[发明专利]一种轻量级身份认证及平台鉴别评估方法

权利要求书

1.一种轻量级身份认证及平台鉴别评估方法，其特征在于，包括如下步骤：

步骤1，当访问请求者AR首次接入网络时，访问请求者AR和访问控制器AC之间的身份认证协议采用WAPI三元认证鉴别协议，由策略管理器PM验证访问请求者AR和访问控制器AC的平台身份证书和私钥签名，确认平台身份，并返回验证结果，如果验证通过，进入步骤2，否则重新进行验证；

步骤2，进行首次平台可信鉴别评估，如果评估成功，访问请求者AR保存访问控制器AC的平台配置信息的哈希值M_AC，控制器AC保存访问请求者AR的平台配置信息的哈希值M_AR，执行步骤3，否则判定平台不可信；

步骤3，当访问请求者AR再次需要接入网络时，实施轻量级身份认证方法，如果认证成功，执行步骤4，否则不接入网络；

步骤4，实施轻量级平台可信鉴别评估方法进行平台可信鉴别评估。

2.根据权利要求1所述的方法，其特征在于，步骤1中，在首次身份认证成功之后，访问请求者AR保存访问控制器AC的平台身份密钥PIK证书Cert_AC，访问控制器AC保存访问请求者AR的平台身份密钥PIK证书Cert_AR。

3.根据权利要求2所述的方法，其特征在于，步骤1中，在首次身份认证完成后，更新访问请求者AR和访问控制器AC双方的身份认证密钥K_RC，在规定的认证密钥有效期或者交换一定数量的数据之后，访问请求者AR和访问控制器AC之间能够重新进行认证密钥的协商。

4.根据权利要求3所述的方法，其特征在于，步骤2中，采用如下公式计算M_AC和M_AR：

M_AC＝Hash(V_AC||Log_AC||Cert_AC)，

M_AR＝Hash(V_AR||Log_AR||Cert_AR)，

其中，V_AC表示访问控制器AC经认证方平台PIK私钥签名的平台配置PCR值，V_AR表示访问请求者AR经认证方平台PIK私钥签名的平台配置PCR值，Log_AC表示访问控制器AC提取的平台完整性度量日志，Log_AR表示访问请求者AR提取的平台完整性度量日志。

5.根据权利要求4所述的方法，其特征在于，步骤3中，所述轻量级身份认证方法以步骤1中WAPI三元认证鉴别协议生成的身份认证密钥K_RC作为共享秘密，访问请求者AR的身份认证密钥保存在可信密码模块TPM的密钥保护区，访问控制器AC的身份认证密钥保存在具有保护措施的密钥数据库内。