CN113868627B - 一种基于可信计算的tcm设备身份认证方法 - Google Patents

一种基于可信计算的tcm设备身份认证方法 Download PDF

Info

Publication number
CN113868627B
CN113868627B CN202111167589.0A CN202111167589A CN113868627B CN 113868627 B CN113868627 B CN 113868627B CN 202111167589 A CN202111167589 A CN 202111167589A CN 113868627 B CN113868627 B CN 113868627B
Authority
CN
China
Prior art keywords
certificate
key pair
asymmetric
tcm
master key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111167589.0A
Other languages
English (en)
Other versions
CN113868627A (zh
Inventor
罗辉
戴凯
龚京宏
高渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Yunyong Electronic Technology Co ltd
Original Assignee
Jiangsu Yunyong Electronic Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Yunyong Electronic Technology Co ltd filed Critical Jiangsu Yunyong Electronic Technology Co ltd
Priority to CN202111167589.0A priority Critical patent/CN113868627B/zh
Publication of CN113868627A publication Critical patent/CN113868627A/zh
Application granted granted Critical
Publication of CN113868627B publication Critical patent/CN113868627B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及可信计算技术领域,具体是一种基于可信计算的TCM设备身份认证方法。在TCM设备出厂前通过其内部生成非对称主密钥对EK,从而产生非对称主密钥对EK证书,用户拿到TCM设备后再通过其内部生成一个非对称主密钥对EK,并读取非对称主密钥对EK证书的公钥,以及第二次生成的非对称主密钥对EK的公钥进行验证是否一致,如一致,则再通过根证书对非对称主密钥对EK证书进行验签,如果验签成功,表示所述TCM设备为原生产厂商生产未被替换,简单灵活易用。

