一种建立三元对等鉴别可信网络连接架构的方法

专利名称：：一种建立三元对等鉴别可信网络连接架构的方法
技术领域：
：本发明涉及一种建立三元对等鉴别可信网络连接架构的方法。
背景技术：
：随着信息化的发展，病毒、蠕虫等恶意软件的问题异常突出。目前已经出现了超过三万五千种的恶意软件，每年都有超过四千万的计算机被感染。要遏制住这类攻击，不仅需要解决安全的传输和数据输入时的检查，还要从源头即从每一台连接到网络的终端开始防御。而传统的安全防御技术已经无法防御种类繁多的恶意攻击。国际可信计算组织(TrustedComputingGroup,TCG)针对这个问题，专门制定了一个基于可信计算技术的网络连接规范——可信网络连接(TrustedNetworkConnect,TNC)，简记为TCG-TNC，其包括了开放的终端完整性架构和一套确保安全互操作的标准。这套标准可以在用户需要时保护一个网络，且由用户自定义保护到什么程度。TCG-TNC本质上就是要从终端的完整性开始建立连接。首先，要创建一套在可信网络内部系统运行状况的策略。只有遵守网络设定策略的终端才能访问网络，网络将隔离和定位那些不遵守策略的设备。由于使用了可信平台模块(TrustedPlatformModule,TPM)，所以还可以阻挡rootkits的攻击。rootkits是一种攻击脚本、经修改的系统程序，或者成套攻击脚本和工具，用于在一个目标系统中非法获取系统的最高控制权限。TCG-TNC架构参见图l所示。在图1中，特定厂家完整性收集者(IntegrityMeasurementCollector,IMC)—完整性校验者(IntegrityMeasurementVerifier,IMV)消息交换接口(Vendor-SpecificIMC-IMVMessages,IF-M)是完整性收集者和完整性校验者之间的接口，TNC客户端一TNC服务端接口(TNCClient-TNCServerInterface,IF-TNCCS)是TNC客户端和TNC服务端之间的接口，网络授权传输协议(NetworkAuthorizationTransportProtocol，IF-T)是网络访问请求者和网络访问授权者之间的接口，策略执行点接口(PolicyEnforcementPointIntegrity,IF-PEP)是策略执行点和网络访问授权者之间的接口，完整性度量收集者接口(IntegrityMeasurementCollectorInteface，IF-IMC)是完整性收集者和TNC客户端之间的接口，完整性度量校验接口(IntegrityMeasurementVerifierInterface,IF-IMV)是完整性校验者和TNC服务端之间的接口。但是，由于图l所示的TCG-TNC架构中访问请求者不评估策略执行点的完整性，所以该架构存在策略执行点不可信赖的问题。为了解决这一问题，一种基于三元对等鉴别(Tri-elementPeerAuthentication,TePA)的TNC架构被提出。基于TePA的TNC架构参见图2所示。在图2中，完整性度量接口(IntegrityMeasurementInterface,IF陽IM)是完整性收集者和完整性校验者之间的接口，TNC客户端一TNC接入点接口(TNCClient-TNCAccessPointInterface,IF-TNCCAP)是TNC客户端和TNC接入点之间的接口，评估策略服务接口(EvaluationPolicyServiceInterface)是TNC接入点和评估策略服务者之间的接口，可信网络传输接口(TrustedNetworkTransportInterface,IF-TNT)是网络访问请求者和网络访问控制者之间的接口，鉴别策略服务接口(AuthenticationPolicyServiceInterface，IF-APS)是网络访问控制者和鉴别策略服务者之间的接口，完整性度量收集者接口(IntegrityMeasurementCollectorInteface，IF-IMC)是完整性收集者和TNC客户端之间，以及完整性收集者和TNC接入点之间的接口，完整性度量校验接口(IntegrityMeasurementVerifierInterface,IF-IMV)是完整性校验者和评估策略服务者之间的接口。为了具体实现图1所示的TCG-TNC架构，TCG详细定义了TCG-TNC架构中各个接口的具体实现方法在IF-PEP规范屮定义远程用户拨号认证系统(RemoteAuthenticationDialInUserService,RADIUS)协议等；在IF-T规范中定义了绑定口J'扩展认证协议(ExtensibleAuthenticationProtocol,EAP)的遂道EAP封装传输方法等；在IF-TNCCS规范中定义了平台鉴别(包括平台凭证鉴别和完整性握手)的消息传输协议和连接管理等，包括如何路由IMC和IMV之间传输的消息；在IF-M规范中定义了IMC和IMV之间所传输消息的封装方法等，包括定义IF-M消息来描述组件的各个属性及其相关处理属性，如产品信息属性和安全处理属性等；在IF-IMC规范中定义了TNC客户端和IMC之间的功能函数，用于支持平台鉴别过程；在IF-IMV规范中定义了TNC服务端和IMV之间的功能函数，也是用于支持平台鉴别过程。