CN113868627B - 一种基于可信计算的tcm设备身份认证方法 - Google Patents
一种基于可信计算的tcm设备身份认证方法 Download PDFInfo
- Publication number
- CN113868627B CN113868627B CN202111167589.0A CN202111167589A CN113868627B CN 113868627 B CN113868627 B CN 113868627B CN 202111167589 A CN202111167589 A CN 202111167589A CN 113868627 B CN113868627 B CN 113868627B
- Authority
- CN
- China
- Prior art keywords
- certificate
- key pair
- asymmetric
- tcm
- master key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及可信计算技术领域,具体是一种基于可信计算的TCM设备身份认证方法。在TCM设备出厂前通过其内部生成非对称主密钥对EK,从而产生非对称主密钥对EK证书,用户拿到TCM设备后再通过其内部生成一个非对称主密钥对EK,并读取非对称主密钥对EK证书的公钥,以及第二次生成的非对称主密钥对EK的公钥进行验证是否一致,如一致,则再通过根证书对非对称主密钥对EK证书进行验签,如果验签成功,表示所述TCM设备为原生产厂商生产未被替换,简单灵活易用。
Description
技术领域
本发明涉及可信计算技术领域,具体是一种基于可信计算的TCM设备身份认证方法。
背景技术
本说明书中的缩略语和关键术语定义如下:
可信密码模块trusted cryptography module(TCM):是可信计算平台的硬件模块,为可信计算平台提供密码运算功能,具有受保护的存储空间。
TCM背书密钥tcm endorsement key:是可信密码模块的背书密钥。
主密钥primary key:从与内部层次结构关联的主种子创建的主密钥。
主种子primary seed:包含在从中派生主密钥和主对象的TCM中的大随机值。
随着信息电子化与信息全球化的飞速发展,人们对计算机在工作、生活中的选择与侧重逐渐从使用属性(如硬件配置、软件兼容、生态环境)向安全属性(如行为管理、信息泄露、身份认证等功能)转移。TCM(Trusted Cryptography Module)安全芯片是实现安全可信计算功能的重要模块,现有的TCM芯片通常内嵌专用型处理器,可通过硬件支持指令实现复杂加解密算法;其作为可信计算密码支撑平台中的重要组成部分,为整个系统提供安全可信根,对TCM身份的认证就显得尤为重要。厂商生产出来的TCM模块在向终端客户发放,再到安装TCM到平台使用过程中,如何防范别有用心的人或组织通过伪造、仿制相同的TCM硬件模块进行恶意替换,以达到攻击的目的,是一个亟需要解决的技术问题,即需要向用户提供一种识别TCM硬件模块是否是原生产厂商生产的技术方法。
现有专利技术公开了一种用于物联网的可信装置,申请号为2018115921125,其技术方案是:提供可信装置与可信网关通过通信模块进行通信,判断可以装置是否可信,解决了在物联网组建时,对可信的终端设备的需求,但是并未解决本申请要解决的技术问题。
发明内容
本发明的目的在于克服以上存在的技术问题,提供一种基于可信计算的TCM设备身份认证方法。
为实现上述目的,本发明采用如下的技术方案:
一种基于可信计算的TCM设备身份认证方法,包括以下步骤:
S1:产生EK证书
所述TCM设备在出厂之前,在所述TCM设备内部通过主种子生成第一非对称主密钥对EK,再读取所述第一非对称主密钥对EK的公钥,利用所述公钥信息生成证书请求信息发送给证书签发中心CA,所述证书签发中心CA收到请求后生成非对称主密钥对EK证书,并签发给请求用户,所述非对称主密钥对EK证书包含有所述第一非对称主密钥对EK的公钥;
S2:存储EK证书
使用所述TCM设备生产厂商的根密钥签名所述非对称主密钥对EK证书,并把签名后的所述非对称主密钥对EK证书存储在所述TCM设备的非易失性存储器中;
S3:身份认证
获得所述TCM设备后,首先,按照所述第一非对称主密钥对EK的方法生成第二非对称主密钥对EK;其次,读取第二非对称主密钥对EK中的公钥;然后,读取所述非对称主密钥对EK证书的公钥;最后,验证已读取的所述第二非对称主密钥对EK中的公钥与所述非对称主密钥对EK证书中的公钥是否一致,如果一致,则读取所述可访问的外部平台中的根证书,使用所述根证书对所述非对称主密钥对EK证书进行验签,所述根证书是事先用所述根密钥自签名根证书,并把自签名的所述根证书公布到外部平台上;如果验签成功,表示所述TCM设备为厂商生产未被替换。
进一步地,所述步骤S1中,生成第一非对称主密钥对EK的方法是:在所述TCM设备内部先使用主种子通过KDF派生算法生成私钥,再根据所述私钥计算公钥,从而生成所述第一非对称主密钥对EK。
进一步地,所述步骤3)中读取所述可访问的外部平台中的根证书,使用所述根证书对所述非对称主密钥对EK证书进行验签的方法为:
请求用户向所述外部平台发送获取所述根证书的请求;所述外部平台接收到所述请求后将所述根证书发送给所述请求用户;所述请求用户再将所述根证书发送给所述TCM设备;所述TCM设备使用所述根证书对所述非对称主密钥对EK证书进行验签。
进一步地,所述非易失性存储器是ROM、Flash memory和NVRAM中的任意一种。
进一步地,所述可访问的外部平台是网站、网络服务器、云服务器、存储介质的任意一种或多种组合。
本发明在TCM设备出厂前通过其内部生成非对称主密钥对EK,从而产生非对称主密钥对EK证书,用户拿到TCM设备后再通过其内部生成一个非对称主密钥对EK,并读取非对称主密钥对EK证书的公钥,以及第二次生成的非对称主密钥对EK的公钥进行验证是否一致,如一致,则再通过根证书对非对称主密钥对EK证书进行验签,如果验签成功,表示所述TCM设备为原生产厂商生产未被替换,简单灵活易用。
附图说明
图1:本发明存储EK证书和存放根证书的流程示意图。
图2:本发明用户验证TCM设备是否一致性的流程示意图。
具体实施方式
下面结合附图及实施例对本发明进行详细说明。
本申请可访问的外部平台可以是网站、网络服务器、云服务器、存储介质等中的任意一种或多种组合,本实施例仅以厂商网站举例说明。
本申请非易失性存储器可以是ROM(Read-only memory,只读存储器)、Flashmemory(闪存)和NVRAM中的任意一种(非易失性随机存取存储器),本实施例仅以Flashmemory举例说明。
本申请的厂商指的是TCM设备生产原厂商,如厂商网站是指TCM设备生产原厂商的网站,厂商证书签发中心CA是指TCM设备生产原厂商的证书签发中心CA。
如图1-2所示,一种基于可信计算的TCM设备身份认证方法,包括以下步骤:
S1:产生EK证书
厂商在TCM设备在出厂之前,在所述TCM设备内部先使用主种子通过KDF派生算法生成私钥,再根据所述私钥计算公钥,从而生成第一非对称主密钥对EK,厂商再读取第一非对称主密钥对EK中的公钥,并使用已读取的所述第一非对称主密钥对EK中的公钥和其他信息(如证书的使用机构、证书的有效时间、证书起始时间、证书结束时间)生成证书请求信息发送给厂商证书签发中心CA,厂商证书签发中心CA收到所述请求信息后生成非对称主密钥对EK证书,并签发给所述厂商,所述非对称主密钥对EK证书包含所述第一非对称主密钥对EK的公钥。
S2:存储EK证书
厂商向所述厂商证书签发中心CA发送请求签名非对称主密钥对EK证书,所述厂商证书签发中心CA收到签名请求后,使用其根密钥对所述非对称主密钥对EK证书签名,并把签名后的所述非对称主密钥对EK证书发送给所述厂商,厂商再将所述非对称主密钥对EK证书发送给所述TCM设备,并向所述TCM设备发送将所述非对称主密钥对EK证书存储在所述TCM设备的Flash memory中的指令,所述TCM设备收到所述指令后完成存储任务;
S3:身份认证
用户在获得所述TCM设备后,首先,按照所述第一非对称主密钥对EK的方法生成第二非对称主密钥对EK;其次,读取第二非对称主密钥对EK中的公钥;然后,读取所述非对称主密钥对EK证书的公钥;最后,验证已读取的所述第二非对称主密钥对EK中的公钥与所述第一非对称主密钥对EK证书中的公钥是否一致。如果一致,则向所述厂商网站发送请求获取根证书,所述根证书是厂商事先将用所述根密钥自签名根证书,并把自签名的所述根证书公布到厂商网站上。所述厂商网站接收到所述请求后将所述根证书发送给所述用户,所述用户再将所述根证书发送给所述TCM设备;所述TCM设备使用所述根证书对所述非对称主密钥对EK证书进行验签,如果验签成功,表示所述TCM设备为厂商生产未被替换,身份合法。
最后应说明的是:以上实施例仅用以说明本发明而并非限制本发明所描述的技术方案;因此,尽管本说明书参照上述的各个实施例对本发明已进行了详细的说明,但是,本领域的普通技术人员应当理解,仍然可以对本发明进行修改或等同替换;而一切不脱离本发明的精神和范围的技术方案及其改进,其均应涵盖在本发明的权利要求范围中。
Claims (4)
