本發明公開了一種安全驗證方法及終端，包括在安全設備的芯片內部設置多個可信狀態寄存器TCR，在所述多個TCR中記錄安全設備啟動各個階段的哈希值，從而實現了安全設備可信狀態的逐級傳遞以及可信鏈的建立，最后利用TCR中存儲的哈希值生成憑據文件，并和基準值進行校驗來判定安全設備的狀態是否可信，本發明的技術方案能夠做到設備啟動過程中信任鏈的逐級傳遞，一旦設備的啟動狀態有了異常將會被及時發現并做出反應，極大地提升了安全設備的安全性和可信度。

技術領域

本發明涉及安全驗證領域，特別涉及一種可信驗證方法及終端。

背景技術

Ukey(USBKEY)內置智能卡芯片、有一定的存儲空間，可以存儲用戶的私鑰以及數字證書，利用Ukey內置的公鑰算法實現對用戶身份的認證。由于用戶私鑰保存在密碼芯片中，理論上很難進行破解，故可以保證用戶認證的安全性。目前的黑客技術日新月異，很難破解不等于不能破解。

目前市面上常見的TF卡(Trans-flashCard)僅有存儲功能而不支持密碼算法，常見的TF卡的賣點在于容量和存儲速度。個別面對行業用戶的安全TF卡有密碼功能、可以支持商密算法，可以看作是一種SD接口形式的智能卡安全芯片，由于沒有獨立的設計可信狀態寄存器(TCR，TrustedConditionRegister)故還是不可以做到在設備啟動過程中信任鏈的逐級傳遞。

發明內容

基于現有技術中存在的上述問題，有必要提出一種設備的安全驗證方法，將安全設備啟動各個階段的狀態信息進行保存，據此建立信任鏈以供安全驗證以及異常問題的回溯核查，從而提升安全設備的安全性和可信度。

一種安全驗證方法，其特征在于，包括：

步驟1：設備上電啟動，根據所述設備第一啟動階段的信息計算得到第一哈希值，與所述第一可信狀態寄存器內保存的初始哈希值進行運算得到第二哈希值，將所述第二哈希值寫入到所述第一可信狀態寄存器中以覆蓋所述初始哈希值，并將所述第一哈希值存儲到所述第二可信狀態寄存器可信狀態寄存器內；

步驟2：根據所述設備的BOOTLOADER計算得到第三哈希值，與所述第一可信狀態寄存器內保存的第二哈希值進行運算得到第四哈希值，將所述第四哈希值寫入到所述第一可信狀態寄存器中以覆蓋所述第二哈希值，并將所述第三哈希值存儲到所述第三可信狀態寄存器內；

步驟3：根據所述設備的OSKERNAL計算得到第五哈希值，與所述第一可信狀態寄存器內保存的第四哈希值進行運算得到第六哈希值，將所述第六哈希值寫入到所述第一可信狀態寄存器中以覆蓋所述第四哈希值，并將所述第五哈希值存儲到所述第四可信狀態寄存器內；

步驟4：對所述第六哈希值進行數字簽名，生成憑據文件并發送給驗證方；

步驟5：通過比對所述憑據文件和基準值完成安全設備的可信度校驗。

還包括：

所述第一啟動階段的信息為設備的核心代碼芯片固件。

還包括：

所述第二啟動階段的信息為設備的引導程序BOOTLOADER。

還包括：

所述第三啟動階段的信息為設備的操作系統內核OSKERNAL。

還包括：

采用MD5算法進行哈希值運算。

還包括：

所述TCR在一個上電周期內不能被重新初始化；

只能通過拓展的方式來變化；

簽名密鑰在硬件內不能導出；