专利名称:在便携式终端主机上添加可信平台的方法
技术领域:
本发明属于信息安全保护领域,具体涉及一种在便携式终端主机上添加可信平台的方法。
背景技术:
计算机和网络通讯技术的迅速发展表现出两个明显趋势一是计算资源、设备资源和信息资源的网络化发展迅速;另外一个是访问这些网络资源的终端主机设备越来越朝着多样化、小型化、智能化和移动化的方向发展。终端主机作为信息存储、传输、应用运行处理的基础设施,其自身安全性涉及到系统安全、数据安全、网络安全等各个方面,任何一个节点都有可能影响整个网络的安全。终端主机用户的特点是分散、量大、动态、技术水平差异大、对安全不重视,从而终端主机成为信息安全体系的薄弱环节。因此,终端主机信息交互的安全将是保证整个网络资源安全以及系统正常的关键。
基于网络的分布式服务已经成功的成为提高生产力的一种方式,为了保证分布式服务的有效性和持续性,常常需要从获得服务的终端界面来保证安全,即终端主机敏感数据和操作的保护以及提供服务的正常保证。对于保留在终端主机设备上以及在使用过程中交互的敏感数据的保护措施,一般可以从保密性、完整性、可用性和不可否认性几个方面来考虑,而这些都是以信任问题为中心的。为了更好地解决建立这种网络终端主机的信任方法问题,国际上一些知名公司已经联盟形成了可信计算组织(TrustedComputer Group,TCG),其目的主要是通过增强现有终端主机体系结构的安全性来保证整个网络的安全,意义就是在网络中搭建一个诚信体系,每个终端主机都具有合法的网络身份,并能够被认可;而且终端主机具有对恶意代码,如病毒、木马等的免疫能力。在这样的可信计算环境中,任何终端主机出现问题,都能保证合理取证,方便监控和管理。
可信计算提供的安全功能有终端主机设备认证、数据完整性校验、用户身份认证、用户权限合法性、端口控制和管理、数据的加密存储、重要信息的硬件加密保护。这些安全功能保证了使用者、软硬件的配置、应用程序等的可信,进一步保证了终端主机的可信,最终构建出可信任的计算机网络。
根据TCG的规范,每一个终端主机实体间的信任是基于存在于终端主机实体内的可信平台模块(Trusted Platform Module,TPM)硬件部件的。可信平台使一个终端主机实体能够确定该平台内的软件环境的安全状态,并把需要保护的数据(包括中间临时运算数据)封闭在该平台特定的软件环境中,从而保证终端主机实体的信任基础。因此,要在终端主机实体上建立可信平台,必须从硬件设计、系统设计以及运行管理等环节重新考虑并形成相对封闭的环境。这种情况对于重新设计、生产的设备是可行的,对于已有的终端主机而言,则很难实现,因为,现有技术中,终端主机设备的硬件、软件以及系统千变万化,复杂不一,很难统一,无法对所有的终端主机全部重新进行可信基础的设计,否则将会加大终端主机配置可信平台的难度和成本;另外,对于如何将已经存在或正在使用的终端主机纳入可信网络也是要考虑的问题;同时,分散的可信平台无法集中、动态更新和管理。
发明内容
针对现有技术中存在的缺陷,本发明的目的是提供一种在便携式终端主机上添加可信平台的方法,该方法可以实现在已有的便携式终端主机上添加可信平台,并且可以对可信平台进行动态的远程管理。
为达到以上目的,本发明采用的技术方案是一种在便携式终端主机上添加可信平台的方法,包括以下步骤(1)对可信平台模块进行初始化;(2)配发便携式可信平台模块,可信平台模块与终端主机进行外部认证,在终端主机系统上建立隔离运行环境;(3)可信平台模块与安全管理中心服务器进行双向认证;(4)可信平台模块与安全管理中心服务器进行外部远程加密通讯;(5)可信平台模块与安全管理中心安全交换数据;(6)可信平台模块与终端主机脱离联接前,终端主机系统上的隔离运行环境自动安全保存到可信平台模块上,终端主机系统自动还原成与可信平台模块联接前的状态。
进一步,步骤(1)中初始化可信平台模块时,安全管理中心服务器的安全模块会对终端主机和可信平台模块进行离线的密钥和安全应用程序初始化。
安全管理中心的密钥管理系统和装置生成非对称密钥组、对称密钥组、密钥使用认证PIN码(Personal Identification Number)或指纹模板信息。
上述的非对称密钥对应的加密算法包括但不限于现在常用的RSA、ECC(椭圆曲线)加密或国家要求的专用算法。
上述的对称密钥对应的加密算法包括但不限于现在常用的DES、3DES、AES或国家指定的专用算法。
上述的可信平台模块上的压缩算法包括但不限于现在常用的MD5、SHA-1算法。
安全管理中心的写入装置将安全应用管理程序SECADM、系统镜像文件SYSIMG、虚拟机(Virtual Machine,VM)程序安全地写入各自独立的安全存储区。
进一步,步骤(2)中,所述的配发可信平台模块是在便携式终端主机内加装可信平台模块或者是将便携式终端主机通过外部接口与可信平台模块连接。
进一步,步骤(2)中,可信平台模块在与终端主机系统安全外部认证后与其建立信任联系。
进一步,步骤(2)中进行外部认证后,存放在可信平台模块上的大容量存储介质上的安全应用管理程序会自动被导入主机系统上运行并通过它将虚拟程序或系统镜像文件导入主机系统运行,在主机系统内通过在虚拟机上恢复导入的系统镜像文件形成新的系统环境,从而建立与主机原系统相对隔离的系统运行环境,同时便携式可信平台模块在与终端主机系统的所有数据交换处于加密状态。
进一步,步骤(4)中,正在主机隔离环境上运行的安全应用管理程序会通过主机的硬件通讯基础与远程的安全管理中心服务器建立远程加密通讯通道;进一步,建立加密通道的过程中是由安全应用管理程序启动便携式终端主机内的可信平台模块的TPM芯片的安全功能,上述的安全功能包括会话密钥的产生、加密、数字签名、解密、认证。
进一步,步骤(5)中,在远程加密通道建立后,通过安全应用管理程序启动可信平台模块与安全管理中心服务器的安全管理模块进行严格认证,认证通过后,安全管理中心服务器能够远程、动态、安全地更新和管理可信平台模块内的TPM芯片上的安全信息以及安全存储在其上的安全应用程序。
进一步,步骤(5)中,在安全管理中心服务器远程、动态、安全地更新和管理可信平台模块内的TPM芯片上的安全信息以及安全存储在其上的安全应用程序的过程中,这些从安全管理中心服务器发送出来的安全信息和安全应用程序先经过安全管理中心服务器的安全模块进行数字签名和必要的加密,到达终端主机系统后由可信平台模块先进行数字签名认证,认证通过后再进行必要的解密;同样从可信平台模块发送出来的安全信息和安全应用程序先经过可信平台模块进行数字签名和必要的加密,到达安全管理中心服务器的安全模块后由安全管理中心服务器的安全模块先进行数字签名认证,认证通过后再进行必要的解密。
进一步,步骤(6)中,可信平台模块与终端主机脱离联接前,终端主机系统上的隔离运行环境产生的所有数据包括临时数据自动经TPM模块加密后保存到可信平台模块的大容量存储介质上。
本发明的效果在于采用本发明所述的方法,可以实现在已有的便携式终端主机上添加可信平台,并且可以对可信平台进行实时动态的远程管理。该方法突破了现有TPM模块无法实现远程动态管理的难点,从而为网络运营服务的安全运行提供了切实可行的统一管理方法。
图1是本发明所述方法的流程图;图2是本发明的可信平台模块结构图。
具体实施例方式
下面结合附图及实施例对本发明进行具体详细说明如图1所示,一种在便携式终端主机上添加可信平台的方法,包括如下步骤(1)初始化可信平台模块;在配发可信平台模块(也称TPM模块或便携式TPM模块)前,先将非对称密钥组(密钥对应的算法包括但不限于现在常用的RSA、ECC算法等)、对称密钥组(密钥对应的算法包括但不限于现在常用的AES、DES、3DES算法)、密钥使用认证PIN码或指纹模板信息通过专用的密钥管理系统和装置生成;将安全应用管理程序、系统镜像文件、VM程序通过专用的工具安全写入各自独立的安全存储区;首先安全管理中心会根据应用需要对终端主机和便携式TPM模块进行离线的密钥和安全应用程序初始化。对便携式TPM模块的初始化至少涉及一对非对称密钥PRA和PUA和一个外部认证密钥EXB以及安全应用管理程序SECADM、系统镜像文件SYSIMG和虚拟机(Virtual Machine,VM)程序等。
如图2所示,上述的TPM模块由主控制器1、TPM芯片2、大容量存储介质3组成。其中,大容量存储介质3上分为安全数据存储区4、系统镜像文件存储区5、安全管理程序存储区6,分别储存有安全数据、系统镜像文件、安全管理及应用程序。
(2)配发便携式TPM模块,TPM模块与终端主机进行外部认证,在终端主机系统建立隔离环境;便携式TPM模块在与终端主机系统安全认证后与其建立信任联系,然后存放在便携式TPM模块上的大容量存储介质上的安全应用管理程序会自动被导入主机系统上运行并通过它将虚拟机(Virtual Machine,VM)程序或系统镜像文件导入终端主机系统运行,在终端主机系统内通过在虚拟机上恢复导入的系统镜像文件形成新的系统环境,从而在终端主机系统建立与原系统相对隔离的系统运行环境,同时便携式TPM模块在与终端主机系统的所有数据交换处于加密状态;由于TPM作为密码运算功能时一般是被动部件,需要安排另外的安全应用程序驱动和管理对它的使用,对安全应用程序进行安全可靠的更新和管理是建立可信计算的关键;而且为了扩大可信计算的范围和功能,对与终端主机设备一起分布的安全应用程序的远程动态管理的安全性要求也是非常关键的。
便携式TPM模块在与终端主机连接后先进行外部认证即先由便携式TPM模块产生一个随机数RANDOM发给终端主机,终端主机会用认证密钥加密此随机数RANDOM后返回给TPM模块,TPM模块将用外部认证密钥EXB对接收到的数据解密并与随机数RANDOM比较,若果一致则证明此时便携式TPM模块与终端主机可以建立可信连接。此时TPM上的安全应用管理程序SECADM将VM程序和系统镜像文件SYSIMG送到终端主机并在其上运行且构建安全隔离的系统运行环境。
(3)TPM模块与安全管理中心服务器建立远程安全通讯;在主机隔离环境上运行的安全应用管理程序通过主机的通讯基础与安全管理中心服务器建立加密通讯通道,建立加密通道的过程中也由安全应用管理程序启动便携式TPM模块的TPM 芯片的安全功能,上述的安全功能包括会话密钥的产生、加密、数字签名、解密、认证等。
同时TPM上的安全应用管理程序SECADM将启动终端主机上的通讯模块与安全管理中心建立远程连接。在启动远程连接的过程中,终端主机将通过TPM模块与管理中心的服务器建立双向认证首先终端主机将TPM内的PUA(或数字证书)发给安全管理中心,安全管理中心将对此数据与数据库内的数据比对,如果正确则接收否则拒绝;然后安全管理中心的服务器将产生一个随机数并用接收到的PUA加密,送回终端主机;终端主机将加密后的随机数送到TPM模块内使用对应的PRA解密,解密后的结果将被压缩算法压缩后为DATA再用PRA加密后再用服务器的PUB加密后经由终端主机发回给安全管理中心服务器;安全管理中心服务器收到后将采用服务器PRB解密,解密成功后的结果再由PUA解密获得数据DDATA,如果此数据与服务器此前产生的随机数经过同样的压缩算法运算后的结果比对,如果一致则TPM与安全管理中心可以建立可信连接。同时通讯可以建立共享密钥的加密的通道,加密通道的共享密钥可以由终端主机的TPM产生经服务器的PUB加密后发给服务器,再由服务器的PRB解密获得。
TPM模块与安全管理中心服务器建立远程加密连接后,可以相互安全地交换数据和信息。TPM模块要更新其上的TPM芯片上的数据或存储介质上的数据或安全应用程序,需要通过安全管理程序进行管理接收和发送,接收来自安全管理中心服务器的数据包都带有经过安全管理服务器的PRB密钥进行数字签名后的结果,数字签名的结果经TPM芯片认证通过后才可按照安全等级要求将数据包存放在TPM模块上;同样TPM模块上要上传的数据包也都带有经过TPM芯片的PRA密钥进行数字签名结果,数字签名的结果经服务器认证通过后才可将数据包接收存放在服务器上。
(4)实现对TPM模块安全的远程动态管理;在加密通道建立后,通过安全应用管理程序启动便携式TPM模块与安全管理中心服务器的安全管理模块进行严格认证,认证通过后,安全管理中心服务器可以远程安全地更新和管理便携式TPM模块内的TPM芯片上的安全信息以及安全存储上的安全应用程序。
(5)终端主机系统保存数据和恢复原系统;可信平台模块与终端主机脱离联接前,终端主机系统上的隔离运行环境产生的所有数据包括临时数据自动经TPM模块加密后保存到可信平台模块的大容量存储介质上。可信平台模块与终端主机联接脱离后,终端主机系统自动还原成与可信平台模块联接前的状态。
综上所述,本发明利用通过各种安全措施,以终端主机为信任桥梁,成功地建立了TPM模块与安全管理中心的可信安全连接,实现了一种在便携式终端上添加可信平台并对可信平台进行远程动态安全管理的方法。
本发明所述的方法并不限于具体实施方式
中所述的实施例,只要是本领域技术人员根据本发明的技术方案得出其他的实施方式,同样属于本发明的技术创新范围。
权利要求
1.一种在便携式终端主机上添加可信平台的方法,包括以下步骤(1)对可信平台模块进行初始化;(2)配发可信平台模块,可信平台模块与终端主机进行外部认证,在终端主机系统上建立隔离运行环境;(3)可信平台模块与安全管理中心服务器进行双向认证;(4)可信平台模块与安全管理中心服务器进行外部远程加密通讯;(5)可信平台模块与安全管理中心服务器安全交换数据;(6)可信平台模块与终端主机脱离联接前,终端主机系统上的隔离运行环境自动安全保存到可信平台模块上,终端主机系统自动还原成与可信平台模块联接前的状态。
2.如权利要求1所述的一种在便携式终端主机上添加可信平台的方法,其特征是步骤(1)中初始化可信平台模块时,安全管理中心服务器的安全模块对可信平台模块进行离线的密钥和安全应用程序初始化。
3.如权利要求2所述的一种在便携式终端主机上添加可信平台的方法,其特征是步骤(1)中对可信平台模块进行初始化时,安全管理中心的密钥管理系统和装置生成非对称密钥组、对称密钥组、密钥使用认证PIN码或指纹模板信息,并将它们通过密钥管理系统安全写入可信平台模块。
4.如权利要求3所述的一种在便携式终端主机上添加可信平台的方法,其特征是上述的非对称密钥对应的算法包括RSA、ECC。
5.如权利要求3所述的一种在便携式终端主机上添加可信平台的方法,其特征是上述的对称密钥对应的算法包括DES、3DES、AES。
6.如权利要求4或5所述的一种在便携式终端主机上添加可信平台的方法,其特征是在使用上述算法进行认证的过程中使用了压缩算法MD5或SHA-1。
7.如权利要求1、2、3、4或5所述的一种在便携式终端主机上添加可信平台的方法,其特征是步骤(1)中对可信平台模块进行初始化时,安全管理中心服务器的写入装置将安全应用管理程序SECADM、系统镜像文件SYSIMG、虚拟机程序安全写入各自独立的安全存储区。
8.如权利要求1、2、3、4或5所述的一种在便携式终端主机上添加可信平台的方法,其特征是步骤(2)中,所述的配发可信平台模块是在便携式终端主机内加装可信平台模块或者是将便携式终端主机通过外部接口与可信平台模块连接。
9.如权利要求8所述的一种在便携式终端主机上添加可信平台的方法,其特征是进一步,步骤(2)中,可信平台模块在与终端主机系统进行安全的外部认证后与其建立信任联系。
10.如权利要求9所述的一种在便携式终端主机上添加可信平台的方法,其特征是步骤(2)中进行外部认证后,存放在可信平台模块上的大容量存储介质上的安全应用管理程序自动被导入终端主机系统上运行并通过它将虚拟程序或系统镜像文件导入终端主机系统运行,在终端主机系统内通过在虚拟机上恢复导入的系统镜像文件形成新的系统环境,从而建立与终端主机原系统相对隔离的系统运行环境,同时便携式可信平台模块在与终端主机系统的所有数据交换处于加密状态。
11.如权利要求1、2、3、4或5所述的一种在便携式终端主机上添加可信平台的方法,其特征是步骤(4)中,在终端主机隔离环境上运行的安全应用管理程序通过终端主机的通讯基础与远程的安全管理中心服务器建立远程加密通讯通道。
12.如权利要求11所述的一种在便携式终端主机上添加可信平台的方法,其特征是建立远程加密通道的过程中是由安全应用管理程序启动可信平台模块的TPM芯片的安全功能,上述的安全功能包括会话密钥的产生、加密、数字签名、解密、认证。
13.如权利要求1、2、3、4或5所述的一种在便携式终端主机上添加可信平台的方法,其特征是步骤(5)中,在远程加密通道建立后,通过安全应用管理程序启动可信平台模块与安全管理中心服务器的安全管理模块进行严格认证,认证通过后,安全管理中心服务器能够远程、动态、安全地更新和管理可信平台模块内的TPM芯片上的安全信息以及安全存储在其上的安全应用程序。
14.如权利要求13所述的一种在便携式终端主机上添加可信平台的方法,其特征是步骤(5)中,在安全管理中心服务器远程、动态、安全地更新和管理可信平台模块内的TPM芯片上的安全信息以及安全存储在其上的安全应用程序的过程中,这些从安全管理中心服务器发送出来的安全信息和安全应用程序先经过安全管理中心服务器的安全模块进行数字签名和必要的加密,到达终端主机系统后由可信平台模块先进行数字签名认证,认证通过后再进行必要的解密;同样从可信平台模块发送出来的安全信息和安全应用程序先经过可信平台模块进行数字签名和必要的加密,到达安全管理中心服务器的安全模块后由安全管理中心服务器的安全模块先进行数字签名认证,认证通过后再进行必要的解密。
15.如权利要求1、2、3、4或5所述的一种在便携式终端主机上添加可信平台的方法,其特征是步骤(6)中,可信平台模块与终端主机脱离联接前,终端主机系统上的隔离运行环境产生的所有数据包括临时数据自动经TPM模块加密后保存到可信平台模块的大容量存储介质上。
全文摘要
本发明涉及一种在便携式终端主机上添加可信平台的方法,属于信息安全保护领域。现有技术中,便携式终端主机的硬件、软件以及系统千变万化,无法对所有普通的便携式终端主机全部重新进行可信基础的设计及远程动态的管理。本发明所述的方法先对TPM模块进行初始化,然后配发便携式TPM模块,在TPM模块与终端主机之间进行外部认证,在终端主机系统上建立隔离,运行环境,TPM模块与安全管理中心服务器进行双向认证,TPM模块与安全管理中心服务器进行外部加密通讯,TPM模块与安全管理中心的安全应用程序认证、处理接收数据。本发明可以实现在已有的普通便携式终端主机上随时添加和卸载可信平台,并且可以对可信平台进行远程实时动态的远程管理。
文档编号G06F21/00GK1808456SQ20061000796
公开日2006年7月26日 申请日期2006年2月24日 优先权日2006年2月24日
发明者彭君, 陈文萍 申请人:上海方正信息安全技术有限公司