專利名稱:一種基于可信計(jì)算的認(rèn)證系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種基于可信計(jì)算的認(rèn)證系統(tǒng)及方法。
背景技術(shù):
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,園區(qū)網(wǎng)中的各種網(wǎng)絡(luò)應(yīng)用也越來越多,大部分系統(tǒng)都提供了登錄窗口,要求用戶輸入用戶名和口令,只有被授權(quán)的用戶才能訪問受控資源。每個(gè)應(yīng)用系統(tǒng)都擁有獨(dú)立的身份認(rèn)證機(jī)制,在進(jìn)入不同的應(yīng)用系統(tǒng)時(shí)都要重新提交自己的身份標(biāo)識來通過系統(tǒng)的認(rèn)證,這樣會(huì)導(dǎo)致以下后果
用戶需要設(shè)置大量的用戶名和密碼,容易造成混淆;
頻繁的輸入用戶名和口令,會(huì)增大相應(yīng)用戶口令被破解的機(jī)率;· 用戶為了方便,往往會(huì)選擇簡單信息作為口令或者設(shè)置相同的口令,這樣將會(huì)帶來很大的安全隱患;
用戶及口令被破解后,可在任何一臺電腦上使用,對于用戶網(wǎng)絡(luò)交易存在很大安全隱
串
■/Qi、O出于效率和安全性因素的考慮,人們提出了新認(rèn)證方案,即用戶在申請賬號的同時(shí),還需要將賬號綁定到專用的設(shè)備同時(shí)使用,用戶只需在網(wǎng)絡(luò)中主動(dòng)進(jìn)行身份認(rèn)證,隨后便可以訪問其被授權(quán)的所有網(wǎng)絡(luò)資源,而不需要再參與其他的身份認(rèn)證過程。但是傳統(tǒng)的認(rèn)證存在以下弊端
無法保證終端是否可信;
無法保證認(rèn)證服務(wù)器自身的可信;
無法保證證書服務(wù)器自身的可信;
無法保證應(yīng)用服務(wù)器自身的可信。因此,增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)認(rèn)證的可信性、安全性是當(dāng)前認(rèn)證領(lǐng)域亟待解決的問題之
o
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種基于可信計(jì)算的認(rèn)證系統(tǒng)及方法,提高計(jì)算機(jī)網(wǎng)絡(luò)認(rèn)證的可信性、安全性。為解決上述技術(shù)問題,本發(fā)明提出了一種基于可信計(jì)算的認(rèn)證系統(tǒng),包括可信終端、可信證書服務(wù)器、可信認(rèn)證服務(wù)器,所述可信終端、所述可信證書服務(wù)器和所述可信認(rèn)證服務(wù)器中均具有可信計(jì)算模塊,所述可信終端分別與所述可信證書服務(wù)器、所述可信認(rèn)證服務(wù)器無線連接。進(jìn)一步地,上述系統(tǒng)還可具有以下特點(diǎn),還包括可信應(yīng)用服務(wù)器,所述可信應(yīng)用服務(wù)器中具有可信計(jì)算模塊,所述可信應(yīng)用服務(wù)器分別與所述可信終端、可信認(rèn)證服務(wù)器無線連接。
進(jìn)一步地,上述系統(tǒng)還可具有以下特點(diǎn),還包括可信完整性驗(yàn)證服務(wù)器,用于對所述可信終端平臺進(jìn)行完整性驗(yàn)證,所述可信完整性驗(yàn)證服務(wù)器中具有可信計(jì)算模塊,所述可信完整性驗(yàn)證服務(wù)器與所述可信認(rèn)證服務(wù)器無線連接。為解決上述技術(shù)問題,還本發(fā)明提出了一種基于可信計(jì)算的認(rèn)證方法,基于上述任一項(xiàng)所述的基于可信計(jì)算的認(rèn)證系統(tǒng),包括
