為了使本技術領域的人員更好地理解本發明方案,下面將結合本發明實施例中的圖式,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分的實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都應當屬本發明保護的範圍。 需要說明的是,本發明的說明書和申請專利範圍及上述圖式中的術語“第一”、“第二”等是用於區別類似的對象,而不必用於描述特定的順序或先後次序。應該理解這樣使用的資料在適當情況下可以互換,以便這裡描述的本發明的實施例能夠以除了在這裡圖示或描述的那些以外的順序實施。此外,術語“包括”和“具有”以及他們的任何變形,意圖在於覆蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、系統、產品或設備不必限於清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或對於這些過程、方法、產品或設備固有的其它步驟或單元。 首先,在對本申請實施例進行描述的過程中出現的部分名詞或術語適用於如下解釋: (1)U:用戶終端上運行的用戶進程; (2)T:安全晶片; (3)TID
:安全晶片唯一標識,可以標識安全晶片T的唯一性; (4)PCA:第三方證書伺服器的資訊,即,可信第三方; (5)N1:第一隨機數,用戶終端上運行的用戶進程U產生的隨機數; (6)N2:第二隨機數,安全晶片T產生的隨機數; (7)L:用戶終端上運行的用戶進程的標識資訊,即,用戶進程的身份標簽; (8)AIK:安全晶片T為用戶進程U產生的用於驗證平台身份的密鑰,其中,AIK為用戶進程U的平台身份公鑰,AIK-1
為用戶進程U的平台身份私鑰,平台身份私鑰存放在安全晶片T的晶片內部; (9)I=[AIK, L, PCA]AIK -1
,注:表示用平台身份私鑰AIK-1
加密資訊集:AIK, L, PCA; (10)EK:安全晶片T的安全晶片背書公鑰;EK-1
:安全晶片T中與安全晶片背書公鑰EK對應的安全晶片背書私鑰; (11)Cert_EK:安全晶片的背書證書,Cert_EK=[TID, EK, MF]SK(MF)
,其中,MF是廠商,SK(MF)是廠商私鑰;[T, EK, MF]SK(MF)
表示用廠商私鑰SK(MF)加密資訊[T,EK,MF],本申請實施例中,[Y]X
表示用X加密Y,後續不再重述; (12)Cert_AIK=[L, AIK, PCA]SK(PCA)
; (13)PCA的平台身份公私鑰對:PK(PCA)為PCA的公鑰,SK(PCA)為PCA的私鑰; (14)證書格式[u, PK(u), CA]Sk(CA)
:其中,u表示證書擁有者;PK(u)表示證書擁有者公鑰;CA表示證書頒發者;Sk(CA)表示證書頒發者私鑰。 實施例1 根據本發明實施例,還提供了一種資訊安全的驗證的系統實施例,需要說明的是,本發明實施例1所提供的資訊安全的驗證系統實施例可以應用於如圖3所示的由伺服器303和終端301所構成的硬體環境中。如圖3所示,終端301可以經由資料網路連接或電子連接到一個或多個伺服器。一種可選實施例中,上述終端301可以但不限定於PC電腦、手機、筆記本電腦、平板電腦等設備。資料網路連接可以是區域網連接、廣域網連接、網際網路連接,或其他類型的資料網路連接。終端301可以執行以連接到由一個伺服器或一組伺服器執行的網路服務。網路伺服器是基於網路的用戶服務,諸如社交網路、雲端資源、電子郵件、線上支付或其他線上應用。 需要說明的是,本申請實施例一所提供的系統實施例中的終端301可以在計算機終端、移動終端或者類似的運算裝置中執行。以運行在移動終端上為例,圖4是本發明實施例的一種用於實現資訊安全的驗證系統的移動終端的硬體結構方塊圖。如圖4所示,該移動終端40可以包括一個或多個(圖中僅示出一個)處理器402(處理器402可以包括但不限於微處理器MCU或可編程邏輯器件FPGA等的處理裝置)、用於儲存資料的記憶體404、以及用於通信功能的傳輸裝置406。本領域普通技術人員可以理解,圖4所示的結構僅為示意,其並不對上述電子裝置的結構造成限定。例如,移動終端40還可包括比圖4中所示更多或者更少的組件,或者具有與圖4所示不同的配置。 記憶體404可用於儲存應用軟體的軟體程式以及模組,如本發明實施例中的資訊安全的驗證方法對應的程式指令/模組,處理器402通過運行儲存在記憶體404內的軟體程式以及模組,從而執行各種功能應用以及資料處理,即實現上述的資訊安全的驗證方法。記憶體404可包括高速隨機記憶體,還可包括非揮發性記憶體,如一個或者多個磁性儲存裝置、快閃記憶體、或者其他非揮發性固態記憶體。在一些實例中,記憶體404可進一步包括相對於處理器402遠程設置的記憶體,這些遠程記憶體可以通過網路連接至移動終端40。上述網路的實例包括但不限於互聯網、企業內部網、區域網、移動通信網及其組合。 傳輸裝置406用於經由一個網路接收或者發送資料。上述的網路具體實例可包括移動終端40的通信供應商提供的無線網路。在一個實例中,傳輸裝置406包括一個網路控制器(Network Interface Controller,NIC),其可通過基站與其他網路設備相連從而可與互聯網進行通訊。在一個實例中,傳輸裝置406可以為射頻(Radio Frequency,RF)模組,其用於通過無線方式與互聯網進行通訊。 此處需要說明的是,在一些可選實施例中,上述圖4所示的移動終端可以包括硬體元件(包括電路)、軟體元件(包括儲存在計算機可讀介質上的計算機代碼)、或硬體元件和軟體元件兩者的結合。應當指出的是,圖4僅為特定具體實例的一個實例,並且旨在示出可存在於上述移動終端中的部件的類型。 需要說明的是,圖4示出的硬體結構方塊圖,不僅可以作為上述終端301的示例性方塊圖,還可以作為上述伺服器303的示例性方塊圖。 在上述運行環境下,本申請提供了一種資訊安全的驗證系統實施例。圖5是根據本發明實施例的一種資訊安全的驗證系統示意圖;如圖5所示,該系統包括:安全晶片501和用戶終端503。 其中,用戶終端503,用於將加密後的資訊集發送至安全晶片501,接收安全晶片501返回的身份資料,根據第一隨機數對身份資料進行解密得到第一解密結果,根據第一解密結果確定安全晶片是否為合法的晶片; 其中,資訊集包括:第一隨機數,身份資料包括:使用第一隨機數進行加密的安全晶片的背書證書、包含了安全晶片的晶片標識的身份內容資訊和安全晶片為用戶終端上運行的用戶進程產生的平台身份公鑰,第一解密結果包括:對加密後的背書證書進行解密,和/或對身份內容資訊進行解密。 具體地,在本實施例中,上述安全晶片501可以為用於在計算運算的同時進行安全防護的可信任平台模組,是一個可獨立進行密鑰產生、加解密的裝置,內部擁有獨立的處理器和儲存單元,可儲存密鑰和特徵資料,為終端設備提供加密和安全認證服務;利用安全晶片進行加密,密鑰被儲存在硬體中,被竊的資料無法解密,從而保護商業隱私和資料安全;上述用戶終端可以為用於通信的計算機、筆記本電腦、平板電腦、手機等終端設備,用戶進程可以為用戶在上述用戶終端上運行的進程,一旦用戶進程產生,則安全晶片會為用戶進程產生相應的平台身份密鑰對,用戶進程獲取平台身份公鑰,該用戶進程的平台身份私鑰則留在安全晶片內部;上述資訊集為用戶終端發送的包含了用戶進程的身份標簽、可信第三方PCA資訊的資料,需要說明的是,本申請實施中,在資訊集中加入了第一隨機數,因而,上述資訊集可以包括用戶終端上運行的用戶進程的身份標簽、可信第三方PCA資訊以及第一隨機數。 通過上述實施例中安全晶片和用戶終端公開的方案,用戶終端(實際上是用戶終端上運行的用戶進程)在將資訊集發送至安全晶片之前,會首先將資訊集進行加密;在用戶終端將加密後的資訊集發送至安全晶片後,安全晶片接收用戶終端發送的加密後的資訊集,進行解密,得到該用戶終端的身份標簽、可信第三方PCA資訊以及第一隨機數;安全晶片內部產生第二隨機數,並利用第一隨機數、第二隨機數以及安全晶片內部的安全晶片背書私鑰為用戶進程產生平台身份平台身份公私鑰對,其中,平台身份私鑰保留在安全晶片中,平台身份公鑰發送至用戶進程,同時將採用第一隨機數進行加密的安全晶片的背書證書、包含了安全晶片的晶片標識的身份內容資訊也發送至用戶終端。用戶終端接收得到安全晶片返回的身份資料後,利用第一隨機數對接收到的身份資料進行解密,得到第一解密結果,並驗證安全晶片是否為合法的晶片。 一種可選的實施例中,假設用戶終端上運行的用戶進程U、安全晶片T、可信第三方PCA在身份密鑰及身份證書互動之前,已獲得安全晶片背書公鑰EK,用戶進程U可以利用安全晶片背書公鑰EK將資訊集[L,PCA,N1]加密,其中,L為用戶進程U的身份標簽,PCA為可信第三方資訊、N1為第一隨機數。 基於上述實施例,在安全晶片接收到利用安全晶片背書公鑰EK加密的資訊集[L,PCA,N1]EK
後,首先,利用安全晶片背書私鑰EK-1
解密接收到的資訊集[L,PCA,N1]EK
,得到用戶進程的身份標簽L、可信第三方PCA資訊以及第一隨機數N1;接著,安全晶片產生第二隨機數N2,並依據N1、N2、EK-1
為用戶進程U產生平台身份平台身份公私鑰對AIK(平台身份公鑰)、AIK-1
(平台身份私鑰),其中,AIK=[N1||N2||L]EK -1
,平台身份私鑰AIK-1
保留在安全晶片T中;然後,安全晶片T通過計算得到身份內容資訊I=[AIK, L, TID, PCA]AIK -1
以及利用第一隨機數N1加密得到的安全晶片的背書證書[Cert_EK]N1
;最後,安全晶片T將使用第一隨機數進行加密的安全晶片的背書證書[Cert_EK]N1
、基於第一隨機數和第二隨機數(安全晶片內部產生的隨機數)產生的用戶進程的平台身份公鑰AIK、包含了安全晶片的晶片標識的身份內容資訊I發送至用戶進程。 作為一種可選的實施例,上述身份資料中可以包括:第一隨機數進行加密的安全晶片的背書證書[Cert_EK]N1
