技術領域

本發明是涉及計算機安全，尤其涉及計算機設備安全地傳遞密碼密鑰。

背景技術

目前的計算機安全特征的某些處理系統體系結構要求特別保護，軟件模塊能夠創建與處理系統中特別保護硬件設備的經認證的加密通信會話。一種用于標識設備并同時建立加密通信會話的常用方法，在這一過程中，向設備分配唯一的公有/私有，由于該認證過程使用RSA或ECC密鑰，因此設備具有唯一且可證明的身份，這可能會引發私密性問題。在最壞情況下，這些問題會導致缺少對構建提供這種安全性的可信設備的支持。密鑰交換協議來允許受保護/可信設備認證它們自己并建立與可信軟件模塊的加密通信會話避免了在處理系統中創建任何唯一身份信息，并由此避免引入私密性問題。然而，在生產線上的設備中直接嵌入直接證明私鑰要求設備上有比其它方法更多的受保護非易失性存儲，從而增加了設備成本。由設備本身安裝在設備中的方法，實現對設備的基于直接證明的密鑰交換所需的非易失性存儲的量的減少可導致對這一技術的更寬泛采用。各種類型的通信鏈路的示例包括但不限于或不約束手電線、光纖、電纜、總線軌跡或無線信令技術。

發明內容：

為實現上述目的，本發明提供這一種平臺發送請求，平臺提供關于其本身的信息，響應于請求，平臺提供所請求第一平臺需要驗證來自由選擇的一個設備制造商或選擇的一組設備制造商制造的設備的所請求的信息。

根據上述要是所述，本發明的技術方案是平臺以示出它具有由設備制造商生成的密碼信息，平臺通過以回復的形式提可信平合模塊TPM，TPM是由設備制造商制造的密碼設備，密封在封裝內的少量片上存儲器的處理器中配置成向平臺，處理器為微處理器、數字信號處理器、微控制器。

本發明的有益效果：

本發明的計算機系統的配置取決于諸如價格約束、性能要求、技術改進其它環境等眾多因素而在各個實現之間不同。計算機系統支持使用存儲在主存儲器大容量存儲設備中并由處理器執行的特別保護的“可信”軟件模塊，以在即使系統中存在其它惡意軟件的情況下也執行特定活動，這些可信軟件模塊中的某一些需要不僅對其它平臺，而且對同一平臺中的一個或多個設備，諸如圖形控制器的同等“可信”的受保護訪問。一般而言，這一訪問要求可信軟件模塊能夠標識設備的能力或特定身份，然后建立與該設備的加密會話以允許交換不能被系統中的其它軟件監聽或欺詐的數據。公鑰連同認證證書一起可被發放到軟件模塊。在DH密鑰交換過程中，設備使用其私鑰來簽署消息，軟件模塊可使用相應的公鑰來驗證該私鑰。

附圖說明：

圖1是本發明的系統流程圖；

圖2是本發明的密鑰的流程框圖。

具體實施方式：

本發明的在生產線上生產設備時，設備制造商僅將偽隨機數儲存到該設備中，同時使用分發CD來加密并傳遞，該過程確保只有指定的設備才能解密和使用其簽署的密鑰，可以按由設備制造商簽署的組記錄來傳遞稱為“密鑰塊”的數據結構。并且僅在對整個記錄進行語法分析之后才開始處理所提取的密鑰塊，攻擊者就無法基于定時攻擊來推斷選擇了密鑰塊。設備制造受保護系統包括在設備的制造之前的設置過程中使用的處理系統。受保護系統可由設備制造商或其它實體操作，以便受保護系統被保護不受來自設備制造方之外的黑客的攻擊。制造生產系統可在設備的制造中使用。密鑰塊包括至少三個數據項，如果對加密使用流密碼，則以用于在流密碼中使用的公知方法來使用。如果對加密使用塊密碼，則將用作要加密的消息的一部分，由此使得加密的每一實例都是不同的。

接任何組合，盡管此處CD被描述為存儲介質，但是可使用任何合適的可移動存儲介質。期望使用直接證明協議來進行與系統中包括的設備的通信會話的認證和密鑰交換的客戶機計算機系統可在一旦CD被插入到客戶機計算機系統的CDROM驅動器中之后即從CD上的密鑰塊數據庫中讀出所選擇的組記錄。密鑰塊數據可從組記錄中獲得，并由設備用于生成用于實現直接證明協議的本地化密鑰塊。設備驅動程序軟件由客戶機計算機系統執行來初始化并控制設備。設備制造商然后可生成指定的數目的設備密鑰。當為一組設備創建了密鑰塊的整個數據集時，至少簽署該組的密鑰塊數據庫并將其刻錄到常見的分發CD上，以隨每一設備分發。由此，設備制造商創建組記錄?？蓪⒔浐炇鸬慕M記錄添加到分發CD上的密銀塊數據庫。