CN102694776A - 一种基于可信计算的认证***及方法 - Google Patents
一种基于可信计算的认证***及方法 Download PDFInfo
- Publication number
- CN102694776A CN102694776A CN2011100706124A CN201110070612A CN102694776A CN 102694776 A CN102694776 A CN 102694776A CN 2011100706124 A CN2011100706124 A CN 2011100706124A CN 201110070612 A CN201110070612 A CN 201110070612A CN 102694776 A CN102694776 A CN 102694776A
- Authority
- CN
- China
- Prior art keywords
- trusted
- server
- terminal
- authentication
- authentic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种基于可信计算的认证***及方法,其中基于可信计算的认证***包括可信终端、可信证书服务器、可信认证服务器,所述可信终端、所述可信证书服务器和所述可信认证服务器中均具有可信计算模块。本发明所提供的基于可信计算的认证***及方法,将PKI数字证书技术和可信计算平台相结合,保证了网络和服务器端的安全,同时还能确保终端可信,在很大程度上提高了整个网络的安全性,提高了计算机网络认证的可信性、安全性。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种基于可信计算的认证***及方法。
背景技术
随着计算机网络技术的发展,园区网中的各种网络应用也越来越多,大部分***都提供了登录窗口,要求用户输入用户名和口令,只有被授权的用户才能访问受控资源。每个应用***都拥有独立的身份认证机制,在进入不同的应用***时都要重新提交自己的身份标识来通过***的认证,这样会导致以下后果:
用户需要设置大量的用户名和密码,容易造成混淆;
频繁的输入用户名和口令,会增大相应用户口令被破解的机率;
用户为了方便,往往会选择简单信息作为口令或者设置相同的口令,这样将会带来很大的安全隐患;
用户及口令被破解后,可在任何一台电脑上使用,对于用户网络交易存在很大安全隐患。
出于效率和安全性因素的考虑,人们提出了新认证方案,即用户在申请账号的同时,还需要将账号绑定到专用的设备同时使用,用户只需在网络中主动进行身份认证,随后便可以访问其被授权的所有网络资源,而不需要再参与其他的身份认证过程。
但是传统的认证存在以下弊端:
无法保证终端是否可信;
无法保证认证服务器自身的可信;
无法保证证书服务器自身的可信;
无法保证应用服务器自身的可信。
因此,增强计算机网络认证的可信性、安全性是当前认证领域亟待解决的问题之一。
发明内容
本发明所要解决的技术问题是提供一种基于可信计算的认证***及方法,提高计算机网络认证的可信性、安全性。
为解决上述技术问题,本发明提出了一种基于可信计算的认证***,包括可信终端、可信证书服务器、可信认证服务器,所述可信终端、所述可信证书服务器和所述可信认证服务器中均具有可信计算模块,所述可信终端分别与所述可信证书服务器、所述可信认证服务器无线连接。
进一步地,上述***还可具有以下特点,还包括可信应用服务器,所述可信应用服务器中具有可信计算模块,所述可信应用服务器分别与所述可信终端、可信认证服务器无线连接。
进一步地,上述***还可具有以下特点,还包括可信完整性验证服务器,用于对所述可信终端平台进行完整性验证,所述可信完整性验证服务器中具有可信计算模块,所述可信完整性验证服务器与所述可信认证服务器无线连接。
为解决上述技术问题,还本发明提出了一种基于可信计算的认证方法, 基于上述任一项所述的基于可信计算的认证***,包括:
可信终端向可信证书服务器申请签发证书;以及
使可信认证服务器验证所述可信终端向该可信认证服务器发起的验证请求,并接收所述可信认证服务器给该可信终端签发的身份凭证。
进一步地,上述方法还可具有以下特点,在所述可信终端向可信证书服务器申请签发证书之前还包括,所述可信终端检验自身平台的完整性。
进一步地,上述方法还可具有以下特点,还包括,所述可信终端还向所述可信认证服务器发起完整性验证请求,所述可信认证服务器将所述完整性验证请求转发给可信完整性验证服务器,所述可信完整性验证服务器验证所述可信终端的完整性。
进一步地,上述方法还可具有以下特点,还包括,所述可信终端接收到身份凭证后向可信应用服务器发起服务请求,所述可信认证服务器验证所述可信终端的身份凭证,并将验证结果返回给所述可信应用服务器,若所述验证结果为合法,则所述可信应用服务器允许服务实体向所述可信终端提供请求的服务。
进一步地,上述方法还可具有以下特点,还包括,所述可信终端用户在初次进行身份认证前,先在所述可信认证服务器进行身份注册,登记用户信息。
