[发明专利]一种基于三元对等鉴别的可信网络连接握手方法有效
| 申请号: | 200810184130.X | 申请日: | 2008-12-08 |
| 公开(公告)号: | CN101431517A | 公开(公告)日: | 2009-05-13 |
| 发明(设计)人: | 肖跃雷;曹军;葛莉;黄振海 | 申请(专利权)人: | 西安西电捷通无线网络通信有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/24 |
| 代理公司: | 西安智邦专利商标代理有限公司 | 代理人: | 商宇科 |
| 地址: | 710075陕西省西安市高新*** | 国省代码: | 陕西;61 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 三元 对等 鉴别 可信 网络 连接 握手 方法 | ||
1.一种基于三元对等鉴别的可信网络连接握手方法,其特征在于:该方法包括以下步骤:
1)访问控制器向访问请求者发送消息1,包括访问控制器的鉴别标识NAC,访问控制器的平台身份证书CertAIK-AC,访问控制器向访问请求者请求的平台完整性度量信息ParmP-AR,访问控制器的用户身份证书CertUser-AC,用于协商密钥的ECDH参数ParmECDH和其他参数Text1;
2)访问请求者收到消息1后,向访问控制器发送消息2,包括访问请求者的平台配置寄存器值PCRsAR,访问请求者的平台完整性度量日志LogAR,使用访问请求者的平台身份证书CertAIK-AR对应私钥对访问控制器的鉴别标识NAC和访问请求者的平台配置寄存器值PCRsAR的签名[NAC,PCRsAR]Sig-ARP,访问请求者的挑战NAR,访问请求者的平台身份证书CertAIK-AR,访问请求者向访问控制器请求的平台完整性度量信息ParmP-AC,访问请求者对访问控制器的平台完整性的完整性校验者级评估策略EvalIMVs-AC,访问请求者的密钥数据gx,访问请求者的用户身份证书CertUser-AR,用于协商密钥的ECDH参数ParmECDH,其他参数Text2和使用访问请求者的用户身份证书CertUser-AR对应私钥对消息2中除本字段外的其他字段的签名[NAC,PCRsAR,LogAR,[NAC,PCRsAR]Sig-ARP,NAR,CertAIK-AR,ParmP-AC,EvalIMVs-AC,gx,CertUser-AR,ParmECDH,其他参数Text2]Sig-ARU;
3)访问控制器收到消息2后,向策略管理器发送消息3,包括访问控制器的挑战NAC-PM,访问请求者的挑战NAR,访问请求者的平台身份证书CertAIK-AR,访问控制器的平台身份证书CertAIK-AC,访问请求者的平台配置寄存器值PCRsAR,访问请求者的平台完整性度量日志LogAR,访问控制器的平台配置寄存器值PCRsAC,访问控制器的平台完整性度量日志LogAC,访问控制器向访问请求者请求的平台完整性度量信息ParmP-AR,访问控制器对访问请求者的平台完整性的完整性校验者级评估策略EvalIMVs-AR,访问请求者向访问控制器请求的平台完整性度量信息ParmP-AC,访问请求者对访问控制器的平台完整性的完整性校验者级评估策略EvalIMVs-AC,访问请求者和访问控制器的MAC地址的级 联值ADDID,访问请求者的用户身份证书CertUser-AR,访问控制器的用户身份证书CertUser-AC和其他参数Text3;
4)策略管理器收到消息3后,向访问控制器发送消息4,消息4的构成形式有两种,第一种构成形式下,消息4包括访问请求者的平台身份证书的验证结果ReAIK-AR,访问请求者的平台完整性的整性校验者级评估结果ReIMVs-AR,访问请求者的平台完整性的完整性校验者级修补信息RemIMVs-AR,访问控制器的平台身份证书的验证结果ReAIK-AC,访问控制器的平台完整性的整性校验者级评估结果ReIMVs-AC,访问控制器的平台完整性的完整性校验者级修补信息RemIMVs-AC,访问请求者和访问控制器的MAC地址的级联值ADDID,访问请求者的用户身份证书的验证结果ReUser-AR,访问控制器的用户身份证书的验证结果ReUser-AC,使用策略管理器的用户身份证书CertUser-PM对应私钥对访问控制器的挑战NAC-PM,访问请求者的平台身份证书CertAIK-AR,访问请求者的平台身份证书的验证结果ReAIK-AR,访问请求者的平台配置寄存器值PCRsAR,访问控制器向访问请求者请求的平台完整性度量信息ParmP-AR,访问控制器对访问请求者的平台完整性的完整性校验者级评估策略EvalIMVs-AR,访问请求者的平台完整性的完整性校验者级评估结果ReIMVs-AR,访问控制器的平台完整性的完整性校验者级修补信息RemIMVs-AC,访问请求者的用户身份证书CertUser-AR,访问请求者的用户身份证书的验证结果ReUser-AR,访问请求者的挑战NAR,访问控制器的平台身份证书CertAIK-AC,访问控制器的平台身份证书的验证结果ReAIK-AC,访问控制器的平台配置寄存器值PCRsAC,访问请求者向访问控制器请求的平台完整性度量信息ParmP-AC,访问请求者对访问控制器的平台完整性的完整性校验者级评估策略EvalIMVs-AC,访问控制器的平台完整性的完整性校验者级评估结果ReIMVs-AC,访问请求者的平台完整性的完整性校验者级修补信息RemIMVs-AR,访问控制器的用户身份证书CertUser-AC,访问控制器的用户身份证书的验证结果ReUser-AC和其他参数Text6的签名[NAC-PM,CertAIK-AR,ReAIK-AR,PCRsAR,ParmP-AR,EvalIMVs-AR,ReIMVs-AR,RemIMVs-AC,CertUser-AR,ReUser-AR,NAR,CertAIK-AC,ReAIK-AC,PCRsAC,ParmP-AC,EvalIMVs-AC,ReIMVs-AC,RemIMVs-AR, CertUser-AC,ReUser-AC,其他参数Text6]Sig-PMU和其他参数Text4;第二种构成形式下,消息4包括访问请求者的平台身份证书的验证结果ReAIK-AR,访问请求者的平台完整性的整性校验者级评估结果ReIMVs-AR,访问请求者的平台完整性的完整性校验者级修补信息RemIMVs-AR,访问控制器的平台身份证书的验证结果ReAIK-AC,访问控制器的平台完整性的整性校验者级评估结果ReIMVs-AC,访问控制器的平台完整性的完整性校验者级修补信息RemIMVs-AC,访问请求者和访问控制器的MAC地址的级联值ADDID,访问请求者的用户身份证书的验证结果ReUser-AR,访问控制器的用户身份证书的验证结果ReUser-AC,使用策略管理器的用户身份证书CertUser-PM对应私钥对访问控制器的挑战NAC-PM,访问请求者的平台身份证书CertAIK-AR,访问请求者的平台身份证书的验证结果ReAIK-AR,访问请求者的平台配置寄存器值PCRsAR,访问控制器向访问请求者请求的平台完整性度量信息ParmP-AR,访问控制器对访问请求者的平台完整性的完整性校验者级评估策略EvalIMVs-AR,访问请求者的平台完整性的整性校验者级评估结果ReIMVs-AR,访问控制器的平台完整性的完整性校验者级修补信息RemIMVs-AC,访问请求者的用户身份证书CertUser-AR,访问请求者的用户身份证书的验证结果ReUser-AR和其他参数Text6的签名[NAC-PM,CertAIK-AR,ReAIK-AR,PCRsAR,ParmP-AR,EvalIMVs-AR,ReIMVs-AR,RemIMVs-AC,CertUser-AR,ReUser-AR,其他参数Text6]Sig-PMU,使用策略管理器的用户身份证书CertUser-PM对应私钥对访问请求者的挑战NAR,访问控制器的平台身份证书CertAIK-AC,访问控制器的平台身份证书的验证结果ReAIK-AC,访问控制器的平台配置寄存器值PCRsAC,访问请求者向访问控制器请求的平台完整性度量信息ParmP-AC,访问请求者对访问控制器的平台完整性的完整性校验者级评估策略EvalIMVs-AC,访问控制器的平台完整性的整性校验者级评估结果ReIMVs-AC,访问请求者的平台完整性的完整性校验者级修补信息RemIMVs-AR,访问控制器的用户身份证书CertUser-AC,访问控制器的用户身份证书的验证结果ReUser-AC和其他参数Text7的签名[NAR,CertAIK-AC,ReAIK-AC,PCRsAC,ParmP-AC,EvalIMVs-AC,ReIMVs-AC,RemIMVs-AR,CertUser-AC,ReUser-AC,其他参数Text7]Sig-PMU和其他参数Text4;
5)访问控制器收到消息4后,向访问请求者发送消息5,第一种构成形式的消息5,包括访问控制器的挑战NAC-PM,访问控制器的平台配置寄存器值PCRsAC,使用访问控制器的平台身份证书CertAIK-AC对应私钥对访问请求者的挑战NAR和访问控制器的平台配置寄存器值PCRsAC的签名[NAR,PCRsAC]Sig-ACP,访问控制器对访问请求者的平台完整性的完整性校验者级评估策略EvalIMVs-AR,访问控制器对访问请求者的接入结果Reaccess,消息4′,访问控制器的密钥数据gy,其他参数Text5和使用访问控制器的用户身份证书对应私钥对消息5中除本字段外的其他字段的签名[NAR,NAC-PM,PCRsAC,[NAR,PCRsAC]Sig-ACP,EvalIMVs-AR,Reaccess,消息4′,gy,其他参数Text5]Sig-ACU,其中消息4′指消息4中除访问请求者和访问控制器的MAC地址的级联值ADDID外的其他字段;第二种构成形式的消息5,包括访问控制器的挑战NAC-PM,访问控制器的平台配置寄存器值PCRsAC,使用访问控制器的平台身份证书CertAIK-AC对应私钥对访问请求者的挑战NAR和访问控制器的平台配置寄存器值PCRsAC的签名[NAR,PCRsAC]Sig-ACP,Reaccess,访问控制器的平台身份证书的验证结果ReAIK-AC,访问控制器的平台完整性的整性校验者级评估结果ReIMVs-AC,访问控制器的用户身份证书的验证结果ReUser-AC,访问请求者的平台完整性的完整性校验者级修补信息RemIMVs-AR,访问控制器的密钥数据gy,使用策略管理器的用户身份证书CertUser-PM对应私钥对访问请求者的挑战NAR,访问控制器的平台身份证书CertAIK-AC,访问控制器的平台身份证书的验证结果ReAIK-AC,访问控制器的平台配置寄存器值PCRsAC,访问请求者向访问控制器请求的平台完整性度量信息ParmP-AC,访问请求者对访问控制器的平台完整性的完整性校验者级评估策略EvalIMVs-AC,访问控制器的平台完整性的整性校验者级评估结果ReIMVs-AC,访问请求者的平台完整性的完整性校验者级修补信息RemIMVs-AR,访问控制器的用户身份证书CertUser-AC,访问控制器的用户身份证书的验证结果ReUser-AC和其他参数Text7的签名[NAR,CertAIK-AC,ReAIK-AC,PCRsAC,ParmP-AC,EvalIMVs-AC,ReIMVs-AC,RemIMVs-AR,CertUser-AC,ReUser-AC,其他参数Text7]Sig-PMU,其他参数Text5和使用访问控制器的用户身份证书CertUser-AC对应私钥对消息5中除本字段外的其他字段的签名[NAR,NAC-PM,PCRsAC,[NAR,PCRsAC]Sig-ACP,Reaccess,ReAIK-AC,ReIMVs-AC,ReUser-AC,RemIMVs-AR,gy,[NAR,CertAIK-AC,ReAIK-AC,PCRsAC,ParmP-AC,EvalIMVs-AC,ReIMVs-AC,RemIMVs-AR,CertUser-AC,ReUser-AC,其他参数Text7]Sig-PMU,其他参数Text5]Sig-ACU;
6)访问请求者收到消息5后,完成可信网络连接握手。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于西安西电捷通无线网络通信有限公司,未经西安西电捷通无线网络通信有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/200810184130.X/1.html,转载请声明来源钻瓜专利网。
