[发明专利]基于TPM的嵌入式设备远程身份认证方法有效
申请号: | 201910159069.1 | 申请日: | 2019-03-04 |
公开(公告)号: | CN109951276B | 公开(公告)日: | 2021-12-03 |
发明(设计)人: | 王冠;陈憨;陈健中;周珺 | 申请(专利权)人: | 北京工业大学 |
主分类号: | H04L9/08 | 分类号: | H04L9/08;H04L9/32;H04L29/06 |
代理公司: | 北京思海天达知识产权代理有限公司 11203 | 代理人: | 刘萍 |
地址: | 100124 *** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 基于 tpm 嵌入式 设备 远程 身份 认证 方法 | ||
基于TPM的嵌入式设备远程身份认证方法属于信息安全领域,利用的是可信计算技术,它是信息安全领域的一门新技术,具有自主免疫、全程可控可测等优点。本发明旨在利用可信计算完整性度量、密钥管理和平台绑定等优势,设计一种远程身份认证的方法。先对平台配置做可信度量,然后将度量值扩展到平台配置寄存器,把此度量值作为认证信息中的一项。TPM芯片内的背书密钥(EK)与平台身份绑定,由背书密钥(EK)产生身份认证密钥(AIK),然后再由身份认证密钥(AIK)签名平台配置度量值,这样不但可以验证平台身份,还可以认证平台完整性。这相较于传统的远程身份认证优势明显。
技术领域
本专利属于信息安全领域,利用的是可信计算技术,它是信息安全领域的一门新技术,具有自主免疫、全程可控可测等优点。本发明旨在利用可信计算完整性度量、密钥管理和平台绑定等优势,设计一种远程身份认证的方法。
背景技术
可信计算的基本思想是立足于终端,在终端构建一个信任根,以信任根为起点,通过完整性度量技术,建立信任链,实现信任由信任根扩展到硬件平台、操作系统,直至整个网络,保证整个计算环境的可信。其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高整体的安全性。可信计算技术弥补了以防外为主的防御手段的缺陷。它立足于入侵源头设防,对网络上的每一个节点实施认证和控制,建立点对点的信任机制。基于这个信任系统,实施身份认证、授权访问控制和安全责任审计等防御手段,突破了传统的“堵漏洞、做高墙、防外攻”的被动方式。可信计算技术以完整性度量技术为基础,通过信息的信任传递模式,保障了信息在用户、程序与机器之间的可信传递,建立了由信任根到
网络的信任链,从而维护了网络和信息安全。
可信平台模块(TPM)是一种集成在可信计算平台中,用于建立和保障信任源点的硬件核心模块,为可信计算提供完整性度量、安全存储、可信报告以及密码服务等功能。可信平台模块作为信任度量的起点包括可信度量根、可信存储根和可信报告根三个信任根。以可信平台控制模块为基础,可以扩展出可信计算平台的可信度量功能、可信报告功能与可信存储功能。可信平台控制模块是可信计算平台体系结构中的信任根。可信平台模块是以密码模块的密码技术为基础,为平台自身的完整性、身份可信性和数据安全性提供密码支持。
发明内容
本发明通过提供一系列与平台相关的证书和平台信息来证明通信的平台就是一个可信计算平台的真实身份。可信计算平台的身份是通过可信平台模块(TPM)的背书密钥证书EK(Endorsement Key Credential)来标识的,该证书可以表明安全芯片与平台之间的绑定关系。如果直接使用EK(Endorsement Key)证书来进行远程证明,可能会暴露背书密钥EK(Endorsement Key)。因此,使用可信第三方Privacy CA的方法协助可信平台模块(TPM)完成身份证明。基于Privacy CA的证明方法就是通过为可信平台模块(TPM)平台身份密钥颁发平台身份密钥证书来标识身份。证明时验证方需要向Privacy CA请求,确认平台身份密钥的正确性来完成证明。本发明在请求验证的信息中加入了平台度量信息,实现了对平台的身份认证和完整性认证。
具体步骤为:
1.可信平台模块(TPM)生成一对AIK(Attestation Identity Key)公私钥对,把生成的AIK(Attestation Identity Key)的公钥部分以及请求产生AIK(AttestationIdentity Key)证书的可信平台模块(TPM)的一些标识信息(其中包括设备度量信息),包括背书证书和平台证书打包;
2.使用AIK(Attestation Identity Key)的私钥部分对刚产生的包进行签名;
3.将签名值和包一起发送给一个可信第三方Privacy CA,等待Privacy CA接收请求后生成证言身份证书;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京工业大学,未经北京工业大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910159069.1/2.html,转载请声明来源钻瓜专利网。
- 上一篇:密钥生成方法、装置、计算机设备及存储介质
- 下一篇:虚拟钥匙绑定方法及系统