本发明所提供的基于可信计算的认证***及方法,将PKI数字证书技术和可信计算平台相结合,保证了网络和服务器端的安全,同时还能确保终端可信,在很大程度上提高了整个网络的安全性,提高了计算机网络认证的可信性、安全性。
附图说明
图1为本发明实施例中可信计算机***平台结构图;
图2为本发明实施例中基于可信计算的认证***结构图;
图3为本发明实施例中基于可信计算的认证方法流程图。
具体实施方式
本发明的主要构思是:利用可信计算技术,在实施认证的实体中安装可信计算模块,保证计算机网络和服务器端的安全,又能确保终端可信,不仅可以提高实施认证的实体自身的安全性,还能够提高整个计算机网络的安全性,从而增强计算机网络上认证的可信性、安全性。
本发明中,可信计算模块是指可信计算安全芯片,是电脑主板上的一安全芯片。该芯片在计算机开机的时候对本地硬件平台进行自检,并将保存在可信计算安全芯片中的度量值与开机时对硬件重新检测的度量值进行比较,如果本地硬件发生变化则该平台能否继续使用与可信计算安全芯片的策略设置有关(一般默认为平台发生变化不能使用,若希望继续使用需要更改可信计算安全芯片策略,可信计算安全芯片的设置需要计算机***管理员设置,如果硬件平台发生变化后仍是可信平台,则需要重新将更新后的硬件平台信息进行度量并保存在可信计算安全芯片中,该操作由计算机***管理员完成)。
本文中,平台是指计算机的整体工作环境,包含硬件和软件,但提交平台信息的时候由于操作***及软件信息还无法达到动态确认,因此只提交硬件信息。本文中,可信终端是可信平台的一种。
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
图1为本发明实施例中可信计算机***平台结构图。如图1所示,本实施例中,计算机***平台也即用户终端,通过如下三类机制及平台自身安全管理功能,保证计算机***平台的安全性:
(1)以可信度量根为起点,计算***平台完整性度量值,建立计算机***平台信任链,确保***平台可信;
(2)可信报告根标识平台身份的可信性,具有唯一性,以可信报告根为基础,实现平台身份证明和完整性报告。
(3) 基于可信存储根,实现密钥管理、平台数据安全保护功能,提供相应的密码服务。
图2为本发明实施例中基于可信计算的认证***结构图。如图2所示,本实施例中,基于可信计算的认证***包括可信终端10、可信证书服务器20、可信认证服务器30、可信完整性验证服务器40和可信应用服务器50,可信终端10、可信证书服务器20、可信认证服务器30、可信完整性验证服务器40和可信应用服务器50均具有可信计算模块。可信计算模块的存在保证了各实体的可信性,大大提高了包含这些实体的计算机网络的安全性。
可信终端10是进行认证的对象,用于在认证过程中进行完整性自检,向可信证书服务器20提交平台相关信息,申请证书,向可信认证服务器30发起可信终端平台身份和完整性验证请求,向可信应用服务器50发起服务请求;
可信证书服务器20用于验证可信终端10的平台相关信息,并为通过验证的可信终端签发证书;
可信认证服务器30用于验证可信终端平台的身份,为合法用户签发身份凭证;可信认证服务器30还用于向可信完整性验证服务器40转发完整性验证请求,接收可信完整性验证服务器40返回的完整性验证结果,并将该完整性验证结果传递给可信终端10;
可信完整***器40用于验证可信终端平台的完整性,以保证可信终端未受到病毒等破坏,从而保证终端平台的可信性;
可信应用服务器50用于根据可信认证服务器30的返回结果决定是否允许可信终端用户访问服务,即是否允许服务实体向可信终端提供请求的服务。
可信完整***器40和可信应用服务器50不是本发明基于可信计算的认证***必不可少的组成部分,在本发明的其他实施例中,基于可信计算的认证***可以不包含可信完整***器40或可信应用服务器50。在不具有可信完整***器40的情况下,可信终端10可以通过自检检验自身平台的完整性,认证过程中其他服务器不再对可信终端平台的完整性进行验证。在用户需要可信应用服务器50提供某种服务的时候可信终端10才会访问可信应用服务器50,因此可信应用服务器50所进行的进一步认证是对最基本的认证过程的进一步延伸。
可信终端10、可信证书服务器20和可信认证服务器30组成最基本的基于可信计算的认证***,该最基本的认证***与现有认证***的区别是,***的实体内部都具有可信计算模块,因此比现有认证***具有更高的可信性和安全性,从而保证了该***所实施的认证的可信性、安全性。
可见,本发明所提供的基于可信计算的认证***,通过引入可信计算模块大大提高了***中各实体的可信性和安全性,保证了网络和服务器端的安全,同时还能确保终端可信,因此在很大程度上提高了整个网络的安全性,提高了计算机网络认证的可信性、安全性。
基于上述的基于可信计算的认证***,本发明还提出了一种基于可信计算的认证方法。图3为本发明实施例中基于可信计算的认证方法流程图,如图3所示,本实施例中,基于可信计算的认证方法包括如下步骤:
步骤301,在初次进行认证前, 可信终端用户先在可信认证服务器进行身份注册,登记个人相关信息,即可信终端用户的用户信息;
