公开(公告)号：CN100534036C

公开(公告)日：2009-08-26

申请号：CN200710018395.8

申请日：2007-08-01

Applicant: 西安西电捷通无线网络通信有限公司

Inventor： 肖跃雷 ,  曹军 ,  赖晓龙 ,  黄振海

IPC: H04L9/32 ,  H04L29/06

CPC classification number: H04L9/3247 ,  H04L9/3234 ,  H04L9/3263 ,  H04L41/0893 ,  H04L63/0869 ,  H04L63/0876 ,  H04L63/105 ,  H04L63/20

Abstract: 一种基于三元对等鉴别的可信网络连接方法，其预先准备平台完整性信息，制定完整性验证要求，网络访问请求者向网络访问控制者发起访问请求，网络访问控制者启动双向用户鉴别过程，与用户鉴别服务单元执行三元对等鉴别协议。双向用户鉴别成功后，TNC客户端、TNC服务端和平台评估服务单元利用三元对等鉴别方法执行平台完整性评估。网络访问请求者和网络访问控制者依据各自收到的推荐控制端口，实现访问请求者与访问控制器的相互访问控制。本发明解决了背景技术中可扩展性差、密钥协商过程复杂、安全性相对较低、平台完整性评估不对等的技术问题。本发明可简化可信网络连接的密钥管理及完整性校验机制，扩展可信网络连接的适用范围。

公开(公告)号：CN100496025C

公开(公告)日：2009-06-03

申请号：CN200710019093.2

申请日：2007-11-16

Applicant: 西安西电捷通无线网络通信有限公司

Inventor： 肖跃雷 ,  曹军 ,  赖晓龙 ,  黄振海

IPC: H04L12/56 ,  H04L9/32 ,  H04L29/06

CPC classification number: H04L41/0893 ,  H04L63/0823 ,  H04L63/0876 ,  H04L63/102 ,  H04L63/20

Abstract: 一种基于三元对等鉴别(缩写TePA，Tri-element Peer Authentication)的可信网络接入控制方法，其先对可信性收集者进行初始化，然后网络访问控制层的网络访问请求者、网络访问控制者和鉴别策略服务者之间执行三元对等鉴别协议，实现访问请求者与访问控制器的双向用户鉴别。根据访问控制器和访问请求者的用户鉴别结果对网络访问请求者和网络访问控制者的进行端口控制。之后进行平台可信性评估的操作。最后访问请求者和访问控制器依据用户鉴别结果和平台可信性评估结果对端口进行控制。本发明解决了背景技术中可扩展性差、密钥协商过程复杂、安全性相对较低的技术问题。本发明对受控端口进行多级控制，可提高整个可信网络接入控制的安全性。

公开(公告)号：CN100495963C

公开(公告)日：2009-06-03

申请号：CN200610104680.7

申请日：2006-09-23

Applicant: 西安西电捷通无线网络通信有限公司

Inventor： 田海博 ,  曹军 ,  庞辽军 ,  铁满霞 ,  黄振海 ,  张变玲

IPC: H04L9/32 ,  H04L9/30

CPC classification number: H04L9/3268 ,  H04L63/06 ,  H04L63/08 ,  H04L63/0823 ,  H04L2209/60 ,  H04L2209/80

Abstract: 一种公钥证书状态的获取及验证方法，其实现步骤包括：构造并发送证书查询请求，构造并发送复合证书查询请求，构造并发送复合证书状态响应，转发证书状态响应，通用接入点的验证，用户设备的验证。本发明解决了背景技术中使用复杂以及不适用于用户设备、通用接入点和服务器这一网络架构的技术问题。本发明采用用户证书状态获取的方法为用户设备通过通用接入点接入网络时提供用户或用户设备与通用接入点的证书状态，可减少消息交换的流程，节约带宽和计算资源，具有更高的效率。通过在证书查询请求和复合证书查询请求以及消息m中包含随机数，保证了证书状态响应的新鲜性，具有更高的安全保证。

