[发明专利]一种平台环境完整性检测方法和装置在审
| 申请号: | 201710326723.4 | 申请日: | 2017-05-10 |
| 公开(公告)号: | CN106973067A | 公开(公告)日: | 2017-07-21 |
| 发明(设计)人: | 邹麟;陈成 | 申请(专利权)人: | 成都麟成科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L9/08 |
| 代理公司: | 北京天奇智新知识产权代理有限公司11340 | 代理人: | 杨春 |
| 地址: | 610000 四川省成都市高新区*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 平台 环境 完整性 检测 方法 装置 | ||
1.一种平台环境完整性检测方法,包括:
对于信任度验证,采用混合验证,是两层验证链,第一是基于二进制配置的验证,第二是基于信任度的验证,验证代理根据己定义的标准确认平台配置和特定属性之间的对应关系的正确性,验证方CP、验证代理TDVP和被验证方AP生成的密钥对分别是{KpubCP,KpriCP}、{KpubTDVP,KpriTDVP}、{KpubAP,KpriAP},通过协商验证方CP与验证代理TDVP之间的会话密钥为KC,验证代理TDVP与被验证方AP之间的会话密钥为KA。
2.如权利要求1所述的方法,信任度验证的流程为:
S1:为了获得被验证平台AP的平台的可信状态,验证方CP向验证代理TDVP发送信任度验证请求;
CP将被验证方的身份信息IDAP、随机数noncel、发送信任度验证的时间timel、CP的验证策略PoliciesCP和CP的身份信息AIK-CertifieateCP用TDVP的AIK公钥加密,加密保证了只有TDVP才能解密消息,然后将消息用CP和TDVP之间的会话密钥KC加密后发送给TDVP;
S2:验证代理TDVP收到CP的信任度验证请求消息后,用自己的AIK私钥解密,然后,TDVP向验证方提供的被验证方AP发送二进制验证请求:
TDVP将收到的CP的验证请求消息、随机数nonce1及发送信任度验证的时间timel用AIK的私钥签名,然后在用会话密钥KA加密后发送给AP,随机数用以验证自己之前发送的消息是否得到了相应的回复,私钥签名确保该消息是TDVP所发;
S3:AP收到TDVP的验证请求后,收集自身的平台配置信息,然后发送二进制验证响应:
AP将收集自身的平台完整性信息PCRsAP和随机数nonce2用AIK私钥加密签名,然后在和AIK证书用AP和TDVP之间的会话密钥加密后发送给TDVP;
S4:信任度评估后,TDVP分别向AP、CP发送信任度授权响应和信任度验证响应信息;
S5:AP向CP发送服务请求信息;
S6:当CP通过对AP的信任度验证后,CP响应服务请求信息。
3.如权利要求2所述的方法,进一步包括:对于X.509证书的申请和密钥,A表示证书申请者,C表示证书的签发者,该证书的详细申请过程如下:
(l)A:从TPM中获得一对签名密钥对(K,K’);
(2)A用签名密钥对(K,K’)生成证书认证申请,并用AIK加密后传送给C;
(3)C验证申请,验证AIK证书,处理申请;
(4)C响应申请;
(5)A获得响应,解密随机数nonce;
(6)A向C发送认证确认后的随机数nonce;
(7)C向A颁发证书。
4.如权利要求3所述的方法,进一步包括:对SSL/TLS握手协议作出以下改进:
(l)使用客户端和服务器的AIK分别对各自证书cert_c、cert_s和随机数rand_c、rand_s加密签名;
(2)在密钥交换时,客户端和服务器端分别提供一部分密钥,这两部分共同产生主密钥;
(3)密钥交换式传输的数据,需要用各自的AIK签名后传输。
5.一种平台环境完整性检测装置,包括:
信任度验证单元,用于对于信任度验证,采用混合验证,是两层验证链,第一是基于二进制配置的验证,第二是基于信任度的验证,验证代理根据己定义的标准确认平台配置和特定属性之间的对应关系的正确性,验证方CP、验证代理TDVP和被验证方AP生成的密钥对分别是{KpubCP,KpriCP}、{KpubTDVP,KpriTDVP}、{KpubAP,KpriAP},通过协商验证方CP与验证代理TDVP之间的会话密钥为KC,验证代理TDVP与被验证方AP之间的会话密钥为KA。
6.如权利要求5所述的装置,信任度验证单元进一步包括:
第一单元:用于为了获得被验证平台AP的平台的可信状态,验证方CP向验证代理TDVP发送信任度验证请求;
CP将被验证方的身份信息IDAP、随机数noncel、发送信任度验证的时间timel、CP的验证策略PoliciesCP和CP的身份信息AIK-CertifieateCP用TDVP的AIK公钥加密,加密保证了只有TDVP才能解密消息,然后将消息用CP和TDVP之间的会话密钥KC加密后发送给TDVP;
第二单元:用于验证代理TDVP收到CP的信任度验证请求消息后,用自己的AIK私钥解密,然后,TDVP向验证方提供的被验证方AP发送二进制验证请求:
TDVP将收到的CP的验证请求消息、随机数nonce1及发送信任度验证的时间timel用AIK的私钥签名,然后在用会话密钥KA加密后发送给AP,随机数用以验证自己之前发送的消息是否得到了相应的回复,私钥签名确保该消息是TDVP所发;
第三单元:用于AP收到TDVP的验证请求后,收集自身的平台配置信息,然后发送二进制验证响应:
AP将收集自身的平台完整性信息PCRsAP和随机数nonce2用AIK私钥加密签名,然后在和AIK证书用AP和TDVP之间的会话密钥加密后发送给TDVP;
第四单元:用于信任度评估后,TDVP分别向AP、CP发送信任度授权响应和信任度验证响应信息;
第五单元:用于AP向CP发送服务请求信息;
第六单元:用于当CP通过对AP的信任度验证后,CP响应服务请求信息。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于成都麟成科技有限公司,未经成都麟成科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710326723.4/1.html,转载请声明来源钻瓜专利网。