1.一种基于可信计算的TCM设备身份认证方法,其特征在于,包括以下步骤:
S1:产生EK证书
所述TCM设备在出厂之前,在所述TCM设备内部通过主种子生成第一非对称主密钥对EK,再读取所述第一非对称主密钥对EK的公钥,利用所述公钥信息生成证书请求信息发送给证书签发中心CA,所述证书签发中心CA收到请求后生成非对称主密钥对EK证书,并签发给请求用户,所述非对称主密钥对EK证书包含有所述第一非对称主密钥对EK的公钥;
S2:存储EK证书
使用所述TCM设备生产厂商的根密钥签名所述非对称主密钥对EK证书,并把签名后的所述非对称主密钥对EK证书存储在所述TCM设备的非易失性存储器中;
S3:身份认证
获得所述TCM设备后,首先,按照所述第一非对称主密钥对EK的方法生成第二非对称主密钥对EK;其次,读取第二非对称主密钥对EK中的公钥;然后,读取所述非对称主密钥对EK证书的公钥;最后,验证已读取的所述第二非对称主密钥对EK中的公钥与所述非对称主密钥对EK证书中的公钥是否一致,如果一致,则读取可访问的外部平台中的根证书,使用所述根证书对所述非对称主密钥对EK证书进行验签,具体的验签方法为:请求用户向所述外部平台发送获取根证书的请求;所述外部平台接收到所述请求后将所述根证书发送给所述请求用户;所述请求用户再将所述根证书发送给所述TCM设备;所述TCM设备使用所述根证书对所述非对称主密钥对EK证书进行验签;所述根证书是事先用所述根密钥自签名根证书,并把自签名的所述根证书公布到外部平台上;如果验签成功,表示所述TCM设备为厂商生产未被替换。
2.根据权利要求1所述的基于可信计算的TCM设备身份认证方法,其特征在于:所述步骤S1中,生成第一非对称主密钥对EK的方法是:在所述TCM设备内部先使用主种子通过KDF派生算法生成私钥,再根据所述私钥计算公钥,从而生成所述第一非对称主密钥对EK。
3.根据权利要求1所述的基于可信计算的TCM设备身份认证方法,其特征在于:所述非易失性存储器是ROM、Flash memory和NVRAM中的任意一种。
4.根据权利要求1所述的基于可信计算的TCM设备身份认证方法,其特征在于:所述可访问的外部平台是网站、网络服务器、云服务器的任意一种或多种组合。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111167589.0A CN113868627B (zh) | 2021-10-07 | 2021-10-07 | 一种基于可信计算的tcm设备身份认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111167589.0A CN113868627B (zh) | 2021-10-07 | 2021-10-07 | 一种基于可信计算的tcm设备身份认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113868627A CN113868627A (zh) | 2021-12-31 |
CN113868627B true CN113868627B (zh) | 2023-01-13 |
Family
ID=79001814
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111167589.0A Active CN113868627B (zh) | 2021-10-07 | 2021-10-07 | 一种基于可信计算的tcm设备身份认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113868627B (zh) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101488851B (zh) * | 2009-02-25 | 2011-12-21 | 中国人民解放军信息工程大学 | 一种可信计算中签发身份证明证书的方法及装置 |
CN102299793A (zh) * | 2010-06-22 | 2011-12-28 | 清大安科(北京)科技有限公司 | 一种基于可信计算密码支撑平台的证书认证系统 |
CN102594558B (zh) * | 2012-01-19 | 2014-08-06 | 东北大学 | 一种可信计算环境的匿名数字证书系统及验证方法 |
CN103856477B (zh) * | 2012-12-06 | 2018-01-02 | 阿里巴巴集团控股有限公司 | 一种可信计算系统及相应的认证方法和设备 |
