CN102427449A - 一种基于安全芯片的可信移动存储方法 - Google Patents
一种基于安全芯片的可信移动存储方法 Download PDFInfo
- Publication number
- CN102427449A CN102427449A CN2011103462009A CN201110346200A CN102427449A CN 102427449 A CN102427449 A CN 102427449A CN 2011103462009 A CN2011103462009 A CN 2011103462009A CN 201110346200 A CN201110346200 A CN 201110346200A CN 102427449 A CN102427449 A CN 102427449A
- Authority
- CN
- China
- Prior art keywords
- trusted
- inter
- party
- safety chip
- trust domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
一种基于安全芯片的可信移动存储方法属于信息安全技术领域。其特征在于:其功能实体包括可信第三方、可信移动存储设备、可信用户主机;所述各功能实体均内置安全芯片;所述可信第三方由内置安全芯片的第三方服务器,或内嵌安全芯片的安全计算机担任;所述的可信移动存储设备是内嵌安全芯片且能够存储数据,并能够与可信用户主机交互数据的可移动装置;所述的可信用户主机,是内嵌安全芯片的计算机,是可信移动存储设备的访问主体。本发明提供了一种基于安全芯片的可信移动存储方法。
Description
技术领域
本发明是一种基于安全芯片的可信移动存储方法,以可信计算技术和安全芯片技术为基础,提供一种安全的移动存储方法,属于信息安全领域。
背景技术
随着计算机技术的不断发展及相关应用需求的不断变化,计算机安全以及信息安全方面的问题越来越突出。可信计算技术和安全芯片技术的不断进步为解决信息安全问题提出了新思路。本发明提出的基于安全芯片的可信移动存储方法用于机密信息的存储和移动,在保证安全性与可靠性的前提下,提升了机密信息传输和存储的灵活性和可移动性。
安全芯片采用可信计算技术、SOC技术,内部结构主要包括微处理器、易失性存储器、非易失性存储器、硬件密码算法引擎等;安全芯片内部存储出厂发行时下发的EK证书和相关身份证书;EK密钥、存储根密钥等核心密钥永不出芯片,保证了密钥与机密数据的安全存储;密钥生成、加密解密、数字签名与验证等核心操作在芯片内部安全高效地完成。安全存储是采用可信技术对密钥和敏感数据进行保护存储;通过报告机制完成平台和用户身份证明,建立可信的身份体系;安全芯片的密钥管理功能包括密钥的生成、存储、更新、销毁等。此外,安全芯片的功能还包括可信度量、随机数生成、数据加解密等。
发明内容
本发明目的是提供一种基于安全芯片的可信移动存储方法。
一种基于安全芯片的可信移动存储方法,其特征在于:其功能实体包括可信第三方、可信移动存储设备、可信用户主机;所述各功能实体均内置安全芯片;所述可信第三方由内置安全芯片的第三方服务器,或内嵌安全芯片的安全计算机担任;所述的可信移动存储设备是内嵌安全芯片且能够存储数据,并能够与可信用户主机交互数据的可移动装置;所述的可信用户主机,是内嵌安全芯片的计算机,是可信移动存储设备的访问主体;
所述的安全芯片内部结构至少包括控制与执行部件、易失性存储部件、非易失性存储部件、非对称密码算法引擎部件、对称密码算法引擎部件、哈希算法引擎部件、随机数生成部件、I/O接口部件;安全芯片内部包含表征芯片唯一性的EK密钥对,所述EK密钥对为非对称密钥,包括EK公钥和EK私钥;所述EK公钥是EK证书的一部分,在安全芯片出厂发行时随EK证书下发至安全芯片,所述EK私钥在安全芯片出厂发行时注入安全芯片内部,所述EK私钥受到安全芯片保护;与所述EK证书在出厂发行时一同下发至安全芯片的还有发行证书,所述发行证书内容至少包括安全芯片的设备唯一序列号;
所述的基于安全芯片的可信移动存储方法,其特征在于:至少包括可信域建立、可信域成员的认证与添加、可信域成员之间的双向身份认证、可信域成员之间的数据交互;所述的可信域是一个逻辑集合,可信域成员是经过可信第三方认证与授权的可信用户主机、可信移动存储设备,只有属于同一可信域的可信域成员之间允许交互数据;
1)可信域建立的步骤如下,其中的安全芯片均是指可信第三方的安全芯片:
a1)可信第三方的安全芯片的设备唯一序列号,与安全芯片的随机数生成部件产生的随机数一同,经过安全芯片的哈希算法引擎部件处理,生成可信第三方唯一标识信息,由安全芯片的非对称密码算法引擎部件加密保护;
a2)可信第三方的安全芯片的非对称密码算法引擎部件生成非对称密钥对,作为可信第三方根密钥;所述可信第三方根密钥包括公钥和私钥,所述可信第三方根密钥作为可信第三方认证授权信息,由安全芯片的非对称密码算法引擎部件加密保护;
a3)可信第三方由安全芯片的随机数生成部件产生用于生成可信域唯一标识信息的随机数,所述用于生成可信域唯一标识信息的随机数经过安全芯片的哈希算法引擎部件处理,生成可信域唯一标识信息,所述可信域唯一标识信息由安全芯片的对称密码算法引擎部件加密保护;
a4)可信第三方生成可信第三方根证书,所述可信第三方根证书至少包括可信第三方标识字段、可信第三方公钥字段、可信第三方根证书序列号字段、可信第三方根证书有效期字段、可信第三方自签名字段;所述可信第三方标识字段填充如a1)所述的可信第三方唯一标识信息,所述可信第三方公钥字段,填充如a2)所述的可信第三方根密钥的公钥,所述可信第三方根证书序列号字段填充可信第三方为可信第三方根证书产生的序列号,所述可信第三方根证书有效期字段填充由可信第三方设定的可信第三方根证书有效期,所述可信第三方自签名字段,填充安全芯片的哈希算法引擎部件和非对称密码算法引擎部件使用可信第三方根密钥的私钥,对所述可信第三方根证书的可信第三方标识字段、可信第三方公钥字段、可信第三方根证书序列号字段、可信第三方根证书有效期字段的数字签名;所述的可信第三方根证书,由安全芯片的对称密码算法引擎部件加密保护;
a5)可信第三方将可信域唯一标识信息存储于可信域数据库中相应的可信域记录中;所述的可信域数据库是可信第三方的功能模块,用于按记录存储可信域信息,所述可信域信息至少包括可信域唯一标识信息、可信域成员的安全芯片的设备唯一序列号、EK证书、发行证书;所述可信域数据库的内容存取时由安全芯片的非对称密码算法引擎部件或对称密码算法引擎部件加密解密;
2)可信域成员的认证与添加步骤如下:
b1)可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件产生非对称的身份密钥对和加密密钥对;所述的身份密钥对包括身份公钥和身份私钥,所述身份密钥对作为所述的可信移动存储设备或可信用户主机的身份唯一标识信息,由可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件加密保护;所述加密密钥对作为所述的可信移动存储设备或可信用户主机的加密密钥,加密密钥包括公钥和私钥,所述的加密密钥由可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件加密保护;
b2)如b1)所述的可信移动存储设备或可信用户主机,提交身份唯一标识信息的身份公钥、加密密钥的公钥以及可信移动存储设备或可信用户主机的安全芯片的EK证书和发行证书,向可信第三方发起请求;所述EK证书至少包含EK公钥;
b3)可信第三方审核并验证如b2)所述可信移动存储设备或可信用户主机提交的安全芯片的EK证书和发行证书,若通过验证则可信第三方为发出申请的可信移动存储设备或可信用户主机生成可信域成员认证证书,否则终止可信域成员的认证与添加;所述的可信域成员认证证书至少包括证书主体标识字段、证书主体身份公钥字段、证书主体加密公钥字段、可信域标识字段、可信第三方标识字段、证书序列号字段、证书有效期字段、可信第三方认证签名字段;所述的证书主体标识字段填充所述可信移动存储设备或可信用户主机的安全芯片的发行证书中的设备唯一序列号,所述的证书主体身份公钥字段填充所述可信移动存储设备或可信用户主机的身份唯一标识信息的身份公钥,所述的证书主体加密公钥字段填充所述可信移动存储设备或可信用户主机的加密密钥的公钥,所述的可信域标识字段,填充由可信域数据库中读取的可信域唯一标识信息,所述的可信第三方标识字段,填充可信第三方唯一标识信息,所述的证书序列号字段填充可信第三方产生的认证证书序列号,所述的证书有效期字段填充由可信第三方设定的可信域成员认证证书的有效期,所述的可信第三方认证签名字段,填充由可信第三方的安全芯片的非对称密码算法引擎部件使用可信第三方认证授权信息的私钥,对所述的可信域成员认证证书的证书主体标识字段、证书主体身份公钥字段、证书主体加密公钥字段、可信域标识字段、可信第三方标识字段、证书序列号字段、证书有效期字段经可信第三方的安全芯片的哈希算法引擎部件运算的结果的数字签名值;所述的可信域成员认证证书和可信第三方根证书,由可信第三方的安全芯片的非对称密码算法引擎部件加密后下发至如b2)所述的发起请求的可信移动存储设备或可信用户主机,加密使用的密钥为b2)所述的可信移动存储设备或可信用户主机提交的安全芯片EK证书中的EK公钥;
b4)可信第三方将所述的可信移动存储设备或可信用户主机的安全芯片的设备唯一序列号、EK证书、发行证书以及如b3)所述生成的可信域成员认证证书存储到可信域数据库中对应的可信域记录中,所述的可信移动存储设备或可信用户主机成为可信域成员;
b5)如b1)所述的可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件,使用可信移动存储设备或可信用户主机的安全芯片的EK私钥,解密收到的可信第三方签发并加密的可信域成员认证证书和可信第三方根证书;可信移动存储设备或可信用户主机的安全芯片的对称密码算法引擎部件加密存储可信域成员认证证书和可信第三方根证书;
3)可信域成员之间交互数据之前,双方必须经过双向身份认证,确认通信对方属于同一可信域,双向身份认证的具体步骤如下:
c1)可信移动存储设备连接到可信用户主机,双方交换各自的可信域成员认证证书;
