[发明专利]一种基于可信计算的认证系统及方法

说明书

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种基于可信计算的认证系统及方法。

背景技术

随着计算机网络技术的发展,园区网中的各种网络应用也越来越多,大部分系统都提供了登录窗口,要求用户输入用户名和口令,只有被授权的用户才能访问受控资源。每个应用系统都拥有独立的身份认证机制,在进入不同的应用系统时都要重新提交自己的身份标识来通过系统的认证,这样会导致以下后果:

用户需要设置大量的用户名和密码,容易造成混淆;

频繁的输入用户名和口令,会增大相应用户口令被破解的机率;

用户为了方便,往往会选择简单信息作为口令或者设置相同的口令,这样将会带来很大的安全隐患;

用户及口令被破解后，可在任何一台电脑上使用，对于用户网络交易存在很大安全隐患。

出于效率和安全性因素的考虑,人们提出了新认证方案,即用户在申请账号的同时，还需要将账号绑定到专用的设备同时使用，用户只需在网络中主动进行身份认证,随后便可以访问其被授权的所有网络资源,而不需要再参与其他的身份认证过程。

但是传统的认证存在以下弊端：

无法保证终端是否可信；

无法保证认证服务器自身的可信；

无法保证证书服务器自身的可信；

无法保证应用服务器自身的可信。

因此，增强计算机网络认证的可信性、安全性是当前认证领域亟待解决的问题之一。

发明内容

本发明所要解决的技术问题是提供一种基于可信计算的认证系统及方法，提高计算机网络认证的可信性、安全性。

为解决上述技术问题，本发明提出了一种基于可信计算的认证系统，包括可信终端、可信证书服务器、可信认证服务器，所述可信终端、所述可信证书服务器和所述可信认证服务器中均具有可信计算模块,所述可信终端分别与所述可信证书服务器、所述可信认证服务器无线连接。

进一步地，上述系统还可具有以下特点，还包括可信应用服务器，所述可信应用服务器中具有可信计算模块,所述可信应用服务器分别与所述可信终端、可信认证服务器无线连接。

进一步地，上述系统还可具有以下特点，还包括可信完整性验证服务器，用于对所述可信终端平台进行完整性验证，所述可信完整性验证服务器中具有可信计算模块,所述可信完整性验证服务器与所述可信认证服务器无线连接。

为解决上述技术问题，还本发明提出了一种基于可信计算的认证方法， 基于上述任一项所述的基于可信计算的认证系统，包括：

可信终端向可信证书服务器申请签发证书；以及

使可信认证服务器验证所述可信终端向该可信认证服务器发起的验证请求，并接收所述可信认证服务器给该可信终端签发的身份凭证。

进一步地，上述方法还可具有以下特点，在所述可信终端向可信证书服务器申请签发证书之前还包括，所述可信终端检验自身平台的完整性。

进一步地，上述方法还可具有以下特点，还包括,所述可信终端还向所述可信认证服务器发起完整性验证请求，所述可信认证服务器将所述完整性验证请求转发给可信完整性验证服务器，所述可信完整性验证服务器验证所述可信终端的完整性。

进一步地，上述方法还可具有以下特点，还包括，所述可信终端接收到身份凭证后向可信应用服务器发起服务请求，所述可信认证服务器验证所述可信终端的身份凭证，并将验证结果返回给所述可信应用服务器，若所述验证结果为合法，则所述可信应用服务器允许服务实体向所述可信终端提供请求的服务。

进一步地，上述方法还可具有以下特点，还包括,所述可信终端用户在初次进行身份认证前,先在所述可信认证服务器进行身份注册,登记用户信息。

本发明所提供的基于可信计算的认证系统及方法，将PKI数字证书技术和可信计算平台相结合,保证了网络和服务器端的安全,同时还能确保终端可信,在很大程度上提高了整个网络的安全性，提高了计算机网络认证的可信性、安全性。

附图说明

图1为本发明实施例中可信计算机系统平台结构图；

图2为本发明实施例中基于可信计算的认证系统结构图；

图3为本发明实施例中基于可信计算的认证方法流程图。

具体实施方式

本发明的主要构思是：利用可信计算技术，在实施认证的实体中安装可信计算模块，保证计算机网络和服务器端的安全,又能确保终端可信,不仅可以提高实施认证的实体自身的安全性，还能够提高整个计算机网络的安全性，从而增强计算机网络上认证的可信性、安全性。