这里,个人相关信息是指进行身份注册所需要的信息,个人相关信息可以包括用户的姓名、性别、身份证号、家庭地址、联系电话等。
步骤302,可信终端进行完整性自检;
步骤303,可信终端向可信证书服务器提交平台相关信息,申请证书;
这里,平台相关信息可以包含如下的硬件信息:硬盘唯一特征信息、 主板唯一特征信息、CPU唯一特征信息、内存唯一特征信息、网卡唯一特征信息等。将以上硬件的各自特征信息进行哈希运算,然后将哈希运算的结果保存到可信计算模块的PCR中并提交给可信证书服务器。
步骤304,可信证书服务器发布者验证平台相关信息,如果验证通过则给可信终端签发用户证书;
如果验证失败,可信证书服务器向可信终端返回验证失败信息,以提醒当前使用的用户。
步骤305,可信终端向可信认证服务器发起平台身份和完整性验证请求;
步骤306,可信认证服务器验证可信终端平台的身份并向可信完整性验证服务器转发完整性验证请求;
步骤307,可信完整性验证服务器根据事先确定的规则对可信终端进行完整性验证,并将验证结果返回给可信认证服务器;
步骤308,可信认证服务器将平台身份和完整性验证结果返回给可信终端;
步骤309,如果可信终端通过了平台身份验证和完整性验证,则客户端认证代理从USB Key 中读取用户证书的相关信息,向可信认证服务器发起用户身份认证请求;
客户端认证代理处于可信终端内,USB Key是一个单独的物理实体,不在可信终端内,USB Key可以通过USB接口与可信终端相连接。用户证书为步骤304中可信证书服务器所签发的证书。
步骤310,可信认证服务器认证用户的身份,如果是合法用户,签发身份凭证;
如果是不合法用户,可信认证服务器向可信终端返回不合法信息,以提醒用户,还可以设定若连续验证失败的次数达到预设的数值,则锁定账号并禁止使用,防止暴力破解,锁定的账号在重新激活后才能使用。
步骤311,可信终端接收到身份凭证后向可信应用服务器发起服务请求,所述服务请求中携带身份凭证;
步骤312,服务器端认证代理接收用户包含身份凭证的服务请求,向可信认证服务器发起身份凭证验证请求;
服务器端认证代理处于可信应用服务器内。
步骤313,可信认证服务器验证服务器端认证代理提交的用户身份凭证,将验证结果返回给可信应用服务器;
步骤314,可信应用服务器根据可信认证服务器返回的身份凭证验证结果决定是否允许用户访问服务,即是否允许服务实体提供所请求的服务。
服务实体处于可信应用服务器内。若身份凭证验证结果为合法,则可信应用服务器允许服务实体提供所请求的服务,否则可信应用服务器向可信终端返回身份凭证不合法的信息,不允许服务实体提供所请求的服务。
本发明所提供的基于可信计算的认证方法,在具有可信计算模块的实体上进行,提高了计算机网络认证的可信性、安全性。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种基于可信计算的认证***,其特征在于,包括可信终端、可信证书服务器、可信认证服务器,所述可信终端、所述可信证书服务器和所述可信认证服务器中均具有可信计算模块,所述可信终端分别与所述可信证书服务器、所述可信认证服务器无线连接。
2.根据权利要求1所述的基于可信计算的认证***,其特征在于,还包括可信应用服务器,所述可信应用服务器中具有可信计算模块,所述可信应用服务器分别与所述可信终端、可信认证服务器无线连接。
3.根据权利要求1所述的基于可信计算的认证***,其特征在于,还包括可信完整性验证服务器,用于对所述可信终端平台进行完整性验证,所述可信完整性验证服务器中具有可信计算模块,所述可信完整性验证服务器与所述可信认证服务器无线连接。
4.一种基于可信计算的认证方法,基于权利要求1至3任一项所述的基于可信计算的认证***,其特征在于,包括:
可信终端向可信证书服务器申请签发证书;以及
使可信认证服务器验证所述可信终端向该可信认证服务器发起的验证请求,并接收所述可信认证服务器给该可信终端签发的身份凭证。
5.根据权利要求4所述的基于可信计算的认证方法,其特征在于, 在所述可信终端向可信证书服务器申请签发证书之前还包括,所述可信终端检验自身平台的完整性。
6.根据权利要求4所述的基于可信计算的认证方法,其特征在于,还包括,所述可信终端还向所述可信认证服务器发起完整性验证请求,所述可信认证服务器将所述完整性验证请求转发给可信完整性验证服务器,所述可信完整性验证服务器验证所述可信终端的完整性。
7.根据权利要求4所述的基于可信计算的认证方法,其特征在于,还包括,所述可信终端接收到身份凭证后向可信应用服务器发起服务请求,所述可信认证服务器验证所述可信终端的身份凭证,并将验证结果返回给所述可信应用服务器,若所述验证结果为合法,则所述可信应用服务器允许服务实体向所述可信终端提供请求的服务。
