一種基于可信計算的身份認證方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機領(lǐng)域,特別涉及一種基于可信計算的身份認證方法及裝置。
【背景技術(shù)】
[0002]在國家加強國產(chǎn)化替代的前景下,國產(chǎn)固件、國產(chǎn)操作系統(tǒng)逐步發(fā)展壯大??尚庞嬎慵夹g(shù)作為一種新型計算機信息安全技術(shù),在國產(chǎn)化平臺下充分發(fā)揮其安全可信功能,在可信認證、可信度量、可信存儲等方面為信息安全支撐平臺的建立提供基礎(chǔ)支持。
[0003]目前,可信計算技術(shù)通過調(diào)用TCM (Trusted Cryptography Module,可信密碼模塊)內(nèi)部算法對計算機系統(tǒng)開機啟動過程中的各個部件進行逐級的可信度量,以確定計算機系統(tǒng)是否遭到攻擊或破壞,從而可以實現(xiàn)計算機系統(tǒng)的可信加固。
[0004]不過,在保證計算機系統(tǒng)安全可信的前提下,當用戶的登錄信息遭到黑客或惡意軟件的攻擊而被泄露時,可能會對計算機信息的安全性造成影響。
【發(fā)明內(nèi)容】
[0005]有鑒于此,本發(fā)明提供了一種基于可信計算的身份認證方法及裝置,能夠保證計算機系統(tǒng)內(nèi)數(shù)據(jù)的安全可信。
[0006]為了達到上述目的,本發(fā)明是通過如下技術(shù)方案實現(xiàn)的:
[0007]—方面,本發(fā)明提供了一種基于可信計算的身份認證方法,該方法包括:預(yù)先將計算機系統(tǒng)內(nèi)的TCM與USBKey進行綁定,并將計算機系統(tǒng)內(nèi)各個部件的基準值存儲至與其內(nèi)部TCM相綁定的USBKey中,還包括:
[0008]S1:在獲取到目標USBKey的登錄請求時,獲取TCM內(nèi)部PCR中所存儲的當前計算機系統(tǒng)內(nèi)各個部件的度量值,以及獲取所述目標USBKey中存儲的各個部件的基準值;
[0009]S2:逐個對每一個部件的度量值與所述目標USBKey中存儲的基準值進行比較,在比較結(jié)果為每一個部件的度量值與所述目標USBKey中存儲的基準值均相同時,執(zhí)行步驟S3,否則,拒絕所述目標USBKey的登錄請求;
[0010]S3:認證所述目標USBKey的身份信息,并根據(jù)認證結(jié)果響應(yīng)所述目標USBKey的登錄請求。
[0011]進一步地,所述將計算機系統(tǒng)內(nèi)各個部件的基準值存儲至與其內(nèi)部TCM相綁定的USBKey中,包括:
[0012]對計算機系統(tǒng)內(nèi)各個部件的基準值進行計算;
[0013]將計算所得的計算機系統(tǒng)內(nèi)各個部件的基準值存儲至TCM內(nèi)部的非易失性存儲器中;
[0014]讀取TCM內(nèi)部的非易失性存儲器中的基準值,存儲至與TCM相綁定的USBKey中。
[0015]進一步地,所述預(yù)先將計算機系統(tǒng)內(nèi)的TCM與USBKey進行綁定,包括:將USBKey的標識和與其標識相對應(yīng)的USBKey公鑰存儲至計算機系統(tǒng)內(nèi)的TCM內(nèi)部的非易失性存儲器中;
[0016]所述認證所述目標USBKey的身份信息,包括:
[0017]生成第一隨機數(shù);
[0018]讀取所述目標USBKey的USBKey私鑰對所述第一隨機數(shù)加密;
[0019]根據(jù)所述目標USBKey的標識,讀取TCM內(nèi)部的非易失性存儲器中存儲的與所述目標USBKey的標識相對應(yīng)的USBKey公鑰,利用讀取的該USBKey公鑰對加密后的所述第一隨機數(shù)解密,得到第二隨機數(shù);
[0020]判斷所述第一隨機數(shù)和所述第二隨機數(shù)是否相等,如果是,表明對所述目標USBKey的身份信息認證通過,否則,則表明對所述目標USBKey的身份信息認證不通過。
[0021]進一步地,還包括:預(yù)先將用戶登錄密碼存儲至TCM內(nèi)部的非易失性存儲器中;
[0022]所述根據(jù)認證結(jié)果響應(yīng)所述目標USBKey的登錄請求,包括:在所述認證結(jié)果包括對所述目標USBKey的身份信息認證通過時,獲取用戶輸入的登錄密碼,根據(jù)TCM內(nèi)部的非易失性存儲器中預(yù)先存儲的用戶登錄密碼對用戶輸入的登錄密碼進行驗證,若驗證通過,則允許所述目標USBKey的登錄請求,否則,拒絕所述目標USBKey的登錄請求;在所述認證結(jié)果包括對所述目標USBKey的身份信息認證不通過時,則拒絕所述目標USBKey的登錄請求。
[0023]進一步地,所述計算機系統(tǒng)內(nèi)各個部件,包括:硬件、固件、硬件驅(qū)動、系統(tǒng)軟件和應(yīng)用軟件中的任意一種或多種。
[0024]另一方面,本發(fā)明提供了一種基于可信計算的身份認證裝置,該裝置包括:
[0025]綁定單元,用于將計算機系統(tǒng)內(nèi)的TCM與USBKey進行綁定;
[0026]第一發(fā)送單元,用于將計算機系統(tǒng)內(nèi)各個部件的基準值存儲至與其內(nèi)部TCM相綁定的USBKey中;
[0027]獲取單元,用于在獲取到目標USBKey的登錄請求時,獲取TCM內(nèi)部PCR中所存儲的當前計算機系統(tǒng)內(nèi)各個部件的度量值,以及獲取所述目標USBKey中存儲的各個部件的基準值;
[0028]處理單元,用于逐個對每一個部件的度量值與所述目標USBKey中存儲的基準值進行比較,在比較結(jié)果為每一個部件的度量值與所述目標USBKey中存儲的基準值均相同時,通知認證單元,否則,拒絕所述目標USBKey的登錄請求;
[0029]認證單元,用于認證所述目標USBKey的身份信息;
[0030]響應(yīng)單元,用于根據(jù)所述認證單元的認證結(jié)果響應(yīng)所述目標USBKey的登錄請求。
[0031]進一步地,所述第一發(fā)送單元,包括:
[0032]計算子單元,用于對計算機系統(tǒng)內(nèi)各個部件的基準值進行計算;
[0033]第一發(fā)送子單元,用于將計算所得的計算機系統(tǒng)內(nèi)各個部件的基準值存儲至TCM內(nèi)部的非易失性存儲器中;
[0034]第二發(fā)送子單元,用于讀取TCM內(nèi)部的非易失性存儲器中的基準值,存儲至與TCM相綁定的USBKey中。
[0035]進一步地,所述綁定單元,用于將USBKey的標識和與其標識相對應(yīng)的USBKey公鑰存儲至計算機系統(tǒng)內(nèi)的TCM內(nèi)部的非易失性存儲器中;
[0036]所述認證單元,包括:
[0037]隨機數(shù)生成子單元,用于生成第一隨機數(shù);
[0038]加密子單元,用于讀取所述目標USBKey的USBKey私鑰對所述第一隨機數(shù)加密;
[0039]解密子單元,用于根據(jù)所述目標USBKey的標識,讀取TCM內(nèi)部的非易失性存儲器中存儲的與所述目標USBKey的標識相對應(yīng)的USBKey公鑰,利用讀取的該USBKey公鑰對加密后的所述第一隨機數(shù)解密,得到第二隨機數(shù);
[0040]判斷子單元,用于判斷所述第一隨機數(shù)和所述第二隨機數(shù)是否相等,如果是,表明對所述目標USBKey的身份信息認證通過,否則,則表明對所述目標USBKey的身份信息認證不通過。
[0041]進一步地,還包括:
[0042]第二發(fā)送單元,用于將用戶登錄密碼存儲至TCM內(nèi)部的非易失性存儲器中;
[0043]所述響應(yīng)單元,用于在所述認證結(jié)果包括對所述目標USBKey的身份信息認證通過時,獲取用戶輸入的登錄密碼,根據(jù)TCM內(nèi)部的非易失性存儲器中預(yù)先存儲的用戶登錄密碼對用戶輸入的登錄密碼進行驗證,若驗證通過,則允許所述目標USBKey的登錄請求,否則,拒絕所述目標USBKey的登錄請求;在所述認證結(jié)果包括對所述目標USBKey的身份信息認證不通過時,則拒絕所述目標USBKey的登錄請求。
[0044]進一步地,所述計算機系統(tǒng)內(nèi)各個部件,包括硬件、固件、硬件驅(qū)動、系統(tǒng)軟件和應(yīng)用軟件中的任意一種或多種。
[0045]本發(fā)明提供一種基于可信計算的身份認證方法及裝置,預(yù)先將計算機系統(tǒng)內(nèi)的TCM與USBKey進行綁定,并將計算機系統(tǒng)內(nèi)各個部件的基準值存儲至與其內(nèi)部TCM相綁定的USBKey中;在獲取到目標USBKey的登錄請求時,需要判斷該目標USBKey是否與該計算機系統(tǒng)內(nèi)的TCM綁定過,通過逐個對每一個部件的度量值與該目標USBKey中存儲的基準值進行比較,以對該目標USBKey進行第一重認證;只有在比較結(jié)果為每一個部件的度量值與該目標USBKey中存儲的基準值均相同時,則第一重認證通過;并繼續(xù)認證該目標USBKey的身份信息,根據(jù)該身份信息認證結(jié)果響應(yīng)該目標USBKey的登錄請求,以實現(xiàn)對該目標USBKey的第二重認證。通過對目標USBKey的雙重認證,能夠保證計算機系統(tǒng)內(nèi)數(shù)據(jù)的安全可信。
【附圖說明】
[0046]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0047]圖1是本發(fā)明一實施例提供的一種基于可信計算的身份認證方法的流程圖;
[0048]圖2是本發(fā)明一實施例提供的另一種基于可信計算的身份認證方法的流程圖;
[0049]圖3是本發(fā)明一實施例提供的一種基于可信計算的身份認證裝置的示意圖;
[0050]圖4是本發(fā)明一實施例提供的另一種基于可信計算的身份認證裝置的示意圖。
【具體實施方式】
[0051]為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例是本發(fā)明一部分實施例,而不是全部的實施例,基于本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
[0052]如圖1所示,本發(fā)明實施例提供了一種基于可信計算的身份認證方法,該方法可以包括以下步驟:
[0053]步驟101:預(yù)先將計算機系統(tǒng)內(nèi)的TCM (Trusted Cryptogr