一种基于可信计算的TCM设备身份认证方法技术

本发明专利技术涉及可信计算技术领域，具体是一种基于可信计算的TCM设备身份认证方法。在TCM设备出厂前通过其内部生成非对称主密钥对EK，从而产生非对称主密钥对EK证书，用户拿到TCM设备后再通过其内部生成一个非对称主密钥对EK，并读取非对称主密钥对EK证书的公钥，以及第二次生成的非对称主密钥对EK的公钥进行验证是否一致，如一致，则再通过根证书对非对称主密钥对EK证书进行验签，如果验签成功，表示所述TCM设备为原生产厂商生产未被替换，简单灵活易用。易用。易用。

【技术实现步骤摘要】
一种基于可信计算的TCM设备身份认证方法


[0001]本专利技术涉及可信计算
，具体是一种基于可信计算的TCM设备身份认证方法。

技术介绍

[0002]本说明书中的缩略语和关键术语定义如下:
[0003]可信密码模块trusted cryptography module(TCM)：是可信计算平台的硬件模块，为可信计算平台提供密码运算功能，具有受保护的存储空间。
[0004]TCM背书密钥tcm endorsement key：是可信密码模块的背书密钥。
[0005]主密钥primary key：从与内部层次结构关联的主种子创建的主密钥。
[0006]主种子primary seed：包含在从中派生主密钥和主对象的TCM中的大随机值。
[0007]随着信息电子化与信息全球化的飞速发展，人们对计算机在工作、生活中的选择与侧重逐渐从使用属性(如硬件配置、软件兼容、生态环境)向安全属性(如行为管理、信息泄露、身份认证等功能)转移。TCM(Trusted Cryptography Module)安全芯片是实现安全可信计算功能的重要模块，现有的TCM芯片通常内嵌专用型处理器，可通过硬件支持指令实现复杂加解密算法；其作为可信计算密码支撑平台中的重要组成部分，为整个系统提供安全可信根，对TCM身份的认证就显得尤为重要。厂商生产出来的TCM模块在向终端客户发放，再到安装TCM到平台使用过程中，如何防范别有用心的人或组织通过伪造、仿制相同的TCM硬件模块进行恶意替换，以达到攻击的目的，是一个亟需要解决的技术问题，即需要向用户提供一种识别TCM硬件模块是否是原生产厂商生产的技术方法。
[0008]现有专利技术公开了一种用于物联网的可信装置，申请号为2018115921125，其技术方案是：提供可信装置与可信网关通过通信模块进行通信，判断可以装置是否可信，解决了在物联网组建时，对可信的终端设备的需求，但是并未解决本申请要解决的技术问题。