c2)可信移动存储设备和可信用户主机双方首先读取对方可信域成员认证证书各字段内容,获取对方的可信第三方认证签名、可信域成员认证证书的有效期、可信域唯一标识信息、可信第三方唯一标识信息、安全芯片的设备唯一序列号、身份唯一标识信息的身份公钥、加密密钥的公钥;然后双方由各自的可信第三方根证书中提取可信第三方根密钥的公钥,双方各自的安全芯片的非对称密码算法引擎部件和哈希算法引擎部件使用所述的提取的可信第三方根密钥的公钥验证对方的可信第三方认证签名,确认对方的可信域成员认证证书由可信第三方签发且完整而未被篡改;之后双方验证对方的可信域成员认证证书的有效期,若在有效期内则继续下一步,否则终止双向身份认证;最后双方比较对方和自己的可信域唯一标识信息与可信第三方唯一标识信息,确认是否一致,若一致则继续下一步,否则终止双向身份认证;
c3)可信移动存储设备的安全芯片的随机数生成部件产生设备端随机数R1,与如c2)所述获取的可信用户主机的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息一起构成验证信息1;可信移动存储设备的安全芯片的哈希算法引擎部件对验证信息1进行哈希计算,所述哈希计算的结果由可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信移动存储设备的身份唯一标识信息的身份私钥进行数字签名,得到身份签名1,所述身份签名1与所述的验证信息1一起构成身份验证消息1;然后可信移动存储设备的安全芯片的对称密码算法引擎部件随机地产生会话密钥1,并使用会话密钥1加密身份验证消息1产生消息密文1;之后,可信移动存储设备的安全芯片的非对称密码算法引擎部件使用如c2)所述获取的可信用户主机的加密密钥的公钥加密会话密钥1,所述加密后的会话密钥1与所述的消息密文1一起,发送至可信用户主机;
c4)可信用户主机的安全芯片的非对称密码算法引擎部件使用可信用户主机自身的加密密钥的私钥,解密收到的已加密的会话密钥1,可信用户主机的安全芯片的对称密码算法引擎部件使用会话密钥1解密如c3)所述的消息密文1,得到身份验证消息1;然后可信用户主机的安全芯片的哈希算法引擎部件对身份验证消息1中的验证信息1进行哈希运算,可信用户主机的安全芯片的非对称密码算法引擎部件使用如2)所述获取的可信移动存储设备的身份唯一标识信息的身份公钥,与所述的验证信息1的哈希运算的结果一起,对所述身份验证消息1中的身份签名1进行签名验证,若验证成功则继续,否则终止双向身份认证;之后,可信用户主机由身份验证消息1中的验证信息1获取设备端随机数R1’,并提取安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息,与可信用户主机自身的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息分别进行比较,若全部一致,则继续,否则终止双向身份认证;
c5)可信用户主机的安全芯片产生主机端随机数R2,与收到的设备端随机数R1’、如c2)所述获取的可信移动存储设备的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息一起构成验证信息2;可信用户主机的安全芯片的哈希算法引擎部件对验证信息2进行哈希计算,所述哈希计算的结果由可信用户主机的安全芯片的非对称密码算法引擎部件使用可信用户主机的身份唯一标识信息的身份私钥进行数字签名,得到身份签名2,所述身份签名2与所述的验证信息2一起构成身份验证消息2;然后可信用户主机的安全芯片的对称密码算法引擎部件随机地产生会话密钥2,并使用会话密钥2加密身份验证消息2产生消息密文2;之后,可信用户主机的安全芯片的非对称密码算法引擎部件使用如c2)所述获取的可信移动存储设备的加密密钥的公钥加密会话密钥2,所述加密后的会话密钥2与所述的消息密文2一起,发送至可信移动存储设备;
c6)可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信移动存储设备自身的加密密钥的私钥,解密收到的已加密的会话密钥2,可信移动存储设备的安全芯片的对称密码算法引擎部件使用会话密钥2解密如c5)所述的消息密文2,得到身份验证消息2;然后可信移动存储设备的安全芯片的哈希算法引擎部件对身份验证消息2中的验证信息2进行哈希运算,可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信用户主机的身份唯一标识信息的身份公钥,与所述的验证信息2的哈希运算的结果一起,对所述身份验证消息2中的身份签名2进行签名验证,若验证成功则继续,否则终止双向身份认证;之后,可信移动存储设备由身份验证消息2中的验证信息2获取设备端随机数R1”、安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息,与设备端随机数R1、可信移动存储设备自身的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息分别进行比较,若全部一致,则继续,否则终止双向身份认证;
c7)可信移动存储设备由身份验证消息2中的验证信息2获取主机端随机数R2’,将获取的主机端随机数R2’与可信用户主机的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息一起构成验证信息3;可信移动存储设备的安全芯片的哈希算法引擎部件对验证信息3进行哈希计算,所述哈希计算的结果由可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信移动存储设备的身份唯一标识信息的身份私钥进行数字签名,得到身份签名3,所述身份签名3与所述的验证信息3一起构成身份验证消息3;然后可信移动存储设备的安全芯片的对称密码算法引擎部件随机地产生会话密钥3,并使用会话密钥3加密身份验证消息3产生消息密文3;之后,可信移动存储设备的安全芯片的非对称密码算法引擎部件使用如c2)所述获取的可信用户主机的加密密钥的公钥加密会话密钥3,所述加密后的会话密钥3与所述的消息密文3一起,发送至可信用户主机;
c8)可信用户主机的安全芯片的非对称密码算法引擎部件使用可信用户主机自身的加密密钥的私钥,解密收到的已加密的会话密钥3,可信用户主机的安全芯片的对称密码算法引擎部件使用会话密钥3解密如c7)所述的消息密文3,得到身份验证消息3;然后可信用户主机的安全芯片的哈希算法引擎部件对身份验证消息3中的验证信息3进行哈希运算,可信用户主机的安全芯片的非对称密码算法引擎部件使用如2)所述获取的可信移动存储设备的身份唯一标识信息的身份公钥,与所述的验证信息3的哈希运算的结果一起,对所述身份验证消息3中的身份签名3进行签名验证,若验证成功则继续,否则终止双向身份认证;之后,可信用户主机由身份验证消息3中的验证信息3提取主机端随机数R2”、安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息,与主机端随机数R2、可信用户主机自身的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息分别进行比较,若全部一致,则双向身份认证成功完成,否则终止双向身份认证;
4)可信域成员之间完成所述的双向身份认证后,双方可以进行正常的数据交互,可信用户主机向可信移动存储设备传输数据的具体步骤如下:
d1)可信用户主机的安全芯片的对称密码算法引擎部件随机地产生数据会话密钥1,并由数据会话密钥1对需要传输的数据1加密,生成加密数据1;可信用户主机的安全芯片的非对称密码算法引擎部件使用可信移动存储设备的加密密钥的公钥,对数据会话密钥1加密后,与加密数据1一起发送至可信移动存储设备;
d2)可信移动存储设备的安全芯片的非对称密码算法引擎部件,使用可信移动存储设备的加密密钥的私钥解密对方发送的加密后的数据会话密钥1;可信移动存储设备的安全芯片的对称密码算法引擎部件使用数据会话密钥1解密加密数据1,得到数据明文1;
d3)可信移动存储设备的安全芯片的对称密码算法引擎部件,将数据明文1加密后存储;
可信移动存储设备向可信用户主机传输数据的具体步骤如下:
e1)可信移动存储设备的安全芯片的对称密码算法引擎部件随机地产生数据会话密钥2,并由数据会话密钥2对需要传输的数据2加密,生成加密数据2;可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信用户主机的加密密钥的公钥,对数据会话密钥2加密后,与加密数据2一起发送至可信用户主机;
e2)可信用户主机的安全芯片的非对称密码算法引擎部件,使用可信用户主机的加密密钥的私钥解密对方发送的加密后的数据会话密钥2;可信用户主机的安全芯片的对称密码算法引擎部件使用数据会话密钥2解密加密数据2,得到数据明文2;
e3)可信用户主机的安全芯片的对称密码算法引擎部件,将数据明文2加密后存储。
所述的基于安全芯片的可信移动存储方法,其特征在于还包括可信域成员的移除,具体步骤如下:
f1)作为可信域成员的可信移动存储设备或可信用户主机的安全芯片的哈希算法引擎部件和非对称密码算法引擎部件使用自身的EK公钥,对所述可信移动存储设备或可信用户主机自身的安全芯片的EK证书和发行证书以及可信域成员认证证书进行数字签名;所述可信移动存储设备或可信用户主机将自身的安全芯片的EK证书和发行证书以及可信域成员认证证书,与所述数字签名的结果一同提交至可信第三方,发出移除请求;
f2)可信第三方由如f1)所述提交的可信域成员认证证书中提取可信域唯一标识信息和安全芯片的设备唯一序列号,可信第三方在可信域数据库中根据所述可信域唯一标识信息查询可信域的记录,在所述可信域的记录中由安全芯片的设备唯一序列号查询并读取相应可信域成员的安全芯片的EK证书和发行证书以及可信域成员认证证书,与如f1)所述提交的安全芯片的EK证书和发行证书以及可信域成员认证证书作比较,若一致则继续下一步,否则终止可信域成员的移除;可信第三方的安全芯片的哈希算法引擎部件和非对称密码算法引擎部件,使用所述的由可信域数据库中读取的EK证书中提取的EK公钥,对收到的如f1)所述的安全芯片的EK证书和发行证书以及可信域成员认证证书的数字签名进行签名验证,若验证通过则继续,否则终止可信域成员的移除;
f3)可信第三方向如f1)所述的发出移除请求的可信域成员发出移除可信域成员的命令;
f4)如f3)所述的可信域成员执行如f3)所述的移除可信域成员的命令,销毁可信域成员自身存储的可信第三方根证书、可信域成员认证证书、身份唯一标识信息、加密密钥,向可信第三方发送可信域成员移除成功的反馈;
f5)可信第三方收到如f4)所述的可信域成员移除成功的反馈之后,可信第三方在可信域数据库中删除如f4)所述的可信域成员在可信域数据库中的可信域记录中存储的安全芯片的设备唯一序列号、EK证书、发行证书以及可信域成员认证证书,将所述的可信域成员由可信域移除,完成可信域成员的移除。
所述的基于安全芯片的可信移动存储方法,其特征在于还包括可信域的撤销,具体步骤如下:
g1)可信第三方在可信域数据库中查询需要撤销的可信域的记录,对所述可信域的记录中所有的可信域成员发出移除可信域成员的命令;
g2)可信域成员执行如g1)所述的移除可信域成员的命令,销毁可信域成员自身存储的可信第三方根证书、可信域成员认证证书、身份唯一标识信息、加密密钥,向可信第三方发送可信域成员移除成功的反馈;
g3)可信第三方收到如g1)所述的需要撤销的可信域的所有的可信域成员的可信域成员移除成功的反馈之后,可信第三方在可信域数据库中删除所述的需要撤销的可信域的记录,完成可信域的撤销。
本发明提供一种安全的移动存储方法。
附图说明
图1可信移动存储系统组成框图。
图2可信移动存储系统各部分接口框图。
具体实施方式
可信移动存储系统组成:
可信第三方主机内置可信密码模块TCM安全芯片,所述的可信密码模块TCM安全芯片以直接嵌入主板或标准接口板卡连接的形式接入到主板,挂接在主板芯片组的标准总线上,构成可信第三方主机的安全子系统。
可信移动存储设备内置安全芯片,以集成于SOC芯片的安全功能模块或嵌入可信密码模块TCM安全芯片的形式嵌入到移动存储设备中,构成可信移动存储设备内的安全子系统。
可信用户主机内置可信密码模块TCM安全芯片,所述的可信密码模块TCM安全芯片以直接嵌入主板或标准接口板卡连接的形式接入到主板,挂接在主板芯片组的标准总线上,构成可信用户主机的安全子系统。
可信移动存储系统各部分通信方式
可信第三方和可信移动存储设备以USB方式通信,可信第三方和可信用户主机通过以太网进行通信,可信用户主机与可信移动存储设备以USB方式通信。可信移动存储系统各部分接口框图如图2所示。
典型实例
1可信第三方:
a)设备及器件选用:
主板支持LPC总线及接口的服务器
安全芯片:中兴SSX44
b)接口及其控制器:
LPC接口,LPC接口控制器由服务器主板芯片组内置
USB接口,USB接口控制器由服务器主板芯片组内置
以太网接口,以太网控制器由服务器主板芯片组内置
2可信移动存储设备:
a)器件选用:
安全芯片:Aone A980(SSX0803)安全芯片
非易失性存储器:W25系列SPI总线FLASH存储芯片,SPI接口控制器由A980处理器内置
b)主要组成结构:
控制器:Aone A980(SSX0803)内部集成32位RISC处理器
易失性存储器:Aone A980(SSX0803)片内RAM
非易失性存储器:Aone A980(SSX0803)片内FLASH
密码算法引擎:Aone A980(SSX0803)内部集成多种密码算法引擎
非对称算法引擎:SM2、RSA(1024~2048位),ECC(192~256位)
对称算法引擎:SM1、SSF33、SMS4、DES/3DES、AES
哈希算法引擎:SM3、SHA-1、SHA-256
随机数生成器:Aone A980(SSX0803)内部集成物理噪声真随机数发生器
USB接口控制器:Aone A980(SSX0803)内置USB接口控制器
SPI接口控制器:Aone A980(SSX0803)内置SPI接口控制器
3可信用户主机:
a)设备及器件选用:
主板支持LPC总线及接口的PC机
安全芯片:中兴SSX44
b)接口及其控制器:
LPC接口,LPC接口控制器由PC机主板芯片组内置
USB接口,USB接口控制器由PC机主板芯片组内置
以太网接口,以太网控制器由PC机主板芯片组内置
以下具体实施方式和发明内容基本相同只是为了完整又重复一遍。
所述的基于安全芯片的可信移动存储方法,其特征在于:至少包括可信域建立、可信域成员的认证与添加、可信域成员之间的双向身份认证、可信域成员之间的数据交互;所述的可信域是一个逻辑集合,可信域成员是经过可信第三方认证与授权的可信用户主机、可信移动存储设备,只有属于同一可信域的可信域成员之间允许交互数据;
5)可信域建立的步骤如下,其中的安全芯片均是指可信第三方的安全芯片:
a1)可信第三方的安全芯片的设备唯一序列号,与安全芯片的随机数生成部件产生的随机数一同,经过安全芯片的哈希算法引擎部件处理,生成可信第三方唯一标识信息,由安全芯片的非对称密码算法引擎部件加密保护;
a2)可信第三方的安全芯片的非对称密码算法引擎部件生成非对称密钥对,作为可信第三方根密钥;所述可信第三方根密钥包括公钥和私钥,所述可信第三方根密钥作为可信第三方认证授权信息,由安全芯片的非对称密码算法引擎部件加密保护;
a3)可信第三方由安全芯片的随机数生成部件产生用于生成可信域唯一标识信息的随机数,所述用于生成可信域唯一标识信息的随机数经过安全芯片的哈希算法引擎部件处理,生成可信域唯一标识信息,所述可信域唯一标识信息由安全芯片的对称密码算法引擎部件加密保护;
a4)可信第三方生成可信第三方根证书,所述可信第三方根证书至少包括可信第三方标识字段、可信第三方公钥字段、可信第三方根证书序列号字段、可信第三方根证书有效期字段、可信第三方自签名字段;所述可信第三方标识字段填充如a1)所述的可信第三方唯一标识信息,所述可信第三方公钥字段,填充如a2)所述的可信第三方根密钥的公钥,所述可信第三方根证书序列号字段填充可信第三方为可信第三方根证书产生的序列号,所述可信第三方根证书有效期字段填充由可信第三方设定的可信第三方根证书有效期,所述可信第三方自签名字段,填充安全芯片的哈希算法引擎部件和非对称密码算法引擎部件使用可信第三方根密钥的私钥,对所述可信第三方根证书的可信第三方标识字段、可信第三方公钥字段、可信第三方根证书序列号字段、可信第三方根证书有效期字段的数字签名;所述的可信第三方根证书,由安全芯片的对称密码算法引擎部件加密保护;
a5)可信第三方将可信域唯一标识信息存储于可信域数据库中相应的可信域记录中;所述的可信域数据库是可信第三方的功能模块,用于按记录存储可信域信息,所述可信域信息至少包括可信域唯一标识信息、可信域成员的安全芯片的设备唯一序列号、EK证书、发行证书;所述可信域数据库的内容存取时由安全芯片的非对称密码算法引擎部件或对称密码算法引擎部件加密解密;
6)可信域成员的认证与添加步骤如下:
b1)可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件产生非对称的身份密钥对和加密密钥对;所述的身份密钥对包括身份公钥和身份私钥,所述身份密钥对作为所述的可信移动存储设备或可信用户主机的身份唯一标识信息,由可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件加密保护;所述加密密钥对作为所述的可信移动存储设备或可信用户主机的加密密钥,加密密钥包括公钥和私钥,所述的加密密钥由可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件加密保护;
b2)如b1)所述的可信移动存储设备或可信用户主机,提交身份唯一标识信息的身份公钥、加密密钥的公钥以及可信移动存储设备或可信用户主机的安全芯片的EK证书和发行证书,向可信第三方发起请求;所述EK证书至少包含EK公钥;
b3)可信第三方审核并验证如b2)所述可信移动存储设备或可信用户主机提交的安全芯片的EK证书和发行证书,若通过验证则可信第三方为发出申请的可信移动存储设备或可信用户主机生成可信域成员认证证书,否则终止可信域成员的认证与添加;所述的可信域成员认证证书至少包括证书主体标识字段、证书主体身份公钥字段、证书主体加密公钥字段、可信域标识字段、可信第三方标识字段、证书序列号字段、证书有效期字段、可信第三方认证签名字段;所述的证书主体标识字段填充所述可信移动存储设备或可信用户主机的安全芯片的发行证书中的设备唯一序列号,所述的证书主体身份公钥字段填充所述可信移动存储设备或可信用户主机的身份唯一标识信息的身份公钥,所述的证书主体加密公钥字段填充所述可信移动存储设备或可信用户主机的加密密钥的公钥,所述的可信域标识字段,填充由可信域数据库中读取的可信域唯一标识信息,所述的可信第三方标识字段,填充可信第三方唯一标识信息,所述的证书序列号字段填充可信第三方产生的认证证书序列号,所述的证书有效期字段填充由可信第三方设定的可信域成员认证证书的有效期,所述的可信第三方认证签名字段,填充由可信第三方的安全芯片的非对称密码算法引擎部件使用可信第三方认证授权信息的私钥,对所述的可信域成员认证证书的证书主体标识字段、证书主体身份公钥字段、证书主体加密公钥字段、可信域标识字段、可信第三方标识字段、证书序列号字段、证书有效期字段经可信第三方的安全芯片的哈希算法引擎部件运算的结果的数字签名值;所述的可信域成员认证证书和可信第三方根证书,由可信第三方的安全芯片的非对称密码算法引擎部件加密后下发至如b2)所述的发起请求的可信移动存储设备或可信用户主机,加密使用的密钥为b2)所述的可信移动存储设备或可信用户主机提交的安全芯片EK证书中的EK公钥;
b4)可信第三方将所述的可信移动存储设备或可信用户主机的安全芯片的设备唯一序列号、EK证书、发行证书以及如b3)所述生成的可信域成员认证证书存储到可信域数据库中对应的可信域记录中,所述的可信移动存储设备或可信用户主机成为可信域成员;
b5)如b1)所述的可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件,使用可信移动存储设备或可信用户主机的安全芯片的EK私钥,解密收到的可信第三方签发并加密的可信域成员认证证书和可信第三方根证书;可信移动存储设备或可信用户主机的安全芯片的对称密码算法引擎部件加密存储可信域成员认证证书和可信第三方根证书;
7)可信域成员之间交互数据之前,双方必须经过双向身份认证,确认通信对方属于同一可信域,双向身份认证的具体步骤如下:
c1)可信移动存储设备连接到可信用户主机,双方交换各自的可信域成员认证证书;
c2)可信移动存储设备和可信用户主机双方首先读取对方可信域成员认证证书各字段内容,获取对方的可信第三方认证签名、可信域成员认证证书的有效期、可信域唯一标识信息、可信第三方唯一标识信息、安全芯片的设备唯一序列号、身份唯一标识信息的身份公钥、加密密钥的公钥;然后双方由各自的可信第三方根证书中提取可信第三方根密钥的公钥,双方各自的安全芯片的非对称密码算法引擎部件和哈希算法引擎部件使用所述的提取的可信第三方根密钥的公钥验证对方的可信第三方认证签名,确认对方的可信域成员认证证书由可信第三方签发且完整而未被篡改;之后双方验证对方的可信域成员认证证书的有效期,若在有效期内则继续下一步,否则终止双向身份认证;最后双方比较对方和自己的可信域唯一标识信息与可信第三方唯一标识信息,确认是否一致,若一致则继续下一步,否则终止双向身份认证;