可信終端向可信證書服務(wù)器申請簽發(fā)證書;以及
使可信認(rèn)證服務(wù)器驗(yàn)證所述可信終端向該可信認(rèn)證服務(wù)器發(fā)起的驗(yàn)證請求,并接收所述可信認(rèn)證服務(wù)器給該可信終端簽發(fā)的身份憑證。進(jìn)一步地,上述方法還可具有以下特點(diǎn),在所述可信終端向可信證書服務(wù) 器申請簽發(fā)證書之前還包括,所述可信終端檢驗(yàn)自身平臺的完整性。進(jìn)一步地,上述方法還可具有以下特點(diǎn),還包括,所述可信終端還向所述可信認(rèn)證服務(wù)器發(fā)起完整性驗(yàn)證請求,所述可信認(rèn)證服務(wù)器將所述完整性驗(yàn)證請求轉(zhuǎn)發(fā)給可信完整性驗(yàn)證服務(wù)器,所述可信完整性驗(yàn)證服務(wù)器驗(yàn)證所述可信終端的完整性。進(jìn)一步地,上述方法還可具有以下特點(diǎn),還包括,所述可信終端接收到身份憑證后向可信應(yīng)用服務(wù)器發(fā)起服務(wù)請求,所述可信認(rèn)證服務(wù)器驗(yàn)證所述可信終端的身份憑證,并將驗(yàn)證結(jié)果返回給所述可信應(yīng)用服務(wù)器,若所述驗(yàn)證結(jié)果為合法,則所述可信應(yīng)用服務(wù)器允許服務(wù)實(shí)體向所述可信終端提供請求的服務(wù)。進(jìn)一步地,上述方法還可具有以下特點(diǎn),還包括,所述可信終端用戶在初次進(jìn)行身份認(rèn)證前,先在所述可信認(rèn)證服務(wù)器進(jìn)行身份注冊,登記用戶信息。本發(fā)明所提供的基于可信計(jì)算的認(rèn)證系統(tǒng)及方法,將PKI數(shù)字證書技術(shù)和可信計(jì)算平臺相結(jié)合,保證了網(wǎng)絡(luò)和服務(wù)器端的安全,同時(shí)還能確保終端可信,在很大程度上提高了整個(gè)網(wǎng)絡(luò)的安全性,提高了計(jì)算機(jī)網(wǎng)絡(luò)認(rèn)證的可信性、安全性。
圖I為本發(fā)明實(shí)施例中可信計(jì)算機(jī)系統(tǒng)平臺結(jié)構(gòu) 圖2為本發(fā)明實(shí)施例中基于可信計(jì)算的認(rèn)證系統(tǒng)結(jié)構(gòu) 圖3為本發(fā)明實(shí)施例中基于可信計(jì)算的認(rèn)證方法流程圖。
具體實(shí)施例方式本發(fā)明的主要構(gòu)思是利用可信計(jì)算技術(shù),在實(shí)施認(rèn)證的實(shí)體中安裝可信計(jì)算模塊,保證計(jì)算機(jī)網(wǎng)絡(luò)和服務(wù)器端的安全,又能確保終端可信,不僅可以提高實(shí)施認(rèn)證的實(shí)體自身的安全性,還能夠提高整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的安全性,從而增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)上認(rèn)證的可信性、安全性。本發(fā)明中,可信計(jì)算模塊是指可信計(jì)算安全芯片,是電腦主板上的一安全芯片。該芯片在計(jì)算機(jī)開機(jī)的時(shí)候?qū)Ρ镜赜布脚_進(jìn)行自檢,并將保存在可信計(jì)算安全芯片中的度量值與開機(jī)時(shí)對硬件重新檢測的度量值進(jìn)行比較,如果本地硬件發(fā)生變化則該平臺能否繼續(xù)使用與可信計(jì)算安全芯片的策略設(shè)置有關(guān)(一般默認(rèn)為平臺發(fā)生變化不能使用,若希望繼續(xù)使用需要更改可信計(jì)算安全芯片策略,可信計(jì)算安全芯片的設(shè)置需要計(jì)算機(jī)系統(tǒng)管理員設(shè)置,如果硬件平臺發(fā)生變化后仍是可信平臺,則需要重新將更新后的硬件平臺信息進(jìn)行度量并保存在可信計(jì)算安全芯片中,該操作由計(jì)算機(jī)系統(tǒng)管理員完成)。