CN105516207A - 一种远程认证中证书管理的方法 - Google Patents

一种远程认证中证书管理的方法 Download PDF

Info

Publication number
CN105516207A
CN105516207A CN201610058235.5A CN201610058235A CN105516207A CN 105516207 A CN105516207 A CN 105516207A CN 201610058235 A CN201610058235 A CN 201610058235A CN 105516207 A CN105516207 A CN 105516207A
Authority
CN
China
Prior art keywords
certificate
identity
hypervisor
letter
identity key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610058235.5A
Other languages
English (en)
Other versions
CN105516207B (zh
Inventor
许鑫
吴保锡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Electronic Information Industry Co Ltd
Original Assignee
Inspur Electronic Information Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Electronic Information Industry Co Ltd filed Critical Inspur Electronic Information Industry Co Ltd
Priority to CN201610058235.5A priority Critical patent/CN105516207B/zh
Publication of CN105516207A publication Critical patent/CN105516207A/zh
Application granted granted Critical
Publication of CN105516207B publication Critical patent/CN105516207B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种远程认证中证书管理的方法,该证书管理方法包含可信计算节点,计算节点代理程序和集群可信管理程序三部分。本发明的一种远程认证中证书管理的方法和现有技术相比,利用远程认证中证书下发功能收集每一节点的身份证书信息,利用校验过程中证书校验监控每一证书的有效性,并为系统管理者提供配置证书的接口;可以有效的管理各证书,方便管理者配置每一节点的证书。

