一种可信网络的证书签发、认证方法及相应的设备技术

一种可信网络的证书签发、认证方法及相应的设备，该证书签发方法包括：证书申请方的可信计算平台向CA发送证书请求，携带该证书申请方的用户身份信息和平台信息；该CA验证所述用户身份信息和平台信息，如验证通过，为该证书申请方签发平台及用户身份证书，该平台及用户身份证书的签名的主体部分包含该证书申请方在该可信网络中的用户标识和平台标识。在认证时，验证方对证明方的平台及用户身份证书进行验证，两个成员对对端认证通过后，在建立起网络访问层的安全信道的同时完成了对对端可信计算平台的身份认证和完整性校验。由于验证方可以同时实现对证明方平台身份和用户身份的验证，因而可以有效地防止平台替换攻击。

【技术实现步骤摘要】
一种可信网络的证书签发、认证方法及相应的设备
本申请涉及可信计算技术，更具体地，涉及一种可信网络的证书签发、认证方法及相应的设备。
技术介绍
随着计算机技术和网络的迅猛发展，信息安全问题日趋复杂，系统安全问题，特别是计算机平台的开放框架所带来的威胁层出不穷。传统信息安全系统是以防外为重点，即以防御网络攻击(如：未知密钥共享，交错攻击，DoS攻击，重放攻击等)为主，这与目前信息安全主要威胁源自内部的实际状况不相符合。另外，从组成信息系统的服务器、网络、终端三个层面上来看，现有的保护手段是逐层递减的。人们往往把过多的注意力放在对服务器和网络设备的保护上，而忽略了对终端的保护。随着安全研究的不断深入，人们认识到针对计算实体内部的攻击是一种重要的安全威胁，因此越来越重视这些攻击所造成的危害。为此，研究人员提出了可信计算的概念。可信计算的本质主要是通过增强现有的终端体系结构的安全性来保证整个系统的安全。其主要思路是在包括台式机、笔记本及智能手机等多种设备中，以所嵌入的可信平台模块(TrustedPlatformModule，TPM)为核心为用户和平台提供安全保障。TPM通过存储、度量、报告等一本文档来自技高网...

【技术保护点】
一种可信网络的证书签发方法，包括：证书申请方的可信计算平台向证书权威CA发送证书请求，该证书请求中携带该证书申请方的用户身份信息和平台信息；该CA收到证书请求后，验证所述用户身份信息和平台信息，如验证通过，为该证书申请方签发平台及用户身份证书，该平台及用户身份证书的签名的主体部分包含该证书申请方在该可信网络中的用户标识和平台标识；该证书申请方的可信计算平台保存该平台及用户身份证书。

【技术特征摘要】
2012.12.06 CN 201210520930.01.一种可信网络的证书签发方法，包括：证书申请方的可信计算平台向证书权威CA发送证书请求，该证书请求中携带该证书申请方的用户身份信息和平台信息；该CA收到证书请求后，验证所述用户身份信息和平台信息，如验证通过，为该证书申请方签发平台及用户身份证书，该平台及用户身份证书的签名的主体部分包含该证书申请方在该可信网络中的用户标识和平台标识；该证书申请方的可信计算平台保存该平台及用户身份证书。2.如权利要求1所述的证书签发方法，其特征在于：所述平台信息包括该证书申请方的可信模块签署(EK)证书或其别名证书；该CA验证所述平台信息，包括对该EK证书或其别名证书的验证。3.如权利要求1所述的证书签发方法，其特征在于：该证书申请方的平台标识为该证书申请方的可信模块标识，该平台标识由该CA为该证书申请方分配；该证书申请方的用户标识由该CA为该证书申请方分配。4.如权利要求1或2或3所述的证书签发方法，其特征在于：该证书申请方的可信计算平台向该CA发送证书请求之前，还包括：该证书申请方的可信计算平台在所有者的授权下，其内部的该可信模块生成一对密钥包括第一身份公钥和第一身份私钥，该第一身份私钥保存在该可信模块内部；该证书请求中携带的平台信息还包括该第一身份公钥；该平台及用户身份证书的签名的主体部分还包括该第一身份公钥；该证书请求中的用户身份信息和平台信息或者其中的部分信息经过所述第一身份私钥加密，该CA用第一身份公钥加以解密。5.如权利要求3所述的证书签发方法，其特征在于：该CA验证所述用户身份信息和平台信息，如验证通过，还包括：该CA为该证书申请方分配基于所述用户标识和平台标识的一对密钥包括第二身份公钥和第二身份私钥，并将该第二身份公钥和该第二身份私钥的信息随该平台及用户身份证书一起发送给该证书申请方，其中，该第二身份公钥包含在该平台及用户身份证书的签名的主体部分中，该第二身份私钥的信息经过加密；所述第二身份私钥用于代替第一身份私钥用于对可信模块产生的数据进行签名。6.如权利要求1或2或3所述的证书签发方法，其特征在于：还包括：该CA对其签发的证书申请方的平台及用户身份证书进行管理，包括对平台及用户身份证书的存储、更新和注销。7.一种可信网络的证书权威，其特征在于，包括：接收模块，用于接收证书申请方的可信计算平台发送的证书请求，获取该证书申请方的用户身份信息和平台信息；验证模块，用于验证所述用户身份信息和平台信息；签发模块，用于在所述验证模块的验证通过后，为该证书申请方签发平台及用户身份证书，该平台及用户身份证书的签名的主体部分包含该证书申请方在该可信网络中的用户标识和平台标识；管理模块，用于对所述签发模块签发的证书申请方的平台及用户身份证书进行管理，包括对平台及用户身份证书的存储、更新和注销。8.如权利要求7所述的证书权威，其特征在于：所述接收模块接收的该证书申请方的平台信息包括该证书申请方的可信模块签署(EK)证书或其别名证书；所述验证模块验证所述平台信息，包括对该EK证书或其别名证书的验证。9.如权利要求7或8所述的证书权威，其特征在于：该签发模块还用于为该证书申请方分配基于所述用户标识和平台标识的一对密钥包括...

【专利技术属性】
技术研发人员：付颖芳，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY