亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種可信計算中簽發(fā)身份證明證書的方法及裝置的制作方法

文檔序號:7945115閱讀:278來源:國知局

專利名稱::一種可信計算中簽發(fā)身份證明證書的方法及裝置的制作方法
技術(shù)領域
:本發(fā)明涉及可信計算
技術(shù)領域
,尤其涉及一種可信計算中簽發(fā)身份證明證書的方法及裝置。
背景技術(shù)
:TCG(TrustedComputingGroup,可信計算工作組)是一個旨在增強各種異構(gòu)計算平臺安全性的工業(yè)標準化組織,TCG制定了一系列用于開發(fā)TCP(TrustedComputingPlatform,可信計算平臺)所基于的安全增強硬件和軟件的規(guī)范,還發(fā)布了評估標準,以衡量采用TCG技術(shù)的計算設備是否滿足可信要求。TCG定義的TCP是在主板上嵌入TPM(TrustedPlatformModule,可信乎臺模塊),并在軟件層增加了TSS(TrustedSoftwareStack,可信軟件棧),通過TCP和TSS的相互協(xié)作為上層應用程序提供可信計算功能。其中,TCP具有平臺證書,以確認平臺制造商的身份,是X.509屬性證書;每一個TPM都有一個EK證書(EndorsementKeyCredential,簽署證書),由TPM的制造商發(fā)布,說明TPM制造商、TPM型號和版本、EK公鑰等信息,是X509公鑰證書;評估TPM或TCP的實體還會4艮據(jù)可信構(gòu)建沖莫塊各部件的設計和實現(xiàn)符合評估標準,給TPM或TCP簽署一致性證書,是X.509屬性證書。TCP之間需要通過身份證明實現(xiàn)認證和建立信任關(guān)系,現(xiàn)有技術(shù)中,通過TCG規(guī)范定義可信第三方認i正機構(gòu)——隱私CA(CertificationAuthority,認證權(quán)威),來首先認證被驗證方可信計算平臺的真實有效性,然后為其預先生成的AIK密鑰對(AttestationIdentityKey)的乂>鑰簽發(fā)AIKi正書(AttestationIdentityKeyCredential,身份證明證書)。被驗證方TCP需要向驗證方提供AIK證書和用AIK私鑰簽名的完整性度量值,來證明本TPM、TCP和平臺狀態(tài)的可信。驗證方根據(jù)AIK證書中的AIK公鑰從完整性度量值的簽名值中獲得該完整性度量值,然后與重新計算的度量值進行比較,從而判斷TCP是否可信。8其中,完整性度量值是對影響TCP完整性的實體進行度量而生成的?,F(xiàn)有技術(shù)中,隱私CA為TCP簽發(fā)AIK證書的具體過程如圖1所示步驟001,TCP生成一個AIK密鑰對和指定隱私CA的身份綁定值;步驟002,TCP將EK證書、平臺證書、一致性證書、AIK公鑰、身份綁定值加密后發(fā)送給隱私CA;步驟003,隱私CA解密后,確認身份綁定值為自身,然后驗證EK證書、平臺證書和一致性證書確認TCP的真實有效性后,為AIK公鑰簽發(fā)AIK證書,簽發(fā)過程結(jié)束。被驗證方TCP可以分別向驗證方提供AIK證書證明自身的真實有效性和提供用AIK私鑰簽名的完整性度量值證明自身的狀態(tài)可信,而且由于AIK證書包含指定一個具體TCP的特定信息,可以保護隱私信息。但是,由于每個TCP在每次身份證明過程中都采用不同的AIK證書,所以隱私CA需要參與到TCP的每次身份證明過程中,而一個隱私CA的信任域內(nèi)存在大量的TCP,各TCP間為不同的交易行為而需要不斷地進行身份證明,這就對隱私CA的處理速度要求較高,如果不能及時處理TCP的AIK請求,則容易造成簽發(fā)過程的擁塞,而成為整個認證過程中的性能瓶頸??梢姡F(xiàn)有技術(shù)的缺陷在于,隱私CA需要參與到TCP的每次身份證明過程中,負載太大。
發(fā)明內(nèi)容本發(fā)明實施例提供一種可信計算中簽發(fā)身份證明證書的方法及系統(tǒng),可以減輕隱私CA在TCP身份證明過程中的負載。為了解決上述技術(shù)問題,本發(fā)明實施例的技術(shù)方案為一種可信計算中簽發(fā)身份證明證書的方法,包括代理認證權(quán)威接收可信計算平臺提交的身份證明密鑰對的公鑰、有效性證書和代理認證權(quán)威身份綁定值,其中,所述有效性證書是由隱私認證權(quán)威在一驗^t所述可信計算平臺真實有效后簽發(fā)的;如果所述代理認證權(quán)威身份綁定值與所述代理認證權(quán)威自身相匹配,則驗證所述有效性證書是否有效;若有效,則所述代理認證權(quán)威為所述身份證明密鑰對的公鑰簽發(fā)身份證明證書。進一步,所述方法還包括所述代理認證權(quán)威生成所述身份證明證書的聲明文件;采用所述可信計算平臺與所述代理認證權(quán)威之間的會話密鑰對所述身份證明i正書加密;釆用所述有效性證書中有效性密鑰對的公鑰對所述會話密鑰和所述身份證明證書的聲明文件進行加密;將加密后的所述身份證明證書和所述聲明文件發(fā)送至所述可信計算平本發(fā)明實施例還4是供了一種可信計算中簽發(fā)有效性證書的方法,包括隱私認證權(quán)威接收可信計算平臺提交的平臺證書、一致性證書、簽署證書、有效性密鑰對的公鑰和隱私認證權(quán)威身份綁定值;如果所述隱私認證權(quán)威身份綁定值與所述隱私認證權(quán)威自身相匹配,則驗證所述平臺證書、一致性證書和簽署證書是否有效;若有效,則所述隱私認證權(quán)威為所述有效性密鑰對的公鑰簽發(fā)有效性證書。