Description

一种远程认证中证书管理的方法
技术领域
本发明涉及服务器安全技术领域,具体地说是一种远程认证中证书管理的方法。
背景技术
随着云计算和大数据的兴起,核心计算资源逐步由分散式向集总式发展,即核心计算任务由一个或多个计算中心完成,而终端更多的是负责数据的上传及计算结果的处理。基于TPM芯片的远程认证方式可以及时有效的反应各个计算节点中关键部件的可信状态,而每一节点都有一证书表征其身份。传统的证书体系中,证书失效意味着证书到期,而采用TPM的远程认证除了面临证书过期的问题,还面临着身份密钥变更的问题。一旦身份密钥发生了变化,PrivacyCA无法验签,远程认证无法进行,因此,必须有一种有效的方法管理各个节点的身份证书,监管其有效性,并方便管理员配置证书。
公开的相关专利文件:名称为“一种可信计算系统及相应的认证方法和设备”,该文件公开了“一种可信计算系统及相应的认证方法和设备,所述可信计算系统包括管理域和多个可信域,所述可信域的成员包括域可信方(DT)和域终端,所述方法包括:DT以其平台身份证书为证明到管理域注册,管理域认证通过后,将管理域对所述DT的签名证书授予所述DT;域终端以其平台身份证书为证明到所在可信域的DT注册,所述DT认证通过后,将终端身份证书授予所述域终端,所述终端身份证书包含管理域对所述DT的签名和所述DT对所述域终端的签名;不同可信域的域终端之间交互时,基于远程端的终端身份证书实现对远程端身份的远程认证。本申请便于扩展来应对不同规模可信域的集成,减少了网络流量、计算负载和存储空间,提高了跨域认证的效率”。
名称为“无线体域网的无证书远程匿名认证方法”,该文件公开了“一种无线体域网的无证书远程匿名认证方法,主要解决无线体域网远程认证中的匿名性问题,主要步骤是:1)网络管理者初始化整个无线体域网系统;2)无线体域网用户向网络管理者进行身份注册;3)网络管理者向无线体域网用户颁发账户索引;4)无线体域网用户使用账户索引以匿名的方式向网络管理者发送服务请求;5)应用服务提供商与无线体域网用户之间进行双向认证。本发明既消除了对证书的需求,又无密钥托管的弊端,具有安全性能好,计算复杂度低的优点,可用于远程医疗监控等应用场景”。
上述公开文件与本发明内容要解决的技术问题,采用的技术手段都不相同。
发明内容
本发明的技术任务是提供一种远程认证中证书管理的方法。
本发明的技术任务是按以下方式实现的,该证书管理方法包含可信计算节点,计算节点代理程序和集群可信管理程序三部分;
可信计算节点:装有TPM芯片的计算机或服务器,其启动过程中会建立度量链,每一级将系统控制权交给下一级前会度量下一级代码块或配置文件,并将计算的度量值扩展至PCR中,系统启动后,PCR中包含了整个节点关键启动部件的完整性信息;
计算节点代理程序:安装在可信计算节点上的程序,向管理程序上报本节点的信息,完成可信注册并初始化TPM芯片;
集群可信管理程序:集群可信状态管理端,完成证书颁发和远程认证的功能,可以统一管理各个可信节点的身份证书,一旦检测到认证节点中的身份密钥发生变化,会请求代理程序重新上报身份密钥完成新身份证书的颁发;系统管理员也可通过管理程序主动触发更新身份证书。
所述的计算节点代理程序在可信计算节点系统启动后会收集存放在PCR中的本次启动信息并上报给管理程序,由管理程序校验本次启动过程中关键部件是否遭到篡改。
该证书管理方法的流程如下:
1)启动系统程序;
2)代理程序上报身份证书及完整性信息;
3)集群可信管理程序提取对应证书;
4)判断证书是否过期?证书过期,则集群可信管理程序下发身份密钥请求命令,代理程序上报身份密钥,PrivacyCA为身份密钥颁发新证书,并将其存放到KeyStore中;
5)若证书没有过期,则管理程序读取PrivacyCA,检验身份证书,判断证书是否由本PrivacyCA下发,如果不是,则重复步骤4);
6)若证书是由本PrivacyCA下发,则管理程序提取校验信息及签名,判断签名是否完整,签名完整则PrivacyCA进行完整性校验;
7)若签名不完整,则管理程序下发身份密钥请求命令,代理程序上报身份密钥,判断身份密钥与身份证书是否一致?身份密钥与身份证书一致,则签名信息遭受篡改,重新进行远程认证;
8)若身份密钥与身份证书不一致,PrivacyCA为身份密钥颁发新证书,并将其存放到KeyStore中。
本发明的一种远程认证中证书管理的方法和现有技术相比,利用远程认证中证书下发功能收集每一节点的身份证书信息,利用校验过程中证书校验监控每一证书的有效性,并为系统管理者提供配置证书的接口;可以有效的管理各证书,方便管理者配置每一节点的证书。
附图说明
图1为一种远程认证中证书管理的方法的流程框图。
具体实施方式
实施例1:
该证书管理方法包含可信计算节点,计算节点代理程序和集群可信管理程序三部分;
可信计算节点:装有TPM芯片的计算机或服务器,其启动过程中会建立度量链,每一级将系统控制权交给下一级前会度量下一级代码块或配置文件,并将计算的度量值扩展至PCR中,系统启动后,PCR中包含了整个节点关键启动部件的完整性信息;
计算节点代理程序:安装在可信计算节点上的程序,向管理程序上报本节点的信息,完成可信注册并初始化TPM芯片;
集群可信管理程序:集群可信状态管理端,完成证书颁发和远程认证的功能,可以统一管理各个可信节点的身份证书,一旦检测到认证节点中的身份密钥发生变化,会请求代理程序重新上报身份密钥完成新身份证书的颁发;系统管理员也可通过管理程序主动触发更新身份证书。
所述的计算节点代理程序在可信计算节点系统启动后会收集存放在PCR中的本次启动信息并上报给管理程序,由管理程序校验本次启动过程中关键部件是否遭到篡改。
该证书管理方法的流程如下:
1)启动系统程序;
2)代理程序上报身份证书及完整性信息;
3)集群可信管理程序提取对应证书;
4)判断证书是否过期?证书过期,则集群可信管理程序下发身份密钥请求命令,代理程序上报身份密钥,PrivacyCA为身份密钥颁发新证书,并将其存放到KeyStore中;
5)若证书没有过期,则管理程序读取PrivacyCA,检验身份证书,判断证书是否由本PrivacyCA下发,如果不是,则重复步骤4);
6)若证书是由本PrivacyCA下发,则管理程序提取校验信息及签名,判断签名是否完整,签名完整则PrivacyCA进行完整性校验;
7)若签名不完整,则管理程序下发身份密钥请求命令,代理程序上报身份密钥,判断身份密钥与身份证书是否一致?身份密钥与身份证书一致,则签名信息遭受篡改,重新进行远程认证;
8)若身份密钥与身份证书不一致,PrivacyCA为身份密钥颁发新证书,并将其存放到KeyStore中。
通过上面具体实施方式,所述技术领域的技术人员可容易的实现本发明。但是应当理解,本发明并不限于上述的几种具体实施方式。在公开的实施方式的基础上,所述技术领域的技术人员可任意组合不同的技术特征,从而实现不同的技术方案。

Claims (3)

1.一种远程认证中证书管理的方法,其特征在于,该证书管理方法包含可信计算节点,计算节点代理程序和集群可信管理程序三部分;
可信计算节点:装有TPM芯片的计算机或服务器,其启动过程中会建立度量链,每一级将系统控制权交给下一级前会度量下一级代码块或配置文件,并将计算的度量值扩展至PCR中,系统启动后,PCR中包含了整个节点关键启动部件的完整性信息;
计算节点代理程序:安装在可信计算节点上的程序,向管理程序上报本节点的信息,完成可信注册并初始化TPM芯片;
集群可信管理程序:集群可信状态管理端,完成证书颁发和远程认证的功能,可以统一管理各个可信节点的身份证书,一旦检测到认证节点中的身份密钥发生变化,会请求代理程序重新上报身份密钥完成新身份证书的颁发;系统管理员也可通过管理程序主动触发更新身份证书。
2.根据权利要求1所述的一种远程认证中证书管理的方法,其特征在于,所述的计算节点代理程序在可信计算节点系统启动后会收集存放在PCR中的本次启动信息并上报给管理程序,由管理程序校验本次启动过程中关键部件是否遭到篡改。
3.根据权利要求1所述的一种远程认证中证书管理的方法,其特征在于,该证书管理方法的流程如下:
1)启动系统程序;
2)代理程序上报身份证书及完整性信息;
3)集群可信管理程序提取对应证书;
4)判断证书是否过期?证书过期,则集群可信管理程序下发身份密钥请求命令,代理程序上报身份密钥,PrivacyCA为身份密钥颁发新证书,并将其存放到KeyStore中;
5)若证书没有过期,则管理程序读取PrivacyCA,检验身份证书,判断证书是否由本PrivacyCA下发,如果不是,则重复步骤4);
6)若证书是由本PrivacyCA下发,则管理程序提取校验信息及签名,判断签名是否完整,签名完整则PrivacyCA进行完整性校验;
7)若签名不完整,则管理程序下发身份密钥请求命令,代理程序上报身份密钥,判断身份密钥与身份证书是否一致?身份密钥与身份证书一致,则签名信息遭受篡改,重新进行远程认证;
8)若身份密钥与身份证书不一致,PrivacyCA为身份密钥颁发新证书,并将其存放到KeyStore中。
CN201610058235.5A 2016-01-28 2016-01-28 一种远程认证中证书管理的方法 Active CN105516207B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610058235.5A CN105516207B (zh) 2016-01-28 2016-01-28 一种远程认证中证书管理的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610058235.5A CN105516207B (zh) 2016-01-28 2016-01-28 一种远程认证中证书管理的方法

Publications (2)

Publication Number Publication Date
CN105516207A true CN105516207A (zh) 2016-04-20
CN105516207B CN105516207B (zh) 2018-08-14

Family

ID=55723842

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610058235.5A Active CN105516207B (zh) 2016-01-28 2016-01-28 一种远程认证中证书管理的方法

Country Status (1)