技术实现思路

[0009]本专利技术的目的在于克服以上存在的技术问题，提供一种基于可信计算的TCM设备身份认证方法。
[0010]为实现上述目的，本专利技术采用如下的技术方案：
[0011]一种基于可信计算的TCM设备身份认证方法，包括以下步骤：
[0012]S1：产生EK证书
[0013]所述TCM设备在出厂之前，在所述TCM设备内部通过主种子生成第一非对称主密钥对EK，再读取所述第一非对称主密钥对EK的公钥，利用所述公钥信息生成证书请求信息发送给证书签发中心CA，所述证书签发中心CA收到请求后生成非对称主密钥对EK证书，并签发给请求用户，所述非对称主密钥对EK证书包含有所述第一非对称主密钥对EK的公钥；
[0014]S2：存储EK证书
[0015]使用所述TCM设备生产厂商的根密钥签名所述非对称主密钥对EK证书，并把签名
后的所述非对称主密钥对EK证书存储在所述TCM设备的非易失性存储器中；
[0016]S3：身份认证
[0017]获得所述TCM设备后，首先，按照所述第一非对称主密钥对EK的方法生成第二非对称主密钥对EK；其次，读取第二非对称主密钥对EK中的公钥；然后，读取所述非对称主密钥对EK证书的公钥；最后，验证已读取的所述第二非对称主密钥对EK中的公钥与所述非对称主密钥对EK证书中的公钥是否一致，如果一致，则读取所述可访问的外部平台中的根证书，使用所述根证书对所述非对称主密钥对EK证书进行验签，所述根证书是事先用所述根密钥自签名根证书，并把自签名的所述根证书公布到外部平台上；如果验签成功，表示所述TCM设备为厂商生产未被替换。
[0018]进一步地，所述步骤S1中，生成第一非对称主密钥对EK的方法是：在所述TCM设备内部先使用主种子通过KDF派生算法生成私钥，再根据所述私钥计算公钥，从而生成所述第一非对称主密钥对EK。
[0019]进一步地，所述步骤3)中读取所述可访问的外部平台中的根证书，使用所述根证书对所述非对称主密钥对EK证书进行验签的方法为：
[0020]请求用户向所述外部平台发送获取所述根证书的请求；所述外部平台接收到所述请求后将所述根证书发送给所述请求用户；所述请求用户再将所述根证书发送给所述TCM设备；所述TCM设备使用所述根证书对所述非对称主密钥对EK证书进行验签。
[0021]进一步地，所述非易失性存储器是ROM、Flash memory和NVRAM中的任意一种。
[0022]进一步地，所述可访问的外部平台是网站、网络服务器、云服务器、存储介质的任意一种或多种组合。
[0023]本专利技术在TCM设备出厂前通过其内部生成非对称主密钥对EK，从而产生非对称主密钥对EK证书，用户拿到TCM设备后再通过其内部生成一个非对称主密钥对EK，并读取非对称主密钥对EK证书的公钥，以及第二次生成的非对称主密钥对EK的公钥进行验证是否一致，如一致，则再通过根证书对非对称主密钥对EK证书进行验签，如果验签成功，表示所述TCM设备为原生产厂商生产未被替换，简单灵活易用。
附图说明
[0024]图1：本专利技术存储EK证书和存放根证书的流程示意图。
[0025]图2：本专利技术用户验证TCM设备是否一致性的流程示意图。
具体实施方式
[0026]下面结合附图及实施例对本专利技术进行详细说明。
[0027]本申请可访问的外部平台可以是网站、网络服务器、云服务器、存储介质等中的任意一种或多种组合，本实施例仅以厂商网站举例说明。
[0028]本申请非易失性存储器可以是ROM(Read
‑
only memory，只读存储器)、Flash memory(闪存)和NVRAM中的任意一种(非易失性随机存取存储器)，本实施例仅以Flash memory举例说明。
[0029]本申请的厂商指的是TCM设备生产原厂商，如厂商网站是指TCM设备生产原厂商的网站，厂商证书签发中心CA是指TCM设备生产原厂商的证书签发中心CA。
[0030]如图1
‑
2所示，一种基于可信计算的TCM设备身份认证方法，包括以下步骤：
[0031]S1：产生EK证书
[0032]厂商在TCM设备在出厂之前，在所述TCM设备内部先使用主种子通过KDF派生算法生成私钥，再根据所述私钥计算公钥，从而生成第一非对称主密钥对EK，厂商再读取第一非对称主密钥对EK中的公钥，并使用已读取的所述第一非对称主密钥对EK中的公钥和其他信息(如证书的使用机构、证书的有效时间、证书起始时间、证书结束时间)生成证书请求信息发送给厂商证书签发中心CA，厂商证书签发中心CA收到所述请求信息后生成非对称主密钥对EK证书，并签发给所述厂商，所述非对称主密钥对EK证书包含所述第一非对称主密钥对EK的公钥。
[0033]S2：存储EK证书
[0034]厂商向所述厂商证书签发中心CA发送请求签名非对称主密钥对EK证书，所述厂本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于可信计算的TCM设备身份认证方法，其特征在于，包括以下步骤：S1：产生EK证书所述TCM设备在出厂之前，在所述TCM设备内部通过主种子生成第一非对称主密钥对EK，再读取所述第一非对称主密钥对EK的公钥，利用所述公钥信息生成证书请求信息发送给证书签发中心CA，所述证书签发中心CA收到请求后生成非对称主密钥对EK证书，并签发给请求用户，所述非对称主密钥对EK证书包含有所述第一非对称主密钥对EK的公钥；S2：存储EK证书使用所述TCM设备生产厂商的根密钥签名所述非对称主密钥对EK证书，并把签名后的所述非对称主密钥对EK证书存储在所述TCM设备的非易失性存储器中；S3：身份认证获得所述TCM设备后，首先，按照所述第一非对称主密钥对EK的方法生成第二非对称主密钥对EK；其次，读取第二非对称主密钥对EK中的公钥；然后，读取所述非对称主密钥对EK证书的公钥；最后，验证已读取的所述第二非对称主密钥对EK中的公钥与所述非对称主密钥对EK证书中的公钥是否一致，如果一致，则读取所述可访问的外部平台中的根证书，使用所述根证书对所述非对称主密钥对EK证书进行验签，所述根证书是事先用所述根密钥自签名根证书，并把自签名的所述根证书公布...

【专利技术属性】
技术研发人员：罗辉，戴凯，龚京宏，高渊，
申请(专利权)人：江苏云涌电子科技股份有限公司，
类型：发明
国别省市：