CN101888383B - 一种可扩展的可信ssh的实现方法 - Google Patents

一种可扩展的可信ssh的实现方法 Download PDF

Info

Publication number
CN101888383B
CN101888383B CN 201010222556 CN201010222556A CN101888383B CN 101888383 B CN101888383 B CN 101888383B CN 201010222556 CN201010222556 CN 201010222556 CN 201010222556 A CN201010222556 A CN 201010222556A CN 101888383 B CN101888383 B CN 101888383B
Authority
CN
China
Prior art keywords
ssh
message
msg
client
server end
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN 201010222556
Other languages
English (en)
Other versions
CN101888383A (zh
Inventor
常晓林
王绍创
藤莎
左向晖
韩臻
刘吉强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Jiaotong University
Original Assignee
Beijing Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Jiaotong University filed Critical Beijing Jiaotong University
Priority to CN 201010222556 priority Critical patent/CN101888383B/zh
Publication of CN101888383A publication Critical patent/CN101888383A/zh
Application granted granted Critical
Publication of CN101888383B publication Critical patent/CN101888383B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种可扩展的可信SSH的实现方法。本方法要求服务器端和客户端都配有可信安全芯片,并且安装了度量模块和可信操作***,能够对各自平台状态进行度量。本方法通过在SSH传输子协议层定义三个新消息编码,并将SSH传输子协议层中密钥交换算法所计算的会话密钥作为可信计算远程证明的参数,来实现可信SSH通道。本方法实现的可信通道具有以下两个特性,一个是远程证明过程对密钥交换算法的透明性,另一个是通信双方的平台信息在网络传输过程中的秘密性。