c3)可信移动存储设备的安全芯片的随机数生成部件产生设备端随机数R1,与如c2)所述获取的可信用户主机的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息一起构成验证信息1;可信移动存储设备的安全芯片的哈希算法引擎部件对验证信息1进行哈希计算,所述哈希计算的结果由可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信移动存储设备的身份唯一标识信息的身份私钥进行数字签名,得到身份签名1,所述身份签名1与所述的验证信息1一起构成身份验证消息1;然后可信移动存储设备的安全芯片的对称密码算法引擎部件随机地产生会话密钥1,并使用会话密钥1加密身份验证消息1产生消息密文1;之后,可信移动存储设备的安全芯片的非对称密码算法引擎部件使用如c2)所述获取的可信用户主机的加密密钥的公钥加密会话密钥1,所述加密后的会话密钥1与所述的消息密文1一起,发送至可信用户主机;
c4)可信用户主机的安全芯片的非对称密码算法引擎部件使用可信用户主机自身的加密密钥的私钥,解密收到的已加密的会话密钥1,可信用户主机的安全芯片的对称密码算法引擎部件使用会话密钥1解密如c3)所述的消息密文1,得到身份验证消息1;然后可信用户主机的安全芯片的哈希算法引擎部件对身份验证消息1中的验证信息1进行哈希运算,可信用户主机的安全芯片的非对称密码算法引擎部件使用如2)所述获取的可信移动存储设备的身份唯一标识信息的身份公钥,与所述的验证信息1的哈希运算的结果一起,对所述身份验证消息1中的身份签名1进行签名验证,若验证成功则继续,否则终止双向身份认证;之后,可信用户主机由身份验证消息1中的验证信息1获取设备端随机数R1’,并提取安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息,与可信用户主机自身的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息分别进行比较,若全部一致,则继续,否则终止双向身份认证;
c5)可信用户主机的安全芯片产生主机端随机数R2,与收到的设备端随机数R1’、如c2)所述获取的可信移动存储设备的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息一起构成验证信息2;可信用户主机的安全芯片的哈希算法引擎部件对验证信息2进行哈希计算,所述哈希计算的结果由可信用户主机的安全芯片的非对称密码算法引擎部件使用可信用户主机的身份唯一标识信息的身份私钥进行数字签名,得到身份签名2,所述身份签名2与所述的验证信息2一起构成身份验证消息2;然后可信用户主机的安全芯片的对称密码算法引擎部件随机地产生会话密钥2,并使用会话密钥2加密身份验证消息2产生消息密文2;之后,可信用户主机的安全芯片的非对称密码算法引擎部件使用如c2)所述获取的可信移动存储设备的加密密钥的公钥加密会话密钥2,所述加密后的会话密钥2与所述的消息密文2一起,发送至可信移动存储设备;
c6)可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信移动存储设备自身的加密密钥的私钥,解密收到的已加密的会话密钥2,可信移动存储设备的安全芯片的对称密码算法引擎部件使用会话密钥2解密如c5)所述的消息密文2,得到身份验证消息2;然后可信移动存储设备的安全芯片的哈希算法引擎部件对身份验证消息2中的验证信息2进行哈希运算,可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信用户主机的身份唯一标识信息的身份公钥,与所述的验证信息2的哈希运算的结果一起,对所述身份验证消息2中的身份签名2进行签名验证,若验证成功则继续,否则终止双向身份认证;之后,可信移动存储设备由身份验证消息2中的验证信息2获取设备端随机数R1”、安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息,与设备端随机数R1、可信移动存储设备自身的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息分别进行比较,若全部一致,则继续,否则终止双向身份认证;
c7)可信移动存储设备由身份验证消息2中的验证信息2获取主机端随机数R2’,将获取的主机端随机数R2’与可信用户主机的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息一起构成验证信息3;可信移动存储设备的安全芯片的哈希算法引擎部件对验证信息3进行哈希计算,所述哈希计算的结果由可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信移动存储设备的身份唯一标识信息的身份私钥进行数字签名,得到身份签名3,所述身份签名3与所述的验证信息3一起构成身份验证消息3;然后可信移动存储设备的安全芯片的对称密码算法引擎部件随机地产生会话密钥3,并使用会话密钥3加密身份验证消息3产生消息密文3;之后,可信移动存储设备的安全芯片的非对称密码算法引擎部件使用如c2)所述获取的可信用户主机的加密密钥的公钥加密会话密钥3,所述加密后的会话密钥3与所述的消息密文3一起,发送至可信用户主机;
c8)可信用户主机的安全芯片的非对称密码算法引擎部件使用可信用户主机自身的加密密钥的私钥,解密收到的已加密的会话密钥3,可信用户主机的安全芯片的对称密码算法引擎部件使用会话密钥3解密如c7)所述的消息密文3,得到身份验证消息3;然后可信用户主机的安全芯片的哈希算法引擎部件对身份验证消息3中的验证信息3进行哈希运算,可信用户主机的安全芯片的非对称密码算法引擎部件使用如2)所述获取的可信移动存储设备的身份唯一标识信息的身份公钥,与所述的验证信息3的哈希运算的结果一起,对所述身份验证消息3中的身份签名3进行签名验证,若验证成功则继续,否则终止双向身份认证;之后,可信用户主机由身份验证消息3中的验证信息3提取主机端随机数R2”、安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息,与主机端随机数R2、可信用户主机自身的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息分别进行比较,若全部一致,则双向身份认证成功完成,否则终止双向身份认证;
8)可信域成员之间完成所述的双向身份认证后,双方可以进行正常的数据交互,可信用户主机向可信移动存储设备传输数据的具体步骤如下:
d1)可信用户主机的安全芯片的对称密码算法引擎部件随机地产生数据会话密钥1,并由数据会话密钥1对需要传输的数据1加密,生成加密数据1;可信用户主机的安全芯片的非对称密码算法引擎部件使用可信移动存储设备的加密密钥的公钥,对数据会话密钥1加密后,与加密数据1一起发送至可信移动存储设备;
d2)可信移动存储设备的安全芯片的非对称密码算法引擎部件,使用可信移动存储设备的加密密钥的私钥解密对方发送的加密后的数据会话密钥1;可信移动存储设备的安全芯片的对称密码算法引擎部件使用数据会话密钥1解密加密数据1,得到数据明文1;
d3)可信移动存储设备的安全芯片的对称密码算法引擎部件,将数据明文1加密后存储;
可信移动存储设备向可信用户主机传输数据的具体步骤如下:
e1)可信移动存储设备的安全芯片的对称密码算法引擎部件随机地产生数据会话密钥2,并由数据会话密钥2对需要传输的数据2加密,生成加密数据2;可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信用户主机的加密密钥的公钥,对数据会话密钥2加密后,与加密数据2一起发送至可信用户主机;
e2)可信用户主机的安全芯片的非对称密码算法引擎部件,使用可信用户主机的加密密钥的私钥解密对方发送的加密后的数据会话密钥2;可信用户主机的安全芯片的对称密码算法引擎部件使用数据会话密钥2解密加密数据2,得到数据明文2;
e3)可信用户主机的安全芯片的对称密码算法引擎部件,将数据明文2加密后存储。
所述的基于安全芯片的可信移动存储方法,其特征在于还包括可信域成员的移除,具体步骤如下:
f1)作为可信域成员的可信移动存储设备或可信用户主机的安全芯片的哈希算法引擎部件和非对称密码算法引擎部件使用自身的EK公钥,对所述可信移动存储设备或可信用户主机自身的安全芯片的EK证书和发行证书以及可信域成员认证证书进行数字签名;所述可信移动存储设备或可信用户主机将自身的安全芯片的EK证书和发行证书以及可信域成员认证证书,与所述数字签名的结果一同提交至可信第三方,发出移除请求;
f2)可信第三方由如f1)所述提交的可信域成员认证证书中提取可信域唯一标识信息和安全芯片的设备唯一序列号,可信第三方在可信域数据库中根据所述可信域唯一标识信息查询可信域的记录,在所述可信域的记录中由安全芯片的设备唯一序列号查询并读取相应可信域成员的安全芯片的EK证书和发行证书以及可信域成员认证证书,与如f1)所述提交的安全芯片的EK证书和发行证书以及可信域成员认证证书作比较,若一致则继续下一步,否则终止可信域成员的移除;可信第三方的安全芯片的哈希算法引擎部件和非对称密码算法引擎部件,使用所述的由可信域数据库中读取的EK证书中提取的EK公钥,对收到的如f1)所述的安全芯片的EK证书和发行证书以及可信域成员认证证书的数字签名进行签名验证,若验证通过则继续,否则终止可信域成员的移除;
f3)可信第三方向如f1)所述的发出移除请求的可信域成员发出移除可信域成员的命令;
f4)如f3)所述的可信域成员执行如f3)所述的移除可信域成员的命令,销毁可信域成员自身存储的可信第三方根证书、可信域成员认证证书、身份唯一标识信息、加密密钥,向可信第三方发送可信域成员移除成功的反馈;
f5)可信第三方收到如f4)所述的可信域成员移除成功的反馈之后,可信第三方在可信域数据库中删除如f4)所述的可信域成员在可信域数据库中的可信域记录中存储的安全芯片的设备唯一序列号、EK证书、发行证书以及可信域成员认证证书,将所述的可信域成员由可信域移除,完成可信域成员的移除。
所述的基于安全芯片的可信移动存储方法,其特征在于还包括可信域的撤销,具体步骤如下:
