国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      密碼方法、主機(jī)系統(tǒng)、可信平臺(tái)模塊和計(jì)算機(jī)安排的制作方法

      文檔序號(hào):7967388閱讀:288來(lái)源:國(guó)知局
      專(zhuān)利名稱(chēng):密碼方法、主機(jī)系統(tǒng)、可信平臺(tái)模塊和計(jì)算機(jī)安排的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及用于使用包括可信平臺(tái)模塊的主機(jī)系統(tǒng)計(jì)算消息的加密方法。另外,本發(fā)明涉及用于使用主機(jī)系統(tǒng)和可信平臺(tái)模塊計(jì)算簽名的加密方法。此外,本發(fā)明涉及適于執(zhí)行這樣的方法的主機(jī)系統(tǒng)、可信平臺(tái)模塊、計(jì)算機(jī)安排、計(jì)算機(jī)程序產(chǎn)品和計(jì)算機(jī)程序。
      背景技術(shù)
      日益增加的對(duì)在數(shù)據(jù)網(wǎng)絡(luò)上尤其是在因特網(wǎng)上電子地執(zhí)行事務(wù)的興趣和需求已對(duì)安全電子通信提出了要求。為使事務(wù)例如在線購(gòu)買(mǎi)或電子銀行業(yè)務(wù)事務(wù)是安全的,在兩方之間交換的消息應(yīng)保持私密并且可證明是真實(shí)的(authentic)即源自可信的來(lái)源。第一個(gè)問(wèn)題可通過(guò)數(shù)據(jù)加密例如使用只有秘密消息的發(fā)送者和接受者已知的對(duì)稱(chēng)或非對(duì)稱(chēng)密鑰來(lái)處理。
      第二個(gè)問(wèn)題可通過(guò)例如使用非對(duì)稱(chēng)公鑰簽名算法的消息簽名來(lái)處理,在所述非對(duì)稱(chēng)公鑰簽名算法中,消息的發(fā)送者使用它的私鑰在將被驗(yàn)證的消息上生成簽名,而接收該消息的每個(gè)人可使用相關(guān)聯(lián)的公鑰驗(yàn)證它的真實(shí)性。
      但是,在一些情況下,消息的發(fā)送者希望相對(duì)于消息的接收者或驗(yàn)證者保持匿名,而同時(shí)仍證明他或她具有特定操作所需的授權(quán)。
      例如,計(jì)算機(jī)系統(tǒng)的用戶(hù)可能希望證明他或她在運(yùn)行安全操作系統(tǒng)以便被準(zhǔn)許訪問(wèn)封閉網(wǎng)絡(luò)例如公司內(nèi)部局域網(wǎng)(LAN或內(nèi)聯(lián)網(wǎng))。另一個(gè)示例將是屬于特定組的用戶(hù)例如特定網(wǎng)站的訂戶(hù)(subscriber)希望在他或她被準(zhǔn)許訪問(wèn)此網(wǎng)站上的資源之前證明會(huì)員資格而無(wú)需暴露他或她的身份。
      為了實(shí)現(xiàn)這種以及類(lèi)似目標(biāo),可信計(jì)算組(TCG)已設(shè)計(jì)了一種用于允許可信計(jì)算的框架。此框架的重要部分是所謂的可信平臺(tái)模塊(TPM),其是集成在計(jì)算機(jī)系統(tǒng)內(nèi)的硬件芯片并且允許安全存儲(chǔ)加密密鑰和執(zhí)行密碼操作等。TPM以黑盒方式操作即TPM集成在其中的主機(jī)不能操縱其操作模式。這例如在平臺(tái)被某種還被稱(chēng)為病毒的惡意軟件感染的情況下保護(hù)該TPM。
      從http://www.trustedcomptuinggroup.org/downloads/specifications/specifications可獲得的可信計(jì)算組織(Trusted Computing Group,Incorporated)的標(biāo)題為“TCG規(guī)范體系結(jié)構(gòu)概述,規(guī)范,修訂版1.2”(TCGSpecification Architecture Overview,Specification,Revision 1.2)和“TCG基礎(chǔ)設(shè)施工作組互操作性參考體系結(jié)構(gòu)(第一部分),規(guī)范版本1.0,修訂版1”(TCG Infrastructure Working Group Reference Architecture forInteroperability(Part I),Specification Version 1.0,Revision 1)兩個(gè)文獻(xiàn)中更詳細(xì)地說(shuō)明了該框架以及相關(guān)聯(lián)的TPM。
      當(dāng)前的TCG規(guī)范支持的協(xié)議是所謂的直接匿名證明(DAA)協(xié)議,該協(xié)議允許包括TPM的主機(jī)向驗(yàn)證者例如某個(gè)服務(wù)提供者證明其擁有頒發(fā)者的認(rèn)證(certification)而不必暴露該證書(shū)或它自己的身份。在2004年美國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)與通信安全會(huì)議(2004 ACM Conference onComputers and Communications Security)上給出的Brickell,Camensich和Chen的標(biāo)題為“直接匿名證明”(Direct Anonymous Attestation)的論文內(nèi)說(shuō)明了此協(xié)議的數(shù)學(xué)背景和實(shí)現(xiàn)。
      簡(jiǎn)單地說(shuō),直接匿名證明方案以如下方式工作。TPM選擇一秘密參數(shù),經(jīng)由安全的兩方協(xié)議從頒發(fā)者獲得該參數(shù)上的在此申請(qǐng)的上下文內(nèi)被稱(chēng)為證明(attestation)的簽名,并然后可通過(guò)關(guān)于對(duì)該證明的知識(shí)的證明使驗(yàn)證者確信它匿名地獲得該證明。為了允許驗(yàn)證者識(shí)別欺詐的TPM,TPM必須還提供一假名(pseudonym)和這樣的證明,即該假名是正確形成的,即它是得自用于該證明過(guò)程內(nèi)使用的TPM的秘密參數(shù)和由驗(yàn)證者確定的基(base)。
      更具體地,集成在主機(jī)平臺(tái)內(nèi)的TPM根據(jù)頒發(fā)者的公鑰PK1以及TPM生成的秘密參數(shù)f0和f1生成用于與頒發(fā)者通信的第一假名N1。TPM還根據(jù)相同的秘密參數(shù)計(jì)算消息U。TPM然后用也安全地存儲(chǔ)在TPM內(nèi)的簽署密鑰EK鑒別(authenticate)包括這兩個(gè)部分的所謂的直接證明密鑰(DAA密鑰)。
      為了獲得認(rèn)證,TPM向外部頒發(fā)者例如網(wǎng)絡(luò)服務(wù)提供者或TPM的制造者證明它擁有有助于生成DAA密鑰的秘密參數(shù)f0和f1的知識(shí)而不暴露秘密參數(shù)本身。
      頒發(fā)者例如使用分別列有效或欺詐TPM的黑名單或白名單來(lái)驗(yàn)證此證明和TPM的簽署密鑰EK。如果頒發(fā)者確信DAA密鑰是由有效TPM生成的,則頒發(fā)者生成可用于證明TPM擁有通過(guò)相關(guān)聯(lián)的PK1識(shí)別的頒發(fā)者對(duì)此特定DAA密鑰的證明的證書(shū)(A,e)。密鑰生成以及隨后的頒發(fā)者的認(rèn)證還被稱(chēng)為加入(join)協(xié)議。
      在被稱(chēng)為簽名協(xié)議的另一個(gè)協(xié)議內(nèi),TPM生成用于與驗(yàn)證者通信的被稱(chēng)為證明身份密鑰(attestation identity key)(AIK)的另一個(gè)非對(duì)稱(chēng)密鑰。然后,TPM使用秘密參數(shù)f0和f1和證書(shū)(A,e)生成AIK上的簽名σ,并將簽名σ和AIK發(fā)送給驗(yàn)證者。
      為了保持匿名,TPM沒(méi)有使用它的簽署密鑰EK為AIK簽名或使用用于與頒發(fā)者通信的假名N1,而是使用第二假名NV來(lái)與驗(yàn)證者通信。假名NV包含基于存儲(chǔ)在TPM內(nèi)的秘密參數(shù)f0和f1的貢獻(xiàn),并且可包含基于驗(yàn)證者的公鑰PKV的貢獻(xiàn)。這樣,TPM可為不同的AIK生成不同的假名而未允許驗(yàn)證者將這些密鑰相互連接,從而保持匿名。
      簽名σ有效地構(gòu)成主機(jī)向驗(yàn)證者的證明,即它的TPM擁有在其DAA密鑰的秘密部分上的證書(shū)的知識(shí)。同樣,也沒(méi)有暴露在此生成內(nèi)使用的密鑰和秘密參數(shù)f0和f1。最后,驗(yàn)證者驗(yàn)證AIK上的簽名σ是有效的,并是基于證書(shū)(A,e)和秘密參數(shù)f0和f1的知識(shí)計(jì)算的。
      但是,由于其黑盒實(shí)現(xiàn),用戶(hù)不一定信任TPM本身。許多人尤其關(guān)注例如由制造者或當(dāng)局例如情報(bào)機(jī)關(guān)集成在TPM內(nèi)的陷門(mén)功能。這種陷門(mén)功能可允許識(shí)別被聲稱(chēng)是匿名消息的消息的來(lái)源。
      因此,一般地需要一種改進(jìn)的密碼方法,并尤其需要一種用于生成和使用匿名證明密鑰的密碼方法。

      發(fā)明內(nèi)容
      根據(jù)本發(fā)明的一個(gè)方面,提供了一種用于計(jì)算消息的密碼方法。
      提供了一種具有可信平臺(tái)模塊(TPM)的主機(jī)系統(tǒng)。TPM和主機(jī)系統(tǒng)本身分別根據(jù)第一和第二秘密參數(shù)計(jì)算對(duì)一消息的第一和第二貢獻(xiàn)。然后,一方將這兩個(gè)貢獻(xiàn)組合到組合消息,而另一方執(zhí)行第一證明,該證明向第一方證明該另一方的貢獻(xiàn)計(jì)算正確。
      由于計(jì)算是在兩方之間劃分的,所以每當(dāng)需要用于計(jì)算組合消息的秘密參數(shù)的知識(shí)時(shí)它們必須合作。
      根據(jù)該第一方面的優(yōu)選實(shí)施例,向主機(jī)和TPM提供頒發(fā)者的公鑰。然后,通過(guò)證明另一方的貢獻(xiàn)位于頒發(fā)者的公鑰的至少一部分定義的子群(subgroup)內(nèi)來(lái)證明該貢獻(xiàn)的正確性。
      這樣,該組合消息不會(huì)包含通過(guò)以下方式被編碼到另一方的貢獻(xiàn)中的任何隱藏信息,即通過(guò)故意離開(kāi)該另一方的貢獻(xiàn)被設(shè)想位于其中的子群。
      根據(jù)第一方面的另一個(gè)優(yōu)選實(shí)施例,主機(jī)系統(tǒng)組合第一和第二消息貢獻(xiàn),而TPM執(zhí)行該第一證明。另外,根據(jù)相同的兩個(gè)秘密參數(shù)計(jì)算用于與頒發(fā)者通信的假名。在第二證明內(nèi),向TPM證明該假名計(jì)算正確。如果TPM接受該第二證明,則TPM然后使用存儲(chǔ)在其中的秘密簽署密鑰鑒別該假名。最后,如果主機(jī)接受該第一證明,則通過(guò)該主機(jī)使被鑒別的假名和被組合的消息可用。
      由于此過(guò)程,TPM和主機(jī)都不能在不使另一方確信它正確地計(jì)算它自己的貢獻(xiàn)的情況下完成該方法。
      根據(jù)第一方面的另一個(gè)實(shí)施例,假名的計(jì)算是基于主機(jī)系統(tǒng)選擇的基(basis)以及從頒發(fā)者接收到的公鑰。對(duì)假名的兩個(gè)貢獻(xiàn)都是基于指數(shù)函數(shù),其基由主機(jī)選擇,并且第一和第二參數(shù)分別用作指數(shù)。然后主機(jī)系統(tǒng)組合這兩個(gè)貢獻(xiàn)以形成假名。
      由于計(jì)算離散對(duì)數(shù)在計(jì)算上昂貴,所以不容易發(fā)現(xiàn)用于計(jì)算該貢獻(xiàn)的秘密參數(shù)。
      根據(jù)第一個(gè)方面的另一個(gè)實(shí)施例,所述第二證明包括關(guān)于主機(jī)與TPM一起擁有第一和第二參數(shù)的知識(shí)的證明。
      這樣,TPM可確信它的對(duì)假名的貢獻(xiàn)被用于組合假名的計(jì)算中。結(jié)果,主機(jī)不能不與TPM合作而使用組合假名。
      根據(jù)第一方面的另一個(gè)優(yōu)選實(shí)施例,將被鑒別的假名和組合消息發(fā)送給頒發(fā)者以便驗(yàn)證和認(rèn)證。為此,在第三證明內(nèi),主機(jī)系統(tǒng)和TPM共同向頒發(fā)者證明該消息和假名計(jì)算正確。如果頒發(fā)者接受該證明,則頒發(fā)者頒發(fā)假名上的證書(shū),并將其返回給主機(jī)系統(tǒng)。然后,主機(jī)系統(tǒng)解碼并存儲(chǔ)該證書(shū)的一部分,而TPM解碼并存儲(chǔ)該證書(shū)的另一部分。
      由于假名和消息的最初計(jì)算是在該主機(jī)和TPM之間劃分的,所以它們只能合作地證明這兩個(gè)參數(shù)的正確性。由于使用頒發(fā)的證書(shū)需要知道作為假名和消息的基礎(chǔ)的秘密參數(shù),所以也只有在兩方合作的情況下才能使用該證書(shū)。
      根據(jù)第一方面的另一個(gè)優(yōu)選實(shí)施例,第三證明包括兩部分。第一部分包括驗(yàn)證已使用有效簽署密鑰鑒別該假名。第二部分包括向頒發(fā)者證明用于計(jì)算假名和消息的秘密參數(shù)的知識(shí)。
      通過(guò)驗(yàn)證已使用有效簽署密鑰鑒別該假名,頒發(fā)者可確信該過(guò)程內(nèi)涉及已知的TPM,即接收到的假名源自可信平臺(tái)。通過(guò)驗(yàn)證該消息和假名都是基于相同秘密參數(shù)計(jì)算的,頒發(fā)者知道該消息也包含來(lái)自TPM的貢獻(xiàn)。
      根據(jù)本發(fā)明的第二方面,提供了一種主機(jī)系統(tǒng),其包括TPM和匿名證明密鑰,該證明密鑰包括第一和第二參數(shù)、第一假名和來(lái)自頒發(fā)者的證書(shū),其中至少該第一參數(shù)存儲(chǔ)在該TPM內(nèi)而至少該第二參數(shù)存儲(chǔ)在TPM外部。根據(jù)這兩個(gè)秘密參數(shù),計(jì)算用于與驗(yàn)證者通信的第二假名。另外,計(jì)算基于TPM的第一簽名參數(shù)和主機(jī)的第二簽名參數(shù)的簽名消息。在第四證明內(nèi),TPM向主機(jī)證明基于第一簽名參數(shù)的第一貢獻(xiàn)被TPM正確地計(jì)算。然后,基于第二假名和該簽名消息計(jì)算用于消息的簽名。最后,如果主機(jī)接受第四證明為正確,則主機(jī)使簽名可用。
      由于在此方法內(nèi)生成的消息的簽名基于第二假名,所以它不易于鏈接到第一假名。另外,主機(jī)和TPM都不能單獨(dú)計(jì)算第二假名,這是因?yàn)樗腔谟糜诘谝患倜南嗤孛軈?shù)。也通過(guò)將簽名消息的計(jì)算在這兩方之間劃分,任何一方都不能在沒(méi)有另一方的同意的情況下給消息簽名。
      根據(jù)第二方面的優(yōu)選實(shí)施例,第二假名的計(jì)算包括主機(jī)選擇用于指數(shù)函數(shù)的計(jì)算的基,并且TPM和主機(jī)分別以第一和第二簽名參數(shù)為基計(jì)算第一和第二貢獻(xiàn)。然后主機(jī)系統(tǒng)組合所述貢獻(xiàn)以形成第二假名。
      如上,指數(shù)函數(shù)的使用確保了簽名參數(shù)不易于被恢復(fù)。
      根據(jù)第二方面的另一個(gè)優(yōu)選實(shí)施例,簽名消息的計(jì)算劃分成數(shù)個(gè)部分。首先,計(jì)算第一簽名部分。根據(jù)該第一部分,計(jì)算質(zhì)詢(xún)(challenge)。最后,根據(jù)此質(zhì)詢(xún)計(jì)算第二簽名部分。
      簽名消息的三部分對(duì)應(yīng)于密碼方法,其中在質(zhì)詢(xún)響應(yīng)機(jī)制中,第一簽名部分用作證明提交消息,而第二簽名部分用作響應(yīng)消息。因此,實(shí)施例可使用根據(jù)質(zhì)詢(xún)響應(yīng)原則工作的不同的密碼方法。
      根據(jù)第二方面的另一個(gè)優(yōu)選實(shí)施例,第一簽名部分的計(jì)算劃分成分別由TPM和主機(jī)進(jìn)行的基于第一和第二簽名參數(shù)的第一和第二貢獻(xiàn)的計(jì)算。然后,主機(jī)系統(tǒng)組合這兩個(gè)貢獻(xiàn)。
      如上,計(jì)算的劃分確保了兩方都必須貢獻(xiàn)于第一簽名部分。
      根據(jù)第二方面的另一個(gè)優(yōu)選實(shí)施例,執(zhí)行第四證明的步驟包括將頒發(fā)者的公鑰提供給TPM和主機(jī),并示出對(duì)第一簽名部分的第一貢獻(xiàn)位于由該公鑰的至少一部分定義的子群內(nèi)。
      如上,這確保了TPM不能通過(guò)故意離開(kāi)頒發(fā)者的公鑰定義的子群,而將任何隱藏消息編碼到簽名消息的第一部分中。
      根據(jù)第二方面的另一個(gè)優(yōu)選實(shí)施例,將消息以及其上的簽名傳遞給驗(yàn)證者,該驗(yàn)證者驗(yàn)證該簽名的正確性。只有簽名相對(duì)于消息是正確的,驗(yàn)證者才也接受該消息是真實(shí)的。
      通過(guò)驗(yàn)證簽名,驗(yàn)證者可確保消息沒(méi)有被竄改,即是真實(shí)的。
      根據(jù)第二方面的另一個(gè)優(yōu)選實(shí)施例,簽名包括共同構(gòu)成證明的一些值,該證明證明第二假名是基于與第一假名相同的秘密參數(shù),并且該主機(jī)和TPM共同擁有該第一假名上的證書(shū)的知識(shí)。
      此證明允許驗(yàn)證者驗(yàn)證生成該證明的主機(jī)系統(tǒng)擁有來(lái)自頒發(fā)者的認(rèn)證。將執(zhí)行證明所需的所有數(shù)據(jù)組合成簽名也通過(guò)避免在主機(jī)和驗(yàn)證者之間交換多個(gè)消息而使協(xié)議更高效。
      根據(jù)本發(fā)明的第三方面,提供了一種主機(jī)系統(tǒng),該主機(jī)系統(tǒng)包括具有第一存儲(chǔ)器和第一處理單元的TPM。該主機(jī)系統(tǒng)本身還包括位于TPM之外的第二存儲(chǔ)器和第二處理單元。第一和第二處理單元被配置成分別基于該第一和第二存儲(chǔ)器內(nèi)存儲(chǔ)的第一和第二參數(shù)計(jì)算對(duì)消息的第一和第二貢獻(xiàn)。至少一個(gè)所述處理單元還被配置成組合該第一和第二貢獻(xiàn),而至少另一個(gè)處理單元被配置成向該一個(gè)處理單元證明它正確地計(jì)算了它自己的貢獻(xiàn)。
      如上,計(jì)算在兩方之間劃分,從而每當(dāng)需要知道用于計(jì)算組合消息的秘密參數(shù)時(shí),TPM和主機(jī)必須合作。
      根據(jù)第三方面的優(yōu)選實(shí)施例,第一和第二處理單元適于生成第一和第二隨機(jī)數(shù)。第一和第二隨機(jī)數(shù)用作第一和第二秘密參數(shù)。
      通過(guò)使用隨機(jī)數(shù)作為秘密參數(shù),得到的消息是非確定性的,這防止了外部方確定秘密參數(shù)。
      根據(jù)第三方面的另一個(gè)優(yōu)選實(shí)施例,主機(jī)系統(tǒng)適于生成用于加密或鑒別的不對(duì)稱(chēng)密鑰對(duì),從而組合消息構(gòu)成該密鑰的公共部分的至少一部分,而該第一和第二參數(shù)構(gòu)成該密鑰的私密部分的至少一部分。
      通過(guò)使用所述裝置生成不對(duì)稱(chēng)的密鑰對(duì),其可與許多現(xiàn)有的不對(duì)稱(chēng)密碼方法一起使用。
      根據(jù)第三方面的另一個(gè)優(yōu)選實(shí)施例,主機(jī)系統(tǒng)適于執(zhí)行根據(jù)本發(fā)明的第一和第二方面的由該主機(jī)系統(tǒng)執(zhí)行的任何方法。
      根據(jù)本發(fā)明的第四方面,說(shuō)明了TPM,其包括處理單元、存儲(chǔ)器和與主機(jī)系統(tǒng)的接口。處理單元適于基于存儲(chǔ)在該存儲(chǔ)器內(nèi)的參數(shù)計(jì)算對(duì)消息的貢獻(xiàn),并經(jīng)由接口將該貢獻(xiàn)傳遞給主機(jī)系統(tǒng)。它還適于向主機(jī)證明該貢獻(xiàn)計(jì)算正確。
      根據(jù)第四方面的一個(gè)優(yōu)選實(shí)施例,處理單元還適于基于相同秘密參數(shù)計(jì)算對(duì)假名的貢獻(xiàn),并將此貢獻(xiàn)傳遞給主機(jī)系統(tǒng)。處理單元還適于請(qǐng)求和驗(yàn)證證明,該證明證明以前計(jì)算的貢獻(xiàn)已貢獻(xiàn)于從接口接收到的假名。
      根據(jù)本發(fā)明的第五方面,提供了一種計(jì)算機(jī)安排,該計(jì)算機(jī)安排包括具有內(nèi)置TPM的主機(jī)、頒發(fā)者、驗(yàn)證者以及主機(jī)、頒發(fā)者和驗(yàn)證者之間的通信鏈路。該計(jì)算機(jī)安排適于執(zhí)行根據(jù)本發(fā)明第一和第二方面的密碼方法。
      因此,所述的計(jì)算機(jī)安排使能夠使用該頒發(fā)者在該主機(jī)和驗(yàn)證者之間進(jìn)行安全和匿名的通信。
      根據(jù)本發(fā)明的第六方面,提供了一種包括包含可被主機(jī)系統(tǒng)執(zhí)行的程序指令的計(jì)算機(jī)可讀介質(zhì)的計(jì)算機(jī)程序產(chǎn)品。所述程序指令從TPM請(qǐng)求對(duì)消息的第一貢獻(xiàn),驗(yàn)證該第一貢獻(xiàn)的正確性并基于該程序選擇的秘密參數(shù)計(jì)算第二貢獻(xiàn)。最后,如果驗(yàn)證成功,則組合兩個(gè)貢獻(xiàn)以形成共同消息并使該消息可用。
      根據(jù)第六方面的優(yōu)選實(shí)施例,計(jì)算機(jī)程序產(chǎn)品還包括從TPM請(qǐng)求對(duì)假名的第一貢獻(xiàn)并基于所述秘密參數(shù)計(jì)算第二貢獻(xiàn)的程序指令。然后,組合兩個(gè)貢獻(xiàn)以形成假名。最后,存在向TPM證明第一貢獻(xiàn)已貢獻(xiàn)于組合假名的指令。
      根據(jù)本發(fā)明的第七方面,公開(kāi)了包括適于執(zhí)行根據(jù)第一和第二方面的由主機(jī)系統(tǒng)執(zhí)行的所有步驟的程序指令計(jì)算機(jī)程序。
      專(zhuān)利權(quán)利要求內(nèi)說(shuō)明了本發(fā)明的其他細(xì)節(jié)和實(shí)施例。


      結(jié)合附圖參考下面對(duì)根據(jù)本發(fā)明的優(yōu)選的但僅是說(shuō)明性的實(shí)施例的詳細(xì)說(shuō)明可更充分地理解本發(fā)明及其實(shí)施例。在附圖中圖1示出配置成執(zhí)行本發(fā)明的方法的一個(gè)實(shí)施例的計(jì)算機(jī)安排。
      圖2示出根據(jù)本發(fā)明的一個(gè)實(shí)施例的密鑰生成的方法的流程圖。
      圖3示出根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于加入生成的密鑰的方法的流程圖。
      圖4示出根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于給消息簽名的方法的流程圖。
      具體實(shí)施例方式
      圖1示出包括主機(jī)系統(tǒng)1、頒發(fā)者8和驗(yàn)證者9的計(jì)算機(jī)安排。主機(jī)系統(tǒng)1包括具有內(nèi)部安全存儲(chǔ)器3和內(nèi)部處理單元4的可信平臺(tái)模塊(TPM)2。主機(jī)系統(tǒng)1還包括它自己的存儲(chǔ)器5和處理單元6。TPM 2的存儲(chǔ)器3包括唯一的簽署密鑰EK。
      通常,TPM 4的處理單元4是允許它執(zhí)行密碼操作例如密鑰生成以及解密和加密的專(zhuān)門(mén)設(shè)計(jì)的硬件單元。主機(jī)系統(tǒng)1的處理單元6可以是通用處理單元例如主機(jī)系統(tǒng)1的中央處理單元(CPU)。
      主機(jī)系統(tǒng)1的處理單元6和TPM 2僅能通過(guò)有限接口7通信。具體地,處理單元6不能訪問(wèn)或操縱TPM 2的安全存儲(chǔ)器3內(nèi)存儲(chǔ)的值。但是,TPM 2可執(zhí)行主機(jī)系統(tǒng)1上的關(guān)于主機(jī)系統(tǒng)1的完整性的測(cè)量,例如檢查特定操作系統(tǒng)是否在主機(jī)系統(tǒng)上運(yùn)行。
      主機(jī)系統(tǒng)1通過(guò)數(shù)據(jù)網(wǎng)絡(luò)10連接到頒發(fā)者8和驗(yàn)證者9。頒發(fā)者8和驗(yàn)證者9的內(nèi)部結(jié)構(gòu)可與主機(jī)系統(tǒng)1的設(shè)置相同,但是也可以是本領(lǐng)域內(nèi)的技術(shù)人員已知的某種其他合適的類(lèi)型。具體地,頒發(fā)者8和驗(yàn)證者9可以包括或不包括它們自己的可信平臺(tái)模塊以便執(zhí)行密碼操作并向主機(jī)系統(tǒng)1以及在相互之間證明它們的真實(shí)性。但是,應(yīng)指出這是任選的。例如,頒發(fā)者8和驗(yàn)證者9可使用在通用處理器上運(yùn)行的軟件程序?qū)崿F(xiàn)所需的操作。
      數(shù)據(jù)網(wǎng)絡(luò)10可以是開(kāi)放網(wǎng)絡(luò)例如因特網(wǎng)或封閉網(wǎng)絡(luò)例如公司內(nèi)部局域網(wǎng)(LAN)。它并不必須是安全的以便維持本發(fā)明的方法的穩(wěn)健性。
      頒發(fā)者8包括包含私鑰SK1和公鑰PK1的不對(duì)稱(chēng)密鑰對(duì)。主機(jī)系統(tǒng)1和驗(yàn)證者9可從數(shù)據(jù)網(wǎng)絡(luò)10上容易地得到公鑰PK1,而私鑰SK1由頒發(fā)者8安全地存儲(chǔ)。驗(yàn)證者9包括欺詐TPM的黑名單11,該黑名單可以是在內(nèi)部匯集,由頒發(fā)者8或數(shù)據(jù)網(wǎng)絡(luò)10內(nèi)的另一個(gè)計(jì)算機(jī)系統(tǒng)(圖1未示出)提供的。
      圖1示出包括單個(gè)主機(jī)系統(tǒng)1、頒發(fā)者8和驗(yàn)證者9的簡(jiǎn)單計(jì)算機(jī)安排。但是,實(shí)際上,主機(jī)系統(tǒng)1例如用戶(hù)計(jì)算機(jī)的數(shù)量以及驗(yàn)證者9例如服務(wù)提供者的數(shù)量可以很大。在概念上,不需要一個(gè)以上的頒發(fā)者8。但是,例如可使用多個(gè)頒發(fā)者以防止性能瓶頸。例如,TPM 4的制造者可在因特網(wǎng)上提供第一個(gè)頒發(fā)者,而公司內(nèi)部網(wǎng)絡(luò)的操作員可提供用于該網(wǎng)絡(luò)內(nèi)部的第二個(gè)頒發(fā)者。
      圖2示出根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于生成DAA密鑰的方法的流程圖。密鑰生成是主機(jī)系統(tǒng)1和TPM 2共同執(zhí)行的過(guò)程。盡管至少一部分安全關(guān)鍵性操作例如使用秘密簽署密鑰EK給消息簽名是由TPM 2的處理器4執(zhí)行的,但是其他操作尤其是較少安全關(guān)鍵性的操作以及來(lái)自和到網(wǎng)絡(luò)10的所有輸入/輸出操作是由主機(jī)系統(tǒng)1的處理器6執(zhí)行的。
      在圖2內(nèi),TPM執(zhí)行的所有操作在左側(cè)示出,而主機(jī)的操作在右側(cè)示出。但是應(yīng)指出,一些操作可由任何一方執(zhí)行,而其他操作例如證明某個(gè)計(jì)算的正確性只能由兩方共同執(zhí)行。
      所需的操作可由硬件單獨(dú)實(shí)現(xiàn)或者作為硬件和軟件的組合實(shí)現(xiàn)。可提供包含可被圖1內(nèi)所示的計(jì)算機(jī)安排的設(shè)備之一或組合執(zhí)行的程序指令的計(jì)算機(jī)可讀介質(zhì)。計(jì)算機(jī)可讀介質(zhì)可以是例如CD-ROM、閃速存儲(chǔ)卡、硬盤(pán)或任何其他合適的計(jì)算機(jī)可讀介質(zhì)。
      密鑰生成過(guò)程的目的是計(jì)算消息U和假名N1,從而頒發(fā)者8可確信假名N1是使用TPM 2的有效簽署密鑰EK鑒別的。為此,必須根據(jù)共用秘密參數(shù)f計(jì)算U和N1,TPM 2貢獻(xiàn)即部分了解該秘密參數(shù)f。
      為了確保主機(jī)系統(tǒng)1的匿名性和私密性,主機(jī)系統(tǒng)1需要確信TPM 2不能將任何隱藏的信息編碼到消息U或假名N1中。這可通過(guò)確保首先參數(shù)f是隨機(jī)選擇的而其次消息U是由頒發(fā)者8的公鑰PK1的一部分生成的子群&lt;S&gt;的一部分來(lái)實(shí)現(xiàn)。
      維持TPM 2提供的安全性并同時(shí)確保對(duì)于主機(jī)系統(tǒng)1的匿名性(即使是在欺詐TPM 2的情況下)可通過(guò)將參數(shù)f分成兩部分來(lái)實(shí)現(xiàn),第一部分fT由TPM 2貢獻(xiàn)而第二部分fH由主機(jī)系統(tǒng)1貢獻(xiàn)。如果這些參數(shù)中的至少一個(gè)是隨機(jī)選擇的即如果至少一部分沒(méi)有欺騙,則可確?;谶@些參數(shù)的組合的參數(shù)f也是隨機(jī)的。
      實(shí)際上,如果TPM 2不能欺騙即將秘密信息編碼到將被生成的消息U或假名N1中就足夠了,這是因?yàn)橹鳈C(jī)系統(tǒng)1總是可以向另一個(gè)系統(tǒng)例如驗(yàn)證者9暴露其身份而沒(méi)有TPM 2的干涉。另外,假設(shè)主機(jī)系統(tǒng)1的處理器6上執(zhí)行的計(jì)算是基于公開(kāi)的而可被檢查的計(jì)算機(jī)代碼,則可驗(yàn)證主機(jī)系統(tǒng)1沒(méi)有欺騙。這與TPM 2相反,TPM 2的內(nèi)部工作不易于被檢查。
      在第一步驟201,主機(jī)系統(tǒng)1計(jì)算用于創(chuàng)建由生成元(generator)S生成的、消息空間(message space)&lt;S&gt;的具有階(order)Γ的子群的基(basis)ζ1,該生成元S是頒發(fā)者8的公鑰PK1的一部分。如果公鑰PK1還沒(méi)有存儲(chǔ)在主機(jī)系統(tǒng)1內(nèi),則例如可在數(shù)據(jù)網(wǎng)絡(luò)10上從頒發(fā)者8獲得該公鑰?;?用于生成用于在一側(cè)的主機(jī)系統(tǒng)1和TPM 2與另一側(cè)的頒發(fā)者8之間通信的假名N1。基ζ1存儲(chǔ)在主機(jī)系統(tǒng)1的存儲(chǔ)器5內(nèi),并且也可被傳送給TPM 2以便存儲(chǔ)在其存儲(chǔ)器3內(nèi)。
      在步驟202,TPM 2挑選隨機(jī)參數(shù)fT,該隨機(jī)參數(shù)實(shí)質(zhì)上構(gòu)成TPM對(duì)該過(guò)程將生成的DAA密鑰的秘密部分的貢獻(xiàn)。因此,選擇的參數(shù)fT安全地存儲(chǔ)在TPM 2的存儲(chǔ)器3內(nèi)。任選地,TPM 2可驗(yàn)證基ζ1是可維持初始DAA協(xié)議提供的安全性的、&lt;S&gt;的合適子群的有效生成元。但是,這對(duì)于維持匿名性不是必需的。
      然后,TPM 2根據(jù)基ζ1的指數(shù)為fT的指數(shù)函數(shù)以由基ζ1定義的子群的階Γ為模來(lái)計(jì)算對(duì)假名N1的第一貢獻(xiàn)N1,T。它還使用基R(該基也是頒發(fā)者8的公鑰PK的一部分)和指數(shù)fT并以群&lt;S&gt;的階n為模來(lái)計(jì)算對(duì)消息U的第一貢獻(xiàn)UT,其中n是頒發(fā)者8的公鑰PK的RSA模數(shù)。使用接口7將貢獻(xiàn)N1,T和UT提供給處理器6。
      實(shí)際上,出于計(jì)算效率的原因?qū)?shù)fT分成一些部分例如f0T和f1T。但是,為了使說(shuō)明盡可能地簡(jiǎn)單,從現(xiàn)在開(kāi)始將僅稱(chēng)其為fT。用于計(jì)算消息UT的基R也是如此。另外,消息UT是基于TPM 2選擇的第二秘密參數(shù)v,該參數(shù)也用作UT的計(jì)算中的另一基S的指數(shù)。本申請(qǐng)的標(biāo)題為“修改的直接匿名證明協(xié)議”的部分內(nèi)包含了精確定義這些計(jì)算的數(shù)學(xué)公式。
      密碼學(xué)領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明顯地看到,可使用任何其他的函數(shù)而不是模指數(shù)函數(shù)以便生成假名N1,T和消息UT。這里使用的函數(shù)的重要特征是在其計(jì)算上不可能恢復(fù)用于N1,T和UT的計(jì)算的秘密參數(shù)f。當(dāng)然,這一點(diǎn)同樣適用于在整個(gè)此申請(qǐng)內(nèi)基于指數(shù)函數(shù)計(jì)算的所有其他的消息和消息貢獻(xiàn)。
      在步驟203,主機(jī)系統(tǒng)1執(zhí)行的過(guò)程基本與步驟202內(nèi)TPM執(zhí)行的過(guò)程相同,即它選取自己的隨機(jī)參數(shù)fH并以與上述相同的方式計(jì)算貢獻(xiàn)N1,H和UH。理論上,此步驟應(yīng)由主機(jī)系統(tǒng)1在它知道TPM 2的貢獻(xiàn)N1,H和UT之前執(zhí)行,這是因?yàn)榉駝t主機(jī)系統(tǒng)會(huì)以這樣的方式選擇其參數(shù)fH,即組合的DAA密鑰仍包含秘密信息。但是,如上所述,主機(jī)系統(tǒng)1總是可以通過(guò)其他方法暴露其身份,因此只要TPM在完成步驟202之前不知道步驟203的結(jié)果,步驟203就可在步驟202之前、之后或與之并行地執(zhí)行。
      在步驟204,主機(jī)系統(tǒng)1通過(guò)乘法組合貢獻(xiàn)N1,T和N1,H以便形成最終的假名N1。對(duì)于貢獻(xiàn)U1和UH同樣如此。通過(guò)對(duì)于相同的基使兩個(gè)指數(shù)函數(shù)的結(jié)果相乘,有效地使指數(shù)相加,所述指數(shù)在此情況下為秘密參數(shù)fT和fH。這樣,主機(jī)系統(tǒng)1可部分基于秘密參數(shù)fT計(jì)算DAA密鑰,它不知道該秘密參數(shù)并且由于選擇的函數(shù)的特征而不容易恢復(fù)。
      實(shí)際上,步驟203和204可組合在一起,即主機(jī)系統(tǒng)1不需要顯式地計(jì)算N1,H和UH,而僅是在單個(gè)步驟內(nèi)使接收的TPM 2的貢獻(xiàn)N1,T和UT隨機(jī)化,即通過(guò)與其自己的部分相乘進(jìn)行修改。
      在將包含假名N1和消息U的計(jì)算出的DAA密鑰的公共部分傳送給頒發(fā)者8進(jìn)行認(rèn)證之前,TPM 2和主機(jī)系統(tǒng)1都需要確信生成的密鑰是被正確計(jì)算的,例如各方計(jì)算的貢獻(xiàn)仍被包含在最終的密鑰內(nèi)。
      在第一證明內(nèi),在步驟205,主機(jī)系統(tǒng)1驗(yàn)證TPM 2對(duì)消息U的貢獻(xiàn)UT是頒發(fā)者的公鑰PK1內(nèi)包含的生成元&lt;S&gt;定義的群的一部分。這樣做是因?yàn)門(mén)PM 2可通過(guò)故意離開(kāi)它被設(shè)想是其一部分的群&lt;S&gt;,而將信息編碼到消息U中。
      因?yàn)樵诖俗C明中,驗(yàn)證主機(jī)系統(tǒng)1不知道該群的階即用于其生成的RSA模數(shù),所以TPM 2具有二分之一的欺騙的機(jī)會(huì),即盡管其不知道用于UT的計(jì)算的秘密參數(shù)fT仍正確地響應(yīng)由主機(jī)系統(tǒng)1設(shè)置的質(zhì)詢(xún)。但是,通過(guò)使用不同的質(zhì)詢(xún)多次重復(fù)此證明,可使欺騙的可能性最小化到預(yù)定的閾值以下。
      另外,假設(shè)主機(jī)系統(tǒng)1包括來(lái)自由網(wǎng)絡(luò)10的其他主機(jī)廣泛使用的一系列的TPM 2,則可假設(shè)此系列的至少一個(gè)TPM 2會(huì)通不過(guò)此證明,并且包含它的主機(jī)系統(tǒng)1或頒發(fā)者8會(huì)將此失敗公開(kāi)。因此,實(shí)際上,通常僅執(zhí)行一次第二證明就足夠了。
      在第二證明內(nèi),在步驟206,主機(jī)系統(tǒng)1向TPM 2證明其正確地計(jì)算了N1,即N1是基于其中N1,T用作乘數(shù)的乘積。更具體地,主機(jī)必須證明知道用作其貢獻(xiàn)N1,H的指數(shù)的秘密參數(shù)fH。證明知道離散對(duì)數(shù)可使用標(biāo)準(zhǔn)密碼方法實(shí)現(xiàn),例如基于所謂的零知識(shí)證明例如作為Schnorr的簽名方案的基礎(chǔ)的零知識(shí)證明來(lái)實(shí)現(xiàn)。
      在概念上,在此所述的證明實(shí)現(xiàn)為質(zhì)詢(xún)響應(yīng)機(jī)制。在證明者對(duì)驗(yàn)證者的初始證明提交消息之后,將驗(yàn)證者即在第二證明的情況下的TPM 2定義的質(zhì)詢(xún)傳送給證明者。只有當(dāng)證明者即主機(jī)系統(tǒng)1知道某個(gè)秘密例如秘密參數(shù)fH時(shí),才可計(jì)算此質(zhì)詢(xún)。然后,返回的響應(yīng)可被驗(yàn)證者驗(yàn)證為正確的而沒(méi)有可能發(fā)現(xiàn)該秘密。
      TPM 2不需要向主機(jī)系統(tǒng)1證明其貢獻(xiàn)仍被包含在最終的DAA密鑰內(nèi),因?yàn)橹鳈C(jī)知道其在步驟204內(nèi)執(zhí)行的計(jì)算。因此,主機(jī)系統(tǒng)1還知道只要是基于其自己的隨機(jī)參數(shù)fH則得到的假名N1和消息U確實(shí)是隨機(jī)的。
      在步驟207,TPM 2檢查第二證明是否成功地完成。如果情況如此即如果TPM 2確信它的秘密參數(shù)fT已被用于計(jì)算作為DAA密鑰的一部分的假名N1,則TPM 2在步驟208內(nèi)使用它的存儲(chǔ)在存儲(chǔ)器3內(nèi)的秘密簽署密鑰EK鑒別假名N1。然后,再次將被鑒別假名N1傳遞給主機(jī)系統(tǒng)1。
      在步驟209,主機(jī)系統(tǒng)1檢查第一證明是否成功地完成,即TPM 2的貢獻(xiàn)UT位于群&lt;S&gt;內(nèi)。如果情況如此,則在步驟210,它在接收到被授權(quán)的假名N1,auth時(shí),使得DAA密鑰的公共部分即假名N1,auth和消息U對(duì)于頒發(fā)者8可用以進(jìn)行認(rèn)證。
      在此應(yīng)指出,任何一方可分別在證明驗(yàn)證過(guò)程207和209期間阻止密鑰生成過(guò)程的成功完成。這是因?yàn)橹鳈C(jī)系統(tǒng)1不能在沒(méi)有使用TPM 2的簽署密鑰EK進(jìn)行鑒別的情況下生成有效密鑰,并且TPM 2不能在沒(méi)有控制所有網(wǎng)絡(luò)通信的主機(jī)系統(tǒng)1的幫助下傳遞密鑰。因此,如果任何一方不信任另一方,則它總是可以放棄圖2內(nèi)所示的密鑰生成過(guò)程。
      圖3示出另一種方法的流程圖,在該方法中如上所述生成的DAA密鑰被頒發(fā)者8認(rèn)證。從頒發(fā)者的角度看加入?yún)f(xié)議保持不變。這是給出的本發(fā)明的實(shí)施例的有利的特征,因?yàn)槠湓试S與初始DAA協(xié)議向后兼容。
      但是,由于主機(jī)系統(tǒng)1和TPM 2都不完全知道用于假名N1和消息U的計(jì)算的秘密參數(shù)f,所以在頒發(fā)者8將頒發(fā)DAA密鑰上的證書(shū)之前,它們必須合作以便成功地完成頒發(fā)者8設(shè)置的質(zhì)詢(xún)。因此,只有在主機(jī)一側(cè)執(zhí)行的步驟,通常為在主機(jī)系統(tǒng)1的處理器6上運(yùn)行的軟件和在TPM 2的硬件內(nèi)實(shí)現(xiàn)的一些功能的組合,才相對(duì)于初始DAA協(xié)議被修改。
      為了證明知道秘密密鑰f,在步驟300,主機(jī)系統(tǒng)1和TPM 2向頒發(fā)者8執(zhí)行另一個(gè)零知識(shí)證明。這將向頒發(fā)者證明TPM與主機(jī)系統(tǒng)1一起知道離散對(duì)數(shù)即秘密參數(shù)f,該參數(shù)是fT和fH的和,并用于計(jì)算假名N1且還貢獻(xiàn)于U的生成。
      為了此第三證明,主機(jī)1將DAA密鑰的公共部分即在步驟200內(nèi)計(jì)算的假名N1和消息U作為證明提交消息發(fā)送給頒發(fā)者8。在步驟301,頒發(fā)者8選取隨機(jī)參數(shù)n1并將其作為質(zhì)詢(xún)傳遞回主機(jī)系統(tǒng)1。主機(jī)系統(tǒng)將參數(shù)n1繼續(xù)傳遞給TPM 2。
      實(shí)際上,頒發(fā)者8檢查假名N1是否被簽署密鑰EK的秘密部分簽名,頒發(fā)者8持有該簽署密鑰的公共部分。為此目的,例如,頒發(fā)者8能夠訪問(wèn)具有有效TPM 2的所有簽署密鑰EK的公共部分的數(shù)據(jù)庫(kù)。
      如果頒發(fā)者8接收假名N1源自有效TPM 2,則其出于安全原因使用用于鑒別接收到的假名N1的簽署密鑰EK的公共部分對(duì)參數(shù)n1加密。因此,只有具有簽署密鑰EK的秘密部分的TPM 2可對(duì)參數(shù)n1解密。
      TPM 2和主機(jī)系統(tǒng)1現(xiàn)在必須共同證明它們知道用于生成假名N1和消息U的秘密參數(shù)fT和fH。盡管此證明遵循如上所述的對(duì)離散對(duì)數(shù)的知識(shí)的標(biāo)準(zhǔn)證明,但是由于每一方,即TPM 2和主機(jī)系統(tǒng)1,僅部分地知道該對(duì)數(shù),所以該證明需要修改。
      在步驟302,TPM 2選取另一個(gè)隨機(jī)參數(shù)rT作為指數(shù),并分別使用相同的基ζ1和R以及在步驟202內(nèi)所述的在密鑰生成期間使用的機(jī)制計(jì)算另一個(gè)貢獻(xiàn) 和 主機(jī)系統(tǒng)1還在步驟303選擇另一個(gè)隨機(jī)參數(shù)rH,并執(zhí)行類(lèi)似的操作即計(jì)算另一個(gè)貢獻(xiàn) 和 在步驟304,主機(jī)系統(tǒng)1從TPM 2接收到 和 并且就如密鑰生成過(guò)程的步驟204中一樣,將它們與它自己的貢獻(xiàn) 和 相乘。在步驟304,主機(jī)系統(tǒng)1根據(jù)頒發(fā)者8的隨機(jī)參數(shù)n1和主機(jī)選取的另一個(gè)隨機(jī)參數(shù)nH計(jì)算質(zhì)詢(xún)cH。然后將此質(zhì)詢(xún)cH傳遞給TPM 2。
      在步驟305,TPM 2選取另一個(gè)隨機(jī)參數(shù)nT并利用一散列函數(shù)將從主機(jī)接收到的質(zhì)詢(xún)cH轉(zhuǎn)換成質(zhì)詢(xún)c。然后,它使用隨機(jī)參數(shù)rT計(jì)算對(duì)頒發(fā)者8的響應(yīng)的第一貢獻(xiàn)sT。
      然后,將此貢獻(xiàn)傳送回給主機(jī)系統(tǒng)1,在步驟309主機(jī)系統(tǒng)使用它自己的參數(shù)rH計(jì)算對(duì)所述質(zhì)詢(xún)的第二貢獻(xiàn)sH。主機(jī)還驗(yàn)證TPM已正確地計(jì)算質(zhì)詢(xún)c。然后貢獻(xiàn)sT和sH被組合成響應(yīng)s(這里是通過(guò)相加),并被傳遞給頒發(fā)者8以便驗(yàn)證。
      頒發(fā)者8然后在步驟307利用一散列函數(shù)驗(yàn)證該響應(yīng)的正確性。這實(shí)際上完成了對(duì)用于步驟200內(nèi)的密鑰生成的秘密參數(shù)f的知識(shí)的證明。
      如在密鑰生成過(guò)程內(nèi)一樣,為了易于計(jì)算,用作指數(shù)的參數(shù)rT和rH以及貢獻(xiàn)sT和sH實(shí)際上是由幾個(gè)部分構(gòu)成的。但是,這不會(huì)對(duì)在此說(shuō)明的方法造成根本的區(qū)別,因此為了清楚起見(jiàn)將被省略。
      如果在步驟308,頒發(fā)者8確信主機(jī)系統(tǒng)1和TPM 2一起擁有對(duì)參數(shù)fH和fT的知識(shí),則在步驟309,頒發(fā)者8根據(jù)它的秘密密鑰SK1和用于密鑰生成期間的假名U計(jì)算有效證書(shū)(A,e)。如果在步驟308頒發(fā)者8不能驗(yàn)證所述證明,則將放棄該加入過(guò)程并且不頒發(fā)證書(shū)。
      在步驟310,主機(jī)系統(tǒng)1驗(yàn)證證書(shū)的一部分。此后,在步驟311,頒發(fā)者8向主機(jī)系統(tǒng)1證明簽名(A,e)是正確計(jì)算的。盡管此證明對(duì)于保持整個(gè)DAA方案的安全是不重要的,但是它對(duì)于以后在簽名協(xié)議的情況中確保主機(jī)的匿名性是重要的。
      最后,在步驟312,主機(jī)系統(tǒng)1計(jì)算對(duì)證書(shū)(A,e)的第一貢獻(xiàn)vH,而TPM 2計(jì)算對(duì)證書(shū)(A,e)的第二貢獻(xiàn)vT。TPM 2和主機(jī)系統(tǒng)1都存儲(chǔ)它們各自的貢獻(xiàn)以便將來(lái)使用例如用于簽名協(xié)議。
      圖4示出用于使用被認(rèn)證的DAA密鑰給消息簽名的本發(fā)明的方法的實(shí)施例的流程圖。與密鑰生成200類(lèi)似,這是由主機(jī)系統(tǒng)1和TPM 2共同執(zhí)行的過(guò)程。在圖4內(nèi),TPM執(zhí)行的所有操作在左側(cè)示出,而主機(jī)的操作在右側(cè)示出。如前所述,操作的順序可改變。
      簽名過(guò)程的目的是計(jì)算消息m上的簽名σ,以便驗(yàn)證者9可確信消息的發(fā)送者知道密鑰以及其上的證書(shū),所述密鑰和證書(shū)被用于生成消息m上的簽名。這樣,驗(yàn)證者9可確信消息m是真實(shí)的并且源于具有被頒發(fā)者8認(rèn)證的TPM 2的主機(jī)平臺(tái)1。
      在概念上,這等同于另一個(gè)知識(shí)證明,其中主機(jī)系統(tǒng)1和TPM 2一起向驗(yàn)證者9證明它們擁有秘密參數(shù)f以及其上的證書(shū)(A,e)的知識(shí)。為了證明這一點(diǎn),TPM 2和主機(jī)系統(tǒng)1首先計(jì)算證明提交消息TV和假名NV。然后,在接收到或計(jì)算出合適的質(zhì)詢(xún)c時(shí),它們計(jì)算響應(yīng)消息s,該消息證明相對(duì)于質(zhì)詢(xún)c它們知道秘密參數(shù)f以及其上的證書(shū)(A,e)。
      與密鑰生成類(lèi)似,主機(jī)系統(tǒng)1需要確信TPM 2不能將任何隱藏的信息編碼到消息TV或s或假名NV中。這可通過(guò)使TPM 2對(duì)證明的貢獻(xiàn)隨機(jī)化來(lái)實(shí)現(xiàn)。
      在第一步驟401,主機(jī)系統(tǒng)1計(jì)算用于創(chuàng)建具有階ρ的子群的基ζV。根據(jù)驗(yàn)證者9的請(qǐng)求,基ζV可由主機(jī)系統(tǒng)1單獨(dú)生成或者是基于驗(yàn)證者9提供的基名(base name)bsn。如果主機(jī)系統(tǒng)1希望使用特定于具體驗(yàn)證者9的假名NV而不是保持完全匿名,則后者的情況尤其有用。這可用于例如在共同會(huì)話中在主機(jī)系統(tǒng)1和驗(yàn)證者9之間交換的各個(gè)消息之間保持連接狀態(tài),即保持會(huì)話狀態(tài)。
      然后,通過(guò)接口7使基ζV對(duì)于TPM 2可用。任選地,TPM 2例如可通過(guò)驗(yàn)證基ζV確實(shí)生成具有階ρ的子群來(lái)驗(yàn)證基ζV是否計(jì)算正確。
      在步驟402,TPM 2選取隨機(jī)參數(shù)rH,該參數(shù)用于通過(guò)計(jì)算具有基A和指數(shù)r的指數(shù)函數(shù)將證書(shū)(A,e)隱藏在對(duì)第一消息T的第一貢獻(xiàn)TT內(nèi)。
      實(shí)際上,證書(shū)(A,e)包括使用多個(gè)消息T1和T2編碼的多個(gè)部分。因此,TPM 2選擇一些隨機(jī)參數(shù)并計(jì)算一些貢獻(xiàn)T1T和T2T,等等。另外,使用另一個(gè)隨機(jī)參數(shù)w計(jì)算基于頒發(fā)者的公鑰PK1的另外的指數(shù)函數(shù)。但是,為了保持說(shuō)明簡(jiǎn)單,這里將僅說(shuō)明對(duì)證書(shū)的單個(gè)部分的知識(shí)的證明。
      另外,TPM 2計(jì)算對(duì)用于與驗(yàn)證者9通信的假名NV的第一貢獻(xiàn)NV,T。這是以與密鑰生成過(guò)程的步驟202中的方式相同的方式完成的,但是使用ζV作為基。貢獻(xiàn)NV,T和TV被提供給主機(jī)系統(tǒng)1的處理器6。
      在步驟404,主機(jī)系統(tǒng)1通過(guò)將TPM 2的第一貢獻(xiàn)NV,T乘以它自己的貢獻(xiàn)NV,H將該第一貢獻(xiàn)隨機(jī)化,該貢獻(xiàn)NV,H基于第二秘密參數(shù)fH并且是在步驟403中計(jì)算的。另外,主機(jī)系統(tǒng)1還通過(guò)基于另一個(gè)秘密參數(shù)rH計(jì)算對(duì)消息T的第二貢獻(xiàn)TH并將其與TPM的貢獻(xiàn)TT相乘來(lái)將消息T隨機(jī)化。
      在步驟405,TPM 2向主機(jī)證明它的貢獻(xiàn)TT位于由S生成的子群內(nèi),S是消息空間&lt;S&gt;的群生成元。此第四證明類(lèi)似于針對(duì)密鑰生成過(guò)程說(shuō)明的步驟206的證明,因此在此將不再說(shuō)明。它確保了TPM不能在消息T內(nèi)隱藏任何信息,并結(jié)束簽名σ的第一部分即證明提交消息T的計(jì)算。
      在步驟406,主機(jī)系統(tǒng)1檢查步驟405的證明是否成功完成。如果情況如此,則主機(jī)系統(tǒng)1與TPM 2一起計(jì)算質(zhì)詢(xún)c,TPM 2必須使用它的秘密參數(shù)rT的知識(shí)響應(yīng)該質(zhì)詢(xún)。這形成簽名σ的第二部分s。
      在理論上,質(zhì)詢(xún)c是由驗(yàn)證者9計(jì)算的。但是,為了使簽名協(xié)議更高效,由TPM 2預(yù)先計(jì)算質(zhì)詢(xún)c,該質(zhì)詢(xún)c可基于隨機(jī)參數(shù)nt以及消息T和假名Nv上的散列函數(shù)。為了允許驗(yàn)證者9分析質(zhì)詢(xún)c是否計(jì)算正確,質(zhì)詢(xún)c和隨機(jī)參數(shù)nt一起被包含在最終的簽名σ內(nèi),下文將對(duì)此進(jìn)行說(shuō)明。
      再次地,重要的是,TPM 2和主機(jī)系統(tǒng)1都貢獻(xiàn)于隨機(jī)參數(shù)nt以確保方案的安全性和匿名性。根據(jù)DAA協(xié)議,TMP 2必須貢獻(xiàn)于此參數(shù)nt以便防止重放攻擊。同時(shí),主機(jī)系統(tǒng)1需要添加貢獻(xiàn)以確保即使TPM 2是被破壞的(corrupted),參數(shù)nt仍確實(shí)是隨機(jī)的。
      為了防止在此過(guò)程內(nèi)任何一方欺騙,TPM 2首先在步驟407選取它的貢獻(xiàn)nt,T,并將它的散列值hT傳遞給主機(jī)系統(tǒng)1。在另一個(gè)步驟408內(nèi),主機(jī)系統(tǒng)1然后在仍不知道TPM 2的貢獻(xiàn)nt,T時(shí)選取它自己的貢獻(xiàn)nt,H,并將它發(fā)送給TPM 2。然后,在步驟409,TPM 2將兩個(gè)貢獻(xiàn)組合成最終的參數(shù)nt并將它返回主機(jī)系統(tǒng)1。在步驟410,主機(jī)系統(tǒng)1然后可使用散列值ht和它對(duì)自己的貢獻(xiàn)nt,H的知識(shí)驗(yàn)證兩個(gè)貢獻(xiàn)確實(shí)包含在其內(nèi),在此過(guò)程期間,在步驟409,TPM 2還使用隨機(jī)參數(shù)nt將主機(jī)在步驟408計(jì)算的初始質(zhì)詢(xún)cH轉(zhuǎn)換成最終質(zhì)詢(xún)c。仍作為步驟409的一部分,TPM然后通過(guò)根據(jù)秘密參數(shù)rT和fT的知識(shí)計(jì)算對(duì)響應(yīng)sT的第一貢獻(xiàn)來(lái)響應(yīng)質(zhì)詢(xún)c,并將它返回給主機(jī)系統(tǒng)1。
      在步驟410,主機(jī)系統(tǒng)1也使用它的秘密參數(shù)rH和fH的知識(shí)將響應(yīng)sT轉(zhuǎn)換成響應(yīng)s。在此步驟,主機(jī)系統(tǒng)1可驗(yàn)證TPM 2計(jì)算的所有部分都計(jì)算正確,尤其是它們?nèi)园鳈C(jī)自己提供的貢獻(xiàn)。
      響應(yīng)s與質(zhì)詢(xún)c、隨機(jī)參數(shù)nt、基ζv、假名Nv和消息T一起構(gòu)成簽名σ,在步驟410結(jié)束時(shí)使該簽名對(duì)于驗(yàn)證者可用。
      作為DAA協(xié)議的一部分的最后的過(guò)程是通過(guò)驗(yàn)證者9驗(yàn)證簽名σ。由于此過(guò)程被驗(yàn)證者單獨(dú)執(zhí)行,所以它不需要根據(jù)本發(fā)明的此給出的實(shí)施例改變,并且在此僅出于完整性的原因被非常簡(jiǎn)要地說(shuō)明。
      基本上,驗(yàn)證者9驗(yàn)證質(zhì)詢(xún)c是否計(jì)算正確,例如是否基于將被簽名的消息m、隨機(jī)參數(shù)nt、驗(yàn)證者的公鑰、假名Nv和消息T。如果基ζv得自基名bsn,則驗(yàn)證者可另外檢查基ζv是否正確地形成。
      如果驗(yàn)證者9能夠訪問(wèn)包含從欺詐TPM 2提取的秘密參數(shù)f的黑名單11,則它可根據(jù)基ζv和來(lái)自該名單的秘密參數(shù)f計(jì)算假名Nrogue,并將它們與作為簽名σ的一部分接收到的假名Nv相比較。因此,源自欺詐TPM 2的簽名可被檢測(cè)并作為無(wú)效鑒別被拒絕。
      如果驗(yàn)證者9成功地驗(yàn)證所有檢查,即如果簽名σ包含被認(rèn)證的密鑰的知識(shí)的有效證明,則驗(yàn)證者9可相信消息m是真實(shí)的并且源自可信的主機(jī)平臺(tái)1。因此,它可決定向主機(jī)系統(tǒng)1準(zhǔn)許對(duì)被尋找資源的訪問(wèn)或在消息m內(nèi)編碼的其他請(qǐng)求。
      根據(jù)DAA協(xié)議,消息m實(shí)際上包含被稱(chēng)為證明身份密鑰(AIK)的另一個(gè)不對(duì)稱(chēng)密鑰,其用于主機(jī)系統(tǒng)1和驗(yàn)證者9之間的安全和匿名的通信。因此,通過(guò)執(zhí)行上述方法,主機(jī)可生成和鑒別用于每個(gè)驗(yàn)證者9的單獨(dú)的證明身份密鑰,而未允許驗(yàn)證者9或頒發(fā)者8將這些密鑰鏈接在一起,即揭示它們是源自同一主機(jī)平臺(tái)1。但是,從實(shí)際角度考慮,消息m的內(nèi)容對(duì)于其被主機(jī)系統(tǒng)1和TPM 2簽名以及被驗(yàn)證者9驗(yàn)證是不相關(guān)的。
      修改的直接匿名證明協(xié)議盡管列舉出下面的步驟以便于參考,但是這并不一定暗示著步驟執(zhí)行的嚴(yán)格順序。由于作為基礎(chǔ)的方法以分布方式執(zhí)行即被TPM 2、主機(jī)計(jì)算計(jì)1、頒發(fā)者8和驗(yàn)證者9部分地執(zhí)行,所以只要所有先決條件已被計(jì)算則步驟就可并行執(zhí)行。
      下面的等式限定了在隨后說(shuō)明的協(xié)議期間選擇的參數(shù)的以位表示的長(zhǎng)度。
      le>lf+2l+lH+4 (1)le>le+l+lH+2 (2)
      le>ln+lf+2l+lH+lr+3 (3)lρ=2lf(4)與初始DAA協(xié)議相比,參數(shù)e和v的位長(zhǎng)度增加以便不允許TPM和主機(jī)中的每個(gè)貢獻(xiàn)于最初由TPM單獨(dú)選擇的秘密。
      密鑰生成在加入?yún)f(xié)議期間,主機(jī)與內(nèi)置TPM合作生成密鑰。然后向頒發(fā)者證明形成密鑰的秘密部分的秘密參數(shù)f0和f1的知識(shí),該頒發(fā)者作為響應(yīng)將頒發(fā)該密鑰上的證書(shū)。
      為了即使在欺詐TPM的情況下仍確保匿名,按以下方式修改初始協(xié)議,即如果至少或者主機(jī)或者TPM是誠(chéng)實(shí)的,則它確保在密鑰生成期間計(jì)算的消息U位于正確的群內(nèi),并且任何單個(gè)一方不知道秘密參數(shù)f0和f1。
      1.首先,主機(jī)通過(guò)具有基名bsn1的頒發(fā)者計(jì)算用于生成假名N1的基ζ1,其中Γ是用于密鑰生成的群的階,ρ是該群的子群的階,H是散列函數(shù),而‖指示位串的拼接。
      主機(jī)計(jì)算ζ1=(Hρ(1‖bsn1))(Γ-1)/ρmodΓ并將ζ1發(fā)送給TPM。
      2. TPM然后驗(yàn)證主機(jī)生成的ζ1是用于創(chuàng)建S即消息空間的子群的有效的基TPM檢查是否&xi;1&rho;&equiv;1(mod&Gamma;)]]>3. TPM然后生成用作生成TPM的秘密參數(shù)f(t)的種子的隨機(jī)數(shù)DAA-seed,并設(shè)置 其對(duì)于在等式1到4中選擇的值為1。
      然后,TPM根據(jù)頒發(fā)者的公鑰PK1計(jì)算f(t):=Hhk(Hhk(PK1‖DAA-seed‖cnt)‖0)‖...‖Hhk(Hhk(PK1‖DAA-seed‖cnt)‖i)(modρ),(5)f0(t):=LSBlf(f(t)),f1(t):=CARlf(f(t)),---(6)]]>
      v1(t)&Element;R{0,1}ls,]]>v2(t)&Element;R
      ,---(7)]]>U(t):=R0f0(t)R1f1(t)Sv1(t)S&prime;v2(t)modnN1(t):=&zeta;1f(t)mod&Gamma;---(8)]]>然后,將U(t)和N1(t)和發(fā)送給主機(jī),該主機(jī)繼而根據(jù)另一個(gè)隨機(jī)散列種子生成它自己的秘密參數(shù)f(h)。
      4.主機(jī)計(jì)算并選擇f(h):=Hhk(Hhk(host-seed||N1(t))||0)||...||Hhk(Hhk(host-seed||N1(t))||i)(mod&rho;)---(9)]]>f0(h):=LSBlf(f(h)),f1(h):=CARlf(f(h)),---(10)]]>v&OverBar;(h)&Element;R{0,1}ln+le(11)---(11)]]>U:=U(t)R0f0(h)R1f1(h)Sv&OverBar;(h)modnN1(t):=&zeta;1f(h)mod&Gamma;---(12)]]>并將N1發(fā)送給TPM。
      5.主機(jī)將假名N1發(fā)送給TPM以便驗(yàn)證,并在下面的證明中承擔(dān)證明者的角色而TPM作為驗(yàn)證者PK{(&alpha;):N1/N1(t)&equiv;&zeta;1&alpha;(mod&Gamma;)}]]>這是使用類(lèi)似于作為Schnorr簽名方法的基礎(chǔ)的協(xié)議的協(xié)議證明的,其中一方(在此為主機(jī))向第二方(在此為T(mén)PM)證明對(duì)一離散對(duì)數(shù)的知識(shí)。
      6.如果TPM接收該證明,則然后TPM通過(guò)用它的簽署密鑰EK對(duì)N1簽名來(lái)向頒發(fā)者鑒別N1。
      7.TPM向主機(jī)證明以下命題PK{(&gamma;,&delta;,&epsiv;,&xi;):U(t)&equiv;R0&gamma;R1&delta;S&epsiv;S&prime;&xi;}---(13)]]>出于數(shù)學(xué)原因,TPM在此證明內(nèi)具有二分之一的欺騙的可能,即使主機(jī)相信消息部分U(t)是從R0、R1、S和S’正確計(jì)算出的,雖然并非如此。但是,可通過(guò)重復(fù)這種質(zhì)詢(xún)數(shù)次或使數(shù)個(gè)TPM執(zhí)行該質(zhì)詢(xún)來(lái)使此欺騙可能性最小。實(shí)際上,由于制造者將分發(fā)許多相同的TPM,所以它們中從沒(méi)有一個(gè)被發(fā)現(xiàn)欺騙的可能性實(shí)際上是極小的。
      此證明示出U(t)位于S生成的子群內(nèi)。上述證明幾乎與下面的步驟內(nèi)主機(jī)和TPM共同計(jì)算的證明相同。實(shí)際上,主機(jī)可使用用于執(zhí)行下面的步驟的與TPM的接口來(lái)執(zhí)行上面的證明。就是說(shuō),不必為此在TPM中實(shí)現(xiàn)新的命令。
      在TPM和主機(jī)都確信假名N1和消息U計(jì)算正確之后,主機(jī)將它們傳送給頒發(fā)者以便獲得基于秘密參數(shù)f0和f1的秘密密鑰上的證書(shū)。
      8.為此,TPM和主機(jī)如下地向頒發(fā)者證明對(duì)f0、f1和v’的知識(shí),從而U=R0f0R1f1Sv&prime;]]>和N1=&zeta;1f0+2lff1:]]>a)TPM選擇和計(jì)算rf0(t),rf1(t)&Element;R{0,1}lf+l+lH,---(14)]]>rv&prime;1(t)&Element;R{0,1}ls,]]>rv&prime;2(t)&Element;R{0,1}ln+l+lH-ls---(15)]]>U~(t):=R0rf0(t)R1rf1(t)Srv&prime;1(t)S&prime;rv&prime;2(t)modnN~1(t):=&zeta;1rf0(t)+rf1(t)2lfmod&Gamma;---(16)]]>并將 和 發(fā)送給主機(jī)。
      b)主機(jī)選擇并計(jì)算rf0(h),rf1(h)&Element;R{0,1}lf+2l+lh,]]>rv&prime;(t)&Element;R{0,1}ln+2l+lH---(17)]]>N~1:=N~1(t)&zeta;1rf0(h)+rf1(h)2lfmod&Gamma;U~:=U~(t)R0rf0(h)R1rf1(h)Srv(h)modn---(18)]]>c)頒發(fā)者選擇隨機(jī)串ni&Element;{0,1}lH,]]>并將ni發(fā)送給TPM。
      d)TPM選擇隨機(jī)數(shù)nt∈{0,1}l,并計(jì)算c:=Hhk(ch||nt||ni)&Element;
      ]]>e)TPM計(jì)算sf0(t):=rf0(t)+cf0(t),sf1(t):=rf1(t)+cf1(t),---(19)]]>sv&prime;1(t):=LSBls(rv&prime;1(t)+cv1(t))s&OverBar;:=CARls(rv&prime;1(t)+cv1(t)),---(20)]]>sv&prime;2(t):=(rv&prime;2(t)+cv2(t)+s&OverBar;)---(21)]]>f)TPM將(c,nt,sf0(t),sf1(t),sv1′(t),sv2′(t)發(fā)送給主機(jī),但將sv2′′保密。
      g)主機(jī)計(jì)算
      sf0:=rf0(h)+cf0(h)+sf0(t),sf1:=rf1(h)+cf1(h)+sf1(t),---(22)]]>sv&prime;(t):=sv&prime;1(t)+2lssv&prime;2(t),sv&prime;:=rv&prime;(h)+cv&OverBar;(h)+sv&prime;(t)---(23)]]>并檢查sf0(t),sf1(t)&Element; {0,1}lf+l+lH+1sv&prime;(t)&Element; {0,1}ln+l+lH+1,---(24)]]>U~&Element; U-cR0sf0R1sf1Ssv&prime;modnN~1&equiv; N1-c&zeta;1sf0+2lfsf1mod&Gamma;---(25)]]>c= Hhk(ch||nt||ni)---(26)]]>并將(c,nt,sf0,sf1,sv′)發(fā)送給頒發(fā)者。
      h)頒發(fā)者如下地驗(yàn)證該證明U^:=U-cR0sf0R1sf1Ssv&prime;modn]]>和N^1:=N1-c&zeta;1sf0+2lfsf1mod&Gamma;---(27)]]>并檢查c= Hhk(Hhk(n||R0||R1||S||U||N1||U^||N^1)||nt||ni)&Element;
      ---(28)]]>sf0,sf1&Element; {0,1}lf+2l+lH+1---(29)]]>sv&prime;&Element; {0,1}ln+2l+lH+1---(30)]]>9.頒發(fā)者選擇v^&Element;R{0,1}lv-1]]>和素?cái)?shù)e&Element;R[2le-1,2le-1+2le-1],]]>計(jì)算v&prime;&prime;:=v^+2lv-1]]>A:=(ZUSv&prime;&prime;)1/emodn]]>并將(A,e,v″)發(fā)送給主機(jī)。
      10.主機(jī)驗(yàn)證e是否為素?cái)?shù)并且是否位于[2le-1,2le-1+2le+1]內(nèi)。
      11.主機(jī)選擇隨機(jī)整數(shù)nh∈{0,1}l并將nh發(fā)送給頒發(fā)者。
      12.頒發(fā)者隨機(jī)選擇re∈R
      ,并計(jì)算A~:=(ZUSv&prime;&prime;)remodn---(31)]]>
      c&prime;:=Hhk(n||Z||S||U||v&prime;&prime;||A||A~||nh)&Element;
      ---(32)]]>se:=re-c′/emod p′q′ (33)并將c’和se發(fā)送給主機(jī)。
      13.主機(jī)計(jì)算A^:=Ac&prime;(ZUSv&prime;&prime;)semodn,]]>并檢查c&prime;= Hhk(n||Z||S||U||v&prime;&prime;||A||A^)||nh)]]>14.主機(jī)計(jì)算v(h):=v″+v(h)并存儲(chǔ)(f0(h),f1(h),v(h))15. TPM存儲(chǔ)(f0(t),f1(t),v0(t),v1(t))。
      TPM內(nèi)存儲(chǔ)的參數(shù)和主機(jī)內(nèi)存儲(chǔ)的參數(shù)共同形成秘密密鑰和該密鑰上的來(lái)自頒發(fā)者的證書(shū)。但是,主機(jī)或TPM都不完全知道所有參數(shù),因此不能獨(dú)自地使用該密鑰或證書(shū)。因此,它們需要合作以便使用此密鑰來(lái)與驗(yàn)證者通信。
      使用DAA證書(shū)給用于驗(yàn)證者V的消息m簽名修改版本的DAA簽名算法的目的是確保簽名內(nèi)的所有值都是隨機(jī)的。盡管簽名內(nèi)出現(xiàn)的很多值已被主機(jī)控制或至少由主機(jī)貢獻(xiàn),尤其是主機(jī)和TPM共享用于計(jì)算它們的秘密的那些值,存在一些不是這樣即僅由TPM計(jì)算的值。對(duì)于這些值,協(xié)議被修改以便它們被主機(jī)和TPM共同計(jì)算。
      另外,TPM需要顯式地證明值 被TPM正確計(jì)算,即它位于S生成的子群內(nèi)。
      簽名算法包括如下步驟1.計(jì)算基ζ(a)根據(jù)驗(yàn)證者是否指定具體的基名bsn,主機(jī)如下地計(jì)算ζζ∈R&lt;γ&gt;或ζ:=(Hρ(1‖bsn))(Γ-1)/ρmodΓ其中Hρ()是抗沖突(collision resistant)散列函數(shù)HΓ{0,1}*→{0,1}lΓ+l,并將ζ發(fā)送給TPM。
      (b)TPM檢查是否ζρ≡1(modΓ),即其是否是用于消息空間的正確的基。
      2.計(jì)算對(duì)用于與驗(yàn)證者通信的假名Nv的主機(jī)貢獻(xiàn),和對(duì)證明提交消息T1和T2的主機(jī)貢獻(xiàn)。
      (a)主機(jī)選取隨機(jī)整數(shù) 并計(jì)算T1:=Ahwmod n和T2:=gwhe(g′)rmod n(b)TPM計(jì)算Nv(t):=&zeta;f0(t)+f1(t)2lfmod&Gamma;,]]>并將NV(t)發(fā)送給主機(jī)。
      (c)主機(jī)計(jì)算Nv:=Nv(t)&zeta;f0(h)+f1(h)2lfmod&Gamma;.]]>3.計(jì)算對(duì)用于與驗(yàn)證者通信的假名Nv的TPM貢獻(xiàn),和對(duì)證明提交消息T1和T2的TPM貢獻(xiàn)。
      (a)TPM選取隨機(jī)整數(shù)rv1&Element;R{0,1}ls,]]>rv2&Element;R{0,1}lv+l+lH-ls,]]>rf0,rf1&Element;R{0,1}lf+l++lH]]>并計(jì)算T~|t:=R0rf0R1rf1Srv1S&prime;rv2modnr~f:=rf0+rf12lfmod&rho;N~t:=&zeta;r~fmod&Gamma;]]>TPM將 和 發(fā)送給主機(jī)。
      (b)TPM例如使用二進(jìn)制質(zhì)詢(xún)并重復(fù)較少的次數(shù)來(lái)向主機(jī)證明以下命題PK{(&alpha;,&beta;,&gamma;,&delta;):T~|t:=R0&alpha;R1&beta;SrS&prime;&delta;(modn)}]]>此證明示出 位于S生成的子群內(nèi)。將此證明運(yùn)行較少次數(shù)例如一次就足夠了,這是因?yàn)榇嬖谠S多相同的TPM。此外,可檢測(cè)TPM正確地運(yùn)行此協(xié)議。與加入?yún)f(xié)議中的情況類(lèi)似,應(yīng)指出,上述證明幾乎與下面的步驟內(nèi)主機(jī)和TPM共同計(jì)算的證明相同。實(shí)際上,主機(jī)可使用用于執(zhí)行下面的步驟的與TPM的接口來(lái)執(zhí)行上面的證明。就是說(shuō),不必為此在TPM中實(shí)現(xiàn)新的命令。但是,如果這樣做,則需要確保消息m在所有這些調(diào)用內(nèi)都相同。
      (c)主機(jī)選取隨機(jī)整數(shù)
      rh2&Element;R{0,1}lv+2l+lH-ls,rh0,rh1&Element;R{0,1}lf+2l+lH,]]>re&Element;R{0,1}le+l++lH,ree&Element;R{0,1}2le+l+lH+1,]]>rw,rr&Element;R{0,1}ln+l+lHrew,rer&Element;R{0,1}le+ln+l+lH+1]]>并計(jì)算T~1:=T~|tR0rh0R1rh1Srh2T1reh-rewmodn,T~2:=grwhreg&prime;rrmodn,---(34)]]>T~&prime;2:=T2-regrewhreeg&prime;rermodn,N~v:=N~t&zeta;rh0+2lfrh1mod&Gamma;---(35)]]>4.計(jì)算質(zhì)詢(xún)(a)TPM選擇隨機(jī)數(shù)nt(t)&Element;{0,1}l,]]>計(jì)算ht:=Hhk(nt(h))]]>并將ht發(fā)送給主機(jī)。
      (b)主機(jī)選擇隨機(jī)數(shù)nt(t)&Element;{0,1}l,]]>并將其發(fā)送給TPM。
      (c)主機(jī)計(jì)算ch:=Hhk((hk‖n‖g‖g′‖h‖R0‖R1‖S‖Z‖γ‖?!?‖ζ‖(T1‖T2)‖Nv||(T~1||T~2||T~&prime;2)||N~v))&Element;
      .]]>并將ch和ni發(fā)送給TPM。
      (d)TPM計(jì)算nt:=nt(t)+nt(h)mod2l]]>以及c:=Hhk(ch||nt||nv||b||m)&Element;
      .]]>并將c、nt發(fā)送給主機(jī)。
      (e)主機(jī)驗(yàn)證ht:=Hhk(nt-nt(h)mod2l)]]>5.計(jì)算對(duì)質(zhì)詢(xún)的響應(yīng)消息(a)TPM計(jì)算(在整數(shù)上)s&OverBar;v1:=LSBls(rv1+cv1)s&OverBar;&prime;v1:=CARls(rv1+cv1)s&OverBar;v2:=(rv2+cv2+s&prime;v1)]]>s&OverBar;f0:=rf0+cf0s&OverBar;f1:=rf1+cf1]]>并將(sv1,sv2,sf0′,sf1′)這些值發(fā)送給主機(jī)。(應(yīng)指出,sv1′一定不能被發(fā)送給主機(jī)。)(b)主機(jī)計(jì)算(在整數(shù)上)se:=re+c(e-2le)see:=ree+cee]]>
      sw:=rw+cw sew:=rew+cwesr:=rr+cr ser:=rer+cers&OverBar;v:=s&OverBar;v1+2lss&OverBar;v2sv:=rh2+cv(h)+s&OverBar;v]]>s&OverBar;f0:=rh0+cf0(h)+s&OverBar;f0sf1:=rh1+cf1(h)+s&OverBar;f1]]>并驗(yàn)證T~1&equiv; Z-cT1se+c2feR0sf0R1Shf1Ssvh-sew(modn),---(36)]]>N~v&equiv; Nv-c&zeta;sf0+sf12lfmod&Gamma;,---(37)]]>c= Hhk(ch||nt||nv||b||m)---(38)]]>Nv,&zeta;&Element; &lt;&gamma;>---(39)]]>s&OverBar;f0,s&OverBar;f1&Element; {0,1}lf+l+lH+1---(40)]]>s&OverBar;v&Element; {0,1}le+l+lH+1---(41)]]>并輸出簽名&sigma;:=(&zeta;,(T1,T2),Nv,c,nt,(sv,sf0,sf1,se,see,sw,sew,sr,ser)).---(42)]]>驗(yàn)證消息m的簽名σ驗(yàn)證者然后如在初始DAA協(xié)議內(nèi)所作的那樣驗(yàn)證簽名的正確性。因此,不需要在驗(yàn)證者或在驗(yàn)證者一側(cè)運(yùn)行的軟件上進(jìn)行改變。出于完整性而包括下面的說(shuō)明,以便示出如何成功地完成DAA協(xié)議。
      相對(duì)于公鑰(hk,n,g,g′,h,R0,R1,S,Z,γ,Γ,ρ)的消息m上的簽名&sigma;=(&zeta;,(T1,T2),Nv,c,nt,(sv,sf0,sf1,se,see,sw,sew,sr,ser)).---(43)]]>的驗(yàn)證包括以下步驟1.計(jì)算T~1:=Z-cT1se+c2leR0sf0R1Shf1Ssvh-sew(modn),---(44)]]>
      的驗(yàn)證包括以下步驟1.計(jì)算T~1:=Z-cT1se+c2leR0sf0R1Shf1Ssvh-sew(modn),---(44)]]>T~2:=T2-cgswhse+c2leg&prime;srmodn---(45)]]>T^&prime;2:=T2-(se+c2&prime;e)gsewhseeg&prime;sermodn,---(46)]]>和N~V:=NV-c&zeta;sf0+sf12lfmod&Gamma;.---(47)]]>2.驗(yàn)證c= Hhk(Hhk(hk||n||g||g&prime;||h||R0||R1||S||Z||&gamma;||&Gamma;||&rho;)||&zeta;||(T1||T2)||----(48)]]>NV||(T^1||T^2||T^&prime;2)||N~V)||nt||nv||b||m)]]>Nv,&zeta;&Element; &lt;&gamma;>---(49)]]>sf0,sf1&Element; {0,1}lf+2l+lH+1---(50)]]>se&Element; {0,1}le+l+lH+1---(50)]]>3.如果ζ不是隨機(jī)選擇的而是得自驗(yàn)證者基名bsn,則檢查是否&zeta;&equiv; (H&rho;(1||bsn))(&Gamma;-1)/&rho;(mod&Gamma;)]]>4.對(duì)于撤銷(xiāo)名單上的所有(f0,f1)檢查是否Nv&NotEqual; (&zeta;f0+f12lf)(mod&Gamma;).]]>應(yīng)指出,在這里,預(yù)計(jì)撤銷(xiāo)名單即包括先前已被識(shí)別為欺詐TPM的所有TPM的秘密參數(shù)f0和f1較短。因此,步驟4在計(jì)算上是可行的。
      標(biāo)號(hào)列表1主機(jī)系統(tǒng)2可信平臺(tái)模塊(TPM)3TPM的存儲(chǔ)器4TPM的處理單元5主機(jī)系統(tǒng)的存儲(chǔ)器6主機(jī)系統(tǒng)的存儲(chǔ)器7接口8頒發(fā)者9驗(yàn)證者10 數(shù)據(jù)網(wǎng)絡(luò)11 黑名單200 密鑰生成方法201-210 密鑰生成方法的步驟300-312 加入方法的步驟401-410 簽名方法的步驟f,r 秘密參數(shù)N假名U,T,s 消息ζ基ρ,Γ 子群的階&lt;S&gt; S生成的子群(A,e) 證書(shū)c質(zhì)詢(xún)
      σ 簽名PK 公鑰SK 私鑰EK 簽署密鑰bsn 基名
      權(quán)利要求
      1.一種密碼方法,包括-提供包括可信平臺(tái)模塊(TPM)(2)的主機(jī)系統(tǒng)(1),-由TPM(2)計(jì)算對(duì)消息(U)的第一貢獻(xiàn)(UT),該第一貢獻(xiàn)(UT)基于該TPM(2)內(nèi)存儲(chǔ)的第一秘密參數(shù)(fT),-由該主機(jī)系統(tǒng)(1)計(jì)算對(duì)該消息(U)的第二貢獻(xiàn)(UH),該第二貢獻(xiàn)(UH)基于存儲(chǔ)在該TPM(2)之外該主機(jī)系統(tǒng)(1)內(nèi)的第二秘密參數(shù)(fH),-由該主機(jī)(1)或該TPM(2)組合對(duì)該消息(U)的該第一(UT)和第二(UH)貢獻(xiàn),以及-執(zhí)行第一證明,該證明分別或者向該主機(jī)系統(tǒng)(1)證明該TPM(2)的貢獻(xiàn)(UT)計(jì)算正確,或者向該TPM(2)證明該主機(jī)(1)的貢獻(xiàn)(UH)計(jì)算正確。
      2.根據(jù)權(quán)利要求1的密碼方法,其中,所述執(zhí)行第一證明的步驟包括-將頒發(fā)者(8)的公鑰(PK1)提供給所述主機(jī)(1)和TPM(2),以及-分別證明對(duì)所述消息(U)的所述第一貢獻(xiàn)(UT)或者第二貢獻(xiàn)(UH)位于由該頒發(fā)者(8)的公鑰(PK1)的至少一部分定義的子群內(nèi)。
      3.根據(jù)權(quán)利要求1或2的密碼方法,其中,-所述主機(jī)系統(tǒng)(1)組合對(duì)所述消息(U)的所述第一(UT)和第二貢獻(xiàn)(UH),而所述TPM(2)執(zhí)行所述第一證明,向所述主機(jī)系統(tǒng)(1)證明該TPM(2)的貢獻(xiàn)(UT)計(jì)算正確,并且該方法還包括-基于所述第一參數(shù)(fT)和第二參數(shù)(fH)計(jì)算用于與頒發(fā)者(8)通信的假名(N1),-執(zhí)行第二證明,向該TPM(2)證明該假名(N1)計(jì)算正確,-如果該TPM(2)接受該第二證明,則由該TPM(2)使用存儲(chǔ)在該TPM(2)內(nèi)的秘密簽署密鑰(EK)鑒別該假名(N1),以及-如果該主機(jī)(1)接受該第一證明,則通過(guò)該主機(jī)(1)使該被鑒別的假名(N1,auth)和組合的消息(U)可用。
      4.根據(jù)權(quán)利要求3的密碼方法,其中,所述計(jì)算假名(N1)的步驟包括-將頒發(fā)者(8)的公鑰(PK1)提供給所述主機(jī)(1)和TPM(2),-該主機(jī)(1)基于該公鑰(PK1)的一部分選擇用于指數(shù)函數(shù)的計(jì)算的基(ζ1),并將該基(ζ1)傳遞給該TPM(2),-該TPM(2)基于該基(ζ1)和作為指數(shù)的所述第一參數(shù)(fT)計(jì)算該假名(N1)的第一貢獻(xiàn)(N1,T),并將該第一貢獻(xiàn)(N1,T)傳遞給主機(jī)(1),-該主機(jī)(1)基于該基(ζ1)和作為指數(shù)的所述第二參數(shù)(fH)計(jì)算該假名(N1)的第二貢獻(xiàn)(N1,H),以及-該主機(jī)(1)基于該第一和第二貢獻(xiàn)(N1,T,N1,H)的組合計(jì)算該假名(N1),并將該假名(N1)傳遞給該TPM(2)。
      5.根據(jù)權(quán)利要求3或4的密碼方法,其中,所述執(zhí)行第二證明的步驟包括-證明所述主機(jī)(1)和TPM(2)一起具有所述第一和第二參數(shù)(fT,fH)的知識(shí)。
      6.根據(jù)權(quán)利要求3到5中的任何一個(gè)的密碼方法,還包括-將所述被鑒別的假名(N1,auth)和消息(U)從所述主機(jī)(1)傳遞給頒發(fā)者(8),-執(zhí)行第三證明,由該主機(jī)(1)和TPM(2)向該頒發(fā)者(8)證明該被鑒別的假名(N1,auth)和消息(U)計(jì)算正確,-如果該頒發(fā)者(8)接受該第三證明,則該頒發(fā)者(8)為該假名(N1)生成證書(shū)(A,e),證明該假名(N1)是使用有效TPM(2)生成的并且被該頒發(fā)者(8)認(rèn)可,-將該證書(shū)(A,e)傳遞給該主機(jī)(1),以及-由該主機(jī)(1)解碼并存儲(chǔ)該證書(shū)(A,e)的第一部分(vH),和由該TPM(2)解碼并存儲(chǔ)該證書(shū)(A,e)的第二部分(vT)。
      7.根據(jù)權(quán)利要求6的密碼方法,其中,所述執(zhí)行第三證明的步驟包括-向所述頒發(fā)者證明使用了有效的簽署密鑰(EK)鑒別所述假名(N1),以及-證明該主機(jī)(1)和TPM(2)共同具有用于生成該假名(N1)和消息(U)的所述第一和第二參數(shù)(fT,fH)的知識(shí)。
      8.一種密碼方法,該方法包括-提供包括可信平臺(tái)模塊(TPM)(2)和匿名證明密鑰的主機(jī)系統(tǒng)(1),該匿名證明密鑰包括第一和第二參數(shù)(fT,fH)、第一假名(N1)和來(lái)自頒發(fā)者(8)的證書(shū)(A,e),其中,至少該第一參數(shù)(fT)存儲(chǔ)在TPM(2)內(nèi),而至少該第二參數(shù)(fH)存儲(chǔ)在TPM(2)之外,-基于用于生成用于與該頒發(fā)者(8)通信的該第一假名(N1)的該至少兩個(gè)參數(shù)(fT,fH),計(jì)算用于與該驗(yàn)證者(9)通信的第二假名(Nv),-至少基于該TPM(2)選擇的第一簽名參數(shù)(rT)和該主機(jī)(1)選擇的第二簽名參數(shù)(rH)計(jì)算簽名消息(T,s),-執(zhí)行第四證明,向該主機(jī)(1)證明基于該第一簽名參數(shù)(rT)的對(duì)該簽名消息(T,s)的第一貢獻(xiàn)是由該TPM(2)正確計(jì)算的,-通過(guò)基于該第二假名(Nv)和簽名消息(T,s)計(jì)算簽名(σ)來(lái)給消息(m)簽名,以及-如果該主機(jī)(1)接受該第四證明,則通過(guò)該主機(jī)(1)使該簽名(σ)可用。
      9.根據(jù)權(quán)利要求8的密碼方法,其中,所述計(jì)算第二假名(Nv)的步驟包括-所述主機(jī)(1)選擇用于指數(shù)函數(shù)的計(jì)算的基(ζv),并將該基(ζv)傳遞給所述TPM(2),-該TPM(2)基于該基(ζv)和作為指數(shù)的第一參數(shù)(fT)計(jì)算對(duì)該假名(Nv)的第一貢獻(xiàn)(Nv,T),并將該第一貢獻(xiàn)(Nv,T)傳遞給該主機(jī)(1),-該主機(jī)(1)基于該基(ζv)和作為指數(shù)的第二參數(shù)(fH)計(jì)算對(duì)該假名(Nv)的第二貢獻(xiàn)(Nv,H),以及-該主機(jī)(1)基于該第一和第二貢獻(xiàn)(Nv,T,Nv,H)的組合計(jì)算該假名(Nv),并將該假名(Nv)傳遞給該TPM(2)。
      10.根據(jù)權(quán)利要求8或9的密碼方法,其中,所述計(jì)算簽名消息(T,s)的步驟包括-計(jì)算第一簽名部分(T),-基于該第一簽名部分(T)計(jì)算質(zhì)詢(xún)(c),以及-基于該質(zhì)詢(xún)(c)計(jì)算第二簽名部分(s)。
      11.根據(jù)權(quán)利要求10的密碼方法,其中,所述計(jì)算第一簽名部分(T)的步驟包括-通過(guò)所述TPM(2)基于作為指數(shù)的所述第一簽名參數(shù)(rT)計(jì)算對(duì)該第一簽名部分(T)的第一貢獻(xiàn)(TT),并將該第一貢獻(xiàn)(TT)傳遞給所述主機(jī)(1),-該主機(jī)(1)基于作為指數(shù)的所述第二簽名參數(shù)(rH)計(jì)算對(duì)該第一簽名部分(T)的第二貢獻(xiàn)(TH),以及-該主機(jī)(1)基于該第一和第二貢獻(xiàn)(TT,TH)的組合計(jì)算第一簽名部分(T)。
      12.根據(jù)權(quán)利要求10或11的密碼方法,其中,所述執(zhí)行第四證明的步驟包括-將所述頒發(fā)者(8)的公鑰(PK1)提供給所述主機(jī)(1)和TPM(2),以及-證明所述第一簽名部分(T)的第一貢獻(xiàn)(TT)位于由該頒發(fā)者(8)的公鑰(PK1)的至少一部分定義的子群內(nèi)。
      13.根據(jù)權(quán)利要求8到12中的任何一個(gè)的密碼方法,還包括-將所述簽名(σ)和消息(m)從所述主機(jī)(1)傳遞給所述驗(yàn)證者(9),-驗(yàn)證該簽名(σ)相對(duì)于該消息(m)的正確性,以及-如果簽名(σ)可被驗(yàn)證為正確的,則該驗(yàn)證者(9)接受該消息(m)是有效的。
      14.根據(jù)權(quán)利要求8到13中的任何一個(gè)的密碼方法,其中,所述簽名包括值(σ)-向所述驗(yàn)證者(9)證明所述第二假名(Nv)是基于用于計(jì)算所述第一假名(N1)的兩個(gè)秘密參數(shù)(fT,fH),以及-向該驗(yàn)證者(9)證明所述主機(jī)(1)和TPM(2)共同具有該第一假名(N1)上的證書(shū)(A,e)的知識(shí)。
      15.主機(jī)系統(tǒng)(1),包括-可信平臺(tái)模塊(TPM)(2),該TPM(2)還包括第一存儲(chǔ)器(3)和第一處理單元(4),-在該TPM(2)外部的第二處理單元(6),以及-在TPM(2)外部的第二存儲(chǔ)器(5),從而-該第一處理單元(4)被配置成計(jì)算對(duì)消息(U)的第一貢獻(xiàn)(UT),該第一貢獻(xiàn)(UT)基于存儲(chǔ)在該第一存儲(chǔ)器(3)內(nèi)的第一秘密參數(shù)(fT),-該第二處理單元(6)被配置成計(jì)算對(duì)該消息(U)的第二貢獻(xiàn)(UH),該第二貢獻(xiàn)(UH)基于存儲(chǔ)在該第二存儲(chǔ)器(5)內(nèi)的第二秘密參數(shù)(fH),-該第一或第二處理單元(4,6)或者兩者被配置成組合對(duì)該消息(U)的該第一(UT)和第二(UH)貢獻(xiàn),并驗(yàn)證另一個(gè)處理單元(6,4)的關(guān)于它的貢獻(xiàn)(UH或UT)計(jì)算正確的證明。
      16.根據(jù)權(quán)利要求15的主機(jī)系統(tǒng)(1),其適于在所述TPM(2)內(nèi)生成第一隨機(jī)數(shù)并在該TPM(2)外生成第二隨機(jī)數(shù),從而該第一和第二數(shù)用作所述第一(fT)和第二秘密參數(shù)(fH)。
      17.根據(jù)權(quán)利要求15和16的主機(jī)系統(tǒng)(1),其適于生成用于加密或鑒別的不對(duì)稱(chēng)密鑰對(duì),從而所述消息(U)形成該密鑰的公共部分的至少一部分,而所述第一(fT)和第二(fH)參數(shù)形成該密鑰的私密部分的至少一部分。
      18.根據(jù)權(quán)利要求15到17中的任何一個(gè)的主機(jī)系統(tǒng)(1),其適于執(zhí)行權(quán)利要求1到5或8到12的方法中的任何一個(gè)。
      19.用于集成在主機(jī)系統(tǒng)(1)內(nèi)的可信平臺(tái)模塊(2),包括-處理單元(4),-存儲(chǔ)器(3),以及-與主機(jī)(1)的接口(7),從而該處理單元(4)適于-基于該存儲(chǔ)器(3)內(nèi)存儲(chǔ)的參數(shù)(fT)計(jì)算對(duì)消息(U)的貢獻(xiàn)(UT),-經(jīng)由該接口(7)將該貢獻(xiàn)(UT)傳遞給主機(jī)(1),以及-向該主機(jī)(1)證明該貢獻(xiàn)(UT)計(jì)算正確。
      20.根據(jù)權(quán)利要求19的可信平臺(tái)模塊(2),其中,所述處理單元(4)還適于-基于所述參數(shù)(fT)計(jì)算對(duì)假名的貢獻(xiàn)(NT),-經(jīng)由所述接口(7)將該貢獻(xiàn)(NT)傳遞給所述主機(jī)(1),以及-從該主機(jī)(1)請(qǐng)求和驗(yàn)證這樣的證明,即該貢獻(xiàn)(NT)已貢獻(xiàn)于經(jīng)由該接口(7)接收到的假名(N)。
      21.計(jì)算機(jī)安排,包括-具有內(nèi)置可信平臺(tái)模塊(2)的主機(jī)(1),-頒發(fā)者(8),-驗(yàn)證者(9),-該主機(jī)(1)和頒發(fā)者(8)之間的第一通信鏈路(10),以及-該主機(jī)(1)和驗(yàn)證者(9)之間的第二通信鏈路(10),該第一和第二通信鏈路(10)相同或不同,從而該計(jì)算機(jī)安排適于執(zhí)行根據(jù)權(quán)利要求1到14中的任何一個(gè)的密碼方法。
      22.一種包括計(jì)算機(jī)可讀介質(zhì)的計(jì)算機(jī)程序產(chǎn)品,該計(jì)算機(jī)可讀介質(zhì)包含可由主機(jī)系統(tǒng)(1)執(zhí)行以完成以下操作的程序指令-從可信平臺(tái)模塊(TPM)(2)請(qǐng)求對(duì)消息(U)的第一貢獻(xiàn)(UT),-驗(yàn)證該第一貢獻(xiàn)(UT)是由TPM(2)正確計(jì)算的,-基于該計(jì)算機(jī)程序選擇的秘密參數(shù)(fH)計(jì)算對(duì)該消息(U)的第二貢獻(xiàn)(UH),-組合對(duì)該消息(U)的該第一(UT)和第二(UH)貢獻(xiàn),以及-如果該第一貢獻(xiàn)(UT)的驗(yàn)證成功則使該消息(U)可用。
      23.根據(jù)權(quán)利要求22的計(jì)算機(jī)程序產(chǎn)品,還具有另外的執(zhí)行以下操作的程序指令-從可信平臺(tái)模塊(TPM)(2)請(qǐng)求對(duì)假名(N1)的第一貢獻(xiàn)(N1,T),-基于該計(jì)算機(jī)程序選擇的秘密參數(shù)(fH)計(jì)算對(duì)該假名(N1)的第二貢獻(xiàn)(N1,H),-組合對(duì)該假名(N1)的該第一(N1,T)和第二(N1,H)貢獻(xiàn),以及-在請(qǐng)求時(shí)向該TPM(2)證明該第一貢獻(xiàn)(N1,T)已貢獻(xiàn)于該假名(N1)。
      24.一種包含程序指令的計(jì)算機(jī)程序,當(dāng)該程序在主機(jī)系統(tǒng)(1)上運(yùn)行時(shí)所述程序指令適于執(zhí)行權(quán)利要求1到14中的一個(gè)的由主機(jī)系統(tǒng)(1)執(zhí)行的所有步驟。
      全文摘要
      本發(fā)明涉及用于包括可信平臺(tái)模塊(TPM)(2)的主機(jī)系統(tǒng)(1)的密碼方法。TPM(2)計(jì)算對(duì)消息(U)的第一貢獻(xiàn)(U
      文檔編號(hào)H04L9/30GK1941699SQ20061011599
      公開(kāi)日2007年4月4日 申請(qǐng)日期2006年8月22日 優(yōu)先權(quán)日2005年9月29日
      發(fā)明者J·L·卡梅尼施 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司
      網(wǎng)友詢(xún)問(wèn)留言 已有0條留言
      • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1