[发明专利]基于TPM的嵌入式设备远程身份认证方法

摘要

基于TPM的嵌入式设备远程身份认证方法属于信息安全领域，利用的是可信计算技术，它是信息安全领域的一门新技术，具有自主免疫、全程可控可测等优点。本发明旨在利用可信计算完整性度量、密钥管理和平台绑定等优势，设计一种远程身份认证的方法。先对平台配置做可信度量，然后将度量值扩展到平台配置寄存器，把此度量值作为认证信息中的一项。TPM芯片内的背书密钥(EK)与平台身份绑定，由背书密钥(EK)产生身份认证密钥(AIK)，然后再由身份认证密钥(AIK)签名平台配置度量值，这样不但可以验证平台身份，还可以认证平台完整性。这相较于传统的远程身份认证优势明显。

主权项

1.基于TPM的嵌入式设备远程认证方法，其特征在于包括以下步骤：(1).生成平台完整性信息并存储：1.1在加载任一模块之前，通过可信平台模块TPM采用SHA1算法计算其二进制代码的散列值，并将其扩展到PCR中；(2).生成验证信息并打包发送：2.1用可信平台模块TPM生成一对AIK公私钥对；AIK公私钥对用RSA算法产生，步骤如下：1)随机产生两个大奇素数p和q；2)计算n，n＝p*q；3)随机选取一个数e，e是小于且与它互素的正整数；4)计算d，使得5)公钥为{e,n}，私钥为{d,p,q}；2.2把生成AIK的公钥、配置日志、平台完整性信息、哈希算法类型、背书证书和平台证书一起打包；2.3将包做MD5转换，生成摘要m2.4使用AIK(Attestation Identity Key)的私钥部分对产生的包摘要m进行签名，产生签名s；s＝m^d mod n2.5将签名值和包一起发送给一个可信第三方Privacy CA；(3).第三方验证配置信息：3.1可信第三方Privacy CA接收到申请请求信息之后，首先使用AIK的公钥检验签名信息是否正确；1)获得公钥{n,e}；2)计算m’＝s^e mod n3)验证m是否等于m’，如果相等，则签名通过；3.2读取包中的哈希算法类型；3.3对配置日志用SHA‑1取哈希值；3.4与请求者上传的日志哈希值对比，看是否正确；(4).第三方颁发证书：4.1若签名和哈希值都正确，则根据其中的AIK公钥部分生成一个身份密钥证书；4.2可信第三方Privacy CA产生一个对称密钥作为会话密钥；4.3使用会话密钥对新生成的AIK证书进行加密,产生一个对称加密密文；4.4可信第三方Privacy CA使用发送申请请求的可信平台模块的EK公钥对该会话密钥加密，产生一个非对称密文结构；应答信息包括被加密的会话密钥，被加密的证书，以及加密算法参数；1)首先将明文比特串分组，使得每个分组对应的十进制数小于n，即分组长度小于log₂n；n＝p*q.2)然后对每个明文分组M作加密运算：c＝M^e(mod n)；4.5可信第三方Privacy CA将上述应答信息发送给可信平台模块；(5).平台解密证书：5.1平台首先使用自己的EK私钥部分解密加密证书的会话密钥；对密文分组c作解密运算：M＝c^d(mod n)；5.2再使用该会话密钥解密证书。