0128]上述装置内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
[0129]综上所述,本发明实施例提供了一种基于可信计算的身份认证方法及装置,本发明实施例可具有如下有益效果:
[0130]1.本发明提供一种基于可信计算的身份认证方法及装置,预先将计算机系统内的TCM与USBKey进行绑定,并将计算机系统内各个部件的基准值存储至与其内部TCM相绑定的USBKey中;在获取到目标USBKey的登录请求时,需要判断该目标USBKey是否与该计算机系统内的TCM绑定过,通过逐个对每一个部件的度量值与该目标USBKey中存储的基准值进行比较,以对该目标USBKey进行第一重认证;只有在比较结果为每一个部件的度量值与该目标USBKey中存储的基准值均相同时,则第一重认证通过;并继续认证该目标USBKey的身份信息,根据该身份信息认证结果响应该目标USBKey的登录请求,以实现对该目标USBKey的第二重认证。通过对目标USBKey的双重认证,能够保证计算机系统内数据的安全可信。
[0131]2.本发明实施例提供了一种基于可信计算的身份认证方法及装置,计算机基于可信计算进行自检,通过计算机自检程序来验证当前的计算机系统是否遭到攻击或破坏,从而可以在用户登录之前,首先保证计算机系统的安全可信。
[0132]3.本发明实施例提供了一种基于可信计算的身份认证方法及装置,由于同一计算机可以对不同USBKey进行可信认证,同一 USBKey也可以在不同计算机上进行安全可信登录,故有效提高了用户信息可信登录的方便性和实用性。
[0133]4.本发明实施例提供了一种基于可信计算的身份认证方法及装置,通过计算机系统和USBKey的信息绑定和可信验证,实现了在确定用户登录密码正确性的基础之上,同时要求对用户USBKey身份信息的可信认证,从而当用户的登录信息遭到黑客或恶意软件的攻击而被泄露时,在一定程度上对用户的信息安全提供了有效保障。
[0134]5.本发明实施例提供了一种基于可信计算的身份认证方法及装置,首先通过计算机系统自检,有效保证了计算机系统自身的安全可信,给用户创造了一个安全可信的信息登录环境,并通过计算机内部TCM和USBKey的绑定关系,实现了信任链在计算机和用户USBKey之间的完整性传递,同时对用户USBKey的身份信息进行认证,进一步验证了用户USBKey的安全可信性,再根据用户登录密码正确性的判定,最终实现用户的安全可信登录。
[0135]最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
【主权项】
1.一种基于可信计算的身份认证方法,其特征在于,预先将计算机系统内的可信密码模块TCM与USBKey进行绑定,并将计算机系统内各个部件的基准值存储至与其内部TCM相绑定的USBKey中,该方法还包括: 51:在获取到目标USBKey的登录请求时,获取TCM内部程序控制暂存器PCR中所存储的当前计算机系统内各个部件的度量值,以及获取所述目标USBKey中存储的各个部件的基准值; 52:逐个对每一个部件的度量值与所述目标USBKey中存储的基准值进行比较,在比较结果为每一个部件的度量值与所述目标USBKey中存储的基准值均相同时,执行步骤S3,否贝1J,拒绝所述目标USBKey的登录请求; 53:认证所述目标USBKey的身份信息,并根据认证结果响应所述目标USBKey的登录请求。2.根据权利要求1所述的方法,其特征在于,所述将计算机系统内各个部件的基准值存储至与其内部TCM相绑定的USBKey中,包括: 对计算机系统内各个部件的基准值进行计算; 将计算所得的计算机系统内各个部件的基准值存储至TCM内部的非易失性存储器中; 读取TCM内部的非易失性存储器中的基准值,存储至与TCM相绑定的USBKey中。3.根据权利要求1所述的方法,其特征在于, 所述预先将计算机系统内的TCM与USBKey进行绑定,包括:将USBKey的标识和与其标识相对应的USBKey公钥存储至计算机系统内的TCM内部的非易失性存储器中; 所述认证所述目标USBKey的身份信息,包括: 生成第一随机数; 读取所述目标USBKey的USBKey私钥对所述第一随机数加密; 根据所述目标USBKey的标识,读取TCM内部的非易失性存储器中存储的与所述目标USBKey的标识相对应的USBKey公钥,利用读取的该USBKey公钥对加密后的所述第一随机数解密,得到第二随机数; 判断所述第一随机数和所述第二随机数是否相等,如果是,表明对所述目标USBKey的身份信息认证通过,否则,则表明对所述目标USBKey的身份信息认证不通过。4.根据权利要求3所述的方法,其特征在于, 进一步包括:预先将用户登录密码存储至TCM内部的非易失性存储器中; 所述根据认证结果响应所述目标USBKey的登录请求,包括:在所述认证结果包括对所述目标USBKey的身份信息认证通过时,获取用户输入的登录密码,根据TCM内部的非易失性存储器中预先存储的用户登录密码对用户输入的登录密码进行验证,若验证通过,则允许所述目标USBKey的登录请求,否则,拒绝所述目标USBKey的登录请求;在所述认证结果包括对所述目标USBKey的身份信息认证不通过时,则拒绝所述目标USBKey的登录请求。5.根据权利要求1至4中任一所述的方法,其特征在于,所述计算机系统内各个部件,包括: 硬件、固件、硬件驱动、系统软件和应用软件中的任意一种或多种。6.一种基于可信计算的身份认证装置,其特征在于,包括: 绑定单元,用于将计算机系统内的TCM与USBKey进行绑定; 第一发送单元,用于将计算机系统内各个部件的基准值存储至与其内部TCM相绑定的USBKey 中; 获取单元,用于在获取到目标USBKey的登录请求时,获取TCM内部PCR中所存储的当前计算机系统内各个部件的度量值,以及获取所述目标USBKey中存储的各个部件的基准值; 处理单元,用于逐个对每一个部件的度量值与所述目标USBKey中存储的基准值进行比较,在比较结果为每一个部件的度量值与所述目标USBKey中存储的基准值均相同时,通知认证单元,否则,拒绝所述目标USBKey的登录请求; 认证单元,用于认证所述目标USBKey的身份信息; 响应单元,用于根据所述认证单元的认证结果响应所述目标USBKey的登录请求。7.根据权利要求6所述的基于可信计算的身份认证装置,其特征在于,所述第一发送单元,包括: 计算子单元,用于对计算机系统内各个部件的基准值进行计算; 第一发送子单元,用于将计算所得的计算机系统内各个部件的基准值存储至TCM内部的非易失性存储器中; 第二发送子单元,用于读取TCM内部的非易失性存储器中的基准值,存储至与TCM相绑定的USBKey中。8.根据权利要求6所述的基于可信计算的身份认证装置,其特征在于, 所述绑定单元,用于将USBKey的标识和与其标识相对应的USBKey公钥存储至计算机系统内的TCM内部的非易失性存储器中; 所述认证单元,包括: 随机数生成子单元,用于生成第一随机数; 加密子单元,用于读取所述目标USBKey的USBKey私钥对所述第一随机数加密; 解密子单元,用于根据所述目标USBKey的标识,读取TCM内部的非易失性存储器中存储的与所述目标USBKey的标识相对应的USBKey公钥,利用读取的该USBKey公钥对加密后的所述第一随机数解密,得到第二随机数; 判断子单元,用于判断所述第一随机数和所述第二随机数是否相等,如果是,表明对所述目标USBKey的身份信息认证通过,否则,则表明对所述目标USBKey的身份信息认证不通过。9.根据权利要求8所述的基于可信计算的身份认证装置,其特征在于,包括: 第二发送单元,用于将用户登录密码存储至TCM内部的非易失性存储器中; 所述响应单元,用于在所述认证结果包括对所述目标USBKey的身份信息认证通过时,获取用户输入的登录密码,根据TCM内部的非易失性存储器中预先存储的用户登录密码对用户输入的登录密码进行验证,若验证通过,则允许所述目标USBKey的登录请求,否则,拒绝所述目标USBKey的登录请求;在所述认证结果包括对所述目标USBKey的身份信息认证不通过时,则拒绝所述目标USBKey的登录请求。10.根据权利要求6至9中任一所述的基于可信计算的身份认证装置,其特征在于, 所述计算机系统内各个部件,包括硬件、固件、硬件驱动、系统软件和应用软件中的任意一种或多种。
【专利摘要】本发明提供一种基于可信计算的身份认证方法及装置,该方法包括:预先将计算机系统内的TCM与USBKey进行绑定,并将计算机系统内各个部件的基准值存储至该USBKey中;在获取到目标USBKey的登录请求时,判断其是否与该计算机系统内的TCM绑定过,并逐个对各个部件的度量值与目标USBKey中存储的相应基准值进行比较,以实现对目标USBKey的第一重认证;只有各个部件的度量值与基准值均相同时,认证目标USBKey的身份信息,根据身份信息认证结果响应目标USBKey的登录请求,以实现对目标USBKey的第二重认证。通过对目标USBKey的双重认证,能够保证计算机系统内数据的安全可信。
【IPC分类】G06F21/34, G06F21/44
【公开号】CN105426734
【申请号】CN201510772275
【发明人】郭猛善, 冯磊
【申请人】山东超越数控电子有限公司
【公开日】2016年3月23日
【申请日】2015年11月12日