公开(公告)号：CN101442531A

公开(公告)日：2009-05-27

申请号：CN200810190610.7

申请日：2008-12-18

Applicant: 西安西电捷通无线网络通信有限公司

Inventor： 赖晓龙 ,  曹军 ,  肖跃雷 ,  铁满霞 ,  黄振海 ,  张变玲 ,  胡亚楠

IPC: H04L29/06 ,  H04L9/08

CPC classification number: H04W12/10 ,  H04L9/0838 ,  H04L9/3242 ,  H04L9/3273 ,  H04L63/123 ,  H04L2209/80

Abstract: 本发明涉及一种安全协议第一条消息的保护方法，该方法包括以下步骤：1)初始化步骤；2)发起者发送第一条消息；3)响应者接收第一条消息。本发明提供的安全协议第一条消息的保护方法可以：1)使用消息完整性码MIC或消息鉴别码MAC计算函数对发起者和响应者预共享的预共享主密钥PSMK和第一条消息中的安全参数进行绑定，有效地防止了安全协议中第一条消息的伪造攻击；2)在计算第一条消息的消息完整性码MIC或消息鉴别码MAC时，仅选择了预共享主密钥PSMK和第一条消息中的安全参数计算，有效地减少了发起者和响应者的计算规模，从而节省了计算资源。

公开(公告)号：CN101364876A

公开(公告)日：2009-02-11

申请号：CN200810150951.1

申请日：2008-09-12

Applicant: 西安西电捷通无线网络通信有限公司

Inventor： 铁满霞 ,  曹军 ,  赖晓龙 ,  黄振海

IPC: H04L9/32 ,  H04L29/06

Abstract: 本发明涉及一种实现实体的公钥获取、证书验证及鉴别的方法，包括以下步骤：1)实体B向实体A发送消息2；2)实体A收到消息2后，向可信第三方TP发送消息3；3)可信第三方TP收到消息3后，确定响应RepTA；4)可信第三方TP向实体A返回消息4；5)实体A收到来自可信第三方TP的消息4后，执行步骤6)；6)实体A向实体B返回消息5；7)实体B收到来自实体A的消息5后，进行处理，得到实体A的鉴别结果。本发明将实体的公钥获取、证书验证和鉴别功能融合在一个协议中完成，有利于提高协议执行的效率和效果，便于和各种公钥获取和公钥证书状态查询协议相结合，适合接入网络的用户-接入点-服务器的网络结构，满足接入网络的鉴别要求。

公开(公告)号：CN101364866A

公开(公告)日：2009-02-11

申请号：CN200810151085.8

申请日：2008-09-24

Applicant: 西安西电捷通无线网络通信有限公司

Inventor： 铁满霞 ,  曹军 ,  赖晓龙 ,  黄振海

IPC: H04L9/08 ,  H04Q7/38

Abstract: 本发明涉及一种基于多个密钥分配中心的实体密话建立系统及其方法。该系统包括第一网络和第二网络，第一网络包括第一通信实体A1，A2，…，Am、第一承载设备C1、第一密钥分配中心KDC1，第二网络包括第二通信实体B1，B2，…，Bn、第二承载设备C2、第二密钥分配中心KDC2，第一密钥分配中心KDC1和第二密钥分配中心KDC2相接，第一密钥分配中心KDC1通过第一承载设备C1和第一通信实体A1，A2，…，Am相接，第二密钥分配中心KDC2通过第二承载设备C2和第二通信实体B1，B2，…，Bn相接；本发明提出了一种密话建立系统及方法，实现了不同网络中实体之间的秘密通信，且安全地为每对实体分发通信密钥，使密钥具有PFS属性，降低系统密钥管理复杂度。

公开(公告)号：CN101329719A

公开(公告)日：2008-12-24

申请号：CN200810150523.9

申请日：2008-08-01

Applicant: 西安西电捷通无线网络通信有限公司

Inventor： 庞辽军 ,  曹军 ,  铁满霞 ,  赖晓龙 ,  黄振海

IPC: G06K7/00 ,  H04L9/32

CPC classification number: H04L9/3273 ,  H04L2209/42 ,  H04L2209/805

Abstract: 本发明涉及一种适合于同类电子标签的匿名认证方法，其特征在于：该方法包括以下步骤：1)读写器向电子标签发送接入认证请求分组；2)当电子标签收到接入认证请求分组后，构造接入认证响应分组，发送给读写器；3)读写器收到接入认证响应分组后，构造接入认证确认分组发送给电子标签；4)电子标签根据接入认证确认分组进行确认。对同类电子标签中的所有电子标签来说，跟认证相关的信息是相同的，因此，根据本发明服务器只需记录一条信息即可，而不需要为每一个具体电子标签都记录一条消息，很大程度地节约了系统存储空间。