CN110138562B (zh) * | 2018-02-09 | 2023-05-26 | 腾讯科技(北京)有限公司 | 智能设备的证书签发方法、装置及系统 |
-
2021
- 2021-10-07 CN CN202111167589.0A patent/CN113868627B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN113868627A (zh) | 2021-12-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10447486B2 (en) | Remote attestation of a security module's assurance level | |
EP3590223B1 (fr) | Procédé et dispositif pour mémoriser et partager des données intégrés | |
US11070542B2 (en) | Systems and methods for certificate chain validation of secure elements | |
KR100843081B1 (ko) | 보안 제공 시스템 및 방법 | |
JP2021516495A (ja) | キー管理方法、装置、システム、コンピュータ機器及びコンピュータプログラム | |
CN109639427B (zh) | 一种数据发送的方法及设备 | |
CN110401615B (zh) | 一种身份认证方法、装置、设备、系统及可读存储介质 | |
US9531540B2 (en) | Secure token-based signature schemes using look-up tables | |
US20100268942A1 (en) | Systems and Methods for Using Cryptographic Keys | |
CN109450843B (zh) | 一种基于区块链的ssl证书管理方法及系统 | |
US20100266128A1 (en) | Credential provisioning | |
CN110929300B (zh) | 一种基于标识密码的可信计算安全芯片构建方法 | |
CN103856478A (zh) | 一种可信网络的证书签发、认证方法及相应的设备 | |
US20020080973A1 (en) | Computer system and method for generating a self-verifying certificate | |
JP7090161B2 (ja) | セキュアな取引のための装置の自己認証 | |
US20140164764A1 (en) | Assignment of digital signature and qualification for related services | |
KR101004829B1 (ko) | 이선형 맵들로부터의 직접적인 익명의 증명을 위한 장치 및방법 | |
CN103269271A (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
WO2011139135A1 (en) | System and method for issuing endorsement key credential in trusted computing environment using local certificate authority | |
Abraham et al. | SSI Strong Authentication using a Mobile-phone based Identity Wallet Reaching a High Level of Assurance. | |
CN113641975A (zh) | 身份标识注册方法、身份标识验证方法、装置及系统 | |
CN115664655A (zh) | 一种tee可信认证方法、装置、设备及介质 | |
CN113849797B (zh) | 数据安全漏洞的修复方法、装置、设备及存储介质 | |
CN112948789B (zh) | 身份认证方法及装置、存储介质及电子设备 | |
CN111953477B (zh) | 终端设备及其标识令牌的生成方法和客户端的交互方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |