使用可信計算平台構建可信網絡工作原理,包括可信傳輸、身份認證、可信網絡連接。

1.可信傳輸

TCG定義了被保護的報文交換方式，即綁定、簽名、封印綁定與封印簽名。可信傳輸方法步驟如下。

①綁定:可信傳輸的第一步就是綁定,包括對可信根計算內容進行加密。

②簽名:可信傳輸的第二步就是簽名,使加密可信根計算內容成為證書的必然步驟。

③封印綁定:封印綁定是對證書內容加密。

④封印簽名:封印簽名對封印綁定內容進行簽名。

2.可信證書籤名認證

身份認證要儘可能少暴露自己的身份信息（這與身份認證的要求公開認證剛好矛盾，需要顺利获得可信雲計算認證解決）。

在TCG的體系裏,私隱即是EK,不可用它完成身份認證。因此,TCG體系中，身份認證通常用AK作EK的另一個名字。

A.AIK證書生成步驟

該方法類似傳統的解決方案,先要生成一個AK證書。

·AIK證書內容製作:所有者用公鑰密碼技術模塊生成一對AK密鑰,將公鑰與簽注證書、驗證證書和平台證書打包,從而完成AK證書內容製作。

·AIK證書內容發送:發送一個AIK證書內容的簽署請求給Privacy-CA。

·AIK證書內容驗證:可信第三方由驗證證書的有效性核驗AIK證書內容簽署請求的有效性。

·AIK證書內容簽名:可信第三方拿自己的簽名密鑰給AIK證書內容實施簽名。

·AIK證書返回:把簽名後的AIK證書返回給TPM。

B.AIK證書使用步驟

用AIK與AIK證書證明身份的步驟如下。

·平台1所有者傳送請求給平台2。

·平台2傳送證明的請求給平台1,並表明要哪些PCR值。

·對需要的PCR值，用AIK簽名。

·向平台2的校驗者發籤名之後的PCR值。

·與PrivacyCA共同辨認平台1的身份,評估其可信程度。

·評估平台1的環境配置狀態。

其中,以上的PCR值就是完整性度量值。

經過上述步驟,就可完成通信時的身份認證。評估了環境配置,通信雙方的狀態清楚了,因此抵抗惡意軟件的能力加強了。

因理論上一個用戶可有無限多個AIK,用戶在通信時,僅可信第三方清楚用戶的身份,通信對象不知道,私隱的暴露就降低了。

3.可信網絡連接(TNC)

可信網絡連接指的是基於可信計算技術的網絡連接規範。

TNC的架構的實體有請求訪問者、策略執行者和策略定義者3類。這些邏輯實體,可隨意分佈。TNC體系架構縱向也有3個層次。

·網絡訪問層:該層用來支持傳統的網絡連接技術,在該層里有3個實體。

·完整性評估層:評估一切請求訪問網絡實體的完整性。該層到上一層有兩個重要的接口,即IFMC和IFMV。

·完整性度量層:收集與檢驗請求訪問者的完整性有關信息的組件。

網絡連接前,TNC客戶端得把所需的完整性信息備好給收集者。在一個有TPM的終端里,即把網絡策略需要的信息顺利获得散列後存進PCRs，TPM服務端得先規定完整性的要求,然後給完整性驗證者。