在IKEv2协议基础上,利用ISO/IEC 9798-3:1998/Amd 1:2010中的认证机制,提出了一种可信计算环境下的IKEv2协议扩展方案,实现了发起者和响应者之间的双向身份认证和平台认证,并建立了它们之间的会话密钥,且与IKEv2协议是向后兼容的,其中可信第三方(TTP)负责它们的身份证书验证、平台证明身份密钥(AIK)证书验证和平台完整性评估,它们的存储完整性度量日志(SML)被加密传输给可信第三方,从而有效地解决了现有可信计算环境下IKE协议扩展方案所存在的问题.此外,利用针对可信网络连接协议的串空间模型证明了该IKEv2协议扩展方案是安全的.

• 单位
  西安邮电大学; 陕西省信息化工程研究院; 西北工业大学