本文中,平臺是指計(jì)算機(jī)的整體工作環(huán)境,包含硬件和軟件,但提交平臺信息的時(shí)候由于操作系統(tǒng)及軟件信息還無法達(dá)到動(dòng)態(tài)確認(rèn),因此只提交硬件信息。本文中,可信終端是可彳目平臺的一種。以下結(jié)合附圖對本發(fā)明的原理和特征進(jìn)行描述,所舉實(shí)例只用于解釋本發(fā)明,并非用于限定本發(fā)明的 范圍。圖I為本發(fā)明實(shí)施例中可信計(jì)算機(jī)系統(tǒng)平臺結(jié)構(gòu)圖。如圖I所示,本實(shí)施例中,計(jì)算機(jī)系統(tǒng)平臺也即用戶終端,通過如下三類機(jī)制及平臺自身安全管理功能,保證計(jì)算機(jī)系統(tǒng)平臺的安全性
(1)以可信度量根為起點(diǎn),計(jì)算系統(tǒng)平臺完整性度量值,建立計(jì)算機(jī)系統(tǒng)平臺信任鏈,確保系統(tǒng)平臺可信;
(2)可信報(bào)告根標(biāo)識平臺身份的可信性,具有唯一性,以可信報(bào)告根為基礎(chǔ),實(shí)現(xiàn)平臺身份證明和完整性報(bào)告。(3)基于可信存儲根,實(shí)現(xiàn)密鑰管理、平臺數(shù)據(jù)安全保護(hù)功能,提供相應(yīng)的密碼服務(wù)。圖2為本發(fā)明實(shí)施例中基于可信計(jì)算的認(rèn)證系統(tǒng)結(jié)構(gòu)圖。如圖2所示,本實(shí)施例中,基于可信計(jì)算的認(rèn)證系統(tǒng)包括可信終端10、可信證書服務(wù)器20、可信認(rèn)證服務(wù)器30、可信完整性驗(yàn)證服務(wù)器40和可信應(yīng)用服務(wù)器50,可信終端10、可信證書服務(wù)器20、可信認(rèn)證服務(wù)器30、可信完整性驗(yàn)證服務(wù)器40和可信應(yīng)用服務(wù)器50均具有可信計(jì)算模塊??尚庞?jì)算模塊的存在保證了各實(shí)體的可信性,大大提高了包含這些實(shí)體的計(jì)算機(jī)網(wǎng)絡(luò)的安全性??尚沤K端10是進(jìn)行認(rèn)證的對象,用于在認(rèn)證過程中進(jìn)行完整性自檢,向可信證書服務(wù)器20提交平臺相關(guān)信息,申請證書,向可信認(rèn)證服務(wù)器30發(fā)起可信終端平臺身份和完整性驗(yàn)證請求,向可信應(yīng)用服務(wù)器50發(fā)起服務(wù)請求;
可信證書服務(wù)器20用于驗(yàn)證可信終端10的平臺相關(guān)信息,并為通過驗(yàn)證的可信終端簽發(fā)證書;
可信認(rèn)證服務(wù)器30用于驗(yàn)證可信終端平臺的身份,為合法用戶簽發(fā)身份憑證;可信認(rèn)證服務(wù)器30還用于向可信完整性驗(yàn)證服務(wù)器40轉(zhuǎn)發(fā)完整性驗(yàn)證請求,接收可信完整性驗(yàn)證服務(wù)器40返回的完整性驗(yàn)證結(jié)果,并將該完整性驗(yàn)證結(jié)果傳遞給可信終端10 ;
可信完整性服務(wù)器40用于驗(yàn)證可信終端平臺的完整性,以保證可信終端未受到病毒等破壞,從而保證終端平臺的可信性;
