专利名称:多信任域之间的完整性报告传递方法和系统的制作方法
技术领域:
本发明涉及机电领域,尤其涉及一种多信任域之间的完整性报告传递方法和系统。
背景技术:
随着计算机科学技术的迅猛发展,社会的信息化程度越来越高,利用计算机和网络进行信息存储、通信和处理已经成为人们生活和工作的重要组成部分。那么如何确保我们获得的网络信息是可信的呢?可信计算组织(Trusted Computing Group,简称TCG)用实体行为的预期性来定义可信如果一个实体的行为总是以预期的方式,朝着预期的目标, 则该实体是可信的。可信的基本思想是在计算机系统中首先建立一个信任根,再建立一条信任链,一级测量认证一级,一级信任一级,把信任关系扩大到整个计算机系统,从而确保计算机系统的可信,这个过程可以通过可信平台模块(Trusted Platform Module,简称 TPM)或可信加密模块(Trusted Cryptography Module,简称TCM)来完成的,当一台计算机置有TPM并且TPM报告的状态和预期的一致,就可以确定这台计算机的状态是可信的。 可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互连可信、互联网交易等应用系统可信等。而对于一般用户,相对更关注“网络互连的可信”。实践证明,可信计算是增强计算机网络信息系统安全的一种行之有效地新技术。随着可信计算的普及和推广,各企业和单位都纷纷为自己局域网内的计算机嵌入合法的TPM或TCM,也必然会为本局域网设计一个服务器,以管理局域网内的每台计算机,而不同局域网的服务器在管理其所在局域网内部的计算机时,由于各个服务器颁发的匿名认证证书所选择的参数或初始设置的不同,使得局域网之间的计算机在需要通信时存在“交流障碍”问题即信任域(Tursted Domain,简称=TD)不同问题。目前TCG在规范TPM vl. 2中发布了直接匿名证明(Direct Anonymous Attestation,简称DAA),但该方案只能在某一个确定的局域网内部成立,当TCM或TPM主机处于不同局域网时,由于信任域的不同,使得TCM或TPM主机在进行身份鉴别时,由于请求者和验证者只信任各自信任域内的DAA匿名证书,使得TPM1. 2规范中提供的DAA认证方案不能正常进行。以公司A和B为例,当位于公司A的信任域TD-A内的可信计算平台A[i] 与位于公司B的信任域TD-B内的验证者B[i]进行关于平台可信完整性报告传递时,由于验证者B[i]只信任TD-B的DAA匿名证书服务器,信任域TD-B内的验证者将无法判断可信计算平台A[i]是否为一个合法有效的可信计算平台,也不能与可信计算平台A[i]进行完整性报告传递。
发明内容
本发明提供一种多信任域之间的完整性报告传递方法和系统,用于实现在多信任域之间传递完整性报告。本发明提供一种多信任域之间的完整性报告传递方法,包括
接收第一信任域的匿名证书服务器发送的身份序列号、第二信任域的匿名证书服务器的公钥参数和公钥、以及所述第二信任域的匿名证书服务器的访问权限信息,从所述第一信任域的匿名证书服务器获取所述身份序列号的签名信息并验证所述签名信息;与所述第二信任域的可信网关控制台建立信任,协商通信密钥;接收所述第一信任域内的源主机发送的第一请求消息,所述第一请求消息中包括第一信息和关于所述第一信息的直接匿名证明签名数据信息,所述第一信息包括请求资源信息、所述源主机的完整性报告和目标主机的目标主机标识,根据所述目标主机标识,判断所述目标主机是否为所述第一信任域内的主机,若所述目标主机为所述第一信任域内的主机,将所述第一请求消息发送给所述目标主机,若所述目标主机不是所述第一信任域内的主机,生成第二请求消息并采用所述通信密钥加密所述第二请求消息,将加密后的第二请求消息发送给第二信任域的可信网关控制台,接收所述第二信任域的可信网关控制台发送的响应消息,并将所述响应消息发送给所述源主机,所述第二请求消息包括所述第一请求消息和所述第一信任域的匿名证书服务器的公钥参数。本发明还提供一种多信任域之间的完整性报告传递方法,包括为第一信任域的可信网关控制台生成身份序列号,与第二信任域的匿名证书服务器交互公钥参数和公钥,生成所述第二信任域的匿名证书服务器的访问权限信息,将所述第二信任域的匿名证书服务器的公钥参数、所述第二信任域的匿名证书服务器的访问权限信息和所述身份序列号发送给所述第一信任域的可信网关控制台;为所述第一信任域的可信网关控制台生成所述身份序列号的签名信息并将所述签名信息发送给所述第一信任域的可信网关控制台。本发明还提供一种多信任域之间的完整性报告传递方法,包括接收第二信任域的匿名证书服务器发送的身份序列号、第一信任域的匿名证书服务器的公钥参数和公钥、以及所述第一信任域的匿名证书服务器的访问权限信息,从所述第二信任域的匿名证书服务器获取所述身份序列号的签名信息并验证所述签名信息;与所述第一信任域的可信网关控制台建立信任,协商通信密钥;接收第一信任域的可信网关控制台发送的加密后的第二请求消息,所述第二请求消息包括第一请求消息和第一信任域的匿名证书服务器的公钥参数,所述第一请求消息中包括第一信息和关于所述第一信息的直接匿名证明签名数据信息,所述第一信息包括请求资源信息、所述源主机的完整性报告和目标主机的目标主机标识,解密所述加密后的第二请求消息,根据所述第一信任域的匿名证书服务器的公钥参数,获取所述第一信任域的访问权限信息,判断所述请求资源信息是否在所述访问权限信息内,若所述请求资源信息不在所述访问权限信息内,向所述第一信任域的可信网关控制台发送响应消息,若所述请求消息在所述访问权限信息内,根据所述目标主机标识,将所述第二请求消息发送到所述目标主机,接收所述目标主机发送的响应消息,将所述响应消息发送给所述第一信任域的可信网关控制台。本发明还提供一种多信任域之间的完整性报告传递方法,包括接收第二信任域的可信网关控制台发送的第二请求消息,所述第二请求消息包括第一请求消息和第一信任域的匿名证书服务器的公钥参数,所述第一请求消息中包括第一信息和关于所述第一信息的直接匿名证明签名数据信息,所述第一信息包括请求资源信息、所述源主机的完整性报告和目标主机的目标主机标识;根据所述第一信息的直接匿名证明签名数据信息和所述第一信任域的匿名证书服务器的公钥参数,判断所述源主机是否拥有所述第一信任域的匿名证书服务器颁发的匿名证书;若所述源主机未拥有所述第一信任域的匿名证书服务器颁发的匿名证书,向所述第二信任域的可信网关控制台发送响应消息,若所述源主机拥有所述第一信任域的匿名证书服务器颁发的匿名证书,根据所述完整性报告,判断所述源主机是否可信,若所述源主机不可信,向所述第二信任域的可信网关控制台发送响应消息,若所述源主机可信,判断是否能够提供所述请求资源信息并根据判断结果向所述第二信任域的可信网关控制台发送响应消息。本发明还提供一种可信网关控制台,包括第一接收模块,用于接收第一信任域的匿名证书服务器发送的身份序列号、第二信任域的匿名证书服务器的公钥参数和公钥、以及所述第二信任域的匿名证书服务器的访问权限信息;第一签名信息获取与验证模块,用于从所述第一信任域的匿名证书服务器获取所述身份序列号的签名信息并验证所述签名信息;第一信任建立模块,用于与所述第二信任域的可信网关控制台建立信任,协商通信密钥;所述第一接收模块还用于接收所述第一信任域内的源主机发送的第一请求消息, 所述第一请求消息中包括第一信息和关于所述第一信息的直接匿名证明签名数据信息,所述第一信息包括请求资源信息、所述源主机的完整性报告和目标主机的目标主机标识;第一判断模块,用于根据所述目标主机标识,判断所述目标主机是否为所述第一信任域内的主机;第一发送模块,用于当所述第一判断模块判定所述目标主机为所述第一信任域内的主机时,将所述第一请求消息发送给所述目标主机,当所述第一判断模块判定所述目标主机不是所述第一信任域内的主机时,生成第二请求消息并采用所述通信密钥加密所述第二请求消息,将加密后的第二请求消息发送给第二信任域的可信网关控制台;所述第一接收模块还用于接收所述第二信任域的可信网关控制台发送的响应消息;所述第一发送模块还用于将所述响应消息发送给所述源主机,所述第二请求消息包括所述第一请求消息和所述第一信任域的匿名证书服务器的公钥参数。本发明还提供一种匿名证书服务器,包括初始化模块,用于为第一信任域的可信网关控制台生成身份序列号,生成所述第二信任域的匿名证书服务器的访问权限信息;第二发送模块,用于将第一信任域的匿名证书服务器的公钥参数和公钥发送给第二信任域的匿名证书服务器;第二接收模块,用于接收第二信任域的匿名证书服务器发送的公钥参数和公钥, 所述第二发送模块还用于将所述第二信任域的匿名证书服务器的公钥参数和公钥、所述第二信任域的匿名证书服务器的访问权限信息和所述身份序列号发送给所述第一信任域的可信网关控制台;签名信息生成模块,用于为所述第一信任域的可信网关控制台生成所述身份序列
12号的签名信息,所述第二发送模块还用于将所述签名信息发送给所述第一信任域的可信网关控制台。本发明还提供一种可信网关控制台,包括第三接收模块,用于接收第二信任域的匿名证书服务器发送的身份序列号、第一信任域的匿名证书服务器的公钥参数和公钥、以及所述第一信任域的匿名证书服务器的访问权限信息;第二签名信息获取与验证模块,用于从所述第二信任域的匿名证书服务器获取所述身份序列号的签名信息并验证所述签名信息;第二信任建立模块,用于与所述第一信任域的可信网关控制台建立信任,协商通信密钥;所述第三接收模块还用于接收所述第一信任域的可信网关控制台发送的加密后的第二请求消息,所述第二请求消息包括第一请求消息和第一信任域的匿名证书服务器的公钥参数,所述第一请求消息中包括第一信息和关于所述第一信息的直接匿名证明签名数据信息,所述第一信息包括请求资源信息、所述源主机的完整性报告和目标主机的目标主机标识;第二判断模块,用于解密所述加密后的第二请求消息,根据所述第一信任域的匿名证书服务器的公钥参数,获取所述第一信任域的访问权限信息,判断所述请求资源信息是否在所述访问权限信息内;第三发送模块,用于当所述第二判断模块判定所述请求资源信息不在所述访问权限信息内时,向所述第一信任域的可信网关控制台发送响应消息,当所述第二断模块判定所述请求消息在所述访问权限信息内时,根据所述目标主机标识,将所述第二请求消息发送到所述目标主机,所述第三接收模块还用于接收所述目标主机发送的响应消息,所述第三发送模块还用于将所述响应消息发送给所述第一信任域的可信网关控制台。本发明还提供一种主机,包括第四接收模块,用于接收第二信任域的可信网关控制台发送的第二请求消息,所述第二请求消息包括第一请求消息和第一信任域的匿名证书服务器的公钥参数,所述第一请求消息中包括第一信息和关于所述第一信息的直接匿名证明签名数据信息,所述第一信息包括请求资源信息、所述源主机的完整性报告和目标主机的目标主机标识;第三判断模块,用于根据所述第一信息的直接匿名证明签名数据信息和所述第一信任域的匿名证书服务器的公钥参数,判断所述源主机是否拥有所述第一信任域的匿名证书服务器颁发的匿名证书;响应消息发送模块,用于当所述第三判断模块判定所述源主机未拥有所述第一信任域的匿名证书服务器颁发的匿名证书时向所述第二信任域的可信网关控制台发送响应消息;第四判断模块,用于当所述第三判断模块判定所述源主机拥有所述第一信任域的匿名证书服务器颁发的匿名证书时,根据所述完整性报告,判断所述源主机是否可信;所述响应消息发送模块还用于当所述第四判断模块判定所述源主机不可信时,向所述第二信任域的可信网关控制台发送响应消息;第五判断模块,用于当所述第四判断模块判断所述源主机可信时,判断是否能够提供所述请求资源信息;所述响应消息发送模块还用于根据所述第三判断模块的判断结果向所述第二信任域的可信网关控制台发送响应消息。本发明还提供一种多信任域之间的完整性报告传递系统,包括第一信任域和第二信任域,所述第一信任域包括匿名证书服务器、可信网关控制台和数台主机,所述第二信任域包括匿名证书服务器、可信网关控制台和数台主机,其中,所述第一信任域的匿名证书服务器用于为所述第一信任域的可信网关控制台生成身份序列号,与所述第二信任域的匿名证书服务器交互公钥参数和公钥,生成所述第二信任域的匿名证书服务器的访问权限信息,将所述第二信任域的匿名证书服务器的公钥参数和公钥、所述第二信任域的匿名证书服务器的访问权限信息和所述身份序列号发送给所述第一信任域的可信网关控制台;为所述第一信任域的可信网关控制台生成所述身份序列号的签名信息并将所述签名信息发送给所述第一信任域的可信网关控制台;所述第一信任域的可信网关控制台用于接收所述第一信任域的匿名证书服务器发送的身份序列号、所述第二信任域的匿名证书服务器的公钥参数和公钥、以及所述第二信任域的匿名证书服务器的访问权限信息,从所述第一信任域的匿名证书服务器获取所述身份序列号的签名信息并验证所述签名信息;与所述第二信任域的可信网关控制台建立信任,协商通信密钥;接收所述第一信任域内的源主机发送的第一请求消息,所述第一请求消息中包括第一信息和关于所述第一信息的直接匿名证明签名数据信息,所述第一信息包括请求资源信息、所述源主机的完整性报告和目标主机的目标主机标识,根据所述目标主机标识,判断所述目标主机是否为所述第一信任域内的主机,若所述目标主机为所述第一信任域内的主机,将所述第一请求消息发送给所述目标主机,若所述目标主机不是所述第一信任域内的主机,生成第二请求消息并采用所述通信密钥加密所述第二请求消息,将加密后的第二请求消息发送给第二信任域的可信网关控制台,接收所述第二信任域的可信网关控制台发送的响应消息,并将所述响应消息发送给所述源主机,所述第二请求消息包括所述第一请求消息和所述第一信任域的匿名证书服务器的公钥参数;所述第二信任域的匿名证书服务器用于为第二信任域的可信网关控制台生成身份序列号,与所述第一信任域的匿名证书服务器交互公钥参数和公钥,生成所述第一信任域的匿名证书服务器的访问权限信息,将所述第一信任域的匿名证书服务器的公钥参数和公钥、所述第一信任域的匿名证书服务器的访问权限信息和所述身份序列号发送给所述第二信任域的可信网关控制台;为所述第二信任域的可信网关控制台生成所述身份序列号的签名信息并将所述签名信息发送给所述第二信任域的可信网关控制台;所述第二信任域的可信网关控制台用于接收所述第二信任域的匿名证书服务器发送的身份序列号、所述第一信任域的匿名证书服务器的公钥参数和公钥、以及所述第一信任域的匿名证书服务器的访问权限信息,从所述第二信任域的匿名证书服务器获取所述身份序列号的签名信息并验证所述签名信息;与所述第一信任域的可信网关控制台建立信任,协商通信密钥;接收所述第一信任域的可信网关控制台发送的加密后的第二请求消息, 所述第二请求消息包括第一请求消息和第一信任域的匿名证书服务器的公钥参数,所述第一请求消息中包括第一信息和关于所述第一信息的直接匿名证明签名数据信息,所述第一信息包括请求资源信息、所述源主机的完整性报告和目标主机的目标主机标识,解密所述加密后的第二请求消息,根据所述第一信任域的匿名证书服务器的公钥参数,获取所述第一信任域的访问权限信息,判断所述请求资源信息是否在所述访问权限信息内,若所述请求资源信息不在所述访问权限信息内,向所述第一信任域的可信网关控制台发送响应消息,若所述请求消息在所述访问权限信息内,根据所述目标主机标识,将所述第二请求消息发送到所述目标主机,接收所述目标主机发送的响应消息,将所述响应消息发送给所述第一信任域的可信网关控制台;所述第二信任域的主机用于接收所述第二信任域的可信网关控制台发送的第二请求消息,所述第二请求消息包括第一请求消息和所述第一信任域的匿名证书服务器的公钥参数,所述第一请求消息中包括第一信息和关于所述第一信息的直接匿名证明签名数据信息,所述第一信息包括请求资源信息、所述源主机的完整性报告和目标主机的目标主机标识;根据所述第一信息的直接匿名证明签名数据信息和所述第一信任域的匿名证书服务器的公钥参数,判断所述源主机是否拥有所述第一信任域的匿名证书服务器颁发的匿名证书;若所述源主机未拥有所述第一信任域的匿名证书服务器颁发的匿名证书,向所述第二信任域的可信网关控制台发送响应消息,若所述源主机拥有所述第一信任域的匿名证书服务器颁发的匿名证书,根据所述完整性报告,判断所述源主机是否可信,若所述源主机不可信,向所述第二信任域的可信网关控制台发送响应消息,若所述源主机可信,判断是否能够提供所述请求资源信息并根据判断结果向所述第二信任域的可信网关控制台发送响应消肩、ο在本发明中,源主机先发送请求消息到本域内的可信网关控制台,由可信网关控制台首先判定目标主机是否位于同一个信任域,当目标主机位于同一信任域时,直接转发请求消息,当目标主机位于不同域时,可信网关控制台再和目标主机所在域的可信网关控制台进行交互认证,以建立可信,在可信的基础上,请求者和验证者以各自域内的可信网关控制台为数据中转站实现数据信息的往返发送和接收,直到最后实现完整性报告传递。
图1为本发明多信任域之间的完整性报告传递方法第一实施例中多信任域环境的网络结构图;图2为本发明多信任域之间的完整性报告传递方法第一实施例的流程示意图;图3为本发明多信任域之间的完整性报告传递方法第二实施例的流程示意图;图4为本发明多信任域之间的完整性报告传递方法第二实施例中进行初始化设置的流程示意图;图5为本发明多信任域之间的完整性报告传递方法第二实施例中可信网关控制台向域内的匿名证书服务器申请签名信息的流程示意图;图6为本发明多信任域之间的完整性报告传递方法第二实施例中两个信任域的可信网关控制台之间建立信任的流程示意图;图7为本发明多信任域之间的完整性报告传递方法第二实施例中不同信任域的主机之间进行通信的流程示意图;图8为本发明可信网关控制台第一实施例的结构示意图;图9为本发明可信网关控制台第二实施例的结构示意图10为本发明可信网关控制台第三实施例的结构示意图;图11为本发明匿名证书服务器第一实施例的结构示意图;图12为本发明可信网关控制台第四实施例的结构示意图;图13为本发明可信网关控制台第五实施例的结构示意图;图14为本发明可信网关控制台第六实施例的结构示意图;图15为本发明主机实施例的结构示意图。
具体实施例方式下面结合说明书附图和具体实施方式
对本发明作进一步的描述。多信任域之间的完整性报告传递方法第一实施例如图1所示,为本发明多信任域之间的完整性报告传递方法第一实施例中多信任域环境的网络结构图,设定了 2个信任域第一信任域11和第二信任域12,每个信任域中包括若干台带有不同厂商的TCM或TPM的主机,这些主机可以拥有不同的配置以及操作系统,图中的通信设备13可以是普通的路由器或交换机;网络环境中有匿名证书服务器14和可信网关控制台15。如图2所示,为本发明多信任域之间的完整性报告传递方法第一实施例的流程示意图,可以包括如下步骤步骤21、第一信任域的匿名证明书服务器为第一信任域的可信网关控制台生成身份序列号并将身份序列号发送给第一信任域的可信网关控制台,第一信任域的可信网关控制台接收第一信任域的匿名证书服务器发送的身份序列号,第二信任域的匿名证书服务器为第二信任域的可信网关控制台生成身份序列号并将身份序列号发送给第二信任域的可信网关控制台,第二信任域的可信网关控制台接收第二信任域的匿名证书服务器发送的身份序列号;步骤22、第一信任域的匿名证书服务器为第一信任域的可信网关控制台生成身份序列号的签名信息并将签名信息发送给第一信任域的可信网关控制台,第一信任域的可信网关控制台从第一信任域的匿名证书服务器获取身份序列号的签名信息并验证该签名信息;第二信任域的匿名证书服务器为第二信任域的可信网关控制台生成身份序列号的签名信息并将签名信息发送给第二信任域的可信网关控制台,第二信任域的可信网关控制台从第二信任域的匿名证书服务器获取身份序列号的签名信息并验证该签名信息;步骤23、第一信任域的匿名证明书服务器与第二信任域的匿名证书服务器交互公钥参数和公钥,第一信任域的匿名证书服务器生成所述第二信任域的匿名证书服务器的访问权限信息,第二信任域的匿名证书服务器生成第一信任域的匿名证书服务器的访问权限信息,第一信任域的匿名证明书服务器将第二信任域的匿名证书服务器的公钥参数和公钥、第二信任域的匿名证书服务器的访问权限信息发送给第一信任域的可信网关控制台, 第二信任域的匿名证明书服务器将第一信任域的匿名证书服务器的公钥参数和公钥、第一信任域的匿名证书服务器的访问权限信息发送给第二信任域的可信网关控制台;需要说明的是,步骤22和步骤23之间没有严格的时序关系;步骤M、第一信任域的可信网关控制台与第二信任域的可信网关控制台建立信任,协商通信密钥;
步骤25、第一信任域的可信网关控制台接收第一信任域内的源主机发送的第一请求消息,该第一请求消息中包括第一信息和关于第一信息的直接匿名证明签名数据信息, 第一信息包括请求资源信息、源主机的完整性包括和目标主机的目标主机标识,根据目标主机标识,判断目标主机是否为第一信任域内的主机,若目标主机为第一信任域内的主机, 将第一请求消息发送给目标主机,若目标主机不是第一信任域内的主机,生成第二请求消息,并采用通信密钥加密第二请求消息,将加密后的第二请求消息发送给第二信任域的可信网关控制台,第二请求消息包括第一请求消息和第一信任域的匿名证书服务器的公钥参数;步骤沈、第二信任域的可信网关控制台接收加密后的第二请求消息,解密加密后的第二请求消息,根据第一信任域的匿名证书服务器的公钥参数,获取第一信任域的访问权限信息,判断请求资源信息是否在访问权限信息内,若请求资源信息不在访问权限信息内,向第一信任域的可信网关控制台发送响应消息,若请求资源消息在访问权限信息内,根据目标主机标识,将第二请求消息发送给目标主机;步骤27、目标主机接收该第二请求消息,根据第一信息的直接匿名证书签名数据信息和第一信任域的匿名证书服务器的公钥参数,判断源主机是否拥有第一信任域的匿名证书服务器颁发的匿名证书,若源主机未拥有第一信任域的匿名证书服务器颁发的匿名证书,向第二信任域的可信网关控制台发送响应消息,若源主机拥有第一信任域的匿名证书服务器颁发的匿名证书,根据完整性报告,判断源主机是否可信,若源主机不可信,向第二信任域的可信网关控制台发送响应消息,若源主机可信,判断是否能够提供请求资源信息, 根据判断结果向第二信任域的可信网关控制台发送响应消息;步骤观、第二信任域的可信网关控制台将响应消息发送给第一信任域的可信网关控制台;步骤四、第一信任域的可信网关控制台将响应消息发送给源主机。在本实施例中,源主机先发送请求消息到本域内的可信网关控制台,由可信网关控制台首先判定目标主机是否位于同一个信任域,当目标主机位于同一信任域时,直接转发请求消息,当目标主机位于不同域时,可信网关控制台再和目标主机所在域的可信网关控制台进行交互认证,以建立可信,在可信的基础上,请求者和验证者以各自域内的可信网关控制台为数据中转站实现数据信息的往返发送和接收,直到最后实现完整性报告传递。多信任域之间的完整性报告传递方法第二实施例本实施例的应用背景与图1所示网络结构图相同。如图3所示,为本发明多信任域之间的完整性报告传递方法第二实施例的流程示意图,可以包括如下步骤步骤31、进行初始化设置;步骤32、可信网关控制台向域内的匿名证书服务器申请签名信息;匿名证书服务器对可信网关控制台的身份序列号ID_TGCP进行签名,并形成签名信息Sign,为防止攻击者冒名,可信网关控制台的ID-TGCP和签名信息为可信网关控制台的隐私信息,其不能暴露;步骤33、两个信任域的可信网关控制台之间建立信任;本信任的建立是通过零知识证明实现的。在建立信任的过程中,证明方无需向验证者的发送签名信息Sign,这样也就保护了被验证者签名信息的隐私性,实现了对可信网关控制台签名信息的隐私保护;步骤34、不同信任域的主机之间进行通信。下面详细说明上述各个步骤。如图4所示,为本发明多信任域之间的完整性报告传递方法第二实施例中进行初始化设置的流程示意图,可以包括如下步骤步骤41、匿名证书服务器选择公钥参数和公钥;具体地,匿名证书服务器按TPM vl. 2选择符合DAA方案的安全参数(n,g',g,h, S, Ζ, R0, R1, Y,Γ,P),并选择一个RSA公私钥对(e,d),并将其保存在匿名证书服务器中。 令匿名证书服务器的公钥参数为
权利要求
1.一种多信任域之间的完整性报告传递方法,其特征在于,包括接收第一信任域的匿名证书服务器发送的身份序列号、第二信任域的匿名证书服务器的公钥参数和公钥、以及所述第二信任域的匿名证书服务器的访问权限信息,从所述第一信任域的匿名证书服务器获取所述身份序列号的签名信息并验证所述签名信息;与所述第二信任域的可信网关控制台建立信任,协商通信密钥;接收所述第一信任域内的源主机发送的第一请求消息,所述第一请求消息中包括第一信息和关于所述第一信息的直接匿名证明签名数据信息,所述第一信息包括请求资源信息、所述源主机的完整性报告和目标主机的目标主机标识,根据所述目标主机标识,判断所述目标主机是否为所述第一信任域内的主机,若所述目标主机为所述第一信任域内的主机,将所述第一请求消息发送给所述目标主机,若所述目标主机不是所述第一信任域内的主机,生成第二请求消息并采用所述通信密钥加密所述第二请求消息,将加密后的第二请求消息发送给第二信任域的可信网关控制台,接收所述第二信任域的可信网关控制台发送的响应消息,并将所述响应消息发送给所述源主机,所述第二请求消息包括所述第一请求消息和所述第一信任域的匿名证书服务器的公钥参数。
2.根据权利要求1所述的方法,其特征在于,所述与所述第二信任域的可信网关控制台建立信任包括根据第一随机数和所述第一信任域的匿名证书服务器的公钥,生成随机信息,将所述随机信息发送给所述第二信任域的可信网关控制台;接收所述第二信任域的可信网关控制台发送的第二随机数,根据所述第一信任域的匿名证书服务器的公钥参数和公钥、所述第二信任域的匿名证书服务器的公钥参数、所述第二随机数和所述随机信息,生成第二信息,根据所述第二信息、所述第一随机数和所述签名信息,生成第三信息,将所述第二信息和所述第三信息发送给所述第二信任域的可信网关控制台。
3.根据权利要求1所述的方法,其特征在于,所述与所述第二信任域的可信网关控制台建立信任包括接收所述第二信任域的可信网关控制台发送的随机信息,生成第二随机数,将所述第二随机数发送给所述第二信任域的可信网关控制台;接收所述第二信任域的可信网关控制台发送的第二信息和第三信息;根据所述第二信息、所述第三信息、所述第一信任域的匿名证书服务器的公钥参数、所述第二信任域的匿名证书服务器的公钥参数和公钥、所述第二随机数、所述身份序列号验证所述第三信息。
4.根据权利要求1所述的方法,其特征在于,所述从所述第一信任域的匿名证书服务器获取所述身份序列号的签名信息并验证所述签名信息包括向所述第一信任域的匿名证书服务器发送用于请求获取所述身份序列号的签名信息的请求消息,接收所述第一信任域的匿名证书服务器发送的所述身份序列号的签名信息;根据所述身份序列号和所述第一信任域的匿名证书服务器的公钥参数,验证所述签名 fn息ο
5.一种多信任域之间的完整性报告传递方法,其特征在于,包括为第一信任域的可信网关控制台生成身份序列号,与第二信任域的匿名证书服务器交互公钥参数和公钥,生成所述第二信任域的匿名证书服务器的访问权限信息,将所述第二信任域的匿名证书服务器的公钥参数、所述第二信任域的匿名证书服务器的访问权限信息和所述身份序列号发送给所述第一信任域的可信网关控制台;为所述第一信任域的可信网关控制台生成所述身份序列号的签名信息并将所述签名信息发送给所述第一信任域的可信网关控制台。
6.根据权利要求5所述的方法,其特征在于,所述为所述第一信任域的可信网关控制台生成所述身份序列号的签名信息包括接收所述第一信任域的可信网关控制台发送的用于请求获取所述身份序列号的签名信息的请求消息;根据所述第一信任域的匿名证书服务器的公钥参数、所述身份序列号、所述第一信任域的匿名证书服务器的私钥,生成所述身份序列号的签名信息。
7.一种多信任域之间的完整性报告传递方法,其特征在于,包括接收第二信任域的匿名证书服务器发送的身份序列号、第一信任域的匿名证书服务器的公钥参数和公钥、以及所述第一信任域的匿名证书服务器的访问权限信息,从所述第二信任域的匿名证书服务器获取所述身份序列号的签名信息并验证所述签名信息;与所述第一信任域的可信网关控制台建立信任,协商通信密钥;接收第一信任域的可信网关控制台发送的加密后的第二请求消息,所述第二请求消息包括第一请求消息和第一信任域的匿名证书服务器的公钥参数,所述第一请求消息中包括第一信息和关于所述第一信息的直接匿名证明签名数据信息,所述第一信息包括请求资源信息、所述源主机的完整性报告和目标主机的目标主机标识,解密所述加密后的第二请求消息,根据所述第一信任域的匿名证书服务器的公钥参数,获取所述第一信任域的访问权限信息,判断所述请求资源信息是否在所述访问权限信息内,若所述请求资源信息不在所述访问权限信息内,向所述第一信任域的可信网关控制台发送响应消息,若所述请求消息在所述访问权限信息内,根据所述目标主机标识,将所述第二请求消息发送到所述目标主机,接收所述目标主机发送的响应消息,将所述响应消息发送给所述第一信任域的可信网关控制台。
8.根据权利要求7所述的方法,其特征在于,所述与所述第一信任域的可信网关控制台建立信任包括接收所述第一信任域的可信网关控制台发送的随机信息,生成第二随机数,将所述第二随机数发送给所述第一信任域的可信网关控制台;接收所述第一信任域的可信网关控制台发送的第二信息和第三信息;根据所述第二信息、所述第三信息、所述第二信任域的匿名证书服务器的公钥参数、所述第一信任域的匿名证书服务器的公钥参数和公钥、所述第二随机数、所述身份序列号验证所述第三信息。
9.根据权利要求7所述的方法,其特征在于,所述与所述第一信任域的可信网关控制台建立信任包括根据第一随机数和所述第二信任域的匿名证书服务器的公钥,生成随机信息,将所述随机信息发送给所述第一信任域的可信网关控制台;接收所述第一信任域的可信网关控制台发送的第二随机数,根据所述第二信任域的匿名证书服务器的公钥参数和公钥、所述第一信任域的匿名证书服务器的公钥参数、所述第一随机数和所述随机信息,生成第二信息,根据所述第二信息、所述第一随机数和所述签名信息,生成第三信息,将所述第二信息和所述第三信息发送给所述第一信任域的可信网关控制台。
10.根据权利要求7所述的方法,其特征在于,所述从所述第二信任域的匿名证书服务器获取所述身份序列号的签名信息并验证所述签名信息包括向所述第二信任域的匿名证书服务器发送用于请求获取所述身份序列号的签名信息的请求消息;接收所述第二信任域的匿名证书服务器发送的所述身份序列号的签名信息,根据所述身份序列号和所述第二信任域的匿名证书服务器的公钥参数,验证所述签名信息。
11.一种多信任域之间的完整性报告传递方法,其特征在于,包括接收第二信任域的可信网关控制台发送的第二请求消息,所述第二请求消息包括第一请求消息和第一信任域的匿名证书服务器的公钥参数,所述第一请求消息中包括第一信息和关于所述第一信息的直接匿名证明签名数据信息,所述第一信息包括请求资源信息、所述源主机的完整性报告和目标主机的目标主机标识;根据所述第一信息的直接匿名证明签名数据信息和所述第一信任域的匿名证书服务器的公钥参数,判断所述源主机是否拥有所述第一信任域的匿名证书服务器颁发的匿名证书;若所述源主机未拥有所述第一信任域的匿名证书服务器颁发的匿名证书,向所述第二信任域的可信网关控制台发送响应消息,若所述源主机拥有所述第一信任域的匿名证书服务器颁发的匿名证书,根据所述完整性报告,判断所述源主机是否可信,若所述源主机不可信,向所述第二信任域的可信网关控制台发送响应消息,若所述源主机可信,判断是否能够提供所述请求资源信息并根据判断结果向所述第二信任域的可信网关控制台发送响应消肩、O
12.—种可信网关控制台,其特征在于,包括第一接收模块,用于接收第一信任域的匿名证书服务器发送的身份序列号、第二信任域的匿名证书服务器的公钥参数和公钥、以及所述第二信任域的匿名证书服务器的访问权限信息;第一签名信息获取与验证模块,用于从所述第一信任域的匿名证书服务器获取所述身份序列号的签名信息并验证所述签名信息;第一信任建立模块,用于与所述第二信任域的可信网关控制台建立信任,协商通信密钥;所述第一接收模块还用于接收所述第一信任域内的源主机发送的第一请求消息,所述第一请求消息中包括第一信息和关于所述第一信息的直接匿名证明签名数据信息,所述第一信息包括请求资源信息、所述源主机的完整性报告和目标主机的目标主机标识;第一判断模块,用于根据所述目标主机标识,判断所述目标主机是否为所述第一信任域内的主机;第一发送模块,用于当所述第一判断模块判定所述目标主机为所述第一信任域内的主机时,将所述第一请求消息发送给所述目标主机,当所述第一判断模块判定所述目标主机不是所述第一信任域内的主机时,生成第二请求消息并采用所述通信密钥加密所述第二请求消息,将加密后的第二请求消息发送给第二信任域的可信网关控制台;所述第一接收模块还用于接收所述第二信任域的可信网关控制台发送的响应消息;所述第一发送模块还用于将所述响应消息发送给所述源主机,所述第二请求消息包括所述第一请求消息和所述第一信任域的匿名证书服务器的公钥参数。
13.根据权利要求12所述的可信网关控制台,其特征在于,所述第一信任建立模块包括第一随机信息生成单元,用于根据第一随机数和所述第一信任域的匿名证书服务器的公钥,生成随机信息,所述第一发送模块还用于将所述随机信息发送给所述第二信任域的可信网关控制台,所述第一接收模块还用于接收所述第二信任域的可信网关控制台发送的第二随机数;第一信息生成单元,用于根据所述第一信任域的匿名证书服务器的公钥参数和公钥、 所述第二信任域的匿名证书服务器的公钥参数、所述第二随机数和所述随机信息,生成第二信息,根据所述第二信息、所述第一随机数和所述签名信息,生成第三信息,所述第一发送模块还用于将所述第二信息和所述第三信息发送给所述第二信任域的可信网关控制台。
14.根据权利要求12所述的可信网关控制台,其特征在于,所述第一接收模块还用于接收所述第二信任域的可信网关控制台发送的随机信息;所述第一信任建立模块包括第一随机数生成单元,用于生成第二随机数,所述第一发送模块还用于将所述第二随机数发送给所述第二信任域的可信网关控制台,所述第一接收模块还用于接收所述第二信任域的可信网关控制台发送的第二信息和第三信息;第一验证单元,用于根据所述第二信息、所述第三信息、所述第一信任域的匿名证书服务器的公钥参数、所述第二信任域的匿名证书服务器的公钥参数和公钥、所述第二随机数、 所述身份序列号验证所述第三信息;第一密钥协商单元,用于与所述第二信任域的可信网关控制台协商通信密钥。
15.根据权利要求12所述的可信网关控制台,其特征在于,所述第一发送模块还用于向所述第一信任域的匿名证书服务器发送用于请求获取所述身份序列号的签名信息的请求消息;所述第一接收模块还用于接收所述第一信任域的匿名证书服务器发送的所述身份序列号的签名信息;所述第一签名信息获取与验证模块用于获取所述签名信息,根据所述身份序列号和所述第一信任域的匿名证书服务器的公钥参数,验证所述签名信息;第一密钥协商单元,用于与所述第二信任域的可信网关控制台协商通信密钥。
16.一种匿名证书服务器,其特征在于,包括初始化模块,用于为第一信任域的可信网关控制台生成身份序列号,生成所述第二信任域的匿名证书服务器的访问权限信息;第二发送模块,用于将第一信任域的匿名证书服务器的公钥参数和公钥发送给第二信任域的匿名证书服务器;第二接收模块,用于接收第二信任域的匿名证书服务器发送的公钥参数和公钥,所述第二发送模块还用于将所述第二信任域的匿名证书服务器的公钥参数和公钥、所述第二信任域的匿名证书服务器的访问权限信息和所述身份序列号发送给所述第一信任域的可信网关控制台;签名信息生成模块,用于为所述第一信任域的可信网关控制台生成所述身份序列号的签名信息,所述第二发送模块还用于将所述签名信息发送给所述第一信任域的可信网关控制台。
17.根据权利要求16所述的匿名证书服务器,其特征在于,所述第二接收模块还用于接收所述第一信任域的可信网关控制台发送的用于请求获取所述身份序列号的签名信息的请求消息;所述签名信息生成模块用于根据所述第一信任域的匿名证书服务器的公钥参数、所述身份序列号、所述第一信任域的匿名证书服务器的私钥,生成所述身份序列号的签名信息。
18.一种可信网关控制台,其特征在于,包括第三接收模块,用于接收第二信任域的匿名证书服务器发送的身份序列号、第一信任域的匿名证书服务器的公钥参数和公钥、以及所述第一信任域的匿名证书服务器的访问权限信息;第二签名信息获取与验证模块,用于从所述第二信任域的匿名证书服务器获取所述身份序列号的签名信息并验证所述签名信息;第二信任建立模块,用于与所述第一信任域的可信网关控制台建立信任,协商通信密钥;所述第三接收模块还用于接收所述第一信任域的可信网关控制台发送的加密后的第二请求消息,所述第二请求消息包括第一请求消息和第一信任域的匿名证书服务器的公钥参数,所述第一请求消息中包括第一信息和关于所述第一信息的直接匿名证明签名数据信息,所述第一信息包括请求资源信息、所述源主机的完整性报告和目标主机的目标主机标识;第二判断模块,用于解密所述加密后的第二请求消息,根据所述第一信任域的匿名证书服务器的公钥参数,获取所述第一信任域的访问权限信息,判断所述请求资源信息是否在所述访问权限信息内;第三发送模块,用于当所述第二判断模块判定所述请求资源信息不在所述访问权限信息内时,向所述第一信任域的可信网关控制台发送响应消息,当所述第二断模块判定所述请求消息在所述访问权限信息内时,根据所述目标主机标识,将所述第二请求消息发送到所述目标主机,所述第三接收模块还用于接收所述目标主机发送的响应消息,所述第三发送模块还用于将所述响应消息发送给所述第一信任域的可信网关控制台。
19.根据权利要求18所述的可信网关控制台,其特征在于,所述第三接收模块还用于接收所述第一信任域的可信网关控制台发送的随机信息;所述第二信任建立模块包括第二随机数生成单元,用于生成第二随机数,所述第三发送模块还用于将所述第二随机数发送给所述第一信任域的可信网关控制台,所述第三接收模块还用于接收所述第一信任域的可信网关控制台发送的第二信息和第三信息;第二验证单元,用于根据所述第二信息、所述第三信息、所述第二信任域的匿名证书服务器的公钥参数、所述第一信任域的匿名证书服务器的公钥参数和公钥、所述第二随机数、所述身份序列号验证所述第三信息;第二密钥协商单元,用于与第一信任域的可信网关控制台协商通信密钥。
20.根据权利要求18所述的可信网关控制台,其特征在于,所述第二信任建立模块包括第二随机信息生成单元,用于根据第一随机数和所述第二信任域的匿名证书服务器的公钥,生成随机信息,所述第三发送模块还用于将所述随机信息发送给所述第一信任域的可信网关控制台,所述第三接收模块还用于接收所述第一信任域的可信网关控制台发送的第二随机数;第二信息生成单元,用于根据所述第二信任域的匿名证书服务器的公钥参数和公钥、 所述第一信任域的匿名证书服务器的公钥参数、所述第二随机数和所述随机信息,生成第二信息,根据所述第二信息、所述第一随机数和所述签名信息,生成第三信息,所述第三发送模块还用于将所述第二信息和所述第三信息发送给所述第一信任域的可信网关控制台;第二密钥协商单元,用于与第一信任域的可信网关控制台协商通信密钥。
21.根据权利要求18所述的可信网关控制台,其特征在于,所述第三发送模块还用于向所述第二信任域的匿名证书服务器发送用于请求获取所述身份序列号的签名信息的请求消息;所述第三接收模块还用于接收所述第二信任域的匿名证书服务器发送的所述身份序列号的签名信息;所述第二签名信息获取与验证模块用于获取所述签名信息,根据所述身份序列号和所述第二信任域的匿名证书服务器的公钥参数,验证所述签名信息。
22.—种主机,其特征在于,包括第四接收模块,用于接收第二信任域的可信网关控制台发送的第二请求消息,所述第二请求消息包括第一请求消息和第一信任域的匿名证书服务器的公钥参数,所述第一请求消息中包括第一信息和关于所述第一信息的直接匿名证明签名数据信息,所述第一信息包括请求资源信息、所述源主机的完整性报告和目标主机的目标主机标识;第三判断模块,用于根据所述第一信息的直接匿名证明签名数据信息和所述第一信任域的匿名证书服务器的公钥参数,判断所述源主机是否拥有所述第一信任域的匿名证书服务器颁发的匿名证书;响应消息发送模块,用于当所述第三判断模块判定所述源主机未拥有所述第一信任域的匿名证书服务器颁发的匿名证书时向所述第二信任域的可信网关控制台发送响应消息;第四判断模块,用于当所述第三判断模块判定所述源主机拥有所述第一信任域的匿名证书服务器颁发的匿名证书时,根据所述完整性报告,判断所述源主机是否可信;所述响应消息发送模块还用于当所述第四判断模块判定所述源主机不可信时,向所述第二信任域的可信网关控制台发送响应消息;第五判断模块,用于当所述第四判断模块判断所述源主机可信时,判断是否能够提供所述请求资源信息;所述响应消息发送模块还用于根据所述第三判断模块的判断结果向所述第二信任域的可信网关控制台发送响应消息。
23. 一种多信任域之间的完整性报告传递系统,其特征在于,包括第一信任域和第二信任域,所述第一信任域包括匿名证书服务器、可信网关控制台和数台主机,所述第二信任域包括匿名证书服务器、可信网关控制台和数台主机,其中,所述第一信任域的匿名证书服务器用于为所述第一信任域的可信网关控制台生成身份序列号,与所述第二信任域的匿名证书服务器交互公钥参数和公钥,生成所述第二信任域的匿名证书服务器的访问权限信息,将所述第二信任域的匿名证书服务器的公钥参数和公钥、所述第二信任域的匿名证书服务器的访问权限信息和所述身份序列号发送给所述第一信任域的可信网关控制台;为所述第一信任域的可信网关控制台生成所述身份序列号的签名信息并将所述签名信息发送给所述第一信任域的可信网关控制台;所述第一信任域的可信网关控制台用于接收所述第一信任域的匿名证书服务器发送的身份序列号、所述第二信任域的匿名证书服务器的公钥参数和公钥、以及所述第二信任域的匿名证书服务器的访问权限信息,从所述第一信任域的匿名证书服务器获取所述身份序列号的签名信息并验证所述签名信息;与所述第二信任域的可信网关控制台建立信任, 协商通信密钥;接收所述第一信任域内的源主机发送的第一请求消息,所述第一请求消息中包括第一信息和关于所述第一信息的直接匿名证明签名数据信息,所述第一信息包括请求资源信息、所述源主机的完整性报告和目标主机的目标主机标识,根据所述目标主机标识,判断所述目标主机是否为所述第一信任域内的主机,若所述目标主机为所述第一信任域内的主机,将所述第一请求消息发送给所述目标主机,若所述目标主机不是所述第一信任域内的主机,生成第二请求消息并采用所述通信密钥加密所述第二请求消息,将加密后的第二请求消息发送给第二信任域的可信网关控制台,接收所述第二信任域的可信网关控制台发送的响应消息,并将所述响应消息发送给所述源主机,所述第二请求消息包括所述第一请求消息和所述第一信任域的匿名证书服务器的公钥参数;所述第二信任域的匿名证书服务器用于为第二信任域的可信网关控制台生成身份序列号,与所述第一信任域的匿名证书服务器交互公钥参数和公钥,生成所述第一信任域的匿名证书服务器的访问权限信息,将所述第一信任域的匿名证书服务器的公钥参数和公钥、所述第一信任域的匿名证书服务器的访问权限信息和所述身份序列号发送给所述第二信任域的可信网关控制台;为所述第二信任域的可信网关控制台生成所述身份序列号的签名信息并将所述签名信息发送给所述第二信任域的可信网关控制台;所述第二信任域的可信网关控制台用于接收所述第二信任域的匿名证书服务器发送的身份序列号、所述第一信任域的匿名证书服务器的公钥参数和公钥、以及所述第一信任域的匿名证书服务器的访问权限信息,从所述第二信任域的匿名证书服务器获取所述身份序列号的签名信息并验证所述签名信息;与所述第一信任域的可信网关控制台建立信任, 协商通信密钥;接收所述第一信任域的可信网关控制台发送的加密后的第二请求消息,所述第二请求消息包括第一请求消息和第一信任域的匿名证书服务器的公钥参数,所述第一请求消息中包括第一信息和关于所述第一信息的直接匿名证明签名数据信息,所述第一信息包括请求资源信息、所述源主机的完整性报告和目标主机的目标主机标识,解密所述加密后的第二请求消息,根据所述第一信任域的匿名证书服务器的公钥参数,获取所述第一信任域的访问权限信息,判断所述请求资源信息是否在所述访问权限信息内,若所述请求资源信息不在所述访问权限信息内,向所述第一信任域的可信网关控制台发送响应消息, 若所述请求消息在所述访问权限信息内,根据所述目标主机标识,将所述第二请求消息发送到所述目标主机,接收所述目标主机发送的响应消息,将所述响应消息发送给所述第一信任域的可信网关控制台;所述第二信任域的主机用于接收所述第二信任域的可信网关控制台发送的第二请求消息,所述第二请求消息包括第一请求消息和所述第一信任域的匿名证书服务器的公钥参数,所述第一请求消息中包括第一信息和关于所述第一信息的直接匿名证明签名数据信息,所述第一信息包括请求资源信息、所述源主机的完整性报告和目标主机的目标主机标识;根据所述第一信息的直接匿名证明签名数据信息和所述第一信任域的匿名证书服务器的公钥参数,判断所述源主机是否拥有所述第一信任域的匿名证书服务器颁发的匿名证书;若所述源主机未拥有所述第一信任域的匿名证书服务器颁发的匿名证书,向所述第二信任域的可信网关控制台发送响应消息,若所述源主机拥有所述第一信任域的匿名证书服务器颁发的匿名证书,根据所述完整性报告,判断所述源主机是否可信,若所述源主机不可信,向所述第二信任域的可信网关控制台发送响应消息,若所述源主机可信,判断是否能够提供所述请求资源信息并根据判断结果向所述第二信任域的可信网关控制台发送响应消肩、ο
全文摘要
本发明涉及一种多信任域之间的完整性报告传递方法和系统。其中,所述方法包括接收第一信任域的匿名证书服务器发送的信息,从第一信任域的匿名证书服务器获取身份序列号的签名信息并验证签名信息;与第二信任域的可信网关控制台建立信任,协商通信密钥;接收第一信任域内的源主机发送的第一请求消息,若目标主机为第一信任域内的主机,将第一请求消息发送给目标主机,若目标主机不是第一信任域内的主机,生成第二请求消息并采用通信密钥加密第二请求消息,将加密后的第二请求消息发送给第二信任域的可信网关控制台,接收第二信任域的可信网关控制台发送的响应消息,并将响应消息发送给源主机。本发明可以实现在多信任域之间传递完整性报告。
文档编号H04L29/06GK102340487SQ201010234858
公开日2012年2月1日 申请日期2010年7月21日 优先权日2010年7月21日
发明者于培, 徐树民, 李子臣, 杨亚涛, 罗世新, 苏斌, 薛霆, 郭宝安 申请人:航天信息股份有限公司