专利名称:一种基于可信计算的认证系统及方法
技术领域:
本发明涉及计算机网络安全技术领域,尤其涉及一种基于可信计算的认证系统及方法。
背景技术:
随着计算机网络技术的发展,园区网中的各种网络应用也越来越多,大部分系统都提供了登录窗口,要求用户输入用户名和口令,只有被授权的用户才能访问受控资源。每个应用系统都拥有独立的身份认证机制,在进入不同的应用系统时都要重新提交自己的身份标识来通过系统的认证,这样会导致以下后果
用户需要设置大量的用户名和密码,容易造成混淆;
频繁的输入用户名和口令,会增大相应用户口令被破解的机率;· 用户为了方便,往往会选择简单信息作为口令或者设置相同的口令,这样将会带来很大的安全隐患;
用户及口令被破解后,可在任何一台电脑上使用,对于用户网络交易存在很大安全隐
串
■/Qi、O出于效率和安全性因素的考虑,人们提出了新认证方案,即用户在申请账号的同时,还需要将账号绑定到专用的设备同时使用,用户只需在网络中主动进行身份认证,随后便可以访问其被授权的所有网络资源,而不需要再参与其他的身份认证过程。但是传统的认证存在以下弊端
无法保证终端是否可信;
无法保证认证服务器自身的可信;
无法保证证书服务器自身的可信;
无法保证应用服务器自身的可信。因此,增强计算机网络认证的可信性、安全性是当前认证领域亟待解决的问题之
o
发明内容
本发明所要解决的技术问题是提供一种基于可信计算的认证系统及方法,提高计算机网络认证的可信性、安全性。为解决上述技术问题,本发明提出了一种基于可信计算的认证系统,包括可信终端、可信证书服务器、可信认证服务器,所述可信终端、所述可信证书服务器和所述可信认证服务器中均具有可信计算模块,所述可信终端分别与所述可信证书服务器、所述可信认证服务器无线连接。进一步地,上述系统还可具有以下特点,还包括可信应用服务器,所述可信应用服务器中具有可信计算模块,所述可信应用服务器分别与所述可信终端、可信认证服务器无线连接。
进一步地,上述系统还可具有以下特点,还包括可信完整性验证服务器,用于对所述可信终端平台进行完整性验证,所述可信完整性验证服务器中具有可信计算模块,所述可信完整性验证服务器与所述可信认证服务器无线连接。为解决上述技术问题,还本发明提出了一种基于可信计算的认证方法,基于上述任一项所述的基于可信计算的认证系统,包括
可信终端向可信证书服务器申请签发证书;以及
使可信认证服务器验证所述可信终端向该可信认证服务器发起的验证请求,并接收所述可信认证服务器给该可信终端签发的身份凭证。进一步地,上述方法还可具有以下特点,在所述可信终端向可信证书服务 器申请签发证书之前还包括,所述可信终端检验自身平台的完整性。进一步地,上述方法还可具有以下特点,还包括,所述可信终端还向所述可信认证服务器发起完整性验证请求,所述可信认证服务器将所述完整性验证请求转发给可信完整性验证服务器,所述可信完整性验证服务器验证所述可信终端的完整性。进一步地,上述方法还可具有以下特点,还包括,所述可信终端接收到身份凭证后向可信应用服务器发起服务请求,所述可信认证服务器验证所述可信终端的身份凭证,并将验证结果返回给所述可信应用服务器,若所述验证结果为合法,则所述可信应用服务器允许服务实体向所述可信终端提供请求的服务。进一步地,上述方法还可具有以下特点,还包括,所述可信终端用户在初次进行身份认证前,先在所述可信认证服务器进行身份注册,登记用户信息。本发明所提供的基于可信计算的认证系统及方法,将PKI数字证书技术和可信计算平台相结合,保证了网络和服务器端的安全,同时还能确保终端可信,在很大程度上提高了整个网络的安全性,提高了计算机网络认证的可信性、安全性。
图I为本发明实施例中可信计算机系统平台结构 图2为本发明实施例中基于可信计算的认证系统结构 图3为本发明实施例中基于可信计算的认证方法流程图。
具体实施例方式本发明的主要构思是利用可信计算技术,在实施认证的实体中安装可信计算模块,保证计算机网络和服务器端的安全,又能确保终端可信,不仅可以提高实施认证的实体自身的安全性,还能够提高整个计算机网络的安全性,从而增强计算机网络上认证的可信性、安全性。本发明中,可信计算模块是指可信计算安全芯片,是电脑主板上的一安全芯片。该芯片在计算机开机的时候对本地硬件平台进行自检,并将保存在可信计算安全芯片中的度量值与开机时对硬件重新检测的度量值进行比较,如果本地硬件发生变化则该平台能否继续使用与可信计算安全芯片的策略设置有关(一般默认为平台发生变化不能使用,若希望继续使用需要更改可信计算安全芯片策略,可信计算安全芯片的设置需要计算机系统管理员设置,如果硬件平台发生变化后仍是可信平台,则需要重新将更新后的硬件平台信息进行度量并保存在可信计算安全芯片中,该操作由计算机系统管理员完成)。本文中,平台是指计算机的整体工作环境,包含硬件和软件,但提交平台信息的时候由于操作系统及软件信息还无法达到动态确认,因此只提交硬件信息。本文中,可信终端是可彳目平台的一种。以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的 范围。图I为本发明实施例中可信计算机系统平台结构图。如图I所示,本实施例中,计算机系统平台也即用户终端,通过如下三类机制及平台自身安全管理功能,保证计算机系统平台的安全性
(1)以可信度量根为起点,计算系统平台完整性度量值,建立计算机系统平台信任链,确保系统平台可信;
(2)可信报告根标识平台身份的可信性,具有唯一性,以可信报告根为基础,实现平台身份证明和完整性报告。(3)基于可信存储根,实现密钥管理、平台数据安全保护功能,提供相应的密码服务。图2为本发明实施例中基于可信计算的认证系统结构图。如图2所示,本实施例中,基于可信计算的认证系统包括可信终端10、可信证书服务器20、可信认证服务器30、可信完整性验证服务器40和可信应用服务器50,可信终端10、可信证书服务器20、可信认证服务器30、可信完整性验证服务器40和可信应用服务器50均具有可信计算模块。可信计算模块的存在保证了各实体的可信性,大大提高了包含这些实体的计算机网络的安全性。可信终端10是进行认证的对象,用于在认证过程中进行完整性自检,向可信证书服务器20提交平台相关信息,申请证书,向可信认证服务器30发起可信终端平台身份和完整性验证请求,向可信应用服务器50发起服务请求;
可信证书服务器20用于验证可信终端10的平台相关信息,并为通过验证的可信终端签发证书;
可信认证服务器30用于验证可信终端平台的身份,为合法用户签发身份凭证;可信认证服务器30还用于向可信完整性验证服务器40转发完整性验证请求,接收可信完整性验证服务器40返回的完整性验证结果,并将该完整性验证结果传递给可信终端10 ;
可信完整性服务器40用于验证可信终端平台的完整性,以保证可信终端未受到病毒等破坏,从而保证终端平台的可信性;
可信应用服务器50用于根据可信认证服务器30的返回结果决定是否允许可信终端用户访问服务,即是否允许服务实体向可信终端提供请求的服务。可信完整性服务器40和可信应用服务器50不是本发明基于可信计算的认证系统必不可少的组成部分,在本发明的其他实施例中,基于可信计算的认证系统可以不包含可信完整性服务器40或可信应用服务器50。在不具有可信完整性服务器40的情况下,可信终端10可以通过自检检验自身平台的完整性,认证过程中其他服务器不再对可信终端平台的完整性进行验证。在用户需要可信应用服务器50提供某种服务的时候可信终端10才会访问可信应用服务器50,因此可信应用服务器50所进行的进一步认证是对最基本的认证过程的进一步延伸。
可信终端10、可信证书服务器20和可信认证服务器30组成最基本的基于可信计算的认证系统,该最基本的认证系统与现有认证系统的区别是,系统的实体内部都具有可信计算模块,因此比现有认证系统具有更高的可信性和安全性,从而保证了该系统所实施的认证的可信性、安全性。可见,本发明所提供的基于可信计算的认证系统,通过引入可信计算模块大大提高了系统中各实体的可信性和安全性,保证了网络和服务器端的安全,同时还能确保终端可信,因此在很大程度上提高了整个网络的安全性,提高了计算机网络认证的可信性、安全性。基于上述的基于可信计算的认证系统,本发明还提出了一种基于可信计算的认证方法。图3为本发明实施例中基于可信计算的认证方法流程图,如图3所示,本实施例中, 基于可信计算的认证方法包括如下步骤
步骤301,在初次进行认证前,可信终端用户先在可信认证服务器进行身份注册,登记个人相关信息,即可信终端用户的用户信息;
这里,个人相关信息是指进行身份注册所需要的信息,个人相关信息可以包括用户的姓名、性别、身份证号、家庭地址、联系电话等。步骤302,可信终端进行完整性自检;
步骤303,可信终端向可信证书服务器提交平台相关信息,申请证书;
这里,平台相关信息可以包含如下的硬件信息硬盘唯一特征信息、 主板唯一特征信息、CPU唯一特征信息、内存唯一特征信息、网卡唯一特征信息等。将以上硬件的各自特征信息进行哈希运算,然后将哈希运算的结果保存到可信计算模块的PCR中并提交给可信证书服务器。步骤304,可信证书服务器发布者验证平台相关信息,如果验证通过则给可信终端签发用户证书;
如果验证失败,可信证书服务器向可信终端返回验证失败信息,以提醒当前使用的用户。步骤305,可信终端向可信认证服务器发起平台身份和完整性验证请求;
步骤306,可信认证服务器验证可信终端平台的身份并向可信完整性验证服务器转发完整性验证请求;
步骤307,可信完整性验证服务器根据事先确定的规则对可信终端进行完整性验证,并将验证结果返回给可信认证服务器;
步骤308,可信认证服务器将平台身份和完整性验证结果返回给可信终端;
步骤309,如果可信终端通过了平台身份验证和完整性验证,则客户端认证代理从USBKey中读取用户证书的相关信息,向可信认证服务器发起用户身份认证请求;
客户端认证代理处于可信终端内,USB Key是一个单独的物理实体,不在可信终端内,USB Key可以通过USB接口与可信终端相连接。用户证书为步骤304中可信证书服务器所签发的证书。步骤310,可信认证服务器认证用户的身份,如果是合法用户,签发身份凭证; 如果是不合法用户,可信认证服务器向可信终端返回不合法信息,以提醒用户,还可以
设定若连续验证失败的次数达到预设的数值,则锁定账号并禁止使用,防止暴力破解,锁定的账号在重新激活后才能使用。步骤311,可信终端接收到身份凭证后向可信应用服务器发起服务请求,所述服务请求中携带身份凭证;
步骤312,服务器端认证代理接收用户包含身份凭证的服务请求,向可信认证服务器发起身份凭证验证请求;
服务器端认证代理处于可信应用服务器内。步骤313,可信认证服务器验证服务器端认证代理提交的用户身份凭证,将验证结 果返回给可信应用服务器;
步骤314,可信应用服务器根据可信认证服务器返回的身份凭证验证结果决定是否允许用户访问服务,即是否允许服务实体提供所请求的服务。服务实体处于可信应用服务器内。若身份凭证验证结果为合法,则可信应用服务器允许服务实体提供所请求的服务,否则可信应用服务器向可信终端返回身份凭证不合法的信息,不允许服务实体提供所请求的服务。本发明所提供的基于可信计算的认证方法,在具有可信计算模块的实体上进行,提高了计算机网络认证的可信性、安全性。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种基于可信计算的认证系统,其特征在干,包括可信終端、可信证书服务器、可信认证服务器,所述可信終端、所述可信证书服务器和所述可信认证服务器中均具有可信计算模块,所述可信終端分别与所述可信证书服务器、所述可信认证服务器无线连接。
2.根据权利要求I所述的基于可信计算的认证系统,其特征在干,还包括可信应用服务器,所述可信应用服务器中具有可信计算模块,所述可信应用服务器分别与所述可信终端、可信认证服务器无线连接。
3.根据权利要求I所述的基于可信计算的认证系统,其特征在干,还包括可信完整性验证服务器,用于对所述可信終端平台进行完整性验证,所述可信完整性验证服务器中具有可信计算模块,所述可信完整性验证服务器与所述可信认证服务器无线连接。
4.一种基于可信计算的认证方法,基于权利要求I至3任一项所述的基于可信计算的认证系统,其特征在于,包括 可信終端向可信证书服务器申请签发证书;以及 使可信认证服务器验证所述可信終端向该可信认证服务器发起的验证请求,并接收所述可信认证服务器给该可信終端签发的身份凭证。
5.根据权利要求4所述的基于可信计算的认证方法,其特征在干,在所述可信終端向可信证书服务器申请签发证书之前还包括,所述可信終端检验自身平台的完整性。
6.根据权利要求4所述的基于可信计算的认证方法,其特征在干,还包括,所述可信终端还向所述可信认证服务器发起完整性验证请求,所述可信认证服务器将所述完整性验证请求转发给可信完整性验证服务器,所述可信完整性验证服务器验证所述可信终端的完整性。
7.根据权利要求4所述的基于可信计算的认证方法,其特征在干,还包括,所述可信終端接收到身份凭证后向可信应用服务器发起服务请求,所述可信认证服务器验证所述可信终端的身份凭证,并将验证结果返回给所述可信应用服务器,若所述验证结果为合法,则所述可信应用服务器允许服务实体向所述可信終端提供请求的服务。
8.根据权利要求4所述的基于可信计算的认证方法,其特征在干,还包括,所述可信終端用户在初次进行身份认证前,先在所述可信认证服务器进行身份注册,登记用户信息。
全文摘要
本发明涉及一种基于可信计算的认证系统及方法,其中基于可信计算的认证系统包括可信终端、可信证书服务器、可信认证服务器,所述可信终端、所述可信证书服务器和所述可信认证服务器中均具有可信计算模块。本发明所提供的基于可信计算的认证系统及方法,将PKI数字证书技术和可信计算平台相结合,保证了网络和服务器端的安全,同时还能确保终端可信,在很大程度上提高了整个网络的安全性,提高了计算机网络认证的可信性、安全性。
文档编号H04L29/06GK102694776SQ20111007061
公开日2012年9月26日 申请日期2011年3月23日 优先权日2011年3月23日
发明者付月朋 申请人:国民技术股份有限公司