CN112910659A - 一种基于可信网络引导构建可信链的方法和系统 - Google Patents
一种基于可信网络引导构建可信链的方法和系统 Download PDFInfo
- Publication number
- CN112910659A CN112910659A CN202110200942.4A CN202110200942A CN112910659A CN 112910659 A CN112910659 A CN 112910659A CN 202110200942 A CN202110200942 A CN 202110200942A CN 112910659 A CN112910659 A CN 112910659A
- Authority
- CN
- China
- Prior art keywords
- trusted
- host
- network
- protected user
- user host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000012795 verification Methods 0.000 claims abstract description 33
- 238000010276 construction Methods 0.000 claims abstract description 19
- GPUADMRJQVPIAS-QCVDVZFFSA-M cerivastatin sodium Chemical compound [Na+].COCC1=C(C(C)C)N=C(C(C)C)C(\C=C\[C@@H](O)C[C@@H](O)CC([O-])=O)=C1C1=CC=C(F)C=C1 GPUADMRJQVPIAS-QCVDVZFFSA-M 0.000 claims description 40
- 238000005259 measurement Methods 0.000 claims description 20
- 238000004891 communication Methods 0.000 claims description 7
- 230000002457 bidirectional effect Effects 0.000 claims description 6
- 230000001680 brushing effect Effects 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 5
- 230000002452 interceptive effect Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- KKIMDKMETPPURN-UHFFFAOYSA-N 1-(3-(trifluoromethyl)phenyl)piperazine Chemical compound FC(F)(F)C1=CC=CC(N2CCNCC2)=C1 KKIMDKMETPPURN-UHFFFAOYSA-N 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种基于可信网络引导构建可信链的方法和系统,方法包括以下步骤:配置受保护用户主机和网络可信主机,以网络可信主机内置的密码模块作为信任根;受保护用户主机开机后,进行BIOS验证;BIOS验证通过后,网络可信主机对受保护用户主机进行可信网络引导,建立可信连接完成受保护用户主机的可信链的构建。系统包括可信主机、受保护用户主机和可信网络安全模块;可信主机,与受保护用户主机网络连接,内置可信网络安全模块,可信网络安全模块的密码模块通过网络为受保护用户主机提供信任根;受保护用户主机,用于开机后先进行BIOS验证,并在BIOS验证通过后,在可信主机的可信网络引导下,建立可信连接完成可信链的构建。
Description
技术领域
本发明属于可信计算领域,具体的说,涉及了一种基于可信网络引导构建可信链的方法和系统。
背景技术
目前,国内外主要采用TCG可信框架和标准进行可信产品的开发,大部分可信链的构建都是基于本机的,这样存在的问题一是只能对系统提供被动的可信度量机制,并且需要对应用进行大量的修改,实现困难且成本极高;问题二是一个可信体系中的受保护用户主机都是独立的,管理难度大,不能实时被监察。比如在申请号为CN201910620917.4申请日期为2019.07.10的一种可信链的构建方法及系统中的可信引导以及整个可信链的创建都是基于本机的。
为了解决以上存在的问题,我们一直在寻求一种理想的技术解决方案。
发明内容
本发明的目的是针对现有技术的不足,提供一种基于可信网络引导构建可信链的方法和系统。
为了实现上述目的,本发明所采用的技术方案是:
一种基于可信网络引导构建可信链的方法,包括以下步骤:
配置受保护用户主机和网络可信主机,以网络可信主机内置的密码模块作为信任根;
受保护用户主机开机后,进行BIOS验证;BIOS验证通过后,网络可信主机对受保护用户主机进行可信网络引导,建立可信连接完成受保护用户主机的可信链的构建。
