CN109586920A - 一种可信验证方法及装置 - Google Patents

一种可信验证方法及装置 Download PDF

Info

Publication number
CN109586920A
CN109586920A CN201811477343.1A CN201811477343A CN109586920A CN 109586920 A CN109586920 A CN 109586920A CN 201811477343 A CN201811477343 A CN 201811477343A CN 109586920 A CN109586920 A CN 109586920A
Authority
CN
China
Prior art keywords
metric
credible equipment
ciphertext
verification
algorithm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811477343.1A
Other languages
English (en)
Inventor
郑驰
梁思谦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Datang High Hung Principal (zhejiang) Mdt Infotech Ltd
Original Assignee
Datang High Hung Principal (zhejiang) Mdt Infotech Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Datang High Hung Principal (zhejiang) Mdt Infotech Ltd filed Critical Datang High Hung Principal (zhejiang) Mdt Infotech Ltd
Priority to CN201811477343.1A priority Critical patent/CN109586920A/zh
Publication of CN109586920A publication Critical patent/CN109586920A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种可信验证方法及装置,用于对可信设备进行验证,可信设备配置有可信计算模块,方法包括:所述可信设备加电,逐级度量构建可信链过程中,利用国密SM3算法计算每级被度量数据的度量值;将所述度量值保存于所述可信计算模块的PCR寄存器中;之后,可信设备与认证服务器根据度量值利用国密算法对可信设备进行完整性验证。本发明利用国密算法实现对可信设备的可信链构建、可信验证,能够保证可信设备的安全性与可控性。

