一种轻量级身份认证及平台鉴别评估方法技术

本发明专利技术公开了一种轻量级身份认证及平台鉴别评估方法，包括如下步骤：步骤1，当AR首次接入网络时，由PM验证访问请求者AR和访问控制器AC的平台身份证书和私钥签名，如果验证通过，进入步骤2，否则重新进行验证；步骤2，进行首次平台可信鉴别评估，如果评估成功，访问请求者AR保存访问控制器AC的平台配置信息的哈希值MAC，控制器AC保存访问请求者AR的平台配置信息的哈希值MAR，执行步骤3，否则判定平台不可信；步骤3，当访问请求者AR再次需要接入网络时，实施轻量级身份认证方法，如果认证成功，执行步骤4，否则不接入网络；步骤4，实施轻量级平台可信鉴别评估方法进行平台可信鉴别评估。

【技术实现步骤摘要】
一种轻量级身份认证及平台鉴别评估方法
本专利技术涉及一种轻量级身份认证及平台鉴别评估方法。
技术介绍
当移动终端通过移动通信网络进行网络接入时，空中拦截与窃听可能会对传输的敏感信息产生严重的威胁，同时非法用户可以在能够接收到无线移动信号的任何地方假冒合法的内部终端，发起网络攻击，造成安全威胁。为了保障终端接入网络时的安全，可信连接架构TCA(TrustedNetworkConnectionArchitecture)制定了身份认证协议和平台鉴别评估协议，保证接入网络的终端发送的信息是可信的，且不存在被攻击的终端提供虚假信息的可能。然而TCA协议通信频繁，计算量大，需要通过多轮次计算、数据交互和验证才能完成，对网络质量和终端平台计算能力要求较高，对移动终端和无线通信网络来说，实现难度较大。
技术实现思路
针对现有技术的不足，本专利技术提供了一种轻量级身份认证及平台鉴别评估方法，包括如下步骤：步骤1，当访问请求者AR首次接入网络时，访问请求者AR和访问控制器AC之间的身份认证协议采用WAPI(WLANAuthenticationandPrivacyInfrastructure)三元认证鉴别协议，由策略管理器PM验证访问请求者AR和访问控制器AC的平台身份证书和私钥签名，确认平台身份，并返回验证结果，如果验证通过，进入步骤2，否则重新进行验证；步骤2，进行首次平台可信鉴别评估，如果评估成功，访问请求者AR保存访问控制器AC的平台配置信息的哈希值MAC，控制器AC保存访问请求者AR的平台配置信息的哈希值MAR，执行步骤3，否则判定平台不可信；步骤3，当访问请求者AR再次需要接入网络时，实施轻量级身份认证方法，如果认证成功，执行步骤4，否则不接入网络；步骤4，实施轻量级平台可信鉴别评估方法进行平台可信鉴别评估。步骤1中，在首次身份认证成功之后，访问请求者AR保存访问控制器AC的平台身份密钥PIK证书CertAC，访问控制器AC保存访问请求者AR的平台身份密钥PIK证书CertAR。步骤1中，在首次身份认证完成后，更新访问请求者AR和访问控制器AC双方的身份认证密钥KRC，在规定的认证密钥有效期(比如10分钟)或者交换一定数量的数据(比如100M的数据)之后，访问请求者AR和访问控制器AC之间能够重新进行认证密钥的协商。步骤2中，采用如下公式计算MAC和MAR：MAC＝Hash(VAC||LogAC||CertAC)，MAR＝Hash(VAR||LogAR||CertAR)，其中，VAC表示访问控制器AC经认证方平台PIK私钥签名的平台配置PCR(平台配置寄存器，PlatformConfigurationRegister，PCR)值，VAR表示访问请求者AR经认证方平台PIK私钥签名的平台配置PCR值，LogAC表示访问控制器AC提取的平台完整性度量日志，LogAR表示访问请求者AR提取的平台完整性度量日志，步骤3中，所述轻量级身份认证方法以步骤1中WAPI三元认证鉴别协议生成的身份认证密钥KRC作为共享秘密，访问请求者AR的身份认证密钥保存在可信密码模块TPM的密钥保护区，访问控制器AC的身份认证密钥保存在具有保护措施的密钥数据库内。步骤3包括如下步骤：步骤3-1，当访问请求者AR再次需要接入网络时，访问控制器AC生成认证挑战随机数R1，时间戳TS，并发送至访问请求者AR作为身份认证请求；步骤3-2，访问请求者AR验证TS是否大于TSTAST，TSTAST为上一次认证时间戳，如果是，访问请求者AR利用可信密码模块TPM生成应答随机数R2，并计算身份认证值V1，同时更新TSTAST＝TS，参数V1计算公式如下：V1＝Hash(R1||KRC||CertAR)，(1)其中，Hash(X)表示基于共享秘密KRC对消息X进行单向哈希运算；如果TS小于或等于TSTAST，返回步骤1；步骤3-3，访问请求者AR向访问控制器AC发送身份认证值V1和应答随机数R2；步骤3-4，访问控制器AC根据公式(1)验证计算V1，由于身份认证密钥KRC是访问请求者AR和访问控制器AC之间的共享秘密，因此只有合法的访问请求者AR和访问控制器AC能够根据公式(1)计算出V1，如果验证失败，认证过程结束，访问控制器AC拒绝访问请求者AR接入网络，否则，访问控制器AC根据如下公式计算身份认证值V2：V2＝Hash(R2||KRC||CertAC)，(2)访问控制器AC向访问请求者AR发送身份认证值V2；步骤3-5，访问请求者AR验证V2的值，如果验证失败，则访问请求者AR判定访问控制器AC的算法不可信，选择不接入网络；否则，身份认证成功，执行步骤4。步骤4包括如下步骤：步骤4-1，访问控制器AC向访问请求者AR发送平台鉴别请求，启动平台鉴别过程，请求信息包括时间戳TS1、挑战随机数N1、R1以及对访问请求者AR的组件度量请求参数列表PramsAR，其中时间戳TS1由访问控制器AC的可信密码模块TPM生成，PramsAR由访问控制器AC根据自己的平台鉴别策略生成；步骤4-2，访问请求者AR收到平台鉴别请求后，检查时间戳TS1以防范重放攻击，并利用可信密码模块TPM生成挑战随机数N2和R2，根据参数列表PramsAR，通知自己完整性度量层的完整性度量收集者IMC(IntegrityMeasurementCollector，TMC)收集相应的平台状态信息，获得相关的PCR值PCRAR，并用自己的平台身份PIK密钥对PCRAR签名，得到VAR，采用如下公式计算哈希值MAR：MAR＝Hash(VAR||LogAR||CertAR)，访问请求者AR使用KRC加密MAR并发送至访问控制器AC；步骤4-3，访问控制器AC解密MAR，并将其与步骤2首次鉴别得到的MAR进行比较，如果两者一致，表示访问请求者AR的平台状态是完整的，否则判定访问请求者AR的平台状态遭到了破坏。TCA存在三个实体：访问请求者AR(AccessRequestor)、访问控制器AC(AccessController)和策略管理器PM(PolicyManager)，从上至下分为三个抽象层：完整性度量层、可信平台评估层和网络访问控制层。访问请求者AR和访问控制器AC都具有可信密码模块TPM(TrustedPlatformModule)，为计算平台提供可信密码支撑、平台完整性以及平台身份可信验证功能。访问请求者AR请求接入受保护网络，访问控制器AC控制访问请求者AR对受保护网络的访问。策略管理器PM对访问请求者AR和访问控制器AC进行集中管理。访问请求者AR和访问控制器AC基于策略管理器PM来实现访问请求者AR和访问控制器AC之间的双向身份认证和平台鉴别评估，策略管理器PM在身份认证和平台鉴别评估过程中充当可信第三方，为访问请求者AR和访问控制器AC发放平台身份密钥PIK(PlatformIdentityKey)证书，并对证书进行管理。有益效果：本专利技术方法能够增强移动终端可信网络接入认证与评估协议的可用性，降低网络通信负载及终端计算负载。本专利技术方法在不需要可信第三方参与的情况下，完成快速的身份认证和鉴别评估，减少了网络数据交换次数以及接入双方的计算工作量，在保证接入认证与评估所需的安全属性的同时，本文档来自技高网...

【技术保护点】
1.一种轻量级身份认证及平台鉴别评估方法，其特征在于，包括如下步骤：步骤1，当访问请求者AR首次接入网络时，访问请求者AR和访问控制器AC之间的身份认证协议采用WAPI三元认证鉴别协议，由策略管理器PM验证访问请求者AR和访问控制器AC的平台身份证书和私钥签名，确认平台身份，并返回验证结果，如果验证通过，进入步骤2，否则重新进行验证；步骤2，进行首次平台可信鉴别评估，如果评估成功，访问请求者AR保存访问控制器AC的平台配置信息的哈希值MAC，控制器AC保存访问请求者AR的平台配置信息的哈希值MAR，执行步骤3，否则判定平台不可信；步骤3，当访问请求者AR再次需要接入网络时，实施轻量级身份认证方法，如果认证成功，执行步骤4，否则不接入网络；步骤4，实施轻量级平台可信鉴别评估方法进行平台可信鉴别评估。

【技术特征摘要】
1.一种轻量级身份认证及平台鉴别评估方法，其特征在于，包括如下步骤：步骤1，当访问请求者AR首次接入网络时，访问请求者AR和访问控制器AC之间的身份认证协议采用WAPI三元认证鉴别协议，由策略管理器PM验证访问请求者AR和访问控制器AC的平台身份证书和私钥签名，确认平台身份，并返回验证结果，如果验证通过，进入步骤2，否则重新进行验证；步骤2，进行首次平台可信鉴别评估，如果评估成功，访问请求者AR保存访问控制器AC的平台配置信息的哈希值MAC，控制器AC保存访问请求者AR的平台配置信息的哈希值MAR，执行步骤3，否则判定平台不可信；步骤3，当访问请求者AR再次需要接入网络时，实施轻量级身份认证方法，如果认证成功，执行步骤4，否则不接入网络；步骤4，实施轻量级平台可信鉴别评估方法进行平台可信鉴别评估。2.根据权利要求1所述的方法，其特征在于，步骤1中，在首次身份认证成功之后，访问请求者AR保存访问控制器AC的平台身份密钥PIK证书CertAC，访问控制器AC保存访问请求者AR的平台身份密钥PIK证书CertAR。3.根据权利要求2所述的方法，其特征在于，步骤1中，在首次身份认证完成后，更新访问请求者AR和访问控制器AC双方的身份认证密钥KRC，在规定的认证密钥有效期或者交换一定数量的数据之后，访问请求者AR和访问控制器AC之间能够重新进行认证密钥的协商。4.根据权利要求3所述的方法，其特征在于，步骤2中，采用如下公式计算MAC和MAR：MAC＝Hash(VAC||LogAC||CertAC)，MAR＝Hash(VAR||LogAR||CertAR)，其中，VAC表示访问控制器AC经认证方平台PIK私钥签名的平台配置PCR值，VAR表示访问请求者AR经认证方平台PIK私钥签名的平台配置PCR值，LogAC表示访问控制器AC提取的平台完整性度量日志，LogAR表示访问请求者AR提取的平台完整性度量日志。5.根据权利要求4所述的方法，其特征在于，步骤3中，所述轻量级身份认证方法以步骤1中WAPI三元认证鉴别协议生成的身份认证密钥KRC作为共享秘密，访问请求者AR的身份认证密钥保存在可信密码模块TPM的密钥保护区，访问控制器AC的身份认证密钥保存在具有保护措施的密钥数据库内。6.根据权利要求5所述的方法，其特征在于，步骤3包括如下步骤：步骤3-1，当访问请求者AR再次需要接入网络时，访问控制器AC生成认证挑战随机数R1，时间戳TS，并发送至访问...

【专利技术属性】
技术研发人员：王祖贤，华加美，
申请(专利权)人：句容沣润塑料制品有限公司，
类型：发明
国别省市：江苏,32