一种基于三元对等鉴别的可信网络连接方法

摘要

一种基于三元对等鉴别的可信网络连接方法，其预先准备平台完整性信息，制定完整性验证要求，网络访问请求者向网络访问控制者发起访问请求，网络访问控制者启动双向用户鉴别过程，与用户鉴别服务单元执行三元对等鉴别协议。双向用户鉴别成功后，TNC客户端、TNC服务端和平台评估服务单元利用三元对等鉴别方法执行平台完整性评估。网络访问请求者和网络访问控制者依据各自收到的推荐控制端口，实现访问请求者与访问控制器的相互访问控制。本发明解决了背景技术中可扩展性差、密钥协商过程复杂、安全性相对较低、平台完整性评估不对等的技术问题。本发明可简化可信网络连接的密钥管理及完整性校验机制，扩展可信网络连接的适用范围。

主权项

1. 一种基于三元对等鉴别的可信网络连接方法，该方法包括以下实现步骤：(1. )进行初始化：(1. 1)访问请求者的可信网络连接客户端和访问控制器的可信网络连接服务端预先准备平台完整性信息，并交给各自的完整性度量层的完整性收集者IMC；(1. 2)可信网络连接客户端和可信网络连接服务端预先制定完整性验证要求，该完整性验证要求包括访问请求者与访问控制器相互请求对方验证的多个平台配置寄存器表；(1. 3)访问请求者和访问控制器的可信平台模块TPM将网络策略所需信息经散列后存入平台配置寄存器多个平台配置寄存器表；(2. )进行用户鉴别：(2. 1)网络访问请求者向网络访问控制者发起访问请求；(2. 2)网络访问控制者接收到访问请求后，启动双向用户鉴别过程，网络访问层的网络访问请求者、网络访问控制者和用户鉴别服务单元之间开始执行三元对等鉴别协议，实现访问请求者与访问控制器的双向用户鉴别及密钥协商；(2. 3)当双向用户鉴别成功时，网络访问请求者和网络访问控制者将用户鉴别成功的信息分别发往可信网络连接客户端和可信网络连接服务端，并根据用户鉴别结果对网络访问请求者和网络访问控制者的端口进行控制；(3. )进行完整性评估：当访问控制器的可信网络连接服务端收到网络访问控制者发送的用户鉴别成功的信息时，完整性评估层的可信网络连接客户端、可信网络连接服务端和平台评估服务单元利用三元对等鉴别方法来实现访问请求者和访问控制器的平台完整性评估；(4. )进行访问控制：可信网络连接服务端和可信网络连接客户端各自汇总访问控制器和访问请求者的平台完整性评估结果，然后，分别向网络访问请求者和网络访问控制者发送推荐；网络访问请求者和网络访问控制者分别依据各自收到的推荐对端口进行控制，从而实现访问请求者和访问控制器的相互访问控制。