基于上述,在进行BIOS验证前,受保护用户主机与网络可信主机通过网络连接进行双向认证建立可信连接,包括:
预配置
在受保护用户主机的BIOS中刷入安全模块,设置受保护用户主机的身份标识IDA、签名证书CERTA_S及其对应的私钥SA_S、加密证书CERTA_E及其对应的私钥SA_E;还设置网络可信主机的身份标识IDB、签名证书CERTB_S、加密证书CERTB_E以及IP地址,同时设置为PXE启动;
在网络可信主机,设置自身的签名证书CERTB_S以及对应的私钥SB_ S、加密证书CERTB_E以及对应的私钥SB_E,还设置受保护用户主机的身份标识IDA、MAC地址、签名证书CERTA_S、加密证书CERTA_E;
双向认证
受保护用户主机取随机数RA,计算HASH值ZA = HASH(RA||IDA||IDB),使用网络可信主机加密证书CERTB_E对RA||IDA进行加密,使用受保护用户主机的签名证书CERTA_S对ZA进行签名;
受保护用户主机发送Enc(RA||IDA, CERTB_E)、Sig(ZA,SA_S)给网络可信主机;
网络可信主机使用自己的私钥SB_E解密得到身份标识IDA和随机数RA,根据身份标识IDA找到受保护用户主机的签名证书CERTA_S对ZA的签名值进行验签,完成对受保护用户主机的认证;
网络可信主机取随机数RB,计算HASH值ZB = HASH(RB||IDB||IDA),使用受保护用户主机的加密证书CERTA_E对RB||IDB进行加密,使用可信主机的签名证书对ZB进行签名;
网络可信主机发送Enc(RB||IDB, CERTA_E)、Sig(ZB,SB_S)给受保护用户主机;
受保护用户主机使用自己的私钥SA_E解密得到身份标识IDB和随机数RB,根据身份标识IDB找到受保护用户主机的签名证书CERTB_S对ZB的签名值进行验签,完成对网络可信主机的认证;
建立可信连接
受保护用户主机对所有的过程参数计算HASH值,计算会话密钥K = HASH(RA||RB),使用K对所有的过程值进行HMAC计算,将校验码发给网络可信主机;
网络可信主机同样计算会话密钥HASH(RA||RB),验证HMAC值,验证成功返回成功标志给受保护用户主机,后续使用共享会话密钥K进行安全通信。
基于上述,BIOS验证的验证过程包括:
网络可信主机预配置受保护用户主机的BIOS文件的校验码以及配置文件的校验码;
受保护用户主机与网络可信主机建立可信连接后,从网络可信主机获取对应的BIOS文件的校验码以及配置文件的校验码;
验证BIOS文件的校验码和配置文件的校验码,完成BIOS验证。
基于上述,可信网络引导的引导过程包括:
配置数据度量
受保护用户主机通过可信连接从网络可信主机获取配置安全策略、配置数据校验值和硬件配置表,根据配置安全策略,依次执行可信度量;
所有可信度量通过后,使用可信连接从网络可信主机获取文件系统引导的镜像文件,加载该文件系统引导的可信镜像文件;
文件系统度量
受保护用户主机的文件系统启动后,受保护用户主机先通过可信连接从网络可信主机获取文件安全策略、各文件校验值和启动配置文件,根据文件安全策略,依次执行可信度量,可信度量通过后再引导可信镜像文件启动。
基于上述,建立可信连接完成受保护用户主机的可信链的构建包括:可信网络引导成功后,受保护用户主机与可信主机建立可信连接,获取安全机制策略,启动安全机制,完成受保护用户主机的可信链的构建。
本发明第二方面提供了一种基于可信网络引导构建可信链的系统,包括可信主机、受保护用户主机和可信网络安全模块;
可信主机,与受保护用户主机网络连接,内置可信网络安全模块,可信网络安全模块的密码模块通过网络为受保护用户主机提供信任根;
受保护用户主机,用于开机后先进行BIOS验证,并在BIOS验证通过后,在可信主机的可信网络引导下,建立可信连接完成可信链的构建。
基于上述,可信主机设置可信服务器TrustServer,受保护用户主机设置可信UEFI固件TrustUEFI、可信管控程序TrustImage和可信引导程序TrustGrub;受保护用户主机的BIOS中刷入可信网络安全模块TrustNetworkCard;
可信链的构建过程包括:
在完成配置等准工作后,受保护用户主机启动运行;用户主机启动后,TrustNetworkCard首先完成初始化和TrustUEFI的完整性校验,等待受保护用户主机的CPU从TrustNetworkCard获取TrustUEFI固件;
CPU获取到TrustUEFI固件后开始执行TrustUEFI,TrustUEFI运行时首先使用TrustNetworkCard提供的密码服务与TrustServer进行双向认证,建立可信连接;
从TrustServer获取配置安全策略、TrustUEFI校验值、配置数据校验值和硬件配置表,然后根据配置安全策略依次执行可信度量;所有可信度量通过后,使用可信连接从TrustServer获取TrustGrub可信镜像文件,并加载;
TrustGrub启动后,首先使用TrustNetworkCard提供的密码服务与TrustServer建立可信连接,从TrustServer获取文件安全策略、各文件校验值、启动配置文件等数据,根据文件安全策略执行可信度量,度量通过后引导可信镜像启动;
可信镜像启动后,TrustImage与TrustServer建立可信连接,获取安全机制策略,启动安全机制,,完成受保护用户主机的可信链的构建。
基于上述,TrustUEFI使用TrustNetworkCard提供的密码服务与TrustServer进行双向认证,建立安全通道,包括:
预配置
在TrustUEFI,设置受保护用户主机的身份标识IDA、签名证书CERTA_S及其对应的私钥SA_S、加密证书CERTA_E及其对应的私钥SA_E;还设置网络可信主机的身份标识IDB、签名证书CERTB_S、加密证书CERTB_E以及IP地址,同时设置为PXE启动;
在TrustServer,设置可信主机的签名证书CERTB_S以及对应的私钥SB_ S、加密证书CERTB_E以及对应的私钥SB_E,还设置受保护用户主机的身份标识IDA、MAC地址、签名证书CERTA_S、加密证书CERTA_E;
双向认证
TrustUEFI取随机数RA,计算HASH值ZA = HASH(RA||IDA||IDB),使用网络可信主机加密证书CERTB_E对RA||IDA进行加密,使用受保护用户主机的签名证书CERTA_S对ZA进行签名;
TrustUEFI发送Enc(RA||IDA, CERTB_E)、Sig(ZA,SA_S)给TrustServer;
TrustUEFI使用自己的私钥SB_E解密得到身份标识IDA和随机数RA,根据身份标识IDA找到受保护用户主机的签名证书CERTA_S对ZA的签名值进行验签,完成对受保护用户主机的认证;
TrustServer取随机数RB,计算HASH值ZB = HASH(RB||IDB||IDA),使用受保护用户主机的加密证书CERTA_E对RB||IDB进行加密,使用可信主机的签名证书对ZB进行签名;
TrustServer发送Enc(RB||IDB, CERTA_E)、Sig(ZB,SB_S)给TrustUEFI;
TrustUEFI使用自己的私钥SA_E解密得到身份标识IDB和随机数RB,根据身份标识IDB找到受保护用户主机的签名证书CERTB_S对ZB的签名值进行验签,完成对TrustServer的认证;
建立可信连接
TrustUEFI对所有的过程参数计算HASH值,计算会话密钥K = HASH(RA||RB),使用K对所有的过程值进行HMAC计算,将校验码发给TrustServer;
TrustServer同样计算会话密钥HASH(RA||RB),验证HMAC值,验证成功返回成功标志给TrustUEFI,后续使用共享会话密钥K进行安全通信。
基于上述,还包括可信主机管理端、运营中心SOC及运营中心管理端;
可信主机还设置与TrustServer连接的交互接口TrustManagement,可信管理员通过可信主机管理端管理可信主机;
运营中心SOC与TrustServer连接,用于集中对可信主机进行配置管理、监测安全状态和发布控制命令,可信管理员通过运营中心管理端管理运营中心SOC。
本发明相对现有技术具有突出的实质性特点和显著进步,具体的说,受保护用户主机自身没有存储设备,本发明从网络可信主机引导操作系统,通过可信网络引导方式构建可信链,能够防止非法连接和引导启动;受保护用户主机与可信主机通过网络建立可信连接,实现多对一的部署,统一管理,实时监管。
附图说明
图1为本发明方法的流程框图。
图2为本发明受保护用户主机与网络可信主机通过网络连接进行双向认证建立可信连接的流程图。
图3为本发明系统的原理框图。
具体实施方式
下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
实施例1
如图1所示,一种基于可信网络引导构建可信链的方法,包括以下步骤:
配置受保护用户主机和网络可信主机,以网络可信主机内置的密码模块作为信任根;
受保护用户主机开机后,进行BIOS验证;BIOS验证通过后,网络可信主机对受保护用户主机进行可信网络引导,建立可信连接完成受保护用户主机的可信链的构建。
如图2所示,在进行BIOS验证前,受保护用户主机与网络可信主机通过网络连接进行双向认证建立可信连接,包括:
预配置
在受保护用户主机的BIOS中刷入安全模块,设置受保护用户主机的身份标识IDA、签名证书CERTA_S及其对应的私钥SA_S、加密证书CERTA_E及其对应的私钥SA_E;还设置网络可信主机的身份标识IDB、签名证书CERTB_S、加密证书CERTB_E以及IP地址,同时设置为PXE启动;
在网络可信主机,设置自身的签名证书CERTB_S以及对应的私钥SB_ S、加密证书CERTB_E以及对应的私钥SB_E,还设置受保护用户主机的身份标识IDA、MAC地址、签名证书CERTA_S、加密证书CERTA_E;
双向认证
受保护用户主机取随机数RA,计算HASH值ZA = HASH(RA||IDA||IDB),使用网络可信主机加密证书CERTB_E对RA||IDA进行加密,使用受保护用户主机的签名证书CERTA_S对ZA进行签名;
受保护用户主机发送Enc(RA||IDA, CERTB_E)、Sig(ZA,SA_S)给网络可信主机;
网络可信主机使用自己的私钥SB_E解密得到身份标识IDA和随机数RA,根据身份标识IDA找到受保护用户主机的签名证书CERTA_S对ZA的签名值进行验签,完成对受保护用户主机的认证;
网络可信主机取随机数RB,计算HASH值ZB = HASH(RB||IDB||IDA),使用受保护用户主机的加密证书CERTA_E对RB||IDB进行加密,使用可信主机的签名证书对ZB进行签名;
网络可信主机发送Enc(RB||IDB, CERTA_E)、Sig(ZB,SB_S)给受保护用户主机;
受保护用户主机使用自己的私钥SA_E解密得到身份标识IDB和随机数RB,根据身份标识IDB找到受保护用户主机的签名证书CERTB_S对ZB的签名值进行验签,完成对网络可信主机的认证;
建立可信连接
受保护用户主机对所有的过程参数计算HASH值,计算会话密钥K = HASH(RA||RB),使用K对所有的过程值进行HMAC计算,将校验码发给网络可信主机;
网络可信主机同样计算会话密钥HASH(RA||RB),验证HMAC值,验证成功返回成功标志给受保护用户主机,后续使用共享会话密钥K进行安全通信。
BIOS验证的验证过程包括:
网络可信主机预配置受保护用户主机的BIOS文件的校验码以及配置文件的校验码;
受保护用户主机与网络可信主机建立可信连接后,从网络可信主机获取对应的BIOS文件的校验码以及配置文件的校验码;
验证BIOS文件的校验码和配置文件的校验码,完成BIOS验证。
可信网络引导的引导过程包括:
配置数据度量
受保护用户主机通过可信连接从网络可信主机获取配置安全策略、配置数据校验值和硬件配置表,根据配置安全策略,依次执行可信度量;
所有可信度量通过后,使用可信连接从网络可信主机获取文件系统引导的镜像文件,加载该文件系统引导的可信镜像文件;
文件系统度量
受保护用户主机的文件系统启动后,受保护用户主机先通过可信连接从网络可信主机获取文件安全策略、各文件校验值和启动配置文件,根据文件安全策略,依次执行可信度量,可信度量通过后再引导可信镜像文件启动。
建立可信连接完成受保护用户主机的可信链的构建包括:可信网络引导成功后,受保护用户主机与可信主机建立可信连接,获取安全机制策略,启动安全机制,完成受保护用户主机的可信链的构建。
实施例2
如图3所示,本实施例提供一种基于可信网络引导构建可信链的系统,包括可信主机、受保护用户主机和可信网络安全模块;
可信主机,与受保护用户主机网络连接,内置可信网络安全模块,可信网络安全模块的密码模块通过网络为受保护用户主机提供信任根;
受保护用户主机,用于开机后先进行BIOS验证,并在BIOS验证通过后,在可信主机的可信网络引导下,建立可信连接完成可信链的构建。
进一步地,多受保护用户主机与可信主机通过网络建立可信连接,能够实现多对一的部署,统一管理,实时监管。
具体的,可信主机设置可信服务器TrustServer,受保护用户主机设置可信UEFI固件TrustUEFI、可信管控程序TrustImage和可信引导程序TrustGrub;受保护用户主机的BIOS中刷入可信网络安全模块TrustNetworkCard;
可信链的构建过程包括:
在完成配置等准工作后,受保护用户主机启动运行;用户主机启动后,TrustNetworkCard首先完成初始化和TrustUEFI的完整性校验(BIOS验证),等待受保护用户主机的CPU从TrustNetworkCard获取TrustUEFI固件;
CPU获取到TrustUEFI固件后开始执行TrustUEFI,TrustUEFI运行时首先使用TrustNetworkCard提供的密码服务与TrustServer进行双向认证,建立可信连接;
从TrustServer获取配置安全策略、TrustUEFI校验值、配置数据校验值和硬件配置表,然后根据配置安全策略依次执行可信度量;所有可信度量通过后,使用可信连接从TrustServer获取TrustGrub可信镜像文件,并加载;
TrustGrub启动后,首先使用TrustNetworkCard提供的密码服务与TrustServer建立可信连接,从TrustServer获取文件安全策略、各文件校验值、启动配置文件等数据,根据文件安全策略执行可信度量,度量通过后引导可信镜像启动;
可信镜像启动后,TrustImage与TrustServer建立可信连接,获取安全机制策略,启动安全机制,完成受保护用户主机的可信链的构建。
进一步地,本实施例基于可信网络引导构建可信链的系统还包括可信主机管理端、运营中心SOC及运营中心管理端;可信主机还设置与TrustServer连接的交互接口TrustManagement,可信管理员通过可信主机管理端管理可信主机;运营中心SOC与TrustServer连接,用于集中对可信主机进行配置管理、监测安全状态和发布控制命令,可信管理员通过运营中心管理端管理运营中心SOC。
