一种基于可信计算的身份认证方法及装置的制造方法
【技术领域】
[0001]本发明涉及计算机领域,特别涉及一种基于可信计算的身份认证方法及装置。
【背景技术】
[0002]在国家加强国产化替代的前景下,国产固件、国产操作系统逐步发展壮大。可信计算技术作为一种新型计算机信息安全技术,在国产化平台下充分发挥其安全可信功能,在可信认证、可信度量、可信存储等方面为信息安全支撑平台的建立提供基础支持。
[0003]目前,可信计算技术通过调用TCM (Trusted Cryptography Module,可信密码模块)内部算法对计算机系统开机启动过程中的各个部件进行逐级的可信度量,以确定计算机系统是否遭到攻击或破坏,从而可以实现计算机系统的可信加固。
[0004]不过,在保证计算机系统安全可信的前提下,当用户的登录信息遭到黑客或恶意软件的攻击而被泄露时,可能会对计算机信息的安全性造成影响。
【发明内容】
[0005]有鉴于此,本发明提供了一种基于可信计算的身份认证方法及装置,能够保证计算机系统内数据的安全可信。
[0006]为了达到上述目的,本发明是通过如下技术方案实现的:
[0007]—方面,本发明提供了一种基于可信计算的身份认证方法,该方法包括:预先将计算机系统内的TCM与USBKey进行绑定,并将计算机系统内各个部件的基准值存储至与其内部TCM相绑定的USBKey中,还包括:
[0008]S1:在获取到目标USBKey的登录请求时,获取TCM内部PCR中所存储的当前计算机系统内各个部件的度量值,以及获取所述目标USBKey中存储的各个部件的基准值;
[0009]S2:逐个对每一个部件的度量值与所述目标USBKey中存储的基准值进行比较,在比较结果为每一个部件的度量值与所述目标USBKey中存储的基准值均相同时,执行步骤S3,否则,拒绝所述目标USBKey的登录请求;
[0010]S3:认证所述目标USBKey的身份信息,并根据认证结果响应所述目标USBKey的登录请求。
[0011]进一步地,所述将计算机系统内各个部件的基准值存储至与其内部TCM相绑定的USBKey中,包括:
[0012]对计算机系统内各个部件的基准值进行计算;
[0013]将计算所得的计算机系统内各个部件的基准值存储至TCM内部的非易失性存储器中;
[0014]读取TCM内部的非易失性存储器中的基准值,存储至与TCM相绑定的USBKey中。
[0015]进一步地,所述预先将计算机系统内的TCM与USBKey进行绑定,包括:将USBKey的标识和与其标识相对应的USBKey公钥存储至计算机系统内的TCM内部的非易失性存储器中;
[0016]所述认证所述目标USBKey的身份信息,包括:
[0017]生成第一随机数;
[0018]读取所述目标USBKey的USBKey私钥对所述第一随机数加密;
[0019]根据所述目标USBKey的标识,读取TCM内部的非易失性存储器中存储的与所述目标USBKey的标识相对应的USBKey公钥,利用读取的该USBKey公钥对加密后的所述第一随机数解密,得到第二随机数;
[0020]判断所述第一随机数和所述第二随机数是否相等,如果是,表明对所述目标USBKey的身份信息认证通过,否则,则表明对所述目标USBKey的身份信息认证不通过。
[0021]进一步地,还包括:预先将用户登录密码存储至TCM内部的非易失性存储器中;
[0022]所述根据认证结果响应所述目标USBKey的登录请求,包括:在所述认证结果包括对所述目标USBKey的身份信息认证通过时,获取用户输入的登录密码,根据TCM内部的非易失性存储器中预先存储的用户登录密码对用户输入的登录密码进行验证,若验证通过,则允许所述目标USBKey的登录请求,否则,拒绝所述目标USBKey的登录请求;在所述认证结果包括对所述目标USBKey的身份信息认证不通过时,则拒绝所述目标USBKey的登录请求。
[0023]进一步地,所述计算机系统内各个部件,包括:硬件、固件、硬件驱动、系统软件和应用软件中的任意一种或多种。
[0024]另一方面,本发明提供了一种基于可信计算的身份认证装置,该装置包括:
[0025]绑定单元,用于将计算机系统内的TCM与USBKey进行绑定;
[0026]第一发送单元,用于将计算机系统内各个部件的基准值存储至与其内部TCM相绑定的USBKey中;
[0027]获取单元,用于在获取到目标USBKey的登录请求时,获取TCM内部PCR中所存储的当前计算机系统内各个部件的度量值,以及获取所述目标USBKey中存储的各个部件的基准值;
[0028]处理单元,用于逐个对每一个部件的度量值与所述目标USBKey中存储的基准值进行比较,在比较结果为每一个部件的度量值与所述目标USBKey中存储的基准值均相同时,通知认证单元,否则,拒绝所述目标USBKey的登录请求;
[0029]认证单元,用于认证所述目标USBKey的身份信息;
[0030]响应单元,用于根据所述认证单元的认证结果响应所述目标USBKey的登录请求。
[0031]进一步地,所述第一发送单元,包括:
[0032]计算子单元,用于对计算机系统内各个部件的基准值进行计算;
[0033]第一发送子单元,用于将计算所得的计算机系统内各个部件的基准值存储至TCM内部的非易失性存储器中;
[0034]第二发送子单元,用于读取TCM内部的非易失性存储器中的基准值,存储至与TCM相绑定的USBKey中。
[0035]进一步地,所述绑定单元,用于将USBKey的标识和与其标识相对应的USBKey公钥存储至计算机系统内的TCM内部的非易失性存储器中;
[0036]所述认证单元,包括:
[0037]随机数生成子单元,用于生成第一随机数;
[0038]加密子单元,用于读取所述目标USBKey的USBKey私钥对所述第一随机数加密;
[0039]解密子单元,用于根据所述目标USBKey的标识,读取TCM内部的非易失性存储器中存储的与所述目标USBKey的标识相对应的USBKey公钥,利用读取的该USBKey公钥对加密后的所述第一随机数解密,得到第二随机数;
[0040]判断子单元,用于判断所述第一随机数和所述第二随机数是否相等,如果是,表明对所述目标USBKey的身份信息认证通过,否则,则表明对所述目标USBKey的身份信息认证不通过。
[0041]进一步地,还包括:
[0042]第二发送单元,用于将用户登录密码存储至TCM内部的非易失性存储器中;
[0043]所述响应单元,用于在所述认证结果包括对所述目标USBKey的身份信息认证通过时,获取用户输入的登录密码,根据TCM内部的非易失性存储器中预先存储的用户登录密码对用户输入的登录密码进行验证,若验证通过,则允许所述目标USBKey的登录请求,否则,拒绝所述目标USBKey的登录请求;在所述认证结果包括对所述目标USBKey的身份信息认证不通过时,则拒绝所述目标USBKey的登录请求。
[0044]进一步地,所述计算机系统内各个部件,包括硬件、固件、硬件驱动、系统软件和应用软件中的任意一种或多种。
[0045]本发明提供一种基于可信计算的身份认证方法及装置,预先将计算机系统内的TCM与USBKey进行绑定,并将计算机系统内各个部件的基准值存储至与其内部TCM相绑定的USBKey中;在获取到目标USBKey的登录请求时,需要判断该目标USBKey是否与该计算机系统内的TCM绑定过,通过逐个对每一个部件的度量值与该目标USBKey中存储的基准值进行比较,以对该目标USBKey进行第一重认证;只有在比较结果为每一个部件的度量值与该目标USBKey中存储的基准值均相同时,则第一重认证通过;并继续认证该目标USBKey的身份信息,根据该身份信息认证结果响应该目标USBKey的登录请求,以实现对该目标USBKey的第二重认证。通过对目标USBKey的双重认证,能够保证计算机系统内数据的安全可信。
【附图说明】
[0046]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0047]图1是本发明一实施例提供的一种基于可信计算的身份认证方法的流程图;
[0048]图2是本发明一实施例提供的另一种基于可信计算的身份认证方法的流程图;
[0049]图3是本发明一实施例提供的一种基于可信计算的身份认证装置的示意图;
[0050]图4是本发明一实施例提供的另一种基于可信计算的身份认证装置的示意图。
【具体实施方式】
[0051]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0052]如图1所示,本发明实施例提供了一种基于可信计算的身份认证方法,该方法可以包括以下步骤:
[0053]步骤101:预先将计算机系统内的TCM (Trusted Cryptogr