终端授信方法、授信服务器和终端的制作方法

文档序号:7771407阅读:284来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:终端授信方法、授信服务器和终端的制作方法
技术领域
本发明涉及通信技术,尤其涉及一种终端授信方法、授信服务器和终端。
背景技术
随着信息技术的不断发展,信息已经成为了至关重要的资产,信息安全越来越重要。国际性的非盈利机构可信计算工作组(Trusted Computing Group,简称TCG)针对不同的终端类型和平台形式制订出了关于可信平台模块(Trusted Platform Module,简称 TPM)、可信存储和可信网络连接等一系列完整的规范,终端例如为个人电脑、服务器、移动电话、通信网络等等,这些规范所定义的TPM通常以硬件的形式被嵌入到各种计算终端以用于提供更可信的运算基础。虽然TPM可以实现终端的可信,该种实现方式需要改变终端的硬件结构,因此对硬件依赖性高,信任源固定,信任传递方式缺乏灵活性。

发明内容
本发明提供一种终端授信方法、授信服务器和终端,以不改变终端硬件结构实现终端的可信,提高终端授信的灵活性。本发明提供一种终端授信方法,包括向授信服务器发送携带有终端的特征信息的授信服务请求;接收所述授信服务器发送的所述授信服务请求对应的初始授信服务,根据所述初始授信服务划分存储区域;接收所述授信服务器发送的服务集成信息,并将所述服务集成信息装载到所述存储区域,将所述存储区域作为信任源;根据所述服务集成信息建立信任链,并对信任链进行验证,若验证成功,则向所述授信服务器发送可信服务获取请求;接收所述授信服务器发送的所述可信服务获取请求对应的可信服务。本发明提供一种终端授信方法,包括接收终端发送的携带有所述终端的特征信息的授信服务请求,根据所述授信服务请求向所述终端发送所述授信服务请求对应的初始授信服务;根据所述特征信息生成服务集成信息,并将所述服务集成信息发送给所述终端;接收所述终端发送的可信服务获取请求,向所述终端发送所述可信服务获取请求对应的可信服务。本发明提供一种终端,包括第一请求发送模块,用于向授信服务器发送携带有终端的特征信息的授信服务请求;存储区域划分模块,用于接收所述授信服务器发送的所述授信服务请求对应的初始授信服务,根据所述初始授信服务划分存储区域;信任源建立模块,用于接收所述授信服务器发送的服务集成信息,并将所述服务集成信息装载到所述存储区域,将所述存储区域作为信任源;第二请求发送模块,用于根据所述服务集成信息建立信任链,并对信任链进行验证,若验证成功,则向所述授信服务器发送可信服务获取请求;可信服务接收模块,用于接收所述授信服务器发送的所述可信服务获取请求对应的可信服务。本发明提供一种授信服务器,包括授信服务模块,用于接收终端发送的携带有所述终端的特征信息的授信服务请求,根据所述授信服务请求向所述终端发送所述授信服务请求对应的初始授信服务;服务集成模块,用于根据所述特征信息生成服务集成信息,并将所述服务集成信息发送给所述终端;可信服务模块,用于接收所述终端发送的可信服务获取请求,向所述终端发送所述可信服务获取请求对应的可信服务。由上述技术方案可知,本发明提供的终端授信方法、授信服务器和终端,根据初始授信服务划分存储区域,将服务集成信息装载到存储区域,将装载有服务集成信息的存储区域作为信任源,根据服务集成信息建立信任链,并对信任链进行验证,以实现终端的可信。由于服务集成信息是由授信服务器提供的,保证信任源的可信性,再依次进行信任链的建立,对信任链进行验证,实现信任传递。无需改变终端的硬件结构就可以实现终端的可信,提高了终端授信的灵活性。


图1为本发明实施例提供的一种终端授信方法流程图;图2为本发明实施例提供的另一种终端授信方法流程图;图3为本发明实施例提供的终端结构示意图;图4为本发明实施例提供的授信服务器结构示意图。
具体实施例方式图1为本发明实施例提供的一种终端授信方法流程图。如图1所示,本实施例提供的终端授信方法具体可以应用于终端的授信过程,终端具体可以为手机、平板电脑、个人计算机等。本实施例提供的终端授信方法具体包括步骤U10、向授信服务器发送携带有终端的特征信息的授信服务请求;终端具体可以向服务提供商请求获取可信服务,服务提供商在为终端提供可信服务之前要确定该终端为可信终端。授信服务器可以为服务提供商设置的用于为终端进行授信的服务器。终端向授信服务器发送授信服务请求,以使授信服务器对终端进行授信服务。步骤U20、接收授信服务器发送的授信服务请求对应的初始授信服务,根据初始授信服务划分存储区域;授信服务器根据终端发送的授信服务请求,为终端提供初始授信服务。初始授信服务具体为授信服务器根据授信服务请求中的终端的特征信息生成的。终端的特征信息具体可以为针对终端硬件模块及版本提取的特征信息。终端接收初始授信服务,并根据该初始授信服务划分存储区域,以为信任注入提供存储区域。初始授信服务具体为用以指示终端进行存储区划分操作的指示信息。终端可以根据初始授信服务中携带的存储区划分的相关指示进行存储区域的划分。如在终端的存储卡上进行存储区域划分的起始位置,区域大小、格式等。步骤U30、接收授信服务器发送的服务集成信息,并将服务集成信息装载到存储区域,将存储区域作为信任源;服务集成信息具体为授权服务器根据终端的特征信息生成的,服务集成信息具体可以包括操作系统设置信息、软硬件接口设置信息、终端驱动设置信息和可信服务软件设置信息等。终端接收授权服务器发送的服务集成信息,并将服务集成信息装载到存储区域, 将存储区域作为信任源,即实现信任注入。将服务集成信息装载到存储区域中具体为将服务集成信息复制到存储区域并执行启动过程。步骤U40、根据服务集成信息建立信任链,并对信任链进行验证,若验证成功,则向授信服务器发送可信服务获取请求;具体地,终端将授信服务器提供的该信任源作为新的信任源重新启动,建立信任链,在启动过程中进行信任链的验证,实现信任传递。对信任链的验证具体包括启动前的完整性验证和启动中的身份验证,若验证成功,则向授信服务器发送用于获取可信服务的可信服务获取请求。步骤TOO、接收授信服务器发送的可信服务获取请求对应的可信服务。此时,该终端就可以作为可信终端接收授信服务器提供的可信服务了。服务提供商具体也可以另外设置用以提供可信服务的服务器为终端提供可信服务。在实际的授信服务提供过程中,具体可以通过安全机制对该过程进行保护,授信服务可以通过离线的物理装载方式进行,也可以通过安全链路的在线装载方式进行,可以提高授信服务的安全性。本实施例提供的终端授信方法,根据初始授信服务划分存储区域,将服务集成信息装载到存储区域,将装载有服务集成信息的存储区域作为信任源,根据服务集成信息建立信任链,并对信任链进行验证,以实现终端的可信。由于服务集成信息是由授信服务器提供的,保证信任源的可信性,再依次进行信任链的建立,对信任链进行验证,实现信任传递。 无需改变终端的硬件结构就可以实现终端的可信,提高了终端授信的灵活性。在本实施例中,步骤U20,接收授信服务器发送的授信服务请求对应的初始授信服务,根据初始授信服务划分存储区域,具体可以包括接收授信服务器发送的验证信息,并对验证信息进行验证,若验证成功,则接收授信服务器发送的初始授信服务,根据初始授信服务通过物理隔离方式划分存储区域。具体地,授信服务器会首先根据终端发送的授信服务请求对终端的身份进行验证,以验证终端身份的合法性。若验证成功则向终端发送验证信息和初始授信服务,以使终端对授信服务器的身份进行验证,实现身份认证的双向安全认证。根据初始授信服务通过物理隔离方式划分存储区域,用于信任注入的存储区域为物理隔离的,在硬件上保证了存储区域的安全性,进一步提供了以此形成的信任源的可信性。在本实施例中,步骤TOO,接收授信服务器发送的可信服务获取请求对应的可信服务之后,具体还可以包括如下步骤步骤TOO、对可信服务进行验证,若验证成功,则启动可信服务。图2为本发明实施例提供的另一种终端授信方法流程图。如图2所示,本实施例提供的终端授信方法具体可以应用于服务器侧对终端的授信过程,具体可以与本发明任意实施例提供的应用于终端侧的终端授信方法配合实现,此不再赘述。本实施例提供的终端授信方法可以由服务提供商设置的授信服务器来执行。本实施例提供的授信方法具体包括步骤S10、接收终端发送的携带有终端的特征信息的授信服务请求,根据授信服务请求向终端发送授信服务请求对应的初始授信服务;步骤S20、根据特征信息生成服务集成信息,并将服务集成信息发送给终端;步骤S30、接收终端发送的可信服务获取请求,向终端发送可信服务获取请求对应的可信服务。本实施例提供的终端授信方法,根据授信服务请求向终端发送授信服务请求对应的初始授信服务,以使终端根据划分存储区域,根据终端提供的特征信息生成服务集成信息,并将服务集成信息发送给终端,以使终端将服务集成信息装载到存储区域,将装载有服务集成信息的存储区域作为信任源,根据服务集成信息建立信任链,并对信任链进行验证, 以实现终端的可信。由于服务集成信息是由授信服务器提供的,保证信任源的可信性,再依次进行信任链的建立,对信任链进行验证,实现信任传递。无需改变终端的硬件结构就可以实现终端的可信,提高了终端授信的灵活性。在本实施例中,步骤SlO中根据授信服务请求向终端发送授信服务请求对应的初始授信服务,具体可以包括对授信服务请求进行验证,若验证成功,则向终端发送验证信息和授信服务请求对应的初始授信服务。图3为本发明实施例提供的终端结构示意图。如图3所示,本实施例提供的终端 81具体可以实现本发明任意实施例提供的应用于终端侧的终端授信方法的各个步骤,此不再赘述。本实施例提供的终端81具体包括第一请求发送模块11、存储区域划分模块12、信任源建立模块13、第二请求发送模块14和可信服务接收模块15。第一请求发送模块11用于向授信服务器82发送携带有终端81的特征信息的授信服务请求。存储区域划分模块12 用于接收授信服务器82发送的授信服务请求对应的初始授信服务,根据初始授信服务划分存储区域31。信任源建立模块13用于接收授信服务器82发送的服务集成信息,并将服务集成信息装载到存储区域31,将存储区域31作为信任源。第二请求发送模块14用于根据服务集成信息建立信任链,并对信任链进行验证,若验证成功,则向授信服务器82发送可信服务获取请求。可信服务接收模块15用于接收授信服务器82发送的可信服务获取请求对应的可信服务。本实施例提供的终端81,存储区域划分模块12根据初始授信服务划分存储区域 31,信任源建立模块13将服务集成信息装载到存储区域31,将装载有服务集成信息的存储区域31作为信任源,第二请求发送模块14根据服务集成信息建立信任链,并对信任链进行验证,以实现终端81的可信。由于服务集成信息是由授信服务器82提供的,保证信任源的可信性,再依次进行信任链的建立,对信任链进行验证,实现信任传递。无需改变终端81的硬件结构就可以实现终端81的可信,提高了终端81授信的灵活性。在本实施例中,存储区域划分模块12具体还可以用于接收授信服务器82发送的验证信息,并对验证信息进行验证,若验证成功,则接收授信服务器82发送的初始授信服务,根据初始授信服务通过物理隔离方式划分存储区域31。在本实施例中,该终端具体还可包括启动模块。启动模块用于对可信服务进行验证,若验证成功,则启动可信服务。图4为本发明实施例提供的授信服务器结构示意图。如图4所示,本实施例提供的授信服务器82具体可以实现本发明任意实施例提供的应用于服务器侧的终端授信方法的各个步骤,此不再赘述。该授信服务器82具体包括授信服务模块21、服务集成模块22和可信服务模块23。授信服务模块21用于接收终端81发送的携带有终端81的特征信息的授信服务请求,根据授信服务请求向终端81发送授信服务请求对应的初始授信服务。服务集成模块22用于根据特征信息生成服务集成信息,并将服务集成信息发送给终端81。可信服务模块23用于接收终端81发送的可信服务获取请求,向终端81发送可信服务获取请求对应的可信服务。本实施例提供的授信服务器82,授信服务模块21根据授信服务请求向终端81发送授信服务请求对应的初始授信服务,以使终端81根据划分存储区域,服务集成模块22根据特征信息生成服务集成信息,并将服务集成信息发送给终端81,以使终端81将服务集成信息装载到存储区域,将装载有服务集成信息的存储区域作为信任源,根据服务集成信息建立信任链,并对信任链进行验证,以实现终端81的可信。由于服务集成信息是由授信服务器82提供的,保证信任源的可信性,再依次进行信任链的建立,对信任链进行验证,实现信任传递。无需改变终端81的硬件结构就可以实现终端81的可信,提高了终端81授信的灵活性。在本实施例中,授信服务模块21具体还可以用于对授信服务请求进行验证,若验证成功,则向终端81发送验证信息和授信服务请求对应的初始授信服务。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换; 而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
权利要求
1.一种终端授信方法,其特征在于,包括向授信服务器发送携带有终端的特征信息的授信服务请求;接收所述授信服务器发送的所述授信服务请求对应的初始授信服务,根据所述初始授信服务划分存储区域;接收所述授信服务器发送的服务集成信息,并将所述服务集成信息装载到所述存储区域,将所述存储区域作为信任源;根据所述服务集成信息建立信任链,并对信任链进行验证,若验证成功,则向所述授信服务器发送可信服务获取请求;接收所述授信服务器发送的所述可信服务获取请求对应的可信服务。
2.根据权利要求1所述的终端授信方法,其特征在于,所述接收所述授信服务器发送的所述授信服务请求对应的初始授信服务,根据所述初始授信服务划分存储区域,包括接收所述授信服务器发送的验证信息,并对所述验证信息进行验证,若验证成功,则接收所述授信服务器发送的所述初始授信服务,根据所述初始授信服务通过物理隔离方式划分存储区域。
3.根据权利要求1所述的终端授信方法,其特征在于,所述接收所述授信服务器发送的所述可信服务获取请求对应的可信服务之后,还包括对所述可信服务进行验证,若验证成功,则启动所述可信服务。
4.一种终端授信方法,其特征在于,包括接收终端发送的携带有所述终端的特征信息的授信服务请求,根据所述授信服务请求向所述终端发送所述授信服务请求对应的初始授信服务;根据所述特征信息生成服务集成信息,并将所述服务集成信息发送给所述终端; 接收所述终端发送的可信服务获取请求,向所述终端发送所述可信服务获取请求对应的可信服务。
5.根据权利要求4所述的终端授信方法,其特征在于,所述根据所述授信服务请求向所述终端发送所述授信服务请求对应的初始授信服务,包括对所述授信服务请求进行验证,若验证成功,则向所述终端发送验证信息和所述授信服务请求对应的初始授信服务。
6.一种终端,其特征在于,包括第一请求发送模块,用于向授信服务器发送携带有终端的特征信息的授信服务请求; 存储区域划分模块,用于接收所述授信服务器发送的所述授信服务请求对应的初始授信服务,根据所述初始授信服务划分存储区域;信任源建立模块,用于接收所述授信服务器发送的服务集成信息,并将所述服务集成信息装载到所述存储区域,将所述存储区域作为信任源;第二请求发送模块,用于根据所述服务集成信息建立信任链,并对信任链进行验证,若验证成功,则向所述授信服务器发送可信服务获取请求;可信服务接收模块,用于接收所述授信服务器发送的所述可信服务获取请求对应的可信服务。
7.根据权利要求6所述的终端,其特征在于所述存储区域划分模块还用于接收所述授信服务器发送的验证信息,并对所述验证信息进行验证,若验证成功,则接收所述授信服务器发送的所述初始授信服务,根据所述初始授信服务通过物理隔离方式划分存储区域。
8.根据权利要求6所述的终端,其特征在于,还包括启动模块,用于对所述可信服务进行验证,若验证成功,则启动所述可信服务。
9.一种授信服务器,其特征在于,包括授信服务模块,用于接收终端发送的携带有所述终端的特征信息的授信服务请求,根据所述授信服务请求向所述终端发送所述授信服务请求对应的初始授信服务;服务集成模块,用于根据所述特征信息生成服务集成信息,并将所述服务集成信息发送给所述终端;可信服务模块,用于接收所述终端发送的可信服务获取请求,向所述终端发送所述可信服务获取请求对应的可信服务。
10.根据权利要求9所述的授信服务器,其特征在于所述授信服务模块还用于对所述授信服务请求进行验证,若验证成功,则向所述终端发送验证信息和所述授信服务请求对应的初始授信服务。
全文摘要
本发明提供一种终端授信方法、授信服务器和终端,该终端授信方法包括向授信服务器发送携带有终端的特征信息的授信服务请求;接收所述授信服务器发送的所述授信服务请求对应的初始授信服务,根据所述初始授信服务划分存储区域;接收所述授信服务器发送的服务集成信息,并将所述服务集成信息装载到所述存储区域,将所述存储区域作为信任源;根据所述服务集成信息建立信任链,并对信任链进行验证,若验证成功,则向所述授信服务器发送可信服务获取请求;接收所述授信服务器发送的所述可信服务获取请求对应的可信服务。本发明提供的终端授信方法、授信服务器和终端,无需改变终端的硬件结构就可以实现终端的可信,提高了终端授信的灵活性。
文档编号H04L29/06GK102523211SQ201110409560
公开日2012年6月27日 申请日期2011年12月9日 优先权日2011年12月9日
发明者贾佳 申请人:中国联合网络通信集团有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:贾佳
  • 技术所有人:中国联合网络通信集团有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
终端服务器相关技术
mac终端连接服务器相关技术
终端服务器授权相关技术
终端服务器配置相关技术
2008r2终端服务器授权相关技术
阿里云服务器管理终端相关技术
2008终端服务器激活相关技术
2008终端服务器授权相关技术
mac终端链接服务器相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2