本发明属于网络安全技术领域， 尤其涉及一种可实现平台配置保护的双 向平台鉴别方法及其系统。

背景技术

随着信息化的不断发展， 病毒、 蠕虫等恶意软件的问题异常突出。 目前 已经出现了超过三万五千种的恶意软件， 每年都有超过四千万的计算机被感 染。 为了解决这些问题， 除了用户鉴别之外还需要增加对用户所在平台 的识 别和鉴别， 即： 平台鉴别， 包括平台身份鉴别和平台组件校验及评估， 目的 是确定用户所在平台是否处于一个可信赖状态 。 平台身份鉴别主要是验证平 台签名， 以及验证平台签名密钥对应的平台身份证书的 有效性， 其中平台身 份证书可为身份证明密钥 （ Attestation Identity Key , AIK )证书， 平台签名可 为 AIK签名， 它是通过执行 TPM— Quote命令从本地可信平台模块 （Trusted Platform Module, TPM ) 来获取的。 平台组件校验主要是验证平台组件的正 确性，如：平台组件是否被篡改，国际可信计 算组织（ Trusted Computing Group, TCG )是基于平台完整性来实现的， 而平台组件评估主要是判定平台组件是 否符合评估策略。 平台鉴别可以运用于各种不同的应用场景。 例如， 基于客 户端的可信赖性来控制客户端对网络的访问； 判定数字版权管理 （Digital Rights Management, DRM )客户端软件是否处于一个可信赖状态， 是否已执 行了一定的策略来防止非法使用、 复制或重新分配知识产权。 目前的平台鉴 别方法都^^于 Client/Server (客户端 /服务器）模型的， 参见图 1 , 图 1为现有 技术中基于 Client/Server的平台鉴別模型结构示意图。

在这些基于 Client/Server模型的平台鉴别方法中， Client需要向 Server报告 Client的详细平台组件信息， 即 Server完全知道 Client的平台配置， 以便 Server 可以实现对 Client的平台组件校验及评估。 但是， 这不利于 Client对自身平台 配置的保护。若 Server为 Client的服务提供方，且 Client完全信赖 Server,则 Client 不需要对自身平台配置实现保护。若 Client和 Server不存在这种完全信赖关系， 则 Client需要对自身平台配置实现保护， 这种情况在双向平台鉴别过程中尤其 突出。 因此， 需要建立一种可实现平台配置保护的双向平台 鉴别方法及其系 统。

发明内容

为了解决背景技术中存在的上述技术问题， 本发明提供了一种可有效地 保护端点 A和端点 B的平台配置以及对端点 A和端点 B的平台配置实现更细粒 度保护的可实现平台配置保护的双向平台鉴别 方法及其系统。

本发明提供了一种可实现平台配置保护的双向 平台鉴别方法， 所述方法 包括以下步骤：

步骤 1、 端点 B向端点 A发送对端点 A的平台组件请求度量参数； 步骤 2、 端点 A收到步骤 1中的信息后， 向端点 B发送对端点 A的平台组件 请求度量参数所标识信息的平台组件度量值、 对端点 A的平台组件请求度量 参数所标识信息的平台组件度量值的平台签名 、 端点 A的平台身份证书、 对 端点 A的平台组件请求度量参数所标识信息的平台� �置保护策略、对端点 B的 平台组件请求度量参数和对端点 B的平台组件请求度量参数所标识信息的平 台组件评估策略； 其中， 对端点 A的平台组件请求度量参数所标识信息的平 台组件度量值中可泄露端点 A的平台配置的信息、对端点 A的平台组件请求度 量参数所标识信息的平台配置保护策略，对端 点 B的平台组件请求度量参数所 标识信息的平台组件评估策略需要利用端点 A和可信中心 TC ( Trusted Center, TC )之间的安全密钥进行加密保护；

步骤 3、 端点 B收到步骤 2中的信息后， 向可信中心 TC发送端点 A的平台 身份证书、 对端点 A的平台组件请求度量参数所标识信息的平台� �件度量值、 对端点 A的平台组件请求度量参数、对端点 A的平台组件请求度量参数所标识 信息的平台组件评估策略、 对端点 A的平台组件请求度量参数所标识信息的 平台配置保护策略、 端点 B的平台身份证书、 对端点 B的平台组件请求度量参 数所标识信息的平台组件度量值、对端点 B的平台组件请求度量参数、对端点 B的平台组件请求度量参数所标识信息的平台� �件评估策略和对端点 B的平 台组件请求度量参数所标识信息的平台配置保 护策略； 其中， 对端点 A的平 台组件请求度量参数、 对端点 B的平台组件请求度量参数、 对端点 B的平台组 件请求度量参数所标识信息的平台组件度量值 中可泄露端点 B的平台配置的 信息、对端点 B的平台组件请求度量参数所标识信息的平台� �置保护策略，对 端点 A的平台组件请求度量参数所标识信息的平台� �件评估策略需要利用端 点 B和可信中心 TC之间的安全密钥进行加密保护；

步骤 4、 可信中心 TC收到步骤 3中的信息后， 向端点 B发送端点 A的平台 身份证书的验证结果、 端点 A的平台组件评估结果、 端点 A的平台组件修补信 息、 端点 B的平台身份证书的验证结果、 端点 B的平台组件评估结果、 端点 B 的平台组件修补信息和可信中心 TC对以上信息的用户签名； 其中端点 A的平 台组件修补信息需要利用端点 A和可信中心 TC之间的安全密钥进行加密保 护，端点 B的平台组件修补信息需要利用端点 B和可信中心 TC之间的安全密钥 进行加密保护；

步骤 5、 端点 B收到步骤 4中的信息后， 向端点 A发送对端点 B的平台组件 请求度量参数所标识信息的平台组件度量值中 不会泄露端点 B的平台配置的 信息、对端点 B的平台组件请求度量参数所标识信息的平台� �件度量值的平台 签名、 端点 B的平台身份证书和步骤 4中的信息；

步骤 6、 端点 A收到步骤 5中的信息后， 端点 A向端点 B发送端点 A生成的 访问决策。

当端点 A收到步骤 1中的信息后， 上述步骤 2的具体实现方式是： 步骤 2.1、验证对端点 A的平台组件请求度量参数是否符合端点 A所设置的 对端点 A的平台组件请求度量参数所标识信息的平台� �置保护策略， 若不符 合， 则丢弃步骤 1中的信息， 否则执行步骤 2.2和步骤 2.3;

步骤 2.2、依据对端点 A的平台组件请求度量参数去获取对端点 A的平台组 件请求度量参数所标识信息的平台组件度量值 ；

步骤 2.3、向端点 B发送对端点 A的平台组件请求度量参数所标识信息的平 台组件度量值、 对端点 A的平台组件请求度量参数所标识信息的平台� �件度 量值的平台签名、 端点 A的平台身份证书、 对端点 A的平台组件请求度量参数 所标识信息的平台配置保护策略、对端点 B的平台组件请求度量参数和对端点 B的平台组件请求度量参数所标识信息的平台� �件评估策略； 其中， 对端点 A 的平台组件请求度量参数所标识信息的平台组 件度量值中可泄露端点 A的平 台配置的信息、 对端点 A的平台组件请求度量参数所标识信息的平台� �置保 护策略，对端点 B的平台组件请求度量参数所标识信息的平台� �件评估策略需 要利用端点 A和可信中心 TC之间的安全密钥进行加密保护。

当端点 B收到步骤 2中的信息后， 上述步骤 3的具体实现方式是： 步骤 3.1、 验证对端点 A的平台组件请求度量参数所标识信息的平台� �件 度量值中的平台签名， 若验证不通过， 则丟弃步骤 2.3中的信息， 否则执行步 骤 3.2;

步骤 3.2、验证对端点 B的平台组件请求度量参数是否符合端点 B所设置的 对端点 B的平台组件请求度量参数所标识信息的平台� �置保护策略， 若不符 合， 则丟弃步骤 2.3中的信息， 否则执行步骤 3.3和步骤 3.4;

步骤 3.3、依据对端点 B的平台组件请求度量参数去获取对端点 B的平台组 件请求度量参数所标识信息的平台组件度量值 ；

步骤 3.4、 向可信中心 TC发送端点 A的平台身份证书、 对端点 A的平台组 件请求度量参数所标识信息的平台组件度量值 、 对端点 A的平台组件请求度 量参数、 对端点 A的平台组件请求度量参数所标识信息的平台� �件评估策略、 对端点 A的平台组件请求度量参数所标识信息的平台� �置保护策略、 端点 B的 平台身份证书、对端点 B的平台组件请求度量参数所标识信息的平台� �件度量 值、 对端点 B的平台组件请求度量参数、 对端点 B的平台组件请求度量参数所 标识信息的平台组件评估策略和对端点 B的平台组件请求度量参数所标识信 息的平台配置保护策略； 其中， 对端点 A的平台组件请求度量参数、 对端点 B 的平台组件请求度量参数、对端点 B的平台组件请求度量参数所标识信息的平 台组件度量值中可泄露端点 B的平台配置的信息、 对端点 B的平台组件请求度 量参数所标识信息的平台配置保护策略， 对端点 A的平台组件请求度量参数 所标识信息的平台组件评估策略需要利用端点 B和可信中心 TC之间的安全密 钥进行加密保护。

当可信中心 TC收到步驟 3中的信息后， 上述步骤 4的具体实现方式是： 步骤 4.1、验证端点 A的平台身份证书和端点 B的平台身份证书， 生成端点 A的平台身份证书的验证结果和端点 B的平台身份证书的验证结果；

步骤 4.2、依据对端点 A的平台组件请求度量参数、对端点 A的平台组件请 求度量参数所标识信息的平台组件评估策略和 对端点 A的平台组件请求度量 参数所标识信息的平台配置保护策略， 校验和评估对端点 A的平台组件请求 度量参数所标识信息的平台组件度量值， 生成端点 A的平台组件评估结果和 端点 A的平台组件修补信息； 其中， 若对端点 A的平台组件请求度量参数所标 识信息的平台组件评估策略不符合对端点 A的平台组件请求度量参数所标识 信息的平台配置保护策略， 则在端点 A的平台组件评估结果中给出相应的错 误指示；

步骤 4.3、依据对端点 B的平台组件请求度量参数、对端点 B的平台组件请 求度量参数所标识信息的平台组件评估策略和 对端点 B的平台组件请求度量 参数所标识信息的平台配置保护策略，校验和 评估对端点 B的平台组件请求度 量参数所标识信息的平台组件度量值，生成端 点 B的平台组件评估结果和端点 B的平台组件修补信息； 其中， 若对端点 B的平台组件请求度量参数所标识信 息的平台组件评估策略不符合对端点 B的平台组件请求度量参数所标识信息 的平台配置保护策略， 则在端点 B的平台组件评估结果中给出相应的错误指 步骤 4.4、 向端点 B发送端点 A的平台身份证书的验证结果、 端点 A的平台 组件评估结果、 端点 A的平台组件修补信息、 端点 B的平台身份证书的验证结 果、 端点 B的平台组件评估结果、 端点 B的平台组件修补信息和可信中心 TC 对以上信息的用户签名； 其中， 端点 A的平台组件修补信息需要利用端点 A和 可信中心 TC之间的安全密钥进行加密保护， 端点 B的平台组件修补信息需要 利用端点 B和可信中心 TC之间的安全密钥进行加密保护。

当端点 B收到步骤 4中的信息后， 上述步骤 5的具体实现方式是： 步骤 5.1、 验证可信中心 TC的用户签名， 若验证不通过， 则丟弃步骤 4.4 中的信息； 否则， 执行步骤 5.2和步骤 5.3 ;

步骤 5.2、若已完成对端点 A的平台鉴别， 则依据端点 A的平台身份证书的 验证结果和端点 A的平台组件评估结果生成访问决策； 否则本轮平台鉴别协 议结束后将与端点 A执行另外一轮平台鉴别协议；

步骤 5.3、向端点 A发送对端点 B的平台组件请求度量参数所标识信息的平 台组件度量值中不会泄露端点 B的平台配置的信息、 对端点 B的平台组件请求 度量参数所标识信息的平台组件度量值的平台 签名、端点 B的平台身份证书和 步骤 4.4中的信息。

当端点 A收到步骤 5中的信息后 , 上述步骤 6的具体实现方式是： 步骤 6.1、 验证对端点 B的平台组件请求度量参数所标识信息的平台� �件 度量值中的平台签名， 若验证不通过， 则丢弃步骤 5.3中的信息， 否则执行步 骤 6.2;

步骤 6.2、 验证步骤 5.3中可信中心 TC的用户签名， 若验证不通过， 则丟 弃步骤 5.3中的信息； 否则， 执行步骤 6.3 ;

步骤 6.3、若已完成对端点 B的平台鉴别， 则依据端点 B的平台身份证书的 验证结果和端点 B的平台组件评估结果生成访问决策；否则本� �平台鉴別协议 结束后将与端点 B执行另外一轮平台鉴别协议。 本发明还提供一种可实现平台配置保护的双向 平台鉴别系统， 所述可实 现平台配置保护的双向平台鉴别系统包括网络 中的可信中心 TC、 端点 A以及 端点 B; 所述端点 A和端点 B都信任可信中心 TC。

所述端点 A包括： 用于生成对端点 B的平台组件请求度量参数以及生成对 端点 B的平台组件请求度量参数所标识信息的平台� �件评估策略的生成单元； 用于验证对端点 A的平台组件请求度量参数是否符合端点 A所设置的对端点 A 的平台组件请求度量参数所标识信息的平台配 置保护策略、验证对端点 B的平 台组件请求度量参数所标识信息的平台组件度 量值中的平台签名以及验证可 信中心 TC的用户签名的验证单元； 用于依据对端点 A的平台组件请求度量参 数去获取对端点 A的平台组件请求度量参数所标识信息的平台� �件度量值的 获取单元以及用于依据端点 B的平台身份证书的验证结果和端点 B的平台组 件评估结果生成访问决策的生成单元。

所述端点 B包括： 用于向可信中心 TC发送端点 A的平台身份证书、对端点 A的平台组件请求度量参数所标识信息的平台� �件度量值、对端点 A的平台组 件请求度量参数、 对端点 A的平台组件请求度量参数所标识信息的平台� �件 评估策略、 对端点 A的平台组件请求度量参数所标识信息的平台� �置保护策 略、 端点 B的平台身份证书、 对端点 B的平台组件请求度量参数所标识信息的 平台组件度量值、 对端点 B的平台组件请求度量参数、 对端点 B的平台组件请 求度量参数所标识信息的平台组件评估策略和 对端点 B的平台组件请求度量 参数所标识信息的平台配置保护策略的发送单 元； 用于生成对端点 A的平台 组件请求度量参数以及生成对端点 A的平台组件请求度量参数所标识信息的 平台组件评估策略的生成单元； 用于验证对端点 A的平台组件请求度量参数 所标识信息的平台组件度量值中的平台签名、 验证对端点 B的平台组件请求度 量参数是否符合端点 B所设置的对端点 B的平台组件请求度量参数所标识信 息的平台配置保护策略以及验证可信中心 TC的用户签名的验证单元； 用于依 据对端点 B的平台组件请求度量参数去获取对端点 B的平台组件请求度量参 数所标识信息的平台组件度量值的获取单元； 以及， 用于依据端点 A的平台 身份证书的验证结果和端点 A的平台组件评估结果生成访问决策的生成单 元；

所述可信中心 TC包括： 用于处理从端点 B收到的端点 A的平台身份证书、 对端点 A的平台组件请求度量参数所标识信息的平台� �件度量值、对端点 A的 平台组件请求度量参数、 对端点 A的平台组件请求度量参数所标识信息的平 台组件评估策略、 对端点 A的平台组件请求度量参数所标识信息的平台� �置 保护策略、 端点 B的平台身份证书、 对端点 B的平台组件请求度量参数所标识 信息的平台组件度量值、 对端点 B的平台组件请求度量参数、 对端点 B的平台 组件请求度量参数所标识信息的平台组件评估 策略和对端点 B的平台组件请 求度量参数所标识信息的平台配置保护策略， 其中对端点 A的平台组件请求 度量参数、 对端点 B的平台组件请求度量参数、 对端点 B的平台组件请求度量 参数所标识信息的平台组件度量值中可泄露端 点 B的平台配置的信息、对端点 B的平台组件请求度量参数所标识信息的平台� �置保护策略和对端点 A的平 台组件请求度量参数所标识信息的平台组件评 估策略需要利用端点 B和可信 中心 TC之间的安全密钥进行加密保护的处理单元； 用于生成端点 A的平台身 份证书的验证结果、端点 A的平台组件评估结果、端点 A的平台组件修补信息、 端点 B的平台身份证书的验证结果、 端点 B的平台组件评估结果、 端点 B的平 台组件修补信息以及可信中心 TC对这些信息的用户签名的生成单元；

所述端点 A和端点 B通过平台鉴别协议互相连通； 所述端点 B和可信中心 TC通过平台鉴别协议互相连通。

本发明的优点是：

1、 有效地保护了端点 A和端点 B的平台配置。 本发明在端点 A和端点 B将 自身平台的平台组件度量信息加密传输给可信 中心 TC, 并将对对方的平台组 件评估策略发送给可信中心 TC , 由可信中心 TC来实现端点 A和端点 B的平台 组件度量信息的校验和评估， 有效地保护了端点 A和端点 B的平台配置。 2、对端点 A和端点 B的平台配置实现了更细粒度的保护。 本发明的端点 A 和端点 B设置了自身平台的平台组件保护策略， 有效地防止了端点 A和端点 B 通过设置对对方的平台组件度量请求参数和对 对方的平台组件评估策略来探 询对方的平台配置， 从而对端点 A和端点 B的平台配置实现了更细粒度的保 护。 附图说明

图 1为现有技术中基于 Client/Server的平台鉴别模型结构示意图； 图 2为本发明中可实现平台配置保护的双向平台� �别模型的结构示意图； 图 3为本发明中基于 TePA的 TNC架构的双向平台鉴別模型的结构示意图。 具体实施方式

参见图 2 , 图 2为本发明中可实现平台配置保护的双向平台� �别模型的结 构示意图。 本发明实施例提供了一种可实现平台配置保护 的双向平台鉴别方 法， 具体可以包括以下步骤：

步骤 1、 端点 B产生一个 160比特随机数^， 然后向端点 A发送^和对端点 A的平台组件请求度量参 ¾ ¾r ,其中 ¾nw 标识端点 A中的哪些平台组件 以及哪些完整性信息需要度量。

步骤 2、 端点 A收到步骤 1中的信息后， 首先判断 ¾r//? 是否符合端点 A对 ¾? /7 所标识信息的平台配置保护 略 ProtPoiicies _A , 若不符合 , 则丢弃步骤 1中的信息， 否则利用杂凑函数 SHA1计算 SHA1 ( N _B , K _M ), 其中 ^为端点 A 和端点 B之间建立的可双向认证的安全通道，然后执� � ΓΡΜ— Qwofe命令从本地 TPM获取 ¾r 所标识信息的平台配置寄存器 （ Platform Configuration Register, PCR )值 和 AIK签名值 ί¾^ , 其中 c¾/j^是端点 Α利用 对 SHA1 ( N _B , KAB )和 PCR 々AIK签名， ¾^ _-y4 是端点 A的 AIK私钥， 接着再获 取¾ 所标识信息的存储度量日志 （Stored Measurement Log , SML )值 SML _A , 最后向端点 B发送 SML _A , Cert(AIK _PK -A), σ _ΑΙΚ . _Α , ProtPolicies _A , N _A , Parms _B 和 EvalPohciesB , 其中 Cert(AIK _≠ _A) 端点 A的 AIK证书， N4是端点 Α产生的一个 160比特随机数， ¾^ 是对端点 A的平台组件请求度量参数， 它标识端点 B中的哪些平台组件以及哪些完整性信息需要� �量， EvalPolicies _B 为端点 A对 ^¾所标识信息的平台组件评估策略， ^C^ Slf^构 匪 s _A 所标识信息的平台组件度量值， SV/ 是 《^7 所标识信息的平台组件度量值 中可泄露端点 A的平台配置的信息， SML _A 、 ProtPolicies _A 和 EvalPolicies _B 要 利用端点 A和可信中心 TC之间的安全密钥进行加密保护。

步骤 3、 端点 B收到步骤 2中的信息后， 首先计算 SHA1 (N _B , KAB), 并验 证 σ _ΑΙΚ — _Α , 若验证不通过， 则丟弃步骤 2中的信息， 否则判断 是否符合 端点 B对¾ 1¾所标识信息的平台配置保护策略 ProtPo/ e , 若不符合， 则 终止， 否则利用杂凑函数 SHA1计算 SHA1 (N _A , K^), 然后执行 TPM— Quote 命令从本地 TPM获取 《 所标识信息的 PCR PC¾和 AIK签名 值， 其 中 c¾/ _B 是端点 B利用 /¾ ^对 SHA1 (N _A , KAB ) 和 PCR^々AIK签名， AIK _SK — _B 是端点 B的 AIK私钥， 接着再获取 所标识信息的 SML值 最后向 可信中心 TC发送 Nij-rc, Cert(AIK _pk . _A ), PCR _A , SML _A , Parms _A , EvalPolicies _A , ProtPoliciesA， NA， CertAIK _p k-B)， PCRB， SML _B ， Parms _B ， EvalPolicies _B 和 ProtPoliciesB , 其中 SML _A 、 PmtPohcies _A 和 Eva!Po!icies _B 是歩骤 2中的对应值， N rc是端点 B产生的一个随机数， EvalPolicies _A 端点 8对^¾ 所标识信息 的平台组件评估策略， Cert(AIK _PK -B) 端点 B的一个 AIK证书， PCR _B 和 SML _B 构 成¾ 所标识信息的平台组件度量值， SML _B Parms _B 所标 i、信息的平台组 件度量值中可泄露端点 B的平台配置的信息， Parms _A 、 Parms _B 、 SML _B 、 Prai^/c^^o ra/^/zci^需要利用端点 B和可信中心 TC之间的安全密钥进 行力 p密保护。

步骤 4、 可信中心 TC收到步骤 3中的信息后， 首先验证 Cert(AIK _≠ —A)和 Cert(^K^ 的有效性， 并生成相应的 AIK证书验证结果 R 和 R , 然后分别 利用 (^¾和^ ¾来验证 ^ /^和&^!^的正确性 ,即分析处理&1^ ^和 SMi^并重 新计算 ρ ^σΡΟ¾， 若重新计算的 P R ^PC 分别与步骤 3中的 /^ 和 PC 互相匹配， 则所接收到的^ ^和 5¾& _β 是有效和未被篡改的， 否则是无 效 ， 接着分另 ll才艮据 ParmsA、 EvalPoliciesA、 ProtPoliciesA和 Parms _B 、 5 EvalPolicies _B , ProtPohcies _B ^m验、 i ^SML SML _B , 并分别生成端点 A的 组件级评估结果 Re 、 端点 A的组件级修补信息 Re 和端点 B的组件级评估 结果 Re 、端点 B的组件级修补信息 Rew ，最后向端点 B发送 R ， Re ， Rems _A , Re _B , Res _B , Rems _B 和 Ore, 其中 c _rc 是可信中心 TC利用可信中心 TC的用户私钥 sbrc对 NB-TC, Cert(AIK _p k—A), PCRA, Pm 'A, EvalPoliciesA,

l o ResA， RemsA， NA， CertAIK _p k-B) , Re _B , PCRB， Parms _B ， EvalPolicies _B ， ProtPolicies _B ， ¾ 和 //7 的用户签名， R£m¾需要利用端点 A和可信中心 TC之间的安全密 钥进行加密保护， w 需要利用端点 B和可信中心 TC之间的安全密钥进行加 密保护, EvalPoliciesA ^ ProtPoliciesA » EvalPolicies _B 和 ProtPolicies _B ^ 3 的对应值， Pa丽 Parms _B 分 M是步骤 1和步骤 2中的对应值。 若 EvalPolicies _A

15 不符合 ProtPoliciesA, ^EvalPoliciesB不符合 ProtPoliciesB, 贝 分另 ¹ J在?e ^Re 中给出相应的错误提示。

步骤 5、 端点 B收到步骤 4中的信息后， 首先验证 ij _rc ， 若验证不通过， 则 丢弃步骤 4中的信息， 否则若已完成对端点 Α的平台鉴别， 则根据 R 和 Re 做出访问决策（即允许、 禁止或隔离）， 否则本轮平台鉴别协议结束后将与端

20 点 A执行另一轮平台鉴别协议， 然后向端点 A发送 N^ _rc ， EvalPolicies _A , Cert(AIK _pk . _B ), PCR _B , ProtPolicies _B , / -?和步骤 4中的信息， 其中 PC¾是对 端点 B的平台组件请求度量参数所标识信息的平台� �件度量值中不会泄露端 点 B的平台配置的信息， EvalPoliciesA和 ProtPolicies _B 3中的对应值。

步骤 6、 端点 A收到步骤 5中的信息后， 首先计算 SHA1 N _A , K _M ), 并验

25 证 (7 , 若验证不通过， 则丟弃步骤 5中的信息， 否则验证 σττ, 若验证不通 过， 则丟弃步驟 5中的信息， 否则若已完成对端点 Β的平台鉴别， 则根据 R 和 Re 做出访问决策（即允许、 禁止或隔离）， 否则本轮平台鉴别协议结束后 将与端点 B执行另一轮平台鉴别协议。

上述步骤 5中端点 B发送的信息可包含步骤 5中端点 B做出的访问决策。 上述步骤 6完成后，端点 A可向端点 B发送步骤 6中端点 A做出的访问决策。 在上述可实现平台配置保护的双向平台鉴别方 法中， 端点 A和端点 B之间 的平台鉴别协议消息是利用 ^进行安全传输的。

在上述可实现平台配置保护的双向平台鉴别方 法中， 若 Re ^指示端点 A 需要进行平台修补， 则端点 A完成平台修补后将与端点 B执行另外一轮平台鉴 别协议； 若 指示端点 B需要进行平台修补， 则端点 B完成平台修补后将 与端点 A执行另外一轮平台鉴别协议。

在上述可实现平台配置保护的双向平台鉴别方 法中，若 6 指示端点 A的 平台组件评估策略与端点 A的平台配置保护策略相沖突， 则端点 B修正相应的 平台组件评估策略后将与端点 A执行另外一轮平台鉴别协议；若 ^¾ 指示端点 B的平台组件评估策略与端点 B的平台配置保护策略相冲突， 则端点 A修正相 应的平台组件评估策略后将与端点 B执行另外一轮平台鉴别协议。

由于 TCG所提出的可信网络连接 ( Trusted Network Connect, TNC )架构 存在问题，所以一种基于三元对等鉴别（ Tri-element Peer Authentication, TePA ) 的 TNC架构被提出， 参见图 3 , 图 3为本发明中基于 TePA的 TNC架构的双向平 台鉴别模型的结构示意图， 其中 TNC客户端上端的完整性收集者、 TNC接入 点上端的完整性收集者和评估策略服务者上端 的完整性校验者都可以是多 个。 在图 3中， 从左至右三列分别为访问请求者、 访问控制器和策略管理器， 从上至下三行分别为完整性度量层、 可信平台评估层和网络访问控制层。 在 访问请求者中， 从上至下的组件分别为完整性收集者、 TNC客户端和网络访 问请求者。 在访问控制器中， 从上至下的组件分别为完整性收集者、 TNC接 入点和网絡访问控制者。 在策略管理器中， 从上至下的组件分别为完整性校 验者、 评估策略服务者和鉴别策略服务者。 组件之间存在相应的接口： 完整 性度量接口 （ Integrity Measurement Interface, IF- IM ) 是完整性收集者 和完整性校验者之间的接口； TNC客户端 - TNC接入点接口 （ TNC Client-TNC Access Point Interface, IF-TNCCAP )是 TNC客户端和 TNC接入点之间的接口; 评估策略服务接口 (Evaluation Policy Service Interface, IF- EPS )是 TNC 接入点和评估策略服务者之间的接口； 可信网络传输接口 (Trusted Network Transport Interface, IF- TNT)是网络访问请求者和网络访问控制者之间� � 接口， 鉴另 ¹ J策略月艮务接口 ( Authentication Policy Service Interface, IF-APS )是网络访问控制者和鉴别策略服务者之间的� �口， 完整性度量收集 者接口 ( Integrity Measurement Collector Interface, IF- IMC) 是完整性 收集者和 TNC客户端之间， 以及完整性收集者和 TNC接入点之间的接口， 完整 性度量校验接口 ( Integrity Measurement Verifier Interface, IF-IMV ) 是完整性校验者和评估策略服务者之间的接口 。

若本发明应用于图 3所示的基于 TePA的 TNC架构，则上述可实现平台配置 保护的双向平台鉴别方法的实施步骤可以如下 ：

步骤 1、 TNC接入点产生一个 160比特随机数 N4C, 然后向 TNC客户端发送

N4C和对访问请求者的平台 , 其中 Pa ^标识访问 请求者中的哪些平台组件以及哪些完整性信息 需要度量。

步骤 2、 TNC客户端收到步骤 1中的信息后， 执行如下步骤：

步骤 201、 判断 Parms 是否符合访问请求者 ¾r ^所标识信息的平台 配置保护策略 Pra o/ce^, 若不符合， 则丢弃步骤 1中的信息， 否则执行步 骤 202〜步骤 205;

步骤 202、 利用杂凑函数 SHA1计算 SHA1 (N _AC , KAB ), 其中 ^是网络访 问控制层为访问请求者和访问控制器之间建立 的可双向认证的安全通道， 然 后将 SHA1 (N _AC , KAB ) 和 Par ^发送给 TNC客户端上端的完整性收集者； 步骤 203、 TNC客户端上端的完整性收集者依据 SHA1 N _AC , K _M ) 和 执行 ρ¾ο¾命令从本地 TPM获取 ^ ^j?所标识信息的 PCR值 0½和入1 签名值(7«, 其中(7«是本地 TPM利用 对 SHA1 (N _AC , ^ ) 和 PCR^^AIK签名， 是访问请求者的 AIK私钥， 然后将

Cert(AIK _≠ -AR)和 σ _Μ 发送给 TNC客户端， 其中 Cer^/^^^ 是访问请求者的 AIK证书；

步骤 204、 TNC客户端上端的完整性收集者依据 Panw^获取^r ^?所标 识信息的平台组件度量值， 它们是利用 IF-IM接口封装的， 可包括步骤 203中 发送的 PC¾^ ^a ¾r ^所标识信息的 SML值 ？， Slfi^是¾r ¾?所标识 信息的平台组件度量值中可泄露访问请求者的 平台配置的信息， 然后向 TNC 客户端发送 IF-IM封装的 ^r ^所标识信息的平台组件度量值；

步骤 205、 TNC客户端向 TNC接入点发送步骤 203中发送的信息， 步骤 204 中发送的信息， ProtPoliciesAR, NAR, Parms _AC 和 EvaWolicies _AC , 其中 N4?是 TNC 客户端产生的一个 160比特随机数， ¾/m¾ _c 是对访问控制器的平台组件请求 度量参数， 它标识访问控制器中的哪些平台组件以及哪些 完整性信息需要度 量， EvaWolicies _AC 为访问请求者对¾^77 ^斤标识信息的平台组件评估策略， 步骤 204中发送的信息、 ProtPoliciesAR和 EvalPolicies _AC ;要矛用访问请求者和 策略管理器之间的安全密钥进行加密保护。

步骤 3、 TNC接入点收到步骤 205中的信息后， 执行如下步骤：

步骤 301、 TNC接入点计算 SHA1 (N _AC , K _M ), 并验证 若验证不 通过， 则丟弃步骤 205中的信息， 否则判断 ¾m¾ _c 是否符合访问控制器对 ¾r _c 所标识信息的平台配置保护策略 Prai¾/zce _c ， 若不符合， 则丟弃步 骤 205的信息， 否则执行步骤 302 ~步骤 305；

步骤 302、利用杂凑函数 SHA1计算 SHA1 (NAR, KAB ), 然后将 SHAl (NAR, K _M ) ¾r _c 发送给 TNC接入点上端的完整性收集者；

步骤 303、 TNC接入点上端的完整性收集者依据 SHAl ( NAR, KM ) 和 执行 TPM— G¾ote命令从本地 TPM获取 标识信息的 PCR值 PCR^^AIK签名 σϋ值， 其中 σϋ是本地 ΤΡΜ利用 ^¾^c对 SHAl NAR, K _M ) 和 的 AIK签名， AIK _sk — _AC i方问控制器的 AIK私钥， 然后将

Cert(H _{p C} ^(¾^c发送给 TNC接入点， 其中 C _e rtAIK _pk — _A d访问控制器的 AIK证书；

步骤 304、 TNC接入点上端的完整性收集者依据 Pa _c 获取¾r _c 所标 识信息的平台组件度量值， 它们是利用 IF-IM接口封装的， 可包括步骤 303中 发送的尸 C ^ ¾ _c 所标识信息的 SML值 SVf/^c, SMT^c是¾r _c 所标识 信息的平台组件度量值中可泄露访问控制器的 平台配置的信息， 然后向 TNC 接入点发送 IF-IM封装的 所标识信息的平台组件度量值；

步骤 305、 TNC接入点向评估策略服务者发送 Nn, CertiAIKpk.AR), 步骤 204 )中发送的信息， ParmsAR， EvalPoliciesAR， ProtPoliciesAR， NAR， CertAIK _p k-Ac)， 步骤 304中发送的信息， Pa丽 _AC , EvalPolicies _AC 和 ProtPolicies _AC ,其中步骤 204 中发送的信息、 ProtPoliciesAR和 EvaWolicies _AC 骤 205中对应的加密值， N4 PM是 TNC接入点产生的一个随机数， EvalPoliciesAR是访问控制器对 ¾rm ^所标识信息的平台组件评估策略， Cert(AJK _≠ — _AC )是访问控制器的一个 AIK证书， ParmsAR、 Parms _AC 、 步骤 304中发送的信息、 ProtPolicies _AC 和 EvalPoliciesAj^要利用访问控制器和策略管理器之 间的安全密钥进行加密保 护。

步骤 4、 评估策略服务者收到步骤 305中的信息后， 执行如下步骤： 步骤 401、验证 Cert(AK^^和 Ceri(^Kpn)的有效性， 并生成相应的 AIK 证书验证结果 Re^?和 R _c ;