公开(公告)号：CN101247223A

公开(公告)日：2008-08-20

申请号：CN200810017646.5

申请日：2008-03-06

Applicant: 西安西电捷通无线网络通信有限公司

Inventor： 铁满霞 ,  曹军 ,  赖晓龙 ,  黄振海

IPC: H04L9/30 ,  H04L9/32 ,  H04L29/06

CPC classification number: H04L63/0807 ,  H04L63/0823 ,  H04L63/0869 ,  H04L63/0884

Abstract: 本发明涉及一种实用的基于可信第三方的实体双向鉴别方法。该方法包括以下步骤：1)实体B向实体A发送消息1；2)实体A收到消息1后，向可信第三方TP发送消息2；3)可信第三方TP收到消息2后，检查实体A和实体B是否合法；4)可信第三方TP检查完实体A和实体B的合法性后，向实体A返回消息3；5)实体A收到消息3后，进行验证；6)实体A完成对消息3的验证后，向实体B发送消息4；7)实体B收到消息4后，进行验证，完成鉴别。本发明简化了协议的运行条件，降低了对鉴别实体的计算能力要求，可满足资源较差的网络设备的高安全性需求。

公开(公告)号：CN101242266A

公开(公告)日：2008-08-13

申请号：CN200710018395.8

申请日：2007-08-01

Applicant: 西安西电捷通无线网络通信有限公司

Inventor： 肖跃雷 ,  曹军 ,  赖晓龙 ,  黄振海

IPC: H04L9/32 ,  H04L29/06

CPC classification number: H04L9/3247 ,  H04L9/3234 ,  H04L9/3263 ,  H04L41/0893 ,  H04L63/0869 ,  H04L63/0876 ,  H04L63/105 ,  H04L63/20

Abstract: 一种基于三元对等鉴别的可信网络连接方法，其预先准备平台完整性信息，制定完整性验证要求，网络访问请求者向网络访问控制者发起访问请求，网络访问控制者启动双向用户鉴别过程，与用户鉴别服务单元执行三元对等鉴别协议。双向用户鉴别成功后，TNC客户端、TNC服务端和平台评估服务单元利用三元对等鉴别方法执行平台完整性评估。网络访问请求者和网络访问控制者依据各自收到的推荐控制端口，实现访问请求者与访问控制器的相互访问控制。本发明解决了背景技术中可扩展性差、密钥协商过程复杂、安全性相对较低、平台完整性评估不对等的技术问题。本发明可简化可信网络连接的密钥管理及完整性校验机制，扩展可信网络连接的适用范围。

公开(公告)号：CN101227362A

公开(公告)日：2008-07-23

申请号：CN200810017345.2

申请日：2008-01-18

Applicant: 西安西电捷通无线网络通信有限公司

Inventor： 肖跃雷 ,  曹军 ,  赖晓龙 ,  黄振海 ,  张变玲 ,  秦志强 ,  宋起柱

IPC: H04L12/28 ,  H04L29/06 ,  H04L9/08

CPC classification number: H04W12/04 ,  H04L63/205 ,  H04W12/06

Abstract: 本发明涉及一种无线个域网接入方法。协调器广播信标帧后，设备根据信标帧识别协调器对设备的认证需求。若协调器对设备无认证需求，则设备与协调器直接进行关联过程；否则，设备选定一种协调器支持的认证及密钥管理套件向协调器发送接入请求，然后协调器根据设备选定的认证及密钥管理套件与该设备进行认证及会话密钥协商，认证及会话密钥协商过程可以基于原语，也可以基于端口控制，最后设备和协调器利用协商的会话密钥进行关联过程。若设备与协调器成功关联，则协调器给设备分配网络地址，从而设备和协调器可进行正常通信。其解决了现有无线个域网接入方法存在安全性较低和效率较低的技术问题。