[发明专利]一种远程认证中证书管理的方法

摘要

本发明公开了一种远程认证中证书管理的方法，该证书管理方法包含可信计算节点，计算节点代理程序和集群可信管理程序三部分。本发明的一种远程认证中证书管理的方法和现有技术相比，利用远程认证中证书下发功能收集每一节点的身份证书信息，利用校验过程中证书校验监控每一证书的有效性，并为系统管理者提供配置证书的接口；可以有效的管理各证书，方便管理者配置每一节点的证书。

主权项

1.一种远程认证中证书管理的方法，其特征在于，该证书管理方法主要由可信计算节点，计算节点代理程序和集群可信管理程序三部分实现；可信计算节点：装有TPM芯片的计算机或服务器，其启动过程中会建立度量链，每一级将系统控制权交给下一级前会度量下一级代码块或配置文件，并将计算的度量值扩展至PCR中，系统启动后，PCR中包含了整个节点关键启动部件的完整性信息；计算节点代理程序：安装在可信计算节点上的程序，向集群可信管理程序上报本节点的信息，完成可信注册并初始化TPM芯片；集群可信管理程序：集群可信状态管理端，完成证书颁发和远程认证的功能，可以统一管理各个可信计算节点的身份证书，一旦检测到可信计算节点中的身份密钥发生变化，会请求计算节点代理程序重新上报身份密钥完成新身份证书的颁发；系统管理员也可通过集群可信管理程序主动触发更新身份证书；该证书管理方法的流程如下：1）启动系统程序；2）计算节点代理程序上报身份证书及完整性信息；3）集群可信管理程序提取对应证书；4）判断证书是否过期；证书过期，则集群可信管理程序下发身份密钥请求命令，计算节点代理程序上报身份密钥，Privacy CA为身份密钥颁发新证书，并将其存放到KeyStore中；5）若证书没有过期，则集群可信管理程序读取Privacy CA颁发的新证书，检验身份证书，判断证书是否由本Privacy CA下发，如果不是，则重复步骤4）；6）若证书是由本Privacy CA下发，则集群可信管理程序提取校验信息及签名，判断签名是否完整，签名完整则Privacy CA进行完整性校验；7）若签名不完整，则集群可信管理程序下发身份密钥请求命令，计算节点代理程序上报身份密钥，判断身份密钥与身份证书是否一致；身份密钥与身份证书一致，则签名信息遭受篡改，重新进行远程认证；8）若身份密钥与身份证书不一致，Privacy CA为身份密钥颁发新证书，并将其存放到KeyStore中。