此外，在TNC过程中TCG-TNC架构的一些组件还可能需要通过可信平台服务接口(TrustedPlatformServiceInterface,IF-PTS)与可信平台服务(TrustedPlatformService,PTS)进行通信。PTS负责管理完整性度量日志、创建快照和完整性报告等，并通过IF-PTS为TCG-TNC架构的一些组件提供服务。IF-PTS是一个与架构类型无关的接口，即该IF-PTS可适用于图1和图2所示的TNC架构。同理，为了具体实现图2所示的基于TePA的TNC架构，需要详细定义基于TePA的TNC架构中各个接口的具体实现方法。但是，由于图2所示的基于TePA的TNC架构与图1所示的TCG-TNC架构存在着较大的差异性，所以其接口具体实现方法也不同。
发明内容为了解决
背景技术：
中存在的上述技术问题，本发明提供了一种可建立终端可信、实现终端的可信网络连接、实现终端间的可信认证和实现对终端的可信管理的建立三元对等鉴别可信网络连接架构的方法。本发明的目的就是通过定义接口建立基于TePA的TNC架构。本发明的技术解决方案是本发明提供了一种建立三元对等鉴别可信网络连接架构的方法，其特殊之处在于该方法包括1)IF-TNT的实现IF-TNT通过用户鉴别协议来实现网络访问请求者和访问控制器之间的用户鉴别；通过网络传输协议来实现访问请求者和访问控制器在TNC过程中的数据传输；通过访问控制协议来实现访问请求者和访问控制器之间的访问控制；2)IF-APS的实现IF-APS通过用户鉴别协议来实现网络访问请求者和访问控制器之间的用户鉴别，通过网络传输协议来实现访问请求者和访问控制器在TNC过程中的数据传输；3)IF-TNCCAP的实现IF-TNCCAP通过网络连接管理机制来实现TNC客户端和TNC接入点之间的网络连接管理；通过平台鉴别协议来实现访问请求者和访问控制器之间的平台鉴别；通过平台鉴别协议管理机制来实现对平台鉴别过程中平台鉴别协议的管理；通过对完整性度量层消息的封装机制来实现完整性度量层消息的路由；4)IF-EPS的实现IF-EPS通过平台鉴别协议来实现访问请求者和访问控制器之间的平台鉴别；通过对完整性度量层消息的封装机制来实现完整性度量层消息的路由；通过评估策略动态分发机制来实现对访问请求者的评估策略的动态分发；5)IF-IMC的实现包括访问请求者中IF-IMC的实现和访问控制器中IF-IMC的实现，其中访问请求者中的IF-IMC和访问控制器中的IF-IMC通过定义功能函数来实现完整性握手；6)IF-IMV的实现IF-IMV通过定义功能函数来实现完整性握手；7)IF-IM的实现IF-IM通过利用IMC禾niMV之间所传输消息的封装方法来实现IMC和IMV之间的互通。上述步骤l)和步骤2)屮的用户鉴别协议实现方式是若访问请求者和访问控制器之间已实现过用户鉴别，且访问请求者和访问控制器之间的安全关联仍然有效，则网络访问请求者和网络访问控制者利用访问请求者和访问控制器之间的安全关联来实现访问请求者和访问控制器之间的用户鉴别；否则，网络访问请求者、网络访问控制者和鉴别策略服务者执行三元对等鉴别协议来实现访问访问请求者和访问控制器之间的用户鉴别，其中鉴别策略服务者充当可信第三方角色。上述歩骤l)和步骤2)的网络传输协议实现方式是采用与遂道EAP封装传输机制相同的方式对用户鉴别协议数据和平台鉴别协议数据进行封装传输，其中用户鉴别协议数据封装在一个封装传输包中，而平台鉴别协议数据首先要封装成一个封装传输包并利用安全遂道进行保护，然后将上述安全遂道保护的封装传输包嵌套封装在一个封装传输包中。上述步骤l)和步骤2)的网络传输协议实现方式是采用相互独立的封装传输机制对用户鉴别协议数据和平台鉴别协议数据进行封装传输，其中用户鉴别协议数据独立封装在一个封装传输包中，平台鉴别协议数据独立封装在一个封装传输包中并利用安全遂道进行保护。上述步骤l)的访问控制协议是基于三元对等鉴别的访问控制方法。上述步骤3)中的网络连接管理机制实现方式是TNC客户端为每一对TNC客户端——TNC接入点本地创建一个网络连接标识，用于标识每一个TNC过程；TNC接入点为每一对TNC客户端——TNC接入点本地创建一个网络连接标识，用于标识每一个TNC过程；在一个TNC过程中，TNC客户端、TNC接入点和评估策略服务者首先执行一次平台鉴别过程，若该次平台鉴别过程后需要进行平台修补，或者评估策略发生了改变，则TNC客户端、TNC接入点和评估策略服务者需要重新执行一次平台鉴别过程，TNC客户端和TNC接入点保持上述创建的网络连接标识不变，直至该TNC过程被终止。上述歩骤3)和步骤4)中的平台鉴别协议实现方式是由TNC客户端、TNC接入点和评估策略服务者执行的三元对等鉴别协议，其中TNC客户端和TNC接入点互相请求对方平台的完整性度量值，TNC客户端和TNC接入点仅验证对方平台的完整性度量值的平台签名，而平台身份证书的有效性验证和完整性度量值的评估由评估策略服务者来完成。上述步骤3)中的平台鉴别协议管理机制实现方式是在一次平台鉴别过程中，TNC客户端、TNC接入点和评估策略服务者可能需要执行多轮平台鉴别协议，其中，在每一轮平台鉴别协议中TNC客户端和TNC接入点互相发送请求对方平台的完整性度量参数，而向评估策略服务者发送的是已完成度量的完整性度量参数，本轮平台鉴别协议完成后，若请求度量的完整性度量参数与已完成度量的完整性度量参数不相同，则TNC客户端、TNC接入点和评估策略服务者需要执行另外一轮平台鉴别协议，否则本次平台鉴别过程已成功完成。上述步骤3)和步骤4)中的对完整性度量层消息的封装机制是由消息类型、完整性收集者标识和完整性度量层消息构成的封装格式进行封装。上述步骤5)中的访问请求者中的IF-IMC定义的功能函数是TNC客户端发现、装载访问请求者中的IMC;TNC客户端初始化访问请求者中的IMC;访问请求者中的IMC向TNC客户端报告所支持的消息类型；TNC客户端向访问请求者中的IMC通告网络连接状态；TNC客户端向访问请求者中的IMC通告请求度量的完整性度量参数；访问请求者中的IMC向TNC客户端发送完整性度量层消息；访问请求者中的IMC向TNC客户端提供完整性度量值中的PCR弓I用数据，包括引用的PCR值和对这些引用PCR值的平台签名；TNC客户端向访问请求者中的IMC通告该轮平台鉴别协议的该步骤消息将要发送，让访问请求者中的IMC停止收集完整性度量值；TNC客户端向访问请求者中的IMC发送已收到的完整性度量层消息；TNC客户端终止访问请求者中的IMC;访问请求者中的IMC向TNC客户端请求重新执行完整性握手。上述步骤5)中的访问控制器中的IF-IMC定义的功能函数为TNC接入点发现、装载访问控制器中的IMC;TNC接入点初始化访问控制器中的IMC;访问控制器中的IMC向TNC接入点报告所支持的消息类型;TNC接入点向访问控制器中的IMC通告网络连接状态；TNC接入点向访问控制器中的IMC通告请求度量的完整性度量参数；访问控制器中的IMC向TNC接入点发送完整性度量层消息；访问控制器中的IMC向TNC接入点提供完整性度量值中PCR引用数据，包括引用的PCR值和对这些引用PCR值的平台签名；TNC接入点向访问控制器中的IMC通告该轮平台鉴别协议的该步骤消息将要发送，让访问控制器中的IMC停止收集完整件度量值；TNC接入点向访问控制器中的IMC发送己收到的完整性度量层消息；TNC接入点终止访问控制器中的IMC;访问控制器中的IMC向TNC接入点请求重新执行完整性握手。上述步骤6)中的IF-1MV定义的功能函数是评估策略服务者发现、装载策略管理器中的IMV;评估策略服务者初始化策略管理器中的IMV;策略管理器屮的IMV向评估策略服务者报告所支持的消息类型；评估策略服务者向策略管理器中的IMV通告本轮平台鉴别协议所需要设置的评估策略；评估策略服务者向策略管理器中的IMV发送已收到的完整性度量层消息；策略管理器中的IMV向评估策略服务者发送完整性度量层消息；策略管理器中的IMV向评估策略服务者提供完整性度量值中PCR引用数据，包括引用的PCR值和对这些引用PCR值的平台签名；策略管理器中的IMV向评估策略服务者提供组件级评估结果；评估策略服务者终止策略管理器中的IMV。上述步骤7)中的IF-IM的封装方法与TCG-TNC架构中IF-M的封装方法相同。上述步骤4)中IF-EPS还通过评估策略动态分发机制来实现对访问请求者的评估策略的动态分发。上述步骤4)中的评估策略动态分发机制是TNC接入点向评估策略服务者请求对访问请求者的评估策略，评估策略服务者返回对访问请求者的评估策略给TNC接入点。本发明的优点是1、本发明可建立终端可信。本发明在建立终端可信的过程中，基于TePA的TNC架构中的访问请求者中的完整性收集者、TNC客户端、TNC接入点由终端来实现，而策略管理器中的完整性校验者和评估策略服务者可由终端来实现，也可由第三方服务提供者来实现，然后执行基于TePA的TNC架构中的平台鉴别过程来建立终端可信。2、本发明可实现终端的可信网络连接。本发明在终端的可信网络连接过程中，基于TePA的TNC架构中的访问请求者由接入网络的终端来实现，而访问控制器和策略管理器由网络服务提供者来实现，其中策略管理器的部分功能或所有功能还可以由第三方服务提供者来实现，然后执行基于TePA的TNC架构中的TNC过程来实现终端的可信网络连接。3、本发明可实现终端间的可信认证。本发明在终端间的可信认证中，基于TePA的TNC架构中的访问请求者由一个终端来实现，而访问控制器由另一个终端来实现，策略管理器可由网络服务提供者来实现，其中策略管理器的部分功能或所有功能还可以由第三方服务提供者来实现，若终端间己完成用户鉴别并生成了会话密钥，则执行基于TePA的TNC架构中的平台鉴别过程来实现终端间的可信认证，否则执行基于TePA的TNC架构中的TNC过程来实现终端间的可信认证。4、本发明可实现对终端的可信管理。本发明在对终端的可信管理过程中，基于TePA的TNC架构中的访问请求者由终端来实现，而访问控制器和策略管理器由网络服务提供者来实现，其中策略管理器的部分功能或所有功能还可以由第三方服务提供者来实现，若终端和网络服务提供者之间已完成用户鉴别并生成了会话密钥，则执行基于TePA的TNC架构中的平台鉴别过程来实现对终端的可信管理，否则执行基于TePA的TNC架构中的TNC过程来实现对终端的可信管理。图1为现有技术中TCG-TNC架构示意图；图2为现有技术中基于TePA的TNC架构示意图；图3为本发明的访问请求者中IF-IMC的交互示意图；图4为本发明的访问控制器中IF-IMC的交互示意图；图5为本发明的策略管理器中IF-IMV的交互示意图。具体实施例方式本发明提供了一种建立三元对等鉴别可信网络连接架构的方法，该方法包括1)1F-TNT禾niF-APS的具体实现方法IF-TNT和IF-APS中定义的用户鉴别协议可以采用基于对称密钥和非对称密钥的三元对等鉴别协议，如中国无线局域网标准中的WAI协议；IF-TNT和IF-APS中定义的网络传输协议可以为协议数据封装包可以采用与EAP相同或类似的协议数据封装包，但该协议数据封装包的处理与EAP不一样，该协议数据封装包在访问控制器处需要解析包，然后再封装成另一个协议数据封装包发送给另外一方，不像EAP是一个点到点协议的封装包和解析包处理过程，而是一个三方协议的封装包和解析包处理过程，其中三方协议封装包可称为三元认证扩展协议封装包(Tri-elementAuthenticationExtensibleProtocol,TAEP);用户鉴别协议数据和平台鉴别协议数据可以采用与遂道EAP类似的封装方法进行封装，也可以采用相互独立的封装方法进行封装，对于前者，访问请求者和访问控制器将收到一个成功类型的协议数据封装包，如TAEP-success封装包，与整个TNC过程相对应，对于后者，访问请求者和访问控制器将收到两个成功类型的协议数据封装包，如TAEP-success封装包，分别与用户鉴别过程、平台鉴别过程相对应。IF-TNT和IF-APS中定义的访问控制协议可以采用基于三元对等鉴别的访问控制方法，如中国无线局域标准中所采用的访问控制方法。2)IF-TNCCAP和IF-EPS的具体实现方法IF-TNCCAP中定义的网络连接管理机制可以为TNC客户端本地生成与TNC接入点的网络连接标识，TNC接入点本地生成与TNC客户端的网络连接标识，网络连接标识用ConnectionID表示；TNC客户端和TNC接入点为每一个ConnectionID设置一些网络连接状态，如创建、完整性握手、允许、禁止、隔离和终止连接。在一个TNC过程中，TNC客户端、TNC接入点和评估策略服务者首先执行一次平台鉴别过程，若本次平台鉴别过程后需要进行平台修补，或者评估策略发生了改变，则TNC客户端、TNC接入点和评估策略服务者需要重新执行一次平台鉴别过程，TNC客户端和TNC接入点保持上述创建的ConnectionID不变，但网络连接状态可以设置为不同状态，直至该TNC过程被终止。IF-TNCCAP中定义的平台鉴别协议管理机制可以为在一次平台鉴别过程中，TNC客户端、TNC接入点和评估策略服务者可能需要执行多轮平台鉴别协议，其中，在每一轮平台鉴别协议中TNC客户端和TNC接入点互相发送请求对方平台的完整性度量参数，而向评估策略服务者发送的是己完成度量的完整性度量参数，本轮平台鉴别协议完成后，若请求度量的完整性度量参数与已完成度量的完整性度量参数不相同，则TNC客户端、TNC接入点和评估策略服务者需要执行另外一轮平台鉴别协议，否则本次平台鉴别过程已成功完成。IF-EPS中定义的评估策略动态分发机制可以为评估策略服务者为每一级别用户、每一级别服务设置对应的评估策略，TNC接入点可以将访问请求者的用户身份、或者访问请求者所请求的服务、或者访问请求者的用户身份和所请求的服务发送给评估策略服务者，然后评估策略服务者依据本地的设置向TNC接入点返回对访问请求者的评估策略。IF-TNCCAP和IF-EPS中定义的对完整性度量层消息的封装机制可为(消息类型+完整性收集者标识+完整性度量层消息表)列表，该消息类型可由组件类型和厂家标识构成。<table>tableseeoriginaldocumentpage16</column></row><table>IF-TNCCAP和IF-APS中定义的平台鉴别协议是由TNC客户端、TNC接入点和评估策略服务者执行的三元对等鉴别协议，其中TNC客户端和TNC接入点互相请求对方平台的完整性度量值，TNC客户端和TNC接入点仅验证对方平台的完整性度量值的平台签名，而平台身份证书的有效性验证和完整性度量值的评估由评估策略服务者来完成。3)访问请求者中IF-IMC的具体实现方法访问请求者中IF-IMC的功能函数为3.1)发现、装载访问请求者中的IMC的函数，它与特定平台相关，可以利用不同的方法实现；3.2)TNC—IMC—Initialize{imcID，minVersion，maxVersion，*POutActualVersion}，用于初始化IMC，由访问请求者中的IMC实现，其中imcID为TNC客户端为该IMC分配的完整性收集者标识，minVersion和maxVersion是TNC客户端支持的应用接口函数版本号，4pOutActualVersion是实际使用的应用接口函数版本号；3.3)TNC—TNCC—ReportMessageTypes(imcID，supportedTypes，typeCount},用于访问请求者中的IMC向TNC客户端通告所支持的消息类型，由TNC客户端实现，其中supportedTypes为访问请求者所支持的各个消息类型，typeCount为访问请求者所支持的消息类型的数目；3.4)TNC一IMC一NotifyConnectionChange{imcID,connectionID，newState}，用于TNC客户端向访问请求者中的IMC通告网络连接状态，由IMC实现，其中connectionID为TNC客户端创建的网络连接标识，newState为网络连接状态；3.5)TNC—IMC—RequestMeasurementlnfo{imcID，connectionID，Measurementlnfo)，用于TNC客户端向访问请求者中的IMC通知请求度量的完整性度量参数，由IMC实现，其中Measurementlnfo为请求度量的完整性度量参数；3.6)TNC—TNCC—SendMessage{imcID，connectionID，messgae，messageLength，messageType}，用于访问请求者中的IMC向TNC客户端发送完整性度量层消息，由TNC客户端实现，其中messgae为完整性度量层消息，messageLength为message的长度，messageType为message的消息类型；3.7)TNC—TNCC—ProvidePCRsIndex(imcID，connectionID，PCRsIndex}，用于访问请求者中的IMC向TNC客户端提供完整性度量值中的PCR引用数据(可信平台评估层组件可知的)，由TNC客户端实现，其中PCRsIndex为完整性度量值中的PCR引用数据；3.8)TNC—IMC—PA正ndingUmcID，connectionID}，用于TNC客户端向访问请求者中的IMC通告该轮平台鉴别协议的该步骤消息将要发送，让访问请求者中的IMC停止收集完整性度量值，由IMC实现；3.9)TNC—IMC—ReceiveMessage{imcTD，connectionID，messgae，messageLength,messageType}，用于TNC客户端向访问请求者中的IMC发送已收到的完整性度量层消息，由IMC实现；3.10)TNC—IMC_Terminate{imcID}，用于TNC客户端终止访问请求者中的IMC，由IMC实现；3.11)TNC一TNCC—RequestHandshakeRetry{imcID,connectionID,reason},用于访问请求者中的IMC向TNC客户端请求重新执行完整性握手，由TNC客户端实现，其中reason为请求重新执行完整性握手的原因。在平台鉴别过程中，访问请求者中IF-IMC的交互示意图，参见图3。在图3中，IF-IMC中的虚线功能函数调用箭头表示可选的，而实线功能函数调用箭头表示必备的，完整性握手过程中的平台鉴别协议可以是任意轮的(不局限于2轮)，直至做出访问决策为止，且访问请求者和访问控制器都可以发起平台鉴别协议。4)访问控制器中IF-IMC的具体实现方法访问控制器中IF-IMC的功能函数为4.1)发现、装载访问控制器中的IMC的函数，它与特定平台相关，可以利用不同的方法实现；4.2)TNC_IMC—Initialize{imcID，minVersion,maxVersion，*pOutActualVersion}，用于初始化IMC，由访问控制器中的IMC实现，其中imcID为TNC接入点为该IMC分配的完整性收集者标识，minVersion和maxVersion是TNC接入点支持的应用接口函数版本号，fpOutActualVersion是实际使用的应用接U函数版本号；4.3)TNC一TNCAP—ReportMessageTypes(imcID，supportedTypes，typeCount}，用于访问控制器中的IMC向TNC接入点通告所支持的消息类型，由TNC接入点实现，其中supportedTypes为访问控制器所支持的各个消息类型，typeCount为访问控制器所支持的消息类型的数目；4.4)TNC—IMC一NotifyConnectionChange{imcID,connectionID，newState}，用于TNC接入点向访问控制器中的IMC通告网络连接状态，由IMC实现，其中connectionID为TNC接入点创建的网络连接标识，newState为网络连接状态；4.5)TNC一IMC—RequestMeasurementlnfo{imcID，connectionID，Measurementlnfo}，用于TNC接入点向访问控制器中的IMC通知请求度量的完整性度量参数，由IMC实现，其中Measurementlnfo为请求度量的完整性度量参数；4.6)TNC—TNCAP—SendMessage(imcID，connectionID，messgae，messageLength,messageType}，用于访问控制器中的IMC向TNC接入点发送完整性度量层消息，由TNC接入点实现，其中messgae为完整性度量层消息，messageLength为message的长度，messageType为message的消息类型；4.7)TNC一TNCAP一P膀idePCRsIndex{imcID,connectionID,PCRsIndex}，用于访问控制器中的IMC向TNC接入点提供完整性度量值中的PCR弓I用数据(可信平台评估层组件可知的)，由TNC接入点实现，其中PCRsIndex为完整性度量值中的PCR引用数据；4.8)TNC—IMC—PA正nding{imcID,connectionID}，用于TNC接入点向访问控制器中的IMC通告该轮平台鉴别协议的该步骤消息将要发送，让访问控制器中的IMC停止收集完整性度量值，由IMC实现；4.9)TNC—IMC一ReceiveMessage{imcID，connectionID，messgae，messageLength，messageType}，用于TNC接入点向访问控制器中的IMC发送己收到的完整性度量层消息，由IMC实现；4.10)TNC—IMC—Terminate{imcID}，用于TNC接入点终止访问控制器中的IMC，由IMC实现；4.11)TNC—TNCAP一RequestHandshakeRetry(imcID，connectionID,reason}，用于访问控制器中的IMC向TNC接入点请求重新执行完整性握手，由TNC接入点实现，其中reason为请求重新执行完整性握手的原因。在平台鉴别过程中，访问控制器中IF-IMC的交互示意图，参见图4。在图4中，IF-IMC中的虚线功能函数调用箭头表示可选的，而实线功能函数调用箭头表示必备的，完整性握手过程中的平台鉴别协议可以是任意轮的(不局限于2轮)，直至做出访问决策为止，且访问请求者和访问控制器都可以发起平台鉴别协议。5)IF-IMV的具体实现方法策略管理器中IF-IMV的功能函数为5.1)发现、装载策略管理器中的IMV的功能函数，它与特定平台相关，可以利用不同的方法实现；5.2)TNC—IMV—Initialize{imvID，minVersion，maxVersion，*pOutActualVersion}，用于评估策略服务者初始化策略管理器中的IMV，由策略管理器中的IMV实现，其中imvID为评估策略服务者为该策略管理器中的IMV分配的完整性校验者标识，minVersion和maxVersion是评估策略服务者支持的应用接口函数版本号，*01^八咖&1￥61^011是实际使用的应用接口函数版本号；5.3)TNC—EPS一ReportMessageTypes(imvID，s叩portedTypes，typeCount}，用于策略管理器中的IMV向评估策略服务者通告所支持的消息类型，由评估策略服务者实现，其中supportedTypes为策略管理器中的IMV所支持的各个消息类型，typeCount为策略管理器中咖MV所支持的消息类型的数目；5.4)TNC一IMV—SetAttributePolicy(imvID，PAIBindingID，AttributePolicy}，用于评估策略服务者向策略管理器中的IMV通告本轮平台鉴别协议所需要设置的评估策略，由策略管理器中的IMV实现，其中PAIBindingID为评估策略服务者为本轮平台鉴别协议创建的平台鉴别协议绑定标识，目的是使评估策略服务者可以管理所执行的各个平台鉴别协议，如由平台鉴别协议中访问控制器的平台鉴别校验挑战NAC.PM和访问请求者的平台鉴别请求挑战NAR共同导出的一个随机数，AttributePolic为所需要设置的评估策略；5.5)TNC—IMV—ReceiveMessage{imvID，PAIBindingID，messgae，messageLength，messageType}，用于评估策略服务者向策略管理器中的IMV发送巳收到的完整性度量层消息，由策略管理器中的IMV实现，其中messgae为完整性度量层消息，messageLength为message的长度，messageType为message的消息类型；5.6)TNC—EPS—SendMessage{imvID，PAIBindingID，messgae，messageLength,messageType}，用于策略管理器中的IMV向评估策略服务者发送完整性度量层消息，由评估策略服务者实现；5.7)TNC一EPS一ProvideRecommendation(imvID，PAIBindingID，recommendation,evaluation}，用于策略管理器中的IMV向评估策略服务者提供组件级评估结果(可信平台评估层组件可知的)，由评估策略服务者实现，其中recommendation为组件级评估结果中的行为推荐，evaluation为组件级评估结果中的评定结果；5.8)TNC—EPS一ProvidePCRsIndex{imvID,PAIBindingID,PCRsIndex}，用于策略管理器中的IMV向评估策略服务者提供完整性度量值中的PCR引用数据(可信平台评估层组件可知的)，由评估策略服务者实现，其中PCRsIndex为完整性度量值中的PCR弓I用数据；5.9)TNC—IMV—Terminate{imvID}，用于评估策略服务者终止的策略管理器中的IMV，由策略管理器中的IMV实现；在平台鉴别过程中，策略管理器中ff-IMV的交互示意图，参见图5。在图5中，IF-IMV中的虚线功能函数调用箭头表示可选的，而实线功能函数调用箭头表不必备的，完整性握手过程中的平台鉴别协议可以是任意轮的(不局限于2轮)，直至做出访问决策为止，且访问请求者和访问控制器都可以发起平台鉴别协议。6)IF-IM的具体实现方法除了使用TNC—IMC—RequestMeasurementlnfo来完成TCG-TNC架构中的请求完整性度量属性功能(使用完整性度量层消息来完成，即使用IF-M消息来完成)夕卜，其他与TCG-TNC架构中IF-M相同。权利要求1、一种建立三元对等鉴别可信网络连接架构的方法，其特征在于该方法包括1)IF-TNT的实现IF-TNT通过用户鉴别协议来实现网络访问请求者和访问控制器之间的用户鉴别；通过网络传输协议来实现访问请求者和访问控制器在TNC过程中的数据传输；通过访问控制协议来实现访问请求者和访问控制器之间的访问控制；2)IF-APS的实现IF-APS通过用户鉴别协议来实现网络访问请求者和访问控制器之间的用户鉴别，通过网络传输协议来实现访问请求者和访问控制器在TNC过程中的数据传输；3)IF-TNCCAP的实现IF-TNCCAP通过网络连接管理机制来实现TNC客户端和TNC接入点之间的网络连接管理；通过平台鉴别协议米实现访问请求者和访问控制器之间的平台鉴别；通过平台鉴别协议管理机制来实现对平台鉴别过程中平台鉴别协议的管理；通过对完整性度量层消息的封装机制来实现完整性度量层消息的路由；4)IF-EPS的实现IF-EPS通过平台鉴别协议来实现访问请求者和访问控制器之间的平台鉴别；通过对完整性度量层消息的封装机制来实现完整性度量层消息的路由；5)IF-IMC的实现包括访问请求者中IF-IMC的具体实现和访问控制器中IF-IMC的具体实现，其中访问请求者中的IF-IMC和访问控制器中的IF-IMC通过定义功能函数来实现完整性握手；6)IF-IMV的实现IF-IMV通过定义功能函数来实现完整性握手；7)IF-IM的实现IF-IM通过利用IMC和IMV之间所传输消息的封装方法来实现IMC和IMV之间的互通。2、根据权利要求l所述的建立三元对等鉴别可信网络连接架构的方法，其特征在于所述步骤l)和步骤2)中的用户鉴别协议实现方式是若访问请求者和访问控制器之间己实现过用户鉴别，且访问请求者和访问控制器之间的安全关联仍然有效，则网络访问请求者和网络访问控制者利用访问请求者和访问控制器之间的安全关联来实现访问请求者和访问控制器之间的用户鉴别；否则，网络访问请求者、网络访问控制者和鉴别策略服务者执行三元对等鉴别协议来实现访问访问请求者和访问控制器之间的用户鉴别，其中鉴别策略服务者充当可信第三方角色。3、根据权利要求l所述的建立三元对等鉴别可信网络连接架构的方法，其特征在于所述步骤l)和步骤2)中的网络传输协议实现方式是釆用与遂道EAP封装传输机制相同的方式对用户鉴别协议数据和平台鉴别协议数据进行封装传输，其中用户鉴别协议数据封装在一个封装传输包中，而平台鉴别协议数据首先要封装成一个封装传输包并利用安全遂道进行保护，然后将上述安全遂道保护的封装传输包嵌套封装在一个封装传输包中。4、根据权利要求1所述的建立三元对等鉴别口J信网络连接架构的方法，其特征在于所述歩骤l)和步骤2)中的网络传输协议实现方式是采用相互独立的封装传输机制对用户鉴别协议数据和平台鉴别协议数据进行封装传输，其中用户鉴别协议数据独立封装在一个封装传输包中，平台鉴别协议数据独立封装在一个封装传输包中并利用安全遂道进行保护。5、根据权利要求l所述的通过定义接口建立三元对等鉴别可信网络连接架构的方法，其特征在于所述步骤l)中的访问控制协议是基于三元对等鉴别的访问控制方法。6、根据权利要求l所述的建立三元对等鉴别可信网络连接架构的方法，其特征在于所述步骤3)中的网络连接管理机制实现方式是TNC客户端为每一对TNC客户端——TNC接入点本地创建一个网络连接标识，用于标识每一个TNC过程；TNC接入点为每一对TNC客户端——TNC接入点本地创建一个网络连接标识，用于标识每一个TNC过程；在一个TNC过程中，TNC客户端、TNC接入点和评估策略服务者首先执行一次平台鉴别过程，若该次平台鉴别过程后需要进行平台修补，或者评估策略发生了改变，则TNC客户端、TNC接入点和评估策略服务者需要重新执行一次平台鉴别过程，TNC客户端和TNC接入点保持上述创建的网络连接标识不变，直至该TNC过程被终止。7、根据权利要求l所述的建立三元对等鉴别可信网络连接架构的方法，其特征在于所述步骤3)和步骤4)中的平台鉴别协议实现方式是由TNC客户端、TNC接入点和评估策略服务者执行的三元对等鉴别协议，其中TNC客户端和TNC接入点互相请求对方平台的完整性度量值，TNC客户端和TNC接入点仅验证对方平台的完整性度量值的平台签名，而平台身份证书的有效性验证和完整性度量值的评估由评估策略服务者来完成。8、根据权利要求l所述的建立三元对等鉴别可信网络连接架构的方法，其特征在于所述步骤3)中的平台鉴别协议管理机制实现方式是在一次平台鉴别过程中，TNC客户端、TNC接入点和评估策略服务者需要执行多轮平台鉴别协议，其中，在每一轮平台鉴别协议中TNC客户端和TNC接入点互相发送请求对方平台的完整性度量参数，而向评估策略服务者发送的是已完成度量的完整性度量参数，本轮平台鉴别协议完成后，若请求度量的完整性度量参数与已完成度量的完整性度量参数不相同，则TNC客户端、TNC接入点和评估策略服务者需要执行另外一轮平台鉴别协议，否则本次平台鉴别过程己成功完成。9、根据权利要求l所述的建立三元对等鉴别可信网络连接架构的方法，其特征在于所述步骤3)和步骤4)中的对完整性度量层消息的封装机制是由消息类型、完整性收集者标识和完整性度量层消息构成的封装格式进行封装。10、根据权利要求l所述的建立三元对等鉴别可信网络连接架构的方法，其特征在于所述步骤5)中的访问请求者中的IF-IMC定义的功能函数是TNC客户端发现、装载访问请求者中的IMC;TNC客户端初始化访问请求者中的IMC;访问请求者中的IMC向TNC客户端报告所支持的消息类型;TNC客户端向访问请求者中的IMC通告网络连接状态；TNC客户端向访问请求者中的IMC通告请求度量的完整性度量参数；访问请求者中的IMC向TNC客户端发送完整性度量层消息；访问请求者中的IMC向TNC客户端提供完整性度量值中的PCR引用数据，包括引用的PCR值和对这些引用PCR值的平台签名；TNC客户端向访问请求者中的IMC通告该轮平台鉴别协议的该步骤消息将要发送，让访问请求者中的IMC停止收集完整性度量值;TNC客户端向访问请求者中的IMC发送已收到的完整性度量层消息；TNC客户端终止访问请求者中的IMC;访问请求者中的IMC向TNC客户端请求重新执行完整性握手。11、根据权利要求l所述的建立三元对等鉴别可信网络连接架构的方法，其特征在于所述步骤5)中的访问控制器中的IF-IMC定义的功能函数为TNC接入点发现、装载访问控制器中的IMC;TNC接入点初始化访问控制器中的IMC;访问控制器中的IMC向TNC接入点报告所支持的消息类型;TNC接入点向访问控制器中的IMC通告网络连接状态；TNC接入点向访问控制器中的IMC通告请求度量的完整性度量参数；访问控制器中的IMC向TNC接入点发送完整性度量层消息；访问控制器中的1MC向TNC接入点提供完整性度量值中PCR引用数据，包括引用的PCR值和对这些引用PCR值的平台签名；TNC接入点向访问控制器中的IMC通告该轮平台鉴别协议的该步骤消息将要发送，让访问控制器中的IMC停止收集完整性度量值;TNC接入点向访问控制器中的IMC发送已收到的完整性度量层消息；TNC接入点终止访问控制器中的1MC;访问控制器中的IMC向TNC接入点请求重新执行完整性握手。12、根据权利要求l所述的建立三元对等鉴别可信网络连接架构的方法，其特征在于所述步骤6)中的IF-IMV定义的功能函数是评估策略服务者发现、装载策略管理器中的IMV;评估策略服务者初始化策略管理器中的IMV;策略管理器中的IMV向评估策略服务者报告所支持的消息类型；评估策略服务者向策略管理器中的IMV通告木轮平台鉴别协议所需要设置的评估策略；评估策略服务者向策略管理器中的IMV发送已收到的完整性度量层消息；策略管理器中的IMV向评估策略服务者发送完整性度量层消息；策略管理器中的IMV向评估策略服务者提供完整性度量值中PCR引用数据，包括引用的PCR值和对这些引用PCR值的平台签名；策略管理器中的IMV向评估策略服务者提供组件级评估结果；评估策略服务者终止策略管理器中的IMV。13、根据权利要求l所述的建立三元对等鉴别可信网络连接架构的方法，其特征在于所述步骤7)中的IF-IM的封装方法与TCG-TNC架构中IF-M的封装方法相同。14.根据权利要求1至13任一权利要求所述的建立三元对等鉴别可信网络连接架构的方法，其特征在于所述步骤4)中IF-EPS还通过评估策略动态分发机制来实现对访问请求者的评估策略的动态分发。15、根据权利要求l所述的建立三元对等鉴别可信网络连接架构的方法，其特征在于所述步骤4)中的评估策略动态分发机制是TNC接入点向评估策略服务者请求对访问请求者的评估策略，评估策略服务者返回对访问请求者的评估策略给TNC接入点。全文摘要本发明涉及一种建立三元对等鉴别可信网络连接架构的方法，该方法包括1)IF-TNT的实现；2)IF-APS的实现；3)IF-TNCCAP的实现；4)IF-EPS的实现；5)IF-IMC的实现；6)IF-IMV的实现以及7)IF-IM的实现。本发明提供了一种建立终端可信、实现终端的可信网络连接、实现终端间的可信认证和实现对终端的可信管理的通过定义接口建立三元对等鉴别可信网络连接架构的方法。文档编号H04L9/00GK101527718SQ200910022058公开日2009年9月9日申请日期2009年4月16日优先权日2009年4月16日发明者军曹,肖跃雷,莉葛,黄振海申请人:西安西电捷通无线网络通信有限公司