一種遠(yuǎn)程認(rèn)證中證書管理的方法
【專利說(shuō)明】一種遠(yuǎn)程認(rèn)證中證書管理的方法
[0001]
技術(shù)領(lǐng)域
[0002]本發(fā)明涉及服務(wù)器安全技術(shù)領(lǐng)域����,具體地說(shuō)是一種遠(yuǎn)程認(rèn)證中證書管理的方法。
【背景技術(shù)】
[0003]隨著云計(jì)算和大數(shù)據(jù)的興起��,核心計(jì)算資源逐步由分散式向集總式發(fā)展����,即核心計(jì)算任務(wù)由一個(gè)或多個(gè)計(jì)算中心完成,而終端更多的是負(fù)責(zé)數(shù)據(jù)的上傳及計(jì)算結(jié)果的處理�。基于TPM芯片的遠(yuǎn)程認(rèn)證方式可以及時(shí)有效的反應(yīng)各個(gè)計(jì)算節(jié)點(diǎn)中關(guān)鍵部件的可信狀態(tài)��,而每一節(jié)點(diǎn)都有一證書表征其身份����。傳統(tǒng)的證書體系中����,證書失效意味著證書到期�,而采用TPM的遠(yuǎn)程認(rèn)證除了面臨證書過(guò)期的問(wèn)題,還面臨著身份密鑰變更的問(wèn)題����。一旦身份密鑰發(fā)生了變化,Privacy CA無(wú)法驗(yàn)簽��,遠(yuǎn)程認(rèn)證無(wú)法進(jìn)行���,因此�����,必須有一種有效的方法管理各個(gè)節(jié)點(diǎn)的身份證書����,監(jiān)管其有效性���,并方便管理員配置證書�。
[0004]公開的相關(guān)專利文件:名稱為“一種可信計(jì)算系統(tǒng)及相應(yīng)的認(rèn)證方法和設(shè)備”�,該文件公開了“一種可信計(jì)算系統(tǒng)及相應(yīng)的認(rèn)證方法和設(shè)備�,所述可信計(jì)算系統(tǒng)包括管理域和多個(gè)可信域����,所述可信域的成員包括域可信方(DT)和域終端,所述方法包括:DT以其平臺(tái)身份證書為證明到管理域注冊(cè)����,管理域認(rèn)證通過(guò)后,將管理域?qū)λ鯠T的簽名證書授予所述DT;域終端以其平臺(tái)身份證書為證明到所在可信域的DT注冊(cè)���,所述DT認(rèn)證通過(guò)后�����,將終端身份證書授予所述域終端,所述終端身份證書包含管理域?qū)λ鯠T的簽名和所述DT對(duì)所述域終端的簽名����;不同可信域的域終端之間交互時(shí),基于遠(yuǎn)程端的終端身份證書實(shí)現(xiàn)對(duì)遠(yuǎn)程端身份的遠(yuǎn)程認(rèn)證����。本申請(qǐng)便于擴(kuò)展來(lái)應(yīng)對(duì)不同規(guī)模可信域的集成�����,減少了網(wǎng)絡(luò)流量、計(jì)算負(fù)載和存儲(chǔ)空間�����,提高了跨域認(rèn)證的效率”����。
[0005]名稱為“無(wú)線體域網(wǎng)的無(wú)證書遠(yuǎn)程匿名認(rèn)證方法”,該文件公開了“一種無(wú)線體域網(wǎng)的無(wú)證書遠(yuǎn)程匿名認(rèn)證方法��,主要解決無(wú)線體域網(wǎng)遠(yuǎn)程認(rèn)證中的匿名性問(wèn)題��,主要步驟是:I)網(wǎng)絡(luò)管理者初始化整個(gè)無(wú)線體域網(wǎng)系統(tǒng);2)無(wú)線體域網(wǎng)用戶向網(wǎng)絡(luò)管理者進(jìn)行身份注冊(cè);3)網(wǎng)絡(luò)管理者向無(wú)線體域網(wǎng)用戶頒發(fā)賬戶索引�;4)無(wú)線體域網(wǎng)用戶使用賬戶索引以匿名的方式向網(wǎng)絡(luò)管理者發(fā)送服務(wù)請(qǐng)求;5)應(yīng)用服務(wù)提供商與無(wú)線體域網(wǎng)用戶之間進(jìn)行雙向認(rèn)證。本發(fā)明既消除了對(duì)證書的需求���,又無(wú)密鑰托管的弊端��,具有安全性能好����,計(jì)算復(fù)雜度低的優(yōu)點(diǎn)�,可用于遠(yuǎn)程醫(yī)療監(jiān)控等應(yīng)用場(chǎng)景”�����。
[0006]上述公開文件與本
【發(fā)明內(nèi)容】
要解決的技術(shù)問(wèn)題��,采用的技術(shù)手段都不相同����。
[0007]
【發(fā)明內(nèi)容】
本發(fā)明的技術(shù)任務(wù)是提供一種遠(yuǎn)程認(rèn)證中證書管理的方法��。
[0008]本發(fā)明的技術(shù)任務(wù)是按以下方式實(shí)現(xiàn)的�,該證書管理方法包含可信計(jì)算節(jié)點(diǎn),計(jì)算節(jié)點(diǎn)代理程序和集群可信管理程序三部分���;
可信計(jì)算節(jié)點(diǎn):裝有TPM芯片的計(jì)算機(jī)或服務(wù)器�,其啟動(dòng)過(guò)程中會(huì)建立度量鏈�����,每一級(jí)將系統(tǒng)控制權(quán)交給下一級(jí)前會(huì)度量下一級(jí)代碼塊或配置文件�,并將計(jì)算的度量值擴(kuò)展至PCR中���,系統(tǒng)啟動(dòng)后���,PCR中包含了整個(gè)節(jié)點(diǎn)關(guān)鍵啟動(dòng)部件的完整性信息��;
計(jì)算節(jié)點(diǎn)代理程序:安裝在可信計(jì)算節(jié)點(diǎn)上的程序�����,向管理程序上報(bào)本節(jié)點(diǎn)的信息��,完成可信注冊(cè)并初始化TPM芯片��;
集群可信管理程序:集群可信狀態(tài)管理端���,完成證書頒發(fā)和遠(yuǎn)程認(rèn)證的功能,可以統(tǒng)一管理各個(gè)可信節(jié)點(diǎn)的身份證書��,一旦檢測(cè)到認(rèn)證節(jié)點(diǎn)中的身份密鑰發(fā)生變化�,會(huì)請(qǐng)求代理程序重新上報(bào)身份密鑰完成新身份證書的頒發(fā);系統(tǒng)管理員也可通過(guò)管理程序主動(dòng)觸發(fā)更新身份證書。
[0009]所述的計(jì)算節(jié)點(diǎn)代理程序在可信計(jì)算節(jié)點(diǎn)系統(tǒng)啟動(dòng)后會(huì)收集存放在PCR中的本次啟動(dòng)信息并上報(bào)給管理程序���,由管理程序校驗(yàn)本次啟動(dòng)過(guò)程中關(guān)鍵部件是否遭到篡改��。
[0010]該證書管理方法的流程如下:
1)啟動(dòng)系統(tǒng)程序�;
2)代理程序上報(bào)身份證書及完整性信息;
3)集群可信管理程序提取對(duì)應(yīng)證書�����;
4)判斷證書是否過(guò)期?證書過(guò)期�,則集群可信管理程序下發(fā)身份密鑰請(qǐng)求命令,代理程序上報(bào)身份密鑰����,Privacy CA為身份密鑰頒發(fā)新證書,并將其存放到KeyStore中�����;
5)若證書沒(méi)有過(guò)期��,則管理程序讀取PrivacyCA����,檢驗(yàn)身份證書,判斷證書是否由本Privacy CA下發(fā)�,如果不是�,則重復(fù)步驟4);
6)若證書是由本PrivacyCA下發(fā),則管理程序提取校驗(yàn)信息及簽名����,判斷簽名是否完整��,簽名完整則Privacy CA進(jìn)行完整性校驗(yàn)�����;
7)若簽名不完整�����,則管理程序下發(fā)身份密鑰請(qǐng)求命令���,代理程序上報(bào)身份密鑰,判斷身份密鑰與身份證書是否一致?身份密鑰與身份證書一致�����,則簽名信息遭受篡改��,重新進(jìn)行遠(yuǎn)程認(rèn)證�����;
8)若身份密鑰與身份證書不一致���,PrivacyCA為身份密鑰頒發(fā)新證書����,并將其存放到KeyStore中。
[0011]本發(fā)明的一種遠(yuǎn)程認(rèn)證中證書管理的方法和現(xiàn)有技術(shù)相比�,利用遠(yuǎn)程認(rèn)證中證書下發(fā)功能收集每一節(jié)點(diǎn)的身份證書信息,利用校驗(yàn)過(guò)程中證書校驗(yàn)監(jiān)控每一證書的有效性����,并為系統(tǒng)管理者提供配置證書的接口;可以有效的管理各證書�����,方便管理者配置每一節(jié)點(diǎn)的證書�����。
【附圖說(shuō)明】
[0012]圖1為一種遠(yuǎn)程認(rèn)證中證書管理的方法的流程框圖�。
【具體實(shí)施方式】
[0013]實(shí)施例1:
該證書管理方法包含可信計(jì)算節(jié)點(diǎn),計(jì)算節(jié)點(diǎn)代理程序和集群可信管理程序三部分�;可信計(jì)算節(jié)點(diǎn):裝有TPM芯片的計(jì)算機(jī)或服務(wù)器,其啟動(dòng)過(guò)程中會(huì)建立度量鏈����,每一級(jí)將系統(tǒng)控制權(quán)交給下一級(jí)前會(huì)度量下一級(jí)代碼塊或配置文件�����,并將計(jì)算的度量值擴(kuò)展至PCR中,系統(tǒng)啟動(dòng)后��,PCR中包含了整個(gè)節(jié)點(diǎn)關(guān)鍵啟動(dòng)部件的完整性信息�����;
計(jì)算節(jié)點(diǎn)代理程序:安裝在可信計(jì)算節(jié)點(diǎn)上的程序��,向管理程序上報(bào)本節(jié)點(diǎn)的信息�����,完成可信注冊(cè)并初始化TPM芯片�����;
集群可信管理程序:集群可信狀態(tài)管理端����,完成證書頒發(fā)和遠(yuǎn)程認(rèn)證的功能,可以統(tǒng)一管理各個(gè)可信節(jié)點(diǎn)的身份證書��,一旦檢測(cè)到認(rèn)證節(jié)點(diǎn)中的身份密鑰發(fā)生變化,會(huì)請(qǐng)求代理程序重新上報(bào)身份密鑰完成新身份證書的頒發(fā);系統(tǒng)管理員也可通過(guò)管理程序主動(dòng)觸發(fā)更新身份證書�。
[0014]所述的計(jì)算節(jié)點(diǎn)代理程序在可信計(jì)算節(jié)點(diǎn)系統(tǒng)啟動(dòng)后會(huì)收集存放在PCR中的本次啟動(dòng)信息并上報(bào)給管理程序,由管理程序校驗(yàn)本次啟動(dòng)過(guò)程中關(guān)鍵部件是否遭到篡改�。
[0015]該證書管理方法的流程如下:
1)啟動(dòng)系統(tǒng)程序;
2)代理程序上報(bào)身份證書及完整性信息����;
3)集群可信管理程序提取對(duì)應(yīng)證書;
4)判斷證書是否過(guò)期?證書過(guò)期�,則集群可信管理程序下發(fā)身份密鑰請(qǐng)求命令,代理程序上報(bào)身份密鑰���,Privacy CA為身份密鑰頒發(fā)新證書����,并將其存放到KeyStore中����;
5)若證書沒(méi)有過(guò)期,則管理程序讀取PrivacyCA�����,檢驗(yàn)身份證書����,判斷證書是否由本Privacy CA下發(fā)���,如果不是��,則重復(fù)步驟4);
6)若證書是由本PrivacyCA下發(fā)�,則管理程序提取校驗(yàn)信息及簽名,判斷簽名是否完整�����,簽名完整則Privacy CA進(jìn)行完整性校驗(yàn)����;
7)若簽名不完整,則管理程序下發(fā)身份密鑰請(qǐng)求命令�,代理程序上報(bào)身份密鑰,判斷身份密鑰與身份證書是否一致?身份密鑰與身份證書一致�����,則簽名信息遭受篡改����,重新進(jìn)行遠(yuǎn)程認(rèn)證��;
8)若身份密鑰與身份證書不一致��,PrivacyCA為身份密鑰頒發(fā)新證書���,并將其存放到KeyStore中。
[0016]通過(guò)上面【具體實(shí)施方式】���,所述技術(shù)領(lǐng)域的技術(shù)人員可容易的實(shí)現(xiàn)本發(fā)明���。但是應(yīng)當(dāng)理解,本發(fā)明并不限于上述的幾種【具體實(shí)施方式】���。在公開的實(shí)施方式的基礎(chǔ)上���,所述技術(shù)領(lǐng)域的技術(shù)人員可任意組合不同的技術(shù)特征,從而實(shí)現(xiàn)不同的技術(shù)方案����。
【主權(quán)項(xiàng)】