Description

一种可扩展的可信SSH的实现方法
技术领域
本发明涉及计算机信息安全领域,特别是指一种可扩展的可信SSH的实现方法。
背景技术
SSH(Secure Shell)协议是IETF的网络工作小组制定了一个安全协议,用于保护客户端与服务器端之间传输的数据。SSH协议采用了分层结构设计,包括四个子协议:SSH传输层子协议、用户认证子协议、连接子协议和文件传输子协议。前两个子协议首先依次被执行,其中SSH传输层子协议负责在服务器端和客户端建立安全通道,该子协议包括协议版本交换、参数协商和密钥交换三个过程。SSH传输层子协议运行结束后将协商出一个会话密钥,用于加密用户认证阶段的认证信息、连接阶段通信双方的通信数据和文件传输阶段通信双方的通信数据。SSH所有子协议的数据包都包含有消息编码,消息编码的范围是从1到255,RFC 4251(T.Ylonen and C.Lonvick,“TheSecure Shell Protocol Architecture,”SSH Communications Security Corp,Cisco Systems,RFC 4251,Jan.2006.)给出了SSH协议已定义的消息编码。在SSH中,通信端点在接收到对方的数据包后,是根据数据报中的消息编码来决定所要采取的措施。图1是SSH传输层子协议的密钥交换流程图,使用的密钥交换算法是Diffie-Hellman算法,其中SSH_MSG_KEXDH_INIT、SSH_MSG_KEXDH_REPLY和SSH_MSG_NEWKEYS是RFC 4253(T.Ylonen and C.Lonvick,“The Secure Shell Transport Layer Protocol,”SSHCommunications Security Corp,Cisco Systems,RFC 4253,Jan.2006.)定义的消息编码,这些消息编码在图1中表示密钥交换过程中所涉及的IP数据包的类型。需要指出的是当使用其它密钥交换算法时,图1中SSH_MSG_KEXDH_INIT和SSH_MSG_KEXDH_REPLY将换成与所采用的密钥交换算法相关的消息编码。
目前,许多损害终端的攻击方法是通过各种形式的恶意代码而不是通过损害安全信道来实施的,因此在与未知端点通信时,即使使用安全通道,仍然可能遭受一系列攻击。计算机信息的安全问题很难单靠软件解决,为了解决现有PC机结构上的不安全问题,可信计算平台联盟TCPA(后来更名为TCG)提出可信计算平台,核心思想是在硬件平台上引入具有安全存储和加密功能的可信平台模块(又称为可信芯片)TPM。可信计算平台以TPM为信任根,借助可信度量功能对***平台配置进行度量,然后安全地将***运行情况记录在TPM中的平台配置寄存器(PCR),同时在***保存代表了被验证的可信平台的完整性度量历史的度量存储日志SML(storage measurementlog)。远程用户根据SML和相关PCR值来判断该运行环境是否可信、某些环节是否出现安全问题,这一过程被称作远程证明。在TCG规范中,TPM使用身份证明密钥AIK(attestation identity key)来证明自己的身份,凡是经过AIK签名的实体,都表明已经经过TPM的处理。为了防止重放、篡改、假冒等攻击,远程证明过程使用AIK来确保收到的信息是经过某一指定TPM处理的。图2是美国IBM公司的研究人员设计的远程证明协议的流程图。在这个远程证明过程中,首先验证请求者生成一个160bit随机数并记为nonce,并发送给被验证者;被验证者在收到nonce后,请求内置TPM用AIK的私钥SKAIK对指定的PCR值和nonce进行签名,签名结果记为Quote,然后将Quote、SML和AIK公钥证书Cert(AIK)发送给验证请求者;最后验证请求者对接收的内容进行验证,确定远程计算平台身份及其所报告内容的真实性。
利用可信计算的远程证明技术可以提高基于SSH协议的安全通道的安全性,其核心思想是将远程证明技术与SSH协议的密钥交换技术进行有机结合,从而实现可信SSH通道。但是现有的可信SSH实现方法需要修改SSH协议中的密钥交换算法,因此可扩展性不好。
发明内容
本发明的目的在于避免上述现有可信SSH实现方法的不足之处而提供一种可扩展的可信SSH的实现方法。本方法通过在SSH传输子协议层定义三个新消息编码,并将SSH传输子协议层中密钥交换算法所计算的会话密钥作为远程证明的参数,来实现可信SSH通道。
本发明的技术方案如下:
一种可扩展的可信SSH的实现方法,在SSH传输子协议层定义三个新消息编码:SSH_MSG_RA_INIT、SSH_MSG_RA_OK和SSH_MSG_RA_ERROR,并将SSH传输子协议层中密钥交换算法所计算的会话密钥作为可信计算远程证明的参数,方法的具体步骤如下:
步骤1,客户端首先生成一个Diffie-Hellman算法参数,记作e,然后客户端向服务器端发送一个带有SSH_MSG_KEXDH_INIT消息编码的消息,该消息只包含e;其中SSH_MSG_KEXDH_INIT是RFC 4253中定义的消息编码;
步骤2,服务器端接到客户端的SSH_MSG_KEXDH_INIT消息后,首先生成一个Diffie-Hellman算法参数,记作f;然后服务器端根据e和f生成会话密钥,记作Skey;最后发送带有SSH_MSG_KEXDH_REPLY消息编码的消息给客户端并进入步骤3,该消息包含f和服务器端的签名信息;其中SSH_MSG_KEXDH_REPLY是RFC 4253中定义的消息编码;
步骤3,服务器端对Skey进行SHA-1哈希运算,结果记为h_Skey,然后利用TPM中的
Figure BSA00000181291000041
对字符串PCRs||h_Skey进行签名,签名结果记作signs,并用Skey作为对称加密密钥,对SMLs加密,结果记为Senc;最后发送带有SSH-MSG_RA_INIT消息编码的消息给客户端,该消息包含Senc、signs
Figure BSA00000181291000042
其中PCRs是安全芯片TPM中代表服务器端平台信息的PCR内容,||代表将两个字符串连接起来,
Figure BSA00000181291000043
Figure BSA00000181291000044
分别为服务器端AIK的私钥和公钥证书,SMLs表示服务器端平台的度量存储日志;
步骤4,客户端收到服务器端的SSH_MSG_KEXDH_REPLY消息后,首先验证消息中的签名,如果签名不正确,则终止与服务器端通信;否则客户端也根据e和f生成了会话密钥,记作Ckey;进入步骤5;
步骤5,客户端收到服务器端的SSH_MSG_RA_INIT消息后,首先验证
Figure BSA00000181291000045
的有效性和合法性,如果验证没通过,则进入步骤6;如果验证通过,则利用
Figure BSA00000181291000046
中的公钥
Figure BSA00000181291000047
从signs中获得步骤3中的h_Skey和PCRs;然后对Ckey进行SHA-1哈希运算,结果记为h_Ckey,并判断h_Ckey和h_Skey是否匹配,如果不匹配,则进入步骤6;如果匹配,则利用Ckey解密Senc得到步骤3中的SMLs,根据SMLs重构服务器端的整个完整性度量过程,计算并得到最终值c_PCRs,并判断c_PCRs与PCRs是否匹配,如果不匹配,则进入步骤6;如果匹配,则进入步骤7;其中
Figure BSA00000181291000048
为服务器端AIK的公钥;
步骤6,客户端发送带有SSH_MSG_RA_ERROR消息编码的消息给服务器端并终止与服务器端通信;
步骤7,客户端利用TPM中的
Figure BSA00000181291000051
对PCRc||h_Ckey进行签名,签名结果记作signc;然后用Ckey作为对称加密密钥,对SMLc加密,结果记为Cenc;最后发送带有SSH_MSG_RA_INIT消息编码的消息给服务器端,该消息包含Cenc、signc
Figure BSA00000181291000052
其中PCRc是安全芯片TPM中代表客户端平台信息的PCR内容,
Figure BSA00000181291000053
Figure BSA00000181291000054
分别为客户端AIK的私钥和公钥证书,SMLc表示客户端平台的度量存储日志;
步骤8,服务器端如果接到客户端带有SSH_MSG_RA_ERROR消息编码的消息,则结束运行;
步骤9,服务器端收到客户端的SSH_MSG_RA_INIT消息后,首先验证
Figure BSA00000181291000055
的有效性和合法性,如果验证没通过,则进入步骤10,如果验证通过,则利用
Figure BSA00000181291000056
中的公钥
Figure BSA00000181291000057
从signc中获得步骤7中的h_Ckey和PCRc;然后检查h_Ckey和h_Skey是否匹配,如果不匹配,则进入步骤10;如果匹配,则利用Skey解密Cenc得到步骤7中的SMLc,根据SMLc重构客户端的整个完整性度量过程,计算并得到最终值c_PCRc,并判断c_PCRc与PCRc是否匹配,如果不匹配,则进入步骤10;如果匹配,则发送带有SSH_MSG_RA_OK消息编码的消息和带有SSH_MSG_NEWKEYS消息编码的消息给客户端,并进入步骤11;其中
Figure BSA00000181291000058
为客户端AIK的公钥,SSH_MSG_NEWKEYS是RFC 4253中定义的消息编码,SSH_MSG_NEWKEYS是RFC 4253中定义的消息编码;
步骤10,服务器端发送带有SSH_MSG_RA_ERROR消息编码的消息给客户端并终止与客户端通信;
步骤11,客户端如果接到服务器端带有SSH_MSG_RA_ERROR消息编码的消息后,则结束运行;客户端如果接到服务器端带有SSH_MSG_RA_OK消息编码的消息,则发送带有SSH_MSG_NEWKEYS消息编码的信息给服务器端;
步骤12,服务器端和客户端都接收到带有SSH_MSG_NEWKEYS消息编码的消息后,密钥交换过程结束。
本发明所提供的方法相比现有技术具有如下优点:本方法实现的可信通道除了具有通信双方的平台信息在网络秘密传输的特性外,还具有不需要修改SSH传输子协议层中密钥交换算法的特性,即实现了实现了远程证明过程对密钥交换算法的透明性。及实现可信计算远程证明与SSH传输子协议层密钥交换过程的紧密整合,从而实现可信SSH通道。
附图说明
图1是SSH传输子协议层的密钥交换流程图;
图2是美国IBM公司的研究人员设计的远程证明协议的流程图;
图3是本发明所提供的可信SSH传输子协议层的密钥交换流程图。
具体实施方式
以下通过具体的实施例和图3对本发明做详细说明。
本发明提供的方法在硬件上要求服务器端和客户端都配有可信安全芯片,而且服务器端和客户端的BIOS都支持TPM;在软件上要求服务器端和客户端安装度量模块和可信操作***。度量模块决定被度量的实体、度量时间和安全维护度量结果的方法,其主要功能包括计算那些被度量的实体的度量值、将度量事件记录到度量存储日志和把度量值记入TPM中指定的PCR。度量值记入PCR的方法是:新PCR值=hash(原PCR值||度量值)。度量存储日志至少包括:被度量的实体的信息,度量值和度量时间。服务器端和客户端都有自己的AIK公私钥。本发明提供的方法在SSH传输子协议层额外定义了三个新消息编码:SSH_MSG_RA_INIT、SSH_MSG_RA_OK和SSH_MSG_RA_ERROR。
下面结合图3对本发明所提供的可信SSH传输层子协议的密钥交换流程做详细说明。
步骤1,客户端首先生成一个Diffie-Hellman算法参数,记作e,然后客户端向服务器端发送一个带有SSH_MSG_KEXDH_INIT消息编码的消息,该消息只包含e。
步骤2,服务器端接到客户端的SSH_MSG_KEXDH_INIT消息后,首先生成一个Diffie-Hellman算法参数,记作f;然后服务器端根据e和f生成会话密钥,记作Skey;最后发送带有SSH_MSG_KEXDH_REPLY消息编码的消息给客户端并进入步骤3,该消息包含f和服务器端的签名信息。
步骤3,服务器端对Skey进行SHA-1哈希运算,结果记为h_Skey,然后利用TPM中的
Figure BSA00000181291000071
对字符串PCRs||h_Skey进行签名,签名结果记作signs,并用Skey作为对称加密密钥,对SMLs加密,结果记为Senc;最后发送带有SSH_MSG_RA_INIT消息编码的消息给客户端,该消息包含Senc、signs
