专利名称:基于硬件安全单元的系统间绑定及平台完整性验证方法
技术领域:
本发明涉及可信计算技术,特别涉及一种基于硬件安全单元的系统间绑 定方法及平台完整性验证方法。
技术背景硬件安全单元,如可信平台模块(TPM, Trusted Platform Module),通常 具有的功能包括确保用户身份的唯一性,用户工作空间的完整性与私有性; 确保存储、处理、传输的信息的保密性/完整性;确保硬件环境配置、操作系 统内核、服务及应用程序的完整性。硬件安全单元作为一个安全系统的基础, 确保系统具有免疫能力,从根本上阻止病毒和黑客等软件攻击。此外,硬件 安全单元作为硬件密码模块,将加密使用的密钥保存在芯片内部或加密后存 储在外部空间,而不是像过去一样以明文形式保存在硬盘或其他介质上,并 通过硬件安全单元软件中间件,向系统平台和应用程序提供可信赖的密码学 服务,其中,密钥管理、数据安全封装/解封装和数字签名运算具有很高的安 全性。安装了硬件安全单元的设备可称为一个可信计算系统。在现有规范和技 术中,硬件安全单元的功能仅作用于其所在的设备,没有在具有硬件安全单 元的不同设备间建立基于硬件安全单元信任关系的解决方案。因此,如何让 可信计算的功能延伸,扩大到其他的可信计算系统上,是一个需要解决的问 题。例如,用户拥有个人计算机(PC)和手机两个电子设备,两个设备上都 安装有硬件安全单元。用户在PC上存储了一些私密文件,并且利用PC上的 硬件安全单元的密钥加密存储。用户如果想把这些文件传送到手机进行进一 步的处理,那么每次都需要执行如下的过程首先在PC上输入解密口令后 将文件解密,然后将解密后的文件传送到手机,手机利用自身的硬件安全单 元对收到的文件进行加密存储。在上述过程中,缺乏相应的机制处理对方可4 信计算系统是否可信的问题;同时,有明文传输的过程,存在安全隐患;而 且,在解密加密过程中需要输入用户口令,步骤繁琐。类似的可信计算延伸需求还很多,比如笔记本对PC,手机对PC,手 机对笔记本,PC对PC,无线设备的关联等等。现有技术中缺乏基于硬件安 全单元的系统间授予信任的解决方案。 发明内容本发明的目在于提供一种基于硬件安全单元的可信计算系统间绑定方 法,为可信计算系统间提供一种基于硬件安全单元的授予信任的解决方案。 此外,本发明的另外一个目的在于提供一种可信计算系统间的平台完整性验 证方法,在相互绑定的可信计算系统间实现平台完整性验证。本发明提供一种基于硬件安全单元的可信计算系统间绑定方法,包括如 下步骤步骤11,配置可信计算系统的硬件安全单元的绑定规则;步骤12,待绑定的可信计算系统的硬件安全单元之间相互交换硬件安全 单元信息并对对方的硬件安全单元设备合法性进行校验,如果校验通过,则 继续,否则退出绑定过程;步骤13,待绑定的可信计算系统的硬件安全单元进行绑定是否满足自身 绑定规则的验证,如果验证通过,则继续,否则退出绑定过程;步骤14,待绑定的可信计算系统的硬件安全单元分别存储对方的平台信 息和硬件安全单元绑定信息。进一步,在步骤12相互交换硬件安全单元信息之前还可以包括如下步骤待绑定的可信计算系统的硬件安全单元分别生成一对非对称性密钥并交 换生成的公钥,在待绑定的可信计算系统之间建立加密管道。或者进一步,在步骤13和步骤14之间包含如下步骤待绑定的可信计算系统的硬件安全单元分别生成密钥并相互交换密钥, 在待绑定的可信计算系统之间建立加密管道。此外,本发明进一步提供了一种可信计算系统间的平台完整性验证方法, 可信计算系统利用上述绑定方法实现绑定,该平台完整性验证方法包括步骤
相互绑定的可信计算系统的其中一方的硬件安全单元向对方的硬件安全 单元发出平台完整性验证请求,其中携带绑定对方硬件安全单元绑定信息;对方的硬件安全单元在接收到所述平台完整性验证请求后,将请求中的 绑定信息和自身的绑定信息进行比较,如果相同,则执行平台完整性度量并 将平台信息返回给发出请求的硬件安全单元;发出请求的硬件安全单元将收到的新的平台信息和自身存储的信息进行 比较,如果不同,则判定对方平台出现异常。从上面的描述可以看出,本发明提供基于硬件安全单元的可信计算系统 间绑定方法,在可信计算系统间的硬件安全单元设备合法性校验和绑定规则 的验证满足后,分别存储了对方的硬件安全单元信息和平台信息,从而在可 信计算系统间建立了信任关系。密钥的交换和加密管道的建立,避免了传输 过程中明文传输的安全漏洞,进一步提高了可信计算系统间信息传输的安全 性。本发明提供的可信计算系统间平台完整性验证方法,实现了相互绑定的 可信计算系统间的平台完整性验证,将硬件安全单元的完整性校验功能延伸 到了相互绑定的可信计算系统间,扩大了硬件安全单元的应用范围。
图1为本发明一种基于硬件安全单元的系统间绑定方法的流程图; 图2为本发明硬件安全单元对可信计算系统间绑定的管理; 图3为本发明绑定后的硬件安全单元实现的延伸功能。
具体实施方式
下面结合附图和具体实施例对本发明提供的一种基于硬件安全单元的系 统间绑定方法进行详细的描述。该方法首先由硬件安全单元的所有者 (Owner)配置绑定规则,然后待绑定的可信计算系统之间相互进行硬件安 全单元的设备合法性校验、以及是否满足绑定规则的验证,如果双方的设备 合法性校验和绑定规则的验证都通过,则可信计算系统分别将对方的绑定信 息和平台信息存储在自身的硬件安全单元中。建立了绑定关系的可信计算系 统认为对方是可信任的。基于该信任可以提供相应的安全管理和服务。如图1所示,本发明的一种基于硬件安全单元的系统间绑定方法包括如 下步骤-
步骤11,可信计算系统硬件安全单元的所有者对绑定规则进行配置。硬件安全单元的所有者可以对绑定规则进行配置和管理,绑定规则可以 包括是否允许绑定、允许绑定的硬件安全单元的类型、以及绑定需要满足的 其他条件。而绑定需要满足的其他条件,可以是允许^定的硬件安全单元的 序列号,或者代表允许绑定的硬件安全单元所在设备的标识符。绑定规则还 可以进一步包括允许的绑定模式,是否可主动发起绑定,是否可以接受绑 定请求,绑定可选用的密码学算法,以及可接受配置的软硬件资源和服务等。步骤12,待绑定的可信计算系统的硬件安全单元之间相互交换硬件安全 单元信息并对对方的硬件安全单元设备合法性进行校验。待绑定的可信计算系统之间通过通信接口,如串口、通用输入输出接口(GPIO)、通用串行总线(USB)、红外、无线等进行连接。相互交换硬件安 全单元信息,包括硬件安全单元的标识(ID)号、厂商描述符和厂商签名。 硬件安全单元通过完整性校验算法对对方硬件安全单元的设备合法性进行校 验。校验通过,则继续下面的步骤,否则,绑定过程结束。步骤13,待绑定的可信计算系统的硬件安全单元进行绑定是否满足自身 绑定规则的验证。待绑定的可信计算系统的硬件安全单元交换用户信息、硬件安全单元信 息和平台信息。用户信息包括用户或者所有者的签名、口令等。硬件安全单 元信息包括硬件安全单元的接口类型、厂商描述符、绑定密码学算法等。平 台信息包括可信计算系统的硬件信息和软件信息。例如安装有硬件安全单元 的计算机,其硬件信息包括基本输入输出系统(BIOS)信息、CPU信息、板 卡信息以及硬盘信息等;其软件信息包括引导扇区信息和操作系统信息等。 而对于安装了硬件安全单元的手机,其硬件信息通常包括只读存储器 (ROM)、 CPU、用户识别模块(SIM)及其它相关设备。硬件安全单元根据 上述交换的信息检査绑定是否满足自身的绑定规则的要求。如果不满足,则 退出绑定流程;如果满足绑定规则,则继续。步骤14,确认基于硬件安全单元的可信计算系统间的绑定,存储绑定对 方的平台信息和硬件安全单元的绑定信息,对绑定后硬件安全单元之间的权 限和适应范围进行设定。 为了加强绑定过程的数据传输的安全性,防止绑定过程中传输的数据被 截获,相互绑定的可信计算系统首先由各自的硬件安全单元分别生成一组非 对称性密钥,并交换上述生成的公钥。从而在待绑定的可信计算系统之间建 立一个加密通道,随后的数据交换都通过该加密通道进行。交换公钥后,可 信计算系统在数据传输前首先由各自的硬件安全单元通过上述交换的公钥进 行加密。通过公钥加密的数据只能通过与该公钥对应的私钥才能解密,从而 防止其他人获得绑定过程中交换的数据,提高了绑定过程的安全性。在绑定规则中,可以进一步设置绑定的硬件安全单元之间是对等绑定关 系或者非对等绑定关系。对等绑定关系是指硬件安全单元之间是一种对等协 作关系,硬件安全单元一方对另外一方不具有控制权和配置权。对等绑定的 硬件安全单元之间可以进行密钥和服务的迁移。非对等绑定关系是指绑定的 硬件安全单元之间是一种主从关系,并指定处于主控地位的硬件安全单元和 处于从属地位的硬件安全单元。处于主控地位的硬件安全单元可以对处于从 属地位的硬件安全单元的功能、服务、特性、软硬件可用资源等进行配置, 或者强制执行清除、复制、关闭等操作。非对等绑定的硬件安全单元之间也 可以进行密钥和服务的迁移。在绑定规则中可以设置一个最大绑定连接数,用来表明该硬件安全单元 可以接受的满足该绑定规则的绑定连接个数。例如,如果最大绑定连接数设 置为1,则该硬件安全单元只能和一个满足该硬件安全单元的绑定规则的硬 件安全单元建立绑定连接。如果最大绑定连接数大于1,则该硬件安全单元 可以和多个满足该硬件安全单元的绑定规则的硬件安全单元建立绑定连接。此外,在绑定规则中还可以对绑定的验证进行设定,可信计算系统间的 绑定关系可以在关系持续过程中间进行验证。验证的内容包括设备合法性信 息,绑定规则信息,验证时间等。如果超时未验证或验证失败,则绑定中止。 验证时间间隔,验证次数,验证总时间也可由绑定的硬件安全单元之间协商 决定。在绑定规则中,还可以对绑定的安全等级进行设定。根据不同安全等级 的绑定规则建立的绑定,其硬件安全单元使用对方硬件安全单元的功能、权 限、服务的范围也不同。
在绑定规则中,可以设定不允许将本硬件安全单元存储的签名、证书、 绑定信息和平台信息等发布给其它的硬件安全单元。但是,也可以在绑定规 则中设定允许将本硬件安全单元存储的一些绑定相关信息发布给与本硬件安 全单元具有绑定关系的其它硬件安全单元。例如所有者希望基于一个绑定规则的绑定关系具有传递性,即在同一绑定规则下,如果硬件安全单元A与硬件安全单元B进行了绑定,硬件安全单元B与硬件安全单元C也进行了绑定, 则硬件安全单元A和硬件安全单元C之间基于同一规则的绑定关系成立。则 在硬件安全单元A和C在建立绑定时,硬件安全单元C可以提交硬件安全单 元B的签名、证书或绑定信息等给硬件安全单元A校验,如果校验通过,则 硬件安全单元A、 C所在的可信计算系统之间实现绑定,从而简化硬件安全 单元A和硬件安全单元C之间绑定的验证过程。对于可信计算系统间绑定关系的中止,可以通过多种途径来实现。首先 允许硬件安全单元的所有者对绑定的规则进行更新或删除。当一个硬件安全 单元的绑定规则被修改后,以前建立的绑定关系需要根据新的绑定规则进行 检査,不符合新的绑定规则的绑定要被冻结或删除。此外,可以在绑定规则 中配置一些绑定需要满足的约束条件,例如绑定可持续的时间,绑定可使用 的次数,以及绑定存在所要满足的其他条件,如密钥、变量、标值位、平台 信息或者外部信息等。在同一个绑定规则中可以配置上述的一个或者多个约 束条件。只有当配置的约束条件都满足时,对应的绑定才可以存在,否则, 可信计算系统间的绑定冻结或者终止。在系统间的绑定关系处于冻结状态时, 硬件安全单元不会清除绑定信息,而只是把和绑定相关的数据进行封存,直 到可信计算系统间的绑定关系被重新激活或者被删除。如图2所示,硬件安全单元对可信计算系统间绑定的管理包括绑定检查、 绑定更新、加密管道的更新和绑定删除。绑定检查是指绑定的一方请求对方发送最新的硬件安全单元信息和绑定 信息,并和自身存储的对方的硬件安全单元信息和绑定信息进行比较,如果 发现存在不同,则退出绑定,并清除遗留信息。绑定更新是指绑定后的硬件安全单元之间可以对绑定规则的一部分内容 进行更改。例如,在非对等的绑定关系中,处于主控地位的硬件安全单元可以对处于从属地位的硬件安全单元的绑定规则进行更改。加密管道的更新是指,绑定后的硬件安全单元可以重新生成新的密钥, 并相互交换,以后传输的数据都用新的密钥进行加密,从而生成新的加密管 道。此时生成的密钥可以是对称密钥或者非对称密钥。生成密钥的算法也可 以在绑定规则中重新指定。绑定删除是指硬件安全单元的所有者可以删除绑定记录的信息,从而删 除可信计算系统间的绑定。如图3所示,绑定后的硬件安全单元实现的延伸功能包括可信计算系统 间平台完整性验证、配置管理、日志管理、密钥存储管理以及密钥、证书等 密码学服务的迁移与管理。本发明提供的基于硬件安全单元的系统间绑定方 法,为绑定的可信计算系统间建立了信任的基础,从而提高了这些硬件安全 单元延伸功能实现的安全性。可信计算系统间平台完整性验证是指一可信计算系统的硬件安全单元对 另一可信计算系统的平台完整性验证。在上面描述的绑定过程中,硬件安全单元分别记录了对方硬件安全单元平台控制寄存器(PCR)中存储的平台完整性度量信息(或者摘要)。可信计算系统间平台完整性验证包括如下步骤 步骤21,相互绑定的可信计算系统的其中一方的硬件安全单元向对方的 硬件安全单元发出平台完整性验证请求,其中携带绑定对方硬件安全单元绑 定信息(或者摘要)。步骤22,对方的硬件安全单元接收到平台完整性验证请求后,将请求携 带的硬件安全单元绑定信息(或者摘要)和自身的绑定信息进行比较,如果 相同,则执行平台完整性度量,获得新的平台信息,并将平台信息(或者其 摘要)发送给请求方的硬件安全单元。步骤23,发出请求的硬件安全单元将收到的新的平台信息(或者摘要) 和自身存储的信息进行比较,如果发现不同,则可认为对方的平台出现异常, 从而进行相应的处理,如断开绑定关系。日志管理是指绑定一方的硬件安全单元保存或获取另一方的相关曰志, 并进行相应的处理。例如与绑定相关的操作日志,从而可以通过绑定相关操 作日志的分析对绑定进行管理。
密钥的存储管理是指处于绑定一方的硬件安全单元A在存储密钥前,先 将密钥传送到绑定另一方的硬件安全单元B进行加密,然后存储经过硬件安全单元B加密后传回的密钥。在硬件安全单元A需要使用该密钥的时候,首 先由硬件安全单元B进行密钥解密,然后用硬件安全单元B解密后传回的密 钥进行解密。这样这些由双方共同加密的密钥,在使用时,必须由绑定的双 方解密后才可使用,增加了安全性。配置管理是指当基于硬件安全单元的系统间绑定为非对等关系时,处于 主控地位的硬件安全单元的所有者可以作为处于从属地位的硬件安全单元的 超级用户或者管理员,对处于从属地位的硬件安全单元的功能、服务、特性、 软硬件资源等进行配置,并可以控制从属地位的硬件安全单元的清除、复制、 关闭等操作。密钥、证书等密码学服务的迁移与管理,是指密钥、证书等密码学服务 可以在建立绑定关系的硬件安全单元间迁移。硬件安全单元对密钥、证书的 迁移进行记录,包括迁移路径、迁移位置、所有者、创建者、生存周期、使 用次数、使用权限等,并对密钥、证书的迁移进行管理,从而实现密码学服 务的迁移与管理。并可以设定是否允许迁移来的密钥、证书再次发布给其它 的硬件安全单元。综上所述,本发明提供了一种基于硬件安全单元的系统间绑定方法,为 可信计算系统间建立信任提供了一种基于硬件安全单元的处理机制。在绑定 过程中密钥的使用、硬件安全单元的设备合法性的校验以及绑定规则的验证, 进一步提高了整个绑定方法的安全性和可靠性。通过对绑定规则的设定,可 以在可信计算系统间建立满足不同需求的绑定关系并实现对绑定关系的管 理。通过本发明提供的绑定方法在可信计算系统间建立信任关系,为硬件安 全单元的多种延伸功能提供安全的基础和保证。本发明提供的可信计算系统 间平台完整性验证方法,将硬件安全单元的完整性校验功能延伸到了相互绑 定的可信计算系统间,扩大了硬件安全单元的应用范围。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不 局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可 轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明 的保护范围应该以权利要求的保护范围为准。
权利要求
1.一种基于硬件安全单元的可信计算系统间绑定方法,其特征在于,包括如下步骤步骤11,配置可信计算系统的硬件安全单元的绑定规则;步骤12,待绑定的可信计算系统的硬件安全单元之间相互交换硬件安全单元信息并对对方的硬件安全单元设备合法性进行校验,如果校验通过,则继续,否则退出绑定过程;步骤13,待绑定的可信计算系统的硬件安全单元进行绑定是否满足自身绑定规则的验证,如果验证通过,则继续,否则退出绑定过程;步骤14,待绑定的可信计算系统的硬件安全单元分别存储对方的平台信息和硬件安全单元绑定信息。
2. 如权利要求1所述的方法,其特征在于,在步骤12相互交换硬件安 全单元信息之前还包括步骤步骤12a,待绑定的可信计算系统的硬件安全单元分别生成一对非对称性 密钥并交换生成的公钥,在待绑定的可信计算系统之间建立加密管道。
3. 如权利要求1或2所述的方法,其特征在于,在步骤13和步骤14之 间还存在如下步骤步骤13b,待绑定的可信计算系统的硬件安全单元分别生成密钥并相互 交换密钥,在待绑定的可信计算系统之间建立加密管道。
4. 如权利要求3所述的方法,其特征在于,步骤13b中生成的密钥是非 对成密钥且相互交换的是公钥,或者步骤13b中生成和交换的密钥是对称密 钥。
5. 如权利要求1或2所述的方法,其特征在于,所述的绑定规则包括是否允许绑定,和/或,允许绑定的硬件安全单元的类型,和/或,允许绑定的 硬件安全单元的序列号,和/或,允许绑定的硬件安全单元所在设备的标识符, 和/或,允许的绑定模式,和/或,是否可主动发起绑定,和/或,是否可以接 受绑定请求,和/或,绑定可选用的密码学算法,和/或,接受配置的软硬件资 源和服务。
6. 如权利要求5所述的方法,其特征在于,所述的绑定规则中进一步包 含一最大绑定连接数,用于设定满足绑定规则的最大绑定个数。
7. 如权利要求5所述的方法,其特征在于,所述的绑定规则进一步包含 安全等级,用于表示硬件安全单元使用绑定对方硬件安全单元的功能、权限、 服务的范围。
8. 如权利要求5所述的方法,其特征在于,所述的绑定规则进一步包含 绑定验证的设定。
9. 如权利要求5所述的方法,其特征在于,所述的绑定规则进一步包含: 绑定持续时间,和/或,绑定使用最大次数,和/或,绑定存在所要满足密钥、 或变量、或标值位、或平台信息。
10. 如权利要求5所述的方法,其特征在于,所述的绑定规则进一步包 含是否允许将硬件安全单元存储的绑定信息发布给其它系统硬件安全单元的 设定。
11. 如权利要求1或2所述的方法,其特征在于,步骤14后还包括如下 步骤删除绑定的可信计算系统硬件安全单元存储的对方平台信息和硬件安全 单元绑定信息。
12. —种平台完整性验证的方法,用于在使用权利要求1所述的方法绑 定的可信计算系统间进行平台完整性验证,其特征在于,包括如下步骤-步骤21,相互绑定的可信计算系统的其中一方的硬件安全单元向对方的 硬件安全单元发出平台完整性验证请求,其中携带绑定对方硬件安全单元绑 定信息;步骤22,对方的硬件安全单元在接收到所述平台完整性验证请求后,将 请求中的绑定信息和自身的绑定信息进行比较,如果相同,则执行平台完整 性度量并将平台信息返回给发出请求的硬件安全单元;步骤23,发出请求的硬件安全单元将收到的新的平台信息和自身存储的 信息进行比较,如果不同,则判定对方平台出现异常。
全文摘要
本发明公开了一种基于硬件安全单元的可信计算系统间绑定方法,包括步骤配置可信计算系统的硬件安全单元的绑定规则;待绑定的可信计算系统的硬件安全单元之间相互交换硬件安全单元信息并对对方的硬件安全单元设备合法性进行校验;待绑定的可信计算系统的硬件安全单元进行绑定是否满足自身绑定规则的验证;待绑定的可信计算系统的硬件安全单元分别存储对方的平台信息和硬件安全单元绑定信息。该方法为可信计算系统间建立信任提供了一种基于硬件安全单元的处理机制。
文档编号G06F21/44GK101102180SQ200610100538
公开日2008年1月9日 申请日期2006年7月3日 优先权日2006年7月3日
发明者嵩 成, 李希喆, 旭 王, 王春华 申请人:联想(北京)有限公司