1.一種遠(yuǎn)程認(rèn)證中證書管理的方法,其特征在于��,該證書管理方法包含可信計(jì)算節(jié)點(diǎn)��,計(jì)算節(jié)點(diǎn)代理程序和集群可信管理程序三部分; 可信計(jì)算節(jié)點(diǎn):裝有TPM芯片的計(jì)算機(jī)或服務(wù)器����,其啟動(dòng)過(guò)程中會(huì)建立度量鏈,每一級(jí)將系統(tǒng)控制權(quán)交給下一級(jí)前會(huì)度量下一級(jí)代碼塊或配置文件�����,并將計(jì)算的度量值擴(kuò)展至PCR中��,系統(tǒng)啟動(dòng)后��,PCR中包含了整個(gè)節(jié)點(diǎn)關(guān)鍵啟動(dòng)部件的完整性信息��; 計(jì)算節(jié)點(diǎn)代理程序:安裝在可信計(jì)算節(jié)點(diǎn)上的程序����,向管理程序上報(bào)本節(jié)點(diǎn)的信息��,完成可信注冊(cè)并初始化TPM芯片�����; 集群可信管理程序:集群可信狀態(tài)管理端���,完成證書頒發(fā)和遠(yuǎn)程認(rèn)證的功能����,可以統(tǒng)一管理各個(gè)可信節(jié)點(diǎn)的身份證書,一旦檢測(cè)到認(rèn)證節(jié)點(diǎn)中的身份密鑰發(fā)生變化�,會(huì)請(qǐng)求代理程序重新上報(bào)身份密鑰完成新身份證書的頒發(fā);系統(tǒng)管理員也可通過(guò)管理程序主動(dòng)觸發(fā)更新身份證書。2.根據(jù)權(quán)利要求1所述的一種遠(yuǎn)程認(rèn)證中證書管理的方法����,其特征在于,所述的計(jì)算節(jié)點(diǎn)代理程序在可信計(jì)算節(jié)點(diǎn)系統(tǒng)啟動(dòng)后會(huì)收集存放在PCR中的本次啟動(dòng)信息并上報(bào)給管理程序�����,由管理程序校驗(yàn)本次啟動(dòng)過(guò)程中關(guān)鍵部件是否遭到篡改����。3.根據(jù)權(quán)利要求1所述的一種遠(yuǎn)程認(rèn)證中證書管理的方法,其特征在于����,該證書管理方法的流程如下: 1)啟動(dòng)系統(tǒng)程序; 2)代理程序上報(bào)身份證書及完整性信息�; 3)集群可信管理程序提取對(duì)應(yīng)證書; 4)判斷證書是否過(guò)期?證書過(guò)期,則集群可信管理程序下發(fā)身份密鑰請(qǐng)求命令�,代理程序上報(bào)身份密鑰,Privacy CA為身份密鑰頒發(fā)新證書�����,并將其存放到KeyStore中����; 5)若證書沒(méi)有過(guò)期,則管理程序讀取PrivacyCA�,檢驗(yàn)身份證書,判斷證書是否由本Privacy CA下發(fā)�,如果不是,則重復(fù)步驟4); 6)若證書是由本PrivacyCA下發(fā)��,則管理程序提取校驗(yàn)信息及簽名�����,判斷簽名是否完整���,簽名完整則Privacy CA進(jìn)行完整性校驗(yàn); 7)若簽名不完整�����,則管理程序下發(fā)身份密鑰請(qǐng)求命令,代理程序上報(bào)身份密鑰�,判斷身份密鑰與身份證書是否一致?身份密鑰與身份證書一致,則簽名信息遭受篡改�,重新進(jìn)行遠(yuǎn)程認(rèn)證; 8)若身份密鑰與身份證書不一致��,PrivacyCA為身份密鑰頒發(fā)新證書���,并將其存放到KeyStore中�。
【專利摘要】本發(fā)明公開了一種遠(yuǎn)程認(rèn)證中證書管理的方法�,該證書管理方法包含可信計(jì)算節(jié)點(diǎn),計(jì)算節(jié)點(diǎn)代理程序和集群可信管理程序三部分�。本發(fā)明的一種遠(yuǎn)程認(rèn)證中證書管理的方法和現(xiàn)有技術(shù)相比,利用遠(yuǎn)程認(rèn)證中證書下發(fā)功能收集每一節(jié)點(diǎn)的身份證書信息�,利用校驗(yàn)過(guò)程中證書校驗(yàn)監(jiān)控每一證書的有效性,并為系統(tǒng)管理者提供配置證書的接口���;可以有效的管理各證書�,方便管理者配置每一節(jié)點(diǎn)的證書��。
【IPC分類】H04L29/06
【公開號(hào)】CN105516207
【申請(qǐng)?zhí)枴緾N201610058235
【發(fā)明人】許鑫, 吳保錫
【申請(qǐng)人】浪潮電子信息產(chǎn)業(yè)股份有限公司
【公開日】2016年4月20日
【申請(qǐng)日】2016年1月28日