一种基于安全芯片的可信移动存储方法技术

一种基于安全芯片的可信移动存储方法属于信息安全技术领域。其特征在于：其功能实体包括可信第三方、可信移动存储设备、可信用户主机；所述各功能实体均内置安全芯片；所述可信第三方由内置安全芯片的第三方服务器，或内嵌安全芯片的安全计算机担任；所述的可信移动存储设备是内嵌安全芯片且能够存储数据，并能够与可信用户主机交互数据的可移动装置；所述的可信用户主机，是内嵌安全芯片的计算机，是可信移动存储设备的访问主体。本发明专利技术提供了一种基于安全芯片的可信移动存储方法。

【技术实现步骤摘要】

本专利技术是，以可信计算技术和安全芯片技术为基础，提供一种安全的移动存储方法，属于信息安全领域。
技术介绍
随着计算机技术的不断发展及相关应用需求的不断变化，计算机安全以及信息安全方面的问题越来越突出。可信计算技术和安全芯片技术的不断进步为解决信息安全问题提出了新思路。本专利技术提出的基于安全芯片的可信移动存储方法用于机密信息的存储和移动，在保证安全性与可靠性的前提下，提升了机密信息传输和存储的灵活性和可移动性。安全芯片采用可信计算技术、SOC技术，内部结构主要包括微处理器、易失性存储器、非易失性存储器、硬件密码算法引擎等；安全芯片内部存储出厂发行时下发的EK证书和相关身份证书；EK密钥、存储根密钥等核心密钥永不出芯片，保证了密钥与机密数据的安全存储；密钥生成、加密解密、数字签名与验证等核心操作在芯片内部安全高效地完成。 安全存储是采用可信技术对密钥和敏感数据进行保护存储；通过报告机制完成平台和用户身份证明，建立可信的身份体系；安全芯片的密钥管理功能包括密钥的生成、存储、更新、销毁等。此外，安全芯片的功能还包括可信度量、随机数生成、数据加解密等。
技术实现思路
本专利技术目的是提供。，其特征在于其功能实体包括可信第三方、可信移动存储设备、可信用户主机；所述各功能实体均内置安全芯片；所述可信第三方由内置安全芯片的第三方服务器，或内嵌安全芯片的安全计算机担任；所述的可信移动存储设备是内嵌安全芯片且能够存储数据，并能够与可信用户主机交互数据的可移动装置； 所述的可信用户主机，是内嵌安全芯片的计算机，是可信移动存储设备的访问主体；所述的安全芯片内部结构至少包括控制与执行部件、易失性存储部件、非易失性存储部件、非对称密码算法引擎部件、对称密码算法引擎部件、哈希算法引擎部件、随机数生成部件、I/O接口部件；安全芯片内部包含表征芯片唯一性的EK密钥对，所述EK密钥对为非对称密钥，包括EK公钥和EK私钥；所述EK公钥是EK证书的一部分，在安全芯片出厂发行时随EK证书下发至安全芯片，所述EK私钥在安全芯片出厂发行时注入安全芯片内部， 所述EK私钥受到安全芯片保护；与所述EK证书在出厂发行时一同下发至安全芯片的还有发行证书，所述发行证书内容至少包括安全芯片的设备唯一序列号；所述的基于安全芯片的可信移动存储方法，其特征在于至少包括可信域建立、可信域成员的认证与添加、可信域成员之间的双向身份认证、可信域成员之间的数据交互；所述的可信域是一个逻辑集合，可信域成员是经过可信第三方认证与授权的可信用户主机、 可信移动存储设备，只有属于同一可信域的可信域成员之间允许交互数据；1)可信域建立的步骤如下，其中的安全芯片均是指可信第三方的安全芯片al)可信第三方的安全芯片的设备唯一序列号，与安全芯片的随机数生成部件产生的随机数一同，经过安全芯片的哈希算法引擎部件处理，生成可信第三方唯一标识信息， 由安全芯片的非对称密码算法引擎部件加密保护；a2)可信第三方的安全芯片的非对称密码算法引擎部件生成非对称密钥对，作为可信第三方根密钥；所述可信第三方根密钥包括公钥和私钥，所述可信第三方根密钥作为可信第三方认证授权信息，由安全芯片的非对称密码算法引擎部件加密保护；a3)可信第三方由安全芯片的随机数生成部件产生用于生成可信域唯一标识信息的随机数，所述用于生成可信域唯一标识信息的随机数经过安全芯片的哈希算法引擎部件处理，生成可信域唯一标识信息，所述可信域唯一标识信息由安全芯片的对称密码算法引擎部件加密保护；a4)可信第三方生成可信第三方根证书，所述可信第三方根证书至少包括可信第三方标识字段、可信第三方公钥字段、可信第三方根证书序列号字段、可信第三方根证书有效期字段、可信第三方自签名字段；所述可信第三方标识字段填充如al)所述的可信第三方唯一标识信息，所述可信第三方公钥字段，填充如a2)所述的可信第三方根密钥的公钥， 所述可信第三方根证书序列号字段填充可信第三方为可信第三方根证书产生的序列号，所述可信第三方根证书有效期字段填充由可信第三方设定的可信第三方根证书有效期，所述可信第三方自签名字段，填充安全芯片的哈希算法引擎部件和非对称密码算法引擎部件使用可信第三方根密钥的私钥，对所述可信第三方根证书的可信第三方标识字段、可信第三方公钥字段、可信第三方根证书序列号字段、可信第三方根证书有效期字段的数字签名；所述的可信第三方根证书，由安全芯片的对称密码算法引擎部件加密保护；a5)可信第三方将可信域唯一标识信息存储于可信域数据库中相应的可信域记录中；所述的可信域数据库是可信第三方的功能模块，用于按记录存储可信域信息，所述可信域信息至少包括可信域唯一标识信息、可信域成员的安全芯片的设备唯一序列号、EK证书、 发行证书；所述可信域数据库的内容存取时由安全芯片的非对称密码算法引擎部件或对称密码算法引擎部件加密解密；2)可信域成员的认证与添加步骤如下bl)可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件产生非对称的身份密钥对和加密密钥对；所述的身份密钥对包括身份公钥和身份私钥，所述身份密钥对作为所述的可信移动存储设备或可信用户主机的身份唯一标识信息，由可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件加密保护；所述加密密钥对作为所述的可信移动存储设备或可信用户主机的加密密钥，加密密钥包括公钥和私钥，所述的加密密钥由可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件加密保护；b2)如bl)所述的可信移动存储设备或可信用户主机，提交身份唯一标识信息的身份公钥、加密密钥的公钥以及可信移动存储设备或可信用户主机的安全芯片的EK证书和发行证书，向可信第三方发起请求；所述EK证书至少包含EK公钥；b3)可信第三方审核并验证如W)所述可信移动存储设备或可信用户主机提交的安全芯片的EK证书和发行证书，若通过验证则可信第三方为发出申请的可信移动存储设备或可信用户主机生成可信域成员认证证书，否则终止可信域成员的认证与添加；所述的可信域成员认证证书至少包括证书主体标识字段、证书主体身份公钥字段、证书主体加密公钥字段、可信域标识字段、可信第三方标识字段、证书序列号字段、证书有效期字段、可信第三方认证签名字段；所述的证书主体标识字段填充所述可信移动存储设备或可信用户主机的安全芯片的发行证书中的设备唯一序列号，所述的证书主体身份公钥字段填充所述可信移动存储设备或可信用户主机的身份唯一标识信息的身份公钥，所述的证书主体加密公钥字段填充所述可信移动存储设备或可信用户主机的加密密钥的公钥，所述的可信域标识字段，填充由可信域数据库中读取的可信域唯一标识信息，所述的可信第三方标识字段，填充可信第三方唯一标识信息，所述的证书序列号字段填充可信第三方产生的认证证书序列号，所述的证书有效期字段填充由可信第三方设定的可信域成员认证证书的有效期，所述的可信第三方认证签名字段，填充由可信第三方的安全芯片的非对称密码算法引擎部件使用可信第三方认证授权信息的私钥，对所述的可信域成员认证证书的证书主体标识字段、 证书主体身份公钥字段、证书主体加密公钥字段、可信域标识字段、可信第三方标识字段、 证书序列号字段、证书有效期字段经可信第三方的安全芯片的哈希算法引擎部件运算的结果的数字签名值本文档来自技高网...

【技术保护点】

【技术特征摘要】
1. 一种基于安全芯片的可信移动存储方法，其特征在于其功能实体包括可信第三方、可信移动存储设备、可信用户主机；所述各功能实体均内置安全芯片；所述可信第三方由内置安全芯片的第三方服务器，或内嵌安全芯片的安全计算机担任；所述的可信移动存储设备是内嵌安全芯片且能够存储数据，并能够与可信用户主机交互数据的可移动装置； 所述的可信用户主机，是内嵌安全芯片的计算机，是可信移动存储设备的访问主体；所述的安全芯片内部结构至少包括控制与执行部件、易失性存储部件、非易失性存储部件、非对称密码算法引擎部件、对称密码算法引擎部件、哈希算法引擎部件、随机数生成部件、I/O接口部件；安全芯片内部包含表征芯片唯一性的EK密钥对，所述EK密钥对为非对称密钥，包括EK公钥和EK私钥；所述EK公钥是EK证书的一部分，在安全芯片出厂发行时随EK证书下发至安全芯片， 所述EK私钥在安全芯片出厂发行时注入安全芯片内部，所述EK私钥受到安全芯片保护；与所述EK证书在出厂发行时一同下发至安全芯片的还有发行证书，所述发行证书内容至少包括安全芯片的设备唯一序列号；所述的基于安全芯片的可信移动存储方法，其特征在于至少包括可信域建立、可信域成员的认证与添加、可信域成员之间的双向身份认证、可信域成员之间的数据交互；所述的可信域是一个逻辑集合，可信域成员是经过可信第三方认证与授权的可信用户主机、可信移动存储设备，只有属于同一可信域的可信域成员之间允许交互数据；1)可信域建立的步骤如下，其中的安全芯片均是指可信第三方的安全芯片 al)可信第三方的安全芯片的设备唯一序列号，与安全芯片的随机数生成部件产生的随机数一同，经过安全芯片的哈希算法引擎部件处理，生成可信第三方唯一标识信息，由安全芯片的非对称密码算法引擎部件加密保护；a2)可信第三方的安全芯片的非对称密码算法引擎部件生成非对称密钥对，作为可信第三方根密钥；所述可信第三方根密钥包括公钥和私钥，所述可信第三方根密钥作为可信第三方认证授权信息，由安全芯片的非对称密码算法引擎部件加密保护；a3)可信第三方由安全芯片的随机数生成部件产生用于生成可信域唯一标识信息的随机数，所述用于生成可信域唯一标识信息的随机数经过安全芯片的哈希算法引擎部件处理，生成可信域唯一标识信息，所述可信域唯一标识信息由安全芯片的对称密码算法引擎部件加密保护；a4)可信第三方生成可信第三方根证书，所述可信第三方根证书至少包括可信第三方标识字段、可信第三方公钥字段、可信第三方根证书序列号字段、可信第三方根证书有效期字段、可信第三方自签名字段；所述可信第三方标识字段填充如al)所述的可信第三方唯一标识信息，所述可信第三方公钥字段，填充如a2)所述的可信第三方根密钥的公钥，所述可信第三方根证书序列号字段填充可信第三方为可信第三方根证书产生的序列号，所述可信第三方根证书有效期字段填充由可信第三方设定的可信第三方根证书有效期，所述可信第三方自签名字段，填充安全芯片的哈希算法引擎部件和非对称密码算法引擎部件使用可信第三方根密钥的私钥，对所述可信第三方根证书的可信第三方标识字段、可信第三方公钥字段、可信第三方根证书序列号字段、可信第三方根证书有效期字段的数字签名；所述的可信第三方根证书，由安全芯片的对称密码算法引擎部件加密保护；a5)可信第三方将可信域唯一标识信息存储于可信域数据库中相应的可信域记录中；所述的可信域数据库是可信第三方的功能模块，用于按记录存储可信域信息，所述可信域信息至少包括可信域唯一标识信息、可信域成员的安全芯片的设备唯一序列号、EK证书、发行证书；所述可信域数据库的内容存取时由安全芯片的非对称密码算法引擎部件或对称密码算法引擎部件加密解密；2)可信域成员的认证与添加步骤如下bl)可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件产生非对称的身份密钥对和加密密钥对；所述的身份密钥对包括身份公钥和身份私钥，所述身份密钥对作为所述的可信移动存储设备或可信用户主机的身份唯一标识信息，由可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件加密保护；所述加密密钥对作为所述的可信移动存储设备或可信用户主机的加密密钥，加密密钥包括公钥和私钥，所述的加密密钥由可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件加密保护；b2)如bl)所述的可信移动存储设备或可信用户主机，提交身份唯一标识信息的身份公钥、加密密钥的公钥以及可信移动存储设备或可信用户主机的安全芯片的EK证书和发行证书，向可信第三方发起请求；所述EK证书至少包含EK公钥；b3)可信第三方审核并验证如W)所述可信移动存储设备或可信用户主机提交的安全芯片的EK证书和发行证书，若通过验证则可信第三方为发出申请的可信移动存储设备或可信用户主机生成可信域成员认证证书，否则终止可信域成员的认证与添加；所述的可信域成员认证证书至少包括证书主体标识字段、证书主体身份公钥字段、证书主体加密公钥字段、可信域标识字段、可信第三方标识字段、证书序列号字段、证书有效期字段、可信第三方认证签名字段；所述的证书主体标识字段填充所述可信移动存储设备或可信用户主机的安全芯片的发行证书中的设备唯一序列号，所述的证书主体身份公钥字段填充所述可信移动存储设备或可信用户主机的身份唯一标识信息的身份公钥，所述的证书主体加密公钥字段填充所述可信移动存储设备或可信用户主机的加密密钥的公钥，所述的可信域标识字段，填充由可信域数据库中读取的可信域唯一标识信息，所述的可信第三方标识字段，填充可信第三方唯一标识信息，所述的证书序列号字段填充可信第三方产生的认证证书序列号，所述的证书有效期字段填充由可信第三方设定的可信域成员认证证书的有效期，所述的可信第三方认证签名字段，填充由可信第三方的安全芯片的非对称密码算法引擎部件使用可信第三方认证授权信息的私钥，对所述的可信域成员认证证书的证书主体标识字段、 证书主体身份公钥字段、证书主体加密公钥字段、可信域标识字段、可信第三方标识字段、 证书序列号字段、证书有效期字段经可信第三方的安全芯片的哈希算法引擎部件运算的结果的数字签名值；所述的可信域成员认证证书和可信第三方根证书，由可信第三方的安全芯片的非对称密码算法引擎部件加密后下发至如W)所述的发起请求的可信移动存储设备或可信用户主机，加密使用的密钥为W)所述的可信移动存储设备或可信用户主机提交的安全芯片EK证书中的EK公钥；b4)可信第三方将所述的可信移动存储设备或可信用户主机的安全芯片的设备唯一序列号、EK证书、发行证书以及如b3)所述生成的可信域成员认证证书存储到可信域数据库中对应的可信域记录中，所述的可信移动存储设备或可信用户主机成为可信域成员；b5)如bl)所述的可信移动存储设备或可信用户主机的安全芯片的非对称密码算法引擎部件，使用可信移动存储设备或可信用户主机的安全芯片的EK私钥，解密收到的可信第三方签发并加密的可信域成员认证证书和可信第三方根证书；可信移动存储设备或可信用户主机的安全芯片的对称密码算法引擎部件加密存储可信域成员认证证书和可信第三方根证书；3)可信域成员之间交互数据之前，双方必须经过双向身份认证，确认通信对方属于同一可信域，双向身份认证的具体步骤如下Cl)可信移动存储设备连接到可信用户主机，双方交换各自的可信域成员认证证书； c2)可信移动存储设备和可信用户主机双方首先读取对方可信域成员认证证书各字段内容，获取对方的可信第三方认证签名、可信域成员认证证书的有效期、可信域唯一标识信息、可信第三方唯一标识信息、安全芯片的设备唯一序列号、身份唯一标识信息的身份公钥、加密密钥的公钥；然后双方由各自的可信第三方根证书中提取可信第三方根密钥的公钥，双方各自的安全芯片的非对称密码算法引擎部件和哈希算法引擎部件使用所述的提取的可信第三方根密钥的公钥验证对方的可信第三方认证签名，确认对方的可信域成员认证证书由可信第三方签发且完整而未被篡改；之后双方验证对方的可信域成员认证证书的有效期，若在有效期内则继续下一步，否则终止双向身份认证；最后双方比较对方和自己的可信域唯一标识信息与可信第三方唯一标识信息，确认是否一致，若一致则继续下一步，否则终止双向身份认证；c3)可信移动存储设备的安全芯片的随机数生成部件产生设备端随机数R1，与如c2) 所述获取的可信用户主机的安全芯片的设备唯一序列号、可信域唯一标识信息、可信第三方唯一标识信息一起构成验证信息1 ；可信移动存储设备的安全芯片的哈希算法引擎部件对验证信息1进行哈希计算，所述哈希计算的结果由可信移动存储设备的安全芯片的非对称密码算法引擎部件使用可信移动存储设备的身份唯一标识信息的身份私钥进行数字签名，得到身份签名1，所述身份签名1与所述的验证信息1 一起构成身份验证消息1 ；然后可信移动存储设备的安全芯片的对称密码算法引擎部件随机地产生会话密钥1，并使用会话密钥1加密身份验证消息1产生消息密文1 ；之后，可信移动存储设备的安全芯片的非对称密码算法引擎部件使用如C2)所述获取的可信用户主机的加密密钥的公钥加密会话密钥 1，所述加密后的会话密钥1与所述的消息密文1 一起，发送至可信用户主机；c4)可信用户主机的安全芯片的非对称密码算法引擎部件使用可信用户主机自身的加密密钥的私钥，解密收到的已加密的会话密钥1，可信用户主机的安全芯片的对称密码算...

【专利技术属性】
技术研发人员：王冠，李天亮，周珺，李健，
申请(专利权)人：北京工业大学，
类型：发明
国别省市：