[发明专利]用于供应用于固件受信任平台模块的认可密钥证书的装置和方法

权利要求书

1.一种用于供应用于固件受信任平台模块fTPM的认可密钥EK证书的方法，其包括：

从硬件受信任平台HWTP接收派生密钥DK，其中所述fTPM在所述HWTP中实施，所述DK从安全地存储于所述HWTP中的硬件密钥HWK派生，所述HWK为所述HWTP所特有，且所述HWK对于所述fTPM为不可用的；

基于所述DK产生认可初级种子EPS；

基于所述EPS的散列产生散列的认可初级种子HEPS；

将所述HEPS转发到供应站；以及

从所述供应站接收对应于所述HEPS的EK证书。

2.根据权利要求1所述的方法，其进一步包括：

产生构成EK的公用密钥和私有密钥，其中所述EK证书具有所述公用密钥。

3.根据权利要求1所述的方法，其进一步包括：

将所述EK证书存储在仅对所述fTPM为可用的所述HWTP的安全非易失性存储器中。

4.根据权利要求1所述的方法，其中所述供应站具有HEPS和对应的EK证书的数据库，且其中每一HEPS和对应的EK证书仅与一个特定的fTPM相关联。

5.一种站点，其包括：

用于从硬件受信任平台HWTP接收派生密钥DK的装置，其中用于接收所述DK的所述装置在所述HWTP中实施，所述DK从安全地存储于所述HWTP中的硬件密钥HWK派生，所述HWK为所述HWTP所特有，且所述HWK对于用于接收所述DK的所述装置为不可用的；

用于基于所述DK产生认可初级种子EPS的装置；

用于基于所述EPS的散列产生散列的认可初级种子HEPS的装置；

用于将所述HEPS转发到供应站的装置；以及

用于从所述供应站接收对应于所述HEPS的认可密钥EK证书的装置。

6.根据权利要求5所述的站点，其进一步包括：

用于产生构成EK的公用密钥和私有密钥的装置，其中所述EK证书具有所述公用密钥，其中确定性函数包含散列函数。

7.根据权利要求5所述的站点，其进一步包括：

用于在所述HWTP的安全非易失性存储器中存储所述EK证书的装置。

8.一种站点，其包括：

处理器，其经配置以：

从硬件受信任平台HWTP接收派生密钥DK，其中所述DK从安全地存储于所述HWTP中的硬件密钥HWK派生，所述HWK为所述HWTP所特有，且所述HWK对于固件受信任平台模块fTPM为不可用的；

基于所述DK产生认可初级种子EPS；

基于所述EPS的散列产生散列的认可初级种子HEPS；

将所述HEPS转发到供应站；以及

从所述供应站接收对应于所述HEPS的认可密钥EK证书。

9.根据权利要求8所述的站点，其中所述fTPM产生构成EK的公用密钥和私有密钥，且所述EK证书具有所述公用密钥。

10.根据权利要求8所述的站点，其中所述fTPM将所述EK证书存储在仅对所述fTPM为可用的所述HWTP的安全非易失性存储器中。

11.根据权利要求8所述的站点，其中所述供应站具有HEPS和对应的EK证书的数据库，且其中每一HEPS和对应的EK证书仅与一个特定的fTPM相关联。

12.一种非暂时性计算机可读媒体，其包括：

用于使得计算机从硬件受信任平台HWTP接收派生密钥DK的代码，其中固件受信任平台模块fTPM在所述HWTP中实施，所述DK从安全地存储于所述HWTP中的硬件密钥HWK派生，所述HWK为所述HWTP所特有，且所述HWK对于所述fTPM为不可用的；

用于使得计算机基于所述DK产生认可初级种子EPS的代码；

用于使得计算机基于所述EPS的散列产生散列的认可初级种子HEPS的代码；

用于使得计算机将所述HEPS转发到供应站的代码；以及

用于使得计算机从所述供应站接收对应于所述HEPS的认可密钥EK证书的代码。

13.根据权利要求12所述的非暂时性计算机可读媒体，其进一步包括∶

用于使得计算机产生构成EK的公用密钥和私有密钥的代码，其中所述EK证书具有所述公用密钥，其中确定性函数包含散列函数。