、基於第一隨機數和第二隨機數產生的用戶進程的平台身份公鑰AIK、包含了安全晶片的晶片標識的身份內容資訊I=[AIK, L, TID, PCA]AIK -1
,其中,TID
可以標識安全晶片T的唯一性,將TID
與用戶進程的身份標簽L綁定作為用戶進程U的平台身份資訊一部分,解決了用戶進程請求身份與安全晶片平台身份的綁定。用戶終端接收到安全晶片返回的平台身份密鑰後,利用第一隨機數N1對加密的安全晶片的背書證書[Cert_EK]N1
進行解密,可以得到背書證書Cert_EK。 可選地,基於上述實施例公開的方案,用戶進程U利用第一隨機數N1對身份密鑰進行解密,得到背書證書Cert_EK後,根據背書證書Cert_EK得到相應的安全晶片背書公鑰EK後,利用安全晶片背書公鑰EK來解密平台身份公鑰AIK=[N1||N2||L]EK -1
,如果所解密的結果資訊中包含第一隨機數N1,且身份內容資訊中包含的TID
的資訊與Cer_安全晶片背書證書Cert_EK所包含的TID
資訊一致,則認為AIK和I是合法的安全晶片T發給自己的平台身份公鑰及身份內容資訊,流程繼續,否則終止。 由上可知,在本申請上述實施例中,用戶終端(實際上是用戶終端上運行的用戶進程)在將資訊集發送至安全晶片之前,利用安全晶片背書公鑰來對資訊集加密;安全晶片接收到用戶進程發送的加密後的資訊集後,採用相應的私鑰來對加密後的資訊集進行解密,由於資訊集中添加了第一隨機數,安全晶片利用第一隨機數對其背書證書進行加密後發送至用戶進程,同時將包含了其晶片標識的身份內容資訊和基於第一隨機數和第二隨機數(安全晶片內部產生的隨機數)產生的平台身份公鑰發送至用戶進程;用戶進程在接收到安全晶片返回的加密後的背書證書、包含了晶片標識的身份內容資訊以及平台身份公鑰後,利用第一隨機數進行解密,並根據解密後的解密結果確定安全晶片是否為合法的晶片。 通過上述實施例公開的方案,達到了用戶終端上的用戶進程與安全晶片之間進行可信性驗證的目的,從而實現了提高通信過程中資訊安全性的技術效果。 由此,本申請上述實施例解決了現有技術中用戶終端上運行的用戶進程與安全晶片互動時沒有對雙方身份進行合法性驗證的技術問題。 在一種可選的實施例中,上述安全晶片501還用於使用與安全晶片背書公鑰EK對應的安全晶片背書私鑰EK-1
對加密後的資訊集進行解密,得到資訊集,並在獲取到第二隨機數(安全晶片內部產生的隨機數)之後,根據資訊集、第二隨機數和安全晶片背書私鑰EK-1
產生用戶進程的平台身份公鑰AIK、平台身份私鑰AIK-1
和身份內容資訊,並使用第一隨機數對安全晶片的背書證書進行加密;上述用戶終端503還用於接收安全晶片發送的至少將如下資訊:身份內容資訊、加密後的背書證書和平台身份公鑰AIK。 具體地,在上述實施例中,在用戶終端503將加密後的資訊集發送至安全晶片501後,安全晶片501接收用戶終端503發送的加密後的資訊集,可以利用與安全晶片背書公鑰EK對應的安全晶片背書私鑰EK-1
對加密後的資訊集進行解密,得到用戶終端503上運行的用戶進程的身份標簽、可信第三方PCA資訊以及用戶終端503上運行的用戶進程U產生的第一隨機數;並產生第二隨機數,利用第一隨機數、第二隨機數以及安全晶片501內部的安全晶片背書私鑰EK-1
為用戶終端503上運行的用戶進程產生平台身份平台身份公私鑰對,即,用戶進程U的平台身份公鑰AIK、平台身份私鑰AIK-1
;其中,平台身份私鑰AIK-1
保留在安全晶片501中,平台身份公鑰AIK發送至用戶終端503,同時將採用第一隨機數進行加密的安全晶片501的背書證書、身份內容資訊也發送至用戶終端503。 此處需要說明的是,上述身份內容資訊中包含了安全晶片T的晶片標識,由本申請背景部分內容可知,現有的平台身份密鑰及證書分發過程中,安全晶片T向用戶進程U發送的簽名後的身份內容資訊為I=[AIK, L, PCA]AIK-1
,而本申請實施例中,安全晶片T通過計算得到的身份內容資訊I=[AIK, L, TID, PCA],其中,TID
為安全晶片T唯一標識。 通過上述實施例,安全晶片501採用第一隨機數、第二隨機數以及安全晶片501內部的安全晶片背書私鑰EK-1
產生安全晶片501的平台身份公鑰AIK,可以便於後續用戶進程對安全晶片501的驗證,安全晶片501使用TID
用以標識可信晶片T的唯一性,並將之與身份標簽L綁定作為用戶進程U的平台身份資訊一部分,解決了用戶進程請求身份與可信晶片平台身份的綁定。 在一種可選的實施例中,如圖5所示,上述系統還包括:第三方證書伺服器505,接收用戶終端503發送的待驗證的資訊,待驗證的資訊包括至少如下資料:使用第三方伺服器提供的證書公鑰對安全晶片背書證書進行加密的加密結果、用戶終端上運行的用戶進程的身份標簽、第三方證書伺服器505的標識資訊、包含了安全晶片的晶片標識的身份內容資訊和基於第一隨機數和第二隨機數產生的用戶進程的平台身份公鑰。 具體地,在上述實施例中,在用戶終端向第三方證書伺服器505發送背書證書的加密結果、用戶終端上運行的用戶進程的身份標簽、第三方證書伺服器505的標識資訊、包含了安全晶片的晶片標識的身份內容資訊和基於第一隨機數和第二隨機數產生的用戶進程的平台身份公鑰等資訊之後,第三方證書伺服器505使用與證書公鑰對應的證書私鑰對背書證書的加密結果進行解密,得到安全晶片的背書證書、用戶進程的身份標簽L和安全晶片的安全晶片背書公鑰EK;然後,第三方證書伺服器505使用安全晶片的安全晶片背書公鑰EK對用戶進程的平台身份公鑰AIK進行解密,得到用戶進程U的身份標簽L,並使用用戶進程的平台身份公鑰AIK對身份內容資訊進行解密,得到相應的解密資訊,如果解密資訊中包含的晶片標識與背書證書中記錄的晶片標識一致,和/或解密資訊中包含的用戶進程的身份標簽與背書證書中記錄的身份標簽一致,則確定安全晶片提供了為用戶終端上運行的用戶進程U提供了合法的平台身份平台身份公私鑰對。 一種可選的實施例中,用戶終端使用第三方證書伺服器505提供的證書公鑰PK(PCA)對安全晶片的背書證書進行加密,得到背書證書的加密結果[Cert_EK]PK(PCA)
,並向第三方證書伺服器505(即,可信第三方PCA)發送以下資訊:背書證書的加密結果[Cert_EK]PK(PCA)
、用戶進程的身份標簽L、第三方證書伺服器505的標識資訊PCA、包含了安全晶片的晶片標識的身份內容資訊I和基於第一隨機數和第二隨機數產生的用戶進程的平台身份公鑰AIK。第三方證書伺服器505接收到上述資訊後,利用與證書公鑰PK(PCA)對應的證書私鑰SK(PCA)解密背書證書的加密結果資訊[Cert_EK,L]PK(PCA),得到背書證書Cert_EK、用戶進程的身份標簽L、以及安全晶片背書公鑰EK,利用安全晶片背書公鑰EK解密用戶進程的平台身份公鑰AIK,得到用戶進程的身份標簽L,判斷利用安全晶片背書公鑰EK解密得到的用戶進程的身份標簽L與利用證書私鑰SK(PCA)解密背書證書的加密結果資訊[Cert_EK,L]PK(PCA)得到身份標簽L是否一致,以及利用平台身份公鑰AIK解密平台身份內容資訊I得到的晶片標識TID
與背書證書Cert_EK裡的TID
是否一致,從而確定平台身份公鑰AIK和平台身份私鑰AIK-1
是否來自合法的安全晶片為用戶進程產生的平台身份公私鑰對。 通過上述實施例,實現了為用戶進程提供的平台身份公私鑰對的安全晶片的合法性進行驗證。 在一種可選的實施例中,上述用戶終端503還用於使用安全晶片背書公鑰EK對資訊集進行加密,其中,資訊集還包括:用戶終端503上運行的用戶進程的標識資訊和第三方證書伺服器的資訊。 具體地,在上述實施例中,安全晶片背書公鑰EK可以為基於TCG規範,用於在平台身份密鑰和身份證書的分發過程中的平台身份公鑰;用戶終端503上運行的用戶進程的標識資訊可以為用戶終端503的身份標簽,第三方證書伺服器的資訊可以為可信第三方平台的資訊;一種可選的實施例中,假設用戶終端503U,安全晶片501T,可信第三方PCA在平台身份密鑰及身份證書互動之前,已獲得平台安全晶片背書公鑰EK,用戶終端503在將加密後的資訊集發送至安全晶片501前,可以首先利用安全晶片背書公鑰EK將資訊集[L, PCA, N1]加密,其中,其中,L為用戶終端503的身份標簽,PCA為第三方證書伺服器的資訊、N1為第一隨機數,用戶進程U產生的隨機產生數。 在一種可選的實施例中,上述用戶終端503還用於使用第一隨機數對加密後的背書證書進行解密,得到背書證書;根據背書證書得到安全晶片背書公鑰EK,並驗證背書證書的合法性;使用安全晶片背書公鑰EK對平台身份公鑰AIK進行解密,得到第三解密結果。 具體地,在上述實施例中,上述第一隨機數可以為用戶終端503上運行的用戶進程U產生的隨機產生數;用戶終端503在接收得到安全晶片501返回的平台身份公鑰後,利用第一隨機數對使用第一隨機數進行加密的安全晶片501的背書證書進行解密,得到安全晶片501的背書證書;利用背書證書得到相應的安全晶片背書公鑰,使用安全晶片背書公鑰對平台身份公鑰進行解密,得到第三解密結果。 一種可選的實施例中,上述身份資料中可以包括:第一隨機數進行加密的安全晶片501的背書證書,得到加密結果[Cert_EK]N1
、安全晶片501產生的平台身份公鑰AIK、包含了安全晶片501的晶片標識的身份內容資訊I=[AIK, L, TID, PCA]AIK -1
;用戶終端503U利用第一隨機數N1對加密結果[Cert_EK]N1
進行解密,得到背書證書Cert_EK後,根據背書證書Cert_EK得到相應的安全晶片背書公鑰EK後,利用安全晶片背書公鑰EK來解密平台身份公鑰資訊AIK=[N1||N2||L]EK -1