步骤 402、 验证 EvalPoliciesAR是否符合 ProtPoliciesAR , 对于符合 ProtPoliciesAR的那部分平台组件， 则将步骤 305中的步骤 204中发送的信息、 符合 的那部分平台组件的 ¾ ¾^^Era/¾/ce¾?发送给评估策 略服务者上端的完整性校验者， 评估策略服务者上端的完整性校验者依据所 接收到的 ¾r ¾?和 ra/ o/ce^校验及评估步骤 305中的步骤 204中发送的 信息， 并生成访问请求者的平台组件评估结果 Re ^和访问请求者的平台组件 修补信息 R ¾«, 然后发送给评估策略服务者；对于不符合 的那 部分平台组件， 则直接生成访问请求者的平台组件评估结果 Re¾?, 并在 中给出相应的不符合指示， 而访问请求者的平台组件修补信息 Rern^直接置 空。 同理， iEvalPolicies _AC 否将合 ProtPolicws _AC , 对于符合 ProiPo/ e _c 的那部分平台组件， 则将步骤 305中的步骤 304中发送的信息、 符合 ProtPolwiesAc的那部分平台组件的 ¾r c和 ra/Po/zcze^c发送给评估策略服 务者上端的完整性校验者， 评估策略服务者上端的完整性校验者依据所接 收 到的 Pa丽 _A( ^EvalPoli.cies _AC a估步骤 305中的步骤 304中发送的信息， 并生成访问控制器的平台组件评估结果 We _c 和访问控制器的平台组件修补 信息 Rew _c ， 然后发送给评估策略服务者； 对于不符合 ProPo/ce^c的那部 分平台组件， 则直接生成访问控制器的平台组件评估结果 Re _c , 并在 Re _c 中给出相应的不符合指示， 而访问控制器的平台组件修补信息 We _c 直接置 步骤 403、 评估策略服务者上端的完整性校检者向评估策 略服务者发送 PC M和 PCR _AC

步驟 404、 评策略服务者向 TNC接入点发送 R^, Re Ac, σ _ΡΜ — _ΑΙΚ , Res^, RemsAR, Res Ac, Rems _AC 和 σ _ΡΜ - _Ρα{ , 其中 σ/¾ ^ 是策略管理器利用它的用户私 sk _PM N _AC - _PM , CertiAIKpk.AR), Re^, N , Cer(H _p n)和 Re. 的用户签名， σ _ΡΜ — p _C 是策略管理器利用它的用户私钥 _PM 对 Nn _A/ , PCRAR, ParmsAR, EvalPoliciesAR , ProtPoliciesAR， Res^， RemsAR， NAR， PCRAC， P rms _AC ， EvalPolicies _AC , ProtPolicies _AC , Re _c ?ew c的用户签名， Rew<¾?需要利用 访问请求者和策略管理器之间的安全密钥进行 加密保护， W£m¾ _c 需要利用访 问控制器和策略管理器之间的安全密钥进行加 密保护， EvalPol esAR、 ProtPolicies _M 、 EvalPolicies _AC ProtPolicies _A d 3Q5中的对应值， Parms _M ¾TO _c 分别是步骤 1和步骤 205中的对应值。

步骤 5、 TNC接入点收到步骤 404中的信息后， 首先验证 O _PM -PCR , 若验证不通过， 则丢弃步骤 404中的信息， 否则若已完成对访问请求者的平台 鉴别， 则根据 和 R _E¾I? 做出访问决策（即允许、 禁止或隔离）， 否则本轮平 台鉴别协议结束后将与 TNC客户端执行另一轮平台鉴别协议， 然后向端点 A 发送 N C-PM， EvalPoliciesAR , Cert(AIK _PK . _AC ) , PCRAC , ProtPolicies _AC , AIK-B ' 步骤 4中的信息和 c o/¾ _c , 其中 ^0? 是¾^^^所标识信息的平台组件度量 值中不会泄露访问控制器的平台配置的信息， EvalPoliciesAR和 ProtPolicies _AC 是步骤 305中的对应值， ^0«^是丁 (接入点所做出的访问决策，它仅当 TNC 接入点已完成对访问请求者的平台鉴别时存在 。 此外， 若 ^^^为非空， 则 TNC接入点需要向它上端的完整性收集者通告¾ _c 。

步骤 6、 TNC客户端收到步骤 5中的信息后， 首先计算 SHA1 ( NAR , K ), 并验证 若验证不通过， 则丢弃步骤 5中的信息， 否则验证<¾^/^和 σρΜ—PCR , 若险证不通过， 则丟弃步骤 5中的信息， 否则若已完成对访问控制器 的平台鉴别， 则根据¾4 _C 和 Re _c 做出访问决策（即允许、 禁止或隔离）， 并向 TNC接入点发迭 N _AC 和 ActioriAR , 其中 ci o^^是 TNC客户端所做出的访问决 策， 它仅当 TNC客户端已完成对访问控制器的平台鉴别时存 在， 否则本轮平 台鉴别协议结束后将与 TNC接入点执行另一轮平台鉴别协议。此外，若 RemsAR 为非空， 则 TNC客户端需要向它上端的完整性收集者通告 Re ^; 若步骤 5中 的信息中包含 Actwn _AC , 则 TNC客户端需要向它上端的完整性收集者通告 Actio iAc：。

步骤 7、 TNC接入点收到步骤 6中的信息后， 向它上端的完整性收集者通 告 ActioriAR。

在上述可实现平台配置保护的双向平台鉴别方 法中， TNC客户端和 TNC接 入点之间的平台鉴别协议消息是利用^ 进行安全传输的。

在上述可实现平台配置保护的双向平台鉴别方 法中，若 R ¾ ?指示 TNC客 户端上端的完整性收集者需要进行平台修补， 则 TNC客户端上端的完整性收 集者完成平台修补后将通知 TNC客户端与 TNC接入点执行另外一轮平台鉴别 协议； 若 R£m¾ _c 指示 TNC接入点上端的完整性收集者需要进行平台修 补， 则 TNC接入点上端的完整性收集者完成平台修补后 将通知 TNC接入点与 TNC客 户端执行另外一轮平台鉴别协议。

在上述可实现平台配置保护的双向平台鉴别方 法中， 若 Re¾ ?指示访问请 求者的平台组件评估策略与访问请求者的平台 配置保护策略相冲突， 则 TNC 接入点修正相应的平台组件评估策略后将与 TNC客户端执行另外一轮平台鉴 别协议； 若 Re _c 指示访问控制器的平台组件评估策略与访 问控制器的平台配 置保护策略相冲突， 则 TNC客户端修正相应的平台组件评估策略后将与 TNC 接入点执行另外一轮平台鉴别协议。

不管是以何种方式来实现本发明所述的这种双 向平台鉴别方法， 在上述 两种实施方法中， 若平台鉴别协议不是首轮平台鉴别协议， 则平台鉴别协议 中不包含 AIK证书验证的相关信息。 在上述两种实施方法中， 通过选用一个 方向的平台鉴别协议参数就能实现可实现平台 配置保护的单向平台鉴别。

本发明在提供可实现平台配置保护的双向平台 鉴别方法的同时， 还提供 了一种可实现平台配置保护的双向平台鉴别系 统， 该系统包括网络中的可信 中心 TC、 端点 A以及端点 B ; 所述端点 A和端点 B都信任可信中心 TC;

所述端点 A包括： 用于生成对端点 B的平台组件请求度量参数以及生成对 端点 B的平台组件请求度量参数所标识信息的平台� �件评估策略的生成单元； 用于验证对端点 A的平台组件请求度量参数是否符合端点 A所设置的对端点 A 的平台组件请求度量参数所标识信息的平台配 置保护策略、验证对端点 B的平 台组件请求度量参数所标识信息的平台组件度 量值中的平台签名以及验证可 信中心 TC的用户签名的验证单元； 用于依据对端点 A的平台组件请求度量参 数去获取对端点 A的平台组件请求度量参数所标识信息的平台� �件度量值的 获取单元以及用于依据端点 B的平台身份证书的验证结果和端点 B的平台组 件评估结果生成访问决策的生成单元；

所述端点 B包括： 用于向可信中心 TC发送端点 A的平台身份证书、对端点 A的平台组件请求度量参数所标识信息的平台� �件度量值、对端点 A的平台组 件请求度量参数、 对端点 A的平台组件请求度量参数所标识信息的平台� �件 评估策略、 对端点 A的平台组件请求度量参数所标识信息的平台� �置保护策 略、 端点 B的平台身份证书、 对端点 B的平台组件请求度量参数所标识信息的 平台组件度量值、 对端点 B的平台组件请求度量参数、 对端点 B的平台组件请 求度量参数所标识信息的平台组件评估策略和 对端点 B的平台组件请求度量 参数所标识信息的平台配置保护策略的发送单 元； 用于生成对端点 A的平台 组件请求度量参数以及生成对端点 A的平台组件请求度量参数所标识信息的 平台组件评估策略的生成单元； 用于验证对端点 A的平台组件请求度量参数 所标识信息的平台组件度量值中的平台签名、 验证对端点 B的平台组件请求度 量参数是否符合端点 B所设置的对端点 B的平台组件请求度量参数所标识信 息的平台配置保护策略以及验证可信中心 TC的用户签名的验证单元； 用于依 据对端点 B的平台组件请求度量参数去获取对端点 B的平台组件请求度量参 数所标识信息的平台组件度量值的获取单元， 以及用于依据端点 A的平台身 份证书的险证结果和端点 A的平台组件评估结果生成访问决策的生成单� �； 所述可信中心 TC包括： 用于处理从端点 B收到的端点 A的平台身份证书、 对端点 A的平台组件请求度量参数所标识信息的平台� �件度量值、对端点 A的 平台组件请求度量参数、 对端点 A的平台组件请求度量参数所标识信息的平 台组件评估策略、 对端点 A的平台组件请求度量参数所标识信息的平台� �置 保护策略、 端点 B的平台身份证书、 对端点 B的平台组件请求度量参数所标识 信息的平台组件度量值、 对端点 B的平台组件请求度量参数、 对端点 B的平台 组件请求度量参数所标识信息的平台组件评估 策略和对端点 B的平台组件请 求度量参数所标识信息的平台配置保护策略， 其中对端点 A的平台组件请求 度量参数、 对端点 B的平台组件请求度量参数、 对端点 B的平台组件请求度量 参数所标识信息的平台组件度量值中可泄露端 点 B的平台配置的信息、对端点 B的平台组件请求度量参数所标识信息的平台� �置保护策略和对端点 A的平 台组件请求度量参数所标识信息的平台组件评 估策略需要利用端点 B和可信 中心 TC之间的安全密钥进行加密保护的处理单元； 用于生成端点 A的平台身 份证书的验证结果、端点 A的平台组件评估结果、端点 A的平台组件修补信息、 端点 B的平台身份证书的验证结果、 端点 B的平台组件评估结果、 端点 B的平 台组件修补信息以及可信中心 TC对这些信息的用户签名的生成单元；

所述端点 A和端点 B通过平台鉴别协议互相连通； 所述端点 B和可信中心 TC通过平台鉴别协议互相连通。

最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对其 限制； 尽管参照前述实施例对本发明进行了详细的说 明， 本领域的普通技术 人员应当理解： 其依然可以对前述各实施例所记载的技术方案 进行修改， 或 者对其中部分技术特征进行等同替换； 而这些修改或者替换， 并不使相应技 术方案的本质脱离本发明各实施例技术方案的 精神和范围。