g1)可信第三方在可信域数据库中查询需要撤销的可信域的记录,对所述可信域的记录中所有的可信域成员发出移除可信域成员的命令;
g2)可信域成员执行如g1)所述的移除可信域成员的命令,销毁可信域成员自身存储的可信第三方根证书、可信域成员认证证书、身份唯一标识信息、加密密钥,向可信第三方发送可信域成员移除成功的反馈;
g3)可信第三方收到如g1)所述的需要撤销的可信域的所有的可信域成员的可信域成员移除成功的反馈之后,可信第三方在可信域数据库中删除所述的需要撤销的可信域的记录,完成可信域的撤销。
Claims (3)
1.一种基于安全芯片的可信移动存储方法,其特征在于:其功能实体包括可信第三方、可信移动存储设备、可信用户主机;所述各功能实体均内置安全芯片;所述可信第三方由内置安全芯片的第三方服务器,或内嵌安全芯片的安全计算机担任;所述的可信移动存储设备是内嵌安全芯片且能够存储数据,并能够与可信用户主机交互数据的可移动装置;所述的可信用户主机,是内嵌安全芯片的计算机,是可信移动存储设备的访问主体;
所述的安全芯片内部结构至少包括控制与执行部件、易失性存储部件、非易失性存储部件、非对称密码算法引擎部件、对称密码算法引擎部件、哈希算法引擎部件、随机数生成部件、I/O接口部件;安全芯片内部包含表征芯片唯一性的EK密钥对,所述EK密钥对为非对称密钥,包括EK公钥和EK私钥;
所述EK公钥是EK证书的一部分,在安全芯片出厂发行时随EK证书下发至安全芯片,所述EK私钥在安全芯片出厂发行时注入安全芯片内部,所述EK私钥受到安全芯片保护;与所述EK证书在出厂发行时一同下发至安全芯片的还有发行证书,所述发行证书内容至少包括安全芯片的设备唯一序列号;
所述的基于安全芯片的可信移动存储方法,其特征在于:至少包括可信域建立、可信域成员的认证与添加、可信域成员之间的双向身份认证、可信域成员之间的数据交互;所述的可信域是一个逻辑集合,可信域成员是经过可信第三方认证与授权的可信用户主机、可信移动存储设备,只有属于同一可信域的可信域成员之间允许交互数据;
1)可信域建立的步骤如下,其中的安全芯片均是指可信第三方的安全芯片:
a1)可信第三方的安全芯片的设备唯一序列号,与安全芯片的随机数生成部件产生的随机数一同,经过安全芯片的哈希算法引擎部件处理,生成可信第三方唯一标识信息,由安全芯片的非对称密码算法引擎部件加密保护;
a2)可信第三方的安全芯片的非对称密码算法引擎部件生成非对称密钥对,作为可信第三方根密钥;所述可信第三方根密钥包括公钥和私钥,所述可信第三方根密钥作为可信第三方认证授权信息,由安全芯片的非对称密码算法引擎部件加密保护;
a3)可信第三方由安全芯片的随机数生成部件产生用于生成可信域唯一标识信息的随机数,所述用于生成可信域唯一标识信息的随机数经过安全芯片的哈希算法引擎部件处理,生成可信域唯一标识信息,所述可信域唯一标识信息由安全芯片的对称密码算法引擎部件加密保护;
a4)可信第三方生成可信第三方根证书,所述可信第三方根证书至少包括可信第三方标识字段、可信第三方公钥字段、可信第三方根证书序列号字段、可信第三方根证书有效期字段、可信第三方自签名字段;所述可信第三方标识字段填充如a1)所述的可信第三方唯一标识信息,所述可信第三方公钥字段,填充如a2)所述的可信第三方根密钥的公钥,所述可信第三方根证书序列号字段填充可信第三方为可信第三方根证书产生的序列号,所述可信第三方根证书有效期字段填充由可信第三方设定的可信第三方根证书有效期,所述可信第三方自签名字段,填充安全芯片的哈希算法引擎部件和非对称密码算法引擎部件使用可信第三方根密钥的私钥,对所述可信第三方根证书的可信第三方标识字段、可信第三方公钥字段、可信第三方根证书序列号字段、可信第三方根证书有效期字段的数字签名;所述的可信第三方根证书,由安全芯片的对称密码算法引擎部件加密保护;
a5)可信第三方将可信域唯一标识信息存储于可信域数据库中相应的可信域记录中;所述的可信域数据库是可信第三方的功能模块,用于按记录存储可信域信息,所述可信域信息至少包括可信域唯一标识信息、可信域成员的安全芯片的设备唯一序列号、EK证书、发行证书;所述可信域数据库的内容存取时由安全芯片的非对称密码算法引擎部件或对称密码算法引擎部件加密解密;
2)可信域成员的认证与添加步骤如下:
b1)可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件产生非对称的身份密钥对和加密密钥对;所述的身份密钥对包括身份公钥和身份私钥,所述身份密钥对作为所述的可信移动存储设备或可信用户主机的身份唯一标识信息,由可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件加密保护;所述加密密钥对作为所述的可信移动存储设备或可信用户主机的加密密钥,加密密钥包括公钥和私钥,所述的加密密钥由可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件加密保护;
b2)如b1)所述的可信移动存储设备或可信用户主机,提交身份唯一标识信息的身份公钥、加密密钥的公钥以及可信移动存储设备或可信用户主机的安全芯片的EK证书和发行证书,向可信第三方发起请求;所述EK证书至少包含EK公钥;
b3)可信第三方审核并验证如b2)所述可信移动存储设备或可信用户主机提交的安全芯片的EK证书和发行证书,若通过验证则可信第三方为发出申请的可信移动存储设备或可信用户主机生成可信域成员认证证书,否则终止可信域成员的认证与添加;所述的可信域成员认证证书至少包括证书主体标识字段、证书主体身份公钥字段、证书主体加密公钥字段、可信域标识字段、可信第三方标识字段、证书序列号字段、证书有效期字段、可信第三方认证签名字段;所述的证书主体标识字段填充所述可信移动存储设备或可信用户主机的安全芯片的发行证书中的设备唯一序列号,所述的证书主体身份公钥字段填充所述可信移动存储设备或可信用户主机的身份唯一标识信息的身份公钥,所述的证书主体加密公钥字段填充所述可信移动存储设备或可信用户主机的加密密钥的公钥,所述的可信域标识字段,填充由可信域数据库中读取的可信域唯一标识信息,所述的可信第三方标识字段,填充可信第三方唯一标识信息,所述的证书序列号字段填充可信第三方产生的认证证书序列号,所述的证书有效期字段填充由可信第三方设定的可信域成员认证证书的有效期,所述的可信第三方认证签名字段,填充由可信第三方的安全芯片的非对称密码算法引擎部件使用可信第三方认证授权信息的私钥,对所述的可信域成员认证证书的证书主体标识字段、证书主体身份公钥字段、证书主体加密公钥字段、可信域标识字段、可信第三方标识字段、证书序列号字段、证书有效期字段经可信第三方的安全芯片的哈希算法引擎部件运算的结果的数字签名值;所述的可信域成员认证证书和可信第三方根证书,由可信第三方的安全芯片的非对称密码算法引擎部件加密后下发至如b2)所述的发起请求的可信移动存储设备或可信用户主机,加密使用的密钥为b2)所述的可信移动存储设备或可信用户主机提交的安全芯片EK证书中的EK公钥;
b4)可信第三方将所述的可信移动存储设备或可信用户主机的安全芯片的设备唯一序列号、EK证书、发行证书以及如b3)所述生成的可信域成员认证证书存储到可信域数据库中对应的可信域记录中,所述的可信移动存储设备或可信用户主机成为可信域成员;
b5)如b1)所述的可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件,使用可信移动存储设备或可信用户主机的安全芯片的EK私钥,解密收到的可信第三方签发并加密的可信域成员认证证书和可信第三方根证书;可信移动存储设备或可信用户主机的安全芯片的对称密码算法引擎部件加密存储可信域成员认证证书和可信第三方根证书;
3)可信域成员之间交互数据之前,双方必须经过双向身份认证,确认通信对方属于同一可信域,双向身份认证的具体步骤如下:
c1)可信移动存储设备连接到可信用户主机,双方交换各自的可信域成员认证证书;
c2)可信移动存储设备和可信用户主机双方首先读取对方可信域成员认证证书各字段内容,获取对方的可信第三方认证签名、可信域成员认证证书的有效期、可信域唯一标识信息、可信第三方唯一标识信息、安全芯片的设备唯一序列号、身份唯一标识信息的身份公钥、加密密钥的公钥;然后双方由各自的可信第三方根证书中提取可信第三方根密钥的公钥,双方各自的安全芯片的非对称密码算法引擎部件和哈希算法引擎部件使用所述的提取的可信第三方根密钥的公钥验证对方的可信第三方认证签名,确认对方的可信域成员认证证书由可信第三方签发且完整而未被篡改;之后双方验证对方的可信域成员认证证书的有效期,若在有效期内则继续下一步,否则终止双向身份认证;最后双方比较对方和自己的可信域唯一标识信息与可信第三方唯一标识信息,确认是否一致,若一致则继续下一步,否则终止双向身份认证;
c3)可信移动存储设备的安全芯片的随机数生成部件产生设备端随机数R1,与如c2)所述获取的可信用户主机的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息一起构成验证信息1;可信移动存储设备的安全芯片的哈希算法引擎部件对验证信息1进行哈希计算,所述哈希计算的结果由可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信移动存储设备的身份唯一标识信息的身份私钥进行数字签名,得到身份签名1,所述身份签名1与所述的验证信息1一起构成身份验证消息1;然后可信移动存储设备的安全芯片的对称密码算法引擎部件随机地产生会话密钥1,并使用会话密钥1加密身份验证消息1产生消息密文1;之后,可信移动存储设备的安全芯片的非对称密码算法引擎部件使用如c2)所述获取的可信用户主机的加密密钥的公钥加密会话密钥1,所述加密后的会话密钥1与所述的消息密文1一起,发送至可信用户主机;
c4)可信用户主机的安全芯片的非对称密码算法引擎部件使用可信用户主机自身的加密密钥的私钥,解密收到的已加密的会话密钥1,可信用户主机的安全芯片的对称密码算法引擎部件使用会话密钥1解密如c3)所述的消息密文1,得到身份验证消息1;然后可信用户主机的安全芯片的哈希算法引擎部件对身份验证消息1中的验证信息1进行哈希运算,可信用户主机的安全芯片的非对称密码算法引擎部件使用如2)所述获取的可信移动存储设备的身份唯一标识信息的身份公钥,与所述的验证信息1的哈希运算的结果一起,对所述身份验证消息1中的身份签名1进行签名验证,若验证成功则继续,否则终止双向身份认证;之后,可信用户主机由身份验证消息1中的验证信息1获取设备端随机数R1’,并提取安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息,与可信用户主机自身的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息分别进行比较,若全部一致,则继续,否则终止双向身份认证;