Description

一种可信验证方法及装置
技术领域
本发明涉及可信计算技术领域,特别是指一种可信验证方法及装置。
背景技术
随着大数据、云计算等信息技术的快速发展,国家和社会对信息技术的依赖程度日益增加,涉及隐私、密级数据等敏感数据处理的信息安全技术一直是研究重点。
可信计算技术是以可信计算平台为基础,以可信计算模块为信任根,从硬件层面出发建立一条可信链,构建可信的计算运行环境,是提高信息安全性的有效方法。目前的可信链构建过程,一般是利用国际通用密码算法实现,国密算法是我国自主研发的一套密码算法(包括SM1、SM2、SM3、SMS4算法),结合我国对信息安全等级保护及合规性的要求,为了提高可信链的安全性和可控性,基于国密算法构建可信链十分必要。
发明内容
有鉴于此,本发明的目的在于提出一种可信验证方法及装置,基于国密算法实现可信链的构建与可信设备的验证,保证可信设备的安全性和可控性。
基于上述目的,本发明提供了一种可信验证方法,应用于可信设备,所述可信设备配置有可信计算模块,方法包括:
构建可信链:所述可信设备加电,逐级度量构建可信链过程中,利用国密SM3算法计算每级被度量数据的度量值,将所述度量值保存于所述可信计算模块的PCR寄存器中。
可选的,所述度量值以PCR扩展方法保存于所述PCR寄存器中。
可选的,所述方法还包括:
所述可信设备启动后,向认证服务器发送完整性验证请求;
接收所述认证服务器利用国密SM3算法生成的随机数;
从所述PCR寄存器中读取出所述度量值,以所述随机数为对称密钥,利用国密SM4算法对所述度量值进行加密处理,生成密文度量值;
基于所述可信计算模块创建国密SM2算法的公钥、私钥对,利用国密SM3算法计算所述密文度量值的第一摘要值,利用所述私钥对所述第一摘要值进行加密处理,生成所述密文度量值的数字签名;
将包括所述公钥、密文度量值、数字签名的验证信息发送至所述认证服务器,由所述认证服务器根据所述验证信息对所述可信设备进行完整性验证。
本发明实施例还提供一种可信验证方法,应用于认证服务器,包括:
接收可信设备发送的完整性验证请求;
利用国密SM3算法生成随机数,将随机数发送至所述可信设备;
接收所述可信设备发送的包括公钥、密文度量值、数字签名的验证信息,从中解析出所述公钥、密文度量值、数字签名;
利用所述公钥对所述数字签名进行解密处理,生成密文度量值的第二摘要值,利用国密SM3算法计算所述密文度量值的第一摘要值;
将所述第一摘要值与所述第二摘要值进行比较,若不一致则向所述可信设备发送完整性验证未通过消息;若一致则:
以所述随机数为对称密钥,利用国密SM4算法对所述密文度量值进行解密处理,生成明文度量值;
将所述明文度量值与所述认证服务器保存的所述可信设备的基准度量值进行比较,若一致则向所述可信设备发送完整性验证通过消息,若不一致则向所述可信设备发送完整性验证未通过消息。
本发明实施例还提供一种可信验证装置,应用于可信设备,所述可信设备配置有可信计算模块,其特征在于,包括:
度量模块,用于于所述可信设备加电,逐级度量构建可信链过程中,利用国密SM3算法计算每级被度量数据的度量值,将所述度量值保存于所述可信计算模块的PCR寄存器中。
可选的,所述度量值以PCR扩展方法保存于所述PCR寄存器中。
可选的,所述装置还包括:
第一数据收发模块,用于向认证服务器发送完整性验证请求,以及接收所述认证服务器利用国密SM3算法生成的随机数,以及向所述认证服务器发送包括公钥、密文度量值、数字签名的验证信息,以及接收所述认证服务器发送的完整性验证通过消息或是完整性验证未通过消息;
加密模块,用于以所述随机数为对称密钥,利用国密SM4算法对从所述PCR寄存器中读取出的度量值进行加密处理,生成所述密文度量值;
签名模块,用于基于所述可信计算模块创建国密SM2算法的公钥、私钥对,利用所述私钥对所述密文度量值进行加密处理,生成所述密文度量值的数字签名。
本发明实施例还提供一种可信验证装置,应用于认证服务器,用于对可信设备进行完整性验证,所述装置包括:
第二数据收发模块,用于接收所述可信设备发送的完整性验证请求,以及向所述可信设备发送随机数,以及接收所述可信设备发送的包括公钥、密文度量值、数字签名的验证信息,以及若签名验证模块得到签名验证未通过或是完整性验证模块得到完整性验证未通过,向所述可信设备发送完整性验证未通过消息,若完整性验证模块得到完整性验证通过,向所述可信设备发送完整性验证通过消息;
随机数生成模块,用于根据所述完整性验证请求,利用国密SM3算法生成所述随机数;
签名验证模块,用于根据所述验证信息,解析出所述公钥、密文度量值、数字签名,利用所述公钥对所述数字签名进行解密处理,生成所述密文度量值的第二摘要值,利用国密SM3算法计算所述密文度量值的第一摘要值,将所述第一摘要值与所述第二摘要值进行比较,若所述第一摘要值与所述第二摘要值一致则签名验证通过,若不一致则签名验证未通过;