Description

一种基于可信计算的TCM设备身份认证方法
技术领域
本发明涉及可信计算技术领域,具体是一种基于可信计算的TCM设备身份认证方法。
背景技术
本说明书中的缩略语和关键术语定义如下:
可信密码模块trusted cryptography module(TCM):是可信计算平台的硬件模块,为可信计算平台提供密码运算功能,具有受保护的存储空间。
TCM背书密钥tcm endorsement key:是可信密码模块的背书密钥。
主密钥primary key:从与内部层次结构关联的主种子创建的主密钥。
主种子primary seed:包含在从中派生主密钥和主对象的TCM中的大随机值。
随着信息电子化与信息全球化的飞速发展,人们对计算机在工作、生活中的选择与侧重逐渐从使用属性(如硬件配置、软件兼容、生态环境)向安全属性(如行为管理、信息泄露、身份认证等功能)转移。TCM(Trusted Cryptography Module)安全芯片是实现安全可信计算功能的重要模块,现有的TCM芯片通常内嵌专用型处理器,可通过硬件支持指令实现复杂加解密算法;其作为可信计算密码支撑平台中的重要组成部分,为整个系统提供安全可信根,对TCM身份的认证就显得尤为重要。厂商生产出来的TCM模块在向终端客户发放,再到安装TCM到平台使用过程中,如何防范别有用心的人或组织通过伪造、仿制相同的TCM硬件模块进行恶意替换,以达到攻击的目的,是一个亟需要解决的技术问题,即需要向用户提供一种识别TCM硬件模块是否是原生产厂商生产的技术方法。
现有专利技术公开了一种用于物联网的可信装置,申请号为2018115921125,其技术方案是:提供可信装置与可信网关通过通信模块进行通信,判断可以装置是否可信,解决了在物联网组建时,对可信的终端设备的需求,但是并未解决本申请要解决的技术问题。
发明内容
本发明的目的在于克服以上存在的技术问题,提供一种基于可信计算的TCM设备身份认证方法。
为实现上述目的,本发明采用如下的技术方案:
一种基于可信计算的TCM设备身份认证方法,包括以下步骤:
S1:产生EK证书
所述TCM设备在出厂之前,在所述TCM设备内部通过主种子生成第一非对称主密钥对EK,再读取所述第一非对称主密钥对EK的公钥,利用所述公钥信息生成证书请求信息发送给证书签发中心CA,所述证书签发中心CA收到请求后生成非对称主密钥对EK证书,并签发给请求用户,所述非对称主密钥对EK证书包含有所述第一非对称主密钥对EK的公钥;
S2:存储EK证书
使用所述TCM设备生产厂商的根密钥签名所述非对称主密钥对EK证书,并把签名后的所述非对称主密钥对EK证书存储在所述TCM设备的非易失性存储器中;
S3:身份认证
获得所述TCM设备后,首先,按照所述第一非对称主密钥对EK的方法生成第二非对称主密钥对EK;其次,读取第二非对称主密钥对EK中的公钥;然后,读取所述非对称主密钥对EK证书的公钥;最后,验证已读取的所述第二非对称主密钥对EK中的公钥与所述非对称主密钥对EK证书中的公钥是否一致,如果一致,则读取所述可访问的外部平台中的根证书,使用所述根证书对所述非对称主密钥对EK证书进行验签,所述根证书是事先用所述根密钥自签名根证书,并把自签名的所述根证书公布到外部平台上;如果验签成功,表示所述TCM设备为厂商生产未被替换。
进一步地,所述步骤S1中,生成第一非对称主密钥对EK的方法是:在所述TCM设备内部先使用主种子通过KDF派生算法生成私钥,再根据所述私钥计算公钥,从而生成所述第一非对称主密钥对EK。
进一步地,所述步骤3)中读取所述可访问的外部平台中的根证书,使用所述根证书对所述非对称主密钥对EK证书进行验签的方法为:
请求用户向所述外部平台发送获取所述根证书的请求;所述外部平台接收到所述请求后将所述根证书发送给所述请求用户;所述请求用户再将所述根证书发送给所述TCM设备;所述TCM设备使用所述根证书对所述非对称主密钥对EK证书进行验签。
进一步地,所述非易失性存储器是ROM、Flash memory和NVRAM中的任意一种。
进一步地,所述可访问的外部平台是网站、网络服务器、云服务器、存储介质的任意一种或多种组合。
本发明在TCM设备出厂前通过其内部生成非对称主密钥对EK,从而产生非对称主密钥对EK证书,用户拿到TCM设备后再通过其内部生成一个非对称主密钥对EK,并读取非对称主密钥对EK证书的公钥,以及第二次生成的非对称主密钥对EK的公钥进行验证是否一致,如一致,则再通过根证书对非对称主密钥对EK证书进行验签,如果验签成功,表示所述TCM设备为原生产厂商生产未被替换,简单灵活易用。
附图说明
图1:本发明存储EK证书和存放根证书的流程示意图。
图2:本发明用户验证TCM设备是否一致性的流程示意图。
具体实施方式
下面结合附图及实施例对本发明进行详细说明。
本申请可访问的外部平台可以是网站、网络服务器、云服务器、存储介质等中的任意一种或多种组合,本实施例仅以厂商网站举例说明。
本申请非易失性存储器可以是ROM(Read-only memory,只读存储器)、Flashmemory(闪存)和NVRAM中的任意一种(非易失性随机存取存储器),本实施例仅以Flashmemory举例说明。
本申请的厂商指的是TCM设备生产原厂商,如厂商网站是指TCM设备生产原厂商的网站,厂商证书签发中心CA是指TCM设备生产原厂商的证书签发中心CA。
如图1-2所示,一种基于可信计算的TCM设备身份认证方法,包括以下步骤:
S1:产生EK证书
厂商在TCM设备在出厂之前,在所述TCM设备内部先使用主种子通过KDF派生算法生成私钥,再根据所述私钥计算公钥,从而生成第一非对称主密钥对EK,厂商再读取第一非对称主密钥对EK中的公钥,并使用已读取的所述第一非对称主密钥对EK中的公钥和其他信息(如证书的使用机构、证书的有效时间、证书起始时间、证书结束时间)生成证书请求信息发送给厂商证书签发中心CA,厂商证书签发中心CA收到所述请求信息后生成非对称主密钥对EK证书,并签发给所述厂商,所述非对称主密钥对EK证书包含所述第一非对称主密钥对EK的公钥。
S2:存储EK证书
厂商向所述厂商证书签发中心CA发送请求签名非对称主密钥对EK证书,所述厂商证书签发中心CA收到签名请求后,使用其根密钥对所述非对称主密钥对EK证书签名,并把签名后的所述非对称主密钥对EK证书发送给所述厂商,厂商再将所述非对称主密钥对EK证书发送给所述TCM设备,并向所述TCM设备发送将所述非对称主密钥对EK证书存储在所述TCM设备的Flash memory中的指令,所述TCM设备收到所述指令后完成存储任务;
S3:身份认证
用户在获得所述TCM设备后,首先,按照所述第一非对称主密钥对EK的方法生成第二非对称主密钥对EK;其次,读取第二非对称主密钥对EK中的公钥;然后,读取所述非对称主密钥对EK证书的公钥;最后,验证已读取的所述第二非对称主密钥对EK中的公钥与所述第一非对称主密钥对EK证书中的公钥是否一致。如果一致,则向所述厂商网站发送请求获取根证书,所述根证书是厂商事先将用所述根密钥自签名根证书,并把自签名的所述根证书公布到厂商网站上。所述厂商网站接收到所述请求后将所述根证书发送给所述用户,所述用户再将所述根证书发送给所述TCM设备;所述TCM设备使用所述根证书对所述非对称主密钥对EK证书进行验签,如果验签成功,表示所述TCM设备为厂商生产未被替换,身份合法。
最后应说明的是:以上实施例仅用以说明本发明而并非限制本发明所描述的技术方案;因此,尽管本说明书参照上述的各个实施例对本发明已进行了详细的说明,但是,本领域的普通技术人员应当理解,仍然可以对本发明进行修改或等同替换;而一切不脱离本发明的精神和范围的技术方案及其改进,其均应涵盖在本发明的权利要求范围中。

