[发明专利]一种基于可信计算的身份认证方法及装置

说明书

技术领域

本发明涉及计算机领域，特别涉及一种基于可信计算的身份认证方法及装置。

背景技术

在国家加强国产化替代的前景下，国产固件、国产操作系统逐步发展壮大。可信计算技术作为一种新型计算机信息安全技术，在国产化平台下充分发挥其安全可信功能，在可信认证、可信度量、可信存储等方面为信息安全支撑平台的建立提供基础支持。

目前，可信计算技术通过调用TCM(TrustedCryptographyModule，可信密码模块)内部算法对计算机系统开机启动过程中的各个部件进行逐级的可信度量，以确定计算机系统是否遭到攻击或破坏，从而可以实现计算机系统的可信加固。

不过，在保证计算机系统安全可信的前提下，当用户的登录信息遭到黑客或恶意软件的攻击而被泄露时，可能会对计算机信息的安全性造成影响。

发明内容

有鉴于此，本发明提供了一种基于可信计算的身份认证方法及装置，能够保证计算机系统内数据的安全可信。

为了达到上述目的，本发明是通过如下技术方案实现的：

一方面，本发明提供了一种基于可信计算的身份认证方法，该方法包括：预先将计算机系统内的TCM与USBKey进行绑定，并将计算机系统内各个部件的基准值存储至与其内部TCM相绑定的USBKey中，还包括：

S1：在获取到目标USBKey的登录请求时，获取TCM内部PCR中所存储的当前计算机系统内各个部件的度量值，以及获取所述目标USBKey中存储的各个部件的基准值；

S2：逐个对每一个部件的度量值与所述目标USBKey中存储的基准值进行比较，在比较结果为每一个部件的度量值与所述目标USBKey中存储的基准值均相同时，执行步骤S3，否则，拒绝所述目标USBKey的登录请求；

S3：认证所述目标USBKey的身份信息，并根据认证结果响应所述目标USBKey的登录请求。

进一步地，所述将计算机系统内各个部件的基准值存储至与其内部TCM相绑定的USBKey中，包括：

对计算机系统内各个部件的基准值进行计算；

将计算所得的计算机系统内各个部件的基准值存储至TCM内部的非易失性存储器中；

读取TCM内部的非易失性存储器中的基准值，存储至与TCM相绑定的USBKey中。

进一步地，所述预先将计算机系统内的TCM与USBKey进行绑定，包括：将USBKey的标识和与其标识相对应的USBKey公钥存储至计算机系统内的TCM内部的非易失性存储器中；

所述认证所述目标USBKey的身份信息，包括：

生成第一随机数；

读取所述目标USBKey的USBKey私钥对所述第一随机数加密；

根据所述目标USBKey的标识，读取TCM内部的非易失性存储器中存储的与所述目标USBKey的标识相对应的USBKey公钥，利用读取的该USBKey公钥对加密后的所述第一随机数解密，得到第二随机数；

判断所述第一随机数和所述第二随机数是否相等，如果是，表明对所述目标USBKey的身份信息认证通过，否则，则表明对所述目标USBKey的身份信息认证不通过。

进一步地，还包括：预先将用户登录密码存储至TCM内部的非易失性存储器中；

所述根据认证结果响应所述目标USBKey的登录请求，包括：在所述认证结果包括对所述目标USBKey的身份信息认证通过时，获取用户输入的登录密码，根据TCM内部的非易失性存储器中预先存储的用户登录密码对用户输入的登录密码进行验证，若验证通过，则允许所述目标USBKey的登录请求，否则，拒绝所述目标USBKey的登录请求；在所述认证结果包括对所述目标USBKey的身份信息认证不通过时，则拒绝所述目标USBKey的登录请求。

进一步地，所述计算机系统内各个部件，包括：硬件、固件、硬件驱动、系统软件和应用软件中的任意一种或多种。

另一方面，本发明提供了一种基于可信计算的身份认证装置，该装置包括：

绑定单元，用于将计算机系统内的TCM与USBKey进行绑定；

第一发送单元，用于将计算机系统内各个部件的基准值存储至与其内部TCM相绑定的USBKey中；

获取单元，用于在获取到目标USBKey的登录请求时，获取TCM内部PCR中所存储的当前计算机系统内各个部件的度量值，以及获取所述目标USBKey中存储的各个部件的基准值；