本文中描述的實(shí)現(xiàn)公開了一種使用設(shè)備的可信平臺(tái)模塊(TPM)的設(shè)備身份管理系統(tǒng)。設(shè)備身份管理系統(tǒng)提供用于以下各項(xiàng)的一個(gè)或多個(gè)計(jì)算機(jī)可執(zhí)行指令：在設(shè)備的可信平臺(tái)模塊(TPM)處接收秘密隨機(jī)數(shù)，使用秘密隨機(jī)數(shù)生成被存儲(chǔ)在非易失性(NV)身份索引中的現(xiàn)有設(shè)備身份的散列，以及將散列作為設(shè)備身份存儲(chǔ)在NV身份索引中。

背景技術(shù)

在過去的幾年中，可信計(jì)算(TC)已經(jīng)成為計(jì)算領(lǐng)域的重要組成部分。這是因?yàn)椋娮余]件病毒、特洛伊木馬、間諜軟件、網(wǎng)絡(luò)釣魚詐騙、擊鍵記錄程序和安全漏洞已經(jīng)占很大一部分，而可信計(jì)算不僅通過諸如臺(tái)式機(jī)和筆記本電腦等計(jì)算設(shè)備，而且還通過移動(dòng)設(shè)備以及與物聯(lián)網(wǎng)(IoT)技術(shù)一起使用的設(shè)備來應(yīng)對(duì)這些挑戰(zhàn)。使用TC，計(jì)算設(shè)備始終以預(yù)期方式運(yùn)行，并且這些行為由計(jì)算機(jī)硬件和軟件強(qiáng)制執(zhí)行。具體地，該行為通過向硬件加載系統(tǒng)其余部分無法訪問的唯一加密密鑰(EK)而被實(shí)現(xiàn)。

發(fā)明內(nèi)容

本文中描述的實(shí)現(xiàn)公開了一種使用設(shè)備的可信平臺(tái)模塊(TPM)的設(shè)備身份管理系統(tǒng)。設(shè)備身份管理系統(tǒng)提供用于以下操作的一個(gè)或多個(gè)計(jì)算機(jī)可執(zhí)行指令：在設(shè)備的可信平臺(tái)模塊(TPM)處接收秘密隨機(jī)數(shù)，使用秘密隨機(jī)數(shù)生成被存儲(chǔ)在非易失性(NV)身份索引中的現(xiàn)有設(shè)備身份的散列，以及將散列作為設(shè)備身份存儲(chǔ)在NV身份索引中。

提供本發(fā)明內(nèi)容以便以簡(jiǎn)化的形式介紹一些概念，這些概念將在下面的“具體實(shí)施方式”中進(jìn)一步描述。本發(fā)明內(nèi)容并不旨在標(biāo)識(shí)所要求保護(hù)的主題的關(guān)鍵特征或必要特征，也不旨在用于限制所要求保護(hù)的主題的范圍。

本文中還描述和敘述了其他實(shí)現(xiàn)。

附圖說明

可以通過參考在說明書的其余部分中描述的附圖來實(shí)現(xiàn)對(duì)本技術(shù)的性質(zhì)和優(yōu)點(diǎn)的進(jìn)一步理解。

圖1示出了用于可證明和可破壞的設(shè)備身份的系統(tǒng)的示例實(shí)現(xiàn)。

圖2示出了根據(jù)本文中公開的實(shí)現(xiàn)的非易失性身份索引的示例實(shí)現(xiàn)。

圖3示出了根據(jù)本文中公開的實(shí)現(xiàn)的用于生成非易失性身份索引的示例操作。

圖4示出了根據(jù)本文中公開的實(shí)現(xiàn)的用于改變非易失性身份索引的示例操作。

圖5示出了根據(jù)本文中公開的實(shí)現(xiàn)的用于使用非易失性身份索引來提供證明的示例操作。

圖6示出了可以用于實(shí)現(xiàn)所描述的技術(shù)的示例系統(tǒng)。

具體實(shí)施方式

這里公開的實(shí)現(xiàn)提供了一種使用設(shè)備的可信平臺(tái)模塊(TPM)的設(shè)備身份管理系統(tǒng)。可信平臺(tái)模塊(TPM)是硬件加密的公共標(biāo)準(zhǔn)。TPM旨在提供基于硬件的安全相關(guān)功能。TPM芯片是一種安全的加密處理器，其旨在執(zhí)行加密操作。TPM芯片可以包括多個(gè)物理安全機(jī)制，以使其具有防篡改功能，使得惡意軟件無法篡改TPM的安全功能。TPM的各種實(shí)現(xiàn)都可以執(zhí)行對(duì)稱和非對(duì)稱加密以及各種其他操作，以證明與TPM連接到的設(shè)備有關(guān)的各種事實(shí)。TPM可以被視為鑰匙串，而TPM可以證明鑰匙串中的給定鑰匙實(shí)際上在鑰匙串中，而不是在其他地方。

在一種實(shí)現(xiàn)中，可以將設(shè)備的TPM提供為設(shè)備的一部分。例如，TPM可以是設(shè)備的微處理器的一部分。備選地，TPM可以是在被連接到設(shè)備的母板的芯片上實(shí)現(xiàn)的設(shè)備的分立組件。在這樣的實(shí)現(xiàn)中，TPM芯片可以使用設(shè)備的系統(tǒng)總線與設(shè)備的微處理器通信。

TPM可以被實(shí)現(xiàn)為具有非易失性存儲(chǔ)器(NVM)以存儲(chǔ)一個(gè)或多個(gè)密鑰，包括認(rèn)可(endorsement)密鑰(EK)。EK可以是TPM內(nèi)部包含的非對(duì)稱密鑰。例如，EK可以在TPM的制造時(shí)注入。EK對(duì)于每個(gè)TPM都是唯一的，并且可以標(biāo)識(shí)TPM。具體地，EK不能改變或從TPM中刪除。在示例實(shí)現(xiàn)中，EK可以是2048位RSA密鑰，或者是設(shè)備的硬件支持的具有加密的其他密鑰。該密鑰的公共部分被稱為EKPub，而相關(guān)聯(lián)的私鑰則被稱為EKPriv。TPM芯片還具有制造商為EKPub頒發(fā)的EK證書。該證書被稱為EKCert。