一種可信自助服務(wù)系統(tǒng)的制作方法
【專(zhuān)利摘要】本申請(qǐng)?zhí)峁┮环N可信自助服務(wù)系統(tǒng)���,其特征在于,包括自助終端�、服務(wù)端和平臺(tái)信任服務(wù)模塊���;其中,所述自助終端�����,包括:第一發(fā)送模塊�,用于向所述服務(wù)端發(fā)送終端在平臺(tái)的身份信息;所述服務(wù)端��,包括:第一接收模塊��,用于接收來(lái)自所述自助終端的所述終端在平臺(tái)的身份信息����;第二發(fā)送模塊,用于將所述第一接收模塊接收到的所述終端在平臺(tái)的身份信息發(fā)送給所述平臺(tái)信任服務(wù)模塊��。
【專(zhuān)利說(shuō)明】一種可信自助服務(wù)系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)技術(shù)和信息安全領(lǐng)域���,具體涉及一種可信自助服務(wù)系統(tǒng)。
【背景技術(shù)】
[0002]隨著分布式系統(tǒng)的迅速發(fā)展���,自助服務(wù)終端已廣泛應(yīng)用于銀行���、電信�����、電力��、醫(yī)療�����、航空和零售等行業(yè)��。由于自助服務(wù)終端長(zhǎng)時(shí)間處于無(wú)人看管的狀態(tài)���,面臨著計(jì)算機(jī)病毒、惡意軟件和黑客攻擊等安全威脅���,惡意用戶(hù)甚至?xí)ㄟ^(guò)控制自助服務(wù)終端實(shí)施攻擊���,篡改自助服務(wù)終端的軟件和輸入輸出硬件設(shè)備,進(jìn)而上報(bào)虛假信息或盜取其他用戶(hù)的私密信息�����。因此,能否保障自助服務(wù)終端處于可信狀態(tài)�,進(jìn)而保障自助服務(wù)的安全可靠,是當(dāng)前自助服務(wù)終端研究����、生產(chǎn)和應(yīng)用領(lǐng)域面臨的主要問(wèn)題之一。
[0003]可信計(jì)算技術(shù)從體系結(jié)構(gòu)入手�����,為構(gòu)建自助終端的可信環(huán)境提供了一種全新的體系結(jié)構(gòu)級(jí)解決方案�����??尚庞?jì)算技術(shù)引入安全芯片作為平臺(tái)信任根,建立平臺(tái)信任鏈����,從而保證計(jì)算平臺(tái)可信。此外����,安全芯片作為終端身份的唯一標(biāo)識(shí)����,通過(guò)對(duì)終端身份和環(huán)境的證明驗(yàn)證進(jìn)一步保證分布式環(huán)境中系統(tǒng)應(yīng)用的安全��。
[0004]遠(yuǎn)程證明是可信計(jì)算技術(shù)提供的核心功能���,TCG(Trusted Computing Group,可信計(jì)算組織提供了兩種遠(yuǎn)程證明方案:基于可信第三方隱私CA (Certificate Authority,證書(shū)授權(quán)機(jī)構(gòu))的證明方案和直接匿名證明方案����。
[0005]其中,基于可信第三方隱私CA的證明方案通過(guò)隱私CA實(shí)現(xiàn)通信����,在完成終端在平臺(tái)的身份認(rèn)證的同時(shí),保證終端身份的匿名性�����。然而�,在該方案中,隱私CA容易成為系統(tǒng)的瓶頸���,如果攻擊方攻破了隱私CA或者與隱私CA合謀���,終端身份的匿名性必將遭到破壞���。直接匿名證明方案通過(guò)采用數(shù)字簽名等密碼學(xué)機(jī)制,雖然解決了遠(yuǎn)程證明時(shí)可信計(jì)算終端身份的隱私保護(hù)問(wèn)題���,但仍然存在很多性能缺陷和安全問(wèn)題���。
【發(fā)明內(nèi)容】
[0006]本發(fā)明提供了一種可信自助服務(wù)系統(tǒng)及其建立方法,以解決現(xiàn)有技術(shù)中的性能缺陷和安全問(wèn)題��。
[0007]本發(fā)明提供了一種可信自助服務(wù)系統(tǒng)的建立方法�����,包括以下步驟:
[0008]自助終端向服務(wù)端發(fā)送終端在平臺(tái)的身份信息��,所述服務(wù)端將所述終端在平臺(tái)的身份信息發(fā)送給平臺(tái)信任服務(wù)模塊���;
[0009]所述平臺(tái)信任服務(wù)模塊判斷所述終端在平臺(tái)的身份信息是否對(duì)應(yīng)一個(gè)有效的密碼模塊密鑰���,如果是,所述平臺(tái)信任服務(wù)模塊向所述服務(wù)端發(fā)送驗(yàn)證成功消息���,所述服務(wù)端允許所述自助終端的訪(fǎng)問(wèn)���;否則,所述平臺(tái)信任服務(wù)模塊向所述服務(wù)端發(fā)送驗(yàn)證失敗消息��,所述服務(wù)端拒絕所述自助終端的訪(fǎng)問(wèn)��。
[0010]可選地���,所述服務(wù)端允許所述自助終端的訪(fǎng)問(wèn)之后����,還包括:
[0011]所述服務(wù)端向所述自助終端發(fā)送安全要求信息��;
[0012]所述自助終端從所述安全要求信息中提取安全屬性�����,根據(jù)所述安全屬性生成映射關(guān)系獲取請(qǐng)求����,將所述映射關(guān)系獲取請(qǐng)求發(fā)送給所述平臺(tái)信任服務(wù)模塊;
[0013]所述平臺(tái)信任服務(wù)模塊根據(jù)所述映射關(guān)系獲取請(qǐng)求��,獲取安全屬性,根據(jù)所述安全屬性�����,查詢(xún)對(duì)應(yīng)的屬性映射關(guān)系證書(shū)和最新的證書(shū)撤銷(xiāo)列表�����,將查詢(xún)到的屬性映射關(guān)系證書(shū)和證書(shū)撤銷(xiāo)列表發(fā)送給所述自助終端��;
[0014]所述自助終端基于所述屬性映射關(guān)系證書(shū)和所述證書(shū)撤銷(xiāo)列表����,與所述服務(wù)端進(jìn)行平臺(tái)完整性的遠(yuǎn)程證明。
[0015]可選地���,所述自助終端通過(guò)所述服務(wù)端向所述平臺(tái)信任服務(wù)模塊發(fā)送終端在平臺(tái)的身份信息之前�����,還包括:
[0016]所述自助終端向所述服務(wù)端發(fā)送終端在平臺(tái)的身份密鑰證書(shū)��;
[0017]所述服務(wù)端向所述自助終端發(fā)送隨機(jī)數(shù)和遠(yuǎn)程證明請(qǐng)求����;
[0018]所述自助終端獲取完整性度量結(jié)果,使用所述終端在平臺(tái)的身份密鑰證書(shū)和所述隨機(jī)數(shù)對(duì)所述完整性度量結(jié)果進(jìn)行簽名���,得到簽名結(jié)果�;
[0019]所述自助終端對(duì)所述完整性度量結(jié)果和所述簽名結(jié)果進(jìn)行組合����,將組合得到的遠(yuǎn)程證明結(jié)果發(fā)送給所述服務(wù)端����;
[0020]所述服務(wù)端從所述遠(yuǎn)程證明結(jié)果中獲取所述簽名結(jié)果和所述完整性度量結(jié)果,并在使用所述隨機(jī)數(shù)和所述終端在平臺(tái)的身份密鑰證書(shū)對(duì)所述簽名結(jié)果驗(yàn)證通過(guò)后��,根據(jù)所述完整性度量結(jié)果�,對(duì)所述自助終端進(jìn)行完整性評(píng)估,將得到的完整性評(píng)估結(jié)果發(fā)送給所述自助終端����。
[0021]可選地,所述服務(wù)端向所述自助終端發(fā)送隨機(jī)數(shù)和遠(yuǎn)程證明請(qǐng)求之前���,還包括:
[0022]所述服務(wù)端對(duì)所述終端在平臺(tái)的身份密鑰證書(shū)進(jìn)行驗(yàn)證���;
[0023]所述服務(wù)端向所述自助終端發(fā)送隨機(jī)數(shù)和遠(yuǎn)程證明請(qǐng)求��,具體為:
[0024]如果所述服務(wù)端對(duì)所述終端在平臺(tái)的身份密鑰證書(shū)驗(yàn)證通過(guò)����,所述服務(wù)端向所述自助終端發(fā)送隨機(jī)數(shù)和遠(yuǎn)程證明請(qǐng)求����;
[0025]所述服務(wù)端對(duì)所述終端在平臺(tái)的身份密鑰證書(shū)進(jìn)行驗(yàn)證之后,還包括:
[0026]如果所述服務(wù)端對(duì)所述終端在平臺(tái)的身份密鑰證書(shū)驗(yàn)證未通過(guò)�,所述服務(wù)端斷開(kāi)與所述自助終端之間的連接。
[0027]可選地�����,所述自助終端向所述服務(wù)端發(fā)送終端在平臺(tái)的身份密鑰證書(shū)之前�,還包括:
[0028]所述自助終端中的操作系統(tǒng)內(nèi)核計(jì)算所述自助終端中的組件的完整性度量值,將所述完整性度量值添加到度量日志列表中�;
[0029]所述自助終端獲取完整性度量結(jié)果,具體為:
[0030]所述自助終端從所述度量日志列表中讀取完整性度量值����,作為完整性度量結(jié)果。
[0031]可選地����,所述組件為用戶(hù)進(jìn)程���;
[0032]所述操作系統(tǒng)內(nèi)核計(jì)算所述組件的完整性度量值,具體為:
[0033]所述操作系統(tǒng)內(nèi)核判斷所述度量日志列表中是否包含所述用戶(hù)進(jìn)程的完整性度量值���;
[0034]如果所述度量日志列表中不包含所述用戶(hù)進(jìn)程的完整性度量值�����,所述操作系統(tǒng)內(nèi)核計(jì)算所述用戶(hù)進(jìn)程的完整性度量值��,將所述用戶(hù)進(jìn)程的完整性度量值添加到所述度量日志列表中;
[0035]如果所述度量日志列表中包含所述用戶(hù)進(jìn)程�,且dirty位置位,所述操作系統(tǒng)內(nèi)核計(jì)算所述用戶(hù)進(jìn)程的完整性度量值�,并在判斷出所述用戶(hù)進(jìn)程的完整性度量值與所述度量日志列表中與所述用戶(hù)進(jìn)程對(duì)應(yīng)的完整性度量值不相等之后,將所述度量日志列表中與所述用戶(hù)進(jìn)程對(duì)應(yīng)的完整性度量值刪除�����,將計(jì)算得到的所述用戶(hù)進(jìn)程的完整性度量值添加到所述度量日志列表中����。
[0036]可選地,所述自助終端內(nèi)置有安全芯片���,所述度量日志列表存儲(chǔ)在所述安全芯片的平臺(tái)配置寄存器中�。
[0037]可選地,所述操作系統(tǒng)內(nèi)核計(jì)算所述組件的完整性度量值之前��,還包括:
[0038]所述安全芯片對(duì)基本輸入輸出系統(tǒng)進(jìn)行可信度量���,并在驗(yàn)證出所述基本輸入輸出系統(tǒng)可信后���,將系統(tǒng)控制權(quán)轉(zhuǎn)移給所述基本輸入輸出系統(tǒng);
[0039]所述基本輸入輸出系統(tǒng)對(duì)主引導(dǎo)記錄進(jìn)行可信度量�,并在驗(yàn)證出所述主引導(dǎo)記錄可信后,將系統(tǒng)控制權(quán)轉(zhuǎn)移給所述主引導(dǎo)記錄��;
[0040]所述主引導(dǎo)記錄對(duì)操作系統(tǒng)裝載程序進(jìn)行可信度量�����,并在驗(yàn)證出所述操作系統(tǒng)裝載程序可信后��,將系統(tǒng)控制權(quán)轉(zhuǎn)移給所述操作系統(tǒng)裝載程序�����;
[0041]所述操作系統(tǒng)裝載程序?qū)λ霾僮飨到y(tǒng)內(nèi)核進(jìn)行可信度量����,并在驗(yàn)證出所述操作系統(tǒng)內(nèi)核可信后�,將系統(tǒng)控制權(quán)轉(zhuǎn)移給所述操作系統(tǒng)內(nèi)核�。
[0042]本發(fā)明還提供了一種可信自助服務(wù)系統(tǒng),包括自助終端����、服務(wù)端和平臺(tái)信任服務(wù)模塊;
[0043]其中�,所述自助終端,包括:
[0044]第一發(fā)送模塊����,用于向所述服務(wù)端發(fā)送終端在平臺(tái)的身份信息;
[0045]所述服務(wù)端����,包括:
[0046]第一接收模塊����,用于接收來(lái)自所述自助終端的所述終端在平臺(tái)的身份信息;
[0047]第二發(fā)送模塊���,用于將所述第一接收模塊接收到的所述終端在平臺(tái)的身份信息發(fā)送給所述平臺(tái)信任服務(wù)模塊����;
[0048]所述平臺(tái)信任服務(wù)模塊,包括:
[0049]第二接收模塊�,用于接收來(lái)自所述服務(wù)端的所述終端在平臺(tái)的身份信息;
[0050]判斷模塊���,用于判斷所述第二接收模塊接收到的所述終端在平臺(tái)的身份信息是否對(duì)應(yīng)一個(gè)有效的密碼模塊密鑰�;
[0051]第三發(fā)送模塊���,用于在所述判斷模塊判斷出所述終端在平臺(tái)的身份信息對(duì)應(yīng)一個(gè)有效的密碼模塊密鑰時(shí)��,向所述服務(wù)端發(fā)送驗(yàn)證成功消息���;在所述判斷模塊判斷出所述終端在平臺(tái)的身份信息沒(méi)有對(duì)應(yīng)一個(gè)有效的密碼模塊密鑰時(shí),向所述服務(wù)端發(fā)送驗(yàn)證失敗消息�;
[0052]所述服務(wù)端,還包括:
[0053]第三接收模塊�����,用于接收來(lái)自所述平臺(tái)信任服務(wù)模塊的驗(yàn)證成功消息和驗(yàn)證失敗消息��;
[0054]控制模塊,用于在所述第三接收模塊接收到所述驗(yàn)證成功消息后�����,允許所述自助終端的訪(fǎng)問(wèn)�;在所述第三接收模塊接收到所述驗(yàn)證失敗消息后,拒絕所述自助終端的訪(fǎng)問(wèn)��。
[0055]本發(fā)明還提供了一種可信自助服務(wù)系統(tǒng)�,包括自助終端和服務(wù)端,所述自助終端包括安全芯片��、可信度量組件和可信接入客戶(hù)端�����,所述服務(wù)端包括可信接入服務(wù)端��;
[0056]所述安全芯片�,用于進(jìn)行完整性度量,將度量結(jié)果存儲(chǔ)到平臺(tái)配置寄存器中�����,并生成度量日志����;
[0057]所述可信度量組件,與所述安全芯片連接�,用于與所述安全芯片進(jìn)行交互,獲取所述安全芯片生成的度量日志��,從所述平臺(tái)配置寄存器中讀取度量結(jié)果����,獲取終端在平臺(tái)的身份密鑰的公鑰、對(duì)所述公鑰的簽名以及對(duì)所述度量結(jié)果的密鑰簽名���;
[0058]所述可信接入客戶(hù)端����,與所述可信度量組件連接�����,用于通過(guò)所述可信度量組件獲取所述終端在平臺(tái)的身份密鑰的公鑰���、對(duì)所述公鑰的簽名�����、所述度量日志��、所述度量結(jié)果以及對(duì)所述度量結(jié)果的密鑰簽名�,根據(jù)所述終端在平臺(tái)的身份密鑰的公鑰、對(duì)所述公鑰的簽名�、所述度量日志、所述度量結(jié)果以及對(duì)所述度量結(jié)果的密鑰簽名�����,組裝成遠(yuǎn)程證明協(xié)議消息�����,將所述遠(yuǎn)程證明協(xié)議消息發(fā)送給所述可信接入服務(wù)端���;
[0059]所述可信接入服務(wù)端�����,用于接收來(lái)自所述自助終端的遠(yuǎn)程證明協(xié)議消息�����,根據(jù)所述遠(yuǎn)程證明協(xié)議消息對(duì)所述自助終端的身份和完整性進(jìn)行認(rèn)證���。
[0060]可選地,所述可信接入服務(wù)端��,還用于與自助終端建立安全外殼信息通道���,通過(guò)所述安全外殼信息通道與所述服務(wù)端進(jìn)行通信�。
[0061]可選地�����,所述服務(wù)端�,還包括:
[0062]可信接入管理系統(tǒng),與所述可信接入服務(wù)端連接��,用于配置完整性安全策略���,并向所述可信接入服務(wù)端提供對(duì)終端在平臺(tái)的身份和度量日志進(jìn)行認(rèn)證的接口����。
[0063]可選地�,所述可信接入管理系統(tǒng)為用戶(hù)交互界面系統(tǒng),具體用于以用戶(hù)交互界面的方式為管理員提供配置完整性策略和查看可信連接日志等功能��,并通過(guò)WebService方法為所述可信接入服務(wù)端提供驗(yàn)證所述自助終端的平臺(tái)身份、度量過(guò)程和度量結(jié)果是否合法的接口 �����;
[0064]所述可信接入服務(wù)端�����,具體用于通過(guò)調(diào)用所述可信接入管理系統(tǒng)提供的WebService方法����,對(duì)所述終端在平臺(tái)的身份密鑰的公鑰的簽名進(jìn)行驗(yàn)證,判斷所述自助終端的身份是否合法��,如果所述自助終端的身份不合法�����,則斷開(kāi)與所述自助終端之間的連接���;通過(guò)調(diào)用所述可信接入管理系統(tǒng)提供的WebService方法�����,對(duì)所述度量結(jié)果的密鑰簽名進(jìn)行驗(yàn)證�,判斷所述度量結(jié)果是否為偽造或被篡改過(guò),如果所述度量結(jié)果為偽造或被篡改過(guò)����,則斷開(kāi)與所述自助終端之間的連接���;通過(guò)調(diào)用所述可信接入管理系統(tǒng)提供的WebService方法��,對(duì)所述度量日志進(jìn)行驗(yàn)證�����,判斷所述度量日志是否被篡改過(guò)以及所述自助終端的完整性是否滿(mǎn)足安全策略���,如果所述度量日志被篡改過(guò),或者所述自助終端的完整性不滿(mǎn)足安全策略���,則斷開(kāi)與所述自助終端之間的連接�。
[0065]本發(fā)明提供的可信自助服務(wù)系統(tǒng)中��,自助終端通過(guò)內(nèi)置的安全芯片進(jìn)行完整性度量�����,并根據(jù)度量結(jié)果和終端在平臺(tái)的身份密鑰,與服務(wù)端進(jìn)行認(rèn)證����,向服務(wù)端證明自身的平臺(tái)身份和配置狀態(tài)可信,使得終端可信擴(kuò)展至自助終端與服務(wù)端之間�����,提高了可信自助服務(wù)系統(tǒng)的安全性���。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0066]圖1為本發(fā)明實(shí)施例中的一種可信引導(dǎo)流程圖����;
[0067]圖2為本發(fā)明實(shí)施例中的一種完整性度量流程圖�����;
[0068]圖3為本發(fā)明實(shí)施例中的一種遠(yuǎn)程證明流程圖����;
[0069]圖4為本發(fā)明實(shí)施例中的一種終端在平臺(tái)的身份認(rèn)證流程圖;
[0070]圖5為本發(fā)明實(shí)施例中的一種平臺(tái)完整性證明流程圖�����;
[0071]圖6為本發(fā)明實(shí)施例中的一種可信自助服務(wù)系統(tǒng)的結(jié)構(gòu)示意圖;
[0072]圖7為本發(fā)明實(shí)施例中的另一種可信自助服務(wù)系統(tǒng)的系統(tǒng)結(jié)構(gòu)示意圖�����。
【具體實(shí)施方式】
[0073]下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�、完整地描述,顯然�����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�,而不是全部的實(shí)施例?����;诒景l(fā)明中的實(shí)施例����,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍����。
[0074]需要說(shuō)明的是���,如果不沖突,本發(fā)明實(shí)施例以及實(shí)施例中的各個(gè)特征可以相互結(jié)合��,均在本發(fā)明的保護(hù)范圍之內(nèi)��。另外��,雖然在流程圖中示出了邏輯順序�����,但是在某些情況下���,可以以不同于此處的順序執(zhí)行所示出或描述的步驟���。
[0075]本發(fā)明實(shí)施例提供了一種可信自助服務(wù)系統(tǒng)的建立方法,自助終端通過(guò)內(nèi)置的安全芯片進(jìn)行可信引導(dǎo)和完整性度量���,根據(jù)完整性度量結(jié)果與服務(wù)端進(jìn)行遠(yuǎn)程證明���,得到服務(wù)端對(duì)自助終端的完整性評(píng)估結(jié)果����;自助終端向服務(wù)端發(fā)起訪(fǎng)問(wèn)請(qǐng)求時(shí)�����,通過(guò)向服務(wù)端發(fā)送終端在平臺(tái)的身份信息進(jìn)行身份認(rèn)證��,并在被服務(wù)端允許訪(fǎng)問(wèn)后��,根據(jù)來(lái)自服務(wù)端的安全屬性�,從平臺(tái)信任服務(wù)獲取屬性映射關(guān)系證書(shū)和證書(shū)撤銷(xiāo)列表�,基于屬性映射關(guān)系證書(shū)和證書(shū)撤銷(xiāo)列表,與服務(wù)端進(jìn)行平臺(tái)完整性的遠(yuǎn)程證明�。
[0076]本發(fā)明實(shí)施例中,自助終端上電后���,以?xún)?nèi)置的安全芯片作為信任根�����,執(zhí)行如圖1所示的可信引導(dǎo)流程��,包括以下步驟:
[0077]步驟101,安全芯片對(duì)B1S (Basic Input Output System,基本輸入輸出系統(tǒng))進(jìn)行可信度量��,驗(yàn)證B1S是否可信����,如果是,則執(zhí)行步驟102 ;否則�,提示可信引導(dǎo)失敗,結(jié)束流程����。
[0078]步驟102,安全芯片將系統(tǒng)控制權(quán)轉(zhuǎn)移給B1S�。
[0079]步驟103,B1S對(duì)MBR(Main Boot Record�,主引導(dǎo)記錄)進(jìn)行可信度量,驗(yàn)證MBR是否可信�,如果是,則執(zhí)行步驟104 ;否則�,提示可信引導(dǎo)失敗,結(jié)束流程�����。
[0080]具體地����,B1S通過(guò)調(diào)用安全芯片對(duì)MBR進(jìn)行可信度量�����,驗(yàn)證MBR是否可信���。
[0081]步驟104,B1S將系統(tǒng)控制權(quán)轉(zhuǎn)移給MBR�。
[0082]步驟105,MBR對(duì)操作系統(tǒng)裝載程序進(jìn)行可信度量�����,驗(yàn)證操作系統(tǒng)裝載程序是否可信���,如果是���,則執(zhí)行步驟106 ;否則�����,提示可信引導(dǎo)失敗�,結(jié)束流程。
[0083]具體地,MBR通過(guò)調(diào)用安全芯片對(duì)操作系統(tǒng)裝載程序進(jìn)行可信度量�,驗(yàn)證操作系統(tǒng)裝載程序是否可信。
[0084]步驟106����,MBR將系統(tǒng)控制權(quán)轉(zhuǎn)移給操作系統(tǒng)裝載程序。
[0085]步驟107����,操作系統(tǒng)裝載程序?qū)Σ僮飨到y(tǒng)內(nèi)核進(jìn)行可信度量,驗(yàn)證操作系統(tǒng)內(nèi)核是否可信��,如果是�,則執(zhí)行步驟108 ;否則,提示可信引導(dǎo)失敗�,結(jié)束流程。
[0086]具體地��,操作系統(tǒng)裝載程序通過(guò)調(diào)用安全芯片對(duì)操作系統(tǒng)內(nèi)核進(jìn)行可信度量�����,驗(yàn)證操作系統(tǒng)內(nèi)核是否可信���。
[0087]步驟108��,操作系統(tǒng)裝載程序?qū)⑾到y(tǒng)控制權(quán)轉(zhuǎn)移給操作系統(tǒng)內(nèi)核�。
[0088]自助終端以安全芯片為信任根,從底層硬件出發(fā)���,通過(guò)逐層度量和驗(yàn)證���,建立到達(dá)操作系統(tǒng)啟動(dòng)的信任鏈,能夠?yàn)樽灾K端的操作系統(tǒng)建立可信的運(yùn)行環(huán)境�。
[0089]進(jìn)一步地,操作系統(tǒng)內(nèi)核取得系統(tǒng)控制權(quán)之后�����,對(duì)組件映射到內(nèi)存中的內(nèi)容進(jìn)行加載�,并對(duì)組件執(zhí)行如圖2所示的完整性度量流程,包括以下步驟:
[0090]步驟201�,操作系統(tǒng)內(nèi)核對(duì)組件進(jìn)行判斷,如果是內(nèi)核模塊����,則執(zhí)行步驟202 ;如果是用戶(hù)進(jìn)程�����,則執(zhí)行步驟203。
[0091]步驟202����,操作系統(tǒng)內(nèi)核計(jì)算內(nèi)核模塊的完整性度量值,將內(nèi)核模塊的完整性度量值添加到度量日志列表中�����。
[0092]具體地��,操作系統(tǒng)內(nèi)核采用SM3算法��,對(duì)內(nèi)核模塊進(jìn)行計(jì)算���,將計(jì)算得到的SM3散列值作為內(nèi)核模塊的完整性度量值��,并將內(nèi)核模塊的完整性度量值和內(nèi)核模塊的標(biāo)識(shí)信息作為新的度量日志項(xiàng)����,添加到度量日志列表中��。
[0093]其中�����,內(nèi)核模塊的標(biāo)識(shí)信息是能夠唯一標(biāo)識(shí)內(nèi)核模塊的信息,可以是內(nèi)核模塊的名稱(chēng)�,也可以是內(nèi)核模塊的編號(hào)等信息。度量日志列表存儲(chǔ)在安全芯片的PCR(PlatformConfigurat1n Register,平臺(tái)配置寄存器)中�����。
[0094]步驟203��,操作系統(tǒng)內(nèi)核判斷度量日志列表中是否包含用戶(hù)進(jìn)程����,如果是,則執(zhí)行步驟205 ;否則�����,執(zhí)行步驟204�����。
[0095]具體地�����,操作系統(tǒng)內(nèi)核遍歷度量日志列表中的各個(gè)度量日志項(xiàng),判斷各個(gè)度量日志項(xiàng)是否包含用戶(hù)進(jìn)程的標(biāo)識(shí)信息����,如果度量日志列表中存在包含用戶(hù)進(jìn)程的標(biāo)識(shí)信息的度量日志項(xiàng)�����,則確定度量日志列表中包含用戶(hù)進(jìn)程的完整性度量值���;否則����,確定度量日志列表中不包含用戶(hù)進(jìn)程的完整性度量值�。
[0096]其中,用戶(hù)進(jìn)程的標(biāo)識(shí)信息是能夠唯一標(biāo)識(shí)用戶(hù)進(jìn)程的信息�,可以是用戶(hù)進(jìn)程的名稱(chēng),也可以是用戶(hù)進(jìn)程的編號(hào)等信息�。
[0097]步驟204,操作系統(tǒng)內(nèi)核計(jì)算用戶(hù)進(jìn)程的完整性度量值��,將用戶(hù)進(jìn)程的完整性度量值添加到度量日志列表中����。
[0098]具體地,操作系統(tǒng)內(nèi)核采用SM3算法����,對(duì)用戶(hù)進(jìn)程進(jìn)行計(jì)算���,將計(jì)算得到的SM3散列值作為用戶(hù)進(jìn)程的完整性度量值,并將用戶(hù)進(jìn)程的完整性度量值和用戶(hù)進(jìn)程的標(biāo)識(shí)信息作為新的度量日志項(xiàng)��,添加到度量日志列表中��。
[0099]步驟205���,操作系統(tǒng)內(nèi)核判斷dirty位是否置位��,如果是���,則執(zhí)行步驟206 ;否則,確定完整性度量完畢�����。
[0100]步驟206�,操作系統(tǒng)內(nèi)核計(jì)算用戶(hù)進(jìn)程的完整性度量值。
[0101]具體地�,操作系統(tǒng)內(nèi)核采用SM3算法,對(duì)用戶(hù)進(jìn)程進(jìn)行計(jì)算,將計(jì)算得到的SM3散列值作為用戶(hù)進(jìn)程的完整性度量值����。
[0102]步驟207,操作系統(tǒng)內(nèi)核判斷的用戶(hù)進(jìn)程的完整性度量值是否與度量日志列表中與該用戶(hù)進(jìn)程對(duì)應(yīng)的完整性度量值相等���,如果是,則確定完整性度量完畢�����;否則���,執(zhí)行步驟208��。
[0103]步驟208���,操作系統(tǒng)內(nèi)核將度量日志列表中與用戶(hù)進(jìn)程對(duì)應(yīng)的完整性度量值刪除,將計(jì)算得到的用戶(hù)進(jìn)程的完整性度量值添加到度量日志列表中���。
[0104]具體地�����,操作系統(tǒng)內(nèi)核將度量日志列表中與用戶(hù)進(jìn)程對(duì)應(yīng)的度量日志項(xiàng)刪除����,并將用戶(hù)進(jìn)程的標(biāo)識(shí)信息和計(jì)算得到的用戶(hù)進(jìn)程的完整性度量值作為新的度量日志項(xiàng),添加到度量日志列表中����。
[0105]自助終端通過(guò)操作系統(tǒng)內(nèi)核對(duì)各個(gè)組件進(jìn)行完整性度量,并將得到的完整性度量值保存到的安全芯片的PCR中�,從而防止攻擊者篡改完整性度量值,保證PCR中的完整性度量值能夠真實(shí)反映自助終端的狀態(tài)����。
[0106]進(jìn)一步地,自助終端完成可信引導(dǎo)和完整性度量后�����,執(zhí)行如圖3所示的遠(yuǎn)程證明流程�����,包括以下步驟:
[0107]步驟301,自助終端向服務(wù)端發(fā)送PIK(Platform Identity Key,終端在平臺(tái)的身份密鑰)證書(shū)���。
[0108]步驟302�����,服務(wù)端對(duì)接收到的PIK證書(shū)進(jìn)行驗(yàn)證�,如果驗(yàn)證通過(guò),則執(zhí)行步驟303 ���;否則���,斷開(kāi)與自助終端之間的連接��,結(jié)束流程����。
[0109]步驟303,服務(wù)端向自助終端發(fā)送隨機(jī)數(shù)和遠(yuǎn)程證明請(qǐng)求���。
[0110]步驟304�����,自助終端獲取完整性度量結(jié)果�����。
[0111]具體地�,自助終端從PCR的度量日志列表中讀取完整性度量值,作為完整性度量結(jié)果��。
[0112]步驟305����,自助終端使用PIK證書(shū)和隨機(jī)數(shù)對(duì)完整性度量結(jié)果進(jìn)行簽名,得到簽名結(jié)果��。
[0113]步驟306����,自助終端對(duì)完整性度量結(jié)果和簽名結(jié)果進(jìn)行組合,將組合得到的遠(yuǎn)程證明結(jié)果發(fā)送給服務(wù)端��。
[0114]步驟307�����,服務(wù)端從接收到的遠(yuǎn)程證明結(jié)果中獲取簽名結(jié)果和完整性度量結(jié)果��。
[0115]步驟308�����,服務(wù)端使用隨機(jī)數(shù)和PIK證書(shū)對(duì)簽名結(jié)果進(jìn)行驗(yàn)證,如果驗(yàn)證通過(guò)����,則執(zhí)行步驟309 ;否則,斷開(kāi)與自助終端之間的連接����,結(jié)束流程。
[0116]步驟309��,服務(wù)端根據(jù)完整性度量結(jié)果�,對(duì)自助終端進(jìn)行完整性評(píng)估,將得到的完整性評(píng)估結(jié)果發(fā)送給自助終端�。
[0117]自助終端通過(guò)遠(yuǎn)程證明協(xié)議將完整性度量結(jié)果發(fā)送給服務(wù)端,由服務(wù)端根據(jù)該完整性度量結(jié)果對(duì)自助終端進(jìn)行完整性評(píng)估�,從而向服務(wù)端證明自身的平臺(tái)身份和配置狀態(tài)可信��,使得終端可信擴(kuò)展至自助終端與服務(wù)端之間����。
[0118]本實(shí)施例中,自助終端向服務(wù)端發(fā)起訪(fǎng)問(wèn)請(qǐng)求時(shí)����,執(zhí)行如圖4所示的終端在平臺(tái)的身份認(rèn)證流程����,包括以下步驟:
[0119]步驟401��,自助終端向服務(wù)端發(fā)送終端在平臺(tái)的身份信息�。
[0120]步驟402,服務(wù)端將終端在平臺(tái)的身份信息發(fā)送給平臺(tái)信任服務(wù)���。
[0121]步驟403�����,平臺(tái)信任服務(wù)判斷終端在平臺(tái)的身份信息是否對(duì)應(yīng)一個(gè)有效的EK(TCMEndorsement Key,密碼模塊密鑰)����,如果是,則執(zhí)行步驟404 ;否則��。執(zhí)行步驟406���。
[0122]步驟404��,平臺(tái)信任服務(wù)向服務(wù)端發(fā)送驗(yàn)證成功消息��。
[0123]步驟405�,服務(wù)端允許自助終端的訪(fǎng)問(wèn)。
[0124]步驟406����,平臺(tái)信任服務(wù)向服務(wù)端發(fā)送驗(yàn)證失敗消息。
[0125]步驟407�,服務(wù)端拒絕自助終端的訪(fǎng)問(wèn)。
[0126]服務(wù)端通過(guò)終端在平臺(tái)的身份證明查詢(xún)發(fā)起訪(fǎng)問(wèn)的自助終端是否擁有與有效的EK對(duì)應(yīng)的終端身份���,根據(jù)查詢(xún)結(jié)果允許或拒絕自助終端的訪(fǎng)問(wèn)�,從而保證被允許訪(fǎng)問(wèn)的自助終端是可信的�����,提高了可信網(wǎng)絡(luò)的安全性��。
[0127]進(jìn)一步地�����,自助終端被服務(wù)端允許訪(fǎng)問(wèn)后�����,執(zhí)行如圖5所示的平臺(tái)完整性證明流程����,包括以下步驟:
[0128]步驟501,服務(wù)端向自助終端發(fā)送安全要求信息���。
[0129]步驟502��,自助終端從安全要求信息中提取安全屬性��,根據(jù)該安全屬性生成映射關(guān)系獲取請(qǐng)求���。
[0130]步驟503,自助終端向平臺(tái)信任服務(wù)發(fā)送映射關(guān)系獲取請(qǐng)求���。
[0131]步驟504�,平臺(tái)信任服務(wù)根據(jù)接收到的映射關(guān)系獲取請(qǐng)求����,獲取安全屬性。
[0132]步驟505��,平臺(tái)信任服務(wù)根據(jù)獲取到的安全屬性��,查詢(xún)對(duì)應(yīng)的屬性映射關(guān)系證書(shū)和最新的證書(shū)撤銷(xiāo)列表,將查詢(xún)到的屬性映射關(guān)系證書(shū)和證書(shū)撤銷(xiāo)列表發(fā)送給自助終端��。
[0133]步驟506���,自助終端基于接收到的屬性映射關(guān)系證書(shū)和證書(shū)撤銷(xiāo)列表���,與服務(wù)端進(jìn)行平臺(tái)完整性的遠(yuǎn)程證明。
[0134]通過(guò)上述流程����,自助終端能夠向服務(wù)端證明自身的安全屬性,而不泄露自助終端的具體配置�����,且服務(wù)端也能夠基于安全屬性制定安全需求��,提高了終端在平臺(tái)的身份認(rèn)證的安全性和靈活性����。
[0135]基于上述可信自助服務(wù)系統(tǒng)的建立方法,本發(fā)明實(shí)施例還提供了一種可信自助服務(wù)系統(tǒng)����,如圖6所示�,包括自助終端600��、服務(wù)端700和平臺(tái)信任服務(wù)800 �;
[0136]其中�,自助終端600,包括:
[0137]第一發(fā)送模塊601���,用于向服務(wù)端700發(fā)送終端在平臺(tái)的身份信息����;
[0138]服務(wù)端700��,包括:
[0139]第一接收模塊701��,用于接收來(lái)自自助終端600的終端在平臺(tái)的身份信息�����;
[0140]第二發(fā)送模塊702�����,用于將第一接收模塊701接收到的終端在平臺(tái)的身份信息發(fā)送給平臺(tái)信任服務(wù)800;
[0141]平臺(tái)信任服務(wù)800�����,包括:
[0142]第二接收模塊801,用于接收來(lái)自服務(wù)端700的終端在平臺(tái)的身份信息����;
[0143]判斷模塊802,用于判斷第二接收模塊801接收到的終端在平臺(tái)的身份信息是否對(duì)應(yīng)一個(gè)有效的密碼模塊密鑰�����;
[0144]第三發(fā)送模塊803����,用于在判斷模塊802判斷出終端在平臺(tái)的身份信息對(duì)應(yīng)一個(gè)有效的密碼模塊密鑰時(shí),向服務(wù)端700發(fā)送驗(yàn)證成功消息��;在判斷模塊802判斷出終端自平臺(tái)的身份信息沒(méi)有對(duì)應(yīng)一個(gè)有效的密碼模塊密鑰時(shí)����,向服務(wù)端700發(fā)送驗(yàn)證失敗消息;
[0145]上述服務(wù)端700�,還包括:
[0146]第三接收模塊703,用于接收來(lái)自平臺(tái)信任服務(wù)800的驗(yàn)證成功消息和驗(yàn)證失敗消息���;
[0147]控制模塊704����,用于在第三接收模塊703接收到驗(yàn)證成功消息后,允許自助終端600的訪(fǎng)問(wèn)�����;在第三接收模塊703接收到驗(yàn)證失敗消息后����,拒絕自助終端600的訪(fǎng)問(wèn)���。
[0148]進(jìn)一步地��,上述服務(wù)端700����,還包括:
[0149]第四發(fā)送模塊705���,用于向自助終端600發(fā)送安全要求信息���;
[0150]相應(yīng)地,上述自助終端600��,還包括:
[0151]第四接收模塊602,用于接收來(lái)自服務(wù)端700的安全要求信息�;
[0152]生成模塊603,用于從第四接收模塊602接收到的安全要求信息中提取安全屬性����,根據(jù)安全屬性生成映射關(guān)系獲取請(qǐng)求;
[0153]第五發(fā)送模塊604��,用于將生成模塊603生成的映射關(guān)系獲取請(qǐng)求發(fā)送給平臺(tái)信任服務(wù)800 ���;
[0154]上述平臺(tái)信任服務(wù)800����,還包括:
[0155]第五接收模塊804���,用于接收來(lái)自自助終端600的映射關(guān)系獲取請(qǐng)求�����;
[0156]查詢(xún)模塊805���,用于根據(jù)第五接收模塊804接收到的映射關(guān)系獲取請(qǐng)求,獲取安全屬性����,根據(jù)安全屬性����,查詢(xún)對(duì)應(yīng)的屬性映射關(guān)系證書(shū)和最新的證書(shū)撤銷(xiāo)列表���;
[0157]第六發(fā)送模塊806,用于將查詢(xún)模塊805查詢(xún)到的屬性映射關(guān)系證書(shū)和證書(shū)撤銷(xiāo)列表發(fā)送給自助終端600 ��;
[0158]上述自助終端600���,還包括:
[0159]第六接收模塊605��,用于接收來(lái)自平臺(tái)信任服務(wù)800的屬性映射關(guān)系證書(shū)和證書(shū)撤銷(xiāo)列表���;
[0160]遠(yuǎn)程證明模塊606,用于基于第六接收模塊605接收到的屬性映射關(guān)系證書(shū)和證書(shū)撤銷(xiāo)列表�,與服務(wù)端700進(jìn)行平臺(tái)完整性的遠(yuǎn)程證明。
[0161]進(jìn)一步地��,上述第一發(fā)送模塊601����,還用于向服務(wù)端700發(fā)送終端在平臺(tái)的身份密鑰證書(shū)�����;
[0162]上述第一接收模塊701�,還用于接收來(lái)自自助終端600的終端在平臺(tái)的身份密鑰證書(shū)�;
[0163]上述第四發(fā)送模塊705,還用于向自助終端600發(fā)送隨機(jī)數(shù)和遠(yuǎn)程證明請(qǐng)求���;
[0164]上述第四接收模塊602��,還用于接收來(lái)自服務(wù)端700的隨機(jī)數(shù)和遠(yuǎn)程證明請(qǐng)求����;
[0165]相應(yīng)地�,上述自助終端600,還包括:
[0166]獲取模塊607��,用于獲取完整性度量結(jié)果����;
[0167]簽名模塊608,用于使用終端在平臺(tái)的身份密鑰證書(shū)和隨機(jī)數(shù)對(duì)獲取模塊607獲取到的完整性度量結(jié)果進(jìn)行簽名�����,得到簽名結(jié)果;
[0168]組合模塊609�,用于對(duì)完整性度量結(jié)果和簽名模塊608簽名得到的簽名結(jié)果進(jìn)行組合,得到遠(yuǎn)程證明結(jié)果�;
[0169]上述第一發(fā)送模塊601,還用于將組合模塊609組合得到的遠(yuǎn)程證明結(jié)果發(fā)送給服務(wù)端700 ���;
[0170]上述第一接收模塊701���,還用于接收來(lái)自自助終端600的遠(yuǎn)程證明結(jié)果;
[0171]上述服務(wù)端700���,還包括:
[0172]驗(yàn)簽?zāi)K706,用于從第一接收模塊701接收到的遠(yuǎn)程證明結(jié)果中獲取簽名結(jié)果和完整性度量結(jié)果�����,使用隨機(jī)數(shù)和終端在平臺(tái)的身份密鑰證書(shū)對(duì)簽名結(jié)果驗(yàn)證��;
[0173]評(píng)估模塊707��,用于在驗(yàn)簽?zāi)K706對(duì)簽名結(jié)果驗(yàn)證通過(guò)后����,根據(jù)完整性度量結(jié)果���,對(duì)自助終端600進(jìn)行完整性評(píng)估;
[0174]上述第四發(fā)送模塊705����,還用于將評(píng)估模塊707得到的完整性評(píng)估結(jié)果發(fā)送給自助終端600。
[0175]進(jìn)一步地���,上述服務(wù)端700�����,還包括:
[0176]驗(yàn)證模塊708�����,用于對(duì)第一接收模塊701接收到的終端在平臺(tái)的身份密鑰證書(shū)進(jìn)行驗(yàn)證�����;
[0177]上述第四發(fā)送模塊705����,具體用于在驗(yàn)證模塊708對(duì)終端在平臺(tái)的身份密鑰證書(shū)驗(yàn)證通過(guò)后,向自助終端600發(fā)送隨機(jī)數(shù)和遠(yuǎn)程證明請(qǐng)求�;
[0178]上述控制模塊704,還用于在驗(yàn)證模塊708對(duì)終端在平臺(tái)的身份密鑰證書(shū)驗(yàn)證未通過(guò)后���,斷開(kāi)與自助終端600之間的連接�。
[0179]本實(shí)施例中�����,上述自助終端600��,還包括:操作系統(tǒng)內(nèi)核610和安全芯片611 �;
[0180]其中,操作系統(tǒng)內(nèi)核610���,用于計(jì)算自助終端600中的組件的完整性度量值,將完整性度量值添加到度量日志列表中����;
[0181]具體地,上述組件為用戶(hù)進(jìn)程時(shí)����,上述操作系統(tǒng)內(nèi)核610,具體用于判斷度量日志列表中是否包含用戶(hù)進(jìn)程的完整性度量值;
[0182]當(dāng)度量日志列表中不包含用戶(hù)進(jìn)程的完整性度量值時(shí)�,計(jì)算用戶(hù)進(jìn)程的完整性度量值,將用戶(hù)進(jìn)程的完整性度量值添加到度量日志列表中�����;
[0183]當(dāng)度量日志列表中包含用戶(hù)進(jìn)程���,且dirty位置位時(shí)�����,計(jì)算用戶(hù)進(jìn)程的完整性度量值���,并在判斷出用戶(hù)進(jìn)程的完整性度量值與度量日志列表中與用戶(hù)進(jìn)程對(duì)應(yīng)的完整性度量值不相等之后,將度量日志列表中與用戶(hù)進(jìn)程對(duì)應(yīng)的完整性度量值刪除��,將計(jì)算得到的用戶(hù)進(jìn)程的完整性度量值添加到度量日志列表中����。
[0184]其中,度量日志列表存儲(chǔ)在安全芯片611的平臺(tái)配置寄存器中�����。
[0185]相應(yīng)地,上述獲取模塊607����,具體用于從度量日志列表中讀取完整性度量值,作為完整性度量結(jié)果��;
[0186]進(jìn)一步地����,上述自助終端600,還包括:基本輸入輸出系統(tǒng)612�����、主引導(dǎo)記錄613和操作系統(tǒng)裝載程序614;
[0187]其中���,上述安全芯片611,用于對(duì)基本輸入輸出系統(tǒng)612進(jìn)行可信度量,并在驗(yàn)證出基本輸入輸出系統(tǒng)612可信后,將系統(tǒng)控制權(quán)轉(zhuǎn)移給基本輸入輸出系統(tǒng)612 ��;
[0188]上述基本輸入輸出系統(tǒng)612����,用于對(duì)主引導(dǎo)記錄613進(jìn)行可信度量�,并在驗(yàn)證出主引導(dǎo)記錄613可信后�,將系統(tǒng)控制權(quán)轉(zhuǎn)移給主引導(dǎo)記錄613 ;
[0189]上述主引導(dǎo)記錄613,用于對(duì)操作系統(tǒng)裝載程序614進(jìn)行可信度量�����,并在驗(yàn)證出操作系統(tǒng)裝載程序614可信后����,將系統(tǒng)控制權(quán)轉(zhuǎn)移給操作系統(tǒng)裝載程序614 ;
[0190]上述操作系統(tǒng)裝載程序614��,用于對(duì)操作系統(tǒng)內(nèi)核610進(jìn)行可信度量��,并在驗(yàn)證出操作系統(tǒng)內(nèi)核610可信后,將系統(tǒng)控制權(quán)轉(zhuǎn)移給操作系統(tǒng)內(nèi)核610����。
[0191]本發(fā)明實(shí)施例提供的可信自助服務(wù)系統(tǒng)中,自助終端以安全芯片為信任根�����,從底層硬件出發(fā)����,通過(guò)逐層度量和驗(yàn)證,建立到達(dá)操作系統(tǒng)啟動(dòng)的信任鏈�����,通過(guò)操作系統(tǒng)內(nèi)核對(duì)各個(gè)組件進(jìn)行完整性度量,將得到的完整性度量結(jié)果保存到的安全芯片的PCR中�����,通過(guò)遠(yuǎn)程證明將完整性度量結(jié)果發(fā)送給服務(wù)端���,由服務(wù)端根據(jù)該完整性度量結(jié)果對(duì)自助終端進(jìn)行完整性評(píng)估�����,能夠?yàn)樽灾K端的操作系統(tǒng)建立可信的運(yùn)行環(huán)境����,保證PCR中的完整性度量值能夠真實(shí)反映自助終端的狀態(tài)���,向服務(wù)端證明自身的平臺(tái)身份和配置狀態(tài)可信�,使得終端可信擴(kuò)展至自助終端與服務(wù)端之間�。
[0192]此外,服務(wù)端通過(guò)終端在平臺(tái)的身份證明查詢(xún)發(fā)起訪(fǎng)問(wèn)的自助終端是否擁有與有效的EK對(duì)應(yīng)的終端身份�����,根據(jù)查詢(xún)結(jié)果允許或拒絕自助終端的訪(fǎng)問(wèn)��,從而保證被允許訪(fǎng)問(wèn)的自助終端是可信的�����,提高了可信網(wǎng)絡(luò)的安全性���。自助終端能夠向服務(wù)端證明自身的安全屬性����,而不泄露自助終端的具體配置�����,且服務(wù)端也能夠基于安全屬性制定安全需求�,提高了終端在平臺(tái)的身份認(rèn)證的安全性和靈活性。
[0193]本發(fā)明實(shí)施例還提供了另一種可信自助服務(wù)系統(tǒng)��,如圖7所示�����,包括自助終端910和服務(wù)端920�����,自助終端910包括安全芯片911、可信度量組件912和可信接入客戶(hù)端913��,服務(wù)端920包括可信接入服務(wù)端921和可信接入管理系統(tǒng)922�����。
[0194]其中�,安全芯片911,用于進(jìn)行完整性度量��,將度量結(jié)果存儲(chǔ)到PCR中���,并生成度量曰志;
[0195]可信度量組件912��,與安全芯片911連接���,用于與安全芯片911進(jìn)行交互,獲取安全芯片911生成的度量日志���,從PCR中讀取度量結(jié)果��,獲取終端在平臺(tái)的身份密鑰的公鑰����、對(duì)該公鑰的簽名以及對(duì)度量結(jié)果的密鑰簽名;
[0196]具體地��,可信度量組件912���,是一個(gè)用C語(yǔ)言實(shí)現(xiàn)的DLL庫(kù),為可信接入客戶(hù)端913提供API��,具體提供如下服務(wù):
[0197]1��、獲取終端在平臺(tái)的身份密鑰的公鑰:
[0198]輸入:空
[0199]輸出:終端在平臺(tái)的身份密鑰的公鑰
[0200]2��、獲取度量結(jié)果:
[0201]輸入:度量結(jié)果索引
[0202]輸出:度量結(jié)果
[0203]3����、獲取度量結(jié)果的密鑰簽名:
[0204]輸入:無(wú)
[0205]輸出:度量結(jié)果的密鑰簽名
[0206]4、獲取度量日志列表:
[0207]輸入:無(wú)
[0208]輸出:度量日志列表
[0209]可信接入客戶(hù)端913�,與可信度量組件912連接,包含SSH(Secure Shell�,安全外殼)客戶(hù)端,用于通過(guò)可信度量組件912獲取終端在平臺(tái)的身份密鑰的公鑰�、對(duì)該公鑰的簽名、度量日志�����、度量結(jié)果以及對(duì)度量結(jié)果的密鑰簽名,根據(jù)終端在平臺(tái)的身份密鑰的公鑰���、對(duì)該公鑰的簽名�����、度量日志�����、度量結(jié)果以及對(duì)度量結(jié)果的密鑰簽名���,組裝成遠(yuǎn)程證明協(xié)議消息,并將該遠(yuǎn)程證明協(xié)議消息作為SSH安全協(xié)議認(rèn)證層消息發(fā)送給可信接入服務(wù)端921���,請(qǐng)求與可信接入服務(wù)端921進(jìn)行認(rèn)證���。
[0210]具體地,可信接入客戶(hù)端913��,是一個(gè)用Java語(yǔ)言實(shí)現(xiàn)的應(yīng)用程序,主要提供SSH安全協(xié)議的客戶(hù)端功能���,并調(diào)用可信度量組件912的API����,生成遠(yuǎn)程證明協(xié)議消息�����。
[0211]其中�����,遠(yuǎn)程證明協(xié)議消息包含以下內(nèi)容:
[0212]PublicKey:終端在平臺(tái)的身份密鑰的公鑰�;
[0213]PublicKeySigned:對(duì)終端在平臺(tái)的身份密鑰的公鑰的簽名
[0214]Logs:度量日志列表
[0215]FinalPcr:度量結(jié)果
[0216]FinalPcrSigned:對(duì)度量結(jié)果的密鑰簽名
[0217]可信接入服務(wù)端921,包含SSH(Secure Shell,安全外殼)服務(wù)端,用于接收來(lái)自自助終端910的遠(yuǎn)程證明協(xié)議消息����,根據(jù)該遠(yuǎn)程證明協(xié)議消息對(duì)自助終端910的身份和完整性進(jìn)行認(rèn)證。此外���,可信接入服務(wù)端921還用于與自助終端910建立SSH信息通道���。當(dāng)SSH信息通道建立之后,自助終端910與可信接入服務(wù)端921之間通過(guò)SSH信息通道進(jìn)行通?目。
[0218]具體地�,可信接入服務(wù)端921,是一個(gè)用Java語(yǔ)言實(shí)現(xiàn)的應(yīng)用程序����,主要提供SSH安全協(xié)議的服務(wù)端功能,并擴(kuò)展了 SSH的認(rèn)證層協(xié)議�,將傳統(tǒng)的密碼或證書(shū)的方式,改為遠(yuǎn)程證明協(xié)議的方式��。
[0219]可信接入服務(wù)端921通過(guò)調(diào)用可信接入管理系統(tǒng)922提供的WebService方法�����,采用SM2算法對(duì)終端在平臺(tái)的身份密鑰的公鑰的簽名進(jìn)行驗(yàn)證�����,判斷自助終端910的身份是否合法�����,如果自助終端910的身份不合法�,則斷開(kāi)與自助終端910之間的連接;通過(guò)調(diào)用可信接入管理系統(tǒng)922提供的WebService方法�����,采用SM2算法對(duì)度量結(jié)果的密鑰簽名進(jìn)行驗(yàn)證,判斷度量結(jié)果是否為偽造或被篡改過(guò)�,如果度量結(jié)果為偽造或被篡改過(guò),則斷開(kāi)與自助終端910之間的連接��;通過(guò)調(diào)用可信接入管理系統(tǒng)922提供的WebService方法���,采用SM3算法對(duì)度量日志進(jìn)行驗(yàn)證�,判斷度量日志是否被篡改過(guò)以及自助終端910的完整性是否滿(mǎn)足安全策略��,如果度量日志被篡改過(guò)�����,或者自助終端910的完整性不滿(mǎn)足安全策略�����,則斷開(kāi)與自助終端910之間的連接����。
[0220]可信接入管理系統(tǒng)922��,與可信接入服務(wù)端921連接,用于配置完整性安全策略���,并向可信接入服務(wù)端921提供對(duì)終端在平臺(tái)的身份和度量日志進(jìn)行認(rèn)證的接口�。
[0221]具體地�����,可信接入管理系統(tǒng)922,是一個(gè)⑶I (Graphical User Interface,用戶(hù)交互界面)系統(tǒng)��,以GUI的方式為管理員提供配置完整性策略和查看可信連接日志等功能�,并通過(guò)WebService方法為可信接入服務(wù)端921提供驗(yàn)證自助終端910在平臺(tái)的身份、度量過(guò)程和度量結(jié)果是否合法的接口�����。
[0222]本發(fā)明實(shí)施例提供的可信自助服務(wù)系統(tǒng)中���,自助終端通過(guò)內(nèi)置的安全芯片進(jìn)行完整性度量��,并根據(jù)度量結(jié)果和終端在平臺(tái)的身份密鑰����,與服務(wù)端進(jìn)行認(rèn)證�����,向服務(wù)端證明自身的平臺(tái)身份和配置狀態(tài)可信,使得終端可信擴(kuò)展至自助終端與服務(wù)端之間��,提高了可信自助服務(wù)系統(tǒng)的安全性��。
[0223]結(jié)合本文中所公開(kāi)的實(shí)施例描述的方法中的步驟可以直接用硬件��、處理器執(zhí)行的軟件模塊����,或者二者的結(jié)合來(lái)實(shí)施。軟件模塊可以置于隨機(jī)存儲(chǔ)器(RAM)�、內(nèi)存、只讀存儲(chǔ)器(ROM)�、電可編程ROM、電可擦除可編程ROM�、寄存器�、硬盤(pán)、可移動(dòng)磁盤(pán)�、CD-ROM、或【技術(shù)領(lǐng)域】?jī)?nèi)所公知的任意其它形式的存儲(chǔ)介質(zhì)中�。
[0224]最后應(yīng)說(shuō)明的是,以上實(shí)施例僅用以描述本發(fā)明的技術(shù)方案而不是對(duì)本技術(shù)方法進(jìn)行限制�,本發(fā)明在應(yīng)用上可以延伸為其他的修改��、變化����、應(yīng)用和實(shí)施例���,并且因此認(rèn)為所有這樣的修改�����、變化���、應(yīng)用、實(shí)施例都在本發(fā)明的精神和教導(dǎo)范圍內(nèi)����。
【權(quán)利要求】
1.一種可信自助服務(wù)系統(tǒng),其特征在于���,包括自助終端����、服務(wù)端和平臺(tái)信任服務(wù)模塊�����; 其中,所述自助終端�,包括: 第一發(fā)送模塊,用于向所述服務(wù)端發(fā)送終端在平臺(tái)的身份信息���; 所述服務(wù)端����,包括: 第一接收模塊��,用于接收來(lái)自所述自助終端的所述終端在平臺(tái)的身份信息�; 第二發(fā)送模塊,用于將所述第一接收模塊接收到的所述終端在平臺(tái)的身份信息發(fā)送給所述平臺(tái)信任服務(wù)模塊���; 所述平臺(tái)信任服務(wù)模塊�,包括: 第二接收模塊��,用于接收來(lái)自所述服務(wù)端的所述終端在平臺(tái)的身份信息�; 判斷模塊��,用于判斷所述第二接收模塊接收到的所述終端在平臺(tái)的身份信息是否對(duì)應(yīng)一個(gè)有效的密碼模塊密鑰�����; 第三發(fā)送模塊,用于在所述判斷模塊判斷出所述終端在平臺(tái)的身份信息對(duì)應(yīng)一個(gè)有效的密碼模塊密鑰時(shí)��,向所述服務(wù)端發(fā)送驗(yàn)證成功消息��;在所述判斷模塊判斷出所述終端在平臺(tái)的身份信息沒(méi)有對(duì)應(yīng)一個(gè)有效的密碼模塊密鑰時(shí)����,向所述服務(wù)端發(fā)送驗(yàn)證失敗消息;所述服務(wù)端�,還包括: 第三接收模塊,用于接收來(lái)自所述終端在平臺(tái)的信任服務(wù)模塊的驗(yàn)證成功消息和驗(yàn)證失敗消息�; 控制模塊,用于在所述第三接收模塊接收到所述驗(yàn)證成功消息后�����,允許所述自助終端的訪(fǎng)問(wèn)�;在所述第三接收模塊接收到所述驗(yàn)證失敗消息后,拒絕所述自助終端的訪(fǎng)問(wèn)���。
2.如權(quán)利要求1所述的系統(tǒng)�����,其特征在于�,所述服務(wù)端,還包括: 第四發(fā)送模塊����,用于向所述自助終端發(fā)送安全要求信息; 所述自助終端�,還包括: 第四接收模塊,用于接收來(lái)自所述服務(wù)端的安全要求信息����; 生成模塊,用于從所述第四接收模塊接收到的所述安全要求信息中提取安全屬性�,根據(jù)所述安全屬性生成映射關(guān)系獲取請(qǐng)求; 第五發(fā)送模塊����,用于將所述生成模塊生成的所述映射關(guān)系獲取請(qǐng)求發(fā)送給所述平臺(tái)信任服務(wù)模塊; 所述平臺(tái)信任服務(wù)模塊�,還包括: 第五接收模塊,用于接收來(lái)自所述自助終端的映射關(guān)系獲取請(qǐng)求��; 查詢(xún)模塊�,用于根據(jù)所述第五接收模塊接收到的所述映射關(guān)系獲取請(qǐng)求,獲取安全屬性,根據(jù)所述安全屬性����,查詢(xún)對(duì)應(yīng)的屬性映射關(guān)系證書(shū)和最新的證書(shū)撤銷(xiāo)列表��; 第六發(fā)送模塊����,用于將所述查詢(xún)模塊查詢(xún)到的屬性映射關(guān)系證書(shū)和證書(shū)撤銷(xiāo)列表發(fā)送給所述自助終端; 所述自助終端��,還包括: 第六接收模塊�����,用于接收來(lái)自所述平臺(tái)信任服務(wù)模塊的屬性映射關(guān)系證書(shū)和證書(shū)撤銷(xiāo)列表����; 遠(yuǎn)程證明模塊,用于基于所述第六接收模塊接收到的所述屬性映射關(guān)系證書(shū)和所述證書(shū)撤銷(xiāo)列表���,與所述服務(wù)端進(jìn)行平臺(tái)完整性的遠(yuǎn)程證明���。
3.如權(quán)利要求2所述的系統(tǒng),其特征在于, 所述第一發(fā)送模塊���,還用于向所述服務(wù)端發(fā)送終端在平臺(tái)的身份密鑰證書(shū)�; 所述第一接收模塊�,還用于接收來(lái)自所述自助終端的所述終端在平臺(tái)的身份密鑰證書(shū); 所述第四發(fā)送模塊,還用于向所述自助終端發(fā)送隨機(jī)數(shù)和遠(yuǎn)程證明請(qǐng)求�����; 所述第四接收模塊�,還用于接收來(lái)自所述服務(wù)端的隨機(jī)數(shù)和遠(yuǎn)程證明請(qǐng)求; 所述自助終端���,還包括: 獲取模塊����,用于獲取完整性度量結(jié)果�; 簽名模塊,用于使用所述終端在平臺(tái)的身份密鑰證書(shū)和所述隨機(jī)數(shù)對(duì)所述獲取模塊獲取到的所述完整性度量結(jié)果進(jìn)行簽名�,得到簽名結(jié)果; 組合模塊��,用于對(duì)所述完整性度量結(jié)果和所述簽名模塊簽名得到的所述簽名結(jié)果進(jìn)行組合�,得到遠(yuǎn)程證明結(jié)果���; 所述第一發(fā)送模塊,還用于將所述組合模塊組合得到的遠(yuǎn)程證明結(jié)果發(fā)送給所述服務(wù)端; 所述第一接收模塊���,還用于接收來(lái)自所述自助終端的遠(yuǎn)程證明結(jié)果��; 所述服務(wù)端,還包括: 驗(yàn)簽?zāi)K�,用于從所述第一接收模塊接收到的所述遠(yuǎn)程證明結(jié)果中獲取所述簽名結(jié)果和所述完整性度量結(jié)果,使用所述隨機(jī)數(shù)和所述終端在平臺(tái)的身份密鑰證書(shū)對(duì)所述簽名結(jié)果驗(yàn)證����; 評(píng)估模塊,用于在所述驗(yàn)簽?zāi)K對(duì)所述簽名結(jié)果驗(yàn)證通過(guò)后��,根據(jù)所述完整性度量結(jié)果�����,對(duì)所述自助終端進(jìn)行完整性評(píng)估���; 所述第四發(fā)送模塊���,還用于將所述評(píng)估模塊得到的完整性評(píng)估結(jié)果發(fā)送給所述自助終端��。
4.如權(quán)利要求3所述的系統(tǒng)���,其特征在于, 所述服務(wù)端��,還包括: 驗(yàn)證模塊����,用于對(duì)所述第一接收模塊接收到的所述終端在平臺(tái)的身份密鑰證書(shū)進(jìn)行驗(yàn)證; 所述第四發(fā)送模塊����,具體用于在所述驗(yàn)證模塊對(duì)所述終端在平臺(tái)的身份密鑰證書(shū)驗(yàn)證通過(guò)后,向所述自助終端發(fā)送隨機(jī)數(shù)和遠(yuǎn)程證明請(qǐng)求���; 所述控制模塊���,還用于在所述驗(yàn)證模塊對(duì)所述終端在平臺(tái)的身份密鑰證書(shū)驗(yàn)證未通過(guò)后,斷開(kāi)與所述自助終端之間的連接�����。
5.如權(quán)利要求3所述的系統(tǒng)����,其特征在于��,所述自助終端���,還包括: 操作系統(tǒng)內(nèi)核,用于計(jì)算所述自助終端中的組件的完整性度量值�,將所述完整性度量值添加到度量日志列表中; 所述獲取模塊����,具體用于從所述度量日志列表中讀取完整性度量值�����,作為完整性度量結(jié)果�。
6.如權(quán)利要求5所述的系統(tǒng),其特征在于�,所述組件為用戶(hù)進(jìn)程; 所述操作系統(tǒng)內(nèi)核�,具體用于判斷所述度量日志列表中是否包含所述用戶(hù)進(jìn)程的完整性度量值; 當(dāng)所述度量日志列表中不包含所述用戶(hù)進(jìn)程的完整性度量值時(shí)�,計(jì)算所述用戶(hù)進(jìn)程的完整性度量值,將所述用戶(hù)進(jìn)程的完整性度量值添加到所述度量日志列表中����; 當(dāng)所述度量日志列表中包含所述用戶(hù)進(jìn)程����,且dirty位置位時(shí)�����,計(jì)算所述用戶(hù)進(jìn)程的完整性度量值���,并在判斷出所述用戶(hù)進(jìn)程的完整性度量值與所述度量日志列表中與所述用戶(hù)進(jìn)程對(duì)應(yīng)的完整性度量值不相等之后�����,將所述度量日志列表中與所述用戶(hù)進(jìn)程對(duì)應(yīng)的完整性度量值刪除����,將計(jì)算得到的所述用戶(hù)進(jìn)程的完整性度量值添加到所述度量日志列表中����。
7.如權(quán)利要求5或6所述的系統(tǒng),其特征在于�����,所述自助終端還包括安全芯片,所述度量日志列表存儲(chǔ)在所述安全芯片的平臺(tái)配置寄存器中�����。
8.如權(quán)利要求7所述的系統(tǒng)����,其特征在于,所述自助終端還包括基本輸入輸出系統(tǒng)�、主引導(dǎo)記錄和操作系統(tǒng)裝載程序; 所述安全芯片�,用于對(duì)所述基本輸入輸出系統(tǒng)進(jìn)行可信度量,并在驗(yàn)證出所述基本輸入輸出系統(tǒng)可信后���,將系統(tǒng)控制權(quán)轉(zhuǎn)移給所述基本輸入輸出系統(tǒng); 所述基本輸入輸出系統(tǒng)�,用于對(duì)所述主引導(dǎo)記錄進(jìn)行可信度量,并在驗(yàn)證出所述主引導(dǎo)記錄可信后�����,將系統(tǒng)控制權(quán)轉(zhuǎn)移給所述主引導(dǎo)記錄�; 所述主引導(dǎo)記錄,用于對(duì)所述操作系統(tǒng)裝載程序進(jìn)行可信度量����,并在驗(yàn)證出所述操作系統(tǒng)裝載程序可信后��,將系統(tǒng)控制權(quán)轉(zhuǎn)移給所述操作系統(tǒng)裝載程序�����; 所述操作系統(tǒng)裝載程序�,用于對(duì)所述操作系統(tǒng)內(nèi)核進(jìn)行可信度量�,并在驗(yàn)證出所述操作系統(tǒng)內(nèi)核可信后,將系統(tǒng)控制權(quán)轉(zhuǎn)移給所述操作系統(tǒng)內(nèi)核����。
【文檔編號(hào)】H04L29/06GK104333541SQ201410568017
【公開(kāi)日】2015年2月4日 申請(qǐng)日期:2014年10月21日 優(yōu)先權(quán)日:2014年10月21日
【發(fā)明者】魏革, 代彪, 薛立徽, 任香, 魏毓璟 申請(qǐng)人:廣東金賦信息科技有限公司