,得到第三解密結果,其中,如果安全晶片背書公鑰EK合法的情況下,得到的第三解密結果中應該包含第一隨機數N1。 通過上述實施例,由於用戶終端503在向安全晶片501發送資訊集之前,在資訊集中增加了第一隨機數,因而,可以通過驗證上述解密後的結果中是否包含第一隨機數來驗證安全晶片501是否合法。 在一種可選的實施例中,上述用戶終端503還用於驗證第三解密結果中是否包含第一隨機數;如果第三解密結果中包含第一隨機數,則確定安全晶片501為合法的晶片。 具體地,在上述實施例中,用戶終端503在根據第一隨機數對加密的安全晶片的背書證書進行解密得到第一解密結果後,可以通過驗證第三解密結果中是否包含第一隨機數來確定安全晶片501是否為合法的晶片,如果第三解密結果中包含第一隨機數,則確定安全晶片501為合法的晶片。 具體的,用戶終端可以利用第一隨機數N1對加密結果[Cert_EK]N1
進行解密,得到背書證書Cert_EK後,根據背書證書Cert_EK得到相應的安全晶片背書公鑰EK後,利用安全晶片背書公鑰EK來解密平台身份公鑰資訊AIK=[N1||N2||L]EK -1
,得到第三解密結果,其中,如果安全晶片背書公鑰EK合法的情況下,得到的第三解密結果中應該包含第一隨機數N1。 通過上述實施例,可以實現用戶終端503上運行的用戶進程對安全晶片501是否合法進行驗證,提高了通信的安全性。 在一種可選的實施例中,上述用戶終端503還用於使用第三方證書伺服器505提供的證書公鑰對安全晶片501的背書證書進行加密,得到背書證書的加密結果;向第三方證書伺服器505發送待驗證的資訊,待驗證的資訊包括至少如下資料:背書證書的加密結果、用戶終端503上運行的用戶進程的身份標簽、第三方證書伺服器505的標識資訊、包含了安全晶片501的晶片標識的身份內容資訊和基於第一隨機數和第二隨機數產生的安全晶片501的平台身份公鑰。 具體地,在上述實施例中,第三方證書伺服器505為可信第三方平台;在用戶終端503根據第一解密結果確定安全晶片501為合法的晶片的情況下,用戶終端503使用第三方證書伺服器505提供的證書公鑰對安全晶片501的背書證書進行加密,得到背書證書的加密結果,並將該加密結果與用戶終端503上運行的用戶進程的身份標簽、第三方證書伺服器505的標識資訊、包含了安全晶片501的晶片標識的身份內容資訊和基於第一隨機數和第二隨機數產生的安全晶片501的平台身份公鑰發送至第三方證書伺服器505。 在一種可選的實施例中,第三方證書伺服器505還用於使用證書公鑰對預定的資料集合進行加密,產生身份證書,其中,預定的資料集合包括:用戶進程的身份標簽、安全晶片501的平台身份公鑰AIK、用戶進程的身份標簽和第三方證書伺服器505的標識資訊;使用安全晶片背書公鑰EK對身份證書進行加密,並將加密結果分發身份證書到至少一個用戶終端503。 具體地,在上述實施例中,在第三方證書伺服器505確定安全晶片501提供了合法的平台身份公私鑰對之後,第三方證書伺服器505使用證書公鑰對用戶進程的身份標簽、安全晶片501的平台身份公鑰AIK、用戶進程的身份標簽和第三方證書伺服器505的標識等資訊進行加密,為用戶終端503的用戶進程產生相應的身份證書,並利用安全晶片背書公鑰EK對身份證書進行加密,並將加密結果分發身份證書發送一個或多個用戶終端503。 在一種可選的實施例中,上述用戶終端503還用於接收到身份證書並將身份證書轉發給安全晶片501;上述安全晶片501還用於使用安全晶片背書私鑰EK-1
對加密後的身份證書進行解密,得到身份證書。 在一種可選的實施例中,上述安全晶片501還用於採用第一隨機數對身份證書進行加密,並將加密結果發送至用戶終端503,上述用戶終端503還用於採用本地儲存的第一隨機數解密得到身份證書。 實施例2 根據本發明實施例,還提供了一種資訊安全的驗證的方法實施例,需要說明的是,在圖式的流程圖示出的步驟可以在諸如一組計算機可執行指令的計算機系統中執行,並且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同於此處的順序執行所示出或描述的步驟。 本申請實施例2所提供的方法實施例可以在移動終端、計算機終端或者類似的運算裝置中執行。圖6示出了一種用於實現資訊安全的驗證方法的計算機終端的硬體結構方塊圖。如圖6所示,計算機終端60可以包括一個或多個(圖中採用602a、602b,……,602n來示出)處理器602(處理器602可以包括但不限於微處理器MCU或可編程邏輯器件FPGA等的處理裝置)、用於儲存資料的記憶體604、以及用於通信功能的傳輸裝置606。除此以外,還可以包括:顯示器、輸入/輸出介面(I/O介面)、通用串列匯流排(USB)埠(可以作為I/O介面的埠中的一個埠被包括)、網路介面、電源和/或相機。本領域普通技術人員可以理解,圖6所示的結構僅為示意,其並不對上述電子裝置的結構造成限定。例如,計算機終端60還可包括比圖6中所示更多或者更少的組件,或者具有與圖6所示不同的配置。 應當注意到的是上述一個或多個處理器602和/或其他資料處理電路在本文中通常可以被稱為“資料處理電路”。該資料處理電路可以全部或部分的體現為軟體、硬體、韌體或其他任意組合。此外,資料處理電路可為單個獨立的處理模組,或全部或部分的結合到計算機終端60(或移動設備)中的其他元件中的任意一個內。如本申請實施例中所涉及到的,該資料處理電路作為一種處理器控制(例如與介面連接的可變電阻終端路徑的選擇)。 記憶體604可用於儲存應用軟體的軟體程式以及模組,如本發明實施例中的資訊安全的驗證方法對應的程式指令/資料儲存裝置,處理器602通過運行儲存在記憶體604內的軟體程式以及模組,從而執行各種功能應用以及資料處理,即實現上述的資訊安全的驗證方法。記憶體604可包括高速隨機記憶體,還可包括非揮發性記憶體,如一個或者多個磁性儲存裝置、快閃記憶體、或者其他非揮發性固態記憶體。在一些實例中,記憶體604可進一步包括相對於處理器602遠程設置的記憶體,這些遠程記憶體可以通過網路連接至計算機終端60。上述網路的實例包括但不限於互聯網、企業內部網、區域網、移動通信網及其組合。 傳輸裝置606用於經由一個網路接收或者發送資料。上述的網路具體實例可包括計算機終端60的通信供應商提供的無線網路。在一個實例中,傳輸裝置606包括一個網路控制器(Network Interface Controller,NIC),其可通過基站與其他網路設備相連從而可與互聯網進行通訊。在一個實例中,傳輸裝置606可以為射頻(Radio Frequency,RF)模組,其用於通過無線方式與互聯網進行通訊。 顯示器可以例如觸控螢幕式的液晶顯示器(LCD),該液晶顯示器可使得用戶能夠與計算機終端60的用戶界面進行互動。 此處需要說明的是,在一些可選實施例中,上述圖6所示的計算機終端可以包括硬體元件(包括電路)、軟體元件(包括儲存在計算機可讀介質上的計算機代碼)、或硬體元件和軟體元件兩者的結合。應當指出的是,圖6僅為特定具體實例的一個實例,並且旨在示出可存在於上述計算機終端中的部件的類型。 此處還需要說明的是,在一些實施例中,上述圖6所示的計算機終端具有觸控顯示器(也被稱為“觸控螢幕”或“觸控顯示螢幕”)。在一些實施例中,上述圖6所示的計算機終端具有圖像用戶界面(GUI),用戶可以通過觸摸觸敏表面上的手指接觸和/或手勢來與GUI進行人機互動,此處的人機互動功能可選的包括如下互動:創建網頁、繪圖、文字處理、製作電子文檔、遊戲、視頻會議、即時通信、收發電子郵件、通話界面、播放數字視頻、播放數字音樂和/或網路瀏覽等、用於執行上述人機互動功能的可執行指令被配置/儲存在一個或多個處理器可執行的計算機程式產品或可讀儲存介質中。 一種可選實施例中,圖7以方塊圖示出了使用上述圖6所示的計算機終端作為發送端的一種實施例。如圖7所示,計算機終端701可以經由資料網路連接或電子連接到一個或多個伺服器703。一種可選實施例中,上述計算機終端701可以是任意移動計算設備等。資料網路連接可以是區域網連接、廣域網連接、網際網路連接,或其他類型的資料網路連接。計算機終端701可以執行以連接到由一個伺服器或一組伺服器執行的網路服務。網路伺服器是基於網路的用戶服務,諸如社交網路、雲端資源、電子郵件、線上支付或其他線上應用。容易注意的是,圖6示出的硬體結構方塊圖,不僅可以作為上述計算機終端701的示例性方塊圖,還可以作為上述伺服器703的示例性方塊圖。 在上述運行環境下,本申請提供了如圖8所示的一種資訊安全的驗證方法。圖8是根據本發明實施例的一種資訊安全的驗證方法的流程圖,如圖8所示,包括如下步驟: 步驟S802,用戶終端將加密後的資訊集發送至安全晶片,其中,資訊集可以至少包括:第一隨機數。 具體地,在上述步驟中,上述用戶終端可以為用於通信的計算機、筆記本電腦、平板電腦、手機等終端設備,用戶進程可以為用戶在上述用戶終端上運行的進程,一旦用戶進程產生,則安全晶片會為用戶進程產生相應的平台身份密鑰對,用戶進程獲取平台身份公鑰,該用戶進程的平台身份私鑰則留在安全晶片內部;上述安全晶片可以為用於在計算運算的同時進行安全防護的可信任平台模組,是一個可獨立進行密鑰產生、加解密的裝置,內部擁有獨立的處理器和儲存單元,可儲存密鑰和特徵資料,為終端設備提供加密和安全認證服務;利用安全晶片進行加密,密鑰被儲存在硬體中,被竊的資料無法解密,從而保護商業隱私和資料安全;上述資訊集為用戶終端(實際上是用戶終端上運行的用戶進程)發送的包含了用戶進程的身份標簽、可信第三方PCA資訊的資料,需要說明的是,本申請實施中,在資訊集中加入了第一隨機數,因而,上述資訊集可以包括用戶進程的身份標簽、可信第三方PCA資訊以及第一隨機數;上述用戶進程在將資訊集發送至安全晶片之前,會首先將資訊集進行加密。 一種可選的實施例中,假設用戶終端上運行的用戶進程U、安全晶片T、可信第三方PCA在身份密鑰及身份證書互動之前,已獲得安全晶片背書公鑰EK,用戶終端可以利用安全晶片背書公鑰EK將資訊集[L, PCA, N1]加密,其中,L為用戶進程U的身份標簽,PCA為可信第三方資訊、N1為第一隨機數。 此處需要說明的是,在上述實施例中,由於平台背書EK公鑰中包含安全晶片T的唯一識別資訊,可以方便後續用戶進程U對安全晶片T的合法性進行驗證;採用平台EK公鑰對資訊集[L, PCA, N1]加密,可以對身份進程的身份表情L進行保護;另外,由於增加了一組隨機數N1,從而可以用N1來保護傳輸的安全晶片背書證書Cert_EK。 步驟S804,用戶終端接收安全晶片返回的身份資料,其中,身份資料包括:使用第一隨機數進行加密的安全晶片的背書證書、包含了安全晶片的晶片標識的身份內容資訊和安全晶片為用戶終端上運行的用戶進程產生的平台身份公鑰。 具體地,在上述步驟中,在用戶終端將加密後的資訊集發送至安全晶片後,安全晶片接收用戶終端發送的加密後的資訊集,進行解密,得到用戶終端上運行的用戶進程的身份標簽、可信第三方PCA資訊以及第一隨機數;並產生第二隨機數,利用第一隨機數、第二隨機數以及安全晶片內部的安全晶片背書私鑰為用戶終端產生平台身份公私鑰對,其中,平台身份私鑰保留在安全晶片中,平台身份公鑰發送至用戶進程,同時將採用第一隨機數進行加密的安全晶片的背書證書、包含了安全晶片的晶片標識的身份內容資訊也發送至用戶進程。 一種可選的實施例中,仍以上述用戶進程U利用安全晶片背書公鑰EK將資訊集加密為例,在安全晶片接收到利用安全晶片背書公鑰EK加密的資訊集[L, PCA, N1]EK
後,首先,利用安全晶片背書私鑰EK-1
解密接收到的資訊集[L, PCA, N1]EK
,得到用戶終端上運行的用戶進程的身份標簽L、可信第三方PCA資訊以及第一隨機數N1;接著,安全晶片產生第二隨機數N2,並依據N1、N2、EK-1
為用戶進程U產生平台身份公私鑰對AIK、AIK-1
,其中,AIK=[N1||N2||L]EK -1
,AIK-1
保留在晶片中;然後,安全晶片T通過計算得到身份內容資訊I=[AIK, L, TID, PCA]AIK -1
以及利用第一隨機數N1加密得到的安全晶片的背書證書[Cert_EK]N1
;最後,安全晶片T將使用第一隨機數進行加密的安全晶片的背書證書[Cert_EK]N1
、基於第一隨機數和第二隨機數產生的用戶進程的平台身份公鑰AIK、包含了安全晶片的晶片標識的身份內容資訊I發送至用戶終端。 步驟S806,用戶終端根據第一隨機數對身份資料進行解密得到第一解密結果,其中,第一解密結果包括:對加密後的背書證書進行解密,和/或對身份內容資訊進行解密。 具體地,在上述步驟中,用戶終端在接收得到安全晶片返回的身份資料後,利用第一隨機數對使用第一隨機數進行加密的安全晶片的背書證書進行解密,得到安全晶片的背書證書。 一種可選的實施例中,上述身份資料中可以包括:第一隨機數進行加密的安全晶片的背書證書,得到加密結果[Cert_EK]N1
、安全晶片為用戶終端上運行的用戶進程產生的平台身份公鑰AIK、包含了安全晶片的晶片標識的身份內容資訊I=[AIK, L, TID, PCA]AIK -1
,其中,TID
可以標識安全晶片T的唯一性,將TID
與用戶終端的身份標簽L綁定作為用戶進程U的平台身份資訊一部分,解決了進程請求身份與可信晶片平台身份的綁定。用戶進程U接收得到安全晶片T返回的身份資料後,利用第一隨機數N1對身份資料中的加密結果[Cert_EK]N1
進行解密,可以得到背書證書Cert_EK。 步驟S808,用戶終端根據第一解密結果確定安全晶片是否為合法的晶片。 具體地,在上述步驟中,用戶終端上運行的用戶進程利用第一隨機數對身份資料進行解密得到第一解密結果後,驗證安全晶片是否為合法的晶片,一種可選的實施方案中,在利用第一隨機數對使用第一隨機數進行加密的安全晶片的背書證書進行解密,得到在安全晶片的背書證書後,利用背書證書得到相應的安全晶片背書公鑰,使用安全晶片背書公鑰對平台身份公鑰進行解密,如果解密的結果中包含第一隨機數,則說明安全晶片為合法的晶片。 一種可選的實施例中,用戶終端上的用戶進程U利用第一隨機數N1對[Cert_EK]N1
進行解密,得到背書證書Cert_EK後,根據背書證書Cert_EK得到相應的安全晶片背書公鑰EK後,利用安全晶片背書公鑰EK來解密平台身份公鑰資訊AIK=[N1||N2||L]EK -1
,如果所解密的結果資訊中包含第一隨機數N1,且身份內容資訊中包含的TID
的資訊與Cer_安全晶片背書證書Cert_EK所包含的TID
資訊一致,則認為AIK和I是個合法的T發給自己的平台身份公鑰及身份內容資訊,流程繼續,否則終止。 由上可知,在本申請上述實施例中,用戶終端(實際上是用戶終端上運行的用戶進程)在將資訊集發送至安全晶片之前,利用安全晶片背書公鑰來對資訊集加密;安全晶片接收到用戶進程發送的加密後的資訊集後,採用相應的私鑰來對加密後的資訊集進行解密,由於資訊集中添加了第一隨機數,安全晶片利用第一隨機數對其背書證書進行加密後發送至用戶進程,同時將包含了其晶片標識的身份內容資訊和基於第一隨機數和第二隨機數(安全晶片內部產生的隨機數)產生的平台身份公鑰發送至用戶進程;用戶進程在接收到安全晶片返回的加密後的背書證書、包含了晶片標識的身份內容資訊以及平台身份公鑰後,利用第一隨機數進行解密,並根據解密後的解密結果確定安全晶片是否為合法的晶片。 通過上述實施例公開的方案,達到了用戶終端上的用戶進程與安全晶片之間進行可信性驗證的目的,從而實現了提高通信過程中資訊安全性的技術效果。 由此,本申請上述實施例解決了現有技術中用戶終端上運行的用戶進程與安全晶片互動時沒有對雙方身份進行合法性驗證的技術問題。 在一種可選的實施例中,用戶終端將加密後的資訊集發送至安全晶片,可以包括:步驟S801,用戶終端使用安全晶片背書公鑰EK對資訊集進行加密,其中,資訊集還包括:用戶終端上運行的用戶進程的標識資訊和第三方證書伺服器的資訊。 具體地,在上述實施例中,安全晶片背書公鑰EK可以為基於TCG規範,用於在平台身份密鑰和身份證書的分發過程中的平台身份公鑰;用戶終端上運行的用戶進程的標識資訊可以為用戶終端的身份標簽,第三方證書伺服器的資訊可以為可信第三方平台的資訊;一種可選的實施例中,假設用戶進程U,安全晶片T,可信第三方PCA在平台身份密鑰及身份證書互動之前,已獲得平台安全晶片背書公鑰EK,用戶終端在將加密後的資訊集發送至安全晶片前,可以首先利用安全晶片背書公鑰EK將資訊集[L, PCA, N1]加密,其中,其中,L為用戶終端的身份標簽,PCA為第三方證書伺服器的資訊、N1為第一隨機數,用戶進程U產生的隨機產生數。 在一種可選的實施例中,在用戶終端接收安全晶片返回的身份資料之前,如圖9所示,上述方法還可以包括: 步驟S902,安全晶片使用與安全晶片背書公鑰對應的安全晶片背書私鑰對加密後的資訊集進行解密,得到資訊集; 步驟S904,在獲取到第二隨機數之後,安全晶片根據資訊集、第二隨機數和安全晶片背書私鑰產生用戶進程的平台身份公鑰、平台身份私鑰和身份內容資訊,並使用第一隨機數對安全晶片的背書證書進行加密; 步驟S906,安全晶片至少將如下資訊發送至用戶終端:身份內容資訊、加密後的背書證書和平台身份公鑰。 具體地,在上述實施例中,在用戶終端將加密後的資訊集發送至安全晶片後,安全晶片接收用戶終端發送的加密後的資訊集,可以利用與安全晶片背書公鑰EK對應的安全晶片背書私鑰EK-1
對加密後的資訊集進行解密,得到用戶終端上運行的用戶進程的身份標簽、可信第三方PCA資訊以及用戶終端上運行的用戶進程U產生的第一隨機數;並產生第二隨機數,利用第一隨機數、第二隨機數以及安全晶片內部的安全晶片背書私鑰EK-1
為用戶終端上運行的用戶進程產生平台身份公私鑰對,即,用戶進程的平台身份公鑰AIK、平台身份私鑰AIK-1
其中,平台身份私鑰AIK-1
保留在安全晶片中,平台身份公鑰AIK發送至用戶終端,同時將採用第一隨機數進行加密的安全晶片的背書證書、身份內容資訊也發送至用戶終端。 此處需要說明的是,上述身份內容中包含了安全晶片的晶片標識,由本申請背景部分內容可知,現有的平台身份密鑰及證書分發過程中,安全晶片T向用戶進程U發送的簽名後的身份內容資訊I=[AIK, L, PCA]AIK-1
,而本申請實施例中,安全晶片T通過計算得到的身份內容資訊I=[AIK, L, TID, PCA],其中,TID
為安全晶片唯一標識。 通過上述實施例,安全晶片採用第一隨機數、第二隨機數以及安全晶片內部的安全晶片背書私鑰EK-1
產生用戶進程的平台身份公鑰AIK,可以便於後續用戶進程對安全晶片的驗證,安全晶片使用TID
用以標識可信晶片T的唯一性,並將之與L綁定作為用戶U進程的平台身份資訊一部分,解決了用戶進程請求身份與可信晶片平台身份的綁定。 在一種可選的實施例中,如圖10所示,用戶終端根據第一隨機數對身份資料進行解密得到第一解密結果,可以包括如下步驟: 步驟S102,使用第一隨機數對加密後的背書證書進行解密,得到背書證書; 步驟S104,根據背書證書得到安全晶片背書公鑰,並驗證背書證書的合法性; 步驟S106,使用安全晶片背書公鑰對平台身份公鑰進行解密,得到第三解密結果。 具體地,在上述實施例中,上述第一隨機數可以為用戶終端上運行的用戶進程U產生的隨機產生數;用戶終端在接收得到安全晶片返回的身份資料後,利用第一隨機數對使用第一隨機數進行加密的安全晶片的背書證書進行解密,得到安全晶片的背書證書;利用背書證書得到相應的安全晶片背書公鑰,使用安全晶片背書公鑰對平台身份公鑰進行解密,得到第三解密結果。 一種可選的實施例中,上述身份資料中可以包括:加密第一隨機數進行加密的安全晶片的背書證書,得到加密結果[Cert_EK]N1
、安全晶片為用戶終端上運行的用戶進程產生的平台身份公鑰AIK、包含了安全晶片的晶片標識的身份內容資訊I=[AIK, L, TID, PCA]AIK -1
;用戶進程U利用第一隨機數N1對加密結果[Cert_EK]N1
進行解密,得到背書證書Cert_EK後,根據背書證書Cert_EK得到相應的安全晶片背書公鑰EK後,利用安全晶片背書公鑰EK來解密平台身份公鑰資訊AIK=[N1||N2||L]EK -1
,得到第三解密結果,其中,如果安全晶片背書公鑰EK合法的情況下,得到的第三解密結果中應該包含第一隨機數N1。 通過上述實施例,由於用戶終端在向安全晶片發送資訊集之前,在資訊集中增加了第一隨機數,因而,可以通過驗證上述解密後的結果中是否包含第一隨機數來驗證安全晶片是否合法。 在一種可選的實施例中,如圖11所示,用戶終端根據第一解密結果確定安全晶片是否為合法的晶片,可以包括如下步驟: 步驟S112,驗證第三解密結果中是否包含第一隨機數; 步驟S114,如果第三解密結果中包含第一隨機數,則確定安全晶片為合法的晶片。 具體地,在上述實施例中,用戶終端在根據第一隨機數對加密的安全晶片的背書證書[Cert_EK]N1
進行解密得到第一解密結果後,可以通過驗證第三解密結果中是否包含第一隨機數來確定安全晶片是否為合法的晶片,如果第三解密結果中包含第一隨機數,則確定安全晶片為合法的晶片。 具體的,用戶終端可以利用第一隨機數N1對加密結果[Cert_EK]N1
進行解密,得到背書證書Cert_EK後,根據背書證書Cert_EK得到相應的安全晶片背書公鑰EK後,利用安全晶片背書公鑰EK來解密平台身份公鑰資訊AIK=[N1||N2||L]EK -1
,得到第三解密結果,其中,如果安全晶片背書公鑰EK合法的情況下,得到的第三解密結果中應該包含第一隨機數N1。 通過上述實施例,可以實現用戶終端的用戶進程對安全晶片是否合法進行驗證,提高了通信的安全性。 在一種可選的實施例中,上述方法還可以包括:步驟S116,如果第三解密結果中包含第一隨機數,且身份內容資訊中包含的晶片標識與背書證書中記錄的晶片標識一致,則確定安全晶片為合法的晶片。 具體地,在上述實施例中,基於本申請實施例,由於安全晶片在向用戶終端返回的身份內容資訊中包含了晶片標識,因而可以通過判斷解密結果中的身份內容資訊中包含的晶片標識與背書證書中記錄的晶片標識是否一致,來確定安全晶片是否為合法的晶片。 通過上述實施例,可以實現用於進程請求身份與安全晶片平台身份的綁定,通過判斷解密結果中的身份內容資訊中包含的晶片標識與背書證書中記錄的晶片標識是否一致,可以確定用戶終端接收到的平台身份公鑰資訊和身份資訊內容是否來自合法的安全晶片,進一步提高了通信的安全性。 在一種可選的實施例中,如圖12所示,在用戶終端根據第一解密結果確定安全晶片是否為合法的晶片之後,上述方法還可以包括如下步驟: 步驟S122,用戶終端使用第三方證書伺服器提供的證書公鑰對安全晶片的背書證書進行加密,得到背書證書的加密結果; 步驟S124,用戶終端向第三方證書伺服器發送待驗證的資訊,待驗證的資訊包括至少如下資料:背書證書的加密結果、用戶終端上運行的用戶進程的身份標簽、第三方證書伺服器的標識資訊、包含了安全晶片的晶片標識的身份內容資訊和基於第一隨機數和第二隨機數產生的用戶進程的平台身份公鑰。 具體地,在上述實施例中,第三方證書伺服器為可信第三方平台;在用戶終端根據第一解密結果確定安全晶片為合法的晶片的情況下,用戶終端使用第三方證書伺服器提供的證書公鑰對安全晶片的背書證書進行加密,得到背書證書的加密結果,並將該加密結果與用戶終端上運行的用戶進程的身份標簽、第三方證書伺服器的標識資訊、包含了安全晶片的晶片標識的身份內容資訊和基於第一隨機數和第二隨機數產生的用戶進程的平台身份公鑰發送至第三方證書伺服器。 在一種可選的實施例中,如圖13所示,在用戶終端向第三方證書伺服器發送待驗證的資訊之後,上述方法還可以包括如下步驟: 步驟S132,第三方證書伺服器使用與證書公鑰對應的證書私鑰對背書證書的加密結果進行解密,得到第四解密結果,其中,第四解密結果包括:安全晶片的背書證書、用戶進程的身份標簽L和安全晶片的安全晶片背書公鑰; 步驟S134,第三方證書伺服器使用安全晶片背書公鑰對用戶進程的平台身份公鑰進行解密,得到用戶進程的身份標簽,並使用用戶進程的平台身份公鑰對身份內容資訊進行解密,得到解密資訊; 步驟S136,如果解密資訊中包含的晶片標識與背書證書中記錄的晶片標識一致,和/或解密資訊中包含的用戶進程的身份標簽與背書證書中記錄的身份標簽一致,第三方證書伺服器確定用戶進程的平台身份公私鑰對由合法的安全晶片所產生。 具體地,在上述實施例中,在用戶終端向第三方證書伺服器發送背書證書的加密結果、用戶終端上運行的用戶進程的身份標簽、第三方證書伺服器的標識資訊、包含了安全晶片的晶片標識的身份內容資訊和基於第一隨機數和第二隨機數產生的用戶進程的平台身份公鑰等資訊之後,第三方證書伺服器使用與證書公鑰對應的證書私鑰對背書證書的加密結果進行解密,得到安全晶片的背書證書、用戶進程的身份標簽L和安全晶片的安全晶片背書公鑰EK;然後,第三方證書伺服器使用安全晶片的安全晶片背書公鑰EK對用戶進程的平台身份公鑰AIK進行解密,得到用戶進程U的身份標簽L,並使用用戶進程的平台身份公鑰AIK對身份內容資訊進行解密,得到相應的解密資訊,如果解密資訊中包含的晶片標識與背書證書中記錄的晶片標識一致,和/或解密資訊中包含的用戶進程的身份標簽與背書證書中記錄的身份標簽一致,則確定安全晶片提供了為用戶終端上運行的用戶進程U提供了合法的平台身份公私鑰對。 一種可選的實施例中,用戶終端使用第三方證書伺服器提供的證書公鑰PK(PCA)對安全晶片的背書證書進行加密,得到背書證書的加密結果[Cert_EK]PK(PCA)
,並向第三方證書伺服器(即,可信第三方PCA)發送以下資訊:背書證書的加密結果[Cert_EK]PK(PCA)
、用戶進程的身份標簽L、第三方證書伺服器的標識資訊PCA、包含了安全晶片的晶片標識的身份內容資訊I和基於第一隨機數和第二隨機數產生的用戶進程的平台身份公鑰AIK。第三方證書伺服器接收到上述資訊後,利用與證書公鑰PK(PCA)對應的證書私鑰SK(PCA)解密背書證書的加密結果資訊[Cert_EK,L]PK(PCA),得到背書證書Cert_EK、用戶進程的身份標簽L、以及安全晶片背書公鑰EK,利用安全晶片背書公鑰EK解密用戶進程的平台身份公鑰AIK,得到用戶進程的身份標簽L,判斷利用安全晶片背書公鑰EK解密得到的用戶進程的身份標簽L與利用證書私鑰SK(PCA)解密背書證書的加密結果資訊[Cert_EK,L]PK(PCA)得到身份標簽L是否一致,以及利用平台身份公鑰AIK解密平台身份內容資訊I得到的晶片標識TID
與背書證書Cert_EK裡的TID
是否一致,從而確定平台身份公鑰AIK和平台身份私鑰AIK-1
是否來自合法的安全晶片為用戶進程產生的平台身份公私鑰對。 通過上述實施例,實現了對安全晶片為用戶進程提供的平台身份公私鑰對的合法性進行驗證。 在一種可選的實施例中,如圖14所示,在第三方證書伺服器確定用戶進程的平台身份公私鑰對由合法的安全晶片所產生之後,上述方法還可以包括如下步驟: 步驟S142,第三方證書伺服器使用證書公鑰對預定的資料集合進行加密,產生身份證書,其中,預定的資料集合包括:用戶進程的身份標簽、用戶進程的平台身份公鑰、用戶進程的身份標簽和第三方證書伺服器的標識資訊; 步驟S144,第三方證書伺服器使用安全晶片背書公鑰對身份證書進行加密,並將加密結果分發身份證書到至少一個用戶終端。 具體地,在上述實施例中,在第三方證書伺服器確定用戶進程的平台身份公私鑰對由合法的安全晶片所產生之後,第三方證書伺服器使用證書公鑰對用戶進程的身份標簽、用戶進程的平台身份公鑰AIK、用戶進程的身份標簽和第三方證書伺服器的標識等資訊進行加密,為用戶終端的用戶進程產生相應的身份證書,並利用安全晶片背書公鑰EK對身份證書進行加密,並將加密結果分發身份證書發送一個或多個用戶終端。 在一種可選的實施例中,如圖15所示,在第三方證書伺服器分發身份證書到至少一個用戶終端之後,上述方法還可以包括如下步驟: 步驟S152,接收到身份證書的用戶終端將身份證書轉發給安全晶片; 步驟S154,安全晶片使用安全晶片背書私鑰對加密後的身份證書進行解密,得到身份證書。 具體地,在上述實施例中,在第三方證書伺服器分發身份證書到至少一個用戶終端之後,用戶終端將接收到的身份證書轉發給安全晶片,安全晶片使用安全晶片背書私鑰EK-1
對加密後的身份證書進行解密,得到身份證書。 在一種可選的實施例中,如圖15所示,在安全晶片使用安全晶片背書私鑰對加密後的身份證書進行解密,得到身份證書之後,上述方法還可以包括: 步驟S156,安全晶片採用第一隨機數對身份證書進行加密,並將加密結果發送至用戶終端,使得用戶終端採用本地儲存的第一隨機數解密得到身份證書。 具體地,在上述實施例中,在安全晶片使用安全晶片背書私鑰EK-1
對加密後的身份證書進行解密,得到身份證書之後,再採用第一隨機數對身份證書進行加密,並將加密後的身份證書發送至用戶終端,用戶終端接收到加密後的身份證書後,利用第一隨機數進行解密得到相應身份證書。 作為一種優選的實施例,可以結合圖16來說明書本申請上述實施例,圖16是根據本發明實施例的一種可選的平台身份密鑰與證書分發過程示意圖,如圖16所示,包括如下步驟: 步驟S162,用戶終端上運行的用戶進程U向安全晶片T發送加密資訊集[L, PCA, N1]EK
。 具體地,在上述步驟中,假設用戶終端上運行的用戶進程U、安全晶片T、可信第三方PCA在身份密鑰及身份證書互動之前,已獲得平台EK公鑰,用戶終端可以利用安全晶片背書公鑰EK將資訊集[L, PCA, N1]加密,其中,L為用戶終端的身份標簽,PCA為可信第三方資訊、N1為第一隨機數;用戶終端可以利用安全晶片背書公鑰EK將資訊集[L, PCA, N1]加密後,將加密的資訊集[L, PCA, N1]EK
發送至安全晶片T。 步驟S164,安全晶片T向用戶終端上運行的用戶進程U發送加密的背書證書[Cert_AIK]N1
、公鑰AIK、簽名的身份內容I,其中,I=[AIK, L, TID
, PCA]AIK -1
。 具體地,在上述步驟中,安全晶片T在接收到來自用戶終端的用戶進程U發送的加密的資訊集[L, PCA, N1]EK
後,首先,利用安全晶片背書私鑰EK-1
解密接收到的資訊集[L, PCA, N1]EK
,得到用戶終端上運行的用戶進程的身份標簽L、可信第三方PCA資訊以及第一隨機數N1;接著,安全晶片產生第二隨機數N2,並依據N1、N2、EK-1
為U產生身份平台身份公私鑰對AIK、AIK-1
,其中,AIK=[N1||N2||L]EK -1
,AIK-1
保留在晶片中;然後,安全晶片T通過計算得到身份內容資訊I=[AIK, L, TID, PCA]AIK -1
以及利用第一隨機數N1加密得到的安全晶片的背書證書[Cert_EK]N1
;最後,安全晶片T將使用第一隨機數進行加密的安全晶片的背書證書[Cert_EK]N1
、基於第一隨機數和第二隨機數產生的用戶進程的平台身份公鑰AIK、包含了安全晶片的晶片標識的身份內容資訊I發送至用戶終端。 步驟S166,用戶終端上運行的用戶進程U驗證安全晶片的合法性。 具體地,在上述步驟中,用戶終端上的用戶進程U利用第一隨機數N1對安全晶片返回的身份資料進行解密,該身份資料包括:第一隨機數進行加密的安全晶片的背書證書[Cert_EK]N1
、基於第一隨機數N1和第二隨機數N2產生的用戶進程的平台身份公鑰AIK、包含了安全晶片的晶片標識的身份內容資訊I=[AIK, L, TID
, PCA]AIK -1
,其中,TID
可以標識安全晶片T的唯一性;在對身份資料進行解密得到背書證書Cert_EK後,根據背書證書Cert_EK得到相應的安全晶片背書公鑰EK後,利用安全晶片背書公鑰EK來解密平台身份公鑰資訊AIK=[N1||N2||L]EK -1
,如果所解密的結果資訊中包含第一隨機數N1,且身份內容資訊中包含的TID
的資訊與Cer_安全晶片背書證書Cert_EK所包含的TID
資訊一致,則認為AIK和I是個合法的T發給自己的平台身份公鑰及身份內容資訊,流程繼續,否則終止。 步驟S168,用戶進程U向可信第三方PCA發送[Cert_EK,L] PK (PCA)
、公鑰AIK、指定的可信第三方PCA和簽名的身份內容I。 具體地,在上述步驟中,用戶終端使用第三方證書伺服器提供的證書公鑰PK(PCA)對安全晶片的背書證書進行加密,得到背書證書的加密結果[Cert_EK]PK(PCA)
,並向第三方證書伺服器(即,可信第三方PCA)發送以下資訊:背書證書的加密結果[Cert_EK]PK(PCA)
、用戶進程的身份標簽L、第三方證書伺服器的標識資訊PCA、包含了安全晶片的晶片標識的身份內容資訊I和基於第一隨機數和第二隨機數產生的用戶進程的平台身份公鑰AIK。 第三方證書伺服器接收到上述資訊後,執行如下步驟:①利用與證書公鑰PK(PCA)對應的證書私鑰SK(PCA)解密背書證書的加密結果資訊[Cert_EK,L] PK(PCA),得到背書證書Cert_EK、用戶進程的身份標簽L、以及安全晶片背書公鑰EK,通過SK(MF)可以驗證背書證書Cert_EK的合法性;②利用安全晶片背書公鑰EK解密用戶進程的平台身份公鑰AIK,得到用戶進程的身份標簽L,判斷利用安全晶片背書公鑰EK解密得到的用戶進程的身份標簽L與步驟①得到身份標簽L是否一致,並利用平台身份公鑰AIK解密平台身份內容資訊I,如果解密得到的晶片標識TID
與背書證書Cert_EK裡的TID
一致,且包含了一致的L和TID
,則認為平台身份公鑰AIK和平台身份私鑰AIK-1
來自合法的安全晶片為用戶進程產生的平台身份公私鑰對;③如果步驟①和②合理,則流程繼續,否則終止。 步驟S170,可信第三方PCA將加密包[Cert_AIK]EK
返回至用戶進程U。 具體地,在上述步驟中,可信第三方PCA(第三方證書伺服器)使用證書公鑰對用戶進程的身份標簽、用戶進程的平台身份公鑰AIK、用戶進程的身份標簽和第三方證書伺服器的標識等資訊進行加密,為用戶終端的用戶進程產生相應的身份證書,並利用安全晶片背書公鑰EK對身份證書進行加密,並將加密結果分發身份證書發送一個或多個用戶終端的用戶進程U。 步驟S172,用戶進程U向安全晶片發送利用EK產生的加密包[Cert_AIK]EK
。 具體地,在上述步驟中,在第三方證書伺服器分發身份證書到至少一個用戶終端之後,用戶終端將接收到的身份證書轉發給安全晶片,安全晶片使用安全晶片背書私鑰EK-1
對加密後的身份證書進行解密,得到身份證書。 步驟S174,安全晶片T向用戶進程U發送[Cert_AIK]N1
。 具體地,在上述步驟中,在安全晶片使用安全晶片背書私鑰EK-1
對加密後的身份證書進行解密,得到身份證書之後,再採用第一隨機數對身份證書進行加密,並將加密後的身份證書發送至用戶終端。 步驟S176,用戶終端上運行的用戶進程U解密接收到的[Cert_AIK]N1
。 具體地,在上述步驟中,用戶終端接收到加密後的身份證書後,利用第一隨機數進行解密得到相應身份證書。 本申請上述實施例公開了一種可信平台身份密鑰及證書的分發方法,即利用隨機產生的會話密鑰來確定用戶進程的合法性,用安全晶片背書公鑰EK平台身份公私鑰對來確定可信安全晶片的合法性;利用隨機會話密鑰及安全晶片背書公鑰EK平台身份公私鑰對來共同防範平台身份密鑰及證書頒發過程中的中間人攻擊,偽裝獲取身份證書攻擊。 通過本申請上述實施例公開的方案,可以達到以下技術效果: (1)無需借助用戶預設的口令以及實時的動態驗證碼來驗證互動實體的真實性;避免了口令及動態驗證碼在分發過程中,易截取洩露;動態驗證碼的獲取及輸入給用戶帶來使用的不便;沒有考慮用戶所在平台的安全性。 (2)與TCG(可信計算組織)提出採用可信計算技術比較,本申請實施例提供的方案,重視平台身份密鑰的驗證。 (3)與基於Privacy CA的遠程證明協議相比,本申請實施例提供的方案,對用戶進程向安全晶片獲取身份密鑰,以及向PCA獲取身份證書過程中的雙方身份的合法性進行確認,避免了獲取身份密鑰和身份證書的過程中存在中間人攻擊的想像;另外,在用戶向PCA申請證書時,驗證該進程是否來自可信的安全晶片平台,使得許多沒有安全晶片的平台欺騙驗證者從而獲取合法身份證書,或者通過一個被控制的合法可信平台去獲得合法身份證書。 需要說明的是,對於前述的各方法實施例,為了簡單描述,故將其都表述為一系列的動作組合,但是本領域技術人員應該知悉,本發明並不受所描述的動作順序的限制,因為依據本發明,某些步驟可以採用其他順序或者同時進行。其次,本領域技術人員也應該知悉,說明書中所描述的實施例均屬優選實施例,所涉及的動作和模組並不一定是本發明所必須的。 通過以上的實施方式的描述,本領域的技術人員可以清楚地瞭解到根據上述實施例的資訊安全的驗證方法可借助軟體加必需的通用硬體平台的方式來實現,當然也可以通過硬體,但很多情況下前者是更佳的實施方式。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來,該計算機軟體產品儲存在一個儲存介質(如ROM/RAM、磁碟、光碟)中,包括若干指令用以使得一台終端設備(可以是手機,計算機,伺服器,或者網路設備等)執行本發明各個實施例所述的方法。 實施例3 根據本發明實施例,還提供了一種用於實施上述資訊安全的驗證方法的裝置實施例,圖17是根據本發明實施例的一種資訊安全的驗證裝置示意圖,如圖17所示,該裝置包括:第一發送模組171、接收模組173、第一解密模組175和第一確定模組177。 其中,第一發送模組171,用於用戶終端將加密後的資訊集發送至安全晶片,其中,資訊集包括:第一隨機數;接收模組173,用於用戶終端接收安全晶片返回的身份資料,其中,身份資料包括:使用第一隨機數進行加密的安全晶片的背書證書、包含了安全晶片的晶片標識的身份內容資訊和用戶進程的平台身份公鑰;第一解密模組175,用於用戶終端根據第一隨機數對身份資料進行解密得到第一解密結果,其中,第一解密結果包括:對加密後的背書證書進行解密,和/或對身份內容資訊進行解密;第一確定模組177,用於用戶終端根據第一解密結果確定安全晶片是否為合法的晶片。 此處需要說明的是,上述第一發送模組171、接收模組173、第一解密模組175和第一確定模組177可以對應於實施例2中的步驟S802至步驟S808,四個模組與對應的步驟所實現的實例和應用場景相同,但不限於上述實施例2所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例2提供的計算機終端60中。 由上可知,在本申請上述實施例中,用戶終端(實際上是用戶終端上運行的用戶進程)在將資訊集發送至安全晶片之前,利用安全晶片背書公鑰來對資訊集加密;安全晶片接收到用戶進程發送的加密後的資訊集後,採用相應的私鑰來對加密後的資訊集進行解密,由於資訊集中添加了第一隨機數,安全晶片利用第一隨機數對其背書證書進行加密後發送至用戶進程,同時將包含了其晶片標識的身份內容資訊和基於第一隨機數和第二隨機數(安全晶片內部產生的隨機數)產生的平台身份公鑰發送至用戶進程;用戶進程在接收到安全晶片返回的加密後的背書證書、包含了晶片標識的身份內容資訊以及平台身份公鑰後,利用第一隨機數進行解密,並根據解密後的解密結果確定安全晶片是否為合法的晶片。 通過上述實施例公開的方案,達到了用戶終端上的用戶進程與安全晶片之間進行可信性驗證的目的,從而實現了提高通信過程中資訊安全性的技術效果。 由此,本申請上述實施例解決了現有技術中用戶終端上運行的用戶進程與安全晶片互動時沒有對雙方身份進行合法性驗證的技術問題。 在一種可選的實施例中,上述第一發送模組包括:第一加密模組,用於用戶終端使用安全晶片背書公鑰對資訊集進行加密,其中,資訊集還包括:用戶終端上運行的用戶進程的標識資訊和第三方證書伺服器的資訊。 此處需要說明的是,上述第一加密模組可以對應於實施例2中的步驟S801,該模組與對應的步驟所實現的實例和應用場景相同,但不限於上述實施例2所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例2提供的計算機終端60中。 在一種可選的實施例中,上述裝置還包括:第二解密模組,用於安全晶片使用與安全晶片背書公鑰EK對應的安全晶片背書私鑰EK-1
