一种平台软件完整性证明方法和装置制造方法及图纸

本发明专利技术提出了一种平台软件完整性证明方法和装置，其中所述方法包括：在传统的实施PKI的三层信息系统基础上,基于完整性度量机制,设立可信权威第三方——度量中心,作为可信计算的信任仲裁与监督方,在信息数据流转和变换的关键环节实施可信完整性度量,形成数据度量可信链,通过对数据度量可信链关键数据的比较和分析,具体包括密钥分配方法、会话密钥协商方法、度量存储方法、快速检测方法和信息传输方法。本发明专利技术提出了的平台软件完整性证明方法和装置，提高了平台安全验证的安全性和灵活性。

【技术实现步骤摘要】
一种平台软件完整性证明方法和装置
本专利技术涉及安全验证领域，具体涉及一种平台软件完整性证明方法和装置。
技术介绍
随着信息技术的发展,各种计算资源通过网络的通信交互不断增加,各行业的信息化进程也不断加深,对计算机通信的依赖越来越多,与此同时,我国信息化建设也在全面深入的开展,计算机互联网的飞速发展,使信息系统的安全状况日趋复杂混乱。病毒、蠕虫、木马等恶意程序在网络和信息系统中传播、泛滥,信息系统不断面临来自不可预知情况的挑战,信息安全状况日益严峻,安全保密已成为信息系统建设的重要问题。在可信计算平台联盟成立不久，中国国内开始了对可信计算的研究。在2000年6月到2004年10月期间，武汉瑞达公司和武汉大学合作率先研制出了我国第一款自主研制的可信计算平台。2005年，联想公司和兆日公司也先后推出了自己的可信平台产品，这些产品都获得了国家密码管理局的鉴定和认证。2006年开始，在国家密码管理局和全国信息安全标准委员会主持下，许多相关厂商共同参与制定了一系列可信计算的规范和标准，并组织了相关产品的研发，自此在各个层次上，可信计算产业链都有了很强的支持，并且已经被产业所接受，这为以后的可信本文档来自技高网...

【技术保护点】
一种平台软件完整性证明方法，包括：在传统的实施PKI的三层信息系统基础上,基于完整性度量机制,设立可信权威第三方——度量中心,作为可信计算的信任仲裁与监督方,在信息数据流转和变换的关键环节实施可信完整性度量,形成数据度量可信链,通过对数据度量可信链关键数据的比较和分析,具体包括密钥分配方法、会话密钥协商方法、度量存储方法、快速检测方法和信息传输方法。

【技术特征摘要】
1.一种平台软件完整性证明方法，包括：在传统的实施PKI的三层信息系统基础上,基于完整性度量机制,设立可信权威第三方——度量中心,作为可信计算的信任仲裁与监督方,在信息数据流转和变换的关键环节实施可信完整性度量,形成数据度量可信链,通过对数据度量可信链关键数据的比较和分析,具体包括密钥分配方法、会话密钥协商方法、度量存储方法、快速检测方法和信息传输方法。2.如权利要求1所述的方法，其中，定义符号如下:DATA为数据信息,M为明文,C为密文,h()为度量的杂凑函数,E()为加密计算函数,D()为解密计算函数,Request()为请求函数,hX为度量结果,PK为公钥,SK为私钥,密钥下标表示密钥所属用户,如PKB表示B的公钥,Ks为会话密钥,ID为身份标识,T为时间戳,N为随机数,IX-Y表示信息从X向Y传送的摘要,Trusted表示可信、NotTrusted表示不可信,MC为度量中心,DH为信息库,MF为中间层,CA为认证中心。在加、解密运算中，[]表示密钥所属者,如EPK[B]表示以B的公钥加密,在叙述中仍用下标标识密钥所属者；密钥分配方法包括：(1)用户A生成TA，A向CA发送(Request(B),IDA,TA)，B表示用户B；(2)CA接收后,识别IDA,确认IDA正确后,确认A发来的Request(B)和TA,CA向A发送ESK[CA](PKB,Request(B),TA)；(3)若A在预定时限内收不到CA回复,重复(1)三次,若三次后没收到CA回复,报警退出；若A在预定时限内收到CA回复,计算DPK[CA](ESK[CA](PKB,Request(B),TA))得到(PKB,Request(B),TA),如A确认Request(B)和TA为前面所发,则继续,否则报警退出。3.如权利要求2所述的方法，其中，会话密钥协商方法包括：(1)通过密钥分配方法,A获取PKB；(2)用户A生成NA,用户A向用户B发送EPK[B](NA,IDA)；(3)B收到后,做DSK[B](EPK[B](NA,IDA))得到(NA,IDA)；(4)通过密钥分配方法,B获取PKA；(5)用户B生成NB,B向A发送EPK[A](NB,NA)；(6)若A在预定时限内收不到B回复,重复(2)三次,若三次后没收到B回复,报警退出；若A在预定时限内收到B回复,做DSK[A](EPK[A](NB,NA))得到(NB,NA),比较NA,若与前面所发出的相同则继续,否则报警退出；(7)A生成Ks,A向B发送EPK[B](NB,ESK[A](Ks))；(8)若B在预定时限内收不到A回复,重复(5)三次,若三次后没收到A回复,报警退出；若B在预定时限内收到A回复,做DSK[B](EPK[B](NB,ESK[A](Ks)))得到(NB,ESK[A](Ks)),比较NB,若与前面所发出的相同则继续,否则报警退出；(9)B用PKA解密做DPK[A](ESK[A](Ks))得到Ks。4.如权利要求3所述的方法，其中，度量存储方法包括：A向MC发送度量信息,度量信息主要包括度量值hX和度量报告MRX,(1)A生成TA,A向MC发送EPK...

【专利技术属性】
技术研发人员：邹麟，陈成，
申请(专利权)人：成都麟成科技有限公司，
类型：发明
国别省市：四川,51