本实施例中,TrustNetworkCard是一款专用的HSM,主要提供受保护用户主机固件安全存储、可信连接所需密码服务和网络通信三部分。TrustUEFI是在受保护用户主机UEFI固件的基础上增加TrustNetworkCard驱动、可信度量驱动、可信连接驱动和TrustGrub引导驱动。TrustGrub基于GNU GRUB开发,是适用于多种体系结构的灵活而强大的Boot loader程序,支持X86、ARM、MIPS、POWERPC、SPARC、RISCV架构以及虚拟机,可以引导Windows、Linux各版本操作系统,能够识别常用Windows和Linux所支持的文件系统,内置简单的协议栈,支持TFTP和HTTP通信协议。TrustImage运行在受保护用户主机中,在运行过程中持续进行可信管控、安全防护、安全事件信息收集。TrustServer运行在通用可信计算平台中,为TrustGrub、TrustImage、TrustManagement和SOC提供服务,依赖可信连接套件、数据库和HSM。TrustManagement是可信管理员管理通用可信主机的交互接口,基于BS架构。
SOC是用于集中对可信主机进行配置管理,监测安全状态,统一发布控制命令的管理中心。
需要说明的是,为描述的方便和简洁,上述描述的基于可信网络引导构建可信链的系统的进一步工作过程,可以参考上述实施例1描述的方法的对应过程,在此不再赘述。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (9)
1.一种基于可信网络引导构建可信链的方法,其特征在于,包括以下步骤:
配置受保护用户主机和网络可信主机,以网络可信主机内置的密码模块作为信任根;
受保护用户主机开机后,进行BIOS验证;BIOS验证通过后,网络可信主机对受保护用户主机进行可信网络引导,建立可信连接完成受保护用户主机的可信链的构建。
2.根据权利要求1所述的基于可信网络引导构建可信链的方法,其特征在于,在进行BIOS验证前,受保护用户主机与网络可信主机通过网络连接进行双向认证建立可信连接,包括:
预配置
在受保护用户主机的BIOS中刷入安全模块,设置受保护用户主机的身份标识IDA、签名证书CERTA_S及其对应的私钥SA_S、加密证书CERTA_E及其对应的私钥SA_E;还设置网络可信主机的身份标识IDB、签名证书CERTB_S、加密证书CERTB_E以及IP地址,同时设置为PXE启动;
在网络可信主机,设置自身的签名证书CERTB_S以及对应的私钥SB_ S、加密证书CERTB_E以及对应的私钥SB_E,还设置受保护用户主机的身份标识IDA、MAC地址、签名证书CERTA_S、加密证书CERTA_E;
双向认证
受保护用户主机取随机数RA,计算HASH值ZA = HASH(RA||IDA||IDB),使用网络可信主机加密证书CERTB_E对RA||IDA进行加密,使用受保护用户主机的签名证书CERTA_S对ZA进行签名;
受保护用户主机发送Enc(RA||IDA, CERTB_E)、Sig(ZA,SA_S)给网络可信主机;
网络可信主机使用自己的私钥SB_E解密得到身份标识IDA和随机数RA,根据身份标识IDA找到受保护用户主机的签名证书CERTA_S对ZA的签名值进行验签,完成对受保护用户主机的认证;
网络可信主机取随机数RB,计算HASH值ZB = HASH(RB||IDB||IDA),使用受保护用户主机的加密证书CERTA_E对RB||IDB进行加密,使用可信主机的签名证书对ZB进行签名;
网络可信主机发送Enc(RB||IDB, CERTA_E)、Sig(ZB,SB_S)给受保护用户主机;
受保护用户主机使用自己的私钥SA_E解密得到身份标识IDB和随机数RB,根据身份标识IDB找到受保护用户主机的签名证书CERTB_S对ZB的签名值进行验签,完成对网络可信主机的认证;
建立可信连接
受保护用户主机对所有的过程参数计算HASH值,计算会话密钥K = HASH(RA||RB),使用K对所有的过程值进行HMAC计算,将校验码发给网络可信主机;
网络可信主机同样计算会话密钥HASH(RA||RB),验证HMAC值,验证成功返回成功标志给受保护用户主机,后续使用共享会话密钥K进行安全通信。
3.根据权利要求2所述的基于可信网络引导构建可信链的方法,其特征在于,BIOS验证的验证过程包括:
网络可信主机预配置受保护用户主机的BIOS文件的校验码以及配置文件的校验码;
受保护用户主机与网络可信主机建立可信连接后,从网络可信主机获取对应的BIOS文件的校验码以及配置文件的校验码;
验证BIOS文件的校验码和配置文件的校验码,完成BIOS验证。
4.根据权利要求3所述的基于可信网络引导构建可信链的方法,其特征在于,可信网络引导的引导过程包括:
配置数据度量
受保护用户主机通过可信连接从网络可信主机获取配置安全策略、配置数据校验值和硬件配置表,根据配置安全策略,依次执行可信度量;
所有可信度量通过后,使用可信连接从网络可信主机获取文件系统引导的镜像文件,加载该文件系统引导的可信镜像文件;
文件系统度量
受保护用户主机的文件系统启动后,受保护用户主机先通过可信连接从网络可信主机获取文件安全策略、各文件校验值和启动配置文件,根据文件安全策略,依次执行可信度量,可信度量通过后再引导可信镜像文件启动。
5.根据权利要求4所述的基于可信网络引导构建可信链的方法,其特征在于,建立可信连接完成受保护用户主机的可信链的构建包括:可信网络引导成功后,受保护用户主机与可信主机建立可信连接,获取安全机制策略,启动安全机制,完成受保护用户主机的可信链的构建。
6.一种基于可信网络引导构建可信链的系统,其特征在于:包括可信主机、受保护用户主机和可信网络安全模块;
可信主机,与受保护用户主机网络连接,内置可信网络安全模块,可信网络安全模块的密码模块通过网络为受保护用户主机提供信任根;
受保护用户主机,用于开机后先进行BIOS验证,并在BIOS验证通过后,在可信主机的可信网络引导下,建立可信连接完成可信链的构建。
7.根据权利要求6所述的基于可信网络引导构建可信链的系统,其特征在于,可信主机设置可信服务器TrustServer,受保护用户主机设置可信UEFI固件TrustUEFI、可信管控程序TrustImage和可信引导程序TrustGrub;受保护用户主机的BIOS中刷入可信网络安全模块TrustNetworkCard;
可信链的构建过程包括:
在完成配置等准工作后,受保护用户主机启动运行;用户主机启动后,TrustNetworkCard首先完成初始化和TrustUEFI的完整性校验,等待受保护用户主机的CPU从TrustNetworkCard获取TrustUEFI固件;
CPU获取到TrustUEFI固件后开始执行TrustUEFI,TrustUEFI运行时首先使用TrustNetworkCard提供的密码服务与TrustServer进行双向认证,建立可信连接;
从TrustServer获取配置安全策略、TrustUEFI校验值、配置数据校验值和硬件配置表,然后根据配置安全策略依次执行可信度量;所有可信度量通过后,使用可信连接从TrustServer获取TrustGrub可信镜像文件,并加载;
TrustGrub启动后,首先使用TrustNetworkCard提供的密码服务与TrustServer建立可信连接,从TrustServer获取文件安全策略、各文件校验值、启动配置文件等数据,根据文件安全策略执行可信度量,度量通过后引导可信镜像启动;
可信镜像启动后,TrustImage与TrustServer建立可信连接,获取安全机制策略,启动安全机制,,完成受保护用户主机的可信链的构建。
8.根据权利要求7所述的基于可信网络引导构建可信链的系统,其特征在于,TrustUEFI使用TrustNetworkCard提供的密码服务与TrustServer进行双向认证,建立安全通道,包括:
预配置
在TrustUEFI,设置受保护用户主机的身份标识IDA、签名证书CERTA_S及其对应的私钥SA_S、加密证书CERTA_E及其对应的私钥SA_E;还设置网络可信主机的身份标识IDB、签名证书CERTB_S、加密证书CERTB_E以及IP地址,同时设置为PXE启动;
在TrustServer,设置可信主机的签名证书CERTB_S以及对应的私钥SB_ S、加密证书CERTB_E以及对应的私钥SB_E,还设置受保护用户主机的身份标识IDA、MAC地址、签名证书CERTA_S、加密证书CERTA_E;
双向认证
TrustUEFI取随机数RA,计算HASH值ZA = HASH(RA||IDA||IDB),使用网络可信主机加密证书CERTB_E对RA||IDA进行加密,使用受保护用户主机的签名证书CERTA_S对ZA进行签名;
TrustUEFI发送Enc(RA||IDA, CERTB_E)、Sig(ZA,SA_S)给TrustServer;
TrustUEFI使用自己的私钥SB_E解密得到身份标识IDA和随机数RA,根据身份标识IDA找到受保护用户主机的签名证书CERTA_S对ZA的签名值进行验签,完成对受保护用户主机的认证;
TrustServer取随机数RB,计算HASH值ZB = HASH(RB||IDB||IDA),使用受保护用户主机的加密证书CERTA_E对RB||IDB进行加密,使用可信主机的签名证书对ZB进行签名;
TrustServer发送Enc(RB||IDB, CERTA_E)、Sig(ZB,SB_S)给TrustUEFI;
TrustUEFI使用自己的私钥SA_E解密得到身份标识IDB和随机数RB,根据身份标识IDB找到受保护用户主机的签名证书CERTB_S对ZB的签名值进行验签,完成对TrustServer的认证;
建立可信连接
TrustUEFI对所有的过程参数计算HASH值,计算会话密钥K = HASH(RA||RB),使用K对所有的过程值进行HMAC计算,将校验码发给TrustServer;
TrustServer同样计算会话密钥HASH(RA||RB),验证HMAC值,验证成功返回成功标志给TrustUEFI,后续使用共享会话密钥K进行安全通信。
9.根据权利要求6所述的基于可信网络引导构建可信链的系统,其特征在于,还包括可信主机管理端、运营中心SOC及运营中心管理端;
可信主机还设置与TrustServer连接的交互接口TrustManagement,可信管理员通过可信主机管理端管理可信主机;
运营中心SOC与TrustServer连接,用于集中对可信主机进行配置管理、监测安全状态和发布控制命令,可信管理员通过运营中心管理端管理运营中心SOC。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110200942.4A CN112910659B (zh) | 2021-02-23 | 2021-02-23 | 一种基于可信网络引导构建可信链的方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110200942.4A CN112910659B (zh) | 2021-02-23 | 2021-02-23 | 一种基于可信网络引导构建可信链的方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112910659A true CN112910659A (zh) | 2021-06-04 |
CN112910659B CN112910659B (zh) | 2024-03-08 |
Family
ID=76124522
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110200942.4A Active CN112910659B (zh) | 2021-02-23 | 2021-02-23 | 一种基于可信网络引导构建可信链的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112910659B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113407943A (zh) * | 2021-05-28 | 2021-09-17 | 浪潮电子信息产业股份有限公司 | 一种服务器的开机方法、系统及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030120948A1 (en) * | 2001-12-21 | 2003-06-26 | Schmidt Donald E. | Authentication and authorization across autonomous network systems |
CN102035837A (zh) * | 2010-12-07 | 2011-04-27 | 中国科学院软件研究所 | 一种分层连接可信网络的方法及系统 |
CN102332070A (zh) * | 2011-09-30 | 2012-01-25 | 中国人民解放军海军计算技术研究所 | 一种可信计算平台的信任链传递方法 |
CN106874771A (zh) * | 2017-02-16 | 2017-06-20 | 浪潮(北京)电子信息产业有限公司 | 一种构建可信硬件信任链的方法以及装置 |
CN107493271A (zh) * | 2017-07-28 | 2017-12-19 | 大唐高鸿信安(浙江)信息科技有限公司 | 可信安全网络系统 |
US20180004953A1 (en) * | 2016-06-30 | 2018-01-04 | General Electric Company | Secure industrial control platform |
CN112015111A (zh) * | 2019-05-30 | 2020-12-01 | 中国科学院沈阳自动化研究所 | 基于主动免疫机理的工业控制设备安全防护系统和方法 |
-
2021
- 2021-02-23 CN CN202110200942.4A patent/CN112910659B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030120948A1 (en) * | 2001-12-21 | 2003-06-26 | Schmidt Donald E. | Authentication and authorization across autonomous network systems |
CN102035837A (zh) * | 2010-12-07 | 2011-04-27 | 中国科学院软件研究所 | 一种分层连接可信网络的方法及系统 |
CN102332070A (zh) * | 2011-09-30 | 2012-01-25 | 中国人民解放军海军计算技术研究所 | 一种可信计算平台的信任链传递方法 |
US20180004953A1 (en) * | 2016-06-30 | 2018-01-04 | General Electric Company | Secure industrial control platform |
CN106874771A (zh) * | 2017-02-16 | 2017-06-20 | 浪潮(北京)电子信息产业有限公司 | 一种构建可信硬件信任链的方法以及装置 |
CN107493271A (zh) * | 2017-07-28 | 2017-12-19 | 大唐高鸿信安(浙江)信息科技有限公司 | 可信安全网络系统 |
CN112015111A (zh) * | 2019-05-30 | 2020-12-01 | 中国科学院沈阳自动化研究所 | 基于主动免疫机理的工业控制设备安全防护系统和方法 |
Non-Patent Citations (2)
Title |
---|
余彦峰;刘毅;张书杰;段立娟;: "一种专用可信网络", 北京工业大学学报, no. 11 * |
周婕;: "可信网络连接架构及关键技术研究", 计算机与数字工程, no. 09 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113407943A (zh) * | 2021-05-28 | 2021-09-17 | 浪潮电子信息产业股份有限公司 | 一种服务器的开机方法、系统及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112910659B (zh) | 2024-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103843006B (zh) | 用于向用户终端配备操作系统的方法和设备 | |
US8677115B2 (en) | Methods for verifying system integrity | |
US10749858B2 (en) | Secure login information | |
US9100188B2 (en) | Hardware-based root of trust for cloud environments | |
EP2065800B1 (en) | Remote provisioning utilizing device identifier | |
US8375220B2 (en) | Methods and systems for secure remote wake, boot, and login to a computer from a mobile device | |
US8862899B2 (en) | Storage access authentication mechanism | |
EP1780643A1 (en) | Quarantine system | |
WO2019095357A1 (zh) | 系统启动校验方法及系统、电子设备和计算机存储介质 | |
CN110874478B (zh) | 密钥处理方法及装置、存储介质和处理器 | |
CN110688660B (zh) | 一种终端安全启动的方法及装置、存储介质 | |
JP2015537322A (ja) | 仮想化環境を検出するためのユーザ・トラステッド・デバイス | |
US20080022124A1 (en) | Methods and apparatus to offload cryptographic processes | |
WO2013097117A1 (zh) | 虚拟机全盘加密下预启动时的密钥传输方法和设备 | |
JP2023514826A (ja) | コンピューティング環境内での安全な鍵交換 | |
CN103368905A (zh) | 一种基于可信密码模块芯片的网络接入认证方法 | |
CN109286502B (zh) | 恢复加密机管理员锁的方法以及加密机 | |
WO2014091342A1 (en) | User trusted device to attest trustworthiness of initialization firmware | |
US7784095B2 (en) | Virtual private network using dynamic physical adapter emulation | |
CN113986470B (zh) | 一种用户无感知的虚拟机批量远程证明方法 | |
CN105046138A (zh) | 一种基于飞腾处理器的可信管理系统及方法 | |
CN114035896B (zh) | 一种基于可信计算的批量云取证方法 | |
KR20180027323A (ko) | 솔리드 스테이트 드라이브들에 대한 중요 동작들을 인증하기 위한 시스템 및 방법 | |
CN112910659A (zh) | 一种基于可信网络引导构建可信链的方法和系统 | |
CN109508529B (zh) | 一种支付终端安全启动校验的实现方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB03 | Change of inventor or designer information |
Inventor after: Yang Xiaodong Inventor after: Zhou Wei Inventor after: Yuan Xifeng Inventor after: Chen Lijiao Inventor after: Lin Lin Inventor after: Mao Guoming Inventor before: Yang Xiaodong Inventor before: Zhou Wei Inventor before: Yuan Xifeng |
|
CB03 | Change of inventor or designer information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |