專利名稱：可信網(wǎng)絡(luò)設(shè)備接入可信網(wǎng)絡(luò)認(rèn)證方法
技術(shù)領(lǐng)域：
本發(fā)明主要致力于可信設(shè)備接入可信網(wǎng)絡(luò)的認(rèn)證，屬于信息安全領(lǐng)域。
背景技術(shù)：
隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和深度應(yīng)用，計算機(jī)越來越多地應(yīng)用到社會政治、經(jīng)濟(jì)、教育和軍事等領(lǐng)域中，同時21世紀(jì)是信息的時代.信息成為一種重要的戰(zhàn)略資源，信息的獲取、處理和安全保障能力成為一個國家綜合國力的重要組成部分.信息安全 事關(guān)國家安全、事關(guān)社會穩(wěn)定.因此，必須采取措施確保信息安全.但是，當(dāng)前的網(wǎng)絡(luò)體系已經(jīng)暴露出嚴(yán)重的不足，網(wǎng)絡(luò)正面臨著嚴(yán)峻的安全和服務(wù)質(zhì)量保證等重大挑戰(zhàn)。病毒、黑客以及各種各樣漏洞的存在，使得安全任務(wù)在網(wǎng)絡(luò)時代變得無比艱巨。計算機(jī)系統(tǒng)受病毒感染和破壞的情況相當(dāng)嚴(yán)重；電腦黑客活動已形成重要威脅；信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)；網(wǎng)絡(luò)政治顛覆活動頻繁等，這些網(wǎng)絡(luò)安全日益突出的問題表明保障網(wǎng)絡(luò)的可信成為網(wǎng)絡(luò)進(jìn)一步發(fā)展的迫切需求。目前，國際上對可信網(wǎng)絡(luò)的接入認(rèn)證的探索才剛剛開始，對可信網(wǎng)絡(luò)的基本概念和相關(guān)的科學(xué)問題還處于研究的初級階段。國內(nèi)外現(xiàn)有的網(wǎng)絡(luò)認(rèn)證方法主要有AAA、RADIUS,802.1x等方法。但是這些方法已經(jīng)研究了很多年，技術(shù)已經(jīng)基本成熟，但是當(dāng)前需要一種可以應(yīng)用于可信網(wǎng)絡(luò)設(shè)備接入可信網(wǎng)絡(luò)的認(rèn)證協(xié)議，把平臺信息與身份信息綁定后進(jìn)行認(rèn)證，協(xié)議本身需要考慮到網(wǎng)絡(luò)設(shè)備本身帶有可信模塊，因而能夠保證整個認(rèn)證協(xié)議更加可信。所以需要一種新的適用于可信網(wǎng)絡(luò)設(shè)備的認(rèn)證協(xié)議技術(shù)。以上提到的幾種認(rèn)證協(xié)議雖然已經(jīng)比較成熟，但是沒有考慮到網(wǎng)絡(luò)設(shè)備的可信模塊，在可信設(shè)備接入可信網(wǎng)絡(luò)的過程中認(rèn)證過程是最為重要的一部分，目前協(xié)議套用現(xiàn)有終端TPM的遠(yuǎn)程身份證明協(xié)議或者用戶的身份認(rèn)證協(xié)議是難以滿足可信設(shè)備接入網(wǎng)絡(luò)的要求的，設(shè)備的可信接入比終端的可信接入需要提供不同的信息和更高的安全性。為了改善滿足這方面的要求，為了使可信設(shè)備接入網(wǎng)絡(luò)有適用于其自身的認(rèn)證機(jī)制擁有更高的安全性。本發(fā)明提出并實現(xiàn)了一種專門針對于可信模塊的網(wǎng)絡(luò)設(shè)備可信的接入網(wǎng)絡(luò)方法。TNEA(trusted network equipment access)可信網(wǎng)絡(luò)設(shè)備接入?yún)f(xié)議，利用可信模塊提供平臺啟動的特征值連同其他信息一起在認(rèn)證服務(wù)器端進(jìn)行平臺認(rèn)證，然后把身份信息與平臺信息綁定再進(jìn)行一輪身份認(rèn)證確保平臺與身份的可信，這個協(xié)議為可信設(shè)備接入網(wǎng)絡(luò)的認(rèn)證部分提出了一套完善的解決方案。

發(fā)明內(nèi)容
本發(fā)明的目的，就在于可信設(shè)備接入可信網(wǎng)絡(luò)中最重要的部分就是需要一個安全的認(rèn)證協(xié)議，提供一種能夠有效檢測平臺可信和用戶身份可信的方法，即本發(fā)明提出的可信網(wǎng)絡(luò)設(shè)備接入可信網(wǎng)絡(luò)認(rèn)證協(xié)議。本發(fā)明的特征在于依次包括以下步驟可信網(wǎng)絡(luò)設(shè)備接入可信網(wǎng)絡(luò)認(rèn)證方法，其特征在于包括以下步驟
首先可信設(shè)備接入可信網(wǎng)絡(luò)時在端口啟用過濾器只允許本方法認(rèn)證過得幀通過，每個網(wǎng)絡(luò)設(shè)備添加一個服務(wù)器認(rèn)證端口信息表，記錄該設(shè)備與服務(wù)器第一次認(rèn)證交互的端口信息，新接入網(wǎng)絡(luò)設(shè)備與服務(wù)器之間的網(wǎng)絡(luò)設(shè)備對于認(rèn)證協(xié)議幀只進(jìn)行傳輸，構(gòu)造虛擬點到點環(huán)境；然后新接入網(wǎng)絡(luò)設(shè)備向服務(wù)器進(jìn)行平臺身份認(rèn)證請求，在服務(wù)器進(jìn)行回應(yīng)后，新接入網(wǎng)絡(luò)設(shè)備與新接入網(wǎng)絡(luò)設(shè)備的設(shè)備可信模塊交互信息得到所需反映平臺啟動過程的特征值和對應(yīng)的度量日志，將平臺啟動過程的特征值、對應(yīng)的度量日志與平臺的身份證明密鑰證書作為認(rèn)證信息發(fā)送給認(rèn)證服務(wù)器進(jìn)行平臺認(rèn)證，在服務(wù)器端對證書進(jìn)行審核然后把啟動過程的特征值與經(jīng)過哈希運算的度量日志信息比對正確后，認(rèn)證成功，服務(wù)器頒發(fā)可信平臺身份證書；最后再通過綁定身份和平臺做第二次認(rèn)證新接入網(wǎng)絡(luò)設(shè)備向服務(wù)器進(jìn)行綁定平臺的用戶身份認(rèn)證請求，服務(wù)器做出回應(yīng)后，新接入網(wǎng)絡(luò)設(shè)備將可信平臺身份證書和用戶 身份信息作為認(rèn)證信息與服務(wù)器交互，在服務(wù)器端把可信平臺身份證書和用戶身份信息與服務(wù)器中記錄的證書信息和已注冊用戶信息比較，保證以上信息正確后，認(rèn)證成功，服務(wù)器頒發(fā)可信設(shè)備身份證書，其證書帶有設(shè)備接入網(wǎng)絡(luò)進(jìn)行通信的會話密鑰。本發(fā)明的優(yōu)勢在于，可信設(shè)備的可信網(wǎng)絡(luò)接入認(rèn)證部分目前沒有一個健全的認(rèn)證協(xié)議，現(xiàn)有的認(rèn)證協(xié)議往往分別針對平臺認(rèn)證和身份認(rèn)證，容易出現(xiàn)中間人攻擊從而使不可信的用戶在可信平臺或可信用戶在不可信平臺的情況接入網(wǎng)絡(luò)。另一方面，本發(fā)明在認(rèn)證交互階段有自己的尋址機(jī)制，能夠把復(fù)雜的網(wǎng)絡(luò)變成虛擬點到點環(huán)境。


圖1是本發(fā)明實現(xiàn)可信網(wǎng)絡(luò)設(shè)備接入可信網(wǎng)絡(luò)認(rèn)證協(xié)議的交互過程圖。
具體實施例方式首先可信設(shè)備接入可信網(wǎng)絡(luò)時在端口啟用過濾器只允許認(rèn)證協(xié)議中特殊的幀通過，每個網(wǎng)絡(luò)設(shè)備添加一個服務(wù)器認(rèn)證端口信息表，記錄該設(shè)備與服務(wù)器第一次認(rèn)證交互的端口信息，目的是作為一種低層次的尋址方式方便與服務(wù)器進(jìn)行交互，使新接入的網(wǎng)絡(luò)設(shè)備能直接與服務(wù)器通信，忽略中間的網(wǎng)絡(luò)結(jié)構(gòu)，構(gòu)造虛擬點到點環(huán)境。然后新接入網(wǎng)絡(luò)設(shè)備向服務(wù)器進(jìn)行平臺身份認(rèn)證請求，在服務(wù)器進(jìn)行回應(yīng)后，設(shè)備與設(shè)備可信模塊交互信息得到所需反映平臺啟動過程的特征值和對應(yīng)的度量日志，將其與平臺的身份證明密鑰證書作為認(rèn)證信息發(fā)送給認(rèn)證服務(wù)器進(jìn)行平臺認(rèn)證，信息比對正確后，認(rèn)證成功，服務(wù)器頒發(fā)可信平臺身份證書。最后再通過綁定身份和平臺做第二次認(rèn)證。新接入網(wǎng)絡(luò)設(shè)備向服務(wù)器進(jìn)行綁定平臺的用戶身份認(rèn)證請求，服務(wù)器做出回應(yīng)后，新接入網(wǎng)絡(luò)設(shè)備將可信平臺身份證書和用戶身份信息作為認(rèn)證信息與服務(wù)器交互，信息比對正確后，認(rèn)證成功，服務(wù)器頒發(fā)可信設(shè)備身份證書，其證書帶有設(shè)備接入網(wǎng)絡(luò)進(jìn)行通信的會話密鑰。整個協(xié)議過程結(jié)束。通過兩階段認(rèn)證保證網(wǎng)絡(luò)設(shè)備平臺與身份認(rèn)證，從而達(dá)到網(wǎng)絡(luò)設(shè)備可信接入網(wǎng)絡(luò)。下面結(jié)合附圖1具體介紹本發(fā)明的實現(xiàn)方法的步驟
參見附圖1，本發(fā)明是可信網(wǎng)絡(luò)設(shè)備接入可信網(wǎng)絡(luò)認(rèn)證協(xié)議。該協(xié)議主要包含兩個主要部分，即認(rèn)證協(xié)議尋址和平臺和用戶身份認(rèn)證。首先，新加入網(wǎng)絡(luò)設(shè)備尋址與服務(wù)器建立虛擬的點到點環(huán)境。然后，通過可信模塊提供的信息進(jìn)行平臺的可信認(rèn)證。最后，通過平臺和用戶身份信息的認(rèn)證，從而達(dá)到可信網(wǎng)絡(luò)設(shè)備的可信接入網(wǎng)絡(luò)認(rèn)證。首先在認(rèn)證尋址部分，可信設(shè)備接入可信網(wǎng)絡(luò)時在端口啟用過濾器只允許認(rèn)證協(xié)議的幀通過，每個網(wǎng)絡(luò)設(shè)備添加一個服務(wù)器認(rèn)證端口信息表，記錄該設(shè)備與服務(wù)器第一次認(rèn)證交互的端口信息，設(shè)備發(fā)送給服務(wù)器的端口記為輸出端口，發(fā)送由服務(wù)器發(fā)來的幀給新加入設(shè)備的端口記為輸入端口，認(rèn)證協(xié)議幀通過設(shè)備的認(rèn)證端口信息表尋路，設(shè)備發(fā)送給服務(wù)器的信息由輸出端口發(fā)出，服務(wù)器發(fā)送給設(shè)備的信息由輸入端口發(fā)出，目的是作為一種低層次的尋址方式方便與服務(wù)器進(jìn)行交互，經(jīng)過的網(wǎng)絡(luò)設(shè)備不對幀進(jìn)行任何改動。所有經(jīng)過的網(wǎng)絡(luò)設(shè)備都產(chǎn)生認(rèn)證端口信息表后，設(shè)備與服務(wù)器的認(rèn)證路徑確定，服務(wù)器給網(wǎng)絡(luò)設(shè)備發(fā)送服務(wù)器的身份證明密鑰公鑰部分，設(shè)備A得到身份證明密鑰公鑰，將其作為通 信的會話密鑰，用其將自己的身份證明密鑰公鑰和作為ID的背板MAC進(jìn)行加密，將加密后信息發(fā)送給服務(wù)器，服務(wù)器將得到的信息解密后記錄，然后為網(wǎng)絡(luò)設(shè)備頒發(fā)身份認(rèn)證密鑰公鑰證書。具體交互過程如下設(shè)備與服務(wù)器進(jìn)行第一次認(rèn)證交互A->CA:TNEA Hello(3)CA->A: TNEA Response(4)設(shè)備與服務(wù)器的認(rèn)證路徑確定后，頒發(fā)身份認(rèn)證密鑰公鑰證書CA->A: CApub(5)A->CA: CApub (AIKpub, plat_ID)(5)(6)(7)CA->A: sigCAprive (Cer (AIKpub))(5)(8)(9)然后新接入網(wǎng)絡(luò)設(shè)備向服務(wù)器進(jìn)行平臺身份認(rèn)證請求，在服務(wù)器進(jìn)行回應(yīng)后，可信網(wǎng)絡(luò)設(shè)備調(diào)用可信模塊獲取開機(jī)啟動行為的哈希特征值信息，設(shè)備與設(shè)備可信模塊交互該信息得到所需反映平臺整個啟動過程的特征值和對應(yīng)的度量日志，將獲得的PCR值與服務(wù)器產(chǎn)生的隨機(jī)數(shù)用設(shè)備的身份證明密鑰私鑰進(jìn)行簽名，得到信息η=SigAIKprive (PCR, noncej，把η與度量日志、平臺的身份證明密鑰證書用服務(wù)器身份證明秘鑰公鑰加密后的信息作為認(rèn)證信息發(fā)送給認(rèn)證服務(wù)器進(jìn)行平臺認(rèn)證。服務(wù)器把獲得的密文信息解密，得到AIK證書將其與服務(wù)器已注冊信息對比驗證AIK證書，驗證通過后用AIKpub驗證簽名信息η得到PCR和隨機(jī)數(shù)，驗證隨機(jī)數(shù)與之前發(fā)出的是否一致，如果一致則把可度量日志信息進(jìn)行哈希運算，得到的值與PCR比對，結(jié)果相同則服務(wù)器判定上述認(rèn)證成功，服務(wù)器給網(wǎng)絡(luò)設(shè)備發(fā)送可信平臺身份認(rèn)證證書。具體交互過程如下A->CA:plat_ID request(10)CA->A:nonceCA(12)A->CA: CApub (sigAIKprive (PCR, nonceCA)，SML, plat_ID, Cer (AIKpub)) (5)(6)(9)(13)(14)(8)
CA->A: AIKpub (Cer (A))(6)(15)最后再通過綁定身份和平臺做第二次認(rèn)證。新接入網(wǎng)絡(luò)設(shè)備A向服務(wù)器進(jìn)行綁定平臺的用戶身份認(rèn)證請求，服務(wù)器產(chǎn)生隨機(jī)數(shù)并用A的身份證明密鑰公鑰加密會話秘鑰EK得到加密信息m=AIKpub (EK)，將隨機(jī)數(shù)和密文m返回給A，A利用自己的身份證明密鑰私鑰解密密文m得到會話密鑰，將可信平臺身份證書、用戶身份信息和隨機(jī)數(shù)用A的身份證明密鑰私鑰簽名得到簽名信息1= sigAIKprive (Cer (A)，user_ID，usert_PWD, nonceCA’)，由會話秘鑰EK加密I得到的密文信息作為認(rèn)證信息傳輸給服務(wù)器，服務(wù)器用EK解密密文信息得到1，并用A的身份證明密鑰公鑰驗證簽名信息I獲得可信平臺身份證書、用戶身份信息和隨機(jī)數(shù)，可信平臺身份證書與服務(wù)器已注冊信息對比進(jìn)行驗證，驗證正確后，驗證隨機(jī)數(shù)與之前發(fā)出的是否一致，如果一致則查找用戶身份信息是否為服務(wù)器中注冊的可信用戶信息，如果信息已存在則服務(wù)器判定上述認(rèn)證成功，月艮務(wù)器頒發(fā)可信設(shè)備身份證書，其證書帶有設(shè)備接入網(wǎng)絡(luò)進(jìn)行通信的會話密鑰。具體交互過程如下A->CA:plat_ID & user_ID request(10)(11)CA_>A:nonceCA’，AIKpub (EK)(12)(6)(16)
A->CA:EK (sigAIKprive (Cer (A), user_ID, usert_PWD, nonceCA’)) (16)(9)(6)(15)(17)(12)CA->A: ayth Success, Cer (plat_ID, user_ID, usert_PWD, AIKpub (EKa)) (18)上述過程中的關(guān)鍵詞解釋⑴A:可信網(wǎng)絡(luò)設(shè)備。(2) CA:可信網(wǎng)絡(luò)中的認(rèn)證服務(wù)器。(3) TNEA HelloiTNEA (可信網(wǎng)絡(luò)設(shè)備接入?yún)f(xié)議)中的目的是建立最初始認(rèn)證會話的控制幀，邊界可信網(wǎng)絡(luò)設(shè)備把得到Hello控制幀的端口記錄到服務(wù)器認(rèn)證端口信息表記為輸入端口。(4) TNEA Response:TNEA(可信網(wǎng)絡(luò)設(shè)備接入?yún)f(xié)議)中的作為回應(yīng)Hello控制幀的控制幀，新接入網(wǎng)絡(luò)的可信網(wǎng)絡(luò)設(shè)備得到這個幀之后，對于新接入網(wǎng)絡(luò)可信網(wǎng)絡(luò)設(shè)備而言TNEA的網(wǎng)絡(luò)尋址過程結(jié)束，并且把得到Response控制幀的端口記錄到服務(wù)器認(rèn)證端口信息表記為輸出端口。(5) CAprive和CApub: CAprive表不CA服務(wù)器的身份證明私鑰，CApub表不CA服務(wù)器的身份證明公鑰，CApub (XXX)表示用CApub加密信息XXX。(6) AIKpub和AIKlttive: AIKpub可信網(wǎng)絡(luò)設(shè)備的身份證明密鑰公鑰，AIKprive可信網(wǎng)絡(luò)設(shè)備的身份證明密鑰私鑰。AIKpub (XXX)表示用AIKpub加密信息XXX。(7) plat_ID:可信網(wǎng)絡(luò)設(shè)備的背板MAC號、設(shè)備型號、系統(tǒng)版本號。(8) Cer(AIKpub):可信網(wǎng)絡(luò)設(shè)備身份證明密鑰證書。(9) Siga (b):代表用密鑰a簽名信息b。(10) plat_ID request:帶有設(shè)備背板MAC、設(shè)備型號、系統(tǒng)版本號的身份證明認(rèn)證請求。(11) user_ID request:帶有用戶名、用戶口令的身份證明認(rèn)證請求。(12) nonce:隨機(jī)數(shù)。nonces服務(wù)器產(chǎn)生的第一個隨機(jī)數(shù)，nonce。/服務(wù)器產(chǎn)生的第二個隨機(jī)數(shù)。(13) PCR:可信網(wǎng)絡(luò)設(shè)備中可信模塊存儲的設(shè)備狀態(tài)特征值。(14) SML:可度量的日志信息。(15) Cer (A):發(fā)給認(rèn)證可信網(wǎng)絡(luò)設(shè)備的平臺認(rèn)證證書。(16) EK:會話密鑰。EK (XXX)表示用EK加密信息XXX。
(17) user_ID, usert_PWD:用戶名，用戶口令。
(18) Cer (plat—ID，user—ID，usert—PWD，AIKpub(EKa)):可信設(shè)備身份證書，其帶有設(shè)備背板MAC號、設(shè)備型號、系統(tǒng)版本號以及用戶名、用戶口令和用AIKpub加密的通信會話秘鑰EKa信息的密文。
權(quán)利要求
1.可信網(wǎng)絡(luò)設(shè)備接入可信網(wǎng)絡(luò)認(rèn)證方法，其特征在于包括以下步驟 首先可信設(shè)備接入可信網(wǎng)絡(luò)時在端口啟用過濾器只允許本方法認(rèn)證過得幀通過，每個網(wǎng)絡(luò)設(shè)備添加一個服務(wù)器認(rèn)證端口信息表，記錄該設(shè)備與服務(wù)器第一次認(rèn)證交互的端口信息，新接入網(wǎng)絡(luò)設(shè)備與服務(wù)器之間的網(wǎng)絡(luò)設(shè)備對于認(rèn)證協(xié)議幀只進(jìn)行傳輸，構(gòu)造虛擬點到點環(huán)境； 然后新接入網(wǎng)絡(luò)設(shè)備向服務(wù)器進(jìn)行平臺身份認(rèn)證請求，在服務(wù)器進(jìn)行回應(yīng)后，新接入網(wǎng)絡(luò)設(shè)備與新接入網(wǎng)絡(luò)設(shè)備的設(shè)備可信模塊交互信息得到所需反映平臺啟動過程的特征值和對應(yīng)的度量日志，將平臺啟動過程的特征值、對應(yīng)的度量日志與平臺的身份證明密鑰證書作為認(rèn)證信息發(fā)送給認(rèn)證服務(wù)器進(jìn)行平臺認(rèn)證，在服務(wù)器端對證書進(jìn)行審核然后把啟動過程的特征值與經(jīng)過哈希運算的度量日志信息比對正確后，認(rèn)證成功，服務(wù)器頒發(fā)可信平臺身份證書； 最后再通過綁定身份和平臺做第二次認(rèn)證新接入網(wǎng)絡(luò)設(shè)備向服務(wù)器進(jìn)行綁定平臺的用戶身份認(rèn)證請求，服務(wù)器做出回應(yīng)后，新接入網(wǎng)絡(luò)設(shè)備將可信平臺身份證書和用戶身份信息作為認(rèn)證信息與服務(wù)器交互，在服務(wù)器端把可信平臺身份證書和用戶身份信息與服務(wù)器中記錄的證書信息和已注冊用戶信息比較，保證以上信息正確后，認(rèn)證成功，服務(wù)器頒發(fā)可信設(shè)備身份證書，其證書帶有設(shè)備接入網(wǎng)絡(luò)進(jìn)行通信的會話密鑰。
全文摘要
可信網(wǎng)絡(luò)設(shè)備接入可信網(wǎng)絡(luò)認(rèn)證方法屬于計算機(jī)安全領(lǐng)域。它利用可信模塊提供平臺啟動的特征值連同其他信息一起在認(rèn)證服務(wù)器端進(jìn)行平臺認(rèn)證，然后把身份信息與平臺信息綁定再進(jìn)行一輪身份認(rèn)證確保平臺與身份的可信。首先，可信設(shè)備接入可信網(wǎng)絡(luò)時在端口啟用過濾器只允許本方法認(rèn)證的幀通過，可信設(shè)備有對認(rèn)證幀的尋址機(jī)制。然后，對平臺進(jìn)行認(rèn)證，完畢后再通過綁定身份和平臺做第二次認(rèn)證。最后，通過兩階段認(rèn)證保證網(wǎng)絡(luò)設(shè)備平臺與身份認(rèn)證，從而達(dá)到網(wǎng)絡(luò)設(shè)備可信接入網(wǎng)絡(luò)?，F(xiàn)有協(xié)議往往分別針對平臺認(rèn)證和身份認(rèn)證，容易出現(xiàn)中間人攻擊從而使不可信的用戶在可信平臺或可信用戶在不可信平臺的情況接入網(wǎng)絡(luò)，本發(fā)明解決該問題。
文檔編號H04L29/06GK103023911SQ20121057311
公開日2013年4月3日 申請日期2012年12月25日 優(yōu)先權(quán)日2012年12月25日
發(fā)明者賴英旭, 鄒起辰, 潘秋月, 徐壯壯, 秦華, 李健, 劉靜 申請人:北京工業(yè)大學(xué)