本发明专利技术公开了一种远程认证中证书管理的方法,该证书管理方法包含可信计算节点,计算节点代理程序和集群可信管理程序三部分。本发明专利技术的一种远程认证中证书管理的方法和现有技术相比,利用远程认证中证书下发功能收集每一节点的身份证书信息,利用校验过程中证书校验监控每一证书的有效性,并为系统管理者提供配置证书的接口;可以有效的管理各证书,方便管理者配置每一节点的证书。
【技术实现步骤摘要】
本专利技术涉及服务器安全
,具体地说是一种远程认证中证书管理的方法。
技术介绍
随着云计算和大数据的兴起,核心计算资源逐步由分散式向集总式发展,即核心计算任务由一个或多个计算中心完成,而终端更多的是负责数据的上传及计算结果的处理。基于TPM芯片的远程认证方式可以及时有效的反应各个计算节点中关键部件的可信状态,而每一节点都有一证书表征其身份。传统的证书体系中,证书失效意味着证书到期,而采用TPM的远程认证除了面临证书过期的问题,还面临着身份密钥变更的问题。一旦身份密钥发生了变化,PrivacyCA无法验签,远程认证无法进行,因此,必须有一种有效的方法管理各个节点的身份证书,监管其有效性,并方便管理员配置证书。公开的相关专利文件:名称为“一种可信计算系统及相应的认证方法和设备”,该文件公开了“一种可信计算系统及相应的认证方法和设备,所述可信计算系统包括管理域和多个可信域,所述可信域的成员包括域可信方(DT)和域终端,所述方法包括:DT以其平台身份证书为证明到管理域注册,管理域认证通过后,将管理域对所述DT的签名证书授予所述DT;域终端以其平台身份证书为证明到所在可信域的DT注册,所述DT认证通过后,将终端身份证书授予所述域终端,所述终端身份证书包含管理域对所述DT的签名和所述DT对所述域终端的签名;不同可信域的域终端之间交互时,基于远程端的终端身份证书实现对远程端身份的远程认证。本申请便于扩展来应对不同规模可信域的集成,减少了网络流量、计算负载和存储空间,提高了跨域认证的效率”。名称为“无线体域网的无证书远程匿名认证方法”,该文件公开了“一种无线体域网的无证书远程匿名认证方法,主要解决无线体域网远程认证中的匿名性问题,主要步骤是:1)网络管理者初始化整个无线体域网系统;2)无线体域网用户向网络管理者进行身份注册;3)网络管理者向无线体域网用户颁发账户索引;4)无线体域网用户使用账户索引以匿名的方式向网络管理者发送服务请求;5)应用服务提供商与无线体域网用户之间进行双向认证。本专利技术既消除了对证书的需求,又无密钥托管的弊端,具有安全性能好,计算复杂度低的优点,可用于远程医疗监控等应用场景”。上述公开文件与本
技术实现思路
要解决的技术问题,采用的技术手段都不相同。
技术实现思路
本专利技术的技术任务是提供一种远程认证中证书管理的方法。本专利技术的技术任务是按以下方式实现的,该证书管理方法包含可信计算节点,计算节点代理程序和集群可信管理程序三部分;可信计算节点:装有TPM芯片的计算机或服务器,其启动过程中会建立度量链,每一级将系统控制权交给下一级前会度量下一级代码块或配置文件,并将计算的度量值扩展至PCR中,系统启动后,PCR中包含了整个节点关键启动部件的完整性信息;计算节点代理程序:安装在可信计算节点上的程序,向管理程序上报本节点的信息,完成可信注册并初始化TPM芯片;集群可信管理程序:集群可信状态管理端,完成证书颁发和远程认证的功能,可以统一管理各个可信节点的身份证书,一旦检测到认证节点中的身份密钥发生变化,会请求代理程序重新上报身份密钥完成新身份证书的颁发;系统管理员也可通过管理程序主动触发更新身份证书。所述的计算节点代理程序在可信计算节点系统启动后会收集存放在PCR中的本次启动信息并上报给管理程序,由管理程序校验本次启动过程中关键部件是否遭到篡改。该证书管理方法的流程如下:1)启动系统程序;2)代理程序上报身份证书及完整性信息;3)集群可信管理程序提取对应证书;4)判断证书是否过期?证书过期,则集群可信管理程序下发身份密钥请求命令,代理程序上报身份密钥,PrivacyCA为身份密钥颁发新证书,并将其存放到KeyStore中;5)若证书没有过期,则管理程序读取PrivacyCA,检验身份证书,判断证书是否由本PrivacyCA下发,如果不是,则重复步骤4);6)若证书是由本PrivacyCA下发,则管理程序提取校验信息及签名,判断签名是否完整,签名完整则PrivacyCA进行完整性校验;7)若签名不完整,则管理程序下发身份密钥请求命令,代理程序上报身份密钥,判断身份密钥与身份证书是否一致?身份密钥与身份证书一致,则签名信息遭受篡改,重新进行远程认证;8)若身份密钥与身份证书不一致,PrivacyCA为身份密钥颁发新证书,并将其存放到KeyStore中。本专利技术的一种远程认证中证书管理的方法和现有技术相比,利用远程认证中证书下发功能收集每一节点的身份证书信息,利用校验过程中证书校验监控每一证书的有效性,并为系统管理者提供配置证书的接口;可以有效的管理各证书,方便管理者配置每一节点的证书。附图说明图1为一种远程认证中证书管理的方法的流程框图。具体实施方式实施例1:该证书管理方法包含可信计算节点,计算节点代理程序和集群可信管理程序三部分;可信计算节点:装有TPM芯片的计算机或服务器,其启动过程中会建立度量链,每一级将系统控制权交给下一级前会度量下一级代码块或配置文件,并将计算的度量值扩展至PCR中,系统启动后,PCR中包含了整个节点关键启动部件的完整性信息;计算节点代理程序:安装在可信计算节点上的程序,向管理程序上报本节点的信息,完成可信注册并初始化TPM芯片;集群可信管理程序:集群可信状态管理端,完成证书颁发和远程认证的功能,可以统一管理各个可信节点的身份证书,一旦检测到认证节点中的身份密钥发生变化,会请求代理程序重新上报身份密钥完成新身份证书的颁发;系统管理员也可通过管理程序主动触发更新身份证书。所述的计算节点代理程序在可信计算节点系统启动后会收集存放在PCR中的本次启动信息并上报给管理程序,由管理程序校验本次启动过程中关键部件是否遭到篡改。该证书管理方法的流程如下:1)启动系统程序;2)代理程序上报身份证书及完整性信息;3)集群可信管理程序提取对应证书;4)判断证书是否过期?证书过期,则集群可信管理程序下发身份密钥请求命令,代理程序上报身份密钥,PrivacyCA为身份密钥颁发新证书,并将其存放到KeyStore中;5)若证书没有过期,则管理程序读取PrivacyCA,检验身份证书,判断证书是否由本PrivacyCA下发,如果不是,则重复步骤4);6)若证书是由本PrivacyCA下发,则管理程序提取校验信息及签名,判断签名是否完整,签名完整则PrivacyCA进行完整性校验;7)若签名不完整,则管理程序下发身份密钥请求命令,本文档来自技高网...
【技术保护点】
一种远程认证中证书管理的方法,其特征在于,该证书管理方法包含可信计算节点,计算节点代理程序和集群可信管理程序三部分;可信计算节点:装有TPM芯片的计算机或服务器,其启动过程中会建立度量链,每一级将系统控制权交给下一级前会度量下一级代码块或配置文件,并将计算的度量值扩展至PCR中,系统启动后,PCR中包含了整个节点关键启动部件的完整性信息;计算节点代理程序:安装在可信计算节点上的程序,向管理程序上报本节点的信息,完成可信注册并初始化TPM芯片;集群可信管理程序:集群可信状态管理端,完成证书颁发和远程认证的功能,可以统一管理各个可信节点的身份证书,一旦检测到认证节点中的身份密钥发生变化,会请求代理程序重新上报身份密钥完成新身份证书的颁发;系统管理员也可通过管理程序主动触发更新身份证书。
【技术特征摘要】
1.一种远程认证中证书管理的方法,其特征在于,该证书管理方法包含可信计算节点,
计算节点代理程序和集群可信管理程序三部分;
可信计算节点:装有TPM芯片的计算机或服务器,其启动过程中会建立度量链,每一级
将系统控制权交给下一级前会度量下一级代码块或配置文件,并将计算的度量值扩展至
PCR中,系统启动后,PCR中包含了整个节点关键启动部件的完整性信息;
计算节点代理程序:安装在可信计算节点上的程序,向管理程序上报本节点的信息,完
成可信注册并初始化TPM芯片;
集群可信管理程序:集群可信状态管理端,完成证书颁发和远程认证的功能,可以统一
管理各个可信节点的身份证书,一旦检测到认证节点中的身份密钥发生变化,会请求代理
程序重新上报身份密钥完成新身份证书的颁发;系统管理员也可通过管理程序主动触发更
新身份证书。
2.根据权利要求1所述的一种远程认证中证书管理的方法,其特征在于,所述的计算节
点代理程序在可信计算节点系统启动后会收集存放在PCR中的本次启动信息并上报给管理
程序,由管理程序校验本次启动过程中关键部件是否遭到篡改。
【专利技术属性】
技术研发人员:许鑫,吴保锡,
申请(专利权)人:浪潮电子信息产业股份有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。