完整性验证模块,用于根据所述签名验证模块的签名验证结果,若所述签名验证通过,以所述随机数为对称密钥,利用国密SM4算法对所述密文度量值进行解密处理,生成明文度量值,将所述明文度量值与所述认证服务器保存的所述可信设备的基准度量值进行比较,若一致则所述可信设备的完整性验证通过,若不一致则所述可信设备的完整性验证未通过。
从上面所述可以看出,本发明提供的可信验证方法及装置,首先在可信设备的可信链构建过程中,利用国密算法计算各级被度量数据的度量值,将度量值保存于可信计算模块的PCR寄存器中。之后,可信设备通过认证服务器进行完整性验证过程,验证过程中利用国密算法进行签名验证与度量值的完整性验证。本发明基于国密算法实现可信设备的可信链构建与完整性验证,能够保证可信设备的安全性和可控性。
附图说明
图1为本发明实施例的可信链构建方法流程示意图;
图2为本发明实施例的应用于可信设备的可信验证方法流程示意图;
图3为本发明实施例的应用于认证服务器的可信验证方法流程示意图;
图4为本发明实施例的可信设备的可信验证装置结构示意图;
图5为本发明实施例的认证服务器的可信验证装置结构示意图。
具体实施方式
以下结合附图和实施例对本发明作进一步详细的描述。
图1为本发明实施例的方法流程示意图。如图所示,本发明实施例提供的可信验证方法,包括可信链构建过程:
S10:可信设备加电,逐级度量构建可信链过程中,利用国密SM3算法计算每级被度量数据的度量值;
S11:将度量值保存于可信计算模块的PCR寄存器中。
本发明实施例的可信验证方法,基于配置有可信计算模块的可信设备实现。首先构建可信链,是于可信设备加电后,以信任根为起点,从硬件到BIOS、BootLoader、操作***、应用程序逐级计算被度量数据(执行部分的代码或数据)的度量值,构建可信链。其中,利用国密SM3算法计算每级被度量数据的度量值,可信链构建完成,将各级计算得到的度量值存储于可信计算模块的PCR寄存器中。
可选的,分别将各级计算得到的度量值以PCR扩展方法存储于可信计算模块的PCR寄存器中,可信链构建完成后,PCR寄存器中保存最终的度量值。其中,PCR扩展方法为:PCR[n]=SM3(PCR[n]||被度量数据),其含义是对当级被度量数据与当前PCR寄存器PCR[n]内的数据进行或运算,利用国密SM3算法对或运算结果进行计算,将计算结果数据保存于PCR寄存器PCR[n]内,即计算结果数据覆盖PCR[n]当前保存的数据。逐级度量结束后,PCR寄存器中保存可信链构建完成后的最终度量值,该最终度量值表征可信设备的完整性状态。
其中,构建可信链的过程中,从硬件到BIOS、BootLoader、操作***、应用程序逐级计算被度量数据(执行部分的代码或数据)的度量值,具体包括:每级度量对象(硬件、BIOS、BootLoader、操作***、应用程序等)均包括多个被度量数据,每级度量对象的度量值保存于PCR寄存器的特定区域(例如,硬件的度量值保存于PCR[0]区域,BIOS的度量值保存于PCR[1]区域,BootLoader的度量值保存于PCR[2]区域,操作***的度量值保存于PCR[3]区域),每级度量对象的多个被度量数据的度量值利用PCR扩展方法保存于PCR寄存器的相应区域。可信设备启动完成后,PCR寄存器中保存由各级度量对象的度量值组成的度量值列表。
图2为本发明实施例的应用于可信设备的可信验证方法流程示意图。如图所示,应用于可信设备的可信验证方法包括:
S20:可信设备启动后,向认证服务器发送完整性验证请求;
S21:可信设备接收认证服务器利用国密SM3算法生成的随机数;
S22:可信设备从PCR寄存器中读取出度量值,以该随机数为对称密钥,利用国密SM4算法对度量值进行加密处理,生成密文度量值;
S23:可信设备基于可信计算模块创建国密SM2算法的公钥、私钥对,利用国密SM3算法计算密文度量值的第一摘要值,利用私钥对第一摘要值进行加密处理,生成密文度量值的数字签名;
S24:将包括公钥、密文度量值、数字签名的验证信息发送至认证服务器。
图3为本发明实施例的应用于认证服务器的可信验证方法流程示意图。如图所示,应用于认证服务器的可信验证方法,包括:
S30:认证服务器接收可信设备发送的完整性验证请求;
S31:认证服务器利用国密SM3算法生成随机数,将随机数发送至可信设备;
S32:认证服务器接收可信设备发送的包括公钥、密文度量值、数字签名的验证信息,从中解析出公钥、密文度量值、数字签名;
S33:认证服务器利用公钥对数字签名进行解密处理,生成密文度量值的第二摘要值,利用国密SM3算法计算接收的密文度量值的第一摘要值;
S34:将第一摘要值与第二摘要值进行比较,若一致则签名验证通过,执行步骤S35;若不一致则执行步骤S38;
S35:认证服务器以随机数为对称密钥,利用国密SM4算法对密文度量值进行解密处理,生成明文度量值;
S36:将明文度量值与认证服务器保存的可信设备的基准度量值进行比较,若一致则可信设备完整性验证通过,执行步骤S37,若不一致则执行步骤S38;
S37:向可信设备发送完整性验证通过消息,验证结束;
S38:向可信设备发送完整性验证未通过消息。