c5)可信用户主机的安全芯片产生主机端随机数R2,与收到的设备端随机数R1’、如c2)所述获取的可信移动存储设备的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息一起构成验证信息2;可信用户主机的安全芯片的哈希算法引擎部件对验证信息2进行哈希计算,所述哈希计算的结果由可信用户主机的安全芯片的非对称密码算法引擎部件使用可信用户主机的身份唯一标识信息的身份私钥进行数字签名,得到身份签名2,所述身份签名2与所述的验证信息2一起构成身份验证消息2;然后可信用户主机的安全芯片的对称密码算法引擎部件随机地产生会话密钥2,并使用会话密钥2加密身份验证消息2产生消息密文2;之后,可信用户主机的安全芯片的非对称密码算法引擎部件使用如c2)所述获取的可信移动存储设备的加密密钥的公钥加密会话密钥2,所述加密后的会话密钥2与所述的消息密文2一起,发送至可信移动存储设备;
c6)可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信移动存储设备自身的加密密钥的私钥,解密收到的已加密的会话密钥2,可信移动存储设备的安全芯片的对称密码算法引擎部件使用会话密钥2解密如c5)所述的消息密文2,得到身份验证消息2;然后可信移动存储设备的安全芯片的哈希算法引擎部件对身份验证消息2中的验证信息2进行哈希运算,可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信用户主机的身份唯一标识信息的身份公钥,与所述的验证信息2的哈希运算的结果一起,对所述身份验证消息2中的身份签名2进行签名验证,若验证成功则继续,否则终止双向身份认证;之后,可信移动存储设备由身份验证消息2中的验证信息2获取设备端随机数R1”、安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息,与设备端随机数R1、可信移动存储设备自身的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息分别进行比较,若全部一致,则继续,否则终止双向身份认证;
c7)可信移动存储设备由身份验证消息2中的验证信息2获取主机端随机数R2’,将获取的主机端随机数R2’与可信用户主机的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息一起构成验证信息3;可信移动存储设备的安全芯片的哈希算法引擎部件对验证信息3进行哈希计算,所述哈希计算的结果由可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信移动存储设备的身份唯一标识信息的身份私钥进行数字签名,得到身份签名3,所述身份签名3与所述的验证信息3一起构成身份验证消息3;然后可信移动存储设备的安全芯片的对称密码算法引擎部件随机地产生会话密钥3,并使用会话密钥3加密身份验证消息3产生消息密文3;之后,可信移动存储设备的安全芯片的非对称密码算法引擎部件使用如c2)所述获取的可信用户主机的加密密钥的公钥加密会话密钥3,所述加密后的会话密钥3与所述的消息密文3一起,发送至可信用户主机;
c8)可信用户主机的安全芯片的非对称密码算法引擎部件使用可信用户主机自身的加密密钥的私钥,解密收到的已加密的会话密钥3,可信用户主机的安全芯片的对称密码算法引擎部件使用会话密钥3解密如c7)所述的消息密文3,得到身份验证消息3;然后可信用户主机的安全芯片的哈希算法引擎部件对身份验证消息3中的验证信息3进行哈希运算,可信用户主机的安全芯片的非对称密码算法引擎部件使用如2)所述获取的可信移动存储设备的身份唯一标识信息的身份公钥,与所述的验证信息3的哈希运算的结果一起,对所述身份验证消息3中的身份签名3进行签名验证,若验证成功则继续,否则终止双向身份认证;之后,可信用户主机由身份验证消息3中的验证信息3提取主机端随机数R2”、安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息,与主机端随机数R2、可信用户主机自身的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息分别进行比较,若全部一致,则双向身份认证成功完成,否则终止双向身份认证;
4)可信域成员之间完成所述的双向身份认证后,双方可以进行正常的数据交互,可信用户主机向可信移动存储设备传输数据的具体步骤如下:
d1)可信用户主机的安全芯片的对称密码算法引擎部件随机地产生数据会话密钥1,并由数据会话密钥1对需要传输的数据1加密,生成加密数据1;可信用户主机的安全芯片的非对称密码算法引擎部件使用可信移动存储设备的加密密钥的公钥,对数据会话密钥1加密后,与加密数据1一起发送至可信移动存储设备;
d2)可信移动存储设备的安全芯片的非对称密码算法引擎部件,使用可信移动存储设备的加密密钥的私钥解密对方发送的加密后的数据会话密钥1;可信移动存储设备的安全芯片的对称密码算法引擎部件使用数据会话密钥1解密加密数据1,得到数据明文1;
d3)可信移动存储设备的安全芯片的对称密码算法引擎部件,将数据明文1加密后存储;
可信移动存储设备向可信用户主机传输数据的具体步骤如下:
e1)可信移动存储设备的安全芯片的对称密码算法引擎部件随机地产生数据会话密钥2,并由数据会话密钥2对需要传输的数据2加密,生成加密数据2;可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信用户主机的加密密钥的公钥,对数据会话密钥2加密后,与加密数据2一起发送至可信用户主机;
e2)可信用户主机的安全芯片的非对称密码算法引擎部件,使用可信用户主机的加密密钥的私钥解密对方发送的加密后的数据会话密钥2;可信用户主机的安全芯片的对称密码算法引擎部件使用数据会话密钥2解密加密数据2,得到数据明文2;
e3)可信用户主机的安全芯片的对称密码算法引擎部件,将数据明文2加密后存储。
2.如权利要求1所述的基于安全芯片的可信移动存储方法,其特征在于还包括可信域成员的移除,具体步骤如下:
f1)作为可信域成员的可信移动存储设备或可信用户主机的安全芯片的哈希算法引擎部件和非对称密码算法引擎部件使用自身的EK公钥,对所述可信移动存储设备或可信用户主机自身的安全芯片的EK证书和发行证书以及可信域成员认证证书进行数字签名;所述可信移动存储设备或可信用户主机将自身的安全芯片的EK证书和发行证书以及可信域成员认证证书,与所述数字签名的结果一同提交至可信第三方,发出移除请求;
f2)可信第三方由如f1)所述提交的可信域成员认证证书中提取可信域唯一标识信息和安全芯片的设备唯一序列号,可信第三方在可信域数据库中根据所述可信域唯一标识信息查询可信域的记录,在所述可信域的记录中由安全芯片的设备唯一序列号查询并读取相应可信域成员的安全芯片的EK证书和发行证书以及可信域成员认证证书,与如f1)所述提交的安全芯片的EK证书和发行证书以及可信域成员认证证书作比较,若一致则继续下一步,否则终止可信域成员的移除;可信第三方的安全芯片的哈希算法引擎部件和非对称密码算法引擎部件,使用所述的由可信域数据库中读取的EK证书中提取的EK公钥,对收到的如f1)所述的安全芯片的EK证书和发行证书以及可信域成员认证证书的数字签名进行签名验证,若验证通过则继续,否则终止可信域成员的移除;
f3)可信第三方向如f1)所述的发出移除请求的可信域成员发出移除可信域成员的命令;
f4)如f3)所述的可信域成员执行如f3)所述的移除可信域成员的命令,销毁可信域成员自身存储的可信第三方根证书、可信域成员认证证书、身份唯一标识信息、加密密钥,向可信第三方发送可信域成员移除成功的反馈;
f5)可信第三方收到如f4)所述的可信域成员移除成功的反馈之后,可信第三方在可信域数据库中删除如f4)所述的可信域成员在可信域数据库中的可信域记录中存储的安全芯片的设备唯一序列号、EK证书、发行证书以及可信域成员认证证书,将所述的可信域成员由可信域移除,完成可信域成员的移除。
3.如权利要求1所述的基于安全芯片的可信移动存储方法,其特征在于还包括可信域的撤销,具体步骤如下:
g1)可信第三方在可信域数据库中查询需要撤销的可信域的记录,对所述可信域的记录中所有的可信域成员发出移除可信域成员的命令;
g2)可信域成员执行如g1)所述的移除可信域成员的命令,销毁可信域成员自身存储的可信第三方根证书、可信域成员认证证书、身份唯一标识信息、加密密钥,向可信第三方发送可信域成员移除成功的反馈;
g3)可信第三方收到如g1)所述的需要撤销的可信域的所有的可信域成员的可信域成员移除成功的反馈之后,可信第三方在可信域数据库中删除所述的需要撤销的可信域的记录,完成可信域的撤销。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110346200.9A CN102427449B (zh) | 2011-11-04 | 2011-11-04 | 一种基于安全芯片的可信移动存储方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110346200.9A CN102427449B (zh) | 2011-11-04 | 2011-11-04 | 一种基于安全芯片的可信移动存储方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102427449A true CN102427449A (zh) | 2012-04-25 |
| CN102427449B CN102427449B (zh) | 2014-04-09 |
Family
ID=45961392
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110346200.9A Expired - Fee Related CN102427449B (zh) | 2011-11-04 | 2011-11-04 | 一种基于安全芯片的可信移动存储方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102427449B (zh) |
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932762A (zh) * | 2012-09-20 | 2013-02-13 | 无锡华御信息技术有限公司 | 基于gsm的移动存储设备远程集中管控加密系统和方法 |
| CN103647654A (zh) * | 2013-12-25 | 2014-03-19 | 国家电网公司 | 一种基于可信计算的配电终端密钥管理方法 |
| CN103761467A (zh) * | 2013-12-31 | 2014-04-30 | 航天数字传媒有限公司 | 一种终端授权装置和授权系统 |
| CN103824005A (zh) * | 2014-03-11 | 2014-05-28 | 东南大学 | 一种内嵌可配置ip核的防复制系统及防复制方法 |
| CN103929422A (zh) * | 2014-04-08 | 2014-07-16 | 北京工业大学 | 基于sdn的可信域间安全认证协议 |
| CN104135472A (zh) * | 2014-07-14 | 2014-11-05 | 国电南瑞科技股份有限公司 | 一种基于第三方验证的变电站命令交互方法 |
| CN104468627A (zh) * | 2014-12-30 | 2015-03-25 | 成都三零瑞通移动通信有限公司 | 一种通过服务器进行终端数据备份的数据加密方法及系统 |
| CN104580250A (zh) * | 2015-01-29 | 2015-04-29 | 成都卫士通信息产业股份有限公司 | 一种基于安全芯片进行可信身份认证的系统和方法 |
| CN104616148A (zh) * | 2015-01-23 | 2015-05-13 | 恒银金融科技有限公司 | 一种可穿戴式支付终端的支付方法及该支付终端 |
| CN105049401A (zh) * | 2015-03-19 | 2015-11-11 | 浙江大学 | 一种基于智能车的安全通信方法 |
| WO2015172352A1 (en) * | 2014-05-15 | 2015-11-19 | Seagate Technology Llc | Storage device tampering detection |
| CN105528239A (zh) * | 2016-01-15 | 2016-04-27 | 北京工业大学 | 基于可信根服务器的虚拟可信平台模块的密钥管理方法 |
| CN106161024A (zh) * | 2015-04-03 | 2016-11-23 | 同方股份有限公司 | 一种usb控制芯片级的usb设备可信认证方法及其系统 |
| CN106453330A (zh) * | 2016-10-18 | 2017-02-22 | 深圳市金立通信设备有限公司 | 一种身份认证的方法和系统 |
| CN106797317A (zh) * | 2014-10-06 | 2017-05-31 | 美光科技公司 | 安全共享密钥共享系统及方法 |
| WO2017133485A1 (zh) * | 2016-02-02 | 2017-08-10 | 阿里巴巴集团控股有限公司 | 一种建立设备间通信的方法、装置和系统 |
| CN107994998A (zh) * | 2018-01-24 | 2018-05-04 | 国民认证科技(北京)有限公司 | 一种身份认证信息加密方法及系统 |
| CN108140077A (zh) * | 2015-10-08 | 2018-06-08 | 汤姆逊许可公司 | 用于在用户设备中生成密码的设备和方法 |
| CN108345803A (zh) * | 2018-03-22 | 2018-07-31 | 北京可信华泰科技有限公司 | 一种可信存储设备的数据存取方法及装置 |
| CN108416222A (zh) * | 2018-01-27 | 2018-08-17 | 陕西海博安全科技设备工程有限公司 | 一种信息安全的控制方法 |
| CN108550036A (zh) * | 2018-03-20 | 2018-09-18 | 中国银联股份有限公司 | 一种建立安全基础设施的方法、终端及装置 |
| CN109286501A (zh) * | 2018-11-13 | 2019-01-29 | 北京深思数盾科技股份有限公司 | 用于加密机的认证方法以及加密机 |
| CN110299996A (zh) * | 2018-03-22 | 2019-10-01 | 阿里巴巴集团控股有限公司 | 认证方法、设备及系统 |
| CN111767553A (zh) * | 2020-05-29 | 2020-10-13 | 上海橙群微电子有限公司 | 数据加密解密方法、mcu及电子设备、可读存储介质 |
| CN111901303A (zh) * | 2020-06-28 | 2020-11-06 | 北京可信华泰信息技术有限公司 | 设备认证方法和装置、存储介质及电子装置 |
| WO2021035429A1 (en) * | 2019-08-23 | 2021-03-04 | Siemens Aktiengesellschaft | Method and system for security management on a mobile storage device |
| CN114547708A (zh) * | 2022-01-14 | 2022-05-27 | 北京元年科技股份有限公司 | 信息安全保护方法、装置、设备及计算机可读存储介质 |
| WO2022229971A1 (en) * | 2021-04-26 | 2022-11-03 | Fortytwo42 Labs Llp | System and method for collective trust identity and authentication |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1988437A (zh) * | 2006-11-22 | 2007-06-27 | 北京工业大学 | 可信计算平台密钥授权数据管理系统及方法 |
| CN101431403A (zh) * | 2007-11-08 | 2009-05-13 | 北京工业大学 | 一种提供接口数据的装置与方法以及一种可信计算系统 |
| CN101881997A (zh) * | 2009-05-04 | 2010-11-10 | 同方股份有限公司 | 一种可信安全移动存储装置 |
-
2011
- 2011-11-04 CN CN201110346200.9A patent/CN102427449B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1988437A (zh) * | 2006-11-22 | 2007-06-27 | 北京工业大学 | 可信计算平台密钥授权数据管理系统及方法 |
| CN101431403A (zh) * | 2007-11-08 | 2009-05-13 | 北京工业大学 | 一种提供接口数据的装置与方法以及一种可信计算系统 |
| CN101881997A (zh) * | 2009-05-04 | 2010-11-10 | 同方股份有限公司 | 一种可信安全移动存储装置 |
Cited By (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932762B (zh) * | 2012-09-20 | 2015-03-25 | 无锡华御信息技术有限公司 | 基于gsm的移动存储设备远程集中管控加密系统和方法 |
| CN102932762A (zh) * | 2012-09-20 | 2013-02-13 | 无锡华御信息技术有限公司 | 基于gsm的移动存储设备远程集中管控加密系统和方法 |
| CN103647654A (zh) * | 2013-12-25 | 2014-03-19 | 国家电网公司 | 一种基于可信计算的配电终端密钥管理方法 |
| CN103647654B (zh) * | 2013-12-25 | 2017-07-14 | 国家电网公司 | 一种基于可信计算的配电终端密钥管理方法 |
| CN103761467A (zh) * | 2013-12-31 | 2014-04-30 | 航天数字传媒有限公司 | 一种终端授权装置和授权系统 |
| CN103824005A (zh) * | 2014-03-11 | 2014-05-28 | 东南大学 | 一种内嵌可配置ip核的防复制系统及防复制方法 |
| CN103929422B (zh) * | 2014-04-08 | 2017-01-25 | 北京工业大学 | 基于sdn的可信域间安全认证协议 |
| CN103929422A (zh) * | 2014-04-08 | 2014-07-16 | 北京工业大学 | 基于sdn的可信域间安全认证协议 |
| US9984256B2 (en) | 2014-05-15 | 2018-05-29 | Seagate Technology Llc | Storage device tampering detection |
| WO2015172352A1 (en) * | 2014-05-15 | 2015-11-19 | Seagate Technology Llc | Storage device tampering detection |
| CN104135472A (zh) * | 2014-07-14 | 2014-11-05 | 国电南瑞科技股份有限公司 | 一种基于第三方验证的变电站命令交互方法 |
| CN104135472B (zh) * | 2014-07-14 | 2017-08-29 | 国电南瑞科技股份有限公司 | 一种基于第三方验证的变电站命令交互方法 |
| CN106797317B (zh) * | 2014-10-06 | 2018-09-21 | 美光科技公司 | 安全共享密钥共享系统及方法 |
| CN106797317A (zh) * | 2014-10-06 | 2017-05-31 | 美光科技公司 | 安全共享密钥共享系统及方法 |
