1MVs_AC,訪問(wèn)控制器的平臺(tái) 完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果ReIMVs.AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的完整性 校驗(yàn)者級(jí)修補(bǔ)信息RemIMVs-AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser_AC,訪問(wèn)控 制器的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser_AC和其他參數(shù)Text7的筌名[Nar, CertAIK—AC、 Re感-Ac, PCRsAC, ParmP-Ac, EvalIMVs-AC, Rs譜s-ac, Remimvs_ar, CertUsei..AC, ReUsCT.AC,其他參數(shù)Text7kg—PMu的有效性,若驗(yàn)證不通過(guò),則丟棄該 消息,否則根據(jù)訪問(wèn)控制器的平臺(tái)完整性的整性校驗(yàn)者級(jí)評(píng)估結(jié)果Re^vs-Ac生 成訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP-AC,根據(jù)訪問(wèn)控制器的平臺(tái) 身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AC和訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果 ReP.AC生成訪問(wèn)控制器的平臺(tái)鑒別結(jié)果,接著根據(jù)訪問(wèn)控制器的平臺(tái)鑒別結(jié)果和訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUsCT.AR生成訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的訪問(wèn)決策,最后訪問(wèn)控制器根據(jù)訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gx、訪問(wèn)控制器的密鑰數(shù)據(jù)gy和用于協(xié)商密鑰的ECDH參數(shù)ParmECDH生成訪問(wèn)請(qǐng)求者和訪問(wèn)控制器之間會(huì)話密鑰。
7、 根據(jù)權(quán)利要求1所述的基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接握手方法,其特征在于所述步驟2)的具體步驟如下訪問(wèn)請(qǐng)求者收到消息l后,首先 根據(jù)訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息Parmp-AK提取相應(yīng)的 訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性度量日志 LogAR和使用訪問(wèn)請(qǐng)求者平臺(tái)身份證書(shū)對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的鑒別標(biāo)識(shí)NAC 和訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAK的簽名[NAc, PCRsAR]Sig-ARP,然后向訪問(wèn)控制器發(fā)送消息2,包括訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRSAK,訪問(wèn)請(qǐng)求者的平臺(tái)完整性度量日志LogAR,使用訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertA1K.AR 對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的鑒別標(biāo)識(shí)NAC和訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRSAR的簽名[NAc,PCRSAR]sig.ARp,訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK.AR,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息 ParmP.AC,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略Evalp.Ac, 訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gx ,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)Certu,AR,用于協(xié)商密 鑰的ECDH參數(shù)ParmECDH,其他參數(shù)Text2和使用訪問(wèn)請(qǐng)求者的用戶身份證書(shū) CertUsCT.AR對(duì)應(yīng)私鑰對(duì)消息2中除本字段外的其他字段的簽名[NAc,PCRsAR, LogAR, [NAC, PCRsAR]Sig.ARp, NAR, CertAIK.AR, ParmP.AC, EvalP.AC, gx , CertUser.AR, ParmECDH,其他參數(shù)Text2]Sig-ARU。
8、 根據(jù)權(quán)利要求7所述的基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接握手方法, 其特征在于所述步驟3)的具體步驟如下訪問(wèn)控制器收到消息2后,首先 驗(yàn)證使用訪問(wèn)請(qǐng)求者的用戶身份證書(shū)Certu^-AR對(duì)應(yīng)私鑰對(duì)消息2中除本字段 外的其他字段的簽名[NAc,PCRsAR, LogAR, [NAC, PCRsAR]Sig-ARP, NAR, CertA1K-AR, Parmp.Ac, EvalP-AC, gx, Certu,AR, ParmECDH,其他參數(shù)Text2]Sig-ARU的有效性,若 驗(yàn)證不通過(guò),則丟棄該消息,否則驗(yàn)證使用訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CerU^^對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的鑒別標(biāo)識(shí)NAc和訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRSAK的簽名[NAC,PCRSAR]sig.ARp的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否則根據(jù)訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Parmp.Ac提 取相應(yīng)的訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac,訪問(wèn)控制器的平臺(tái)完整性度量日志L0gAC和使用訪問(wèn)控制器的平臺(tái)身份證書(shū)CertA,k.ac對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR和訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAC的簽名[NAK, PCRsAC]Sig.ACP,然后向策略管理器發(fā)送消息3,包括訪問(wèn)控制器的挑戰(zhàn)NAc-pM, 訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK.AR,訪問(wèn)控制器的 平臺(tái)身份證書(shū)CertAK.Ac,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRs^,訪問(wèn)請(qǐng)求者 的平臺(tái)完整性度量日志LogAR,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAC,訪問(wèn) 控制器的平臺(tái)完整性度量日志LogAc,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完 整性度量信息ParmP-AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估 策略EvalP-AR,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Parmp-Ac, 訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略Evalp.Ac,訪問(wèn)請(qǐng)求 者和訪問(wèn)控制器的MAC地址的級(jí)聯(lián)值A(chǔ)DDID,訪問(wèn)請(qǐng)求者的用戶身份證書(shū) CertUser.AR,訪問(wèn)控制器的用戶身份證書(shū)Certuser.Ac和其他參數(shù)Text3。
9、根據(jù)權(quán)利要求8所述的基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接握手方法, 其特征在于所述步驟4)的具體步驟如下策略管理器收到消息3后,首先 生成訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser.AR和訪問(wèn)控制器的用戶身份 證書(shū)的驗(yàn)證結(jié)果ReUsei..AC,然后生成訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果 Re認(rèn)-ar和訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK-AC,若訪問(wèn)請(qǐng)求者的平 臺(tái)身份證書(shū)有效,則生成訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep.ar和 訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息RemP.AR,若訪問(wèn)控制器的平臺(tái)身 份證書(shū)有效,則生成訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep.Ac和訪問(wèn) 控制器的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp.Ac,最后向訪問(wèn)控制器發(fā)送消息 4,其中消息4的構(gòu)成形式有兩種;第一種構(gòu)成形式下,消息4包括訪問(wèn)請(qǐng)求 者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep.ak,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp.AR,訪問(wèn)控制 器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA1K.AC,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng) 估結(jié)果Rep.Ac,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp-Ac,訪問(wèn)請(qǐng)求 者和訪問(wèn)控制器的MAC地址的級(jí)聯(lián)值A(chǔ)DDID,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的 驗(yàn)證結(jié)果ReUser.AR,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果Reuser.AC,使用策略管理器的用戶身份證書(shū)Certuse卜PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的挑戰(zhàn)NAC.PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果 ReAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者 請(qǐng)求的平臺(tái)完整性度量信息ParmP-AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性 的平臺(tái)級(jí)評(píng)估策略Evalp.m,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep.ar, 訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp—Ac,訪問(wèn)請(qǐng)求者的用戶身份 證書(shū)CertUser-AR,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser-AR,訪問(wèn)請(qǐng)求者 的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK-AC,訪問(wèn)控制器的平臺(tái)身份證 書(shū)的驗(yàn)證結(jié)果ReAIK.AC,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac,訪問(wèn)請(qǐng)求者 向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息ParmP-AC,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器 的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略Evalp.Ac,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí) 評(píng)估結(jié)果Rep.ac,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp-ar,訪問(wèn)控 制器的用戶身份證書(shū)CertUsw.AC,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果 Reuse,、Ac和其他參數(shù)Text6的簽名[NAc.pM, CertAIK.AR, ReAIK.AR, PCRsAR, ParmP.AR, Evalp,ar, ReP.AR, RemP.AC, Certuser-ar, ReUser—AR, NAR, CertAiK.AC, ReAIK-AC, PCRsAC, Parmp—Ac, EvalP.AC, ReP.AC, RemP-AR, CertUser-Ac, Reuser-Ac,其他參數(shù)Text6]Sig_PMLJ禾口 其他參數(shù)Text4;第二種構(gòu)成形式下,消息4包括訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū) 的驗(yàn)證結(jié)果ReAIK—AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep.ar,訪問(wèn) 請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息RemP-AR,訪問(wèn)控制器的平臺(tái)身份證書(shū) 的驗(yàn)證結(jié)果ReAIK.AC,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep-Ac,訪問(wèn) 控制器的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp.Ac,訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的 MAC地址的級(jí)聯(lián)值A(chǔ)DDID,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser-AR,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser.AC,使用策略管理器的用戶身份 證書(shū)Certu^.pM對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的挑戰(zhàn)NAc-PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證 書(shū)CertAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK-AR,訪問(wèn)請(qǐng)求者的 平臺(tái)配置寄存器值PCRsAR,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量 信息ParmP-AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略 EvalP.AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AR,訪問(wèn)控制器的平 臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp.Ac,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)Certu,ar, 訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser_AR和其他參數(shù)Text6的簽名 [NAC-pM, CertAK.AR, ReA1K.AR, PCRsAR, ParmP—AR, EvalP.AR, ReP.AR, RemP.AC, CertUsCT.AR, ReUsCT.AR,其他參數(shù)Text6]Sig-PMU,使用策略管理器的用戶身份證書(shū) CertUser-PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū) CertAIK.AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA^Ac,訪問(wèn)控制器的平臺(tái) 配置寄存器值PCRsAC,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息 ParmP.AC,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP_AC, 訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep.Ac,訪問(wèn)請(qǐng)求者的平臺(tái)完整性 的平臺(tái)級(jí)修補(bǔ)信息RemP.AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser-AC,訪問(wèn)控制 器的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu,Ac和其他參數(shù)Text7的筌名[Nar, CertAIK-AC, Re感-八c, PCRsAC, Parmp-Ac, EvalP—AC, ReP-AC, RemP-AR, CertUser-AC, ReUser-AC,其他 參數(shù)Text7]Sig.PMU和其他參數(shù)Text4。
10、根據(jù)權(quán)利要求9所述的基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接握手方法, 其特征在于所述步驟5)的具體步驟如下訪問(wèn)控制器收到消息4后,若消息4為第一種構(gòu)成形式,則首先驗(yàn)證使用策略管理器的用戶身份證書(shū)Certuser-pm對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的挑戰(zhàn)NAC.PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAK_AR, 訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA1K.AR,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存 器值PCRsAR,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP_AR, 訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP_AR,訪問(wèn)請(qǐng)求 者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP-AR,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息RemP-AC,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUsCT.AR,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu^ar,訪問(wèn)請(qǐng)求者的挑戰(zhàn)nar,訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK.AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AC,訪問(wèn)控制器 的平臺(tái)配置寄存器值PCRsAC,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度 量信息ParmP.AC:,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略 Evalp.Ac,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AC,訪問(wèn)請(qǐng)求者的平 臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息RemP.AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser.AC, 訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu^ac和其他參數(shù)Text6的簽名 [Nac-pm, CertAIK-AR, ReAIK—AR, PCRsAR, ParmP-AR, EvalP-AR, ReP—AR, RemP-AC, Certuser-ar, Reuser-ar, Nar, CertAii〈-ac, ReAiK-Ac, PCRsAC, ParaiP-AC, Evalp.Ac, Rep—Ac, RemP-AR, CertUser-AC, ReUser.AC,其他參數(shù)Text6]Sig.PMU的有效性,然后根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAnc.ak和訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep.ak生成訪問(wèn)請(qǐng)求者的平臺(tái)鑒別結(jié)果,接著根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái) 鑒別結(jié)果和訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUsCT.AR生成訪問(wèn)控制器對(duì) 訪問(wèn)請(qǐng)求者的接入結(jié)果Reacxess,接著生成訪問(wèn)控制器的密鑰數(shù)據(jù)gy并根據(jù)訪問(wèn) 請(qǐng)求者的密鑰數(shù)據(jù)gx、訪問(wèn)控制器的密鑰數(shù)據(jù)gy和用于協(xié)商密鑰的ECDH參 數(shù)ParmECDH生成訪問(wèn)請(qǐng)求者和訪問(wèn)控制器之間會(huì)話密鑰,最后向訪問(wèn)請(qǐng)求者發(fā)送消息5 (第一種構(gòu)成形式),包括訪問(wèn)控制器的挑戰(zhàn)nac.pm,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAC,使用訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK-AC對(duì)應(yīng)私鑰 對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR和訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAC的簽名 [NAR, PCRsAC]Sig.ACP,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策 略Evalp.M,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的接入結(jié)果Re,w消息4',訪問(wèn)控制器 的密鑰數(shù)據(jù)gy,其他參數(shù)Text5和使用訪問(wèn)控制器的用戶身份證書(shū)對(duì)應(yīng)私鑰對(duì) 消息5中除本字段外的其他字段的簽名[NAR, NAC-PM, PCRsac, [Nar, PCRsAC]Sig-ACP, EvalP-AR, Reaccess,消息4',gy,其他參數(shù)Text5]Sig-ACU,其中消息4' 指消息4中除訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的MAC地址的級(jí)聯(lián)值A(chǔ)DDID外的其 他字段;若消息4為第二種構(gòu)成形式,貝lj:首先驗(yàn)證使用策略管理器的用戶身份證書(shū)Certu^PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)控制器的挑戰(zhàn)NAc.pM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK.AR,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AR,訪問(wèn)請(qǐng)求者 的平臺(tái)配置寄存器值PCRsAR,訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度 量信息ParmP.AR,訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略 EvalP_AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP-AR,訪問(wèn)控制器的平 臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp.Ac,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)Certu,ar, 訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUser—AR和其他參數(shù)Text6的簽名 [Nac.pm, CertAIK.AR, ReAIK.AR, PCRsAR, ParmP.AR, EvalP.AR, ReP.AR, RemP.AC, CertUser-AR, ReUser-AR,其他參數(shù)Text6]sig-PMU的有效性,然后根據(jù)訪問(wèn)請(qǐng)求者的平 臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAM和訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果 ReP.AR生成訪問(wèn)請(qǐng)求者的平臺(tái)鑒別結(jié)果,接著根據(jù)訪問(wèn)請(qǐng)求者的平臺(tái)鑒別結(jié)果 和訪問(wèn)請(qǐng)求者的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUsCT.AR生成訪問(wèn)控制器對(duì)訪問(wèn)請(qǐng)求 者的接入結(jié)果Rea(xess,接著生成訪問(wèn)控制器的密鑰數(shù)據(jù)gy并根據(jù)訪問(wèn)請(qǐng)求者的 密鑰數(shù)據(jù)gx、訪問(wèn)控制器的密鑰數(shù)據(jù)gy和用于協(xié)商密鑰的ECDH參數(shù)ParmECDH 生成訪問(wèn)請(qǐng)求者和訪問(wèn)控制器之間會(huì)話密鑰,最后向訪問(wèn)請(qǐng)求者發(fā)送消息5(第二種構(gòu)成形式),包括訪問(wèn)控制器的挑戰(zhàn)NAC-PM,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsAC,使用訪問(wèn)控制器的平臺(tái)身份證書(shū)CerUnc.Ac對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者 的挑戰(zhàn)NAR和訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac的簽名[NM, PCRsAC]Sig.ACP, Reaceess,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA1K-AC,訪問(wèn) 控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP-AC,訪問(wèn)控制器的用戶身份證書(shū)的 驗(yàn)證結(jié)果ReUser.AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息RemP-AR,訪問(wèn)控制器的密鑰數(shù)據(jù)gy,使用策略管理器的用戶身份證書(shū)Certuser.PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAIK.AC,訪問(wèn)控制器的平 臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AC,訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac,訪 問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息Pamip-Ac,訪問(wèn)請(qǐng)求者對(duì)訪 問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP_AC,訪問(wèn)控制器的平臺(tái)完整性 的平臺(tái)級(jí)評(píng)估結(jié)果Rep.Ac,訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息Remp.ar,訪問(wèn)控制器的用戶身份證書(shū)Cert;^.Ac,訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果 Reuser.Ac和其他參數(shù)Text7的簽名[nar, CertAIK.AC, ReAIK.AC, PCRsAC, ParmP.AC, Evalp.Ac, Rep.Ac, RemP.AR, Certuser-ac, Reuser-ac,其他參數(shù)Text7]Sig.PMU,其他參數(shù) Text5和使用訪問(wèn)控制器的用戶身份證書(shū)Certu^Ac對(duì)應(yīng)私鑰對(duì)消息5中除本字 段外的其他字段的簽名[nar, nac-pm, PCRsac, [Nar, PCRsAC]Sig-ACP, Reaccess,ReAiK-ac, Rep-ac, Reuser-ac, Remp-ar, gy, [Nar, CertAiK-ac, ReAIK—Ac, PCRsAc, Parmp-Ac, EvalP-AC, ReP-AC, Remp-ar, Certuser-ac, ReUser—AC,其他參數(shù)Text7]Sig-pMU, 其他參數(shù)Text5]sig.Acu。
11、根據(jù)權(quán)利要求IO所述的基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接握手方法,其特征在于所述步驟6)的具體步驟如下訪問(wèn)請(qǐng)求者收到消息5后,若消息5為第一種構(gòu)成形式,則首先驗(yàn)證使用訪問(wèn)控制器的用戶身份證書(shū)CertUser-AC 對(duì)應(yīng)私鑰對(duì)消息5中除本字段外的其他字段的簽名[NAR, NAC_PM, PCRsac, [Nar, PCRsAC]sig-ACP, EvalP-AR, Reaecess,消息4',gy,其他參數(shù)Text5]Sig-ACU的有效性,若 驗(yàn)證不通過(guò),則丟棄該消息,否則驗(yàn)證使用訪問(wèn)控制器的平臺(tái)身份證書(shū) Cert皿.m;對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NM和訪問(wèn)控制器的平臺(tái)配置寄存器值PCRSAC的簽名[N膽,PCRSAc]sig.acp的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否則驗(yàn)證消息4'中的使用策略管理器的用戶身份證書(shū)CertUsei._PM對(duì)應(yīng)私鑰對(duì)訪 問(wèn)控制器的挑戰(zhàn)NAC—PM,訪問(wèn)請(qǐng)求者的平臺(tái)身份證書(shū)CertAIK-AR,訪問(wèn)請(qǐng)求者的 平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK-AR,訪問(wèn)請(qǐng)求者的平臺(tái)配置寄存器值PCRsAR, 訪問(wèn)控制器向訪問(wèn)請(qǐng)求者請(qǐng)求的平臺(tái)完整性度量信息ParmP_AR,訪問(wèn)控制器對(duì) 訪問(wèn)請(qǐng)求者的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP-AR,訪問(wèn)請(qǐng)求者的平臺(tái)完整 性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AR,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)修補(bǔ)信息 RemP.AC,訪問(wèn)請(qǐng)求者的用戶身份證書(shū)CertUsCT.AR,訪問(wèn)請(qǐng)求者的用戶身份證書(shū) 的驗(yàn)證結(jié)果ReUsei..AR,訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū) CertA[K.AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAK.Ac,訪問(wèn)控制器的平臺(tái) 配置寄存器值PCRsAC,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息 Parmp.Ac,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP-AC,訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果ReP.AC,訪問(wèn)請(qǐng)求者的平臺(tái)完整性 的平臺(tái)級(jí)修補(bǔ)信息RemP_AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser.AC,訪問(wèn)控制 器的用戶身份證書(shū)的驗(yàn)證結(jié)果ReUsw.AC和其他參數(shù)Text6的簽名[naopm, CertA1K.AR, Re肌ar, PCRsAR, ParmP—AR, Evalp孩,ReP—AR, RemP—AC, Certuser-ar, Reuser-ar, NAR, Cert盧懇Ac, ReAIK-AC, PCRsAC, ParmP-AC, EvalP.AC, ReP-AC, RemP-AR, Certu,Ac, ReUsei..AC,其他參數(shù)Text6]Sig.PMU的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否則根據(jù)訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReA,k.ac和訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep.Ac生成訪問(wèn)控制器的平臺(tái)鑒別結(jié)果,接著 根據(jù)訪問(wèn)控制器的平臺(tái)鑒別結(jié)果和訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果 ReUse,.AR生成訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的訪問(wèn)決策,最后訪問(wèn)控制器根據(jù)訪問(wèn) 請(qǐng)求者的密鑰數(shù)據(jù)gx、訪問(wèn)控制器的密鑰數(shù)據(jù)gy和用于協(xié)商密鑰的ECDH參 數(shù)ParaiECDH生成訪問(wèn)請(qǐng)求者和訪問(wèn)控制器之間會(huì)話密鑰;若消息5為第二種構(gòu)成形式,貝!j:首先驗(yàn)證使用訪問(wèn)控制器的用戶身份證書(shū)Certu,ac對(duì)應(yīng)私鑰對(duì)消息5中除本字段外的其他字段的簽名[NAR, NAC.PM, PCRsAC, [Nar, PCRsAC]Sig.ACP, Re證ss, Re風(fēng).Ac, Rep-Ac, ReUser-Ac, RemP—AR, gy, [NAR, CertAIK-AC, ReAK—AC, PCRsAC, Parmp.Ac, EvalP.AC, ReP.AC, RemP.AR, CertUser—AC, ReUser—AC,其4也參類j( Text7]Sig-PMu, 其他參數(shù)TeXt5]Sig-ACU的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否則驗(yàn)證使用訪問(wèn)控制器的平臺(tái)身份證書(shū)CertAk—ac對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)Nar和訪問(wèn)控制器的平臺(tái)配置寄存器值PCRsac的簽名[N她PCRsAC]sig.ACP的有效性, 若驗(yàn)證不通過(guò),則丟棄該消息,否則驗(yàn)證使用策略管理器的用戶身份證書(shū) CertUsCT.PM對(duì)應(yīng)私鑰對(duì)訪問(wèn)請(qǐng)求者的挑戰(zhàn)NAR,訪問(wèn)控制器的平臺(tái)身份證書(shū) CertAIK.AC,訪問(wèn)控制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果Re^k-Ac,訪問(wèn)控制器的平臺(tái) 配置寄存器值PCRsAC,訪問(wèn)請(qǐng)求者向訪問(wèn)控制器請(qǐng)求的平臺(tái)完整性度量信息 Parmp.Ac,訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估策略EvalP_AC, 訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí)評(píng)估結(jié)果Rep-Ac,訪問(wèn)請(qǐng)求者的平臺(tái)完整性 的平臺(tái)級(jí)修補(bǔ)信息RemP_AR,訪問(wèn)控制器的用戶身份證書(shū)CertUser-AC,訪問(wèn)控制 器的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu賢Ac和其他參數(shù)Text7的簽名[nar, CertAIK-AC,ReAIK.Ac, PCRsac, Parmp.Ac, EvalP.AC, ReP.AC, RemP.AR, CertUser-AC, ReUser.AC,其寸也 參數(shù)Text7]Sig.PMU的有效性,若驗(yàn)證不通過(guò),則丟棄該消息,否則根據(jù)訪問(wèn)控 制器的平臺(tái)身份證書(shū)的驗(yàn)證結(jié)果ReAIK.AC和訪問(wèn)控制器的平臺(tái)完整性的平臺(tái)級(jí) 評(píng)估結(jié)果Rep.Ac生成訪問(wèn)控制器的平臺(tái)鑒別結(jié)果,接著根據(jù)訪問(wèn)控制器的平臺(tái)鑒別結(jié)果和訪問(wèn)控制器的用戶身份證書(shū)的驗(yàn)證結(jié)果Reu^ar生成訪問(wèn)請(qǐng)求者對(duì)訪問(wèn)控制器的訪問(wèn)決策,最后訪問(wèn)控制器可以根據(jù)訪問(wèn)請(qǐng)求者的密鑰數(shù)據(jù)gx、 訪問(wèn)控制器的密鑰數(shù)據(jù)gy和用于協(xié)商密鑰的ECDH參數(shù)PamiECDH生成訪問(wèn)請(qǐng) 求者和訪問(wèn)控制器之間會(huì)話密鑰。
全文摘要
本發(fā)明涉及一種基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接握手方法。1)訪問(wèn)控制器向訪問(wèn)請(qǐng)求者發(fā)送消息1;2)訪問(wèn)請(qǐng)求者收到消息1后,向訪問(wèn)控制器發(fā)送消息2;3)訪問(wèn)控制器收到消息2后,向策略管理器發(fā)送消息3;4)策略管理器收到消息3后,向訪問(wèn)控制器發(fā)送消息4;5)訪問(wèn)控制器收到消息4后,向訪問(wèn)請(qǐng)求者發(fā)送消息5;6)訪問(wèn)請(qǐng)求者收到消息5后,完成可信網(wǎng)絡(luò)連接握手。本發(fā)明增強(qiáng)了可信網(wǎng)絡(luò)連接握手方法的安全性,提高了可信網(wǎng)絡(luò)連接握手方法的效率,本發(fā)明可以適用于實(shí)體的可信網(wǎng)絡(luò)連接、又可以適用于對(duì)等實(shí)體間的可信通信,還可以適用于對(duì)實(shí)體的可信管理,提高基于三元對(duì)等鑒別的可信網(wǎng)絡(luò)連接實(shí)現(xiàn)方法的適用性。
文檔編號(hào)H04L12/24GK101431517SQ200810184130
公開(kāi)日2009年5月13日 申請(qǐng)日期2008年12月8日 優(yōu)先權(quán)日2008年12月8日
發(fā)明者軍 曹, 肖躍雷, 莉 葛, 黃振海 申請(qǐng)人:西安西電捷通無(wú)線網(wǎng)絡(luò)通信有限公司