技術領域

本公開涉及系統安全，并且更具體地涉及一種使用匿名密鑰系統來支持可信平臺模塊認證和證明的系統。

背景技術

基于現在可以電子地進行的越來越多種類的事務，保護電子信息已經成為了重要問題。包括例如黑客、如病毒、rootkit等惡意軟件(例如，惡意軟件(malware))等的各種威脅共享至少一個目的：規避現有保護措施以便獲得對另一個用戶設備的訪問或控制。采用設備來執行日常事務的用戶可能并未意識到他們的設備已經被損壞，并且可能正不知不覺地向第三方提供敏感的個人數據、財務數據和/或專有數據。正持續開發用于防止這些類型的攻擊的技術。然而，隨著新病毒保護策略出現，黑客正發現在設備內的更低層處進行攻擊的方式，獲得在設備中具有比保護軟件更高優先級的層處的訪問和/或控制。因此，設備制造商正將安全措施建立到設備的實際硬件中。例如，這些安全特征可以在設備初始化的早期階段發起，并且可以通過在將程序加載到設備中時執行安全檢查來確保稍后加載的程序是安全的。

基于硬件的安全系統的至少一個示例是可信平臺模塊(TPM)。TPM是安全密碼處理器的國際標準，可以是專用于通過將加密密鑰集成到設備中來保護硬件的分立式微處理器。TPM的技術規范由稱為可信計算組(TCG)的計算機行業聯盟維護。與2.0版本的TPM標準一致，證明標識密鑰(AIK)的生成需要制造商提供的背書密鑰(EK)和EK證書。分立式TPM解決方案通常包括片上存儲裝置，所述片上存儲裝置能夠容納EK和EK證書。然而，正在考慮新的沒有可用于EK和EK證書的空間的集成解決方案。與此要求一致，使用集成TPM的設備可能需要專門用于EK和EK證書的串行外設接口(SPI)閃存，這可能需要由原始設備制造商(OEM)組裝后提供給SPI閃存。制造過程的這種變化可能導致使用集成TPM的設備的成本大幅增加。

附圖說明

所要求保護的主題的各個實施例的特征和優點將隨著以下具體實施方式進行并且通過參照附圖變得明顯，其中，相同的數字指代相同的部件，并且在附圖中：

圖1示出了根據本公開的至少一個實施例的利用匿名密鑰系統進行TPM認證和證明的示例性系統；

圖2示出了根據本公開的至少一個實施例的利用包括多個可信執行環境的匿名密鑰系統進行TPM認證和證明的替代示例性系統；

圖3示出了根據本公開的至少一個實施例的用于設備和構成可用遠程資源的至少一個設備的示例性配置；

圖4示出了根據本公開的至少一個實施例的認證的示例；

圖5示出了根據本公開的至少一個實施例的認證的示例性實施方式；

圖6示出了根據本公開的至少一個實施例的證明的示例；

圖7示出了根據本公開的至少一個實施例的證明的示例性實施方式；

圖8示出了根據本公開的至少一個實施例的包括二次驗證的證明的替代示例；并且

圖9示出了根據本公開的至少一個實施例的包括基于AKS的驗證的證明的替代示例。

雖然以下具體實施方式將參考說明性實施例進行，但是許多替代方案、修改及其變化將對本領域的技術人員而言是明顯的。

具體實施方式

本公開涉及利用匿名密鑰系統進行可信平臺模塊認證和證明。一般地，可以通過使用匿名密鑰系統(AKS)認證在利用集成TPM的設備中支持TPM認證和TPM證明。一種設備可以至少包括例如組合式AKS和TPM資源，所述組合式AKS和TPM資源將AKS和TPM固件(FW)加載到所述設備中的運行時環境中。所述運行時環境還可以至少包括操作系統(OS)加密模塊、AKS服務模塊以及TPM認證和證明(CA)模塊。所述CA模塊可以與位于所述設備之外(例如，在可通過網絡訪問的遠程資源中)的認證和證明平臺進行交互。對于TPM認證，所述CA模塊可以與所述運行時環境中的其他模塊進行交互，以生成經AKS證書簽名的TPM證書，所述TPM證書可以被傳送到認證平臺進行驗證。對于TPM證明，所述CA模塊可以致使將多個TPM憑證提供給證明平臺進行驗證，所述TPM憑證可以和所述TPM證書和/或AKS證書一起提供。