| CN104468627B (zh) * | 2014-12-30 | 2018-09-04 | 成都三零瑞通移动通信有限公司 | 一种通过服务器进行终端数据备份的数据加密方法及系统 |
| CN104468627A (zh) * | 2014-12-30 | 2015-03-25 | 成都三零瑞通移动通信有限公司 | 一种通过服务器进行终端数据备份的数据加密方法及系统 |
| CN104616148A (zh) * | 2015-01-23 | 2015-05-13 | 恒银金融科技有限公司 | 一种可穿戴式支付终端的支付方法及该支付终端 |
| CN104580250A (zh) * | 2015-01-29 | 2015-04-29 | 成都卫士通信息产业股份有限公司 | 一种基于安全芯片进行可信身份认证的系统和方法 |
| CN105049401A (zh) * | 2015-03-19 | 2015-11-11 | 浙江大学 | 一种基于智能车的安全通信方法 |
| CN105049401B (zh) * | 2015-03-19 | 2018-06-19 | 浙江大学 | 一种基于智能车的安全通信方法 |
| CN106161024A (zh) * | 2015-04-03 | 2016-11-23 | 同方股份有限公司 | 一种usb控制芯片级的usb设备可信认证方法及其系统 |
| CN106161024B (zh) * | 2015-04-03 | 2023-05-12 | 同方股份有限公司 | 一种usb控制芯片级的usb设备可信认证方法及其系统 |
| CN108140077A (zh) * | 2015-10-08 | 2018-06-08 | 汤姆逊许可公司 | 用于在用户设备中生成密码的设备和方法 |
| CN105528239A (zh) * | 2016-01-15 | 2016-04-27 | 北京工业大学 | 基于可信根服务器的虚拟可信平台模块的密钥管理方法 |
| CN105528239B (zh) * | 2016-01-15 | 2018-12-07 | 北京工业大学 | 基于可信根服务器的虚拟可信平台模块的密钥管理方法 |
| US11140160B2 (en) | 2016-02-02 | 2021-10-05 | Banma Zhixing Network (Hongkong) Co., Limited | Method and system for establishing inter-device communication |
| WO2017133485A1 (zh) * | 2016-02-02 | 2017-08-10 | 阿里巴巴集团控股有限公司 | 一种建立设备间通信的方法、装置和系统 |
| CN107026727B (zh) * | 2016-02-02 | 2019-03-29 | 阿里巴巴集团控股有限公司 | 一种建立设备间通信的方法、装置和系统 |
| CN110176987A (zh) * | 2016-02-02 | 2019-08-27 | 阿里巴巴集团控股有限公司 | 一种设备认证的方法、装置、设备和计算机存储介质 |
| CN106453330A (zh) * | 2016-10-18 | 2017-02-22 | 深圳市金立通信设备有限公司 | 一种身份认证的方法和系统 |
| CN107994998A (zh) * | 2018-01-24 | 2018-05-04 | 国民认证科技(北京)有限公司 | 一种身份认证信息加密方法及系统 |
| CN108416222A (zh) * | 2018-01-27 | 2018-08-17 | 陕西海博安全科技设备工程有限公司 | 一种信息安全的控制方法 |
| CN108550036A (zh) * | 2018-03-20 | 2018-09-18 | 中国银联股份有限公司 | 一种建立安全基础设施的方法、终端及装置 |
| CN108550036B (zh) * | 2018-03-20 | 2022-09-23 | 中国银联股份有限公司 | 一种建立安全基础设施的方法、终端及装置 |
| CN110299996A (zh) * | 2018-03-22 | 2019-10-01 | 阿里巴巴集团控股有限公司 | 认证方法、设备及系统 |
| CN108345803B (zh) * | 2018-03-22 | 2021-01-08 | 北京可信华泰科技有限公司 | 一种可信存储设备的数据存取方法及装置 |
| CN110299996B (zh) * | 2018-03-22 | 2022-07-01 | 阿里巴巴集团控股有限公司 | 认证方法、设备及系统 |
| CN108345803A (zh) * | 2018-03-22 | 2018-07-31 | 北京可信华泰科技有限公司 | 一种可信存储设备的数据存取方法及装置 |
| CN109286501B (zh) * | 2018-11-13 | 2021-07-13 | 北京深思数盾科技股份有限公司 | 用于加密机的认证方法以及加密机 |
| CN109286501A (zh) * | 2018-11-13 | 2019-01-29 | 北京深思数盾科技股份有限公司 | 用于加密机的认证方法以及加密机 |
| WO2021035429A1 (en) * | 2019-08-23 | 2021-03-04 | Siemens Aktiengesellschaft | Method and system for security management on a mobile storage device |
| CN111767553A (zh) * | 2020-05-29 | 2020-10-13 | 上海橙群微电子有限公司 | 数据加密解密方法、mcu及电子设备、可读存储介质 |
| CN111767553B (zh) * | 2020-05-29 | 2024-04-12 | 上海橙群微电子有限公司 | 数据加密解密方法、mcu及电子设备、可读存储介质 |
| CN111901303A (zh) * | 2020-06-28 | 2020-11-06 | 北京可信华泰信息技术有限公司 | 设备认证方法和装置、存储介质及电子装置 |
| WO2022229971A1 (en) * | 2021-04-26 | 2022-11-03 | Fortytwo42 Labs Llp | System and method for collective trust identity and authentication |
| CN114547708A (zh) * | 2022-01-14 | 2022-05-27 | 北京元年科技股份有限公司 | 信息安全保护方法、装置、设备及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102427449B (zh) | 2014-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102427449B (zh) | 一种基于安全芯片的可信移动存储方法 | |
| JP5885178B2 (ja) | 機器真贋判定システム、機器真贋判定方法、および半導体チップが搭載された組み込み機器 | |
| CN101005361B (zh) | 一种服务器端软件保护方法及系统 | |
| CN103440444B (zh) | 电子合同的签订方法 | |
| US9253162B2 (en) | Intelligent card secure communication method | |
| CN108323230B (zh) | 一种传输密钥的方法、接收终端和分发终端 | |
| US8806206B2 (en) | Cooperation method and system of hardware secure units, and application device | |
| CN101945114B (zh) | 基于fuzzy vault和数字证书的身份认证方法 | |
| CN106953732B (zh) | 芯片卡的密钥管理系统及方法 | |
| CN106027503A (zh) | 一种基于tpm的云存储数据加密方法 | |
| CN103595698B (zh) | 一种数字权益管理方法 | |
| WO2014187206A1 (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
| CN106973056A (zh) | 一种面向对象的安全芯片及其加密方法 | |
| CN103560892A (zh) | 密钥生成方法和密钥生成装置 | |
| CN102025503A (zh) | 一种集群环境下数据安全实现方法和一种高安全性的集群 | |
| CN104268447A (zh) | 一种嵌入式软件的加密方法 | |
| CN103701787A (zh) | 一种基于公开密钥算法实现的用户名口令认证方法 | |
| CN104821883A (zh) | 一种基于非对称密码算法的保护隐私征信方法 | |
| CN114692218A (zh) | 一种面向个人用户的电子签章方法、设备和系统 | |
| TWI476629B (zh) | Data security and security systems and methods | |
| CN202276360U (zh) | 一种基于安全芯片的可信移动存储系统 | |
| KR20100114321A (ko) | 디지털 콘텐츠 거래내역 인증확인 시스템 및 그 방법 | |
| JP2021007053A (ja) | コンテンツ送信方法 | |
| TWI482480B (zh) | 數位證書自動更新系統及方法 | |
| TWI280025B (en) | File encryption system having key recovery function and its method thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140409 Termination date: 20201104 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |