三要素ピア認証に基づいた信頼されたネットワーク接続システム
三要素ピア認証に基づいた信頼されたネットワーク接続システムが提供される。本システムでは、アクセス・リクエスターのネットワーク・アクセス・リクエスターはデータ伝送方式でTNCクライアントに接続する。TNCクライアントは完全性測定資料の収集インターフェースによって完全性コレクターに接続する。アクセス・コントローラのネットワーク・アクセス・コントローラはデータ伝送方式でTNCサーバーに接続する。TNCサーバーは完全性測定資料の収集インターフェースによって完全性コレクターに接続する。ポリシー管理者のユーザー認証サービス・ユニットは、データ伝送方式でプラットフォーム評価サービス・ユニットに接続する。プラットフォーム評価サービス・ユニットは完全性測定検証インターフェースによって完全性検証者に接続する。貧弱な拡張性、複雑なキー交渉プロセス、比較的低いセキュリティなどのような従来技術の技術的問題が解決される。ネットワーク・アクセス層および完全性評価層の両方は、三要素ピア認証を採用して、双方向ユーザー認証およびプラットフォーム完全性評価を実施する。よって、信頼されたネットワーク接続アーキテクチャ全体のセキュリティを改善することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本願は、2007年8月3日に中国専利局に出願された、「三要素ピア認証に基づいた信頼されたネットワーク接続システム」を名称とする中国特許出願番号200710018414.7への優先権を主張し、該出願の全体が本明細書に組み入れられている。
【0002】
本発明は、ネットワーク・セキュリティーの技術分野に関し、特に、三要素ピア認証に基づいた信頼されたネットワーク接続システムに関する。
【背景技術】
【0003】
情報化の発展で、ウィルスとワームのような悪意のあるソフトウェアの問題は非常に深刻になっている。現在、3万5000種類以上の悪意のあるソフトウェアが存在する。また、4000万以上のコンピューターが毎年感染する。そのような攻撃を抑制するために、防御は、安全な伝送およびデータ入力ためのチェックを行なう必要があるだけでなく、ソース(つまりネットワークに接続された各ターミナル)から行なわれるべきである。しかしながら、従来の安全防御技術は、多種類の悪意のある攻撃を防御することができない。
【0004】
これを考慮して、国際的な信頼されたコンピューティング・グループ(Trusted Computing Group、TCG)は、信頼されたコンピューティング技術―信頼されたネットワーク接続(Trusted Network Connect、TNC)に基づいたネットワーク接続仕様、略記ではTCG−TNC、を特別に明示した。TCG−TNCは開放ターミナル完全性アーキテクチャ、および安全な相互オペレーションを保証するための1セットの基準を含む。ユーザーが要求しカスタマイズしたとおりに、このセットの基準はある程度までネットワークを保護することができる。TCG−TNCの本質はターミナルの完全性から接続をセット・アップすることである。最初に、信頼されたネットワークの内部システムで作動する1セットのポリシーが作成される。ネットワークによってセットされたポリシーに準拠するターミナルだけがネットワークにアクセスすることができる。ネットワークは、ポリシーに準拠しないデバイスを見つけて分離する。信頼されたプラットフォーム・モジュール(TPM)の使用により、ルート・キットからの攻撃はさらに防ぐことができる。ルート・ビットは、攻撃スクリプト、修正されたシステムプログラム、あるいは攻撃スクリプトとツール全体の集合であり、ターゲットシステムの中でターゲットシステムの最も高いコントロール権限を不法に得るように構成される。
【0005】
図1に示しているように、従来のTCG−TNCアーキテクチャは、ネットワークの任意の位置に配置され得る3つのクラスの論理エンティティ:アクセス・リクエスター(Access Requestor、AR)、ポリシー実施点(Policy Enforcement Point、PEP、)およびポリシー決定点(Policy Decision Point、PDP)を含む。縦方向でのTCG−TNCアーキテクチャは3層:ネットワーク・アクセス層、完全性評価層、および完全性測定層に分割され得る。ネットワーク・アクセス層は、ネットワーク・アクセス・リクエスター(Network Access Requestor、NAR)、ポリシー実施者(Policy Enforcer、PE)、およびネットワーク・アクセス授権者( Network Access Authority、NAA)の3つのコンポーネント、並びに、ネットワーク許可伝送プロトコル・インターフェース(Network Authorization Transport Protocol Interface、IFT)およびポリシー実施点インターフェース(a Policy Enforcement Point Interface、IF−PEP)を含んでいる。ネットワーク・アクセス層は従来のネットワーク接続技術を支援するように構成される。完全性評価層は、ネットワークへのアクセスを求めるすべてのエンティティの完全性を評価する役割をする。完全性評価層には2つの重要なインターフェース:完全性測定コレクター・インターフェース( Integrity Measurement Collector interface、IF−IMC)および完全性測定検証インターフェース(Integrity Measurement Verifier interface、IF−IMV)がある。さらに、TNCクライアントとTNCサーバーとの間にTNCクライアントサーバ・インターフェース(IF−TNCCS)がある。
完全性測定層は、完全性測定コレクター(Integrity Measurement Collector、IMC)および完全性測定検証者(Integrity Measurement Verifier、IMV)の2つの構成部分を含んでおり、アクセス・リクエスターの完全性関連の情報を収集し確認する役割をする。
【0006】
従来のTCG−TNCアーキテクチャによる信頼されたネットワーク接続全体上の情報伝送の手続は、以下の通りである:ネットワーク接続がセット・アップされる前に、TNCクライアント(TNCC)は必要なプラットフォーム完全性情報を準備し、且つ、IMCに該必要なプラットフォーム完全性情報を提供する必要がある。信頼されたプラットフォーム・モジュールを含むターミナルでは、ネットワーク・ポリシーによって要求されるプラットフォーム情報はハッシュ(hash)され、それぞれのプラットフォーム・コンフィギュレーション・レジスタに格納される。TNCサーバー(TNCS)は、プラットフォーム完全性用検証必要条件をあらかじめ指定し、IMVに該検証必要条件を提供する必要がある。詳細な手順は以下のとおりである:
(1)NARは、ポリシー実施者へのアクセス・リクエストを始める。
【0007】
(2)ポリシー実施者はネットワーク・アクセス授権者にアクセス・リクエスト記述を送る。
【0008】
(3)ネットワーク・アクセス授権者およびNARはNARからアクセス・リクエスト記述を受け取り次第、ユーザー認証プロトコルを実施する。ユーザーが認証を通れば、ネットワーク・アクセス授権者はTNCSにアクセス・リクエストとユーザー認証成功情報とを送る。
【0009】
(4)TNCSとTNCCは、ネットワーク・アクセス授権者からアクセス・リクエストとユーザー認証成功情報とを受け取り次第、相互のプラットフォーム信任認証を行い、例えば、プラットフォームの認証識別キー(Attestation Identity Key、AIK)を検証する。
【0010】
(5)プラットフォーム信任認証が成功した場合、TNCCは、新しいネットワーク接続が開始されること、及び、完全性ハンドシェイク・プロトコルが行なわれるべきことを、IMCに通知する。IMCはIF−IMCインターフェース経由で必要なプラットフォーム完全性情報を返す。
TNCSはIF−IMVインターフェース経由でIMVにプラットフォーム完全性情報を送る。
【0011】
(6)完全性ハンドシェイク・プロトコルを行なう手順において、TNCSが満たされるまで、TNCCおよびTNCSは、1回以上のデータを交換する。
【0012】
(7)TNCSがTNCCへの完全性ハンドシェイク・プロトコルを完成すれば、TNCSはネットワーク・アクセス授権者に推奨レターを送って、アクセスをリクエストする。セキュリティの他の考慮では、ポリシー決定点は、まだアクセス・リクエスター(AR)のアクセスを許可することができない。
【0013】
(8)ネットワーク・アクセス授権者はポリシー実施者にアクセス決定を転送する。ポリシー実施者は、最終的にこの決定を実施してARのアクセスを制御する。