本发明实施例中,可信设备构建可信链,保存完整性度量值后,可利用认证服务器对可信设备进行完整性验证。根据图2、3所示方法流程图,可信设备的完整性验证过程是:可信设备向认证服务器发送完整性验证请求,认证服务器接收完整性验证请求,基于国密SM3算法生成随机数,并将随机数发送至可信设备;可信设备接收随机数,以该随机数为对称密钥,基于国密SM4算法对从PCR寄存器中读取出的度量值进行加密处理,生成密文度量值;之后,可信设备对密文度量值进行签名,具体是基于可信计算模块生成公、私钥对,基于国密SM3算法计算密文度量值的第一摘要值,利用生成的私钥对第一摘要值进行加密处理,生成密文度量值的数字签名;可信设备将包括公钥、密文度量值、数字签名的验证信息发送至认证服务器,由认证服务器对可信设备进行完整性验证。
认证服务器接收可信设备发送的验证信息,从中解析出公钥、密文度量值、数字签名;先对密文度量值的数字签名进行验证,以验证密文度量值的真实性,具体是利用接收的公钥对接收的数字签名进行解密处理,生成密文度量值的第二摘要值,基于国密SM3算法计算接收的密文度量值的第一摘要值,将第一摘要值与第二摘要值进行比较,若不一致则签名验证未通过,密文度量值可能被篡改,向可信设备发送完整性验证未通过消息,若一致则签名验证通过,继续进行完整性验证过程,包括:认证服务器以随机数为对称密钥,基于国密SM4算法对接收的密文度量值进行解密处理,生成明文度量值,将明文度量值与认证服务器保存的可信设备的基准度量值进行比较,若不一致则完整性验证未通过,向可信设备发送完整性验证未通过消息,若一致则完整性验证通过,向可信设备发送完整性验证通过消息。其中,将明文度量值与基准度量值进行比较,即是指将明文度量值列表与基准度量值列表中相对应的度量值分别进行比较,若有其中一个不一致均认为验证未通过。
其中,认证服务器保存的基准度量值是可信设备通过认证服务器进行第一次完整性验证过程中,利用上述步骤S30-S35方法过程中生成的明文度量值,即,将可信设备与认证服务器进行第一次验证过程中生成的明文度量值作为可信设备的基准度量值。
图4为本发明实施例的可信设备的可信验证装置结构示意图。如图所示,本发明实施例提供的可信验证装置,包括:
度量模块,用于于可信设备加电,逐级度量构建可信链过程中,利用国密SM3算法计算每级被度量数据的度量值,将度量值保存于可信计算模块的PCR寄存器中;可选的,将度量值以PCR扩展方法保存于PCR寄存器中。
所述可信验证装置还包括:
第一数据收发模块,用于向认证服务器发送完整性验证请求,以及接收认证服务器利用国密SM3算法生成的随机数,以及向认证服务器发送包括公钥、密文度量值、数字签名的验证信息,以及接收认证服务器发送的完整性验证通过消息或是完整性验证未通过消息;
加密模块,用于以接收的随机数为对称密钥,利用国密SM4算法对从PCR寄存器中读取出的度量值进行加密处理,生成密文度量值;
签名模块,用于基于可信计算模块创建国密SM2算法的公钥、私钥对,利用私钥对密文度量值进行加密处理,生成密文度量值的数字签名。
图5为本发明实施例的认证服务器的可信验证装置结构示意图。如图所示,所述认证服务器用于对可信设备进行完整性验证,认证服务器包括可信验证装置,可信验证装置包括:
第二数据收发模块,用于接收可信设备发送的完整性验证请求,以及向可信设备发送随机数,以及接收可信设备发送的包括公钥、密文度量值、数字签名的验证信息,以及若签名验证模块得到签名验证未通过或是完整性验证模块得到完整性验证未通过,向可信设备发送完整性验证未通过消息,若完整性验证模块得到完整性验证通过,向可信设备发送完整性验证通过消息;
随机数生成模块,用于根据接收的完整性验证请求,利用国密SM3算法生成随机数;
签名验证模块,用于根据接收的验证信息,解析出公钥、密文度量值、数字签名,利用公钥对数字签名进行解密处理,生成密文度量值的第二摘要值,利用国密SM3算法计算解析出的密文度量值的第一摘要值,将第一摘要值与第二摘要值进行比较,若第一摘要值与第二摘要值一致则签名验证通过,若不一致则签名验证未通过;
完整性验证模块,用于根据签名验证模块的签名验证结果,若签名验证通过,以随机数为对称密钥,利用国密SM4算法对密文度量值进行解密处理,生成明文度量值,将明文度量值与认证服务器保存的可信设备的基准度量值进行比较,若一致则可信设备的完整性验证通过,若不一致则可信设备的完整性验证未通过。
本发明的可信验证方法及装置,基于可信设备实现,首先在可信设备的可信链构建过程中,利用国密算法计算各级被度量数据的度量值,将度量值保存于可信计算模块的PCR寄存器中。之后,可信设备通过认证服务器进行完整性验证过程,验证过程中利用国密算法进行签名验证与度量值的完整性验证。本发明基于国密算法实现可信设备的可信链构建与完整性验证,能够保证可信设备的安全性和可控性。
以上所述是本发明的较佳实施例及其所运用的技术原理,对于本领域的技术人员来说,在不背离本发明的精神和范围的情况下,任何基于本发明技术方案基础上的等效变换、简单替换等显而易见的改变,均属于本发明保护范围之内。

Claims (8)

1.一种可信验证方法,应用于可信设备,所述可信设备配置有可信计算模块,其特征在于,方法包括:
构建可信链:所述可信设备加电,逐级度量构建可信链过程中,利用国密SM3算法计算每级被度量数据的度量值,将所述度量值保存于所述可信计算模块的PCR寄存器中。
2.根据权利要求1所述的方法,其特征在于,所述度量值以PCR扩展方法保存于所述PCR寄存器中。
3.根据权利要求1所述的方法,其特征在于,还包括:
所述可信设备启动后,向认证服务器发送完整性验证请求;
接收所述认证服务器利用国密SM3算法生成的随机数;
从所述PCR寄存器中读取出所述度量值,以所述随机数为对称密钥,利用国密SM4算法对所述度量值进行加密处理,生成密文度量值;
基于所述可信计算模块创建国密SM2算法的公钥、私钥对,利用国密SM3算法计算所述密文度量值的第一摘要值,利用所述私钥对所述第一摘要值进行加密处理,生成所述密文度量值的数字签名;
将包括所述公钥、密文度量值、数字签名的验证信息发送至所述认证服务器,由所述认证服务器根据所述验证信息对所述可信设备进行完整性验证。
4.一种可信验证方法,应用于认证服务器,其特征在于,包括:
接收可信设备发送的完整性验证请求;
利用国密SM3算法生成随机数,将随机数发送至所述可信设备;
接收所述可信设备发送的包括公钥、密文度量值、数字签名的验证信息,从中解析出所述公钥、密文度量值、数字签名;
利用所述公钥对所述数字签名进行解密处理,生成密文度量值的第二摘要值,利用国密SM3算法计算所述密文度量值的第一摘要值;
将所述第一摘要值与所述第二摘要值进行比较,若不一致则向所述可信设备发送完整性验证未通过消息;若一致则:
以所述随机数为对称密钥,利用国密SM4算法对所述密文度量值进行解密处理,生成明文度量值;
将所述明文度量值与所述认证服务器保存的所述可信设备的基准度量值进行比较,若一致则向所述可信设备发送完整性验证通过消息,若不一致则向所述可信设备发送完整性验证未通过消息。
5.一种可信验证装置,应用于可信设备,所述可信设备配置有可信计算模块,其特征在于,包括:
度量模块,用于于所述可信设备加电,逐级度量构建可信链过程中,利用国密SM3算法计算每级被度量数据的度量值,将所述度量值保存于所述可信计算模块的PCR寄存器中。
6.根据权利要求5所述的装置,其特征在于,所述度量值以PCR扩展方法保存于所述PCR寄存器中。
7.根据权利要求5所述的装置,其特征在于,还包括:
第一数据收发模块,用于向认证服务器发送完整性验证请求,以及接收所述认证服务器利用国密SM3算法生成的随机数,以及向所述认证服务器发送包括公钥、密文度量值、数字签名的验证信息,以及接收所述认证服务器发送的完整性验证通过消息或是完整性验证未通过消息;
加密模块,用于以所述随机数为对称密钥,利用国密SM4算法对从所述PCR寄存器中读取出的度量值进行加密处理,生成所述密文度量值;
签名模块,用于基于所述可信计算模块创建国密SM2算法的公钥、私钥对,利用所述私钥对所述密文度量值进行加密处理,生成所述密文度量值的数字签名。
8.一种可信验证装置,应用于认证服务器,用于对可信设备进行完整性验证,其特征在于,所述装置包括:
第二数据收发模块,用于接收所述可信设备发送的完整性验证请求,以及向所述可信设备发送随机数,以及接收所述可信设备发送的包括公钥、密文度量值、数字签名的验证信息,以及若签名验证模块得到签名验证未通过或是完整性验证模块得到完整性验证未通过,向所述可信设备发送完整性验证未通过消息,若完整性验证模块得到完整性验证通过,向所述可信设备发送完整性验证通过消息;
随机数生成模块,用于根据所述完整性验证请求,利用国密SM3算法生成所述随机数;
签名验证模块,用于根据所述验证信息,解析出所述公钥、密文度量值、数字签名,利用所述公钥对所述数字签名进行解密处理,生成所述密文度量值的第二摘要值,利用国密SM3算法计算所述密文度量值的第一摘要值,将所述第一摘要值与所述第二摘要值进行比较,若所述第一摘要值与所述第二摘要值一致则签名验证通过,若不一致则签名验证未通过;
完整性验证模块,用于根据所述签名验证模块的签名验证结果,若所述签名验证通过,以所述随机数为对称密钥,利用国密SM4算法对所述密文度量值进行解密处理,生成明文度量值,将所述明文度量值与所述认证服务器保存的所述可信设备的基准度量值进行比较,若一致则所述可信设备的完整性验证通过,若不一致则所述可信设备的完整性验证未通过。
CN201811477343.1A 2018-12-05 2018-12-05 一种可信验证方法及装置 Pending CN109586920A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811477343.1A CN109586920A (zh) 2018-12-05 2018-12-05 一种可信验证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811477343.1A CN109586920A (zh) 2018-12-05 2018-12-05 一种可信验证方法及装置

Publications (1)

Publication Number Publication Date
CN109586920A true CN109586920A (zh) 2019-04-05

Family

ID=65926221

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811477343.1A Pending CN109586920A (zh) 2018-12-05 2018-12-05 一种可信验证方法及装置

Country Status (1)

Country Link
CN (1) CN109586920A (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110347479A (zh) * 2019-07-10 2019-10-18 大唐高鸿信安(浙江)信息科技有限公司 一种可信链的构建方法及***
CN111783097A (zh) * 2020-05-28 2020-10-16 东方红卫星移动通信有限公司 一种星载计算***的信息完整性度量验证方法及***
CN112000935A (zh) * 2019-05-27 2020-11-27 阿里巴巴集团控股有限公司 远程认证方法、装置、***、存储介质及计算机设备
CN112287399A (zh) * 2019-07-22 2021-01-29 科大国盾量子技术股份有限公司 一种数字签名方法、***及装置
CN112769800A (zh) * 2020-12-31 2021-05-07 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) 交换机的完整性验证方法、装置和计算机存储介质
WO2021135978A1 (zh) * 2019-12-31 2021-07-08 华为技术有限公司 可信状态证明的方法和相关设备
CN113518071A (zh) * 2021-04-13 2021-10-19 北京航空航天大学 一种机器人传感器信息安全增强装置与方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090172378A1 (en) * 2007-12-28 2009-07-02 Kazmierczak Gregory J Method and system for using a trusted disk drive and alternate master boot record for integrity services during the boot of a computing platform
CN101477602A (zh) * 2009-02-10 2009-07-08 浪潮电子信息产业股份有限公司 一种可信计算环境中远程证明的方法
CN102136044A (zh) * 2010-07-14 2011-07-27 华为技术有限公司 安全启动方法、装置及计算机***
CN104410580A (zh) * 2014-11-28 2015-03-11 深圳市华威世纪科技股份有限公司 可信安全WiFi路由器及其数据处理方法
CN107145802A (zh) * 2017-05-09 2017-09-08 郑州云海信息技术有限公司 一种bios完整性度量方法、基板管理控制器和***
CN107493271A (zh) * 2017-07-28 2017-12-19 大唐高鸿信安(浙江)信息科技有限公司 可信安全网络***