Country Link
CN (1) CN105516207B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105956466A (zh) * 2016-04-28 2016-09-21 浪潮电子信息产业股份有限公司 一种基于tpm的主动度量及异常上报系统和方法
CN106169054A (zh) * 2016-07-13 2016-11-30 浪潮电子信息产业股份有限公司 一种基于可信状态的访问控制方法
CN113645229A (zh) * 2018-06-06 2021-11-12 北京八分量信息科技有限公司 一种基于可信确认的认证系统及方法
CN114598484A (zh) * 2020-12-01 2022-06-07 中移(苏州)软件技术有限公司 一种证书更新方法、装置、集群及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1539111A (zh) * 2001-06-12 2004-10-20 ��Ѷ�о����޹�˾ 证书管理和传送系统及方法
US20090235069A1 (en) * 2006-04-10 2009-09-17 Trust Integration Services B.V. Arrangement of and method for secure data transmission
CN102868709A (zh) * 2011-07-04 2013-01-09 中国移动通信集团公司 一种基于p2p的证书管理方法及其装置
CN104715183A (zh) * 2013-12-13 2015-06-17 中国移动通信集团公司 一种虚拟机运行时的可信验证方法和设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1539111A (zh) * 2001-06-12 2004-10-20 ��Ѷ�о����޹�˾ 证书管理和传送系统及方法
US20090235069A1 (en) * 2006-04-10 2009-09-17 Trust Integration Services B.V. Arrangement of and method for secure data transmission
CN102868709A (zh) * 2011-07-04 2013-01-09 中国移动通信集团公司 一种基于p2p的证书管理方法及其装置
CN104715183A (zh) * 2013-12-13 2015-06-17 中国移动通信集团公司 一种虚拟机运行时的可信验证方法和设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
谭良,陈菊: "《一种可信终端运行环境远程证明方案》", 《软件学报》 *
黄秀文: "《基于可信计算的远程证明的研究》", 《武汉纺织大学学报》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105956466A (zh) * 2016-04-28 2016-09-21 浪潮电子信息产业股份有限公司 一种基于tpm的主动度量及异常上报系统和方法
CN106169054A (zh) * 2016-07-13 2016-11-30 浪潮电子信息产业股份有限公司 一种基于可信状态的访问控制方法
CN113645229A (zh) * 2018-06-06 2021-11-12 北京八分量信息科技有限公司 一种基于可信确认的认证系统及方法
CN114598484A (zh) * 2020-12-01 2022-06-07 中移(苏州)软件技术有限公司 一种证书更新方法、装置、集群及存储介质
CN114598484B (zh) * 2020-12-01 2024-03-19 中移(苏州)软件技术有限公司 一种证书更新方法、装置、集群及存储介质

Also Published As

Publication number Publication date
CN105516207B (zh) 2018-08-14

Similar Documents

Publication Publication Date Title
JP7093428B2 (ja) 電子証明書の管理方法、装置、コンピュータ装置及びコンピュータプログラム
CN108965230A (zh) 一种安全通信方法、系统及终端设备
CN103220300B (zh) 一种支持动态远程证明的移动终端系统
US20160057134A1 (en) Updating of a Digital Device Certificate of an Automation Device
WO2022166637A1 (zh) 基于区块链网络的数据处理方法、装置及计算机设备
CN115001695B (zh) 平台的基板管理控制器身份的安全置备
CN105516207A (zh) 一种远程认证中证书管理的方法
Khodaei et al. Scaling pseudonymous authentication for large mobile systems
EP2747377B1 (en) Trusted certificate authority to create certificates based on capabilities of processes
CN102111378A (zh) 签名验证系统
US11134072B2 (en) Method for verifying a security classification of a first device using a digital certificate, a first and second device and certificate issuing apparatus
Pashalidis et al. Single sign-on using trusted platforms
Von Oheimb IT security architecture approaches for smart metering and smart grid
TW201909013A (zh) 在公開匿名環境驗證身份及保護隱私的系統與方法
CN114760071A (zh) 基于零知识证明的跨域数字证书管理方法、系统和介质
Kern et al. Quantumcharge: Post-quantum cryptography for electric vehicle charging
Bao et al. BAP: A Blockchain-Assisted Privacy-Preserving Authentication Protocol With User-Controlled Data Linkability for VANETs
AU2011332150B2 (en) Back-end constrained delegation model
US20130046989A1 (en) Digital signature management and verification systems and methods for distributed software
Foltz et al. Enterprise level security–basic security model
US20220360454A1 (en) Methods and devices for securing a multiple-access peripheral network
JP2012151843A (ja) 分散型ソフトウェアのためのキー管理システムおよび方法
CN103916358A (zh) 一种密钥扩散及校验方法和系统
US9043592B1 (en) Communicating trust models to relying parties
KR102162108B1 (ko) Nfv 환경을 위한 lw_pki 시스템 및 그 시스템을 이용한 통신방법.

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant