本發(fā)明涉及可信計(jì)算技術(shù)領(lǐng)域，具體是一種基于可信計(jì)算的TCM設(shè)備身份認(rèn)證方法。在TCM設(shè)備出廠前通過其內(nèi)部生成非對(duì)稱主密鑰對(duì)EK，從而產(chǎn)生非對(duì)稱主密鑰對(duì)EK證書，用戶拿到TCM設(shè)備后再通過其內(nèi)部生成一個(gè)非對(duì)稱主密鑰對(duì)EK，并讀取非對(duì)稱主密鑰對(duì)EK證書的公鑰，以及第二次生成的非對(duì)稱主密鑰對(duì)EK的公鑰進(jìn)行驗(yàn)證是否一致，如一致，則再通過根證書對(duì)非對(duì)稱主密鑰對(duì)EK證書進(jìn)行驗(yàn)簽，如果驗(yàn)簽成功，表示所述TCM設(shè)備為原生產(chǎn)廠商生產(chǎn)未被替換，簡(jiǎn)單靈活易用。

技術(shù)領(lǐng)域

本發(fā)明涉及可信計(jì)算技術(shù)領(lǐng)域，具體是一種基于可信計(jì)算的TCM設(shè)備身份認(rèn)證方法。

背景技術(shù)

本說明書中的縮略語(yǔ)和關(guān)鍵術(shù)語(yǔ)定義如下:

可信密碼模塊trusted cryptography module(TCM)：是可信計(jì)算平臺(tái)的硬件模塊，為可信計(jì)算平臺(tái)提供密碼運(yùn)算功能，具有受保護(hù)的存儲(chǔ)空間。

TCM背書密鑰tcm endorsement key：是可信密碼模塊的背書密鑰。

主密鑰primary key：從與內(nèi)部層次結(jié)構(gòu)關(guān)聯(lián)的主種子創(chuàng)建的主密鑰。

主種子primary seed：包含在從中派生主密鑰和主對(duì)象的TCM中的大隨機(jī)值。

隨著信息電子化與信息全球化的飛速發(fā)展，人們對(duì)計(jì)算機(jī)在工作、生活中的選擇與側(cè)重逐漸從使用屬性(如硬件配置、軟件兼容、生態(tài)環(huán)境)向安全屬性(如行為管理、信息泄露、身份認(rèn)證等功能)轉(zhuǎn)移。TCM(Trusted Cryptography Module)安全芯片是實(shí)現(xiàn)安全可信計(jì)算功能的重要模塊，現(xiàn)有的TCM芯片通常內(nèi)嵌專用型處理器，可通過硬件支持指令實(shí)現(xiàn)復(fù)雜加解密算法；其作為可信計(jì)算密碼支撐平臺(tái)中的重要組成部分，為整個(gè)系統(tǒng)提供安全可信根，對(duì)TCM身份的認(rèn)證就顯得尤為重要。廠商生產(chǎn)出來(lái)的TCM模塊在向終端客戶發(fā)放，再到安裝TCM到平臺(tái)使用過程中，如何防范別有用心的人或組織通過偽造、仿制相同的TCM硬件模塊進(jìn)行惡意替換，以達(dá)到攻擊的目的，是一個(gè)亟需要解決的技術(shù)問題，即需要向用戶提供一種識(shí)別TCM硬件模塊是否是原生產(chǎn)廠商生產(chǎn)的技術(shù)方法。

現(xiàn)有專利技術(shù)公開了一種用于物聯(lián)網(wǎng)的可信裝置，申請(qǐng)?zhí)枮?018115921125，其技術(shù)方案是：提供可信裝置與可信網(wǎng)關(guān)通過通信模塊進(jìn)行通信，判斷可以裝置是否可信，解決了在物聯(lián)網(wǎng)組建時(shí)，對(duì)可信的終端設(shè)備的需求，但是并未解決本申請(qǐng)要解決的技術(shù)問題。

發(fā)明內(nèi)容

本發(fā)明的目的在于克服以上存在的技術(shù)問題，提供一種基于可信計(jì)算的TCM設(shè)備身份認(rèn)證方法。

為實(shí)現(xiàn)上述目的，本發(fā)明采用如下的技術(shù)方案：

一種基于可信計(jì)算的TCM設(shè)備身份認(rèn)證方法，包括以下步驟：

S1：產(chǎn)生EK證書

所述TCM設(shè)備在出廠之前，在所述TCM設(shè)備內(nèi)部通過主種子生成第一非對(duì)稱主密鑰對(duì)EK，再讀取所述第一非對(duì)稱主密鑰對(duì)EK的公鑰，利用所述公鑰信息生成證書請(qǐng)求信息發(fā)送給證書簽發(fā)中心CA，所述證書簽發(fā)中心CA收到請(qǐng)求后生成非對(duì)稱主密鑰對(duì)EK證書，并簽發(fā)給請(qǐng)求用戶，所述非對(duì)稱主密鑰對(duì)EK證書包含有所述第一非對(duì)稱主密鑰對(duì)EK的公鑰；

S2：存儲(chǔ)EK證書

使用所述TCM設(shè)備生產(chǎn)廠商的根密鑰簽名所述非對(duì)稱主密鑰對(duì)EK證書，并把簽名后的所述非對(duì)稱主密鑰對(duì)EK證書存儲(chǔ)在所述TCM設(shè)備的非易失性存儲(chǔ)器中；

S3：身份認(rèn)證