進一步,所述方法還包括所述隱私認證權(quán)威生成所述有效性證書的聲明文件;采用所述隱私認證權(quán)威和所述可信計算平臺之間的會話密鑰對所述有效性證書進行加密;采用所述簽署證書中簽署密鑰對的公鑰對所述會話密鑰和所述有效性證書的聲明文件進行加密;1將加密后的所述有效性證書和所述聲明文件發(fā)送至所述可信計算平臺。本發(fā)明實施例還提供了一種可信計算中獲取身份證明證書的方法,包括可信計算平臺生成身份證明密鑰對和代理認證權(quán)威身份綁定值;向代理認證權(quán)威提交所述身份證明密鑰對的公鑰、預先獲取的有效性證書和代理認證權(quán)威身份綁定值,以請求身份證明證書;接收所述代理認證權(quán)威發(fā)送的身份證明證書及所述身份證明證書的聲明文件;根據(jù)所述聲明文件判斷所述身份證明證書是否為自己所申請的證書,若進一步,在所述向代理認證權(quán)威提交所述身份證明密鑰對的公鑰、預先獲取的有效性證書和代理認證權(quán)威身份綁定值之前,還包括采用所述可信計算平臺與所述代理認證權(quán)威之間的會話密鑰對所述有效性證書、所述身份證明密鑰對的公鑰和所述代理認證權(quán)威身份綁定值加密;采用所述代理認證權(quán)威的公鑰對所述會話密鑰加密。進一步,所述方法還包括所述可信計算平臺向隱私認證權(quán)威請求并獲取所述有效性證書。進一步,所述可信計算平臺向隱私認證權(quán)威請求所述有效性證書包括所述可信計算平臺生成有效性密鑰對和隱私認證權(quán)威身份綁定值;將平臺證書、一致性證書、簽署證書、所述有效性密鑰對的公鑰和所述隱私認證權(quán)威身份綁定值發(fā)送至所述隱私認證權(quán)威。進一步,在所述將平臺證書、一致性證書、簽署證書、所述有效性密鑰對的公鑰和所述隱私認證權(quán)威身份綁定值發(fā)送至所述隱私認證權(quán)威之前,還包括采用所述隱私認證權(quán)威和所述可信計算平臺之間的會話密鑰對所述平臺證書、一致性證書、簽署證書、有效性密鑰對的公鑰和隱私認證權(quán)威身份綁ii定值進行加密;采用所述隱私認證權(quán)威的公鑰對所述隱私認證權(quán)威與可信計算平臺之間的會話密鑰加密。進一步,所述可信計算平臺獲取所述有效性證書包括所述可信計算平臺接收所述隱私認證權(quán)威發(fā)送的有效性證書及所述有效性證書的聲明文件;根據(jù)所述聲明文件判斷所述有效性證書是否為自己所申請的證書,若是,本發(fā)明實施例還提供了一種可信計算中簽發(fā)身份證明證書的裝置,包括第一接收模塊,用于接收可信計算平臺提交的身份證明密鑰對的公鑰、有效性證書和代理認證權(quán)威身份綁定值,其中,所述有效性證書是由隱私認證權(quán)威在驗證所述可信計算平臺真實有效后簽發(fā)的;第一驗證模塊,用于驗證所述代理認證權(quán)威身份綁定值與所述裝置自身是否相匹配,若是,再驗證所述有效性證書是否有效;第一簽發(fā)模塊,用于所述第一驗證模塊在驗證所述有效性證書有效后,為所述身份證明密鑰對的公鑰簽發(fā)身份證明證書。進一步,所述裝置還包括第一生成模塊,用于生成所述身份證明證書的聲明文件;第一加密模塊,用于采用所述可信計算平臺與所述裝置之間的會話密鑰對所述身份證明證書加密;采用所述有效性i正書中有效性密鑰對的公鑰對所述會話密鑰和所述身份證明證書的聲明文件進行加密;第一發(fā)送模塊,用于將加密后的身份證明證書和聲明文件發(fā)送至所述可信計算平臺。本發(fā)明實施例還提供了一種可信計算中簽發(fā)有效性證書的裝置,包括第二接收模塊,用于接收可信計算平臺提交的平臺證書、一致性證書、簽署證書、有效性密鑰對的公鑰和隱私認證權(quán)威身份綁定值;第二驗證模塊,用于驗證所述隱私認證權(quán)威身份綁定值是否與所述裝置自身相匹配,若是,再驗證所述平臺證書、一致性證書和簽署證書是否有效;第二簽發(fā)模塊,用于所述第二驗證模塊在驗證所述平臺證書、一致性證書和簽署證書有效后,為所述有效性密鑰對的公鑰簽發(fā)有效性證書。進一步,所述裝置還包括第二生成模塊,用于生成所述有效性證書的聲明文件;第二加密模塊,用于采用所述裝置和所述可信計算平臺之間的會話密鑰對所述有效性證書進行加密;釆用所述簽署證書中簽署密鑰對的公鑰對所述會話密鑰和所述有效性證書的聲明文件進行加密。第二發(fā)送模塊,用于將加密后的有效性證書和聲明文件發(fā)送至所述可信計算平臺。本發(fā)明實施例還提供了一種可信計算平臺,包括第三生成模塊,用于生成身份證明密鑰對和代理認證權(quán)威身份綁定值;第一請求模塊,用于向代理認證權(quán)威提交所述身份證明密鑰對的公鑰、預先獲取的有效性證書和代理認證權(quán)威身份綁定值,以請求身份證明證書;第三接收模塊,用于接收所述代理認證權(quán)威發(fā)送的身份證明證書及所述身份證明證書的聲明文件;第三驗證模塊,用于根據(jù)所述聲明文件驗證所述身份證明證書是否為所述可信計算平臺所申請的證書,若是,則將所述代理認證權(quán)威發(fā)送的身份證明證書作為所述可信計算平臺的身份證明證書。進一步,還包括第三加密模塊,用于在所述第一請求模塊向代理認證權(quán)威提交所述身份證明密鑰對的公鑰、預先獲取的有效性證書和代理認證權(quán)威身份綁定值之前,采用所述可信計算平臺與所述代理認證權(quán)威之間的會話密鑰對所述有效性證書、所述身份證明密鑰對的公鑰和所述代理認證權(quán)威身份綁定值加密;采用所述代理認證權(quán)威的公鑰對所述會話密鑰加密。進一步,還包括第二請求;漠塊,用于向隱私認證權(quán)威請求所述有效性證書;獲取模塊,用于獲取所述有效性證書。進一步,所述第二請求模塊包括生成單元,用于生成有效性密鑰對和隱私認證權(quán)威身份綁定值;發(fā)送單元,用于將平臺證書、一致性證書、簽署證書、所述有效性密鑰對的公鑰和所述隱私認證權(quán)威身份綁定值發(fā)送至所述隱私認證權(quán)威。進一步,所述第二請求模塊還包括加密單元,用于在所述發(fā)送單元將平臺證書、一致性證書、簽署證書、所述有效性密鑰對的公鑰和所述隱私認證權(quán)威身份綁定值發(fā)送至所述隱私認證權(quán)威之前,采用所述隱私認證權(quán)威和所述可信計算平臺之間的會話密鑰對所述平臺證書、一致性證書、簽署證書、有效性密鑰對的公鑰和隱私認證權(quán)威身份綁定值進行加密;采用所述隱私認證權(quán)威的公鑰對所述隱私認證權(quán)威與可信計算平臺之間的會話密鑰加密。進一步,所述獲^^莫塊,包括接收單元,用于接收所述隱私認證權(quán)威發(fā)送的有效性證書及所述有效性證書的聲明文件;驗證單元,用于根據(jù)所述聲明文件驗證所述有效性證書是否為所述可信計算平臺所申請的證書,若是,則將所述有效性證書作為所述可信計算平臺的有效性i正書。本發(fā)明實施例通過將對TPM和TCP的真實有效性驗證和AIK證書的簽發(fā)分開,分別由隱私CA和代理CA(代理認證權(quán)威)來完成,即由代理CA根據(jù)TCP預先向隱私CA申請的有效性證書來簽發(fā)AIK證書,減小了隱私CA的負載,而且有效性證書只是用來證明TCP的真實有效性,可以重復使用,這樣隱私CA不用每次都參與到TCP的身份證明中,大大減小了隱私CA的證書簽發(fā)量,更加減小了隱私CA的負載。圖l是現(xiàn)有技術(shù)中一種簽發(fā)身份證明證書的方法流程圖2是本發(fā)明實施例一種可信計算中簽發(fā)身份證明證書的方法流程圖3是本發(fā)明實施例另一種可信計算中簽發(fā)身份證明證書的方法流程圖4是本發(fā)明實施例一種可信計算中簽發(fā)VK證書的方法流程圖5是本發(fā)明實施例另一種可信計算中簽發(fā)VK證書的方法流程圖6是本發(fā)明實施例一種獲取AIK證書的方法流程圖7是本發(fā)明實施例一種獲取VK證書的方法流程圖8是本發(fā)明實施例中EK證書、VK證書與AIK證書之間的對應關(guān)系示意圖9是本發(fā)明實施例一種可信計算中簽發(fā)AIK證書的裝置結(jié)構(gòu)框圖;圖10是本發(fā)明實施例一種可信計算中簽發(fā)VK證書的裝置結(jié)構(gòu)框圖;圖11是本發(fā)明實施例一種TCP結(jié)構(gòu)框圖;圖12是本發(fā)明實施例另一種TCP結(jié)構(gòu)框圖。具體實施例方式為了使本領域技術(shù)人員能進一步了解本發(fā)明的特征及技術(shù)內(nèi)容,請參閱以下有關(guān)本發(fā)明的詳細說明與附圖,附圖僅提供參考與說明,并非用來限制本發(fā)明。下面結(jié)合附圖和實施例,對本發(fā)明的技術(shù)方案進行描述。參照圖2,為本發(fā)明實施例一種可信計算中簽發(fā)AIK證書的方法流程圖。本發(fā)明實施例中,以代理CA為主體,描述了為TCP簽發(fā)AIK證書的方法,其中代理CA為隱私CA授權(quán)的,具有證書簽發(fā)能力的可信第三方,該方法包括15步驟201,代理CA接收TCP提交的AIK密鑰對的公鑰、VK證書(ValidityKeyCredential,有效性證書)和代理CA身份綁定值,其中,所述VK證書是由隱私CA在驗證所述TCP真實有效后簽發(fā)的;其中,TCP提交的AIK密鑰對的公鑰和代理CA身份綁定值是由TCP在進行身份證明時生成的,代理CA身份綁定值可以唯一指定該TCP糸:t提交申請的代理CA。VK證書是預先向隱私CA申請的,具體的申請過程請參照后續(xù)實施例的說明。VK證書可用于表明所述TCP的真實有效性,是X,509公鑰證書。VK證書所包含的基本字段及要求如表1所示。表lVK證書的基本字段<table>tableseeoriginaldocumentpage16</column></row><table><table>tableseeoriginaldocumentpage17</column></row><table>在本步驟中如果TCP提交的AIK密鑰對的公鑰、VK證書和代理CA身份綁定值是經(jīng)過加密處理的,那么在本步驟之前還可以包括解密步驟,以得到AIK密鑰對的公鑰、VK證書和代理CA身份綁定值。步驟202,如果所述代理CA身份綁定值與所述代理CA自身相匹配,則驗證所述VK證書是否有效;本步驟中若身份綁定值與代理CA自身不匹配,則說明TCP的名夂提交方一一本代理CA,因為代理CA可能有多個,所以當結(jié)果為不匹配時,可以將TCP的提交信息返回,或發(fā)布錯誤信息,告知TCP進行正確提交。當結(jié)果為匹配時再進行VK證書的驗證。步驟203,若有效,則所述代理CA為所述AIK密鑰對的公鑰簽發(fā)AIK證書。完成AIK證書的簽發(fā)。本發(fā)明實施例通過將對TPM和TCP的真實有效性驗證和AIK證書的簽發(fā)分開,分別由隱私CA和代理CA來完成,減小了隱私CA的負載。且VK證書用來證明TCP的真實有效性,可以重復使用,這樣就減小了隱私CA的證書簽發(fā)量,更加減小了隱私CA的負載。在本發(fā)明的另一實施例中,如圖3所示,還可以包括以下后續(xù)步驟步驟301,所述代理CA生成所述AIK證書的聲明文件;該聲明文件是對AIK密鑰的標識作哈希運算得到的摘要值。根據(jù)該聲明文件可以獲知AIK證書的相關(guān)信息。步驟302,采用所述TCP與所述代理CA之間的會話密鑰對所述AIK證書加密;采用所述VKi正書中VK密鑰對的公鑰對所述會話密鑰和所述AIK證書的聲明文件進行加密;通過采用上述加密方法可以保證信息安全,同時采用VK密鑰對的公鑰進4亍加密,只有VK密鑰對的私鑰才可以進行解密,而VK密鑰對的私鑰只有TCP存有,更保證了信息的唯一指向性和安全性。步驟303,將加密后的AIK證書和聲明文件發(fā)送至所述TCP。上述實施例對AIK證書的簽發(fā)過程進行了詳細描述,以下對如何獲取VKi正書進^f亍i兌明。參照圖4,為本發(fā)明實施例一種可信計算中簽發(fā)VK證書的方法流程圖。本發(fā)明實施例中以隱私CA為主體,說明如何向TCP簽發(fā)VK證書。該方法包括步驟401,隱私CA接收TCP提交的平臺證書、一致性證書、EK證書、VK密鑰對的公鑰和隱私CA身份綁定值;其中,VK密鑰對的公鑰和隱私CA身份綁定值是由TCP在申請VK證書時生成的,該隱私CA身份綁定值與代理CA身份綁定值類似,只是兩個身份綁定值的數(shù)值不同,本實施例中的身份綁定值可以唯一指定TCP欲提交申請VKi正書的隱私CA。同樣,若TCP提交的平臺證書、一致性證書、EK證書、VK密鑰對的公鑰和隱私CA身份綁定值是經(jīng)過加密處理的,那么在本步驟之前還可以包括解密步驟,以得到平臺證書、一致性證書、EK證書、VK密鑰對的公鑰和隱私CA身份綁定值。步驟402,如果所述隱私CA身份綁定值與所述隱私CA自身相匹配,則驗證所述平臺證書、一致性證書和EK證書是否有效;本步驟中若身份綁定值與隱私CA自身不匹配,則說明TCP的預提交方為非本隱私CA,本隱私CA可以將TCP的提交信息返回,或發(fā)送錯誤報告,讓TCP確認。步驟403,若有效,則所述隱私CA為所述VK密鑰對的公鑰簽發(fā)VK證書。VK證書的簽發(fā)過程結(jié)束。在本發(fā)明實施例中,隱私CA負責驗證TCP的真實有效性、簽發(fā)VK證18書,與現(xiàn)有技術(shù)中的隱私CA相比,負載大大減小。如果用戶希望實現(xiàn)最大化隱私保護,則TCP可以用同一個VK證書向每個代理CA請求一個AIK證書,此時代理CA只知道VK證書與AIK證書間——對應的關(guān)系,隱私保護最大化,并且隱私CA的VK證書簽發(fā)量是現(xiàn)有技術(shù)中AIK證書簽發(fā)量的N分之一,其中N為代理CA的數(shù)量;如果用戶自身的策略為不實現(xiàn)最大化隱私,則TCP可以重復利用一個VK證書從相同代理CA處請求AIK證書,此時VK證書的簽發(fā)量將更小??傊?,TCP不需要為每次認證請求一個新的VK證書,大大減小了隱私CA的負載。在本發(fā)明的另一實施例中,如圖5所示,隱私CA還可以進行以下后續(xù)步驟步驟501,所述隱私CA生成所述VK證書的聲明文件;該聲明文件與上述實施例中的聲明文件類似,區(qū)別只在于,該聲明文件是對VK密鑰的標識作哈希運算得到的摘要值,可以提供有關(guān)VK證書的相關(guān)"息。步驟502,采用所述隱私CA和所述TCP之間的會話密鑰對所述VK證書進行加密;采用所述EK證書中EK密鑰對的公鑰對所述會話密鑰和所述VK證書的聲明文件進行加密;與前述實施例類似,通過采用上述加密方法可以保證信息安全,同時釆用EK密鑰對的公鑰進行加密,只有EK密鑰對的私鑰才可以進行解密,而EK密鑰對的私鑰只有TCP存有,更保證了信息的唯一指向性和安全性。步驟503,將加密后的VK證書和聲明文件發(fā)送至所述TCP。上述實施例對如何簽發(fā)VK證書進行了詳細描述,以下對TCP如何獲得AIK證書進行解釋。參照圖6,為本發(fā)明實施例一種獲取AIK證書的方法流程圖。本實施例以TCP為主體,描述了如何申請并獲得AIK證書的方法,該方法包括19步驟601,TCP生成AIK密鑰對和代理CA身份綁定值;本步驟中,可由TCP的TPM來生成AIK密鑰對和身份綁定值,代理CA身份綁定值與前述實施例中類似,此處不再贅述。步驟602,向代理CA提交所述AIK密鑰對的公鑰、預先獲取的VK證書和代理CA身份綁定值,以請求AIK證書;本步驟中,可由TCP的TSS來收集該AIK密鑰對公鑰、身份綁定值和VK證書,然后提交給代理CA,VK證書的具體請求獲取過程在后續(xù)實施例中進行描述。為了增強信息安全性,可以在提交之前將需要提交的內(nèi)容進行加密采用所述TCP與所述代理CA之間的會話密鑰對所述VK證書、所述AIK密鑰對的公鑰和所述代理CA身份綁定值加密;采用所述代理CA的公鑰對所述會話密鑰加密。采用上述加密方法可以增強信息的安全性,而且釆用代理CA的^H月加密,只有代理CA的私鑰才可以進行解密,而代理CA私鑰只保存在代理CA處,更增強了信息的安全性,以及TCP和代理CA的可信程度。代理CA可以先用私鑰解密再用代理CA和TCP之間的會話密鑰解密獲得TCP提交的信息。在代理CA驗證了VK證書有效后,才會簽發(fā)AIK證書,代理CA的-險i正過程請參照前述實施例。步驟603,接收所述代理CA發(fā)送的AIK證書及所述AIK證書的聲明文件;本步驟的AIK證書是在代理CA驗證VK證書的有效后,為TCP簽發(fā)的,同時也生成AIK證書的聲明文件,如果如前述實施例所述,代理CA對該AIK證書及其聲明文件進行了加密,則本步驟中TCP需要先進行解密,才可以得到AIK證書及其聲明文件。若代理CA采用如前述實施例所述的加密方法進行加密,則在本步驟中,TCP需要先采用VK密鑰對的私鑰解密獲得聲明文件,然后根據(jù)聲明文件確認該證書為所要申請的證書,再采用TCP與代理CA之間的會話密鑰解密出AIK證書。本步驟中,也可以先解密出聲明文件,然后執(zhí)行步驟604。步驟604,根據(jù)所述聲明文件判斷所述AIK證書是否為自己所申請的證書,若是,則將所述代理CA發(fā)送的AIK證書作為自己的AIK證書。若在上一步驟中只解密出聲明文件,則在根據(jù)聲明文件確認是TCP所要申請的AIK證書時,再解密出AIK證書。在被驗證方TCP獲得了AIK證書之后,首先TCP用AIK密鑰對的私鑰對完整性度量值進行簽名,然后將獲得的AIK證書和簽名后的完整性度量值,還有SML(StorageMeasurementLog,存儲度量日志)等信息提供給驗證方,驗證方通過AIK證書的AIK公鑰從完整性度量值的簽名值中獲得該完整性度量值,然后對度量值進行重新計算后,與已獲得的完整性度量值進行比較,若一致,則說明被驗證TCP的完整性沒有被破壞,該TCP可信,否則認為該TCP可信環(huán)境,皮《皮壞。以下對步驟602中VK證書的獲取進行詳細描述。參照圖7,為本發(fā)明實施例一種VK證書的獲取方法流程圖。該方法包括步驟701,所述TCP生成VK密鑰對和隱私CA身份綁定值;可由TCP中的TPM來生成VK密鑰對,同時產(chǎn)生一個身4分綁定值,該身份綁定值可以唯一指定隱私CA。步驟702,將平臺證書、一致性i正書、EK證書、所述VK密鑰對的公鑰和所述隱私CA身份綁定值發(fā)送至所述隱私CA;可以由TCP中的TSS來收集能^^明TCP和TPM真實有效性的i正據(jù),包括平臺i正書、一致性證書和EKi正書。在本步驟中,為了增強TCP的隱私信息,可以在發(fā)送至隱私CA之前,對發(fā)送的信息進行加密采用所述隱私CA和所述TCP之間的會話密鑰對所述平臺證書、一致性證書、EK證書、VK密鑰對的公鑰和隱私CA身份綁定值進行加密;采用所述隱私CA的公鑰對所述隱私CA與TCP之間的會話密鑰加密。采用上述加密方法,只有隱私CA才可以解密出TCP提交的內(nèi)容,保證了信息安全。至于隱私CA可以先用自己的私鑰解密,再用隱私CA與TCP之間的會話密鑰解密出TCP提交的內(nèi)容。隱私CA在對TCP發(fā)送的內(nèi)容進行驗證,確認TCP真實有效后,再簽發(fā)VK證書,具體的隱私CA的—驗i正過程可以參照前述實施例。步驟703,TCP接收所述隱私CA發(fā)送的VK證書及所述VK證書的聲明文件;如果隱私CA對發(fā)送的VK證書及VK證書的聲明文件是進行加密的,則在本步驟中,先進行解密獲得VK證書和聲明文件,若隱私CA采用前述實施例所述的加密方法,則TCP需要采用EK密鑰對的私鑰解密出聲明文件,然后再用TCP和隱私CA之間的會話密鑰解密出VK^正書。也可以先解密出聲明文件后,進行步驟704。步驟704,才艮據(jù)所述聲明文件判斷所述VK證書是否為自己所申請的證書,若是,則將所述隱私CA發(fā)送的VK證書作為自己的VK證書。若上述步驟中只解密出聲明文件,則在本步驟中根據(jù)聲明文件驗證了加密的證書是TCP所申請的證書,則再用TCP和隱私CA之間的會話密鑰解密出VKi正書。前述各實施例中,將對TPM和TCP的真實有效性—瞼證和AIK證書的簽發(fā)分開進行,分別由隱私CA和代理CA來完成,而且一個TCP可以請求一個或多個VK證書,這些VK證書可以在每一次的身份證明過程中重復使用,也即在EK證書和VK證書、AIK證書之間形成了如圖8所示的對應關(guān)系。這樣隱私CA的工作只是為每個TCP簽發(fā)一個或幾個VK證書,而不參與到每個TCP的身份證明中,大大降低了隱私CA的負載,解決了隱私CA的性能瓶頸問題。而且,在一個TCP請求了多個VK證書的情況下,它可以用同一個VK證書向不同的代理CA請求AIK證書,或周期性的輪換使用多個VK書,從而降低了自己的交易行為被追蹤的可能性,因此本發(fā)明實施例中的隱私CA也具有更強的隱私保護能力。同時,由于隱私CA和代理CA分別完成TPM和TCP的真實有效性-驗i正與AIK證書的簽發(fā),隱私CA不能將EK證書和AIK證書關(guān)聯(lián),代理CA不能將VK證書與EK證書關(guān)聯(lián),所以隱私CA無法向驗證者提供任何有關(guān)TCP的AIK證書的信息,增強了隱私保護能力,使被驗證方能夠信任隱私CA,而且,在獲取VK證書的過程中,通過加密措施,只要TCP的EK私鑰是安全的,則只有真實的TCP中的TPM能夠解密出VK證書,使驗證方也能夠信任隱私CA,從而提供了合適的隱私CA商業(yè)模型。通過設置VK證書,也可便于隱私CA根據(jù)自己的策略靈活的設定VK證書的請求閾值,不再需要根據(jù)所有TCP的證明頻度設定一個很大的能滿足所有TCP需求的值,因為VKi正書可以重復使用,所以設定VK證書的請求閾值后也不會阻礙TCP間交易的正常進行,也就消除了惡意TCP不斷送身份證明請求而向隱私CA進行DOS攻擊。參照圖9,為本發(fā)明實施例一種可信計算中簽發(fā)AIK證書的裝置結(jié)構(gòu)框圖。該裝置包括第一接收模塊901、第一驗證模塊902和第一簽發(fā)模塊903。其中,第一接收模塊901,用于接收TCP提交的AIK密鑰對的公鑰、VK證書和代理CA身份綁定值,其中,所述VK證書是由隱私CA在驗證所述TCP真實有效后簽發(fā)的;第一驗證模塊902,用于驗證所述代理CA身份綁定值與所述裝置自身是否相匹配,若是,再驗證所述VK證書是否有效;第一簽發(fā)模塊903,用于所述第一驗證模塊在驗證所述VK證書有效后,為所述AIK密鑰對的公鑰簽發(fā)AIK證書。本發(fā)明的另一實施例中,該裝置還可以包括第一生成模塊、第一加密模塊和第一發(fā)送模塊。第一生成模塊,用于生成所述AIK證書的聲明文件;第一加密模塊,用于采用所述TCP與所述裝置之間的會話密鑰對所述AIK證書加密;采用所述VK證書中VK密鑰對的公鑰對所述會話密鑰和所述AIK證書的聲明文件進行加密;第一發(fā)送模塊,用于將加密后的AIK證書和聲明文件發(fā)送至所述23TCP。參照圖10,為本發(fā)明實施例一種可信計算中簽發(fā)VK證書的裝置結(jié)構(gòu)框圖。該裝置包括第二接收模塊1001、第二驗證模塊1002和第二簽發(fā)模塊1003。第二接收模塊1001,用于接收TCP提交的平臺證書、一致性證書、EK證書、VK密鑰對的公鑰和隱私CA身份綁定值;第二驗證模塊1002,用于驗證所述隱私CA身份綁定值是否與所述裝置自身相匹配,若是,再驗證所述平臺證書、一致性證書和EK證書是否有效;第二簽發(fā)模塊1003,用于所述第二驗證才莫塊在驗證所述平臺證書、一致性證書和EK證書有效后,為所述VK密鑰對的公鑰簽發(fā)VK證書。本發(fā)明的另一實施例中,該裝置還可以包括第二生成模塊、第二加密模塊和第二發(fā)送模塊。第二生成模塊,用于生成所述VK證書的聲明文件;第二加密模塊,用于采用所述裝置和所述TCP之間的會話密鑰對所述VK證書進行加密;釆用所述EK證書中EK密鑰對的公鑰對所述會話密鑰和所述VK證書的聲明文件進行加密。第二發(fā)送模塊,用于將加密后的VK證書和聲明文件發(fā)送至所述TCP。參照圖11,是本發(fā)明實施例一種TCP結(jié)構(gòu)框圖。該TCP包括第三生成模塊IIOI、第一請求模塊1102、第三接收模塊1103和第三驗證模塊1104。第三生成模塊1101,用于生成AIK密鑰對和代理CA身份綁定值;第一請求模塊1102,用于向代理CA提交所述AIK密鑰對的公鑰、預先獲取的VK證書和代理CA身份綁定值,以請求AIK證書;第三接收模塊1103,用于接收所述代理CA發(fā)送的AIK證書及所述AIK證書的聲明文件;第三驗證模塊1104,用于根據(jù)所述聲明文件驗證所述AIK證書是否為所述TCP所申請的證書,若是,則將所述代理CA發(fā)送的AIK證書作為所述TCP的AIK證書。本發(fā)明的另一實施例中,該裝置還可以包括第三加密模塊,用于在所述第一請求模塊向代理CA提交所述AIK密鑰對的公鑰、預先獲取的VK證書24和代理CA身份綁定值之前,釆用所述TCP與所述代理CA之間的會話密鑰對所述VK證書、所述AIK密鑰對的公鑰和所述代理CA身份綁定值加密;采用所述代理CA的公鑰對所述會話密鑰加密。如圖12所示,本發(fā)明的另一實施例中,該裝置還可以包括第二請求模塊1201和獲耳又沖莫塊1202。第二請求模塊1201,用于向隱私CA請求所述VK證書;獲取模塊1202,用于獲取所述VK證書。本實施例中,第二請求模塊1201還可以包括生成單元1211和發(fā)送單元1221。生成單元1211,用于生成VK密鑰對和隱私CA身份綁定值;發(fā)送單元1221,用于將平臺證書、一致性證書、EK證書、所述VK密鑰對的公鑰和所述隱私CA身份綁定值發(fā)送至所述隱私CA。還可以再包括加密單元1231,用于在所述發(fā)送單元將平臺證書、一致性證書、EK證書、所述VK密鑰對的公鑰和所述隱私CA身份綁定值發(fā)送至所述隱私CA之前,采用所述隱私CA和所述TCP之間的會話密鑰對所述平臺證書、一致性證書、EK證書、VK密鑰對的公鑰和隱私CA身份綁定值進行加密;采用所述隱私CA的公鑰對所述隱私CA與TCP之間的會話密鑰加密。本實施例中,獲耳JO溪塊1202也還可以包括接收單元1212和驗證單元1222。接收單元1212,用于接收所述隱私CA發(fā)送的VK證書及所述VK證書的聲明文件;驗證單元1222,用于根據(jù)所述聲明文件驗證所述VK證書是否為所述TCP所申請的證書,若是,則將所述VK證書作為所述TCP的VK證書。上述裝置實施例請參照前述方法實施例,此處不再贅述。上述方法實施例和裝置實施例的任意組合也屬于本發(fā)明的保護范圍。以上所述的本發(fā)明實施方式,并不構(gòu)成對本發(fā)明保護范圍的限定。任何在本發(fā)明的精神和原則之內(nèi)所作的修改、等同替換和改進等,均應包含在本發(fā)明的權(quán)利要求保護范圍之內(nèi)權(quán)利要求1、一種可信計算中簽發(fā)身份證明證書的方法,其特征在于,所述方法包括代理認證權(quán)威接收可信計算平臺提交的身份證明密鑰對的公鑰、有效性證書和代理認證權(quán)威身份綁定值,其中,所述有效性證書是由隱私認證權(quán)威在驗證所述可信計算平臺真實有效后簽發(fā)的;如果所述代理認證權(quán)威身份綁定值與所述代理認證權(quán)威自身相匹配,則驗證所述有效性證書是否有效;若有效,則所述代理認證權(quán)威為所述身份證明密鑰對的公鑰簽發(fā)身份證明證書。2、根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括所述代理認證權(quán)威生成所述身份證明證書的聲明文件;采用所述可信計算平臺與所述代理認證權(quán)威之間的會話密鑰對所述身份i正明i正書加密;采用所述有效性證書中有效性密鑰對的公鑰對所述會話密鑰和所述身份證明證書的聲明文件進行加密;將加密后的所述身份證明證書和所述聲明文件發(fā)送至所述可信計算平臺3、一種可信計算中簽發(fā)有效性證書的方法,其特征在于,所述方法包括隱私認證權(quán)威接收可信計算平臺提交的平臺證書、一致性證書、簽署證書、有效性密鑰對的公鑰和隱私認證權(quán)威身份綁定值;如果所述隱私認證權(quán)威身份綁定值與所述隱私認證權(quán)威自身相匹配,則驗證所述平臺證書、一致性證書和簽署證書是否有效;若有效,則所述隱私認證權(quán)威為所述有效性密鑰對的公鑰簽發(fā)有效性證書。4、根據(jù)權(quán)利要求3所述的方法,其特征在于,所述方法還包括所述隱私認證權(quán)威生成所述有效性證書的聲明文件;采用所述隱私認證權(quán)威和所述可信計算平臺之間的會話密鑰對所述有效性證書進行加密;采用所述簽署證書中簽署密鑰對的公鑰對所述會話密鑰和所述有效性證書的聲明文件進行加密;將加密后的所述有效性證書和所述聲明文件發(fā)送至所述可信計算平臺。5、一種可信計算中獲取身份證明證書的方法,其特征在于,所述方法包括可信計算平臺生成身份證明密鑰對和代理認證權(quán)威身份綁定值;.向代理認證權(quán)威提交所述身份證明密鑰對的公鑰、預先獲取的有效性證書和代理認證權(quán)威身份綁定值,以請求身份證明證書;接收所述代理認證權(quán)威發(fā)送的身份證明證書及所述身份證明證書的聲明文件;根據(jù)所述聲明文件判斷所述身份證明證書是否為自己所申請的證書,若是,則將所述代理認證權(quán)威發(fā)送的身份證明證書作為自己的身份證明證書。6、根據(jù)權(quán)利要求5所述的方法,其特征在于,在所述向代理認證權(quán)威提交所述身份證明密鑰對的公鑰、預先獲取的有效性證書和代理認證權(quán)威身份綁定值之前,還包括采用所述可信計算平臺與所述代理認證權(quán)威之間的會話密鑰對所述有效性證書、所述身份證明密鑰對的公鑰和所述代理認證權(quán)威身份綁定值加密;采用所述代理認證權(quán)威的公鑰對所述會話密鑰加密。7、根據(jù)權(quán)利要求5或6所述的方法,其特征在于,所述方法還包括所述可信計算平臺向隱私認證權(quán)威請求并獲取所述有效性證書。8、根據(jù)權(quán)利要求7所述的方法,其特征在于,所述可信計算平臺向隱私認證權(quán)威請求所述有效性證書包括所述可信計算平臺生成有效性密鑰對和隱私認證權(quán)威身份綁定值;將平臺證書、一致性證書、簽署證書、所述有效性密鑰對的公鑰和所述隱私認證權(quán)威身份綁定值發(fā)送至所述隱私認證權(quán)威。9、根據(jù)權(quán)利要求8所述的方法,其特征在于,在所述將平臺證書、一致性證書、簽署證書、所述有效性密鑰對的公鑰和所述隱私認證權(quán)威身份綁定值發(fā)送至所述隱私認證權(quán)威之前,還包括采用所述隱私認證權(quán)威和所述可信計算平臺之間的會話密鑰對所述平臺證書、一致性證書、簽署證書、有效性密鑰對的公鑰和隱私認證權(quán)威身份綁定值進行加密;采用所述隱私認證權(quán)威的公鑰對所述隱私認證權(quán)威與可信計算平臺之間的會話密鑰加密。10、根據(jù)權(quán)利要求7所述的方法,其特征在于,所述可信計算平臺獲取所述有效性^正書包括所述可信計算平臺接收所述隱私認證權(quán)威發(fā)送的有效性證書及所述有效性證書的聲明文件;根據(jù)所述聲明文件判斷所述有效性證書是否為自己所申請的證書,若是,則將所述隱私認證權(quán)威發(fā)送的有效性證書作為自己的有效性證書。11、一種可信計算中簽發(fā)身份證明證書的裝置,其特征在于,所述裝置包括第一接收模塊,用于接收可信計算平臺提交的身份證明密鑰對的公鑰、有效性證書和代理認證權(quán)威身份綁定值,其中,所述有效性證書是由隱私認證權(quán)威在驗證所述可信計算平臺真實有效后簽發(fā)的;第一驗證模塊,用于驗證所述代理認證權(quán)威身份綁定值與所述裝置自身是否相匹配,若是,再驗證所述有效性證書是否有效;第一簽發(fā)模塊,用于所述第一驗證模塊在驗證所述有效性證書有效后,為所述身份證明密鑰對的公鑰簽發(fā)身份證明證書。12、根據(jù)權(quán)利要求ll所述的裝置,其特征在于,所述裝置還包括第一生成模塊,用于生成所述身份證明證書的聲明文件;第一加密模塊,用于采用所述可信計算平臺與所述裝置之間的會話密鑰對所述身份證明證書加密;采用所述有效性證書中有效性密鑰對的公鑰對所述會話密鑰和所述身份證明證書的聲明文件進行加密;第一發(fā)送模塊,用于將加密后的身份證明證書和聲明文件發(fā)送至所述可信計算平臺。13、一種可信計算中簽發(fā)有效性證書的裝置,其特征在于,所述裝置包括第二接收模塊,用于接收可信計算平臺提交的平臺證書、一致性證書、簽署證書、有效性密鑰對的公鑰和隱私認證權(quán)威身份綁定值;第二驗證模塊,用于驗證所述隱私認證權(quán)威身份綁定值是否與所述裝置自身相匹配,若是,再驗證所述平臺證書、一致性證書和簽署證書是否有效;第二簽發(fā)模塊,用于所述第二驗證模塊在驗證所述平臺證書、一致性證書和簽署證書有效后,為所述有效性密鑰對的公鑰簽發(fā)有效性證書。14、根據(jù)權(quán)利要求13所述的裝置,其特征在于,所述裝置還包括第二生成模塊,用于生成所述有效性證書的聲明文件;第二加密模塊,用于采用所述裝置和所述可信計算平臺之間的會話密鑰對所述有效性證書進行加密;采用所述簽署證書中簽署密鑰對的公鑰對所述會話密鑰和所述有效性證書的聲明文件進行加密。第二發(fā)送模塊,用于將加密后的有效性證書和聲明文件發(fā)送至所述可信計算平臺。15、一種可信計算平臺,其特征在于,包括第三生成模塊,用于生成身份證明密鑰對和代理認證權(quán)威身份綁定值;第一請求模塊,用于向代理認證權(quán)威提交所述身份證明密鑰對的公鑰、預先獲取的有效性證書和代理認證權(quán)威身份綁定值,以請求身份證明證書;第三接收模塊,用于接收所述代理認證權(quán)威發(fā)送的身份證明證書及所述身份證明證書的聲明文件;第三驗證模塊,用于根據(jù)所述聲明文件驗證所述身份證明證書是否為所述可信計算平臺所申請的證書,若是,則將所述代理認證權(quán)威發(fā)送的身份證明證書作為所述可信計算平臺的身份證明證書。16、根據(jù)權(quán)利要求15所述的可信計算平臺,其特征在于,還包括第三加密模塊,用于在所述第一請求模塊向代理認證權(quán)威提交所述身份證明密鑰對的公鑰、預先獲取的有效性證書和代理認證權(quán)威身份綁定值之前,采用所述可信計算平臺與所述代理認證權(quán)威之間的會話密鑰對所述有效性證書、所述身份證明密鑰對的公鑰和所述代理認證權(quán)威身份綁定值加密;采用所述代理認證權(quán)威的公鑰對所述會話密鑰加密。17、根據(jù)權(quán)利要求15或16所述的可信計算平臺,其特征在于,還包括第二請求模塊,用于向隱私認證權(quán)威請求所述有效性證書;獲取模塊,用于獲取所述有效性證書。18、根據(jù)權(quán)利要求17所述的可信計算平臺,其特征在于,所述第二請求模塊包括生成單元,用于生成有效性密鑰對和隱私認證權(quán)威身份綁定值;發(fā)送單元,用于將平臺證書、一致性證書、簽署證書、所述有效性密鑰對的公鑰和所述隱私認證權(quán)威身份綁定值發(fā)送至所述隱私認證權(quán)威。19、根據(jù)權(quán)利要求18所述的可信計算平臺,其特征在于,所述第二請求模塊還包括加密單元,用于在所述發(fā)送單元將平臺證書、一致性證書、簽署證書、所述有效性密鑰對的公鑰和所述隱私認證權(quán)威身份綁定值發(fā)送至所述隱私認證權(quán)威之前,采用所述隱私認證權(quán)威和所述可信計算平臺之間的會話密鑰對所述平臺證書、一致性證書、簽署證書、有效性密鑰對的公鑰和隱私認證權(quán)威身份綁定值進行加密;采用所述隱私認證權(quán)威的公鑰對所述隱私認證權(quán)威與可信計算平臺之間的會話密鑰加密。20.根據(jù)權(quán)利要求17所述的可信計算平臺,其特征在于,所述獲取模塊,包括接收單元,用于接收所述隱私認證權(quán)威發(fā)送的有效性證書及所述有效性證書的聲明文件;驗證單元,用于根據(jù)所述聲明文件驗證所述有效性證書是否為所述可信計算平臺所申請的證書,若是,則將所述有效性證書作為所述可信計算平臺的有效性證書。全文摘要本發(fā)明提供一種可信計算中簽發(fā)身份證明證書的方法及裝置,該方法包括代理認證權(quán)威接收可信計算平臺提交的身份證明密鑰對的公鑰、有效性證書和代理認證權(quán)威身份綁定值,其中,所述有效性證書是由隱私認證權(quán)威在驗證所述可信計算平臺真實有效后簽發(fā)的;如果所述代理認證權(quán)威身份綁定值與所述代理認證權(quán)威自身相匹配,則驗證所述有效性證書是否有效;若有效,則所述代理認證權(quán)威為所述身份證明密鑰對的公鑰簽發(fā)身份證明證書。本發(fā)明實施例通過將對可信計算平臺的真實有效性驗證和身份證明證書的簽發(fā)分開,分別由隱私認證權(quán)威和代理認證權(quán)威完成,且有效性證書可重復利用,這樣大大減小了隱私認證權(quán)威的證書簽發(fā)量,減輕了隱私認證權(quán)威的負載。文檔編號H04L9/28GK101488851SQ20091000925公開日2009年7月22日申請日期2009年2月25日優(yōu)先權(quán)日2009年2月25日發(fā)明者周雁舟,戶家富,李立新,李超零,郭錦娣申請人:中國人民解放軍信息工程大學
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1