[发明专利]一种可保护平台配置信息的平台认证系统及方法

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种可保护平台配置信息的平台认证系统及方法。

背景技术

随着信息化的不断发展，病毒、蠕虫等恶意软件的问题异常突出。目前已经出现了超过三万五千种的恶意软件，每年都有超过四千万的计算机被感染。为了遏制住这类攻击，人们提出了对机器进行识别、认证和评估，包括识别机器平台中的各个平台组件(包括硬件、软件和固件)、认证机器平台的确存在这些平台组件和评估机器平台中的这些平台组件(即：评估平台组件的安全状态，包括平台组件的完整性状态、运行状况和安全级别等，其中完整性状态指示平台组件是否被破坏，运行状况指示平台组件的运行环境和行为，安全级别指示平台组件的安全性)。这种对机器的识别、认证和评估称为机器级平台认证，简称为平台认证。

平台认证完全不同于用户认证。用户认证是发生在用户之间，而平台认证是发生在用户与平台之间，即用户对平台的认证。用户认证是基于对称密钥或非对称密钥的密码技术来实现用户身份的识别和认证。平台认证是基于平台认证可信根来实现对平台中各个组件的识别和认证。

近年来，业界提出了一种Client/Server平台认证系统，参见图1，Client为平台认证客户端，Server为平台认证服务端，P为平台认证客户端的平台，平台认证服务端Server通过平台认证协议对平台认证客户端的平台P进行平台认证。图1所示Client/Server平台认证系统的平台认证过程如下：

1)平台认证服务端Server通过平台认证协议向平台认证客户端Client请求平台认证客户端的平台P的平台组件信息(构成平台的各个平台组件信息也就是平台配置信息)；

2)平台认证客户端Client收到步骤1)中的信息后，将平台认证客户端的平台P的平台组件信息通过平台认证协议发送给平台认证服务端Server；

3)平台认证服务端Server收到步骤2)中信息后，识别、认证和评估平台认证客户端的平台P的平台组件信息，从而实现平台认证服务端Server对平台认证客户端的平台P的平台认证。

根据以上所述的Client/Server平台认证系统可知：平台认证客户端的平台P的平台配置信息在平台认证过程中被平台认证服务端Server所知。当平台认证服务端Server为网络管理方的服务器时，平台认证客户端的平台P的平台配置信息在平台认证过程中被平台认证服务端Server所知是允许的。但是，这种平台认证也存在其相应的缺点：当平台认证服务端Server不是网络管理方的服务器而是普通的对等端时，平台认证客户端的平台P的平台配置信息在平台认证过程中被平台认证服务端Server所知是不允许的，因为平台认证客户端的平台P的平台配置信息被暴露会使得平台认证客户端的平台P易被攻击。因此，需要建立一个可保护平台配置信息的平台认证系统。

发明内容

为了解决背景技术中存在的上述技术问题，本发明提供了一种可有效地保护平台被认证方的平台P′的平台配置信息并且可适用于不同应用环境的可保护平台配置信息的平台认证系统及方法。

本发明的技术解决方案是：本发明提供了一种可保护平台配置信息的平台认证系统，其特殊之处在于：所述系统包括平台认证方、平台被认证方以及用于在进行平台认证之前建立平台组件产品归类列表并结合平台被认证方的平台组件信息生成各种平台组件产品的安全状态验证结果发送给平台认证方的平台认证可信第三方；平台被认证方、平台认证方和平台认证可信第三方相互连通。

上述平台被认证方包括平台被认证方的平台P′。

一种可保护平台配置信息的平台认证方法，其特殊之处在于：该方法包括以下步骤：

1)平台认证方向平台被认证方请求平台被认证方的平台P′的平台组件信息；

2)平台被认证方收到步骤1)中的信息后，首先依据其中的组件类型度量和收集平台被认证方的平台P′的平台组件信息，然后将所度量和收集的平台被认证方的平台P′的平台组件信息分别发送给平台认证方和平台认证可信第三方；

3)当平台认证可信第三方收到步骤2)中的信息后，首先根据平台认证可信第三方中的平台组件产品归类表识别、认证和评估所度量和收集的平台被认证方的平台P′的平台组件信息，生成各种平台组件产品的安全状态验证结果并发送给平台认证方；