一种可信验证方法及装置制造方法及图纸

本发明专利技术公开了一种可信验证方法及装置，用于对可信设备进行验证，可信设备配置有可信计算模块，方法包括：所述可信设备加电，逐级度量构建可信链过程中，利用国密SM3算法计算每级被度量数据的度量值；将所述度量值保存于所述可信计算模块的PCR寄存器中；之后，可信设备与认证服务器根据度量值利用国密算法对可信设备进行完整性验证。本发明专利技术利用国密算法实现对可信设备的可信链构建、可信验证，能够保证可信设备的安全性与可控性。

A Trusted Verification Method and Device

The invention discloses a trusted verification method and device for verifying a trusted device. The trusted device is equipped with a trusted computing module. The method includes: the trusted device is powered up, the measurement of the measured data at each level is calculated by using the state secret SM3 algorithm in the process of building a trusted chain step by step, and the measurement is saved in the PCR register of the trusted computing module; Then, the trusted device and authentication server verify the integrity of the trusted device by using state-secret algorithm according to the measurement value. The invention realizes the trusted chain construction and trusted verification of the trusted equipment by using the national secret algorithm, and can guarantee the security and controllability of the trusted equipment.

【技术实现步骤摘要】
一种可信验证方法及装置
本专利技术涉及可信计算
，特别是指一种可信验证方法及装置。
技术介绍
随着大数据、云计算等信息技术的快速发展，国家和社会对信息技术的依赖程度日益增加，涉及隐私、密级数据等敏感数据处理的信息安全技术一直是研究重点。可信计算技术是以可信计算平台为基础，以可信计算模块为信任根，从硬件层面出发建立一条可信链，构建可信的计算运行环境，是提高信息安全性的有效方法。目前的可信链构建过程，一般是利用国际通用密码算法实现，国密算法是我国自主研发的一套密码算法(包括SM1、SM2、SM3、SMS4算法)，结合我国对信息安全等级保护及合规性的要求，为了提高可信链的安全性和可控性，基于国密算法构建可信链十分必要。
技术实现思路
有鉴于此，本专利技术的目的在于提出一种可信验证方法及装置，基于国密算法实现可信链的构建与可信设备的验证，保证可信设备的安全性和可控性。基于上述目的，本专利技术提供了一种可信验证方法，应用于可信设备，所述可信设备配置有可信计算模块，方法包括：构建可信链：所述可信设备加电，逐级度量构建可信链过程中，利用国密SM3算法计算每级被度量数据的度量值，将所述度量值保存于所述可信计算模块的PCR寄存器中。可选的，所述度量值以PCR扩展方法保存于所述PCR寄存器中。可选的，所述方法还包括：所述可信设备启动后，向认证服务器发送完整性验证请求；接收所述认证服务器利用国密SM3算法生成的随机数；从所述PCR寄存器中读取出所述度量值，以所述随机数为对称密钥，利用国密SM4算法对所述度量值进行加密处理，生成密文度量值；基于所述可信计算模块创建国密SM2算法的公钥、私钥对，利用国密SM3算法计算所述密文度量值的第一摘要值，利用所述私钥对所述第一摘要值进行加密处理，生成所述密文度量值的数字签名；将包括所述公钥、密文度量值、数字签名的验证信息发送至所述认证服务器，由所述认证服务器根据所述验证信息对所述可信设备进行完整性验证。本专利技术实施例还提供一种可信验证方法，应用于认证服务器，包括：接收可信设备发送的完整性验证请求；利用国密SM3算法生成随机数，将随机数发送至所述可信设备；接收所述可信设备发送的包括公钥、密文度量值、数字签名的验证信息，从中解析出所述公钥、密文度量值、数字签名；利用所述公钥对所述数字签名进行解密处理，生成密文度量值的第二摘要值，利用国密SM3算法计算所述密文度量值的第一摘要值；将所述第一摘要值与所述第二摘要值进行比较，若不一致则向所述可信设备发送完整性验证未通过消息；若一致则：以所述随机数为对称密钥，利用国密SM4算法对所述密文度量值进行解密处理，生成明文度量值；将所述明文度量值与所述认证服务器保存的所述可信设备的基准度量值进行比较，若一致则向所述可信设备发送完整性验证通过消息，若不一致则向所述可信设备发送完整性验证未通过消息。本专利技术实施例还提供一种可信验证装置，应用于可信设备，所述可信设备配置有可信计算模块，其特征在于，包括：度量模块，用于于所述可信设备加电，逐级度量构建可信链过程中，利用国密SM3算法计算每级被度量数据的度量值，将所述度量值保存于所述可信计算模块的PCR寄存器中。可选的，所述度量值以PCR扩展方法保存于所述PCR寄存器中。可选的，所述装置还包括：第一数据收发模块，用于向认证服务器发送完整性验证请求，以及接收所述认证服务器利用国密SM3算法生成的随机数，以及向所述认证服务器发送包括公钥、密文度量值、数字签名的验证信息，以及接收所述认证服务器发送的完整性验证通过消息或是完整性验证未通过消息；加密模块，用于以所述随机数为对称密钥，利用国密SM4算法对从所述PCR寄存器中读取出的度量值进行加密处理，生成所述密文度量值；签名模块，用于基于所述可信计算模块创建国密SM2算法的公钥、私钥对，利用所述私钥对所述密文度量值进行加密处理，生成所述密文度量值的数字签名。本专利技术实施例还提供一种可信验证装置，应用于认证服务器，用于对可信设备进行完整性验证，所述装置包括：第二数据收发模块，用于接收所述可信设备发送的完整性验证请求，以及向所述可信设备发送随机数，以及接收所述可信设备发送的包括公钥、密文度量值、数字签名的验证信息，以及若签名验证模块得到签名验证未通过或是完整性验证模块得到完整性验证未通过，向所述可信设备发送完整性验证未通过消息，若完整性验证模块得到完整性验证通过，向所述可信设备发送完整性验证通过消息；随机数生成模块，用于根据所述完整性验证请求，利用国密SM3算法生成所述随机数；签名验证模块，用于根据所述验证信息，解析出所述公钥、密文度量值、数字签名，利用所述公钥对所述数字签名进行解密处理，生成所述密文度量值的第二摘要值，利用国密SM3算法计算所述密文度量值的第一摘要值，将所述第一摘要值与所述第二摘要值进行比较，若所述第一摘要值与所述第二摘要值一致则签名验证通过，若不一致则签名验证未通过；完整性验证模块，用于根据所述签名验证模块的签名验证结果，若所述签名验证通过，以所述随机数为对称密钥，利用国密SM4算法对所述密文度量值进行解密处理，生成明文度量值，将所述明文度量值与所述认证服务器保存的所述可信设备的基准度量值进行比较，若一致则所述可信设备的完整性验证通过，若不一致则所述可信设备的完整性验证未通过。从上面所述可以看出，本专利技术提供的可信验证方法及装置，首先在可信设备的可信链构建过程中，利用国密算法计算各级被度量数据的度量值，将度量值保存于可信计算模块的PCR寄存器中。之后，可信设备通过认证服务器进行完整性验证过程，验证过程中利用国密算法进行签名验证与度量值的完整性验证。本专利技术基于国密算法实现可信设备的可信链构建与完整性验证，能够保证可信设备的安全性和可控性。附图说明图1为本专利技术实施例的可信链构建方法流程示意图；图2为本专利技术实施例的应用于可信设备的可信验证方法流程示意图；图3为本专利技术实施例的应用于认证服务器的可信验证方法流程示意图；图4为本专利技术实施例的可信设备的可信验证装置结构示意图；图5为本专利技术实施例的认证服务器的可信验证装置结构示意图。具体实施方式以下结合附图和实施例对本专利技术作进一步详细的描述。图1为本专利技术实施例的方法流程示意图。如图所示，本专利技术实施例提供的可信验证方法，包括可信链构建过程：S10：可信设备加电，逐级度量构建可信链过程中，利用国密SM3算法计算每级被度量数据的度量值；S11：将度量值保存于可信计算模块的PCR寄存器中。本专利技术实施例的可信验证方法，基于配置有可信计算模块的可信设备实现。首先构建可信链，是于可信设备加电后，以信任根为起点，从硬件到BIOS、BootLoader、操作系统、应用程序逐级计算被度量数据(执行部分的代码或数据)的度量值，构建可信链。其中，利用国密SM3算法计算每级被度量数据的度量值，可信链构建完成，将各级计算得到的度量值存储于可信计算模块的PCR寄存器中。可选的，分别将各级计算得到的度量值以PCR扩展方法存储于可信计算模块的PCR寄存器中，可信链构建完成后，PCR寄存器中保存最终的度量值。其中，PCR扩展方法为：PCR[n]＝SM3(PCR[n]||被度量数据)，其含义是对当级被度量数据与当前PCR寄存器PCR[n]内的数据进行或运算，利用国密SM3本文档来自技高网...

【技术保护点】
1.一种可信验证方法，应用于可信设备，所述可信设备配置有可信计算模块，其特征在于，方法包括：构建可信链：所述可信设备加电，逐级度量构建可信链过程中，利用国密SM3算法计算每级被度量数据的度量值，将所述度量值保存于所述可信计算模块的PCR寄存器中。

【技术特征摘要】
1.一种可信验证方法，应用于可信设备，所述可信设备配置有可信计算模块，其特征在于，方法包括：构建可信链：所述可信设备加电，逐级度量构建可信链过程中，利用国密SM3算法计算每级被度量数据的度量值，将所述度量值保存于所述可信计算模块的PCR寄存器中。2.根据权利要求1所述的方法，其特征在于，所述度量值以PCR扩展方法保存于所述PCR寄存器中。3.根据权利要求1所述的方法，其特征在于，还包括：所述可信设备启动后，向认证服务器发送完整性验证请求；接收所述认证服务器利用国密SM3算法生成的随机数；从所述PCR寄存器中读取出所述度量值，以所述随机数为对称密钥，利用国密SM4算法对所述度量值进行加密处理，生成密文度量值；基于所述可信计算模块创建国密SM2算法的公钥、私钥对，利用国密SM3算法计算所述密文度量值的第一摘要值，利用所述私钥对所述第一摘要值进行加密处理，生成所述密文度量值的数字签名；将包括所述公钥、密文度量值、数字签名的验证信息发送至所述认证服务器，由所述认证服务器根据所述验证信息对所述可信设备进行完整性验证。4.一种可信验证方法，应用于认证服务器，其特征在于，包括：接收可信设备发送的完整性验证请求；利用国密SM3算法生成随机数，将随机数发送至所述可信设备；接收所述可信设备发送的包括公钥、密文度量值、数字签名的验证信息，从中解析出所述公钥、密文度量值、数字签名；利用所述公钥对所述数字签名进行解密处理，生成密文度量值的第二摘要值，利用国密SM3算法计算所述密文度量值的第一摘要值；将所述第一摘要值与所述第二摘要值进行比较，若不一致则向所述可信设备发送完整性验证未通过消息；若一致则：以所述随机数为对称密钥，利用国密SM4算法对所述密文度量值进行解密处理，生成明文度量值；将所述明文度量值与所述认证服务器保存的所述可信设备的基准度量值进行比较，若一致则向所述可信设备发送完整性验证通过消息，若不一致则向所述可信设备发送完整性验证未通过消息。5.一种可信验证装置，应用于可信设备，所述可信设备配置有可信计算模块，其特征在于，包括：度量模块，用于于所述可信设备加电，逐级度量构建可信链过程中，利用国密SM3算法计算每级被度量数据的度量值，将所述度...

【专利技术属性】
技术研发人员：郑驰，梁思谦，
申请(专利权)人：大唐高鸿信安浙江信息科技有限公司，
类型：发明
国别省市：浙江,33