专利名称:可信计算平台与电子证书认证系统的通信方法及系统的制作方法
技术领域:
本发明涉及电子领域,尤其涉及一种可信计算平台与电子证书认证系统的通信方法及系统。
背景技术:
目前,电子证书认证系统普遍支持的申请书格式为PKCSlOdn CA (CertificateAuthority)系统,而可信计算平台受限于可信计算标准的安全性要求,不能使用PKCSlO标准的申请书格式,因此,现有的可信计算平台仅提供电子证书的内部管理功能,而无法实现与电子证书认证系统之间的数据交互。
发明内容
本发明提供一种可信计算平台与电子证书认证系统的通信方法及系统,解决可信计算平台与电子证书认证系统之间的数据交换的问题。为解决上述技术问题,本发明采用以下技术方案一种可信计算平台与电子证书认证系统的通信方法,其特征在于,包括所述可信计算平台根据预设的数据结构创建请求,并将所述请求发送给所述电子证书认证系统;所述电子证书认证系统根据所述请求向所述可信计算平台反馈应答。将所述请求发送给所述电子证书认证系统的步骤包括使用所述可信计算平台随机产生的对称密钥加密所述请求,并使用所述电子证书认证系统的公钥加密所述对称密钥;再将所述请求发送给所述电子证书认证系统。所述电子证书认证系统根据所述请求向所述可信计算平台反馈应答的步骤包括使用所述电子证书认证系统随机产生的对称密钥加密所述应答,并使用EK公钥加密所述对称密钥,再将所述应答反馈给所述可信计算平台。所述请求包括平台身份证书(PIK证书)请求、平台加密证书(PEK证书)请求和平台加密密钥(PEK)请求中的至少一种。所述平台身份证书请求携带的信息内容包括数据结构版本、平台身份标识、EK证书、身份公钥和文摘中的一种或多种。所述电子证书认证系统根据所述平台身份证书请求反馈给所述可信计算平台的应答包括所述电子证书认证系统签发的X. 509标准的平台身份证书。所述平台身份证书请求的数据结构为TCM_IDENTITY_REQ ;所述电子证书认证系统根据所述平台身份证书请求向所述可信计算平台反馈数据结构为TCM_SYM_CA_ATTESTATION的平台身份证书。所述平台加密密钥请求携带的信息内容包括平台加密密钥参数;所述平台加密证书请求携带的信息内容包括数据结构版本、平台身份标识、EK证书和平台加密密钥参数中的一种或多种;所述平台加密密钥参数包括算法、加密模式、签名模式和密钥长度中的一种或多种。所述电子证书认证系统根据所述平台加密证书请求反馈给所述可信计算平台的应答包括所述电子证书认证系统签发的X. 509标准的平台加密证书;所述电子证书认证系统根据所述平台加密密钥请求反馈给所述可信计算平台的应答包括平台加密密钥的应答数据参数,所述平台加密密钥的应答数据参数包括密钥用途属性、密钥可迁移属性、密钥PCR属性、密钥授权属性、加密模式、签名模式、密钥长度、平台加密密钥公钥或平台加密密钥私钥中的一种或多种。所述平台加密证书请求和平台加密密钥请求的数据结构为TCM_PEK_REQ ;所述电子证书认证系统根据所述平台加密证书请求向所述可信计算平台反馈数据结构为TCM_SYM_CA_ATTESTATION的平台加密证书;所述电子证书认证系统根据所述平台加密密钥请求向所述可信计算平台反馈数据结构为TCM_KEY的平台加密密钥。一种可信计算平台与电子证书认证系统的通信系统,包括可信计算平台和电子证书认证系统,其中,所述可信计算平台用于根据预设的数据结构创建请求,并将所述请求发送给所述电子证书认证系统;所述电子证书认证系统用于根据所述请求向所述可信计算平台反馈应答。所述可信计算平台包括请求加密单元,所述请求加密单元用于通过所述可信计算平台随机产生的对称密钥加密所述请求,并通过所述电子证书认证系统的公钥加密所述对称密钥。 所述电子证书认证系统包括应答加密单元,所述应答加密单元用于通过所述电子证书认证系统随机产生的对称密钥加密所述应答,并通过EK公钥加密所述对称密钥。本发明提供一种可信计算平台与电子证书认证系统的通信方法及系统,该方法中可信计算平台根据预设的数据结构创建请求,并将所述请求发送给所述电子证书认证系统;所述电子证书认证系统根据所述请求向所述可信计算平台反馈应答,由于可信计算平台根据预设的数据结构创建请求,因此,避免了使用PKCSio标准的申请书格式,实现了可信计算平台与电子证书认证系统之间的数据交换。
图I为本发明实施例一种可信计算平台与电子证书认证系统的通信方法的流程图;图2为本发明实施例另一种可信计算平台与电子证书认证系统的通信方法的流程图;图3为本发明实施例一种可信计算平台与电子证书认证系统的通信系统的框架图。
具体实施例方式下面通过具体实施方式
结合附图对本发明作进一步详细说明。—种可信计算平台与电子证书认证系统的通信方法,包括所述可信计算平台根据预设的数据结构创建请求,并将所述请求发送给所述电子证书认证系统;所述电子证书认证系统根据所述请求向所述可信计算平台反馈应答。图I为本发明实施例一种可信计算平台与电子证书认证系统的通信方法的流程图,请参考图I :图I以可信计算平台根据预设的数据结构创建平台身份证书请求为例,本实施例的电子证书认证系统为CA系统。S11、调用“创建平台身份证书请求”函数(Tspi_TCM_CollateIdentityRequest)创建请求,输出(TCM_IDENTITY_REQ)结构的请求。该请求数据结构中SymBlob为TCM_IDENTITY_PR00F结构被可信计算平台随机产生的对称密钥(KEYl)加密的结果;并将对称密钥(KEYl)用CA系统的公钥加密填充到TCM_IDENTITY_REQ结构的AsymBlob变量中,并将其它参数填写完整后,Tspi_TCM_ColIateIdentityRequest 函数输出 TCM_IDENTITY_REQ结构的请求。优选的,本实施例的平台身份证书请求携带的信息内容包括数据结构版本、平台身份标识、EK证书、身份公钥和文摘中的一种或多种,数据结构版本为所述平台身份证书请求的数据结构的版本信息,平台身份标识为表示平台身份的唯一标识,EK证书为X. 509格式的EK证书,身份公钥为平台身份密钥对中的公钥,文摘为TCM_IDENTITY_CONTENTS的文摘,TCM_IDENTITY_CONTENTS包括数据结构版本,PIK公钥,身份信息和公钥的摘要。S12、将该请求提交CA系统,CA系统用私钥解密对称密钥(KEYl),用对称密钥(KEYl)解密该请求,解密后得到TCM_IDENTITY_PR00F结构的请求信息。S13、CA系统签发X. 509标准的平台身份证书,并输出平台电子证书与电子证书保护密钥。平台身份证书与电子证书保护密钥的数据结构分别为TCM_SYM_CA_ATTESTATION、TCM_ASYM_CA_CONTENTS,平台身份证书(TCM_SYM_CA_ATTESTATION)采用对称密钥(KEY2)加密保护,对称密钥(KEY2)使用TCM系统的EK加密。S14、调用可信计算平台Tspi_TCM_ActivateIdentity函数激活平台身份证书。图2为本发明实施例另一种可信计算平台与电子证书认证系统的通信方法的流程图,请参考图2:图2以可信计算平台根据预设的数据结构创建平台加密证书请求和平台加密密钥请求为例,电子证书认证系统为CA系统。S21、调用Tspi_TCM_ColIatePekRequest函数创建平台加密密钥请求和平台加密证书请求,该请求的数据结构为TCM_PEK_REQ。调用Tspi_TCM_CollatePekRequest函数,填充TCM_KEY_PARMS数据结构作为输入,输出TCM_PEK_REQ数据结构的请求,该数据结构的请求中包括创建平台加密密钥请求和平台加密证书请求,该数据结构中的SymBlob为TCM_PEK_PR00F结构被可信计算平台随机产生的对称密钥(KEY3)加密的结果;并将对称密钥(KEY3)用CA系统的公钥加密填充到TCM_PEK_REQ结构的AsymBlob变量中,并将其它参数填写完整后,Tspi_TCM_ColIatePekRequest函数输出TCM_PEK_REQ数据结构的请求。S22、将该请求提交CA系统,CA系统用私钥解密对称密钥(KEY3),用对称密钥(KEY3)解密该请求得到TCM_PEK_PR00F的请求信息。S23、CA系统向密钥管理中心(KMC)申请PEK非对称密钥,签发平台加密证书,并输出TCM_SYM_CA_ATTESTATION数据结构的平台加密证书和TCM_KEY数据结构的平台加密密
5钥。证书信息(TCM_SYM_CA_ATTESTATION)采用对称密钥(KEY4)加密保护,对称密钥(KEY4)使用可信计算平台EK加密,对称密钥(KEY4)使用可信计算平台EK加密的加密结果为TCM_SYMMETRIC_KEY数据结构,平台加密密钥(TCM_KEY数据结构)使用对称密钥(KEY5)加密保护,对称密钥(KEY5)使用可信计算平台EK加密。S24、调用可信计算平台Tspi_TCM_ActivatePEKCert激活平台加密证书,调用可信计算平台Tspi_TCM_ACtiVatePEK激活平台加密密钥。图3为本发明实施例一种可信计算平台与电子证书认证系统的通信系统的框架图,请参考图3 一种可信计算平台与电子证书认证系统的通信系统,包括可信计算平台31和电子证书认证系统32,其中,可信计算平台31用于根据预设的数据结构创建请求,并将所述请求发送给电子证书认证系统32 ;电子证书认证系统32用于根据所述请求向所述可信计算平台31反馈应答。进一步,可信计算平台31包括请求加密单元311,请求加密单元311用于通过所述可信计算平台31随机产生的对称密钥加密所述请求,并通过所述电子证书认证系统32的公钥加密所述对称密钥。进一步,电子证书认证系统32包括应答加密单元321,应答加密单元321用于通过所述电子证书认证系统32随机产生的对称密钥加密所述应答,并通过EK公钥加密所述对称密钥。以上内容是结合具体的实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
权利要求
1.一种可信计算平台与电子证书认证系统的通信方法,其特征在于,包括所述可信计算平台根据预设的数据结构创建请求,并将所述请求发送给所述电子证书认证系统;所述电子证书认证系统根据所述请求向所述可信计算平台反馈应答。
2.如权利要求I所述的方法,其特征在于,将所述请求发送给所述电子证书认证系统的步骤包括使用所述可信计算平台随机产生的对称密钥加密所述请求,并使用所述电子证书认证系统的公钥加密所述对称密钥;再将所述请求发送给所述电子证书认证系统。
3.如权利要求I所述的方法,其特征在于,所述电子证书认证系统根据所述请求向所述可信计算平台反馈应答的步骤包括使用所述电子证书认证系统随机产生的对称密钥加密所述应答,并使用EK公钥加密所述对称密钥,再将所述应答反馈给所述可信计算平台。
4.如权利要求I至3任一项所述的方法,其特征在于,所述请求包括平台身份证书请求、平台加密证书请求和平台加密密钥请求中的至少一种。
5.如权利要求4所述的方法,其特征在于,所述平台身份证书请求携带的信息内容包括数据结构版本、平台身份标识、EK证书、身份公钥和文摘中的一种或多种。
6.如权利要求4所述的方法,其特征在于,所述平台加密密钥请求携带的信息内容包括平台加密密钥参数;所述平台加密证书请求携带的信息内容包括数据结构版本、平台身份标识、EK证书和平台加密密钥参数中的一种或多种;所述平台加密密钥参数包括算法、加密模式、签名模式和密钥长度中的一种或多种。
7.如权利要求4所述的方法,其特征在于,所述电子证书认证系统根据所述平台身份证书请求反馈给所述可信计算平台的应答包括所述电子证书认证系统签发的X. 509标准的平台身份证书;所述电子证书认证系统根据所述平台加密证书请求反馈给所述可信计算平台的应答包括所述电子证书认证系统签发的X. 509标准的平台加密证书;所述电子证书认证系统根据所述平台加密密钥请求反馈给所述可信计算平台的应答包括平台加密密钥的应答数据参数,所述平台加密密钥的应答数据参数包括密钥用途属性、密钥可迁移属性、密钥PCR属性、密钥授权属性、加密模式、签名模式、密钥长度、平台加密密钥公钥或平台加密密钥私钥中的一种或多种。
8.一种可信计算平台与电子证书认证系统的通信系统,其特征在于,包括可信计算平台和电子证书认证系统,其中,所述可信计算平台用于根据预设的数据结构创建请求,并将所述请求发送给所述电子证书认证系统;所述电子证书认证系统用于根据所述请求向所述可信计算平台反馈应答。
9.如权利要求8所述的系统,其特征在于,所述可信计算平台包括请求加密单元,所述请求加密单元用于通过所述可信计算平台随机产生的对称密钥加密所述请求,并通过所述电子证书认证系统的公钥加密所述对称密钥。
10.如权利要求8或9所述的系统,其特征在于,所述电子证书认证系统包括应答加密单元,所述应答加密单元用于通过所述电子证书认证系统随机产生的对称密钥加密所述应答,并通过EK公钥加密所述对称密钥。
全文摘要
本发明公开一种可信计算平台与电子证书认证系统的通信方法及系统,该方法包括所述可信计算平台根据预设的数据结构创建请求,并将所述请求发送给所述电子证书认证系统;所述电子证书认证系统根据所述请求向所述可信计算平台反馈应答。本发明通过以上技术方案,解决可信计算平台与电子证书认证系统之间的数据交换的问题。
文档编号H04L9/08GK102957535SQ20111023916
公开日2013年3月6日 申请日期2011年8月19日 优先权日2011年8月19日
发明者王东 申请人:国民技术股份有限公司