Figure BSA00000181291000072
其中PCRs是安全芯片TPM中代表服务器端平台信息的PCR内容,||代表将两个字符串连接起来,
Figure BSA00000181291000074
分别为服务器端AIK的私钥和公钥证书,SMLs表示服务器端平台的度量存储日志。
步骤4,客户端收到服务器端的SSH_MSG_KEXDH_REPLY消息后,首先验证消息中的签名,如果签名不正确,则终止与服务器端通信;否则客户端也根据e和f生成了会话密钥,记作Ckey;进入步骤5;
步骤5,客户端收到服务器端的SSH_MSG_RA_INIT消息后,首先验证
Figure BSA00000181291000081
的有效性和合法性,如果验证没通过,则进入步骤6;如果验证通过,则利用
Figure BSA00000181291000082
中的公钥
Figure BSA00000181291000083
从signs中获得步骤3中的h_Skey和PCRs;然后对Ckey进行SHA-1哈希运算,结果记为h_Ckey,并判断h_Ckey和h_Skey是否匹配,如果不匹配,则进入步骤6;如果匹配,则利用Ckey解密Senc得到步骤3中的SMLs,根据SMLs重构服务器端的整个完整性度量过程,计算并得到最终值c_PCRs,并判断c_PCRs与PCRs是否匹配,如果不匹配,则进入步骤6;如果匹配,则进入步骤7;其中
Figure BSA00000181291000084
为服务器端AIK的公钥。
步骤6,客户端发送带有SSH_MSG_RA_ERROR消息编码的消息给服务器端并终止与服务器端通信。
步骤7,客户端利用TPM中的
Figure BSA00000181291000085
对PCRc||h_Ckey进行签名,签名结果记作signc;然后用Ckey作为对称加密密钥,对SMLc加密,结果记为Cenc;最后发送带有SSH_MSG_RA_INIT消息编码的消息给服务器端,该消息包含Cenc、signc
Figure BSA00000181291000086
其中PCRc是安全芯片TPM中代表客户端平台信息的PCR内容,
Figure BSA00000181291000087
分别为客户端AIK的私钥和公钥证书,SMLc表示客户端平台的度量存储日志。
步骤8,服务器端如果接到客户端带有SSH_MSG_RA_ERROR消息编码的消息,则结束运行。
步骤9,服务器端收到客户端的SSH_MSG_RA_INIT消息后,首先验证
Figure BSA00000181291000091
的有效性和合法性,如果验证没通过,则进入步骤10,如果验证通过,则利用
Figure BSA00000181291000092
中的公钥
Figure BSA00000181291000093
从signc中获得步骤7中的h_Ckey和PCRc;然后检查h_Ckey和h_Skey是否匹配,如果不匹配,则进入步骤10;如果匹配,则利用Skey解密Cenc得到步骤7中的SMLc,根据SMLc重构客户端的整个完整性度量过程,计算并得到最终值c_PCRc,并判断c_PCRc与PCRc是否匹配,如果不匹配,则进入步骤10;如果匹配,则发送带有SSH_MSG_RA_OK消息编码的消息和带有SSH_MSG_NEWKEYS消息编码的消息给客户端,并进入步骤11;其中
Figure BSA00000181291000094
为客户端AIK的公钥,SSH_MSG_NEWKEYS是RFC 4253中定义的消息编码。
步骤10,服务器端发送带有SSH_MSG_RA_ERROR消息编码的消息给客户端并终止与客户端通信。
步骤11,客户端如果接到服务器端带有SSH_MSG_RA_ERROR消息编码的消息后,则结束运行;客户端如果接到服务器端带有SSH_MSG_RA_OK消息编码的消息,则发送带有SSH_MSG_NEWKEYS消息编码的信息给服务器端。
步骤12,服务器端和客户端都接收到带有SSH_MSG_NEWKEYS消息编码的消息后,密钥交换过程结束。
通过上述方法,实现的可信通道具有以下两个特性,一个是远程证明过程对密钥交换算法的透明性,另一个是通信双方的平台信息在网络传输过程中的秘密性。