Claims (4)

1.一种基于可信计算的TCM设备身份认证方法,其特征在于,包括以下步骤:
S1:产生EK证书
所述TCM设备在出厂之前,在所述TCM设备内部通过主种子生成第一非对称主密钥对EK,再读取所述第一非对称主密钥对EK的公钥,利用所述公钥信息生成证书请求信息发送给证书签发中心CA,所述证书签发中心CA收到请求后生成非对称主密钥对EK证书,并签发给请求用户,所述非对称主密钥对EK证书包含有所述第一非对称主密钥对EK的公钥;
S2:存储EK证书
使用所述TCM设备生产厂商的根密钥签名所述非对称主密钥对EK证书,并把签名后的所述非对称主密钥对EK证书存储在所述TCM设备的非易失性存储器中;
S3:身份认证
获得所述TCM设备后,首先,按照所述第一非对称主密钥对EK的方法生成第二非对称主密钥对EK;其次,读取第二非对称主密钥对EK中的公钥;然后,读取所述非对称主密钥对EK证书的公钥;最后,验证已读取的所述第二非对称主密钥对EK中的公钥与所述非对称主密钥对EK证书中的公钥是否一致,如果一致,则读取可访问的外部平台中的根证书,使用所述根证书对所述非对称主密钥对EK证书进行验签,具体的验签方法为:请求用户向所述外部平台发送获取根证书的请求;所述外部平台接收到所述请求后将所述根证书发送给所述请求用户;所述请求用户再将所述根证书发送给所述TCM设备;所述TCM设备使用所述根证书对所述非对称主密钥对EK证书进行验签;所述根证书是事先用所述根密钥自签名根证书,并把自签名的所述根证书公布到外部平台上;如果验签成功,表示所述TCM设备为厂商生产未被替换。
2.根据权利要求1所述的基于可信计算的TCM设备身份认证方法,其特征在于:所述步骤S1中,生成第一非对称主密钥对EK的方法是:在所述TCM设备内部先使用主种子通过KDF派生算法生成私钥,再根据所述私钥计算公钥,从而生成所述第一非对称主密钥对EK。
3.根据权利要求1所述的基于可信计算的TCM设备身份认证方法,其特征在于:所述非易失性存储器是ROM、Flash memory和NVRAM中的任意一种。
4.根据权利要求1所述的基于可信计算的TCM设备身份认证方法,其特征在于:所述可访问的外部平台是网站、网络服务器、云服务器的任意一种或多种组合。
CN202111167589.0A 2021-10-07 2021-10-07 一种基于可信计算的tcm设备身份认证方法 Active CN113868627B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111167589.0A CN113868627B (zh) 2021-10-07 2021-10-07 一种基于可信计算的tcm设备身份认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111167589.0A CN113868627B (zh) 2021-10-07 2021-10-07 一种基于可信计算的tcm设备身份认证方法

Publications (2)

Publication Number Publication Date
CN113868627A CN113868627A (zh) 2021-12-31
CN113868627B true CN113868627B (zh) 2023-01-13

Family

ID=79001814

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111167589.0A Active CN113868627B (zh) 2021-10-07 2021-10-07 一种基于可信计算的tcm设备身份认证方法

Country Status (1)

Country Link
CN (1) CN113868627B (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101488851B (zh) * 2009-02-25 2011-12-21 中国人民解放军信息工程大学 一种可信计算中签发身份证明证书的方法及装置
CN102299793A (zh) * 2010-06-22 2011-12-28 清大安科(北京)科技有限公司 一种基于可信计算密码支撑平台的证书认证系统
CN102594558B (zh) * 2012-01-19 2014-08-06 东北大学 一种可信计算环境的匿名数字证书系统及验证方法
CN103856477B (zh) * 2012-12-06 2018-01-02 阿里巴巴集团控股有限公司 一种可信计算系统及相应的认证方法和设备
CN110138562B (zh) * 2018-02-09 2023-05-26 腾讯科技(北京)有限公司 智能设备的证书签发方法、装置及系统

Also Published As

Publication number Publication date
CN113868627A (zh) 2021-12-31

Similar Documents

Publication Publication Date Title
US10447486B2 (en) Remote attestation of a security module's assurance level
EP3590223B1 (fr) Procédé et dispositif pour mémoriser et partager des données intégrés
US11070542B2 (en) Systems and methods for certificate chain validation of secure elements
KR100843081B1 (ko) 보안 제공 시스템 및 방법
JP2021516495A (ja) キー管理方法、装置、システム、コンピュータ機器及びコンピュータプログラム
CN109639427B (zh) 一种数据发送的方法及设备
CN110401615B (zh) 一种身份认证方法、装置、设备、系统及可读存储介质
US9531540B2 (en) Secure token-based signature schemes using look-up tables
US20100268942A1 (en) Systems and Methods for Using Cryptographic Keys
CN109450843B (zh) 一种基于区块链的ssl证书管理方法及系统
US20100266128A1 (en) Credential provisioning
CN110929300B (zh) 一种基于标识密码的可信计算安全芯片构建方法
CN103856478A (zh) 一种可信网络的证书签发、认证方法及相应的设备
US20020080973A1 (en) Computer system and method for generating a self-verifying certificate
JP7090161B2 (ja) セキュアな取引のための装置の自己認証
US20140164764A1 (en) Assignment of digital signature and qualification for related services
KR101004829B1 (ko) 이선형 맵들로부터의 직접적인 익명의 증명을 위한 장치 및방법
CN103269271A (zh) 一种备份电子签名令牌中私钥的方法和系统
WO2011139135A1 (en) System and method for issuing endorsement key credential in trusted computing environment using local certificate authority
Abraham et al. SSI Strong Authentication using a Mobile-phone based Identity Wallet Reaching a High Level of Assurance.
CN113641975A (zh) 身份标识注册方法、身份标识验证方法、装置及系统
CN115664655A (zh) 一种tee可信认证方法、装置、设备及介质
CN113849797B (zh) 数据安全漏洞的修复方法、装置、设备及存储介质
CN112948789B (zh) 身份认证方法及装置、存储介质及电子设备
CN111953477B (zh) 终端设备及其标识令牌的生成方法和客户端的交互方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant