[发明专利]一种基于可信计算的身份认证方法及装置

权利要求书

1.一种基于可信计算的身份认证方法，其特征在于，预先将计算机系统内的可信密码模块TCM与USBKey进行绑定，并将计算机系统内各个部件的基准值存储至与其内部TCM相绑定的USBKey中，该方法还包括：

S1：在获取到目标USBKey的登录请求时，获取TCM内部程序控制暂存器PCR中所存储的当前计算机系统内各个部件的度量值，以及获取所述目标USBKey中存储的各个部件的基准值；

S2：逐个对每一个部件的度量值与所述目标USBKey中存储的基准值进行比较，在比较结果为每一个部件的度量值与所述目标USBKey中存储的基准值均相同时，执行步骤S3，否则，拒绝所述目标USBKey的登录请求；

S3：认证所述目标USBKey的身份信息，并根据认证结果响应所述目标USBKey的登录请求。

2.根据权利要求1所述的方法，其特征在于，所述将计算机系统内各个部件的基准值存储至与其内部TCM相绑定的USBKey中，包括：

对计算机系统内各个部件的基准值进行计算；

将计算所得的计算机系统内各个部件的基准值存储至TCM内部的非易失性存储器中；

读取TCM内部的非易失性存储器中的基准值，存储至与TCM相绑定的USBKey中。

3.根据权利要求1所述的方法，其特征在于，

所述预先将计算机系统内的TCM与USBKey进行绑定，包括：将USBKey的标识和与其标识相对应的USBKey公钥存储至计算机系统内的TCM内部的非易失性存储器中；

所述认证所述目标USBKey的身份信息，包括：

生成第一随机数；

读取所述目标USBKey的USBKey私钥对所述第一随机数加密；

根据所述目标USBKey的标识，读取TCM内部的非易失性存储器中存储的与所述目标USBKey的标识相对应的USBKey公钥，利用读取的该USBKey公钥对加密后的所述第一随机数解密，得到第二随机数；

判断所述第一随机数和所述第二随机数是否相等，如果是，表明对所述目标USBKey的身份信息认证通过，否则，则表明对所述目标USBKey的身份信息认证不通过。

4.根据权利要求3所述的方法，其特征在于，

进一步包括：预先将用户登录密码存储至TCM内部的非易失性存储器中；

所述根据认证结果响应所述目标USBKey的登录请求，包括：在所述认证结果包括对所述目标USBKey的身份信息认证通过时，获取用户输入的登录密码，根据TCM内部的非易失性存储器中预先存储的用户登录密码对用户输入的登录密码进行验证，若验证通过，则允许所述目标USBKey的登录请求，否则，拒绝所述目标USBKey的登录请求；在所述认证结果包括对所述目标USBKey的身份信息认证不通过时，则拒绝所述目标USBKey的登录请求。

5.根据权利要求1至4中任一所述的方法，其特征在于，所述计算机系统内各个部件，包括：

硬件、固件、硬件驱动、系统软件和应用软件中的任意一种或多种。

6.一种基于可信计算的身份认证装置，其特征在于，包括：

绑定单元，用于将计算机系统内的TCM与USBKey进行绑定；

第一发送单元，用于将计算机系统内各个部件的基准值存储至与其内部TCM相绑定的USBKey中；

获取单元，用于在获取到目标USBKey的登录请求时，获取TCM内部PCR中所存储的当前计算机系统内各个部件的度量值，以及获取所述目标USBKey中存储的各个部件的基准值；

处理单元，用于逐个对每一个部件的度量值与所述目标USBKey中存储的基准值进行比较，在比较结果为每一个部件的度量值与所述目标USBKey中存储的基准值均相同时，通知认证单元，否则，拒绝所述目标USBKey的登录请求；

认证单元，用于认证所述目标USBKey的身份信息；

响应单元，用于根据所述认证单元的认证结果响应所述目标USBKey的登录请求。