Claims (1)

1.一种可扩展的可信SSH的实现方法,其特征在于:在SSH传输子协议层定义三个新消息编码:SSH_MSG_RA_INIT、SSH_MSG_RA_OK和SSH_MSG_RA_ERROR,并将SSH传输子协议层中密钥交换算法所计算的会话密钥作为可信计算远程证明的参数,方法的具体步骤如下:
步骤1,客户端首先生成一个Diffie-Hellman算法参数,记作e,然后客户端向服务器端发送一个带有SSH_MSG_KEXDH_INIT消息编码的消息,该消息只包含e;其中SSH_MSG_KEXDH_INIT是RFC 4253中定义的消息编码;
步骤2,服务器端接到客户端的SSH_MSG_KEXDH_INIT消息后,首先生成一个Diffie-Hellman算法参数,记作f;然后服务器端根据e和f生成会话密钥,记作Skey;最后发送带有SSH_MSG_KEXDH_REPLY消息编码的消息给客户端并进入步骤3,该消息包含f和服务器端的签名信息;其中SSH_MSG_KEXDH_REPLY是RFC 4253中定义的消息编码;
步骤3,服务器端对Skey进行SHA-1哈希运算,结果记为h_Skey,然后利用安全芯片(TPM)中的
Figure FSB00001013699500011
对字符串PCRs||h_Skey进行签名,签名结果记作signs,并用Skey作为对称加密密钥,对SMLs加密,结果记为Senc;最后发送带有SSH_MSG_RA_INIT消息编码的消息给客户端,该消息包含Senc、signs
Figure FSB00001013699500012
其中PCRs是安全芯片TPM中代表服务器端平台信息的平台配置寄存器(PCR)内容,||代表将两个字符串连接起来,
Figure FSB00001013699500014
分别为服务器端身份证明密钥(AIK)的私钥和公钥证书,SMLs表示服务器端平台的度量存储日志;
步骤4,客户端收到服务器端的SSH_MSG_KEXDH_REPLY消息后,首先验证消息中的签名,如果签名不正确,则终止与服务器端通信;否则客户端也根据e和f生成了会话密钥,记作Ckey;进入步骤5;
步骤5,客户端收到服务器端的SSH_MSG_RA_INIT消息后,首先验证
Figure FSB00001013699500021
的有效性和合法性,如果验证没通过,则进入步骤6;如果验证通过,则利用
Figure FSB00001013699500022
中的公钥从signs中获得步骤3中的h_Skey和PCRs;然后对Ckey进行SHA-1哈希运算,结果记为h_Ckey,并判断h_Ckey和h_Skey是否匹配,如果不匹配,则进入步骤6;如果匹配,则利用Ckey解密Senc得到步骤3中的SMLs,根据SMLs重构服务器端的整个完整性度量过程,计算并得到最终值c_PCRs,并判断c_PCRs与PCRs是否匹配,如果不匹配,则进入步骤6;如果匹配,则进入步骤7;其中为服务器端AIK的公钥;
步骤6,客户端发送带有SSH_MSG_RA_ERROR消息编码的消息给服务器端并终止与服务器端通信;
步骤7,客户端利用TPM中的
Figure FSB00001013699500025
对PCRc||h_Ckey进行签名,签名结果记作signc;然后用Ckey作为对称加密密钥,对SMLc加密,结果记为Cenc;最后发送带有SSH_MSG_RA_INIT消息编码的消息给服务器端,该消息包含Cenc、signc
Figure FSB00001013699500026
其中PCRc是安全芯片TPM中代表客户端平台信息的PCR内容,
Figure FSB00001013699500027
Figure FSB00001013699500028
分别为客户端AIK的私钥和公钥证书,SMLc表示客户端平台的度量存储日志;
步骤8,服务器端如果接到客户端带有SSH_MSG_RA_ERROR消息编码的消息,则结束运行;
步骤9,服务器端收到客户端的SSH_MSG_RA_INIT消息后,首先验证
Figure FSB00001013699500031
的有效性和合法性,如果验证没通过,则进入步骤10,如果验证通过,则利用
Figure FSB00001013699500032
中的公钥
Figure FSB00001013699500033
从signc中获得步骤7中的h_Ckey和
PCRc;然后检查h_Ckey和h_Skey是否匹配,如果不匹配,则进入步骤10;
如果匹配,则利用Skey解密Cenc得到步骤7中的SMLc,根据SMLc重构客户端的整个完整性度量过程,计算并得到最终值c_PCRc,并判断c_PCRc与PCRc是否匹配,如果不匹配,则进入步骤10;如果匹配,则发送带有SSH_MSG_RA_OK消息编码的消息和带有SSH_MSG_NEWKEYS消息编码的消息给客户端,并进入步骤11;其中
Figure FSB00001013699500034
为客户端AIK的公钥,SSH_MSG_NEWKEYS是RFC 4253中定义的消息编码;
步骤10,服务器端发送带有SSH_MSG_RA_ERROR消息编码的消息给客户端并终止与客户端通信;
步骤11,客户端如果接到服务器端带有SSH_MSG_RA_ERROR消息编码的消息后,则结束运行;客户端如果接到服务器端带有SSH_MSG_RA_OK消息编码的消息,则发送带有SSH_MSG_NEWKEYS消息编码的信息给服务器端;
步骤12,服务器端和客户端都接收到带有SSH_MSG_NEWKEYS消息编码的消息后,密钥交换过程结束。
CN 201010222556 2010-06-30 2010-06-30 一种可扩展的可信ssh的实现方法 Expired - Fee Related CN101888383B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 201010222556 CN101888383B (zh) 2010-06-30 2010-06-30 一种可扩展的可信ssh的实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 201010222556 CN101888383B (zh) 2010-06-30 2010-06-30 一种可扩展的可信ssh的实现方法

Publications (2)

Publication Number Publication Date
CN101888383A CN101888383A (zh) 2010-11-17
CN101888383B true CN101888383B (zh) 2013-07-31

Family

ID=43074104

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 201010222556 Expired - Fee Related CN101888383B (zh) 2010-06-30 2010-06-30 一种可扩展的可信ssh的实现方法

Country Status (1)

Country Link
CN (1) CN101888383B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102098397A (zh) * 2011-02-28 2011-06-15 北京交通大学 一种基于ZRTP密钥交换的VoIP媒体流可信传输的实现方法
CN102137103A (zh) * 2011-03-09 2011-07-27 北京交通大学 通过扩展MIKEY协议实现VoIP媒体流可信传输的方法
CN103647654B (zh) * 2013-12-25 2017-07-14 国家电网公司 一种基于可信计算的配电终端密钥管理方法
CN113132406B (zh) * 2021-04-29 2022-06-07 山东云天安全技术有限公司 一种基于ssh流量发现网络威胁的检测方法、设备及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1625105A (zh) * 2003-12-02 2005-06-08 国际商业机器公司 信息处理装置、服务器装置、信息处理装置的方法及服务器装置的方法
CN101022455A (zh) * 2006-12-26 2007-08-22 北京大学 一种Web通信加密方法
CN101437022A (zh) * 2007-11-14 2009-05-20 丛林网络公司 服务器发起的安全网络连接
CN101741842A (zh) * 2009-12-07 2010-06-16 北京交通大学 一种基于可信计算实现可信ssh的方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1625105A (zh) * 2003-12-02 2005-06-08 国际商业机器公司 信息处理装置、服务器装置、信息处理装置的方法及服务器装置的方法
CN101022455A (zh) * 2006-12-26 2007-08-22 北京大学 一种Web通信加密方法
CN101437022A (zh) * 2007-11-14 2009-05-20 丛林网络公司 服务器发起的安全网络连接
CN101741842A (zh) * 2009-12-07 2010-06-16 北京交通大学 一种基于可信计算实现可信ssh的方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
T. Ylonen 等.rfc 4251: The Secure Shell (SSH) Protocol Architecture.《rfc 4251: The Secure Shell (SSH) Protocol Architecture》.2006, *
T. Ylonen 等.rfc 4253: The Secure Shell (SSH) Transport Layer Protocol.《rfc 4253: The Secure Shell (SSH) Transport Layer Protocol》.2006, *

Also Published As

Publication number Publication date
CN101888383A (zh) 2010-11-17

Similar Documents

Publication Publication Date Title
Bera et al. Designing blockchain-based access control protocol in IoT-enabled smart-grid system
US20210367753A1 (en) Trusted measurement and control network authentication method based on double cryptographic values and chaotic encryption
CN101741842B (zh) 一种基于可信计算实现可信ssh的方法
Cervesato et al. Breaking and fixing public-key Kerberos
JP2019531630A (ja) 量子通信及びトラステッドコンピューティングに基づくデータセキュリティのための方法及びシステム
Chattaraj et al. A new two-server authentication and key agreement protocol for accessing secure cloud services
Delavar et al. PUF‐based solutions for secure communications in Advanced Metering Infrastructure (AMI)
US20120072717A1 (en) Dynamic identity authentication system
CN109687965A (zh) 一种保护网络中用户身份信息的实名认证方法
Obert et al. Recommendations for trust and encryption in DER interoperability standards
Zhang et al. Authentication methods for internet of vehicles based on trusted connection architecture
CN101888383B (zh) 一种可扩展的可信ssh的实现方法
CN101789939B (zh) 一种有效的可信OpenSSH的实现方法
Khashan et al. Blockchain-Based Decentralized Authentication Model for IoT-Based E-Learning and Educational Environments.
Lee et al. Secure and anonymous authentication scheme for mobile edge computing environments
Ashraf et al. Lightweight and authentic symmetric session key cryptosystem for client–server mobile communication
CN102098397A (zh) 一种基于ZRTP密钥交换的VoIP媒体流可信传输的实现方法
CN101834852B (zh) 一种保护平台信息的可信OpenSSH的实现方法
CN102137103A (zh) 通过扩展MIKEY协议实现VoIP媒体流可信传输的方法
Shahidinejad et al. Decentralized lattice-based device-to-device authentication for the edge-enabled IoT
Thungon et al. A lightweight certificate-based authentication scheme for 6LoWPAN-based internet of things
Basic et al. Establishing Dynamic Secure Sessions for ECQV Implicit Certificates in Embedded Systems
Islam et al. Improved remote login scheme based on ECC
CN111917790A (zh) 一种物联网安全的混合加密方法
JP5099771B2 (ja) 二要素認証システム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130731

Termination date: 20140630

EXPY Termination of patent right or utility model