【0014】
現在、市場への成熟したTCG−TNC階層的製品はない。TCG−TNCアーキテクチャのいくつかの重要な技術は未だに研究と規格段階にあり、また以下の欠点を持っている:
1.悪い拡張性。ポリシー実施点とポリシー決定点の間で安全なチャネルがあらかじめ定義される。また、ポリシー決定点は多くのポリシー実施点を管理しうる。これは、多くの安全なチャネルを形成することをポリシー決定点に強いて、よって、管理の複雑さをきたす。したがって、拡張性は悪い。
【0015】
2.複雑なキー交渉手順。機密保持がネットワーク・アクセス層の上のデータに関して行なわれるべきであるので、アクセス・リクエスターとポリシー決定点との間で安全なチャネルをセット・アップする必要がある、つまり、セッションキー交渉はそれらの間で行なわれる。しかしながら、データ保護もアクセス・リクエスターとポリシー実施端との間で必要であり、第2のセッションキー交渉がアクセス・リクエスターとポリシー実施端との間で行なわれる。それはキー交渉手順を複雑にする。
【0016】
3.相対的に貧弱なセキュリティ。アクセス・リクエスターとポリシー決定点との間で交渉された基本キー(primary key)はポリシー決定点によってポリシー実施点に転送される。キーはネットワークによって転送される。それは新しいセキュリティ攻撃点を導入し、セキュリティを下げてしまう。さらに、同じ基本キーは2つのセッションキー交渉の中で使用される。それは、信頼されたネットワーク接続アーキテクチャ全体のセキュリティを下げてしまう。
【0017】
4.アクセス・リクエスターは、ポリシー決定点のAIK証明書(AIK Certificate)を確認することができない可能性がある。プラットフォーム信任認証(Platform Credential Authentication)の手順で、アクセス・リクエスターとポリシー決定点は、AIK秘密鍵(private key)および証明書を利用して相互のプラットフォーム信任認証を行なう。アクセス・リクエスターおよびポリシー決定点は両方ともAIK証明書を確認する必要がある。ポリシー決定点がアクセス・リクエスターのオンライン・サービス・プロバイダーである場合、アクセス・リクエスターは信頼されたネットワーク接続の前にネットワークにアクセスすることができない、つまり、ポリシー決定点のAIK証明書を検証することができない。それは危険につながる。
【0018】
5.プラットフォーム完全性評価はピア・ツー・ピアではない。TCG−TNCアーキテクチャでは、ポリシー決定点は、アクセス・リクエスターに関してプラットフォーム完全性の評価を行なう。しかし、アクセス・リクエスターは、ポリシー決定点に関してプラットフォーム完全性の評価を行なわない。ポリシー決定点のプラットフォームが信頼されない場合、アクセス・リクエスターがそのような信頼されていないデバイスに接続される場合、それは安全性が不十分である。しかしながら、ピア信頼はアドホックネットワークにおいて不可欠である。
【発明の概要】
【発明が解決しようとする課題】
【0019】
本発明は、三要素ピア認証に基づいた、信頼されたネットワーク接続システムを提供する。該システムは、従来技術の悪い拡張性、複雑なキー交渉手順および相対的に貧弱なセキュリティの技術的問題、アクセス・リクエスターがAIK証明書を検証できない問題、及び、プラットフォーム完全性評価がピア・ツー・ピアではない問題を解決することができる。
【課題を解決するための手段】
【0020】
本発明は以下の技術的解決方法を提供する。
【0021】
アクセス・リクエスター(AR)、アクセス・コントローラ(AC)およびポリシー管理者(PM)を含み、三要素ピア認証に基づいた信頼されたネットワーク接続システムが提供される。該システムにおいて、
前記ARがネットワーク・プロトコル・インターフェースによって前記ACと接続され、
前記ACがネットワーク・プロトコル・インターフェースによって前記PMと接続され、
前記ARが前記ACによって前記PMと接続され、
前記ARと前記ACとを接続するプロトコル・インターフェースと、
前記ACと前記PMとを接続するプロトコル・インターフェースと、
前記AR及び前記PM間に存在し、前記ARのプラットフォーム完全性に関連する情報を収集して検証する完全性測定インターフェース(IFM)と、を含み、
前記ARと前記ACとを接続する前記プロトコル・インターフェースが、
前記AR及び前記AC間の双方向ユーザー認証およびキー交渉を実施し、且つ、前記AR及び前記AC間の相互アクセス制御を実施するネットワーク許可伝送プロトコル・インターフェース(IF−T)と、
前記PMによる前記AR及び前記ACのAIK証明書の有効性検証、及び、前記PMによる前記AR及び前記ACのプラットフォーム完全性検証に基づいて、前記AR及び前記AC間のプラットフォーム完全性評価を実施するTNCクライアントサーバ・インターフェース(IF−TNCCS)と、を含み、
前記ACと前記PMとを接続する前記プロトコル・インターフェースが、
前記AR及び前記AC間の双方向ユーザー認証及びキー交渉を実施し、且つ、前記AR及び前記AC間の相互アクセス制御を実施するユーザー認証許可インターフェース(IF−UAA)と、
前記AR及び前記AC間のプラットフォーム完全性評価、前記PMによる前記AR及び前記ACのAIK証明書の妥当性検証、及び前記PMによる前記AR及び前記ACのプラットフォーム完全性検証を実施するプラットフォーム評価許可インターフェース(IF−PEA)と、
前記ACのプラットフォーム完全性に関連する情報を収集し検証する完全性測定インターフェース(IFM)と、を含む。
【0022】
好ましくは、前記ARが、ネットワーク・アクセス・リクエスター(NAR)、前記NARにデータ・ベアラ方式で接続されるTNCクライアント(TNCC)、及び、前記TNCCに完全性測定コレクター・インターフェース(IF−IMC)によって接続される、前記ARの完全性測定コレクター(IMC1)を含み、
前記ACが、ネットワーク・アクセス・コントローラ(NAC)、前記NACにデータ・ベアラ方式で接続されるTNCサーバー(TNCS)、及び、前記TNCSに完全性測定コレクター・インターフェース(IF−IMC)によって接続される前記ACの完全性測定コレクター(IMC2)を含み、
前記PMが、ユーザー認証サービス・ユニット(UASU)、前記UASUにデータ・ベアラ方式で接続されるプラットフォーム評価サービス・ユニット(PESU)、及び、前記PESUに完全性測定検証インターフェース(IF−IMV)によって接続される完全性測定検証者(IMV)を含み、
前記NARが、ネットワーク許可伝送プロトコル・インターフェース(IFT)によって前記NACと接続され、前記NACが、ユーザー認証許可インターフェース(IF−UAA)によって前記UASUと接続され、
前記TNCCが、TNCクライアントサーバ・インターフェース(IF−TNCCS)経由で前記TNCSと接続し、前記TNCSが、プラットフォーム評価認証インターフェース(IF−PEA)経由で前記PESUと接続し、
前記IMC1が、完全性測定インターフェース(IFM)によって前記IMVと接続され、前記IMC2が、完全性測定インターフェース(IFM)によって前記IMVと接続される。
【0023】
好ましくは、前記AR及び前記ACの各々が、信頼されたプラットフォーム・モジュールを含む論理エンティティである。
【0024】
好ましくは、前記IMC1が、前記TNCCによって前もって準備されたプラットフォーム完全性情報を収集する構成部分であり、
前記IMC2が、前記TNCSによって前もって準備されたプラットフォーム完全性情報を収集する構成部分であり、
前記IMVが、前記TNCC及び前記TNCSによってあらかじめ指定されたプラットフォーム完全性検証必要条件を受け取り、前記AR及び前記ACに関してプラットフォーム完全性検証を行なう構成部分である。
【発明の効果】
【0025】
本発明の上記の技術的解決方法から理解されるように、キー交渉はアクセス・リクエスターとアクセス・コントローラの間で行なわれ、セキュリティ・プロテクションは、第2のセッションキー交渉を必要とせずに、信頼されたネットワーク接続の後にプラットフォーム完全性評価手順のデータおよびサービス・データに関して行なうことができる。したがって、キー交渉手順は単純化される。また、信頼されたネットワーク接続のセキュリティが改善される。ネットワークを通して認証手順の中で生成された基本キーを送信する必要がないし、それによって、キーのセキュリティが保証される。
【0026】
さらに、三要素ピア認証方法、つまり、サードパーティに基づいた双方向認証方法は、完全性評価層で採用されて、アクセス・リクエスター及びアクセス・コントローラのAIK証明書およびプラットフォーム完全性の集中的な認証および検証を実施する。これはプラットフォーム完全性評価手順のセキュリティを向上させるだけでなく、信頼されたネットワーク接続アーキテクチャのキー管理および完全性検証機構を単純化することもできる。
【0027】
本発明は、ネットワーク・アクセス層で三要素ピア認証方法を採用して双方向ユーザー認証を実施するだけでなく、完全性評価層でも三要素ピア認証方法を採用して相互のプラットフォーム完全性評価を実施する。これにより、信頼されたネットワーク接続アーキテクチャ全体のセキュリティが改善される。
【0028】
実際の応用では、ポリシー管理者は多くのアクセス・コントローラを管理する必要がある。本発明の実施の形態は、アクセス・コントローラとポリシー管理者との間の強いセキュリティ要件を削除することができ、これによって、信頼されたネットワーク接続の拡張性を向上させることができる。
【図面の簡単な説明】
【0029】
【図1】従来の基本的なTCG−TNCアーキテクチャの概要図である。
【図2】本発明による基本的なTNCアーキテクチャの概要図である。
【図3】本発明による信頼されたネットワーク接続全体上の情報伝送の概要図である。
【発明を実施するための形態】
【0030】
図2に示すように、本発明は主として3つの、ネットワークの任意の位置に配置され得る論理エンティティを含む。ARはリクエスター、ユーザステーションなどとも呼ばれる。ACは、認証アクセス・コントローラ、ベース・ステーション、アクセス・サービスユニットなどとも呼ばれる。PMは、認証サーバー、信頼されたサーバー、バックグラウンド・サーバーなどとも呼ばれる。ARとACはネットワーク・プロトコル・インターフェースによって互いに接続している。ACとPMはネットワーク・プロトコル・インターフェースによって互いに接続している。PMはACによってARに接続している。
【0031】
ARは主としてNAR、TNCCおよびIMC1を含む。NARはデータ・ベアラ方式(data bearer manner)でTNCCと接続している。その結果、TNCCはメッセージを転送することができる。TNCCはIMC1とIMVとの間のコミュニケーションを実行するためにIF−IMCによってIMC1と接続される。
【0032】
ACは主としてNAC、TNCSおよびIMC2を含む。NACはデータ・ベアラ方式でTNCSと接続する。その結果、TNCSはメッセージを転送することができる。TNCSはIMC2とIMVとの間のコミュニケーションを実行するためにIF−IMCによってIMC2と接続される。
【0033】
PMは主としてUASU、PESUおよびIMVを含む。UASUはデータ・ベアラ方式でPESUと接続する。その結果、PESUはメッセージを転送することができる。PESUはIMVとIMC2と同様にIMVとIMC1との間のコミュニケーションを実行するためにIF−IMVによってIMVと接続される。
【0034】
NAR、NACおよびUASUの3つの構成部分が、ネットワーク・アクセス層を構成する。NARはIFTによってNACと接続する。NACはIF−UAAによってUASUと接続する。ネットワーク・アクセス層は、AR及びAC間の双方向認証およびキー交渉を実施し、且つ、ユーザー認証結果およびプラットフォーム完全性評価結果に基づいてAR及びACの間の相互アクセス制御を実施する役割をする。ネットワーク・アクセス層は、三要素ピア認証に基づいたアクセス制御方法を採用する。このアクセス制御方法は中国のWLAN基準の中で使用されるネットワーク・アクセス制御技術である。
【0035】
TNCC、TNCSおよびPESUの3つの構成部分が、完全性評価層を構成する。TNCCはIF−TNCCSによってTNCSと接続する。TNCSはIF−PEAによってPESUと接続する。完全性評価層は、プラットフォーム信任認証およびプラットフォーム完全性検証を含むARとPMとの間のプラットフォーム完全性評価の責任を負う。PMは、AR及びACのAIK証明書を検証し、AR及びACのプラットフォーム完全性を確認する責任を負う。完全性評価層では、TNCC、TNCSおよびPESUは三要素ピア認証、つまりサードパーティ(third party)に基づいた双方向認証を実施する。
【0036】
IMC1、IMC2およびIMVの3つの構成部分が、完全性測定層を構成する。IMC1はIFMによってIMVと接続する。IMC2はIFMによってIMVと接続する。完全性測定層は、AR及びACのプラットフォーム完全性に関連する情報を収集し確認する責任を負うのである。
【0037】
図3に示すように、三要素ピア認証に基づいた、信頼されたネットワーク接続は、以下のステップのように本発明を使用することにより実現される。
【0038】
(1.)ネットワーク接続がセット・アップされる前に、初期化が最初に行なわれる。
【0039】
(1.1)ARのTNCCはプラットフォーム完全性情報を前もって準備し、IMC1にこのプラットフォーム完全性情報を提供する。ACのTNCSはプラットフォーム完全性情報を前もって準備し、IMC2にこのプラットフォーム完全性情報を提供する。
【0040】
(1.2)TNCCとTNCSはあらかじめ完全性検証必要条件を指定する。ここで完全性検証必要条件は、相手方に検証を要請するためにARおよびACのプラットフォーム・コンフィグレーション・レジスタ・テーブルを含んでいる。
【0041】
(1.3)AR及びACの信頼されたプラットフォーム・モジュールは
ネットワーク・ポリシーによって要求される情報をハッシュし、ハッシュされた情報をプラットフォーム・コンフィギュレーション・レジスタに格納する。
【0042】
(2.)ユーザー認証が行なわれる。
【0043】
(2.1)NARは、NACへのアクセス・リクエストを開始する。
【0044】
(2.2)NACは、NARからアクセス・リクエストを受け取った後、双方向ユーザー認証手順を開始する。三要素ピア認証プロトコルは、ARとACとの間の双方向ユーザー認証およびキー交渉を実現するために、ネットワーク・アクセス層のNAR、NACおよびUASUの間で実施される。
【0045】
(2.3)双方向ユーザー認証が成功する場合、NARとNACはそれぞれTNCCとTNCSにユーザー認証成功情報を送り、且つ、ユーザー認証結果に従ってNARとNACのポートをそれぞれ制御する。
【0046】
(3.)完全性評価が行なわれる。
【0047】
ACのTNCSがNACから送られたユーザー認証成功情報を受け取った後、完全性評価層のTNCC、TNCSおよびPESUは、ARとACのプラットフォーム完全性評価を実現するために三要素ピア認証プロトコルを利用する。
【0048】
プラットフォーム完全性評価は次のやり方で行なわれうる。
【0049】
(ア)プラットフォーム信任認証を行なうこと:PMは、ARとACのAIK証明書を確認する(validate)。
【0050】
(イ)プラットフォーム完全性検証を行なうこと:PMは、ARとACのプラットフォーム完全性を確認する(verify)。
【0051】
(4.)アクセス制御が行なわれる。
【0052】
TNCSとTNCCは、それぞれACとARのプラットフォーム完全性評価結果を要約し、次に、それぞれNARとNACに推奨を送る。NARとNACは、受信したそれぞれの推奨に従ってポートをそれぞれ制御し、それによって、ARとACとの間の相互アクセス制御を実現する。
【0053】
本発明の上記の実施の形態では、キー交渉はアクセス・リクエスターとアクセス・コントローラとの間で行なわれ、セキュリティ・プロテクション(機密保持)は、第2のセッションキー交渉の必要なしで、信頼されたネットワーク接続の後にプラットフォーム完全性評価手順のデータおよびサービス・データに関して行なわれることができる。したがって、キー交渉手順は単純化される。また、信頼されたネットワーク接続のセキュリティが改善される。認証手順の中で生成された基本キーをネットワークを通して送信する必要がない。それによって、キーのセキュリティが保証される。
【0054】
さらに、三要素ピア認証方法、つまり、サードパーティに基づいた双方向認証方法は、アクセス・リクエスター及びアクセス・コントローラのAIK証明書及びプラットフォーム完全性の集中的な認証および検証を実施するために、完全性評価層で採用される。それはプラットフォーム完全性評価手順のセキュリティを向上させるだけでなく、信頼されたネットワーク接続アーキテクチャのキー管理および完全性検証機構を単純化することもできる。
【0055】
本発明の実施の形態は、ネットワーク・アクセス層で三要素ピア認証方法を採用して双方向ユーザー認証を実施するだけでなく、さらに完全性評価層でも三要素ピア認証方法を採用して相互のプラットフォーム完全性評価を実施している。このため、信頼されたネットワーク接続アーキテクチャ全体のセキュリティが改善される。
【0056】
さらに、実際の応用では、ポリシー管理者は多くのアクセス・コントローラを管理する必要がある。本発明の実施の形態は、アクセス・コントローラとポリシー管理者との間の強いセキュリティ要件を排除することができ、それによって、信頼されたネットワーク接続の拡張性を向上させる。
【0057】
以上では、本発明による三要素ピア認証に基づいた、信頼されたネットワーク接続システムを詳細に紹介した。本発明の原理および実施の形態は本明細書中の詳細な例によって説明されている。上記の実施の形態の説明は、単に本発明の解決方法についての理解への助けになることを意図されている。当業者は、本発明の開示の範囲内で実施例および応用範囲への変更をすることができる。従って、本明細書の開示は本発明への制限として理解されるべきではない。
【符号の説明】
【0058】
PEP:ポリシー実施点(Policy Enforcement Point)
PE:ポリシー実施者(Policy Enforcer)
PDP:ポリシー決定点(Policy Decision Point)
NAA:ネットワーク・アクセス授権者(Network Access Authority)
AR:アクセス・リクエスター(Access Requestor)
AC:アクセス・コントローラ(Access Controller)
PM:ポリシー管理者(Policy Manager)
IMC1:アクセス・リクエスターの完全性測定コレクター(Integrity Measurement Collector of Access Requestor)
IMC2:アクセス・コントローラの完全性測定コレクター(Integrity Measurement Collector of Access Controller)
IMV:完全性測定検証者(Integrity Measurement Verifier)
TNCC:TNCクライアント;
TNCS:TNCサーバー;
PESU:プラットフォーム評価サービス・ユニット(Platform Evaluation Service Unit)
NAR:ネットワーク・アクセス・リクエスター(Network Access Requestor)
NAC:ネットワーク・アクセス・コントローラ(Network Access Controller)
UASU:ユーザー認証サービス・ユニット(User Authentication Service Unit)
IF−T:NARとNACの間のプロトコル・インターフェースである、ネットワーク許可伝送プロトコル・インターフェース(Network Authorization Transport Protocol Interface)
IF−UAA:NACとUASUの間のプロトコル・インターフェースである、ユーザー認証許可インターフェース(User Authentication Authorization Interface)
IF−TNCC:TNCCとTNCSの間のプロトコル・インターフェースである、TNCクライアントサーバ・インターフェース(TNC Client-Server Interface)
IF−PEA:TNCSとPESUの間のプロトコル・インターフェースである、プラットフォーム評価許可インターフェース(Platform Evaluation Authorization Interface)
IF−IMC:TNCCとIMC1の間のプロトコル・インターフェースであり、さらにTNCSとIMC2の間のプロトコル・インターフェースでもある、完全性測定コレクター・インターフェース(Integrity Measurement Collector Interface)
IF−IMV:PESUとIMVの間のプロトコル・インターフェースである、完全性測定検証インターフェース(Integrity Measurement Verifier Interface)
IF−M:IMC1とIMVの間のプロトコル・インターフェースであり、さらにIMC2とIMVの間のプロトコル・インターフェースでもある、完全性測定インターフェース(Integrity Measurement Interface)
【技術分野】
【0001】
本願は、2007年8月3日に中国専利局に出願された、「三要素ピア認証に基づいた信頼されたネットワーク接続システム」を名称とする中国特許出願番号200710018414.7への優先権を主張し、該出願の全体が本明細書に組み入れられている。
【0002】
本発明は、ネットワーク・セキュリティーの技術分野に関し、特に、三要素ピア認証に基づいた信頼されたネットワーク接続システムに関する。
【背景技術】
【0003】
情報化の発展で、ウィルスとワームのような悪意のあるソフトウェアの問題は非常に深刻になっている。現在、3万5000種類以上の悪意のあるソフトウェアが存在する。また、4000万以上のコンピューターが毎年感染する。そのような攻撃を抑制するために、防御は、安全な伝送およびデータ入力ためのチェックを行なう必要があるだけでなく、ソース(つまりネットワークに接続された各ターミナル)から行なわれるべきである。しかしながら、従来の安全防御技術は、多種類の悪意のある攻撃を防御することができない。
【0004】
これを考慮して、国際的な信頼されたコンピューティング・グループ(Trusted Computing Group、TCG)は、信頼されたコンピューティング技術―信頼されたネットワーク接続(Trusted Network Connect、TNC)に基づいたネットワーク接続仕様、略記ではTCG−TNC、を特別に明示した。TCG−TNCは開放ターミナル完全性アーキテクチャ、および安全な相互オペレーションを保証するための1セットの基準を含む。ユーザーが要求しカスタマイズしたとおりに、このセットの基準はある程度までネットワークを保護することができる。TCG−TNCの本質はターミナルの完全性から接続をセット・アップすることである。最初に、信頼されたネットワークの内部システムで作動する1セットのポリシーが作成される。ネットワークによってセットされたポリシーに準拠するターミナルだけがネットワークにアクセスすることができる。ネットワークは、ポリシーに準拠しないデバイスを見つけて分離する。信頼されたプラットフォーム・モジュール(TPM)の使用により、ルート・キットからの攻撃はさらに防ぐことができる。ルート・ビットは、攻撃スクリプト、修正されたシステムプログラム、あるいは攻撃スクリプトとツール全体の集合であり、ターゲットシステムの中でターゲットシステムの最も高いコントロール権限を不法に得るように構成される。
【0005】
図1に示しているように、従来のTCG−TNCアーキテクチャは、ネットワークの任意の位置に配置され得る3つのクラスの論理エンティティ:アクセス・リクエスター(Access Requestor、AR)、ポリシー実施点(Policy Enforcement Point、PEP、)およびポリシー決定点(Policy Decision Point、PDP)を含む。縦方向でのTCG−TNCアーキテクチャは3層:ネットワーク・アクセス層、完全性評価層、および完全性測定層に分割され得る。ネットワーク・アクセス層は、ネットワーク・アクセス・リクエスター(Network Access Requestor、NAR)、ポリシー実施者(Policy Enforcer、PE)、およびネットワーク・アクセス授権者( Network Access Authority、NAA)の3つのコンポーネント、並びに、ネットワーク許可伝送プロトコル・インターフェース(Network Authorization Transport Protocol Interface、IFT)およびポリシー実施点インターフェース(a Policy Enforcement Point Interface、IF−PEP)を含んでいる。ネットワーク・アクセス層は従来のネットワーク接続技術を支援するように構成される。完全性評価層は、ネットワークへのアクセスを求めるすべてのエンティティの完全性を評価する役割をする。完全性評価層には2つの重要なインターフェース:完全性測定コレクター・インターフェース( Integrity Measurement Collector interface、IF−IMC)および完全性測定検証インターフェース(Integrity Measurement Verifier interface、IF−IMV)がある。さらに、TNCクライアントとTNCサーバーとの間にTNCクライアントサーバ・インターフェース(IF−TNCCS)がある。
完全性測定層は、完全性測定コレクター(Integrity Measurement Collector、IMC)および完全性測定検証者(Integrity Measurement Verifier、IMV)の2つの構成部分を含んでおり、アクセス・リクエスターの完全性関連の情報を収集し確認する役割をする。
【0006】
従来のTCG−TNCアーキテクチャによる信頼されたネットワーク接続全体上の情報伝送の手続は、以下の通りである:ネットワーク接続がセット・アップされる前に、TNCクライアント(TNCC)は必要なプラットフォーム完全性情報を準備し、且つ、IMCに該必要なプラットフォーム完全性情報を提供する必要がある。信頼されたプラットフォーム・モジュールを含むターミナルでは、ネットワーク・ポリシーによって要求されるプラットフォーム情報はハッシュ(hash)され、それぞれのプラットフォーム・コンフィギュレーション・レジスタに格納される。TNCサーバー(TNCS)は、プラットフォーム完全性用検証必要条件をあらかじめ指定し、IMVに該検証必要条件を提供する必要がある。詳細な手順は以下のとおりである:
(1)NARは、ポリシー実施者へのアクセス・リクエストを始める。
【0007】
(2)ポリシー実施者はネットワーク・アクセス授権者にアクセス・リクエスト記述を送る。
【0008】
(3)ネットワーク・アクセス授権者およびNARはNARからアクセス・リクエスト記述を受け取り次第、ユーザー認証プロトコルを実施する。ユーザーが認証を通れば、ネットワーク・アクセス授権者はTNCSにアクセス・リクエストとユーザー認証成功情報とを送る。
【0009】
(4)TNCSとTNCCは、ネットワーク・アクセス授権者からアクセス・リクエストとユーザー認証成功情報とを受け取り次第、相互のプラットフォーム信任認証を行い、例えば、プラットフォームの認証識別キー(Attestation Identity Key、AIK)を検証する。
【0010】
(5)プラットフォーム信任認証が成功した場合、TNCCは、新しいネットワーク接続が開始されること、及び、完全性ハンドシェイク・プロトコルが行なわれるべきことを、IMCに通知する。IMCはIF−IMCインターフェース経由で必要なプラットフォーム完全性情報を返す。
TNCSはIF−IMVインターフェース経由でIMVにプラットフォーム完全性情報を送る。
【0011】
(6)完全性ハンドシェイク・プロトコルを行なう手順において、TNCSが満たされるまで、TNCCおよびTNCSは、1回以上のデータを交換する。
【0012】
(7)TNCSがTNCCへの完全性ハンドシェイク・プロトコルを完成すれば、TNCSはネットワーク・アクセス授権者に推奨レターを送って、アクセスをリクエストする。セキュリティの他の考慮では、ポリシー決定点は、まだアクセス・リクエスター(AR)のアクセスを許可することができない。
【0013】
(8)ネットワーク・アクセス授権者はポリシー実施者にアクセス決定を転送する。ポリシー実施者は、最終的にこの決定を実施してARのアクセスを制御する。
【0014】
現在、市場への成熟したTCG−TNC階層的製品はない。TCG−TNCアーキテクチャのいくつかの重要な技術は未だに研究と規格段階にあり、また以下の欠点を持っている:
1.悪い拡張性。ポリシー実施点とポリシー決定点の間で安全なチャネルがあらかじめ定義される。また、ポリシー決定点は多くのポリシー実施点を管理しうる。これは、多くの安全なチャネルを形成することをポリシー決定点に強いて、よって、管理の複雑さをきたす。したがって、拡張性は悪い。
【0015】
2.複雑なキー交渉手順。機密保持がネットワーク・アクセス層の上のデータに関して行なわれるべきであるので、アクセス・リクエスターとポリシー決定点との間で安全なチャネルをセット・アップする必要がある、つまり、セッションキー交渉はそれらの間で行なわれる。しかしながら、データ保護もアクセス・リクエスターとポリシー実施端との間で必要であり、第2のセッションキー交渉がアクセス・リクエスターとポリシー実施端との間で行なわれる。それはキー交渉手順を複雑にする。
【0016】
3.相対的に貧弱なセキュリティ。アクセス・リクエスターとポリシー決定点との間で交渉された基本キー(primary key)はポリシー決定点によってポリシー実施点に転送される。キーはネットワークによって転送される。それは新しいセキュリティ攻撃点を導入し、セキュリティを下げてしまう。さらに、同じ基本キーは2つのセッションキー交渉の中で使用される。それは、信頼されたネットワーク接続アーキテクチャ全体のセキュリティを下げてしまう。
【0017】
4.アクセス・リクエスターは、ポリシー決定点のAIK証明書(AIK Certificate)を確認することができない可能性がある。プラットフォーム信任認証(Platform Credential Authentication)の手順で、アクセス・リクエスターとポリシー決定点は、AIK秘密鍵(private key)および証明書を利用して相互のプラットフォーム信任認証を行なう。アクセス・リクエスターおよびポリシー決定点は両方ともAIK証明書を確認する必要がある。ポリシー決定点がアクセス・リクエスターのオンライン・サービス・プロバイダーである場合、アクセス・リクエスターは信頼されたネットワーク接続の前にネットワークにアクセスすることができない、つまり、ポリシー決定点のAIK証明書を検証することができない。それは危険につながる。
【0018】
5.プラットフォーム完全性評価はピア・ツー・ピアではない。TCG−TNCアーキテクチャでは、ポリシー決定点は、アクセス・リクエスターに関してプラットフォーム完全性の評価を行なう。しかし、アクセス・リクエスターは、ポリシー決定点に関してプラットフォーム完全性の評価を行なわない。ポリシー決定点のプラットフォームが信頼されない場合、アクセス・リクエスターがそのような信頼されていないデバイスに接続される場合、それは安全性が不十分である。しかしながら、ピア信頼はアドホックネットワークにおいて不可欠である。
【発明の概要】
【発明が解決しようとする課題】
【0019】
本発明は、三要素ピア認証に基づいた、信頼されたネットワーク接続システムを提供する。該システムは、従来技術の悪い拡張性、複雑なキー交渉手順および相対的に貧弱なセキュリティの技術的問題、アクセス・リクエスターがAIK証明書を検証できない問題、及び、プラットフォーム完全性評価がピア・ツー・ピアではない問題を解決することができる。
【課題を解決するための手段】
【0020】
本発明は以下の技術的解決方法を提供する。
【0021】
アクセス・リクエスター(AR)、アクセス・コントローラ(AC)およびポリシー管理者(PM)を含み、三要素ピア認証に基づいた信頼されたネットワーク接続システムが提供される。該システムにおいて、
前記ARがネットワーク・プロトコル・インターフェースによって前記ACと接続され、
前記ACがネットワーク・プロトコル・インターフェースによって前記PMと接続され、
前記ARが前記ACによって前記PMと接続され、
前記ARと前記ACとを接続するプロトコル・インターフェースと、
前記ACと前記PMとを接続するプロトコル・インターフェースと、
前記AR及び前記PM間に存在し、前記ARのプラットフォーム完全性に関連する情報を収集して検証する完全性測定インターフェース(IFM)と、を含み、
前記ARと前記ACとを接続する前記プロトコル・インターフェースが、
前記AR及び前記AC間の双方向ユーザー認証およびキー交渉を実施し、且つ、前記AR及び前記AC間の相互アクセス制御を実施するネットワーク許可伝送プロトコル・インターフェース(IF−T)と、
前記PMによる前記AR及び前記ACのAIK証明書の有効性検証、及び、前記PMによる前記AR及び前記ACのプラットフォーム完全性検証に基づいて、前記AR及び前記AC間のプラットフォーム完全性評価を実施するTNCクライアントサーバ・インターフェース(IF−TNCCS)と、を含み、
前記ACと前記PMとを接続する前記プロトコル・インターフェースが、
前記AR及び前記AC間の双方向ユーザー認証及びキー交渉を実施し、且つ、前記AR及び前記AC間の相互アクセス制御を実施するユーザー認証許可インターフェース(IF−UAA)と、
前記AR及び前記AC間のプラットフォーム完全性評価、前記PMによる前記AR及び前記ACのAIK証明書の妥当性検証、及び前記PMによる前記AR及び前記ACのプラットフォーム完全性検証を実施するプラットフォーム評価許可インターフェース(IF−PEA)と、
前記ACのプラットフォーム完全性に関連する情報を収集し検証する完全性測定インターフェース(IFM)と、を含む。
【0022】
好ましくは、前記ARが、ネットワーク・アクセス・リクエスター(NAR)、前記NARにデータ・ベアラ方式で接続されるTNCクライアント(TNCC)、及び、前記TNCCに完全性測定コレクター・インターフェース(IF−IMC)によって接続される、前記ARの完全性測定コレクター(IMC1)を含み、
前記ACが、ネットワーク・アクセス・コントローラ(NAC)、前記NACにデータ・ベアラ方式で接続されるTNCサーバー(TNCS)、及び、前記TNCSに完全性測定コレクター・インターフェース(IF−IMC)によって接続される前記ACの完全性測定コレクター(IMC2)を含み、
前記PMが、ユーザー認証サービス・ユニット(UASU)、前記UASUにデータ・ベアラ方式で接続されるプラットフォーム評価サービス・ユニット(PESU)、及び、前記PESUに完全性測定検証インターフェース(IF−IMV)によって接続される完全性測定検証者(IMV)を含み、
前記NARが、ネットワーク許可伝送プロトコル・インターフェース(IFT)によって前記NACと接続され、前記NACが、ユーザー認証許可インターフェース(IF−UAA)によって前記UASUと接続され、
前記TNCCが、TNCクライアントサーバ・インターフェース(IF−TNCCS)経由で前記TNCSと接続し、前記TNCSが、プラットフォーム評価認証インターフェース(IF−PEA)経由で前記PESUと接続し、
前記IMC1が、完全性測定インターフェース(IFM)によって前記IMVと接続され、前記IMC2が、完全性測定インターフェース(IFM)によって前記IMVと接続される。
【0023】
好ましくは、前記AR及び前記ACの各々が、信頼されたプラットフォーム・モジュールを含む論理エンティティである。
【0024】
好ましくは、前記IMC1が、前記TNCCによって前もって準備されたプラットフォーム完全性情報を収集する構成部分であり、
前記IMC2が、前記TNCSによって前もって準備されたプラットフォーム完全性情報を収集する構成部分であり、
前記IMVが、前記TNCC及び前記TNCSによってあらかじめ指定されたプラットフォーム完全性検証必要条件を受け取り、前記AR及び前記ACに関してプラットフォーム完全性検証を行なう構成部分である。
【発明の効果】
【0025】
本発明の上記の技術的解決方法から理解されるように、キー交渉はアクセス・リクエスターとアクセス・コントローラの間で行なわれ、セキュリティ・プロテクションは、第2のセッションキー交渉を必要とせずに、信頼されたネットワーク接続の後にプラットフォーム完全性評価手順のデータおよびサービス・データに関して行なうことができる。したがって、キー交渉手順は単純化される。また、信頼されたネットワーク接続のセキュリティが改善される。ネットワークを通して認証手順の中で生成された基本キーを送信する必要がないし、それによって、キーのセキュリティが保証される。
【0026】
さらに、三要素ピア認証方法、つまり、サードパーティに基づいた双方向認証方法は、完全性評価層で採用されて、アクセス・リクエスター及びアクセス・コントローラのAIK証明書およびプラットフォーム完全性の集中的な認証および検証を実施する。これはプラットフォーム完全性評価手順のセキュリティを向上させるだけでなく、信頼されたネットワーク接続アーキテクチャのキー管理および完全性検証機構を単純化することもできる。
【0027】
本発明は、ネットワーク・アクセス層で三要素ピア認証方法を採用して双方向ユーザー認証を実施するだけでなく、完全性評価層でも三要素ピア認証方法を採用して相互のプラットフォーム完全性評価を実施する。これにより、信頼されたネットワーク接続アーキテクチャ全体のセキュリティが改善される。
【0028】
実際の応用では、ポリシー管理者は多くのアクセス・コントローラを管理する必要がある。本発明の実施の形態は、アクセス・コントローラとポリシー管理者との間の強いセキュリティ要件を削除することができ、これによって、信頼されたネットワーク接続の拡張性を向上させることができる。
【図面の簡単な説明】
【0029】
【図1】従来の基本的なTCG−TNCアーキテクチャの概要図である。
【図2】本発明による基本的なTNCアーキテクチャの概要図である。
【図3】本発明による信頼されたネットワーク接続全体上の情報伝送の概要図である。
【発明を実施するための形態】
【0030】
図2に示すように、本発明は主として3つの、ネットワークの任意の位置に配置され得る論理エンティティを含む。ARはリクエスター、ユーザステーションなどとも呼ばれる。ACは、認証アクセス・コントローラ、ベース・ステーション、アクセス・サービスユニットなどとも呼ばれる。PMは、認証サーバー、信頼されたサーバー、バックグラウンド・サーバーなどとも呼ばれる。ARとACはネットワーク・プロトコル・インターフェースによって互いに接続している。ACとPMはネットワーク・プロトコル・インターフェースによって互いに接続している。PMはACによってARに接続している。
【0031】
ARは主としてNAR、TNCCおよびIMC1を含む。NARはデータ・ベアラ方式(data bearer manner)でTNCCと接続している。その結果、TNCCはメッセージを転送することができる。TNCCはIMC1とIMVとの間のコミュニケーションを実行するためにIF−IMCによってIMC1と接続される。
【0032】
ACは主としてNAC、TNCSおよびIMC2を含む。NACはデータ・ベアラ方式でTNCSと接続する。その結果、TNCSはメッセージを転送することができる。TNCSはIMC2とIMVとの間のコミュニケーションを実行するためにIF−IMCによってIMC2と接続される。
【0033】
PMは主としてUASU、PESUおよびIMVを含む。UASUはデータ・ベアラ方式でPESUと接続する。その結果、PESUはメッセージを転送することができる。PESUはIMVとIMC2と同様にIMVとIMC1との間のコミュニケーションを実行するためにIF−IMVによってIMVと接続される。
【0034】
NAR、NACおよびUASUの3つの構成部分が、ネットワーク・アクセス層を構成する。NARはIFTによってNACと接続する。NACはIF−UAAによってUASUと接続する。ネットワーク・アクセス層は、AR及びAC間の双方向認証およびキー交渉を実施し、且つ、ユーザー認証結果およびプラットフォーム完全性評価結果に基づいてAR及びACの間の相互アクセス制御を実施する役割をする。ネットワーク・アクセス層は、三要素ピア認証に基づいたアクセス制御方法を採用する。このアクセス制御方法は中国のWLAN基準の中で使用されるネットワーク・アクセス制御技術である。
【0035】
TNCC、TNCSおよびPESUの3つの構成部分が、完全性評価層を構成する。TNCCはIF−TNCCSによってTNCSと接続する。TNCSはIF−PEAによってPESUと接続する。完全性評価層は、プラットフォーム信任認証およびプラットフォーム完全性検証を含むARとPMとの間のプラットフォーム完全性評価の責任を負う。PMは、AR及びACのAIK証明書を検証し、AR及びACのプラットフォーム完全性を確認する責任を負う。完全性評価層では、TNCC、TNCSおよびPESUは三要素ピア認証、つまりサードパーティ(third party)に基づいた双方向認証を実施する。
【0036】
IMC1、IMC2およびIMVの3つの構成部分が、完全性測定層を構成する。IMC1はIFMによってIMVと接続する。IMC2はIFMによってIMVと接続する。完全性測定層は、AR及びACのプラットフォーム完全性に関連する情報を収集し確認する責任を負うのである。
【0037】
図3に示すように、三要素ピア認証に基づいた、信頼されたネットワーク接続は、以下のステップのように本発明を使用することにより実現される。
【0038】
(1.)ネットワーク接続がセット・アップされる前に、初期化が最初に行なわれる。
【0039】
(1.1)ARのTNCCはプラットフォーム完全性情報を前もって準備し、IMC1にこのプラットフォーム完全性情報を提供する。ACのTNCSはプラットフォーム完全性情報を前もって準備し、IMC2にこのプラットフォーム完全性情報を提供する。
【0040】
(1.2)TNCCとTNCSはあらかじめ完全性検証必要条件を指定する。ここで完全性検証必要条件は、相手方に検証を要請するためにARおよびACのプラットフォーム・コンフィグレーション・レジスタ・テーブルを含んでいる。
【0041】
(1.3)AR及びACの信頼されたプラットフォーム・モジュールは
ネットワーク・ポリシーによって要求される情報をハッシュし、ハッシュされた情報をプラットフォーム・コンフィギュレーション・レジスタに格納する。
【0042】
(2.)ユーザー認証が行なわれる。
【0043】
(2.1)NARは、NACへのアクセス・リクエストを開始する。
【0044】
(2.2)NACは、NARからアクセス・リクエストを受け取った後、双方向ユーザー認証手順を開始する。三要素ピア認証プロトコルは、ARとACとの間の双方向ユーザー認証およびキー交渉を実現するために、ネットワーク・アクセス層のNAR、NACおよびUASUの間で実施される。
【0045】
(2.3)双方向ユーザー認証が成功する場合、NARとNACはそれぞれTNCCとTNCSにユーザー認証成功情報を送り、且つ、ユーザー認証結果に従ってNARとNACのポートをそれぞれ制御する。
【0046】
(3.)完全性評価が行なわれる。
【0047】
ACのTNCSがNACから送られたユーザー認証成功情報を受け取った後、完全性評価層のTNCC、TNCSおよびPESUは、ARとACのプラットフォーム完全性評価を実現するために三要素ピア認証プロトコルを利用する。
【0048】
プラットフォーム完全性評価は次のやり方で行なわれうる。
【0049】
(ア)プラットフォーム信任認証を行なうこと:PMは、ARとACのAIK証明書を確認する(validate)。
【0050】
(イ)プラットフォーム完全性検証を行なうこと:PMは、ARとACのプラットフォーム完全性を確認する(verify)。
【0051】
(4.)アクセス制御が行なわれる。
【0052】
TNCSとTNCCは、それぞれACとARのプラットフォーム完全性評価結果を要約し、次に、それぞれNARとNACに推奨を送る。NARとNACは、受信したそれぞれの推奨に従ってポートをそれぞれ制御し、それによって、ARとACとの間の相互アクセス制御を実現する。
【0053】
本発明の上記の実施の形態では、キー交渉はアクセス・リクエスターとアクセス・コントローラとの間で行なわれ、セキュリティ・プロテクション(機密保持)は、第2のセッションキー交渉の必要なしで、信頼されたネットワーク接続の後にプラットフォーム完全性評価手順のデータおよびサービス・データに関して行なわれることができる。したがって、キー交渉手順は単純化される。また、信頼されたネットワーク接続のセキュリティが改善される。認証手順の中で生成された基本キーをネットワークを通して送信する必要がない。それによって、キーのセキュリティが保証される。
【0054】
さらに、三要素ピア認証方法、つまり、サードパーティに基づいた双方向認証方法は、アクセス・リクエスター及びアクセス・コントローラのAIK証明書及びプラットフォーム完全性の集中的な認証および検証を実施するために、完全性評価層で採用される。それはプラットフォーム完全性評価手順のセキュリティを向上させるだけでなく、信頼されたネットワーク接続アーキテクチャのキー管理および完全性検証機構を単純化することもできる。
【0055】
本発明の実施の形態は、ネットワーク・アクセス層で三要素ピア認証方法を採用して双方向ユーザー認証を実施するだけでなく、さらに完全性評価層でも三要素ピア認証方法を採用して相互のプラットフォーム完全性評価を実施している。このため、信頼されたネットワーク接続アーキテクチャ全体のセキュリティが改善される。
【0056】
さらに、実際の応用では、ポリシー管理者は多くのアクセス・コントローラを管理する必要がある。本発明の実施の形態は、アクセス・コントローラとポリシー管理者との間の強いセキュリティ要件を排除することができ、それによって、信頼されたネットワーク接続の拡張性を向上させる。
【0057】
以上では、本発明による三要素ピア認証に基づいた、信頼されたネットワーク接続システムを詳細に紹介した。本発明の原理および実施の形態は本明細書中の詳細な例によって説明されている。上記の実施の形態の説明は、単に本発明の解決方法についての理解への助けになることを意図されている。当業者は、本発明の開示の範囲内で実施例および応用範囲への変更をすることができる。従って、本明細書の開示は本発明への制限として理解されるべきではない。
【符号の説明】
【0058】
PEP:ポリシー実施点(Policy Enforcement Point)
PE:ポリシー実施者(Policy Enforcer)
PDP:ポリシー決定点(Policy Decision Point)
NAA:ネットワーク・アクセス授権者(Network Access Authority)
AR:アクセス・リクエスター(Access Requestor)
AC:アクセス・コントローラ(Access Controller)
PM:ポリシー管理者(Policy Manager)
IMC1:アクセス・リクエスターの完全性測定コレクター(Integrity Measurement Collector of Access Requestor)
IMC2:アクセス・コントローラの完全性測定コレクター(Integrity Measurement Collector of Access Controller)
IMV:完全性測定検証者(Integrity Measurement Verifier)
TNCC:TNCクライアント;
TNCS:TNCサーバー;
PESU:プラットフォーム評価サービス・ユニット(Platform Evaluation Service Unit)
NAR:ネットワーク・アクセス・リクエスター(Network Access Requestor)
NAC:ネットワーク・アクセス・コントローラ(Network Access Controller)
UASU:ユーザー認証サービス・ユニット(User Authentication Service Unit)
IF−T:NARとNACの間のプロトコル・インターフェースである、ネットワーク許可伝送プロトコル・インターフェース(Network Authorization Transport Protocol Interface)
IF−UAA:NACとUASUの間のプロトコル・インターフェースである、ユーザー認証許可インターフェース(User Authentication Authorization Interface)
IF−TNCC:TNCCとTNCSの間のプロトコル・インターフェースである、TNCクライアントサーバ・インターフェース(TNC Client-Server Interface)
IF−PEA:TNCSとPESUの間のプロトコル・インターフェースである、プラットフォーム評価許可インターフェース(Platform Evaluation Authorization Interface)
IF−IMC:TNCCとIMC1の間のプロトコル・インターフェースであり、さらにTNCSとIMC2の間のプロトコル・インターフェースでもある、完全性測定コレクター・インターフェース(Integrity Measurement Collector Interface)
IF−IMV:PESUとIMVの間のプロトコル・インターフェースである、完全性測定検証インターフェース(Integrity Measurement Verifier Interface)
IF−M:IMC1とIMVの間のプロトコル・インターフェースであり、さらにIMC2とIMVの間のプロトコル・インターフェースでもある、完全性測定インターフェース(Integrity Measurement Interface)
【特許請求の範囲】
【請求項1】
アクセス・リクエスター(AR)、アクセス・コントローラ(AC)およびポリシー管理者(PM)を含み、三要素ピア認証に基づいた信頼されたネットワーク接続システムであって、
前記ARがネットワーク・プロトコル・インターフェースによって前記ACと接続され、
前記ACがネットワーク・プロトコル・インターフェースによって前記PMと接続され、
前記ARが前記ACによって前記PMと接続され、
前記ARと前記ACとを接続するプロトコル・インターフェースと、
前記ACと前記PMとを接続するプロトコル・インターフェースと、
前記AR及び前記PM間に存在し、前記ARのプラットフォーム完全性に関連する情報を収集して検証する完全性測定インターフェース(IFM)と、を含み、
前記ARと前記ACとを接続する前記プロトコル・インターフェースが、
前記AR及び前記AC間の双方向ユーザー認証およびキー交渉を実施し、且つ、前記AR及び前記AC間の相互アクセス制御を実施するネットワーク許可伝送プロトコル・インターフェース(IF−T)と、
前記PMによる前記AR及び前記ACのAIK証明書の有効性検証、及び、前記PMによる前記AR及び前記ACのプラットフォーム完全性検証に基づいて、前記AR及び前記AC間のプラットフォーム完全性評価を実施するTNCクライアントサーバ・インターフェース(IF−TNCCS)と、を含み、
前記ACと前記PMとを接続する前記プロトコル・インターフェースが、
前記AR及び前記AC間の双方向ユーザー認証及びキー交渉を実施し、且つ、前記AR及び前記AC間の相互アクセス制御を実施するユーザー認証許可インターフェース(IF−UAA)と、
