技術(shù)領(lǐng)域

本發(fā)明涉及電子領(lǐng)域，尤其涉及一種可信計(jì)算平臺(tái)與電子證書認(rèn)證系統(tǒng)的通信方法及系統(tǒng)。

背景技術(shù)

目前，電子證書認(rèn)證系統(tǒng)普遍支持的申請(qǐng)書格式為PKCS10，如CA(Certificate?Authority)系統(tǒng)，而可信計(jì)算平臺(tái)受限于可信計(jì)算標(biāo)準(zhǔn)的安全性要求，不能使用PKCS10標(biāo)準(zhǔn)的申請(qǐng)書格式，因此，現(xiàn)有的可信計(jì)算平臺(tái)僅提供電子證書的內(nèi)部管理功能，而無(wú)法實(shí)現(xiàn)與電子證書認(rèn)證系統(tǒng)之間的數(shù)據(jù)交互。

發(fā)明內(nèi)容

本發(fā)明提供一種可信計(jì)算平臺(tái)與電子證書認(rèn)證系統(tǒng)的通信方法及系統(tǒng)，解決可信計(jì)算平臺(tái)與電子證書認(rèn)證系統(tǒng)之間的數(shù)據(jù)交換的問(wèn)題。

為解決上述技術(shù)問(wèn)題，本發(fā)明采用以下技術(shù)方案：

一種可信計(jì)算平臺(tái)與電子證書認(rèn)證系統(tǒng)的通信方法，其特征在于，包括：

所述可信計(jì)算平臺(tái)根據(jù)預(yù)設(shè)的數(shù)據(jù)結(jié)構(gòu)創(chuàng)建請(qǐng)求，并將所述請(qǐng)求發(fā)送給所述電子證書認(rèn)證系統(tǒng)；

所述電子證書認(rèn)證系統(tǒng)根據(jù)所述請(qǐng)求向所述可信計(jì)算平臺(tái)反饋應(yīng)答。

將所述請(qǐng)求發(fā)送給所述電子證書認(rèn)證系統(tǒng)的步驟包括：使用所述可信計(jì)算平臺(tái)隨機(jī)產(chǎn)生的對(duì)稱密鑰加密所述請(qǐng)求，并使用所述電子證書認(rèn)證系統(tǒng)的公鑰加密所述對(duì)稱密鑰；再將所述請(qǐng)求發(fā)送給所述電子證書認(rèn)證系統(tǒng)。

所述電子證書認(rèn)證系統(tǒng)根據(jù)所述請(qǐng)求向所述可信計(jì)算平臺(tái)反饋應(yīng)答的步驟包括：使用所述電子證書認(rèn)證系統(tǒng)隨機(jī)產(chǎn)生的對(duì)稱密鑰加密所述應(yīng)答，并使用EK公鑰加密所述對(duì)稱密鑰，再將所述應(yīng)答反饋給所述可信計(jì)算平臺(tái)。

所述請(qǐng)求包括平臺(tái)身份證書(PIK證書)請(qǐng)求、平臺(tái)加密證書(PEK證書)請(qǐng)求和平臺(tái)加密密鑰(PEK)請(qǐng)求中的至少一種。

所述平臺(tái)身份證書請(qǐng)求攜帶的信息內(nèi)容包括：數(shù)據(jù)結(jié)構(gòu)版本、平臺(tái)身份標(biāo)識(shí)、EK證書、身份公鑰和文摘中的一種或多種。

所述電子證書認(rèn)證系統(tǒng)根據(jù)所述平臺(tái)身份證書請(qǐng)求反饋給所述可信計(jì)算平臺(tái)的應(yīng)答包括：所述電子證書認(rèn)證系統(tǒng)簽發(fā)的X.509標(biāo)準(zhǔn)的平臺(tái)身份證書。

所述平臺(tái)身份證書請(qǐng)求的數(shù)據(jù)結(jié)構(gòu)為TCM_IDENTITY_REQ；所述電子證書認(rèn)證系統(tǒng)根據(jù)所述平臺(tái)身份證書請(qǐng)求向所述可信計(jì)算平臺(tái)反饋數(shù)據(jù)結(jié)構(gòu)為TCM_SYM_CA_ATTESTATION的平臺(tái)身份證書。

所述平臺(tái)加密密鑰請(qǐng)求攜帶的信息內(nèi)容包括：平臺(tái)加密密鑰參數(shù)；所述平臺(tái)加密證書請(qǐng)求攜帶的信息內(nèi)容包括：數(shù)據(jù)結(jié)構(gòu)版本、平臺(tái)身份標(biāo)識(shí)、EK證書和平臺(tái)加密密鑰參數(shù)中的一種或多種；所述平臺(tái)加密密鑰參數(shù)包括算法、加密模式、簽名模式和密鑰長(zhǎng)度中的一種或多種。

所述電子證書認(rèn)證系統(tǒng)根據(jù)所述平臺(tái)加密證書請(qǐng)求反饋給所述可信計(jì)算平臺(tái)的應(yīng)答包括：所述電子證書認(rèn)證系統(tǒng)簽發(fā)的X.509標(biāo)準(zhǔn)的平臺(tái)加密證書；所述電子證書認(rèn)證系統(tǒng)根據(jù)所述平臺(tái)加密密鑰請(qǐng)求反饋給所述可信計(jì)算平臺(tái)的應(yīng)答包括：平臺(tái)加密密鑰的應(yīng)答數(shù)據(jù)參數(shù)，所述平臺(tái)加密密鑰的應(yīng)答數(shù)據(jù)參數(shù)包括：密鑰用途屬性、密鑰可遷移屬性、密鑰PCR屬性、密鑰授權(quán)屬性、加密模式、簽名模式、密鑰長(zhǎng)度、平臺(tái)加密密鑰公鑰或平臺(tái)加密密鑰私鑰中的一種或多種。

所述平臺(tái)加密證書請(qǐng)求和平臺(tái)加密密鑰請(qǐng)求的數(shù)據(jù)結(jié)構(gòu)為TCM_PEK_REQ；所述電子證書認(rèn)證系統(tǒng)根據(jù)所述平臺(tái)加密證書請(qǐng)求向所述可信計(jì)算平臺(tái)反饋數(shù)據(jù)結(jié)構(gòu)為TCM_SYM_CA_ATTESTATION的平臺(tái)加密證書；所述電子證書認(rèn)證系統(tǒng)根據(jù)所述平臺(tái)加密密鑰請(qǐng)求向所述可信計(jì)算平臺(tái)反饋數(shù)據(jù)結(jié)構(gòu)為TCM_KEY的平臺(tái)加密密鑰。

一種可信計(jì)算平臺(tái)與電子證書認(rèn)證系統(tǒng)的通信系統(tǒng)，包括可信計(jì)算平臺(tái)和電子證書認(rèn)證系統(tǒng)，其中，

所述可信計(jì)算平臺(tái)用于根據(jù)預(yù)設(shè)的數(shù)據(jù)結(jié)構(gòu)創(chuàng)建請(qǐng)求，并將所述請(qǐng)求發(fā)送給所述電子證書認(rèn)證系統(tǒng)；

所述電子證書認(rèn)證系統(tǒng)用于根據(jù)所述請(qǐng)求向所述可信計(jì)算平臺(tái)反饋應(yīng)答。

所述可信計(jì)算平臺(tái)包括請(qǐng)求加密單元，所述請(qǐng)求加密單元用于通過(guò)所述可信計(jì)算平臺(tái)隨機(jī)產(chǎn)生的對(duì)稱密鑰加密所述請(qǐng)求，并通過(guò)所述電子證書認(rèn)證系統(tǒng)的公鑰加密所述對(duì)稱密鑰。

所述電子證書認(rèn)證系統(tǒng)包括應(yīng)答加密單元，所述應(yīng)答加密單元用于通過(guò)所述電子證書認(rèn)證系統(tǒng)隨機(jī)產(chǎn)生的對(duì)稱密鑰加密所述應(yīng)答，并通過(guò)EK公鑰加密所述對(duì)稱密鑰。

本發(fā)明提供一種可信計(jì)算平臺(tái)與電子證書認(rèn)證系統(tǒng)的通信方法及系統(tǒng)，該方法中可信計(jì)算平臺(tái)根據(jù)預(yù)設(shè)的數(shù)據(jù)結(jié)構(gòu)創(chuàng)建請(qǐng)求，并將所述請(qǐng)求發(fā)送給所述電子證書認(rèn)證系統(tǒng)；所述電子證書認(rèn)證系統(tǒng)根據(jù)所述請(qǐng)求向所述可信計(jì)算平臺(tái)反饋應(yīng)答，由于可信計(jì)算平臺(tái)根據(jù)預(yù)設(shè)的數(shù)據(jù)結(jié)構(gòu)創(chuàng)建請(qǐng)求，因此，避免了使用PKCS10標(biāo)準(zhǔn)的申請(qǐng)書格式，實(shí)現(xiàn)了可信計(jì)算平臺(tái)與電子證書認(rèn)證系統(tǒng)之間的數(shù)據(jù)交換。