一种基于802.1x认证协议的WLAN可信传输的实现方法

摘要

本发明涉及一种基于802.1x认证协议的WLAN可信传输的实现方法，该方法包括：当客户端和认证服务器端完成认证消息交互过程并分别计算出主会话密钥后，认证服务器端封装一个Request类型的EAP数据包，发送给认证者，其中Type字段的值为TPM，表示认证服务器端要对客户端进行远程证明，TypeData字段的值为所要验证的平台状态信息的类型。然后认证者将该Request包转发给客户端。客户端接收到该包后，根据Type字段的值和客户端的主会话密钥和客户端的平台信息生成客户端平台验证信息，并发送给认证者；再由认证者转发给认证服务器端。认证服务器端收到客户端平台验证信息后，根据认证服务器端的主会话密钥对客户端平台验证信息进行验证，验证通过后向客户端发送Success类型的EAP数据包。

主权项

一种基于802.1x认证协议的WLAN可信传输的实现方法，其特征在于，包括以下步骤：客户端和认证服务器端完成认证消息交互过程，并分别计算出主会话密钥PMK；认证服务器端向认证者发送EAP‑Request/TPM数据包，该数据包中Type字段的值为TPM，TypeData字段的值为所要验证的平台状态信息的类型，认证者收到该数据包后将其转发给客户端；客户端收到EAP‑Request/TPM后，若根据Type字段的值判断需要向认证服务器端发送客户端的验证信息，则根据客户端的主会话密钥和客户端的平台信息生成客户端的验证信息，封装成EAP‑Response/TPM发送给认证者，认证者收到该数据包后将其转发给认证服务器端；认证服务器端收到EAP‑Response/TPM后，若根据Type字段的值判断TypeData字段的内容为客户端发送来的验证信息，则根据接收到的客户端的验证信息和认证服务器端的主会话密钥对客户端进行验证，验证通过后向认证者发送EAP‑Success，认证者再将该数据包转发给客户端；所述的生成客户端的验证信息包括以下步骤：对客户端的主会话密钥进行哈希运算，结果记为HS_Key；利用可信安全芯片TPM中的AIK私钥对字符串PCRS||HS_Key进行签名，签名结果记作signS，其中PCRS是客户端安全芯片TPM中代表客户端平台状态信息的PCR内容，‘||’代表将两个字符串连接起来；用客户端的主会话密钥作为对称加密密钥，对客户端的平台度量存储日志SMLS加密，结果记为encS；利用signS、encS及客户端AIK的公钥证书生成验证信息；所述认证服务器端对客户端平台信息的验证包括以下步骤：认证服务器端利用所述客户端AIK的公钥证书从signS中获得HS_Key和PCRS；对认证服务器端的主会话密钥进行哈希运算，结果记为HR_Key；判断HR_Key和HS_Key是否匹配，如果不匹配，则终止认证过程；如果匹配，则认证服务器端利用主会话密钥解密encS得到客户端的平台度量存储日志SMLS；根据SMLS重新计算客户端TPM平台配置寄存器存储的内容，计算得到 PCR_tmpS；判断PCR_tmpS与PCRS是否匹配，如果不匹配，则终止认证过程；如果匹配，则认证通过。