8.根据权利要求4所述的基于可信计算的认证方法,其特征在于,还包括,所述可信终端用户在初次进行身份认证前,先在所述可信认证服务器进行身份注册,登记用户信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011100706124A CN102694776A (zh) | 2011-03-23 | 2011-03-23 | 一种基于可信计算的认证***及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011100706124A CN102694776A (zh) | 2011-03-23 | 2011-03-23 | 一种基于可信计算的认证***及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102694776A true CN102694776A (zh) | 2012-09-26 |
Family
ID=46860063
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011100706124A Pending CN102694776A (zh) | 2011-03-23 | 2011-03-23 | 一种基于可信计算的认证***及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102694776A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103856478A (zh) * | 2012-12-06 | 2014-06-11 | 阿里巴巴集团控股有限公司 | 一种可信网络的证书签发、认证方法及相应的设备 |
CN104580250A (zh) * | 2015-01-29 | 2015-04-29 | 成都卫士通信息产业股份有限公司 | 一种基于安全芯片进行可信身份认证的***和方法 |
CN104683299A (zh) * | 2013-11-28 | 2015-06-03 | 中兴通讯股份有限公司 | 一种软件注册的控制方法、认证服务器及终端 |
CN106411524A (zh) * | 2016-08-31 | 2017-02-15 | 广州世安信息技术有限公司 | 基于蓝牙的移动终端可信计算的方法 |
CN110299996A (zh) * | 2018-03-22 | 2019-10-01 | 阿里巴巴集团控股有限公司 | 认证方法、设备及*** |
CN113438240A (zh) * | 2021-06-25 | 2021-09-24 | 北京八分量信息科技有限公司 | 一种物联网信息防止入侵的免疫***及其方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101458743A (zh) * | 2007-12-12 | 2009-06-17 | 中国长城计算机深圳股份有限公司 | 一种保护计算机***安全的方法 |
CN101621377A (zh) * | 2009-03-26 | 2010-01-06 | 常熟理工学院 | 虚拟计算环境下的可信接入方法 |
CN101778099A (zh) * | 2009-12-31 | 2010-07-14 | 郑州信大捷安信息技术有限公司 | 可容忍非信任组件的可信网络接入的架构及其接入方法 |
-
2011
- 2011-03-23 CN CN2011100706124A patent/CN102694776A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101458743A (zh) * | 2007-12-12 | 2009-06-17 | 中国长城计算机深圳股份有限公司 | 一种保护计算机***安全的方法 |
CN101621377A (zh) * | 2009-03-26 | 2010-01-06 | 常熟理工学院 | 虚拟计算环境下的可信接入方法 |
CN101778099A (zh) * | 2009-12-31 | 2010-07-14 | 郑州信大捷安信息技术有限公司 | 可容忍非信任组件的可信网络接入的架构及其接入方法 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103856478A (zh) * | 2012-12-06 | 2014-06-11 | 阿里巴巴集团控股有限公司 | 一种可信网络的证书签发、认证方法及相应的设备 |
CN103856477A (zh) * | 2012-12-06 | 2014-06-11 | 阿里巴巴集团控股有限公司 | 一种可信计算***及相应的认证方法和设备 |
CN103856478B (zh) * | 2012-12-06 | 2017-11-24 | 阿里巴巴集团控股有限公司 | 一种可信网络的证书签发、认证方法及相应的设备 |
CN104683299A (zh) * | 2013-11-28 | 2015-06-03 | 中兴通讯股份有限公司 | 一种软件注册的控制方法、认证服务器及终端 |
CN104580250A (zh) * | 2015-01-29 | 2015-04-29 | 成都卫士通信息产业股份有限公司 | 一种基于安全芯片进行可信身份认证的***和方法 |