對加密後的資訊集進行解密,得到資訊集;第二加密模組,用於在獲取到第二隨機數之後,安全晶片根據資訊集、第二隨機數和安全晶片背書私鑰EK-1
產生用戶進程的平台身份公鑰AIK、平台身份私鑰AIK-1
和身份內容資訊,並使用第一隨機數對安全晶片的背書證書進行加密;第二發送模組,用於安全晶片至少將如下資訊發送至用戶終端:身份內容資訊、加密後的背書證書和平台身份公鑰AIK。 此處需要說明的是,上述第二解密模組、第二加密模組和第二發送模組可以對應於實施例2中的步驟S902至步驟S906,三個模組與對應的步驟所實現的實例和應用場景相同,但不限於上述實施例2所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例2提供的計算機終端60中。 在一種可選的實施例中,上述第一解密模組包括:第三解密模組,用於使用第一隨機數對加密後的背書證書進行解密,得到背書證書;第一驗證模組,用於根據背書證書得到安全晶片背書公鑰,並驗證背書證書的合法性;第四解密模組,用於使用安全晶片背書公鑰對平台身份公鑰進行解密,得到第三解密結果。 此處需要說明的是,上述第三解密模組、第一驗證模組和第四解密模組可以對應於實施例2中的步驟S102至步驟S106,三個模組與對應的步驟所實現的實例和應用場景相同,但不限於上述實施例2所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例2提供的計算機終端60中。 在一種可選的實施例中,上述第一確定模組包括:第二驗證模組,用於驗證第三解密結果中是否包含第一隨機數;第二確定模組,用於如果第三解密結果中包含第一隨機數,則確定安全晶片為合法的晶片。 此處需要說明的是,上述第二驗證模組和第二確定模組可以對應於實施例2中的步驟S112至步驟S114,兩個模組與對應的步驟所實現的實例和應用場景相同,但不限於上述實施例2所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例2提供的計算機終端60中。 在一種可選的實施例中,上述裝置還包括:第三確定模組,用於如果第三解密結果中包含第一隨機數,且身份內容資訊中包含的晶片標識與背書證書中記錄的晶片標識一致,則確定安全晶片為合法的晶片。 此處需要說明的是,上述第三確定模組可以對應於實施例2中的步驟S116,該模組與對應的步驟所實現的實例和應用場景相同,但不限於上述實施例2所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例2提供的計算機終端60中。 在一種可選的實施例中,上述裝置還包括:第三加密模組,用於用戶終端使用第三方證書伺服器提供的證書公鑰對安全晶片的背書證書進行加密,得到背書證書的加密結果;第三發送模組,用於用戶終端向第三方證書伺服器發送待驗證的資訊,待驗證的資訊包括至少如下資料:背書證書的加密結果、用戶終端上運行的用戶進程的身份標簽、第三方證書伺服器的標識資訊、包含了安全晶片的晶片標識的身份內容資訊和基於第一隨機數和第二隨機數產生的用戶進程的平台身份公鑰。 此處需要說明的是,上述第三加密模組和第三發送模組可以對應於實施例2中的步驟S122至步驟S124,四個模組與對應的步驟所實現的實例和應用場景相同,但不限於上述實施例2所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例2提供的計算機終端60中。 在一種可選的實施例中,上述裝置還包括:第五解密模組,用於第三方證書伺服器使用與證書公鑰對應的證書私鑰對背書證書的加密結果進行解密,得到第四解密結果,其中,第四解密結果包括:安全晶片的背書證書、用戶進程的身份標簽L和安全晶片的安全晶片背書公鑰EK;第六解密模組,用於第三方證書伺服器使用安全晶片背書公鑰EK對用戶進程的平台身份公鑰AIK進行解密,得到用戶進程的身份標簽,並使用用戶進程的平台身份公鑰AIK對身份內容資訊進行解密,得到解密資訊;第四確定模組,用於如果解密資訊中包含的晶片標識與背書證書中記錄的晶片標識一致,和/或解密資訊中包含的用戶進程的身份標簽與背書證書中記錄的身份標簽一致,第三方證書伺服器確定用戶進程的平台身份公私鑰對由合法的安全晶片所產生。 此處需要說明的是,上述第五解密模組、第六解密模組和第四確定模組可以對應於實施例2中的步驟S132至步驟S136,三個模組與對應的步驟所實現的實例和應用場景相同,但不限於上述實施例2所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例2提供的計算機終端60中。 在一種可選的實施例中,上述裝置還包括:第四加密模組,用於第三方證書伺服器使用證書公鑰對預定的資料集合進行加密,產生身份證書,其中,預定的資料集合包括:用戶進程的身份標簽、用戶進程的平台身份公鑰、用戶進程的身份標簽和第三方證書伺服器的標識資訊;第五加密模組,用於第三方證書伺服器使用安全晶片背書公鑰對身份證書進行加密,並將加密結果分發身份證書到至少一個用戶終端。 此處需要說明的是,上述第四加密模組和第五加密模組可以對應於實施例2中的步驟S142至步驟S144,兩個模組與對應的步驟所實現的實例和應用場景相同,但不限於上述實施例2所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例2提供的計算機終端60中。 在一種可選的實施例中,上述裝置還包括:第四發送模組,用於接收到身份證書的用戶終端將身份證書轉發給安全晶片;第七解密模組,用於安全晶片使用安全晶片背書私鑰對加密後的身份證書進行解密,得到身份證書。 此處需要說明的是,上述第四發送模組和第七解密模組可以對應於實施例2中的步驟S152至步驟S154,兩個模組與對應的步驟所實現的實例和應用場景相同,但不限於上述實施例2所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例2提供的計算機終端60中。 在一種可選的實施例中,上述裝置還包括:處理模組,用於安全晶片採用第一隨機數對身份證書進行加密,並將加密結果發送至用戶終端,是的用戶終端採用本地儲存的第一隨機數解密得到身份證書。 此處需要說明的是,上述處理模組可以對應於實施例2中的步驟S156,該模組與對應的步驟所實現的實例和應用場景相同,但不限於上述實施例2所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例2提供的計算機終端60中。 實施例4 本發明的實施例可以提供一種計算機終端,該計算機終端可以是計算機終端群中的任意一個計算機終端設備。可選地,在本實施例中,上述計算機終端也可以替換為移動終端等終端設備。 可選地,在本實施例中,上述計算機終端可以位於計算機網路的多個網路設備中的至少一個網路設備。 在本實施例中,上述計算機終端可以執行應用程式的資訊安全的驗證方法中以下步驟的程式代碼:用戶終端將加密後的資訊集發送至安全晶片,其中,資訊集包括:第一隨機數;用戶終端接收安全晶片返回的身份資料,其中,身份資料包括:使用第一隨機數進行加密的安全晶片的背書證書、包含了安全晶片的晶片標識的身份內容資訊和基於第一隨機數和第二隨機數產生的用戶進程的平台身份公鑰;用戶終端根據第一隨機數對身份資料進行解密得到第一解密結果,其中,第一解密結果包括:對加密後的背書證書進行解密,和/或對身份內容資訊進行解密;用戶終端根據第一解密結果確定安全晶片是否為合法的晶片。 可選地,圖18是根據本發明實施例的一種計算機終端的結構方塊圖。如圖18所示,該計算機終端A可以包括:一個或多個(圖中僅示出一個)處理器181、記憶體183、以及傳輸裝置185。 其中,記憶體可用於儲存軟體程式以及模組,如本發明實施例中的資訊安全的驗證方法和裝置對應的程式指令/模組,處理器通過運行儲存在記憶體內的軟體程式以及模組,從而執行各種功能應用以及資料處理,即實現上述的資訊安全的驗證方法。記憶體可包括高速隨機記憶體,還可以包括非揮發性記憶體,如一個或者多個磁性儲存裝置、快閃記憶體、或者其他非揮發性固態記憶體。在一些實例中,記憶體可進一步包括相對於處理器遠程設置的記憶體,這些遠程記憶體可以通過網路連接至終端A。上述網路的實例包括但不限於互聯網、企業內部網、區域網、移動通信網及其組合。 處理器可以通過傳輸裝置調用記憶體儲存的資訊及應用程式,以執行下述步驟:用戶終端將加密後的資訊集發送至安全晶片,其中,資訊集包括:第一隨機數;用戶終端接收安全晶片返回的身份資料,其中,身份資料包括:使用第一隨機數進行加密的安全晶片的背書證書、包含了安全晶片的晶片標識的身份內容資訊和基於第一隨機數和第二隨機數產生的用戶進程的平台身份公鑰;用戶終端根據第一隨機數對身份資料進行解密得到第一解密結果,其中,第一解密結果包括:對加密後的背書證書進行解密,和/或對身份內容資訊進行解密;用戶終端根據第一解密結果確定安全晶片是否為合法的晶片。 可選的,上述處理器還可以執行如下步驟的程式代碼:用戶終端使用安全晶片背書公鑰EK對資訊集進行加密,其中,資訊集還包括:用戶終端上運行的用戶進程的標識資訊和第三方證書伺服器的資訊。 可選的,上述處理器還可以執行如下步驟的程式代碼:安全晶片使用與安全晶片背書公鑰對應的安全晶片背書私鑰對加密後的資訊集進行解密,得到資訊集;在獲取到第二隨機數之後,安全晶片根據資訊集、第二隨機數和安全晶片背書私鑰產生用戶進程的平台身份公鑰、平台身份私鑰和身份內容資訊,並使用第一隨機數對安全晶片的背書證書進行加密;安全晶片至少將如下資訊發送至用戶終端:身份內容資訊、加密後的背書證書和平台身份公鑰。 可選的,上述處理器還可以執行如下步驟的程式代碼:使用第一隨機數對加密後的背書證書進行解密,得到背書證書;根據背書證書得到安全晶片背書公鑰,並驗證背書證書的合法性;使用安全晶片背書公鑰對平台身份公鑰進行解密,得到第三解密結果。 可選的,上述處理器還可以執行如下步驟的程式代碼:驗證第三解密結果中是否包含第一隨機數;如果第三解密結果中包含第一隨機數,則確定安全晶片為合法的晶片。 可選的,上述處理器還可以執行如下步驟的程式代碼:如果第三解密結果中包含第一隨機數,且身份內容資訊中包含的晶片標識與背書證書中記錄的晶片標識一致,則確定安全晶片為合法的晶片。 可選的,上述處理器還可以執行如下步驟的程式代碼:用戶終端使用第三方證書伺服器提供的證書公鑰對安全晶片的背書證書進行加密,得到背書證書的加密結果;用戶終端向第三方證書伺服器發送待驗證的資訊,待驗證的資訊包括至少如下資料:背書證書的加密結果、用戶終端上運行的用戶進程的身份標簽、第三方證書伺服器的標識資訊、包含了安全晶片的晶片標識的身份內容資訊和基於第一隨機數和第二隨機數產生的用戶進程的平台身份公鑰。 可選的,上述處理器還可以執行如下步驟的程式代碼:第三方證書伺服器使用與證書公鑰對應的證書私鑰對背書證書的加密結果進行解密,得到第四解密結果,其中,第四解密結果包括:安全晶片的背書證書、用戶進程的身份標簽和安全晶片的安全晶片背書公鑰EK;第三方證書伺服器使用安全晶片背書公鑰對用戶進程的平台身份公鑰進行解密,得到用戶進程的身份標簽,並使用用戶進程的平台身份公鑰對身份內容資訊進行解密,得到解密資訊;如果解密資訊中包含的晶片標識與背書證書中記錄的晶片標識一致,和/或解密資訊中包含的用戶進程的身份標簽與背書證書中記錄的身份標簽一致,第三方證書伺服器確定用戶進程的平台身份公私鑰對由合法的安全晶片所產生。 可選的,上述處理器還可以執行如下步驟的程式代碼:第三方證書伺服器使用證書公鑰對預定的資料集合進行加密,產生身份證書,其中,預定的資料集合包括:用戶進程的身份標簽、用戶進程的平台身份公鑰、用戶進程的身份標簽和第三方證書伺服器的標識資訊;第三方證書伺服器使用安全晶片背書公鑰對身份證書進行加密,並將加密結果分發身份證書到至少一個用戶終端。 可選的,上述處理器還可以執行如下步驟的程式代碼:接收到身份證書的用戶終端將身份證書轉發給安全晶片;安全晶片使用安全晶片背書私鑰對加密後的身份證書進行解密,得到身份證書。 可選的,上述處理器還可以執行如下步驟的程式代碼:安全晶片採用第一隨機數對身份證書進行加密,並將加密結果發送至用戶終端,使得用戶終端採用本地儲存的第一隨機數解密得到身份證書。 本領域普通技術人員可以理解,圖18所示的結構僅為示意,計算機終端也可以是智慧型手機(如Android手機、iOS手機等)、平板電腦、掌聲電腦以及移動互聯網設備(Mobile Internet Devices,MID)、PAD等終端設備。圖18其並不對上述電子裝置的結構造成限定。例如,計算機終端18還可包括比圖18中所示更多或者更少的組件(如網路介面、顯示裝置等),或者具有與圖18所示不同的配置。 本領域普通技術人員可以理解上述實施例的各種方法中的全部或部分步驟是可以通過程式來指令終端設備相關的硬體來完成,該程式可以儲存於一計算機可讀儲存介質中,儲存介質可以包括:快閃記憶體、唯讀記憶體(Read-Only Memory,ROM)、隨機存取記憶體(Random Access Memory,RAM)、磁碟或光碟等。 實施例5 本發明的實施例還提供了一種儲存介質。可選地,在本實施例中,上述儲存介質可以用於保存上述實施例2所提供的資訊安全的驗證方法所執行的程式代碼。 可選地,在本實施例中,上述儲存介質可以位於計算機網路中計算機終端群中的任意一個計算機終端中,或者位於移動終端群中的任意一個移動終端中。 可選地,在本實施例中,儲存介質被設置為儲存用於執行以下步驟的程式代碼:用戶終端將加密後的資訊集發送至安全晶片,其中,資訊集包括:第一隨機數;用戶終端接收安全晶片返回的身份資料,其中,身份資料包括:使用第一隨機數進行加密的安全晶片的背書證書、包含了安全晶片的晶片標識的身份內容資訊和基於第一隨機數和第二隨機數產生的用戶進程的平台身份公鑰;用戶終端根據第一隨機數對身份資料進行解密得到第一解密結果,其中,第一解密結果包括:對加密後的背書證書進行解密,和/或對身份內容資訊進行解密;用戶終端根據第一解密結果確定安全晶片是否為合法的晶片。 可選地,在本實施例中,儲存介質被設置為儲存用於執行以下步驟的程式代碼:用戶終端使用安全晶片背書公鑰對資訊集進行加密,其中,資訊集還包括:用戶終端上運行的用戶進程的標識資訊和第三方證書伺服器的資訊。 可選地,在本實施例中,儲存介質被設置為儲存用於執行以下步驟的程式代碼:安全晶片使用與安全晶片背書公鑰對應的安全晶片背書私鑰對加密後的資訊集進行解密,得到資訊集;在獲取到第二隨機數之後,安全晶片根據資訊集、第二隨機數和安全晶片背書私鑰EK-1
產生用戶進程的平台身份公鑰、平台身份私鑰和身份內容資訊,並使用第一隨機數對安全晶片的背書證書進行加密;安全晶片至少將如下資訊發送至用戶終端:身份內容資訊、加密後的背書證書和平台身份公鑰。 可選地,在本實施例中,儲存介質被設置為儲存用於執行以下步驟的程式代碼:使用第一隨機數對加密後的背書證書進行解密,得到背書證書;根據背書證書得到安全晶片背書公鑰EK,並驗證背書證書的合法性;使用安全晶片背書公鑰對平台身份公鑰進行解密,得到第三解密結果。 可選地,在本實施例中,儲存介質被設置為儲存用於執行以下步驟的程式代碼:驗證第三解密結果中是否包含第一隨機數;如果第三解密結果中包含第一隨機數,則確定安全晶片為合法的晶片。 可選地,在本實施例中,儲存介質被設置為儲存用於執行以下步驟的程式代碼:如果第三解密結果中包含第一隨機數,且身份內容資訊中包含的晶片標識與背書證書中記錄的晶片標識一致,則確定安全晶片為合法的晶片。 可選地,在本實施例中,儲存介質被設置為儲存用於執行以下步驟的程式代碼:用戶終端使用第三方證書伺服器提供的證書公鑰對安全晶片的背書證書進行加密,得到背書證書的加密結果;用戶終端向第三方證書伺服器發送待驗證的資訊,待驗證的資訊包括至少如下資料:背書證書的加密結果、用戶終端上運行的用戶進程的身份標簽、第三方證書伺服器的標識資訊、包含了安全晶片的晶片標識的身份內容資訊和基於第一隨機數和第二隨機數產生的用戶進程的平台身份公鑰。 可選地,在本實施例中,儲存介質被設置為儲存用於執行以下步驟的程式代碼:第三方證書伺服器使用與證書公鑰對應的證書私鑰對背書證書的加密結果進行解密,得到第四解密結果,其中,第四解密結果包括:安全晶片的背書證書、用戶進程的身份標簽和安全晶片的安全晶片背書公鑰;第三方證書伺服器使用安全晶片背書公鑰對用戶進程的平台身份公鑰進行解密,得到用戶進程的身份標簽,並使用用戶進程的平台身份公鑰對身份內容資訊進行解密,得到解密資訊;如果解密資訊中包含的晶片標識與背書證書中記錄的晶片標識一致,和/或解密資訊中包含的用戶進程的身份標簽與背書證書中記錄的身份標簽一致,第三方證書伺服器確定用戶進程的平台身份公私鑰對由合法的安全晶片所產生。 可選地,在本實施例中,儲存介質被設置為儲存用於執行以下步驟的程式代碼:第三方證書伺服器使用證書公鑰對預定的資料集合進行加密,產生身份證書,其中,預定的資料集合包括:用戶進程的身份標簽、用戶進程的平台身份公鑰、用戶進程的身份標簽和第三方證書伺服器的標識資訊;第三方證書伺服器使用安全晶片背書公鑰對身份證書進行加密,並將加密結果分發身份證書到至少一個用戶終端。 可選地,在本實施例中,儲存介質被設置為儲存用於執行以下步驟的程式代碼:接收到身份證書的用戶終端將身份證書轉發給安全晶片;安全晶片使用安全晶片背書私鑰對加密後的身份證書進行解密,得到身份證書。 可選地,在本實施例中,儲存介質被設置為儲存用於執行以下步驟的程式代碼:安全晶片採用第一隨機數對身份證書進行加密,並將加密結果發送至用戶終端,使得用戶終端採用本地儲存的第一隨機數解密得到身份證書。 上述本發明實施例序號僅僅為了描述,不代表實施例的優劣。 在本發明的上述實施例中,對各個實施例的描述都各有側重,某個實施例中沒有詳述的部分,可以參見其他實施例的相關描述。 在本申請所提供的幾個實施例中,應該理解到,所揭露的技術內容,可通過其它的方式實現。其中,以上所描述的裝置實施例僅僅是示意性的,例如該單元的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,例如多個單元或組件可以結合或者可以集成到另一個系統,或一些特徵可以忽略,或不執行。另一點,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些介面,單元或模組的間接耦合或通信連接,可以是電性或其它的形式。 該作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位於一個地方,或者也可以分佈到多個網路單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。 另外,在本發明各個實施例中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以採用硬體的形式實現,也可以採用軟體功能單元的形式實現。 該集成的單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時,可以儲存在一個計算機可讀取儲存介質中。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟體產品的形式體現出來,該計算機軟體產品儲存在一個儲存介質中,包括若干指令用以使得一台計算機設備(可為個人計算機、伺服器或者網路設備等)執行本發明各個實施例所述方法的全部或部分步驟。而前述的儲存介質包括:U碟、唯讀記憶體(ROM,Read-Only Memory)、隨機存取記憶體(RAM,Random Access Memory)、移動硬碟、磁碟或者光碟等各種可以儲存程式代碼的介質。 以上所述僅是本發明的優選實施方式,應當指出,對於本技術領域的普通技術人員來說,在不脫離本發明原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應視為本發明的保護範圍。
