專利名稱:一種適合tcg可信網(wǎng)絡(luò)連接架構(gòu)的平臺鑒別實現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明屬網(wǎng)絡(luò)安全技術(shù)領(lǐng)域���,涉及一種適合TCG可信網(wǎng)絡(luò)連接架構(gòu)的平臺鑒別實 現(xiàn)方法��。
背景技術(shù):
隨著信息化的發(fā)展����,病毒、蠕蟲等惡意軟件的問題異常突出���。目前已經(jīng)出現(xiàn)了超過 三萬五千種的惡意軟件���,每年都有超過四千萬的計算機被感染。要遏制住這類攻擊��,不僅通 過解決安全的傳輸和數(shù)據(jù)輸入時的檢查���,還要從源頭即從每一臺連接到網(wǎng)絡(luò)的終端開始防 御����。而傳統(tǒng)的安全防御技術(shù)已經(jīng)無法防御種類繁多的惡意攻擊�。TCG(Trusted Computing Group,國際可信計算組織)針對這個問題����,專門制定了 一個基于可信計算技術(shù)的網(wǎng)絡(luò)連接規(guī)范——TNC (Trusted Network Connect��,可信網(wǎng)絡(luò)連 接)�,稱為TCG可信網(wǎng)絡(luò)連接架構(gòu),其包括了開放的終端完整性架構(gòu)和一套確保安全互操作 的標(biāo)準(zhǔn)��。TCG可信網(wǎng)絡(luò)連接架構(gòu)參見圖1。在圖1所示的TCG可信網(wǎng)絡(luò)連接架構(gòu)中��,完整性度量收集者和完整性度量校驗 者之間的接口為 IF-M(Vendor-Specific IMC-IMV Messages hterface����,特定廠家的完 整性度量收集者-完整性度量校驗者消息接口),TNC客戶端和TNC服務(wù)端之間的接口為 IF-TNCCS (TNC Client-Server Interface��,TNC客戶端-服務(wù)端接口)����,完整性度量收集 者和 TNC 客戶端之間的接口為 IF-IMCQntegrity Measurement Collector Interface, 完整性度量收集接口),完整性度量校驗者和TNC服務(wù)端之間的接口為IF-IMVantegrity Measurement Verifier hterface��,完整性度量校驗接口)��,網(wǎng)絡(luò)訪問請求者和網(wǎng)絡(luò)訪問授 權(quán)者之間的接口為IF-T (Network Transport Interface,網(wǎng)絡(luò)傳輸接口)���,策略執(zhí)行點和網(wǎng) 絡(luò)訪問授權(quán)者之間的接口為IF_PEP(Policy Enforcement Point Interface�,策略執(zhí)行點 接口)����。IF-M定義了基于IF-M消息的封裝傳輸,其中每個IF-M消息是由一個IF-M消息頭 以及至少一個IF-M屬性構(gòu)成。IF-TNCCS定義了基于IF-TNCCS批次的封裝傳輸���,其中每個 IF-TNCCS批次是由一個IF-TNCCS頭以及至少一個IF-TNCCS消息構(gòu)成�����。IF-IMC定義了 TNC 客戶端與它上端的完整性度量收集者之間的IF-MC功能函數(shù)���。IF-IMV定義了 TNC服務(wù)端 與它上端的完整性度量校驗者之間的IF-IMV功能函數(shù)。目前的TCG可信網(wǎng)絡(luò)連接架構(gòu)的平臺鑒別實現(xiàn)方法如下步驟1)當(dāng)TNC客戶端發(fā)起平臺鑒別時���,TNC客戶端生成一個IF-TNCCS批次并將 該IF-TNCCS批次發(fā)送給TNC服務(wù)端�����。該IF-TNCCS批次包含TNC客戶端生成的零個或至少 一個承載IF-M消息的IF-TNCCS消息���,其中每個承載IF-M消息的IF-TNCCS消息僅承載一 個由TNC客戶端上端的一個完整性度量收集者發(fā)送的IF-M消息;步驟2��、當(dāng)TNC服務(wù)端發(fā)起平臺鑒別時���,TNC服務(wù)端生成一個IF-TNCCS批次并將 該IF-TNCCS批次發(fā)送給TNC客戶端。該IF-TNCCS批次包含TNC服務(wù)端生成的零個或至少 一個承載IF-M消息的IF-TNCCS消息,其中每個承載IF-M消息的IF-TNCCS消息僅承載一 個由TNC服務(wù)端上端的一個完整性度量校驗者發(fā)送的IF-M消息���。當(dāng)TNC服務(wù)端上端的一6個完整性度量校驗者發(fā)送一個IF-M消息時����,若該完整性度量校驗者需要驗證訪問請求者 的平臺完整性�����,則該IF-M消息包含該完整性度量校驗者生成的一個隨機數(shù)和一個對訪問 請求者的完整性度量請求參數(shù)����。當(dāng)TNC服務(wù)端收到步驟1)中TNC客戶端所發(fā)送的信息后,TNC服務(wù)端在處理步驟 1)中TNC客戶端所發(fā)送的信息后生成一個IF-TNCCS批次并將該IF-TNCCS批次發(fā)送給TNC 客戶端�。若TNC服務(wù)端在處理步驟1)中TNC客戶端所發(fā)送的信息后生成TNC服務(wù)端行為 推薦,則該IF-TNCCS批次包含TNC服務(wù)端生成的零個承載IF-M消息的IF-TNCCS消息和一 個承載TNC服務(wù)端行為推薦的IF-TNCCS消息�����,否則該IF-TNCCS批次包含TNC服務(wù)端生成 的至少一個承載IF-M消息的IF-TNCCS消息�����,其中每個承載IF-M消息的IF-TNCCS消息僅 承載一個由TNC服務(wù)端上端的一個完整性度量校驗者發(fā)送的IF-M消息�。當(dāng)TNC服務(wù)端上 端的一個完整性度量校驗者發(fā)送一個IF-M消息時,若該完整性度量校驗者需要驗證訪問 請求者的平臺完整性,則該IF-M消息包含該完整性度量校驗者生成的一個隨機數(shù)和一個 對訪問請求者的完整性度量請求參數(shù)����。步驟3) TNC客戶端收到步驟2)中TNC服務(wù)端所發(fā)送的信息后,若步驟2)中TNC 服務(wù)端所發(fā)送的信息包含TNC服務(wù)端行為推薦�����,則TNC客戶端結(jié)束TNC客戶端和TNC服務(wù) 端之間的IF-TNCCS批次交互�����,否則在處理步驟幻中TNC服務(wù)端所發(fā)送的信息后生成一個 IF-TNCCS批次并將該IF-TNCCS批次發(fā)送給TNC服務(wù)端�。該IF-TNCCS批次包含TNC客戶端 生成的至少一個承載IF-M消息的IF-TNCCS消息,其中每個承載IF-M消息的IF-TNCCS消 息僅承載一個由TNC客戶端上端的一個完整性度量收集者發(fā)送的IF-M消息��。當(dāng)TNC客戶 端上端的一個完整性度量收集者發(fā)送一個IF-M消息時����,若該完整性度量收集者已依據(jù)步 驟2)中TNC服務(wù)端上端的一個完整性度量校驗者所發(fā)送的一個IF-M消息中的該完整性度 量校驗者生成的一個隨機數(shù)和一個對訪問請求者的完整性度量請求參數(shù)對訪問請求者執(zhí) 行平臺完整性度量,則該IF-M消息包含該完整性度量收集者生成的一個訪問請求者的完 整性報告��。步驟4) TNC服務(wù)端收到步驟幻中TNC客戶端所發(fā)送的信息后��,若TNC服務(wù)端在處 理步驟幻中TNC客戶端所發(fā)送的信息后生成TNC服務(wù)端行為推薦��,則TNC服務(wù)端在處理步 驟3)中TNC客戶端所發(fā)送的信息后生成一個IF-TNCCS批次并將該IF-TNCCS批次發(fā)送給 TNC客戶端��,其中該IF-TNCCS批次包含TNC服務(wù)端生成的零個承載IF-M消息的IF-TNCCS 消息和一個承載TNC服務(wù)端行為推薦的IF-TNCCS消息�����;否則�����,TNC服務(wù)端在處理步驟3)中 TNC客戶端所發(fā)送的信息后繼續(xù)一輪或多輪TNC服務(wù)端和TNC客戶端之間的IF-TNCCS批 次交互直至TNC服務(wù)端生成TNC服務(wù)端行為推薦���,然后向TNC客戶端發(fā)送一個IF-TNCCS批 次����,其中該IF-TNCCS批次包含TNC服務(wù)端生成的零個承載IF-M消息的IF-TNCCS消息和一 個承載TNC服務(wù)端行為推薦的IF-TNCCS消息�。步驟QTNC客戶端收到步驟4)中TNC服務(wù)端所發(fā)送的TNC服務(wù)端行為推薦后結(jié) 束TNC客戶端和TNC服務(wù)端之間的IF-TNCCS批次交互。所述步驟4)中的一輪TNC服務(wù)端和TNC客戶端之間的IF-TNCCS批次交互包含以 下兩個步驟步驟41) TNC服務(wù)端生成一個IF-TNCCS批次并將該IF-TNCCS批次發(fā)送給TNC客 戶端�����。該IF-TNCCS批次包含TNC服務(wù)端生成的至少一個承載IF-M消息的IF-TNCCS消息���,其中每個承載IF-M消息的IF-TNCCS消息僅承載一個由TNC服務(wù)端上端的一個完整性度量 校驗者發(fā)送的IF-M消息�。當(dāng)TNC服務(wù)端上端的一個完整性度量校驗者發(fā)送一個IF-M消息 時,若該完整性度量校驗者需要驗證訪問請求者的平臺完整性����,則該IF-M消息包含該完整 性度量校驗者生成的一個隨機數(shù)和一個對訪問請求者的完整性度量請求參數(shù);步驟42) TNC客戶端收到步驟41)中TNC服務(wù)端所發(fā)送的信息后�����,在處理步驟41) 中TNC服務(wù)端所發(fā)送的信息后生成一個IF-TNCCS批次并將該IF-TNCCS批次發(fā)送給TNC服 務(wù)端��。該IF-TNCCS批次包含TNC客戶端生成的至少一個承載IF-M消息的IF-TNCCS消息����, 其中每個承載IF-M消息的IF-TNCCS消息僅承載一個由TNC客戶端上端的一個完整性度量 收集者發(fā)送的IF-M消息。當(dāng)TNC客戶端上端的一個完整性度量收集者發(fā)送一個IF-M消息 時��,若該完整性度量收集者已依據(jù)步驟41)中TNC服務(wù)端上端的一個完整性度量校驗者所 發(fā)送的一個IF-M消息中的該完整性度量校驗者生成的一個隨機數(shù)和一個對訪問請求者的 完整性度量請求參數(shù)對訪問請求者執(zhí)行平臺完整性度量����,則該IF-M消息包含該完整性度 量收集者生成的一個訪問請求者的完整性報告。所述TNC服務(wù)端行為推薦的值為允許�����、禁止或隔離�。根據(jù)上面所述的TCG可信網(wǎng)絡(luò)連接架構(gòu)的平臺鑒別實現(xiàn)方法可知�����,每個從TNC服 務(wù)端發(fā)送給TNC客戶端的IF-TNCCS批次可能包含TNC服務(wù)端上端的至少一個完整性度量 校驗者生成的相應(yīng)隨機數(shù)和對訪問請求者的完整性度量請求參數(shù)����,而每個從TNC客戶端發(fā) 送給TNC服務(wù)端的IF-TNCCS批次可能包含TNC客戶端上端的至少一個完整性度量收集者 生成的相應(yīng)訪問請求者的完整性報告���,從而使得TCG可信網(wǎng)絡(luò)連接架構(gòu)的平臺鑒別實現(xiàn)方 法的效率較低。
發(fā)明內(nèi)容
為了解決背景技術(shù)中存在的上述技術(shù)問題��,本發(fā)明提供了一種效率更高��、安全性 更好的適合TCG可信網(wǎng)絡(luò)連接架構(gòu)的平臺鑒別實現(xiàn)方法��。本發(fā)明的技術(shù)解決方案是本發(fā)明提供了一種適合TCG可信網(wǎng)絡(luò)連接架構(gòu)的平臺 鑒別實現(xiàn)方法�,其特殊之處在于所述適合TCG可信網(wǎng)絡(luò)連接架構(gòu)的平臺鑒別實現(xiàn)方法包 括以下步驟1)當(dāng)TNC客戶端發(fā)起平臺鑒別時,TNC客戶端生成一個IF-TNCCS批次并將該 IF-TNCCS批次發(fā)送給TNC服務(wù)端����;該IF-TNCCS批次包含TNC客戶端生成的零個或至少一 個承載IF-M消息的IF-TNCCS消息,其中每個承載IF-M消息的IF-TNCCS消息僅承載一個 由TNC客戶端上端的一個完整性度量收集者發(fā)送的IF-M消息�;2)當(dāng)TNC服務(wù)端發(fā)起平臺鑒別時,TNC服務(wù)端生成一個IF-TNCCS批次并將該 IF-TNCCS批次發(fā)送給TNC客戶端�;該IF-TNCCS批次包含TNC服務(wù)端生成的零個或至少一 個承載IF-M消息的IF-TNCCS消息�,其中每個承載IF-M消息的IF-TNCCS消息僅承載一個 由TNC服務(wù)端上端的一個完整性度量校驗者發(fā)送的IF-M消息�;當(dāng)TNC服務(wù)端上端的一個完 整性度量校驗者發(fā)送一個IF-M消息時,若該完整性度量校驗者需要驗證訪問請求者的平 臺完整性����,則該IF-M消息包含該完整性度量校驗者生成的一個對訪問請求者的完整性度 量請求參數(shù);當(dāng)TNC服務(wù)端發(fā)送IF-TNCCS批次時�,若該IF-TNCCS批次包含至少一個IF-M消息封裝的對訪問請求者的完整性度量請求參數(shù),則TNC服務(wù)端生成一個隨機數(shù)并利用一個 IF-TNCCS消息承載����,然后將承載該隨機數(shù)的IF-TNCCS消息包含在該IF-TNCCS批次中;當(dāng)TNC服務(wù)端收到步驟1)中TNC客戶端所發(fā)送的信息后����,TNC服務(wù)端在處理步驟 1)中TNC客戶端所發(fā)送的信息后生成一個IF-TNCCS批次并將IF-TNCCS批次發(fā)送給TNC客 戶端;若TNC服務(wù)端在處理步驟1)中TNC客戶端所發(fā)送的信息后生成TNC服務(wù)端行為 推薦�,則TNC服務(wù)端生成的IF-TNCCS批次包含TNC服務(wù)端生成的零個承載IF-M消息的 IF-TNCCS消息和一個承載TNC服務(wù)端行為推薦的IF-TNCCS消息,否則該IF-TNCCS批次包 含TNC服務(wù)端生成的至少一個承載IF-M消息的IF-TNCCS消息����,其中每個承載IF-M消息的 IF-TNCCS消息僅承載一個由TNC服務(wù)端上端的一個完整性度量校驗者發(fā)送的IF-M消息��;當(dāng)TNC服務(wù)端上端的一個完整性度量校驗者發(fā)送一個IF-M消息時�����,若該完整性度 量校驗者需要驗證訪問請求者的平臺完整性����,則該IF-M消息包含該完整性度量校驗者生 成的一個對訪問請求者的完整性度量請求參數(shù);當(dāng)TNC服務(wù)端發(fā)送IF-TNCCS批次時����,若該IF-TNCCS批次包含至少一個IF-M消 息封裝的對訪問請求者的完整性度量請求參數(shù),則TNC服務(wù)端生成一個隨機數(shù)并利用一個 IF-TNCCS消息承載���,然后將承載該隨機數(shù)的IF-TNCCS消息包含在該IF-TNCCS批次中;3) TNC客戶端收到步驟2)中TNC服務(wù)端所發(fā)送的信息后��,若步驟2)中TNC服務(wù)端 所發(fā)送的信息包含TNC服務(wù)端行為推薦�����,則TNC客戶端結(jié)束TNC客戶端和TNC服務(wù)端之間的 IF-TNCCS批次交互����,否則在處理步驟2、中TNC服務(wù)端所發(fā)送的信息后生成一個IF-TNCCS 批次并將該IF-TNCCS批次發(fā)送給TNC服務(wù)端����;該IF-TNCCS批次包含TNC客戶端生成的至 少一個承載IF-M消息的IF-TNCCS消息�,其中每個承載IF-M消息的IF-TNCCS消息僅承載 一個由TNC客戶端上端的一個完整性度量收集者發(fā)送的IF-M消息����;當(dāng)TNC客戶端上端的一個完整性度量收集者發(fā)送一個IF-M消息時,若該完整性度 量收集者已依據(jù)步驟2��、中TNC服務(wù)端上端的一個完整性度量校驗者所發(fā)送的一個IF-M消 息中的該完整性度量校驗者生成的一個對訪問請求者的完整性度量請求參數(shù)對訪問請求 者執(zhí)行平臺完整性度量���,則該IF-M消息包含該完整性度量收集者生成的一個訪問請求者 的完整性度量值的索引信息��,同時該完整性度量收集者將該訪問請求者的完整性度量值的 索引信息通過IF-IMC發(fā)送給TNC客戶端�����;當(dāng)TNC客戶端發(fā)送IF-TNCCS批次時�,若該IF-TNCCS批次包含至少一個IF-M消息 封裝的訪問請求者的完整性度量值的索引信息�,則TNC服務(wù)端依據(jù)步驟幻中TNC客戶端 所生成的隨機數(shù)和利用IF-IMC從TNC客戶端上端的各個完整性度量收集者接收到的訪問 請求者的完整性度量值的索引信息生成一個訪問請求者的完整性報告,利用一個IF-TNCCS 消息承載該訪問請求者的完整性報告�,將承載該訪問請求者的完整性報告的IF-TNCCS消 息包含在該IF-TNCCS批次中;4) TNC服務(wù)端收到步驟幻中TNC客戶端所發(fā)送的信息后�,若TNC服務(wù)端在處理步 驟3)中TNC客戶端所發(fā)送的信息后生成TNC服務(wù)端行為推薦,則TNC服務(wù)端在處理步驟3) 中TNC客戶端所發(fā)送的信息后生成一個IF-TNCCS批次并將該IF-TNCCS批次發(fā)送給TNC客 戶端��,其中該IF-TNCCS批次包含TNC服務(wù)端生成的零個承載IF-M消息的IF-TNCCS消息和 一個承載TNC服務(wù)端行為推薦的IF-TNCCS消息;否則���,TNC服務(wù)端在處理步驟3)中TNC客戶端所發(fā)送的信息后繼續(xù)一輪或多輪TNC服務(wù)端和TNC客戶端之間的IF-TNCCS批次交互 直至TNC服務(wù)端生成TNC服務(wù)端行為推薦�����,然后向TNC客戶端發(fā)送該IF-TNCCS批次��,其中 該IF-TNCCS批次包含TNC服務(wù)端生成的零個承載IF-M消息的IF-TNCCS消息和一個承載 TNC服務(wù)端行為推薦的IF-TNCCS消息��;步驟幻TNC客戶端收到步驟4)中TNC服務(wù)端所發(fā)送的TNC服務(wù)端行為推薦后結(jié) 束TNC客戶端和TNC服務(wù)端之間的IF-TNCCS批次交互�����。上述步驟4)中的一輪TNC服務(wù)端和TNC客戶端之間的IF-TNCCS批次交互包括以 下兩個步驟4. 1) TNC服務(wù)端生成一個IF-TNCCS批次并將該IF-TNCCS批次發(fā)送給TNC客戶端; 該IF-TNCCS批次包含TNC服務(wù)端生成的至少一個承載IF-M消息的IF-TNCCS消息�,其中每 個承載IF-M消息的IF-TNCCS消息僅承載一個由TNC服務(wù)端上端的一個完整性度量校驗者 發(fā)送的IF-M消息;當(dāng)TNC服務(wù)端上端的一個完整性度量校驗者發(fā)送一個IF-M消息時���,若該完整性 度量校驗者需要驗證訪問請求者的平臺完整性����,則該IF-M消息包含該完整性度量校驗者 生成的一個對訪問請求者的完整性度量請求參數(shù)���;當(dāng)TNC服務(wù)端發(fā)送該IF-TNCCS批次 時�����,若該IF-TNCCS批次包含至少一個IF-M消息封裝的對訪問請求者的完整性度量請求參 數(shù)���,則TNC服務(wù)端生成一個隨機數(shù)并利用一個IF-TNCCS消息承載����,然后將承載該隨機數(shù)的 IF-TNCCS消息包含在該IF-TNCCS批次中����;4. 2) TNC客戶端收到步驟4. 1)中TNC服務(wù)端所發(fā)送的信息后,在處理步驟4. 1)中 TNC服務(wù)端所發(fā)送的信息后生成一個IF-TNCCS批次并將該IF-TNCCS批次發(fā)送給TNC服務(wù) 端��;該IF-TNCCS批次包含TNC客戶端生成的至少一個承載IF-M消息的IF-TNCCS消息�����,其 中每個承載IF-M消息的IF-TNCCS消息僅承載一個由TNC客戶端上端的一個完整性度量收 集者發(fā)送的IF-M消息��;當(dāng)TNC客戶端上端的一個完整性度量收集者發(fā)送一個IF-M消息時���,若該完整性度 量收集者已依據(jù)步驟4. 1)中TNC服務(wù)端上端的一個完整性度量校驗者所發(fā)送的一個IF-M 消息中的該完整性度量校驗者生成的一個對訪問請求者的完整性度量請求參數(shù)對訪問請 求者執(zhí)行平臺完整性度量�,則該IF-M消息包含該完整性度量收集者生成的一個訪問請求 者的完整性度量值的索引信息,同時該完整性度量收集者將該訪問請求者的完整性度量值 的索引信息通過IF-IMC發(fā)送給TNC客戶端�;當(dāng)TNC客戶端發(fā)送IF-TNCCS批次時,若該IF-TNCCS批次包含至少一個IF-M消息 封裝的訪問請求者的完整性度量值的索引信息�,則TNC服務(wù)端依據(jù)步驟4. 1)中TNC客戶端 所生成的隨機數(shù)和利用IF-IMC從TNC客戶端上端的各個完整性度量收集者接收到的訪問 請求者的完整性度量值的索引信息生成一個訪問請求者的完整性報告,利用一個IF-TNCCS 消息承載該訪問請求者的完整性報告�����,將承載該訪問請求者的完整性報告的IF-TNCCS消 息包含在該IF-TNCCS批次中����。上述TNC服務(wù)端行為推薦的值為允許、禁止或隔離���。當(dāng)步驟3)中TNC客戶端所發(fā)送的信息包含訪問請求者的完整性報告時�,所述步驟 4)中的TNC服務(wù)端對步驟3)中TNC客戶端所發(fā)送的信息的處理如下401) TNC服務(wù)端收到步驟3)中TNC客戶端所發(fā)送的信息后�,首先驗證訪問請求者10的完整性報告中的平臺簽名有效性,若該平臺簽名無效�����,則丟棄步驟3)中TNC客戶端所發(fā) 送的信息��;若該平臺簽名有效�����,則驗證訪問請求者的完整性報告的正確性��,若訪問請求者的 完整性報告不正確�����,則丟棄步驟幻中TNC客戶端所發(fā)送的信息�;若訪問請求者的完整性報 告正確,則利用IF-IMV將訪問請求者的完整性報告和IF-M消息封裝的訪問請求者的完整 性度量值的索引信息發(fā)送給TNC服務(wù)端上端的相應(yīng)完整性度量校驗者�;402)收到訪問請求者的完整性報告和IF-M消息封裝的訪問請求者的完整性度 量值的索引信息的完整性度量校驗者首先解析出訪問請求者的完整性度量值的索引信息, 依據(jù)訪問請求者的完整性度量值的索引信息從訪問請求者的完整性報告中獲取相應(yīng)的訪 問請求者的完整性度量值并進(jìn)行評估����;若該完整性度量校驗者已完成對訪問請求者的平臺 完整性評估,則該完整性度量校驗者生成完整性度量校驗者級評估結(jié)果并發(fā)送給TNC服務(wù) 端���;403)若TNC服務(wù)端上端的各個完整性度量校驗者都已完成對訪問請求者的平臺 完整性評估�,則TNC服務(wù)端根據(jù)TNC服務(wù)端上端的各個完整性度量校驗者所生成的完整性 度量校驗者級評估結(jié)果生成TNC服務(wù)端行為推薦��。當(dāng)步驟4. 1)中TNC客戶端所發(fā)送的信息包含訪問請求者的完整性報告時�����,所述步 驟4. 2)中的TNC服務(wù)端對步驟4. 1)中TNC客戶端所發(fā)送的信息的處理如下4. 2. 1)TNC服務(wù)端收到步驟4. 1)中TNC客戶端所發(fā)送的信息后,首先驗證訪問請 求者的完整性報告中的平臺簽名有效性����,若該平臺簽名無效,則丟棄步驟4. 1)中TNC客戶 端所發(fā)送的信息�����;否則���,驗證訪問請求者的完整性報告的正確性�,若訪問請求者的完整性報 告不正確�,則丟棄步驟4. 1)中TNC客戶端所發(fā)送的信息,否則利用IF-IMV將訪問請求者的 完整性報告和IF-M消息封裝的訪問請求者的完整性度量值的索引信息發(fā)送給TNC服務(wù)端 上端的相應(yīng)完整性度量校驗者��;4. 2. 2)收到訪問請求者的完整性報告和IF-M消息封裝的訪問請求者的完整性度 量值的索引信息的完整性度量校驗者首先解析出訪問請求者的完整性度量值的索引信息���, 然后依據(jù)訪問請求者的完整性度量值的索引信息從訪問請求者的完整性報告中獲取相應(yīng) 的訪問請求者的完整性度量值并進(jìn)行評估�����。若該完整性度量校驗者已完成對訪問請求者的 平臺完整性評估,則該完整性度量校驗者生成完整性度量校驗者級評估結(jié)果并發(fā)送給TNC 服務(wù)端�����。本發(fā)明的優(yōu)點是從TNC客戶端發(fā)送給TNC服務(wù)端的任意一個IF-TNCCS批次最多包含一個由TNC 服務(wù)端生成的訪問請求者的完整性報告,從而提高了 TCG可信網(wǎng)絡(luò)連接架構(gòu)的平臺鑒別 實現(xiàn)方法的效率��;本發(fā)明通過擴(kuò)展TCG可信網(wǎng)絡(luò)連接架構(gòu)中的IF-M���、IF-IMC����、IF-IMV和 IF-TNCCS來優(yōu)化平臺鑒別實現(xiàn)��,具有很好的兼容性����。
圖1是現(xiàn)有的TCG可信網(wǎng)絡(luò)連接架構(gòu)示意圖。
具體實施例方式一種適合TCG可信網(wǎng)絡(luò)連接架構(gòu)的平臺鑒別實現(xiàn)方法詳述
步驟1)當(dāng)TNC客戶端發(fā)起平臺鑒別時�,TNC客戶端生成一個IF-TNCCS批次并將 該IF-TNCCS批次發(fā)送給TNC服務(wù)端。該IF-TNCCS批次包含TNC客戶端生成的零個或至少 一個承載IF-M消息的IF-TNCCS消息����,其中每個承載IF-M消息的IF-TNCCS消息僅承載一 個由TNC客戶端上端的一個完整性度量收集者發(fā)送的IF-M消息;步驟2�、當(dāng)TNC服務(wù)端發(fā)起平臺鑒別時,TNC服務(wù)端生成一個IF-TNCCS批次并將 該IF-TNCCS批次發(fā)送給TNC客戶端�。該IF-TNCCS批次包含TNC服務(wù)端生成的零個或至少 一個承載IF-M消息的IF-TNCCS消息����,其中每個承載IF-M消息的IF-TNCCS消息僅承載一 個由TNC服務(wù)端上端的一個完整性度量校驗者發(fā)送的IF-M消息��。當(dāng)TNC服務(wù)端上端的一 個完整性度量校驗者發(fā)送一個IF-M消息時�,若該完整性度量校驗者需要驗證訪問請求者 的平臺完整性,則該IF-M消息包含該完整性度量校驗者生成的一個對訪問請求者的完整 性度量請求參數(shù)����,如在該IF-M消息中的度量請求IF-M屬性中增加完整性的屬性類型。當(dāng) TNC服務(wù)端發(fā)送該IF-TNCCS批次時���,若該IF-TNCCS批次包含至少一個IF-M消息封裝的對 訪問請求者的完整性度量請求參數(shù)�,則TNC服務(wù)端生成一個隨機數(shù)并利用一個IF-TNCCS消 息承載���,然后將承載該隨機數(shù)的IF-TNCCS消息包含在該IF-TNCCS批次中�����。當(dāng)TNC服務(wù)端收到步驟1)中TNC客戶端所發(fā)送的信息后�,TNC服務(wù)端在處理步驟 1)中TNC客戶端所發(fā)送的信息后生成一個IF-TNCCS批次并將該IF-TNCCS批次發(fā)送給TNC 客戶端�����。若TNC服務(wù)端在處理步驟1)中TNC客戶端所發(fā)送的信息后生成TNC服務(wù)端行為推 薦,則該IF-TNCCS批次包含TNC服務(wù)端生成的零個承載IF-M消息的IF-TNCCS消息和一個 承載TNC服務(wù)端行為推薦的IF-TNCCS消息�,否則該IF-TNCCS批次包含TNC服務(wù)端生成的 至少一個承載IF-M消息的IF-TNCCS消息���,其中每個承載IF-M消息的IF-TNCCS消息僅承 載一個由TNC服務(wù)端上端的一個完整性度量校驗者發(fā)送的IF-M消息�����。當(dāng)TNC服務(wù)端上端 的一個完整性度量校驗者發(fā)送一個IF-M消息時��,若該完整性度量校驗者需要驗證訪問請 求者的平臺完整性����,則該IF-M消息包含該完整性度量校驗者生成的一個對訪問請求者的 完整性度量請求參數(shù)�����。當(dāng)TNC服務(wù)端發(fā)送該IF-TNCCS批次時�,若該IF-TNCCS批次包含至少 一個IF-M消息封裝的對訪問請求者的完整性度量請求參數(shù),則TNC服務(wù)端生成一個隨機數(shù) 并利用一個IF-TNCCS消息承載����,然后將承載該隨機數(shù)的IF-TNCCS消息包含在該IF-TNCCS 批次中。步驟3) TNC客戶端收到步驟2)中TNC服務(wù)端所發(fā)送的信息后����,若步驟2)中TNC 服務(wù)端所發(fā)送的信息包含TNC服務(wù)端行為推薦���,則TNC客戶端結(jié)束TNC客戶端和TNC服務(wù) 端之間的IF-TNCCS批次交互,否則在處理步驟幻中TNC服務(wù)端所發(fā)送的信息后生成一個 IF-TNCCS批次并將該IF-TNCCS批次發(fā)送給TNC服務(wù)端���。該IF-TNCCS批次包含TNC客戶端 生成的至少一個承載IF-M消息的IF-TNCCS消息��,其中每個承載IF-M消息的IF-TNCCS消息 僅承載一個由TNC客戶端上端的一個完整性度量收集者發(fā)送的IF-M消息���。當(dāng)TNC客戶端上 端的一個完整性度量收集者發(fā)送一個IF-M消息時,若該完整性度量收集者已依據(jù)步驟2) 中TNC服務(wù)端上端的一個完整性度量校驗者所發(fā)送的一個IF-M消息中的該完整性度量校 驗者生成的一個對訪問請求者的完整性度量請求參數(shù)對訪問請求者執(zhí)行平臺完整性度量�, 則該IF-M消息包含該完整性度量收集者生成的一個訪問請求者的完整性度量值的索引信 息,如在該IF-M消息中增加一個對應(yīng)該訪問請求者的完整性度量值的索引信息的IF-M屬 性��,同時該完整性度量收集者將該訪問請求者的完整性度量值的索引信息通過IF-IMC發(fā)送給TNC客戶端�。當(dāng)TNC客戶端發(fā)送該IF-TNCCS批次時,若該IF-TNCCS批次包含至少一 個IF-M消息封裝的訪問請求者的完整性度量值的索引信息��,則TNC服務(wù)端依據(jù)步驟2)中 TNC客戶端所生成的隨機數(shù)和利用IF-IMC從TNC客戶端上端的各個完整性度量收集者接收 到的訪問請求者的完整性度量值的索引信息生成一個訪問請求者的完整性報告��,然后利用 一個IF-TNCCS消息承載該訪問請求者的完整性報告���,最后將承載該訪問請求者的完整性 報告的IF-TNCCS消息包含在該IF-TNCCS批次中�����。步驟4) TNC服務(wù)端收到步驟幻中TNC客戶端所發(fā)送的信息后�,若TNC服務(wù)端在處 理步驟幻中TNC客戶端所發(fā)送的信息后生成TNC服務(wù)端行為推薦,則TNC服務(wù)端在處理步 驟3)中TNC客戶端所發(fā)送的信息后生成一個IF-TNCCS批次并將該IF-TNCCS批次發(fā)送給 TNC客戶端�����,其中該IF-TNCCS批次包含TNC服務(wù)端生成的零個承載IF-M消息的IF-TNCCS 消息和一個承載TNC服務(wù)端行為推薦的IF-TNCCS消息�;否則���,TNC服務(wù)端在處理步驟3)中 TNC客戶端所發(fā)送的信息后繼續(xù)一輪或多輪TNC服務(wù)端和TNC客戶端之間的IF-TNCCS批 次交互直至TNC服務(wù)端生成TNC服務(wù)端行為推薦��,然后向TNC客戶端發(fā)送一個IF-TNCCS批 次����,其中該IF-TNCCS批次包含TNC服務(wù)端生成的零個承載IF-M消息的IF-TNCCS消息和一 個承載TNC服務(wù)端行為推薦的IF-TNCCS消息�。步驟幻TNC客戶端收到步驟4)中TNC服務(wù)端所發(fā)送的TNC服務(wù)端行為推薦后結(jié) 束TNC客戶端和TNC服務(wù)端之間的IF-TNCCS批次交互。所述步驟4)中的一輪TNC服務(wù)端和TNC客戶端之間的IF-TNCCS批次交互包含以 下兩個步驟步驟41) TNC服務(wù)端生成一個IF-TNCCS批次并將該IF-TNCCS批次發(fā)送給TNC客 戶端�。該IF-TNCCS批次包含TNC服務(wù)端生成的至少一個承載IF-M消息的IF-TNCCS消息, 其中每個承載IF-M消息的IF-TNCCS消息僅承載一個由TNC服務(wù)端上端的一個完整性度 量校驗者發(fā)送的IF-M消息����。當(dāng)TNC服務(wù)端上端的一個完整性度量校驗者發(fā)送一個IF-M 消息時��,若該完整性度量校驗者需要驗證訪問請求者的平臺完整性�����,則該IF-M消息包含該 完整性度量校驗者生成的一個對訪問請求者的完整性度量請求參數(shù)��;當(dāng)TNC服務(wù)端發(fā)送該 IF-TNCCS批次時�����,若該IF-TNCCS批次包含至少一個IF-M消息封裝的對訪問請求者的完整 性度量請求參數(shù)��,則TNC服務(wù)端生成一個隨機數(shù)并利用一個IF-TNCCS消息承載�,然后將承 載該隨機數(shù)的IF-TNCCS消息包含在該IF-TNCCS批次中�。步驟42) TNC客戶端收到步驟41)中TNC服務(wù)端所發(fā)送的信息后,在處理步驟41) 中TNC服務(wù)端所發(fā)送的信息后生成一個IF-TNCCS批次并將該IF-TNCCS批次發(fā)送給TNC服 務(wù)端��。該IF-TNCCS批次包含TNC客戶端生成的至少一個承載IF-M消息的IF-TNCCS消息�, 其中每個承載IF-M消息的IF-TNCCS消息僅承載一個由TNC客戶端上端的一個完整性度量 收集者發(fā)送的IF-M消息。當(dāng)TNC客戶端上端的一個完整性度量收集者發(fā)送一個IF-M消息 時���,若該完整性度量收集者已依據(jù)步驟41)中TNC服務(wù)端上端的一個完整性度量校驗者所 發(fā)送的一個IF-M消息中的該完整性度量校驗者生成的一個對訪問請求者的完整性度量請 求參數(shù)對訪問請求者執(zhí)行平臺完整性度量��,則該IF-M消息包含該完整性度量收集者生成 的一個訪問請求者的完整性度量值的索引信息���,同時該完整性度量收集者將該訪問請求者 的完整性度量值的索引信息通過IF-IMC發(fā)送給TNC客戶端��。當(dāng)TNC客戶端發(fā)送該IF-TNCCS 批次時�����,若該IF-TNCCS批次包含至少一個IF-M消息封裝的訪問請求者的完整性度量值的13索引信息�����,則TNC服務(wù)端依據(jù)步驟41)中TNC客戶端所生成的隨機數(shù)和利用IF-IMC從TNC 客戶端上端的各個完整性度量收集者接收到的訪問請求者的完整性度量值的索引信息生 成一個訪問請求者的完整性報告,然后利用一個IF-TNCCS消息承載該訪問請求者的完整 性報告����,最后將承載該訪問請求者的完整性報告的IF-TNCCS消息包含在該IF-TNCCS批次 中。所述TNC服務(wù)端行為推薦的值為允許����、禁止或隔離。當(dāng)步驟3)中TNC客戶端所發(fā)送的信息包含訪問請求者的完整性報告時����,所述步驟 4)中的TNC服務(wù)端對步驟3)中TNC客戶端所發(fā)送的信息的處理如下步驟401)TNC服務(wù)端收到步驟3)中TNC客戶端所發(fā)送的信息后�����,首先驗證訪問 請求者的完整性報告中的平臺簽名有效性����,如驗證AIK(Attestation Identiy Key�����,平臺 身份證明密鑰)簽名有效性����,若該平臺簽名無效,則丟棄步驟幻中TNC客戶端所發(fā)送的信 息���;否則����,驗證訪問請求者的完整性報告的正確性�,如利用訪問請求者的完整性報告中的 PCR(Platform Configuration Register,平臺配置寄存器)值來驗證訪問請求者的完整性 報告中的訪問請求者的完整性度量值(如快照)的正確性����,若訪問請求者的完整性報告不 正確�����,則丟棄步驟3)中TNC客戶端所發(fā)送的信息���,否則利用IF-IMV將訪問請求者的完整性 報告和IF-M消息封裝的訪問請求者的完整性度量值的索引信息發(fā)送給TNC服務(wù)端上端的 相應(yīng)完整性度量校驗者;步驟402)收到訪問請求者的完整性報告和IF-M消息封裝的訪問請求者的完整性 度量值的索引信息的完整性度量校驗者首先解析出訪問請求者的完整性度量值的索引信 息����,然后依據(jù)訪問請求者的完整性度量值的索引信息從訪問請求者的完整性報告中獲取相 應(yīng)的訪問請求者的完整性度量值并進(jìn)行評估。若該完整性度量校驗者已完成對訪問請求 者的平臺完整性評估�����,則該完整性度量校驗者生成完整性度量校驗者級評估結(jié)果并發(fā)送給 TNC服務(wù)端�����;步驟40 若TNC服務(wù)端上端的各個完整性度量校驗者都已完成對訪問請求者的 平臺完整性評估�����,則TNC服務(wù)端根據(jù)TNC服務(wù)端上端的各個完整性度量校驗者所生成的完 整性度量校驗者級評估結(jié)果生成TNC服務(wù)端行為推薦���。當(dāng)步驟41)中TNC客戶端所發(fā)送的信息包含訪問請求者的完整性報告時���,所述步 驟42)中的TNC服務(wù)端對步驟41)中TNC客戶端所發(fā)送的信息的處理如下步驟421)TNC服務(wù)端收到步驟41)中TNC客戶端所發(fā)送的信息后,首先驗證訪問 請求者的完整性報告中的平臺簽名有效性�,若該平臺簽名無效,則丟棄步驟41)中TNC客戶 端所發(fā)送的信息�����;否則���,驗證訪問請求者的完整性報告的正確性�,若訪問請求者的完整性報 告不正確�����,則丟棄步驟41)中TNC客戶端所發(fā)送的信息��,否則利用IF-IMV將訪問請求者的 完整性報告和IF-M消息封裝的訪問請求者的完整性度量值的索引信息發(fā)送給TNC服務(wù)端 上端的相應(yīng)完整性度量校驗者�;步驟422)收到訪問請求者的完整性報告和IF-M消息封裝的訪問請求者的完整性 度量值的索引信息的完整性度量校驗者首先解析出訪問請求者的完整性度量值的索引信 息,然后依據(jù)訪問請求者的完整性度量值的索引信息從訪問請求者的完整性報告中獲取相 應(yīng)的訪問請求者的完整性度量值并進(jìn)行評估�����。若該完整性度量校驗者已完成對訪問請求 者的平臺完整性評估�,則該完整性度量校驗者生成完整性度量校驗者級評估結(jié)果并發(fā)送給TNC服務(wù)端����。
權(quán)利要求
1. 一種適合TCG可信網(wǎng)絡(luò)連接架構(gòu)的平臺鑒別實現(xiàn)方法�����,其特征在于所述適合TCG 可信網(wǎng)絡(luò)連接架構(gòu)的平臺鑒別實現(xiàn)方法包括以下步驟1)當(dāng)TNC客戶端發(fā)起平臺鑒別時���,TNC客戶端生成一個IF-TNCCS批次并將該IF-TNCCS 批次發(fā)送給TNC服務(wù)端����;該IF-TNCCS批次包含TNC客戶端生成的零個或至少一個承載IF-M 消息的IF-TNCCS消息��,其中每個承載IF-M消息的IF-TNCCS消息僅承載一個由TNC客戶端 上端的一個完整性度量收集者發(fā)送的IF-M消息�����;2)當(dāng)TNC服務(wù)端發(fā)起平臺鑒別時��,TNC服務(wù)端生成一個IF-TNCCS批次并將該IF-TNCCS 批次發(fā)送給TNC客戶端�;該IF-TNCCS批次包含TNC服務(wù)端生成的零個或至少一個承載IF-M 消息的IF-TNCCS消息�,其中每個承載IF-M消息的IF-TNCCS消息僅承載一個由TNC服務(wù)端 上端的一個完整性度量校驗者發(fā)送的IF-M消息;當(dāng)TNC服務(wù)端上端的一個完整性度量校驗 者發(fā)送一個IF-M消息時�,若該完整性度量校驗者需要驗證訪問請求者的平臺完整性����,則該 IF-M消息包含該完整性度量校驗者生成的一個對訪問請求者的完整性度量請求參數(shù)�;當(dāng)TNC服務(wù)端發(fā)送IF-TNCCS批次時,若該IF-TNCCS批次包含至少一個IF-M消息 封裝的對訪問請求者的完整性度量請求參數(shù)����,則TNC服務(wù)端生成一個隨機數(shù)并利用一個 IF-TNCCS消息承載,然后將承載該隨機數(shù)的IF-TNCCS消息包含在該IF-TNCCS批次中�����;當(dāng)TNC服務(wù)端收到步驟1)中TNC客戶端所發(fā)送的信息后����,TNC服務(wù)端在處理步驟1) 中TNC客戶端所發(fā)送的信息后生成一個IF-TNCCS批次并將IF-TNCCS批次發(fā)送給TNC客戶 端;若TNC服務(wù)端在處理步驟1)中TNC客戶端所發(fā)送的信息后生成TNC服務(wù)端行為推薦�����, 則TNC服務(wù)端生成的IF-TNCCS批次包含TNC服務(wù)端生成的零個承載IF-M消息的IF-TNCCS 消息和一個承載TNC服務(wù)端行為推薦的IF-TNCCS消息����,否則該IF-TNCCS批次包含TNC服 務(wù)端生成的至少一個承載IF-M消息的IF-TNCCS消息,其中每個承載IF-M消息的IF-TNCCS 消息僅承載一個由TNC服務(wù)端上端的一個完整性度量校驗者發(fā)送的IF-M消息;當(dāng)TNC服務(wù)端上端的一個完整性度量校驗者發(fā)送一個IF-M消息時����,若該完整性度量校 驗者需要驗證訪問請求者的平臺完整性,則該IF-M消息包含該完整性度量校驗者生成的 一個對訪問請求者的完整性度量請求參數(shù)�;當(dāng)TNC服務(wù)端發(fā)送IF-TNCCS批次時,若該IF-TNCCS批次包含至少一個IF-M消息 封裝的對訪問請求者的完整性度量請求參數(shù)��,則TNC服務(wù)端生成一個隨機數(shù)并利用一個 IF-TNCCS消息承載���,然后將承載該隨機數(shù)的IF-TNCCS消息包含在該IF-TNCCS批次中����;3)TNC客戶端收到步驟幻中TNC服務(wù)端所發(fā)送的信息后�,若步驟幻中TNC服務(wù)端所 發(fā)送的信息包含TNC服務(wù)端行為推薦,則TNC客戶端結(jié)束TNC客戶端和TNC服務(wù)端之間的 IF-TNCCS批次交互���,否則在處理步驟2�、中TNC服務(wù)端所發(fā)送的信息后生成一個IF-TNCCS 批次并將該IF-TNCCS批次發(fā)送給TNC服務(wù)端�����;該IF-TNCCS批次包含TNC客戶端生成的至 少一個承載IF-M消息的IF-TNCCS消息�����,其中每個承載IF-M消息的IF-TNCCS消息僅承載 一個由TNC客戶端上端的一個完整性度量收集者發(fā)送的IF-M消息�;當(dāng)TNC客戶端上端的一個完整性度量收集者發(fā)送一個IF-M消息時,若該完整性度量收 集者已依據(jù)步驟幻中TNC服務(wù)端上端的一個完整性度量校驗者所發(fā)送的一個IF-M消息中 的該完整性度量校驗者生成的一個對訪問請求者的完整性度量請求參數(shù)對訪問請求者執(zhí) 行平臺完整性度量��,則該IF-M消息包含該完整性度量收集者生成的一個訪問請求者的完整性度量值的索引信息����,同時該完整性度量收集者將該訪問請求者的完整性度量值的索引 信息通過IF-IMC發(fā)送給TNC客戶端;當(dāng)TNC客戶端發(fā)送IF-TNCCS批次時���,若該IF-TNCCS批次包含至少一個IF-M消息封裝 的訪問請求者的完整性度量值的索引信息���,則TNC服務(wù)端依據(jù)步驟幻中TNC客戶端所生成 的隨機數(shù)和利用IF-IMC從TNC客戶端上端的各個完整性度量收集者接收到的訪問請求者 的完整性度量值的索引信息生成一個訪問請求者的完整性報告,利用一個IF-TNCCS消息 承載該訪問請求者的完整性報告�����,將承載該訪問請求者的完整性報告的IF-TNCCS消息包 含在該IF-TNCCS批次中�;4)TNC服務(wù)端收到步驟幻中TNC客戶端所發(fā)送的信息后,若TNC服務(wù)端在處理步驟3) 中TNC客戶端所發(fā)送的信息后生成TNC服務(wù)端行為推薦��,則TNC服務(wù)端在處理步驟3)中 TNC客戶端所發(fā)送的信息后生成一個IF-TNCCS批次并將該IF-TNCCS批次發(fā)送給TNC客戶 端�,其中該IF-TNCCS批次包含TNC服務(wù)端生成的零個承載IF-M消息的IF-TNCCS消息和一 個承載TNC服務(wù)端行為推薦的IF-TNCCS消息;否則,TNC服務(wù)端在處理步驟3)中TNC客戶 端所發(fā)送的信息后繼續(xù)一輪或多輪TNC服務(wù)端和TNC客戶端之間的IF-TNCCS批次交互直 至TNC服務(wù)端生成TNC服務(wù)端行為推薦�,然后向TNC客戶端發(fā)送該IF-TNCCS批次,其中該 IF-TNCCS批次包含TNC服務(wù)端生成的零個承載IF-M消息的IF-TNCCS消息和一個承載TNC 服務(wù)端行為推薦的IF-TNCCS消息�����;5)TNC客戶端收到步驟4)中TNC服務(wù)端所發(fā)送的TNC服務(wù)端行為推薦后結(jié)束TNC客戶 端和TNC服務(wù)端之間的IF-TNCCS批次交互���。
2.根據(jù)權(quán)利要求1所述的適合TCG可信網(wǎng)絡(luò)連接架構(gòu)的平臺鑒別實現(xiàn)方法����,其特征在 于所述步驟4)中的一輪TNC服務(wù)端和TNC客戶端之間的IF-TNCCS批次交互包括以下兩 個步驟·4. DTNC服務(wù)端生成一個IF-TNCCS批次并將該IF-TNCCS批次發(fā)送給TNC客戶端���;該 IF-TNCCS批次包含TNC服務(wù)端生成的至少一個承載IF-M消息的IF-TNCCS消息����,其中每個 承載IF-M消息的IF-TNCCS消息僅承載一個由TNC服務(wù)端上端的一個完整性度量校驗者發(fā) 送的IF-M消息��;當(dāng)TNC服務(wù)端上端的一個完整性度量校驗者發(fā)送一個IF-M消息時���,若該完整性度量 校驗者需要驗證訪問請求者的平臺完整性�,則該IF-M消息包含該完整性度量校驗者生成 的一個對訪問請求者的完整性度量請求參數(shù)����;當(dāng)TNC服務(wù)端發(fā)送該IF-TNCCS批次時�,若該 IF-TNCCS批次包含至少一個IF-M消息封裝的對訪問請求者的完整性度量請求參數(shù)�����,則TNC 服務(wù)端生成一個隨機數(shù)并利用一個IF-TNCCS消息承載���,然后將承載該隨機數(shù)的IF-TNCCS 消息包含在該IF-TNCCS批次中;·4. 2) TNC客戶端收到步驟4. 1)中TNC服務(wù)端所發(fā)送的信息后�,在處理步驟4. 1)中TNC 服務(wù)端所發(fā)送的信息后生成一個IF-TNCCS批次并將該IF-TNCCS批次發(fā)送給TNC服務(wù)端; 該IF-TNCCS批次包含TNC客戶端生成的至少一個承載IF-M消息的IF-TNCCS消息����,其中每 個承載IF-M消息的IF-TNCCS消息僅承載一個由TNC客戶端上端的一個完整性度量收集者 發(fā)送的IF-M消息;當(dāng)TNC客戶端上端的一個完整性度量收集者發(fā)送一個IF-M消息時��,若該完整性度量收 集者已依據(jù)步驟4. 1)中TNC服務(wù)端上端的一個完整性度量校驗者所發(fā)送的一個IF-M消息中的該完整性度量校驗者生成的一個對訪問請求者的完整性度量請求參數(shù)對訪問請求者 執(zhí)行平臺完整性度量�,則該IF-M消息包含該完整性度量收集者生成的一個訪問請求者的 完整性度量值的索引信息,同時該完整性度量收集者將該訪問請求者的完整性度量值的索 引信息通過IF-IMC發(fā)送給TNC客戶端���;當(dāng)TNC客戶端發(fā)送IF-TNCCS批次時����,若該IF-TNCCS批次包含至少一個IF-M消息封裝 的訪問請求者的完整性度量值的索引信息,則TNC服務(wù)端依據(jù)步驟4. 1)中TNC客戶端所生 成的隨機數(shù)和利用IF-IMC從TNC客戶端上端的各個完整性度量收集者接收到的訪問請求 者的完整性度量值的索引信息生成一個訪問請求者的完整性報告��,利用一個IF-TNCCS消 息承載該訪問請求者的完整性報告��,將承載該訪問請求者的完整性報告的IF-TNCCS消息 包含在該IF-TNCCS批次中�����。
3.根據(jù)權(quán)利要求1或2所述的適合TCG可信網(wǎng)絡(luò)連接架構(gòu)的平臺鑒別實現(xiàn)方法����,其特 征在于所述TNC服務(wù)端行為推薦的值為允許、禁止或隔離��。
4.根據(jù)權(quán)利要求3所述的適合TCG可信網(wǎng)絡(luò)連接架構(gòu)的平臺鑒別實現(xiàn)方法���,其特征在 于當(dāng)步驟3)中TNC客戶端所發(fā)送的信息包含訪問請求者的完整性報告時�����,所述步驟4)中 的TNC服務(wù)端對步驟3)中TNC客戶端所發(fā)送的信息的處理如下401)TNC服務(wù)端收到步驟幻中TNC客戶端所發(fā)送的信息后��,首先驗證訪問請求者的完 整性報告中的平臺簽名有效性�,若該平臺簽名無效�����,則丟棄步驟3)中TNC客戶端所發(fā)送的 信息;若該平臺簽名有效��,則驗證訪問請求者的完整性報告的正確性�����,若訪問請求者的完整 性報告不正確��,則丟棄步驟3)中TNC客戶端所發(fā)送的信息���;若訪問請求者的完整性報告正 確,則利用IF-IMV將訪問請求者的完整性報告和IF-M消息封裝的訪問請求者的完整性度 量值的索引信息發(fā)送給TNC服務(wù)端上端的相應(yīng)完整性度量校驗者��;402)收到訪問請求者的完整性報告和IF-M消息封裝的訪問請求者的完整性度量值的 索引信息的完整性度量校驗者首先解析出訪問請求者的完整性度量值的索引信息�,依據(jù)訪 問請求者的完整性度量值的索引信息從訪問請求者的完整性報告中獲取相應(yīng)的訪問請求 者的完整性度量值并進(jìn)行評估;若該完整性度量校驗者已完成對訪問請求者的平臺完整性 評估��,則該完整性度量校驗者生成完整性度量校驗者級評估結(jié)果并發(fā)送給TNC服務(wù)端�����;403)若TNC服務(wù)端上端的各個完整性度量校驗者都已完成對訪問請求者的平臺完整 性評估�����,則TNC服務(wù)端根據(jù)TNC服務(wù)端上端的各個完整性度量校驗者所生成的完整性度量 校驗者級評估結(jié)果生成TNC服務(wù)端行為推薦。
5.根據(jù)權(quán)利要求4所述的適合TCG可信網(wǎng)絡(luò)連接架構(gòu)的平臺鑒別實現(xiàn)方法�����,其特征 在于當(dāng)步驟4. 1)中TNC客戶端所發(fā)送的信息包含訪問請求者的完整性報告時��,所述步驟 4. 2)中的TNC服務(wù)端對步驟4. 1)中TNC客戶端所發(fā)送的信息的處理如下.4. 2. 1)TNC服務(wù)端收到步驟4. 1)中TNC客戶端所發(fā)送的信息后��,首先驗證訪問請求者 的完整性報告中的平臺簽名有效性��,若該平臺簽名無效�����,則丟棄步驟4. 1)中TNC客戶端所 發(fā)送的信息��;否則�,驗證訪問請求者的完整性報告的正確性,若訪問請求者的完整性報告不 正確�����,則丟棄步驟4. 1)中TNC客戶端所發(fā)送的信息�,否則利用IF-IMV將訪問請求者的完整 性報告和IF-M消息封裝的訪問請求者的完整性度量值的索引信息發(fā)送給TNC服務(wù)端上端 的相應(yīng)完整性度量校驗者�;.4. 2. 2)收到訪問請求者的完整性報告和IF-M消息封裝的訪問請求者的完整性度量值的索引信息的完整性度量校驗者首先解析出訪問請求者的完整性度量值的索引信息�,然后 依據(jù)訪問請求者的完整性度量值的索引信息從訪問請求者的完整性報告中獲取相應(yīng)的訪 問請求者的完整性度量值并進(jìn)行評估。若該完整性度量校驗者已完成對訪問請求者的平臺 完整性評估�,則該完整性度量校驗者生成完整性度量校驗者級評估結(jié)果并發(fā)送給TNC服務(wù) 端。
全文摘要
一種適合TCG可信網(wǎng)絡(luò)連接架構(gòu)的平臺鑒別實現(xiàn)方法�����,包括1)TNC客戶端生成一個IF-TNCCS批次并將其發(fā)送給TNC服務(wù)端���;2)TNC服務(wù)端生成一個IF-TNCCS批次并發(fā)送給TNC客戶端���;3)若2)中的信息包含TNC服務(wù)端行為推薦���,則TNC客戶端結(jié)束和TNC服務(wù)端之間的IF-TNCCS批次交互���,否則在處理2)中的信息后生成一個IF-TNCCS批次并將其發(fā)送給TNC服務(wù)端;4)若TNC服務(wù)端在處理3)中的信息后生成TNC服務(wù)端行為推薦��,則TNC服務(wù)端在處理3)中的信息后生成一個IF-TNCCS批次并將其發(fā)送給TNC客戶端�;5)結(jié)束TNC客戶端和TNC服務(wù)端之間的IF-TNCCS批次交互。本發(fā)明提供了一種效率更高��、安全性更好的適合TCG可信網(wǎng)絡(luò)連接架構(gòu)的平臺鑒別實現(xiàn)方法。
文檔編號H04L29/06GK102045355SQ201010597639
公開日2011年5月4日 申請日期2010年12月20日 優(yōu)先權(quán)日2010年12月20日
發(fā)明者張國強, 曹軍, 王珂, 肖躍雷 申請人:西安西電捷通無線網(wǎng)絡(luò)通信股份有限公司