CN106411524A (zh) * | 2016-08-31 | 2017-02-15 | 广州世安信息技术有限公司 | 基于蓝牙的移动终端可信计算的方法 |
CN106411524B (zh) * | 2016-08-31 | 2019-07-12 | 广州世安信息技术股份有限公司 | 基于蓝牙的移动终端可信计算的方法 |
CN110299996A (zh) * | 2018-03-22 | 2019-10-01 | 阿里巴巴集团控股有限公司 | 认证方法、设备及*** |
CN110299996B (zh) * | 2018-03-22 | 2022-07-01 | 阿里巴巴集团控股有限公司 | 认证方法、设备及*** |
CN113438240A (zh) * | 2021-06-25 | 2021-09-24 | 北京八分量信息科技有限公司 | 一种物联网信息防止入侵的免疫***及其方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9992189B2 (en) | Generation and validation of derived credentials | |
US8584224B1 (en) | Ticket based strong authentication with web service | |
US10587413B1 (en) | Decentralized identities for cross-enterprise authentication and/or authorization | |
US11165579B2 (en) | Decentralized data authentication | |
US10382427B2 (en) | Single sign on with multiple authentication factors | |
WO2017000829A1 (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
CN110677376B (zh) | 认证方法、相关设备和***及计算机可读存储介质 | |
US20180234464A1 (en) | Brokered authentication with risk sharing | |
US20180183777A1 (en) | Methods and systems for user authentication | |
CN103475666B (zh) | 一种物联网资源的数字签名认证方法 | |
US9037849B2 (en) | System and method for managing network access based on a history of a certificate | |
CN112671720B (zh) | 一种云平台资源访问控制的令牌构造方法、装置及设备 | |
WO2015148331A1 (en) | Techniques to operate a service with machine generated authentication tokens | |
CN103259663A (zh) | 一种云计算环境下的用户统一认证方法 | |
CN112000951A (zh) | 一种访问方法、装置、***、电子设备及存储介质 | |
CN111818088A (zh) | 授权模式管理方法、装置、计算机设备及可读存储介质 | |
CN102694776A (zh) | 一种基于可信计算的认证***及方法 | |
CN106789059A (zh) | 一种基于可信计算的远程双向访问控制***及方法 | |
US20160212123A1 (en) | System and method for providing a certificate by way of a browser extension | |
US20170104748A1 (en) | System and method for managing network access with a certificate having soft expiration | |
CN106936760A (zh) | 一种登录Openstack云***虚拟机的装置和方法 | |
CN103428191A (zh) | 基于cas框架与指纹相结合的单点登录方法 | |
Das et al. | Design of an automated blockchain-enabled vehicle data management system | |
US20210037011A1 (en) | Identity intermediary service authorization | |
Tiwari et al. | Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120926 |