[发明专利]一种适合TCG可信网络连接架构的平台鉴别实现方法

说明书

技术领域

本发明属网络安全技术领域，涉及一种适合TCG可信网络连接架构的平台鉴别实现方法。

背景技术

随着信息化的发展，病毒、蠕虫等恶意软件的问题异常突出。目前已经出现了超过三万五千种的恶意软件，每年都有超过四千万的计算机被感染。要遏制住这类攻击，不仅通过解决安全的传输和数据输入时的检查，还要从源头即从每一台连接到网络的终端开始防御。而传统的安全防御技术已经无法防御种类繁多的恶意攻击。

TCG(Trusted Computing Group，国际可信计算组织)针对这个问题，专门制定了一个基于可信计算技术的网络连接规范——TNC(Trusted Network Connect，可信网络连接)，称为TCG可信网络连接架构，其包括了开放的终端完整性架构和一套确保安全互操作的标准。TCG可信网络连接架构参见图1。

在图1所示的TCG可信网络连接架构中，完整性度量收集者和完整性度量校验者之间的接口为IF-M(Vendor-Specific IMC-IMV Messages Interface，特定厂家的完整性度量收集者-完整性度量校验者消息接口)，TNC客户端和TNC服务端之间的接口为IF-TNCCS(TNC Client-Server Interface，TNC客户端-服务端接口)，完整性度量收集者和TNC客户端之间的接口为IF-IMC(Integrity Measurement Collector Interface，完整性度量收集接口)，完整性度量校验者和TNC服务端之间的接口为IF-IMV(Integrity Measurement Verifier Interface，完整性度量校验接口)，网络访问请求者和网络访问授权者之间的接口为IF-T(Network Transport Interface，网络传输接口)，策略执行点和网络访问授权者之间的接口为IF-PEP(Policy Enforcement Point Interface，策略执行点接口)。IF-M定义了基于IF-M消息的封装传输，其中每个IF-M消息是由一个IF-M消息头以及至少一个IF-M属性构成。IF-TNCCS定义了基于IF-TNCCS批次的封装传输，其中每个IF-TNCCS批次是由一个IF-TNCCS头以及至少一个IF-TNCCS消息构成。IF-IMC定义了TNC客户端与它上端的完整性度量收集者之间的IF-IMC功能函数。IF-IMV定义了TNC服务端与它上端的完整性度量校验者之间的IF-IMV功能函数。

目前的TCG可信网络连接架构的平台鉴别实现方法如下：

步骤1)当TNC客户端发起平台鉴别时，TNC客户端生成一个IF-TNCCS批次并将该IF-TNCCS批次发送给TNC服务端。该IF-TNCCS批次包含TNC客户端生成的零个或至少一个承载IF-M消息的IF-TNCCS消息，其中每个承载IF-M消息的IF-TNCCS消息仅承载一个由TNC客户端上端的一个完整性度量收集者发送的IF-M消息；

步骤2)当TNC服务端发起平台鉴别时，TNC服务端生成一个IF-TNCCS批次并将该IF-TNCCS批次发送给TNC客户端。该IF-TNCCS批次包含TNC服务端生成的零个或至少一个承载IF-M消息的IF-TNCCS消息，其中每个承载IF-M消息的IF-TNCCS消息仅承载一个由TNC服务端上端的一个完整性度量校验者发送的IF-M消息。当TNC服务端上端的一个完整性度量校验者发送一个IF-M消息时，若该完整性度量校验者需要验证访问请求者的平台完整性，则该IF-M消息包含该完整性度量校验者生成的一个随机数和一个对访问请求者的完整性度量请求参数。