The invention discloses a trusted verification method and device for verifying a trusted device. The trusted device is equipped with a trusted computing module. The method includes: the trusted device is powered up, the measurement of the measured data at each level is calculated by using the state secret SM3 algorithm in the process of building a trusted chain step by step, and the measurement is saved in the PCR register of the trusted computing module; Then, the trusted device and authentication server verify the integrity of the trusted device by using state-secret algorithm according to the measurement value. The invention realizes the trusted chain construction and trusted verification of the trusted equipment by using the national secret algorithm, and can guarantee the security and controllability of the trusted equipment.
【技术实现步骤摘要】
一种可信验证方法及装置
本专利技术涉及可信计算
,特别是指一种可信验证方法及装置。
技术介绍
随着大数据、云计算等信息技术的快速发展,国家和社会对信息技术的依赖程度日益增加,涉及隐私、密级数据等敏感数据处理的信息安全技术一直是研究重点。可信计算技术是以可信计算平台为基础,以可信计算模块为信任根,从硬件层面出发建立一条可信链,构建可信的计算运行环境,是提高信息安全性的有效方法。目前的可信链构建过程,一般是利用国际通用密码算法实现,国密算法是我国自主研发的一套密码算法(包括SM1、SM2、SM3、SMS4算法),结合我国对信息安全等级保护及合规性的要求,为了提高可信链的安全性和可控性,基于国密算法构建可信链十分必要。
技术实现思路
有鉴于此,本专利技术的目的在于提出一种可信验证方法及装置,基于国密算法实现可信链的构建与可信设备的验证,保证可信设备的安全性和可控性。基于上述目的,本专利技术提供了一种可信验证方法,应用于可信设备,所述可信设备配置有可信计算模块,方法包括:构建可信链:所述可信设备加电,逐级度量构建可信链过程中,利用国密SM3算法计算每级被度量数据的度量值,将所述度量值保存于所述可信计算模块的PCR寄存器中。可选的,所述度量值以PCR扩展方法保存于所述PCR寄存器中。可选的,所述方法还包括:所述可信设备启动后,向认证服务器发送完整性验证请求;接收所述认证服务器利用国密SM3算法生成的随机数;从所述PCR寄存器中读取出所述度量值,以所述随机数为对称密钥,利用国密SM4算法对所述度量值进行加密处理,生成密文度量值;基于所述可信计算模块创建国密SM2算法 ...
【技术保护点】
1.一种可信验证方法,应用于可信设备,所述可信设备配置有可信计算模块,其特征在于,方法包括:构建可信链:所述可信设备加电,逐级度量构建可信链过程中,利用国密SM3算法计算每级被度量数据的度量值,将所述度量值保存于所述可信计算模块的PCR寄存器中。
【技术特征摘要】
1.一种可信验证方法,应用于可信设备,所述可信设备配置有可信计算模块,其特征在于,方法包括:构建可信链:所述可信设备加电,逐级度量构建可信链过程中,利用国密SM3算法计算每级被度量数据的度量值,将所述度量值保存于所述可信计算模块的PCR寄存器中。2.根据权利要求1所述的方法,其特征在于,所述度量值以PCR扩展方法保存于所述PCR寄存器中。3.根据权利要求1所述的方法,其特征在于,还包括:所述可信设备启动后,向认证服务器发送完整性验证请求;接收所述认证服务器利用国密SM3算法生成的随机数;从所述PCR寄存器中读取出所述度量值,以所述随机数为对称密钥,利用国密SM4算法对所述度量值进行加密处理,生成密文度量值;基于所述可信计算模块创建国密SM2算法的公钥、私钥对,利用国密SM3算法计算所述密文度量值的第一摘要值,利用所述私钥对所述第一摘要值进行加密处理,生成所述密文度量值的数字签名;将包括所述公钥、密文度量值、数字签名的验证信息发送至所述认证服务器,由所述认证服务器根据所述验证信息对所述可信设备进行完整性验证。4.一种可信验证方法,应用于认证服务器,其特征在于,包括:接收可信设备发送的完整性验证请求;利用国密SM3算法生成随机数,将随机数发送至所述可信设备;接收所述可信设备发送的包括公钥、密文度量值、数字签名的验证信息,从中解析出所述公钥、密文度量值、数字签名;利用所述公钥对所述数字签名进行解密处理,生成密文度量值的第二摘要值,利用国密SM3算法计算所述密文度量值的第一摘要值;将所述第一摘要值与所述第二摘要值进行比较,若不一致则向所述可信设备发送完整性验证未通过消息;若一致则:以所述随机数为对称密钥,利用国密SM4算法对所述密文度量值进行解密处理,生成明文度量值;将所述明文度量值与所述认证服务器保存的所述可信设备的基准度量值进行比较,若一致则向所述可信设备发送完整性验证通过消息,若不一致则向所述可信设备发送完整性验证未通过消息。5.一种可信验证装置,应用于可信设备,所述可信设备配置有可信计算模块,其特征在于,包括:度量模块,用于于所述可信设备加电,逐级度量构建可信链过程中,利用国密SM3算法计算每级被度量数据的度量值,将所述度...
【专利技术属性】
技术研发人员:郑驰,梁思谦,
申请(专利权)人:大唐高鸿信安浙江信息科技有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。