您好,欢迎访问山东渔翁信息技术股份有限公司官方网站
渔翁信息

专注密码硬件研发生产定制

咨询热线: 400-6686-188

产品中心

热门产品

联系我们

咨询热线:400-6686-188

市场合作:孙经理:13806311977

售后服务:房经理:0631-5651692

邮箱:support@fisherman-it.com

地址:济南市高新区齐鲁软件园F座

新闻中心 您的位置:首页 > 新闻中心 >

可信网络工作原理

文章出处:渔翁信息作者:渔翁信息人气:发表时间:2018-08-30 14:21

使用可信计算平台构建可信网络工作原理,包括可信传输、身份认证、可信网络连接。

1.可信传输

TCG定义了被保护的报文交换方式,即绑定、签名、封印绑定与封印签名。可信传输方法步骤如下。

①绑定:可信传输的第一步就是绑定,包括对可信根计算内容进行加密。

签名:可信传输的第二步就是签名,使加密可信根计算内容成为证书的必然步骤。

封印绑定:封印绑定是对证书内容加密。

④封印签名:封印签名对封印绑定内容进行签名。

2.可信证书签名认证

身份认证要尽可能少暴露自己的身份信息这与身份认证的要求公开认证刚好矛盾,需要通过可信云计算认证解决)。

TCG的体系里,隐私即是EK,不可用它完成身份认证。因此,TCG体系中,身份认证通常用AK作EK的另一个名字

A.AIK证书生成步骤

该方法类似传统的解决方案,先要生成一个AK证书。

·AIK证书内容制作:所有者用公钥密码技术模块生成一对AK密钥,将公钥与签注证书、验证证书和平台证书打包,从而完成AK证书内容制作

·AIK证书内容发送:发送一个AIK证书内容的签署请求给Privacy-CA

·AIK证书内容验证:可信第三方由验证证书的有效性核验AIK证书内容签署请求的有效性。

·AIK证书内容签名:可信第三方拿自己的签名密钥给AIK证书内容实施签名。

·AIK证书返回:把签名后的AIK证书返回给TPM。

B.AIK证书使用步骤

AIK与AIK证书证明身份步骤如下

·平台1所有者传送请求给平台2

·平台2送证明的请求给平台1,并表明要哪些PCR值

·对需要的PCR值AIK签名

·向平台2的校验者发签名之后的PCR值

·PrivacyCA共同辨认平台1的身份,评估其可信程度。

·评估平台1的环境配置状态。

其中,以上PCR值就是完整性度量值

经过上述步骤,就可完成通信时的身份认证评估了环境配置,通信双方的状态清楚了,因此抵抗恶意软件的能力加强了

因理论上一个用户可有无限多个AIK,用户在通信时,仅可信第三方清楚用户的身份,通信对象不知道,隐私的暴露就降低了。

3.可信网络连接(TNC)

可信网络连接指的是基于可信计算技术的网络连接规范

TNC的架构的实体有请求访问者、策略执行者和策略定义者3类这些逻辑实体,可随意分布TNC体系架构纵向也有3个层次。

·网络访问层:该层用来支持传统的网络连接技术,在该层里有3个实体。

·完整性评估层:评估一切请求访问网络实体的完整性该层到上一层有两个重要的接口,即IFMC和IFMV

·完整性度量层:收集与检验请求访问者的完整性有关信息的组件。

网络连接前,TNC客户端得把所需的完整性信息备好给收集者在一个有TPM的终端里,即把网络策略需要的信息通过散列后存进PCRsTPM服务端得先规定完整性的要求,然后给完整性验证者。

  1. 一键分享到

相关文章推荐

返回顶部