可信應(yīng)用服務(wù)器50用于根據(jù)可信認(rèn)證服務(wù)器30的返回結(jié)果決定是否允許可信終端用戶訪問服務(wù),即是否允許服務(wù)實(shí)體向可信終端提供請求的服務(wù)??尚磐暾苑?wù)器40和可信應(yīng)用服務(wù)器50不是本發(fā)明基于可信計(jì)算的認(rèn)證系統(tǒng)必不可少的組成部分,在本發(fā)明的其他實(shí)施例中,基于可信計(jì)算的認(rèn)證系統(tǒng)可以不包含可信完整性服務(wù)器40或可信應(yīng)用服務(wù)器50。在不具有可信完整性服務(wù)器40的情況下,可信終端10可以通過自檢檢驗(yàn)自身平臺的完整性,認(rèn)證過程中其他服務(wù)器不再對可信終端平臺的完整性進(jìn)行驗(yàn)證。在用戶需要可信應(yīng)用服務(wù)器50提供某種服務(wù)的時(shí)候可信終端10才會(huì)訪問可信應(yīng)用服務(wù)器50,因此可信應(yīng)用服務(wù)器50所進(jìn)行的進(jìn)一步認(rèn)證是對最基本的認(rèn)證過程的進(jìn)一步延伸。
可信終端10、可信證書服務(wù)器20和可信認(rèn)證服務(wù)器30組成最基本的基于可信計(jì)算的認(rèn)證系統(tǒng),該最基本的認(rèn)證系統(tǒng)與現(xiàn)有認(rèn)證系統(tǒng)的區(qū)別是,系統(tǒng)的實(shí)體內(nèi)部都具有可信計(jì)算模塊,因此比現(xiàn)有認(rèn)證系統(tǒng)具有更高的可信性和安全性,從而保證了該系統(tǒng)所實(shí)施的認(rèn)證的可信性、安全性??梢?,本發(fā)明所提供的基于可信計(jì)算的認(rèn)證系統(tǒng),通過引入可信計(jì)算模塊大大提高了系統(tǒng)中各實(shí)體的可信性和安全性,保證了網(wǎng)絡(luò)和服務(wù)器端的安全,同時(shí)還能確保終端可信,因此在很大程度上提高了整個(gè)網(wǎng)絡(luò)的安全性,提高了計(jì)算機(jī)網(wǎng)絡(luò)認(rèn)證的可信性、安全性。基于上述的基于可信計(jì)算的認(rèn)證系統(tǒng),本發(fā)明還提出了一種基于可信計(jì)算的認(rèn)證方法。圖3為本發(fā)明實(shí)施例中基于可信計(jì)算的認(rèn)證方法流程圖,如圖3所示,本實(shí)施例中, 基于可信計(jì)算的認(rèn)證方法包括如下步驟
步驟301,在初次進(jìn)行認(rèn)證前,可信終端用戶先在可信認(rèn)證服務(wù)器進(jìn)行身份注冊,登記個(gè)人相關(guān)信息,即可信終端用戶的用戶信息;
這里,個(gè)人相關(guān)信息是指進(jìn)行身份注冊所需要的信息,個(gè)人相關(guān)信息可以包括用戶的姓名、性別、身份證號、家庭地址、聯(lián)系電話等。步驟302,可信終端進(jìn)行完整性自檢;
步驟303,可信終端向可信證書服務(wù)器提交平臺相關(guān)信息,申請證書;
這里,平臺相關(guān)信息可以包含如下的硬件信息硬盤唯一特征信息、 主板唯一特征信息、CPU唯一特征信息、內(nèi)存唯一特征信息、網(wǎng)卡唯一特征信息等。將以上硬件的各自特征信息進(jìn)行哈希運(yùn)算,然后將哈希運(yùn)算的結(jié)果保存到可信計(jì)算模塊的PCR中并提交給可信證書服務(wù)器。步驟304,可信證書服務(wù)器發(fā)布者驗(yàn)證平臺相關(guān)信息,如果驗(yàn)證通過則給可信終端簽發(fā)用戶證書;
如果驗(yàn)證失敗,可信證書服務(wù)器向可信終端返回驗(yàn)證失敗信息,以提醒當(dāng)前使用的用戶。步驟305,可信終端向可信認(rèn)證服務(wù)器發(fā)起平臺身份和完整性驗(yàn)證請求;
步驟306,可信認(rèn)證服務(wù)器驗(yàn)證可信終端平臺的身份并向可信完整性驗(yàn)證服務(wù)器轉(zhuǎn)發(fā)完整性驗(yàn)證請求;
步驟307,可信完整性驗(yàn)證服務(wù)器根據(jù)事先確定的規(guī)則對可信終端進(jìn)行完整性驗(yàn)證,并將驗(yàn)證結(jié)果返回給可信認(rèn)證服務(wù)器;
步驟308,可信認(rèn)證服務(wù)器將平臺身份和完整性驗(yàn)證結(jié)果返回給可信終端;
步驟309,如果可信終端通過了平臺身份驗(yàn)證和完整性驗(yàn)證,則客戶端認(rèn)證代理從USBKey中讀取用戶證書的相關(guān)信息,向可信認(rèn)證服務(wù)器發(fā)起用戶身份認(rèn)證請求;
客戶端認(rèn)證代理處于可信終端內(nèi),USB Key是一個(gè)單獨(dú)的物理實(shí)體,不在可信終端內(nèi),USB Key可以通過USB接口與可信終端相連接。用戶證書為步驟304中可信證書服務(wù)器所簽發(fā)的證書。步驟310,可信認(rèn)證服務(wù)器認(rèn)證用戶的身份,如果是合法用戶,簽發(fā)身份憑證; 如果是不合法用戶,可信認(rèn)證服務(wù)器向可信終端返回不合法信息,以提醒用戶,還可以
設(shè)定若連續(xù)驗(yàn)證失敗的次數(shù)達(dá)到預(yù)設(shè)的數(shù)值,則鎖定賬號并禁止使用,防止暴力破解,鎖定的賬號在重新激活后才能使用。步驟311,可信終端接收到身份憑證后向可信應(yīng)用服務(wù)器發(fā)起服務(wù)請求,所述服務(wù)請求中攜帶身份憑證;
步驟312,服務(wù)器端認(rèn)證代理接收用戶包含身份憑證的服務(wù)請求,向可信認(rèn)證服務(wù)器發(fā)起身份憑證驗(yàn)證請求;
服務(wù)器端認(rèn)證代理處于可信應(yīng)用服務(wù)器內(nèi)。步驟313,可信認(rèn)證服務(wù)器驗(yàn)證服務(wù)器端認(rèn)證代理提交的用戶身份憑證,將驗(yàn)證結(jié) 果返回給可信應(yīng)用服務(wù)器;
步驟314,可信應(yīng)用服務(wù)器根據(jù)可信認(rèn)證服務(wù)器返回的身份憑證驗(yàn)證結(jié)果決定是否允許用戶訪問服務(wù),即是否允許服務(wù)實(shí)體提供所請求的服務(wù)。服務(wù)實(shí)體處于可信應(yīng)用服務(wù)器內(nèi)。若身份憑證驗(yàn)證結(jié)果為合法,則可信應(yīng)用服務(wù)器允許服務(wù)實(shí)體提供所請求的服務(wù),否則可信應(yīng)用服務(wù)器向可信終端返回身份憑證不合法的信息,不允許服務(wù)實(shí)體提供所請求的服務(wù)。本發(fā)明所提供的基于可信計(jì)算的認(rèn)證方法,在具有可信計(jì)算模塊的實(shí)體上進(jìn)行,提高了計(jì)算機(jī)網(wǎng)絡(luò)認(rèn)證的可信性、安全性。以上所述僅為本發(fā)明的較佳實(shí)施例,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種基于可信計(jì)算的認(rèn)證系統(tǒng),其特征在干,包括可信終端、可信證書服務(wù)器、可信認(rèn)證服務(wù)器,所述可信終端、所述可信證書服務(wù)器和所述可信認(rèn)證服務(wù)器中均具有可信計(jì)算模塊,所述可信終端分別與所述可信證書服務(wù)器、所述可信認(rèn)證服務(wù)器無線連接。
2.根據(jù)權(quán)利要求I所述的基于可信計(jì)算的認(rèn)證系統(tǒng),其特征在干,還包括可信應(yīng)用服務(wù)器,所述可信應(yīng)用服務(wù)器中具有可信計(jì)算模塊,所述可信應(yīng)用服務(wù)器分別與所述可信終端、可信認(rèn)證服務(wù)器無線連接。
3.根據(jù)權(quán)利要求I所述的基于可信計(jì)算的認(rèn)證系統(tǒng),其特征在干,還包括可信完整性驗(yàn)證服務(wù)器,用于對所述可信終端平臺進(jìn)行完整性驗(yàn)證,所述可信完整性驗(yàn)證服務(wù)器中具有可信計(jì)算模塊,所述可信完整性驗(yàn)證服務(wù)器與所述可信認(rèn)證服務(wù)器無線連接。
4.一種基于可信計(jì)算的認(rèn)證方法,基于權(quán)利要求I至3任一項(xiàng)所述的基于可信計(jì)算的認(rèn)證系統(tǒng),其特征在于,包括 可信終端向可信證書服務(wù)器申請簽發(fā)證書;以及 使可信認(rèn)證服務(wù)器驗(yàn)證所述可信終端向該可信認(rèn)證服務(wù)器發(fā)起的驗(yàn)證請求,并接收所述可信認(rèn)證服務(wù)器給該可信終端簽發(fā)的身份憑證。
5.根據(jù)權(quán)利要求4所述的基于可信計(jì)算的認(rèn)證方法,其特征在干,在所述可信終端向可信證書服務(wù)器申請簽發(fā)證書之前還包括,所述可信終端檢驗(yàn)自身平臺的完整性。
6.根據(jù)權(quán)利要求4所述的基于可信計(jì)算的認(rèn)證方法,其特征在干,還包括,所述可信終端還向所述可信認(rèn)證服務(wù)器發(fā)起完整性驗(yàn)證請求,所述可信認(rèn)證服務(wù)器將所述完整性驗(yàn)證請求轉(zhuǎn)發(fā)給可信完整性驗(yàn)證服務(wù)器,所述可信完整性驗(yàn)證服務(wù)器驗(yàn)證所述可信終端的完整性。
7.根據(jù)權(quán)利要求4所述的基于可信計(jì)算的認(rèn)證方法,其特征在干,還包括,所述可信終端接收到身份憑證后向可信應(yīng)用服務(wù)器發(fā)起服務(wù)請求,所述可信認(rèn)證服務(wù)器驗(yàn)證所述可信終端的身份憑證,并將驗(yàn)證結(jié)果返回給所述可信應(yīng)用服務(wù)器,若所述驗(yàn)證結(jié)果為合法,則所述可信應(yīng)用服務(wù)器允許服務(wù)實(shí)體向所述可信終端提供請求的服務(wù)。
8.根據(jù)權(quán)利要求4所述的基于可信計(jì)算的認(rèn)證方法,其特征在干,還包括,所述可信終端用戶在初次進(jìn)行身份認(rèn)證前,先在所述可信認(rèn)證服務(wù)器進(jìn)行身份注冊,登記用戶信息。
全文摘要
本發(fā)明涉及一種基于可信計(jì)算的認(rèn)證系統(tǒng)及方法,其中基于可信計(jì)算的認(rèn)證系統(tǒng)包括可信終端、可信證書服務(wù)器、可信認(rèn)證服務(wù)器,所述可信終端、所述可信證書服務(wù)器和所述可信認(rèn)證服務(wù)器中均具有可信計(jì)算模塊。本發(fā)明所提供的基于可信計(jì)算的認(rèn)證系統(tǒng)及方法,將PKI數(shù)字證書技術(shù)和可信計(jì)算平臺相結(jié)合,保證了網(wǎng)絡(luò)和服務(wù)器端的安全,同時(shí)還能確保終端可信,在很大程度上提高了整個(gè)網(wǎng)絡(luò)的安全性,提高了計(jì)算機(jī)網(wǎng)絡(luò)認(rèn)證的可信性、安全性。
文檔編號H04L29/06GK102694776SQ20111007061
公開日2012年9月26日 申請日期2011年3月23日 優(yōu)先權(quán)日2011年3月23日
發(fā)明者付月朋 申請人:國民技術(shù)股份有限公司