(19)中华人民共和国国家知识产权局*CN103023911A*(12)发明专利申请(10)申请公布号CN103023911A(43)申请公布日2013.04.03(21)申请号201210573116.5(22)申请日2012.12.25(71)申请人北京工业大学地址100124北京市朝阳区平乐园100号(72)发明人赖英旭邹起辰潘秋月徐壮壮秦华李健刘静(74)专利代理机构北京思海天达知识产权代理有限公司11203代理人刘萍(51)Int.Cl.H04L29/06(2006.01)权利要求书权利要求书1页1页说明书说明书55页页附图附图11页(54)发明名称可信网络设备接入可信网络认证方法(57)摘要可信网络设备接入可信网络认证方法属于计算机安全领域。它利用可信模块提供平台启动的特征值连同其他信息一起在认证服务器端进行平台认证，然后把身份信息与平台信息绑定再进行一轮身份认证确保平台与身份的可信。首先，可信设备接入可信网络时在端口启用过滤器只允许本方法认证的帧通过，可信设备有对认证帧的寻址机制。然后，对平台进行认证，完毕后再通过绑定身份和平台做第二次认证。最后，通过两阶段认证保证网络设备平台与身份认证，从而达到网络设备可信接入网络。现有协议往往分别针对平台认证和身份认证，容易出现中间人攻击从而使不可信的用户在可信平台或可信用户在不可信平台的情况接入网络，本发明解决该问题。CN10329ACN103023911A权利要求书1/1页1.可信网络设备接入可信网络认证方法，其特征在于包括以下步骤：首先可信设备接入可信网络时在端口启用过滤器只允许本方法认证过得帧通过，每个网络设备添加一个服务器认证端口信息表，记录该设备与服务器第一次认证交互的端口信息，新接入网络设备与服务器之间的网络设备对于认证协议帧只进行传输，构造虚拟点到点环境；然后新接入网络设备向服务器进行平台身份认证请求，在服务器进行回应后，新接入网络设备与新接入网络设备的设备可信模块交互信息得到所需反映平台启动过程的特征值和对应的度量日志，将平台启动过程的特征值、对应的度量日志与平台的身份证明密钥证书作为认证信息发送给认证服务器进行平台认证，在服务器端对证书进行审核然后把启动过程的特征值与经过哈希运算的度量日志信息比对正确后，认证成功，服务器颁发可信平台身份证书；最后再通过绑定身份和平台做第二次认证：新接入网络设备向服务器进行绑定平台的用户身份认证请求，服务器做出回应后，新接入网络设备将可信平台身份证书和用户身份信息作为认证信息与服务器交互，在服务器端把可信平台身份证书和用户身份信息与服务器中记录的证书信息和已注册用户信息比较，保证以上信息正确后，认证成功，服务器颁发可信设备身份证书，其证书带有设备接入网络进行通信的会话密钥。2CN103023911A说明书1/5页可信网络设备接入可信网络认证方法技术领域：[0001]本发明主要致力于可信设备接入可信网络的认证，属于信息安全领域。背景技术：[0002]随着计算机网络技术的飞速发展和深度应用，计算机越来越多地应用到社会政治、经济、教育和军事等领域中，同时21世纪是信息的时代.信息成为一种重要的战略资源,信息的获取、处理和安全保障能力成为一个国家综合国力的重要组成部分.信息安全事关国家安全、事关社会稳定.因此,必须采取措施确保信息安全.但是，当前的网络体系已经暴露出严重的不足，网络正面临着严峻的安全和服务质量保证等重大挑战。病毒、黑客以及各种各样漏洞的存在,使得安全任务在网络时代变得无比艰巨。计算机系统受病毒感染和破坏的情况相当严重；电脑黑客活动已形成重要威胁；信息基础设施面临网络安全的挑战；网络政治颠覆活动频繁等，这些网络安全日益突出的问题表明保障网络的可信成为网络进一步发展的迫切需求。[0003]目前，国际上对可信网络的接入认证的探索才刚刚开始，对可信网络的基本概念和相关的科学问题还处于研究的初级阶段。[0004]国内外现有的网络认证方法主要有AAA、RADIUS、802.1x等方法。但是这些方法已经研究了很多年，技术已经基本成熟，但是当前需要一种可以应用于可信网络设备接入可信网络的认证协议，把平台信息与身份信息绑定后进行认证，协议本身需要考虑到网络设备本身带有可信模块，因而能够保证整个认证协议更加可信。所以需要一种新的适用于可信网络设备的认证协议技术。以上提到的几种认证协议虽然已经比较成熟，但是没有考虑到网络设备的可信模块，在可信设备接入可信网络的过程中认证过程是最为重要的一部分，目前协议套用现有终端TPM的远程身份证明协议或者用户的身份认证协议是难以满足可信设备接入网络的要求的，设备的可信接入比终端的可信接入需要提供不同的信息和更高的安全性。为了改善满足这方面的要求，为了使可信设备接入网络有适用于其自身的认证机制拥有更高的安