前記AR及び前記AC間のプラットフォーム完全性評価、前記PMによる前記AR及び前記ACのAIK証明書の妥当性検証、及び前記PMによる前記AR及び前記ACのプラットフォーム完全性検証を実施するプラットフォーム評価許可インターフェース(IF−PEA)と、
前記ACのプラットフォーム完全性に関連する情報を収集し検証する完全性測定インターフェース(IFM)と、を含む
三要素ピア認証に基づいた信頼されたネットワーク接続システム。
【請求項2】
前記ARが、ネットワーク・アクセス・リクエスター(NAR)、前記NARにデータ・ベアラ方式で接続されるTNCクライアント(TNCC)、及び、前記TNCCに完全性測定コレクター・インターフェース(IF−IMC)によって接続される、前記ARの完全性測定コレクター(IMC1)を含み、
前記ACが、ネットワーク・アクセス・コントローラ(NAC)、前記NACにデータ・ベアラ方式で接続されるTNCサーバー(TNCS)、及び、前記TNCSに完全性測定コレクター・インターフェース(IF−IMC)によって接続される前記ACの完全性測定コレクター(IMC2)を含み、
前記PMが、ユーザー認証サービス・ユニット(UASU)、前記UASUにデータ・ベアラ方式で接続されるプラットフォーム評価サービス・ユニット(PESU)、及び、前記PESUに完全性測定検証インターフェース(IF−IMV)によって接続される完全性測定検証者(IMV)を含み、
前記NARが、ネットワーク許可伝送プロトコル・インターフェース(IFT)によって前記NACと接続され、前記NACが、ユーザー認証許可インターフェース(IF−UAA)によって前記UASUと接続され、
前記TNCCが、TNCクライアントサーバ・インターフェース(IF−TNCCS)経由で前記TNCSと接続し、前記TNCSが、プラットフォーム評価認証インターフェース(IF−PEA)経由で前記PESUと接続し、
前記IMC1が、完全性測定インターフェース(IFM)によって前記IMVと接続され、前記IMC2が、完全性測定インターフェース(IFM)によって前記IMVと接続される
請求項1に記載の三要素ピア認証に基づいた信頼されたネットワーク接続システム。
【請求項3】
前記AR及び前記ACの各々が、信頼されたプラットフォーム・モジュールを含む論理エンティティである
請求項1又は請求項2に記載の三要素ピア認証に基づいた信頼されたネットワーク接続システム。
【請求項4】
前記IMC1が、前記TNCCによって前もって準備されたプラットフォーム完全性情報を収集する構成部分であり、
前記IMC2が、前記TNCSによって前もって準備されたプラットフォーム完全性情報を収集する構成部分であり、
前記IMVが、前記TNCC及び前記TNCSによってあらかじめ指定されたプラットフォーム完全性検証必要条件を受け取り、前記AR及び前記ACに関してプラットフォーム完全性検証を行なう構成部分である
請求項3に記載の三要素ピア認証に基づいた信頼されたネットワーク接続システム。
【請求項1】
アクセス・リクエスター(AR)、アクセス・コントローラ(AC)およびポリシー管理者(PM)を含み、三要素ピア認証に基づいた信頼されたネットワーク接続システムであって、
前記ARがネットワーク・プロトコル・インターフェースによって前記ACと接続され、
前記ACがネットワーク・プロトコル・インターフェースによって前記PMと接続され、
前記ARが前記ACによって前記PMと接続され、
前記ARと前記ACとを接続するプロトコル・インターフェースと、
前記ACと前記PMとを接続するプロトコル・インターフェースと、
前記AR及び前記PM間に存在し、前記ARのプラットフォーム完全性に関連する情報を収集して検証する完全性測定インターフェース(IFM)と、を含み、
前記ARと前記ACとを接続する前記プロトコル・インターフェースが、
前記AR及び前記AC間の双方向ユーザー認証およびキー交渉を実施し、且つ、前記AR及び前記AC間の相互アクセス制御を実施するネットワーク許可伝送プロトコル・インターフェース(IF−T)と、
前記PMによる前記AR及び前記ACのAIK証明書の有効性検証、及び、前記PMによる前記AR及び前記ACのプラットフォーム完全性検証に基づいて、前記AR及び前記AC間のプラットフォーム完全性評価を実施するTNCクライアントサーバ・インターフェース(IF−TNCCS)と、を含み、
前記ACと前記PMとを接続する前記プロトコル・インターフェースが、
前記AR及び前記AC間の双方向ユーザー認証及びキー交渉を実施し、且つ、前記AR及び前記AC間の相互アクセス制御を実施するユーザー認証許可インターフェース(IF−UAA)と、
前記AR及び前記AC間のプラットフォーム完全性評価、前記PMによる前記AR及び前記ACのAIK証明書の妥当性検証、及び前記PMによる前記AR及び前記ACのプラットフォーム完全性検証を実施するプラットフォーム評価許可インターフェース(IF−PEA)と、
前記ACのプラットフォーム完全性に関連する情報を収集し検証する完全性測定インターフェース(IFM)と、を含む
三要素ピア認証に基づいた信頼されたネットワーク接続システム。
【請求項2】
前記ARが、ネットワーク・アクセス・リクエスター(NAR)、前記NARにデータ・ベアラ方式で接続されるTNCクライアント(TNCC)、及び、前記TNCCに完全性測定コレクター・インターフェース(IF−IMC)によって接続される、前記ARの完全性測定コレクター(IMC1)を含み、
前記ACが、ネットワーク・アクセス・コントローラ(NAC)、前記NACにデータ・ベアラ方式で接続されるTNCサーバー(TNCS)、及び、前記TNCSに完全性測定コレクター・インターフェース(IF−IMC)によって接続される前記ACの完全性測定コレクター(IMC2)を含み、
前記PMが、ユーザー認証サービス・ユニット(UASU)、前記UASUにデータ・ベアラ方式で接続されるプラットフォーム評価サービス・ユニット(PESU)、及び、前記PESUに完全性測定検証インターフェース(IF−IMV)によって接続される完全性測定検証者(IMV)を含み、
前記NARが、ネットワーク許可伝送プロトコル・インターフェース(IFT)によって前記NACと接続され、前記NACが、ユーザー認証許可インターフェース(IF−UAA)によって前記UASUと接続され、
前記TNCCが、TNCクライアントサーバ・インターフェース(IF−TNCCS)経由で前記TNCSと接続し、前記TNCSが、プラットフォーム評価認証インターフェース(IF−PEA)経由で前記PESUと接続し、
前記IMC1が、完全性測定インターフェース(IFM)によって前記IMVと接続され、前記IMC2が、完全性測定インターフェース(IFM)によって前記IMVと接続される
請求項1に記載の三要素ピア認証に基づいた信頼されたネットワーク接続システム。
【請求項3】
前記AR及び前記ACの各々が、信頼されたプラットフォーム・モジュールを含む論理エンティティである
請求項1又は請求項2に記載の三要素ピア認証に基づいた信頼されたネットワーク接続システム。
【請求項4】
前記IMC1が、前記TNCCによって前もって準備されたプラットフォーム完全性情報を収集する構成部分であり、
前記IMC2が、前記TNCSによって前もって準備されたプラットフォーム完全性情報を収集する構成部分であり、
前記IMVが、前記TNCC及び前記TNCSによってあらかじめ指定されたプラットフォーム完全性検証必要条件を受け取り、前記AR及び前記ACに関してプラットフォーム完全性検証を行なう構成部分である
請求項3に記載の三要素ピア認証に基づいた信頼されたネットワーク接続システム。
【図1】
【図2】
【図3】
【図2】
【図3】
【公表番号】特表2010−535440(P2010−535440A)
【公表日】平成22年11月18日(2010.11.18)
【国際特許分類】
【出願番号】特願2010−518480(P2010−518480)
【出願日】平成20年7月21日(2008.7.21)
【国際出願番号】PCT/CN2008/071699
【国際公開番号】WO2009/018742
【国際公開日】平成21年2月12日(2009.2.12)
【出願人】(505164405)西安西▲電▼捷通▲無▼綫▲網▼絡通信有限公司 (19)
【Fターム(参考)】
【公表日】平成22年11月18日(2010.11.18)
【国際特許分類】
【出願日】平成20年7月21日(2008.7.21)
【国際出願番号】PCT/CN2008/071699
【国際公開番号】WO2009/018742
【国際公開日】平成21年2月12日(2009.2.12)
【出願人】(505164405)西安西▲電▼捷通▲無▼綫▲網▼絡通信有限公司 (19)
【Fターム(参考)】
[ Back to top ]