[发明专利]一种可信验证方法及装置

说明书

本发明公开了一种可信验证方法及装置，用于对可信设备进行验证，可信设备配置有可信计算模块，方法包括：所述可信设备加电，逐级度量构建可信链过程中，利用国密SM3算法计算每级被度量数据的度量值；将所述度量值保存于所述可信计算模块的PCR寄存器中；之后，可信设备与认证服务器根据度量值利用国密算法对可信设备进行完整性验证。本发明利用国密算法实现对可信设备的可信链构建、可信验证，能够保证可信设备的安全性与可控性。

技术领域

本发明涉及可信计算技术领域，特别是指一种可信验证方法及装置。

背景技术

随着大数据、云计算等信息技术的快速发展，国家和社会对信息技术的依赖程度日益增加，涉及隐私、密级数据等敏感数据处理的信息安全技术一直是研究重点。

可信计算技术是以可信计算平台为基础，以可信计算模块为信任根，从硬件层面出发建立一条可信链，构建可信的计算运行环境，是提高信息安全性的有效方法。目前的可信链构建过程，一般是利用国际通用密码算法实现，国密算法是我国自主研发的一套密码算法(包括SM1、SM2、SM3、SMS4算法)，结合我国对信息安全等级保护及合规性的要求，为了提高可信链的安全性和可控性，基于国密算法构建可信链十分必要。

发明内容

有鉴于此，本发明的目的在于提出一种可信验证方法及装置，基于国密算法实现可信链的构建与可信设备的验证，保证可信设备的安全性和可控性。

基于上述目的，本发明提供了一种可信验证方法，应用于可信设备，所述可信设备配置有可信计算模块，方法包括：

构建可信链：所述可信设备加电，逐级度量构建可信链过程中，利用国密SM3算法计算每级被度量数据的度量值，将所述度量值保存于所述可信计算模块的PCR寄存器中。

可选的，所述度量值以PCR扩展方法保存于所述PCR寄存器中。

可选的，所述方法还包括：

所述可信设备启动后，向认证服务器发送完整性验证请求；

接收所述认证服务器利用国密SM3算法生成的随机数；

从所述PCR寄存器中读取出所述度量值，以所述随机数为对称密钥，利用国密SM4算法对所述度量值进行加密处理，生成密文度量值；

基于所述可信计算模块创建国密SM2算法的公钥、私钥对，利用国密SM3算法计算所述密文度量值的第一摘要值，利用所述私钥对所述第一摘要值进行加密处理，生成所述密文度量值的数字签名；

将包括所述公钥、密文度量值、数字签名的验证信息发送至所述认证服务器，由所述认证服务器根据所述验证信息对所述可信设备进行完整性验证。

本发明实施例还提供一种可信验证方法，应用于认证服务器，包括：

接收可信设备发送的完整性验证请求；

利用国密SM3算法生成随机数，将随机数发送至所述可信设备；

接收所述可信设备发送的包括公钥、密文度量值、数字签名的验证信息，从中解析出所述公钥、密文度量值、数字签名；

利用所述公钥对所述数字签名进行解密处理，生成密文度量值的第二摘要值，利用国密SM3算法计算所述密文度量值的第一摘要值；

将所述第一摘要值与所述第二摘要值进行比较，若不一致则向所述可信设备发送完整性验证未通过消息；若一致则：

以所述随机数为对称密钥，利用国密SM4算法对所述密文度量值进行解密处理，生成明文度量值；

将所述明文度量值与所述认证服务器保存的所述可信设备的基准度量值进行比较，若一致则向所述可信设备发送完整性验证通过消息，若不一致则向所述可信设备发送完整性验证未通过消息。