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090172378A1 (en) * 2007-12-28 2009-07-02 Kazmierczak Gregory J Method and system for using a trusted disk drive and alternate master boot record for integrity services during the boot of a computing platform
CN101477602A (zh) * 2009-02-10 2009-07-08 浪潮电子信息产业股份有限公司 一种可信计算环境中远程证明的方法
CN102136044A (zh) * 2010-07-14 2011-07-27 华为技术有限公司 安全启动方法、装置及计算机***
CN104410580A (zh) * 2014-11-28 2015-03-11 深圳市华威世纪科技股份有限公司 可信安全WiFi路由器及其数据处理方法
CN107145802A (zh) * 2017-05-09 2017-09-08 郑州云海信息技术有限公司 一种bios完整性度量方法、基板管理控制器和***
CN107493271A (zh) * 2017-07-28 2017-12-19 大唐高鸿信安(浙江)信息科技有限公司 可信安全网络***

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112000935A (zh) * 2019-05-27 2020-11-27 阿里巴巴集团控股有限公司 远程认证方法、装置、***、存储介质及计算机设备
CN110347479A (zh) * 2019-07-10 2019-10-18 大唐高鸿信安(浙江)信息科技有限公司 一种可信链的构建方法及***
CN112287399A (zh) * 2019-07-22 2021-01-29 科大国盾量子技术股份有限公司 一种数字签名方法、***及装置
CN112287399B (zh) * 2019-07-22 2022-09-27 科大国盾量子技术股份有限公司 一种数字签名方法、***及装置
WO2021135978A1 (zh) * 2019-12-31 2021-07-08 华为技术有限公司 可信状态证明的方法和相关设备
CN111783097A (zh) * 2020-05-28 2020-10-16 东方红卫星移动通信有限公司 一种星载计算***的信息完整性度量验证方法及***
CN112769800A (zh) * 2020-12-31 2021-05-07 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) 交换机的完整性验证方法、装置和计算机存储介质
CN112769800B (zh) * 2020-12-31 2022-10-04 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) 交换机的完整性验证方法、装置和计算机存储介质
CN113518071A (zh) * 2021-04-13 2021-10-19 北京航空航天大学 一种机器人传感器信息安全增强装置与方法

Similar Documents

Publication Publication Date Title
CN109586920A (zh) 一种可信验证方法及装置
CN102271042B (zh) 数字证书认证方法、***、USB Key设备和服务器
CN103095456B (zh) 交易报文的处理方法和***
CN111224788B (zh) 一种基于区块链的电子合同管理方法、装置及***
CN103067402B (zh) 数字证书的生成方法和***
CN109802825A (zh) 一种数据加密、解密的方法、***及终端设备
CN103078742B (zh) 数字证书的生成方法和***
CN109257328B (zh) 一种现场运维数据的安全交互方法及装置
CN105227319A (zh) 一种验证服务器的方法及装置
JP2008507203A (ja) ディストリビューションcdを使用した、署名されたグループにおけるダイレクトプルーフの秘密鍵を装置に伝達する方法
CN111435913A (zh) 一种物联网终端的身份认证方法、装置和存储介质
CN103401844A (zh) 操作请求的处理方法及***
CN105099705B (zh) 一种基于usb协议的安全通信方法及其***
CN109474419A (zh) 一种活体人像照片加密、解密方法及加解密***
CN104050431A (zh) 一种rfid芯片的自签名方法及其装置
CN111130798A (zh) 一种请求鉴权方法及相关设备
CN115795513A (zh) 文件加密和文件解密方法、装置以及设备
CN106953731B (zh) 一种终端管理员的认证方法及***
CN110049045B (zh) 一种电力载波的安全认证***
CN109889344A (zh) 终端、数据的传输方法和计算机可读存储介质
CN112583594B (zh) 数据处理方法、采集设备和网关、可信平台及存储介质
CN112910641A (zh) 用于跨链交易监管的验证方法、装置、中继链节点及介质
CN104883260B (zh) 证件信息处理和验证方法、处理终端及验证服务器
CN109218009B (zh) 一种提高设备id安全性的方法、客户端和服务器
CN114091055A (zh) 一种量子加密信息传输***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190405

RJ01 Rejection of invention patent application after publication