基于TPM的嵌入式設備遠程身份認證方法屬于信息安全領域，利用的是可信計算技術，它是信息安全領域的一門新技術，具有自主免疫、全程可控可測等優點。本發明旨在利用可信計算完整性度量、密鑰管理和平臺綁定等優勢，設計一種遠程身份認證的方法。先對平臺配置做可信度量，然后將度量值擴展到平臺配置寄存器，把此度量值作為認證信息中的一項。TPM芯片內的背書密鑰(EK)與平臺身份綁定，由背書密鑰(EK)產生身份認證密鑰(AIK)，然后再由身份認證密鑰(AIK)簽名平臺配置度量值，這樣不但可以驗證平臺身份，還可以認證平臺完整性。這相較于傳統的遠程身份認證優勢明顯。

技術領域

本專利屬于信息安全領域，利用的是可信計算技術，它是信息安全領域的一門新技術，具有自主免疫、全程可控可測等優點。本發明旨在利用可信計算完整性度量、密鑰管理和平臺綁定等優勢，設計一種遠程身份認證的方法。

背景技術

可信計算的基本思想是立足于終端，在終端構建一個信任根，以信任根為起點，通過完整性度量技術，建立信任鏈，實現信任由信任根擴展到硬件平臺、操作系統，直至整個網絡，保證整個計算環境的可信。其目的是在計算和通信系統中廣泛使用基于硬件安全模塊支持下的可信計算平臺，以提高整體的安全性。可信計算技術彌補了以防外為主的防御手段的缺陷。它立足于入侵源頭設防，對網絡上的每一個節點實施認證和控制，建立點對點的信任機制?；谶@個信任系統，實施身份認證、授權訪問控制和安全責任審計等防御手段，突破了傳統的“堵漏洞、做高墻、防外攻”的被動方式?？尚庞嬎慵夹g以完整性度量技術為基礎，通過信息的信任傳遞模式，保障了信息在用戶、程序與機器之間的可信傳遞，建立了由信任根到

網絡的信任鏈，從而維護了網絡和信息安全。

可信平臺模塊(TPM)是一種集成在可信計算平臺中，用于建立和保障信任源點的硬件核心模塊，為可信計算提供完整性度量、安全存儲、可信報告以及密碼服務等功能?？尚牌脚_模塊作為信任度量的起點包括可信度量根、可信存儲根和可信報告根三個信任根。以可信平臺控制模塊為基礎，可以擴展出可信計算平臺的可信度量功能、可信報告功能與可信存儲功能。可信平臺控制模塊是可信計算平臺體系結構中的信任根。可信平臺模塊是以密碼模塊的密碼技術為基礎，為平臺自身的完整性、身份可信性和數據安全性提供密碼支持。

發明內容

本發明通過提供一系列與平臺相關的證書和平臺信息來證明通信的平臺就是一個可信計算平臺的真實身份?？尚庞嬎闫脚_的身份是通過可信平臺模塊(TPM)的背書密鑰證書EK(Endorsement Key Credential)來標識的，該證書可以表明安全芯片與平臺之間的綁定關系。如果直接使用EK(Endorsement Key)證書來進行遠程證明，可能會暴露背書密鑰EK(Endorsement Key)。因此，使用可信第三方Privacy CA的方法協助可信平臺模塊(TPM)完成身份證明。基于Privacy CA的證明方法就是通過為可信平臺模塊(TPM)平臺身份密鑰頒發平臺身份密鑰證書來標識身份。證明時驗證方需要向Privacy CA請求，確認平臺身份密鑰的正確性來完成證明。本發明在請求驗證的信息中加入了平臺度量信息，實現了對平臺的身份認證和完整性認證。

具體步驟為：

1.可信平臺模塊(TPM)生成一對AIK(Attestation Identity Key)公私鑰對，把生成的AIK(Attestation Identity Key)的公鑰部分以及請求產生AIK(AttestationIdentity Key)證書的可信平臺模塊(TPM)的一些標識信息(其中包括設備度量信息)，包括背書證書和平臺證書打包；

2.使用AIK(Attestation Identity Key)的私鑰部分對剛產生的包進行簽名；

3.將簽名值和包一起發送給一個可信第三方Privacy CA，等待Privacy CA接收請求后生成證言身份證書；