一种设备的安全性验证方法、设备及可信模块

技术领域

本申请涉及设备安全验证领域，尤其涉及一种设备的安全性验证方法、设备及可信模块。

背景技术

服务器等贵重设备交付给客户之前，会经过一个复杂的供应链，供应链包括生产供应链、运输供应链和销售供应链等。

在设备厂商和用户之间的供应链，存在着安全隐患，安全隐患会对设备的安全性造成影响。供应链存在导致的安全隐患主要有：在设备产品的装配和制造过程中，可能存在恶意行为，例如电路设计修改(植入硬件木马、扫描攻击等)、固件修改等；在运输供应链和销售供应链中可能存在替换贵重硬件或者存在修改固件等恶意行为。考虑到供应链的对设备造成的安全威胁，用户希望得到的最终设备没有发生任何硬件和固件的篡改，因此，需要提供一种方法，该方法能够对设备的安全性进行验证，及时发现发生在供应链过程中的设备篡改，避免设备篡改给用户带来更大的损失。当前，服务器等设备产品出厂后主要通过在包装箱上贴纸质标签的方法保证在运输过程中防止被篡改。通过贴纸质标签的方法安全性差，标签容易被撕除、替换，供应链过程仍存在安全隐患。

发明内容

为了解决上述技术问题或者至少部分地解决上述技术问题，本申请提供一种设备的安全性验证方法、装置及介质。

第一方面，本申请提供一种设备的安全性验证方法，包括：

通过设备密钥对设备固件的初始固件摘要进行加密获取度量根；其中，所述设备密钥存储于设备中的可信模块；

构建第六证书，所述第六证书用于验证设备是否发生硬件或固件篡改，其中，第六证书内容包括度量根和设备硬件资产信息；

构建第三密钥对，所述第三密钥对用于对第六证书进行加密及对第六证书的合法性验证。

更进一步地，生成包含第一私钥和第一公钥的第一密钥对，所述第一密钥对用于对所述可信模块进行合法性验证；其中，

将第一私钥绑定所述可信模块，将所述第一公钥添加于第一证书中；

判断经验证合法的第一证书中的对应第一私钥的第一公钥是否合法，第一公钥不合法则判断可信模块发生更改。

更进一步地，生成包含第二私钥和第二公钥的第二密钥对，所述第二密钥对用于对第一证书进行加密及对第一证书进行合法性验证。

更进一步地，所述第三密钥对用于对第六证书进行加密验证的过程包括：

用杂凑算法计算第六证书的第一摘要，通过第三密钥对的第三私钥对第一摘要进行签名获取第一签名值；

第三密钥对的第三公钥设置于第三证书；

用户通过第三证书中的第三公钥验签获取的第一签名值获取第一摘要，重新通过杂凑算法处理第六证书获取第二摘要，对比第二摘要和第一摘要是否相同以判断第六证书合法性。

更进一步地，所述第六证书中包含所述第一证书的索引。

更进一步地，由用户生成第四密钥对，所述第四密钥对用于验证用户身份的合法性；

所述第四密钥对中的第四私钥由用户保留，第四公钥设置于第四证书；

可信模块判断经验证合法的第四证书中对应第四私钥的第四公钥是否合法以确定用户是否合法，从而使用户具备了持有第四私钥对可信模块验证进行操作的权限。

更进一步地，生成包含第五私钥和第五公钥的第五密钥对，所述第五密钥对用于对第四证书加密及对第四证书进行合法性验证。

更进一步地，所述第六证书用于验证设备是否发生硬件或固件篡改包括：

用户通过所述设备密钥解密合法第六证书中的度量根，获取设备固件的初始固件摘要，并重新计算设备固件的当前固件摘要，比较当前固件摘要与初始固件摘要是否相同，不相同则判断设备发生硬件或固件篡改。

第二方面，本申请提供一种安全性可验证的设备，包括：

可信模块验证模块，所述可信模块验证模块根据经验证合法的第一证书中的第一公钥是否合法来验证可信模块是否被篡改；

设备验证模块，所述设备验证模块根据经验证合法的第六证书验证设备是否被篡改；

用户验证模块，所述用户验证模块根据经验证合法的第四证书中的第四公钥的合法性来判断用户是否具有操作权限；

第六证书生成模块，所述第六证书生成模块生成包含硬件资产信息和度量根的第六证书，其中，所述度量根由度量根计算模块生成，所述度量根计算模块根据可信模块中的设备密钥计算设备固件的度量根；

第六证书验证模块，所述第六证书验证模块用于验证用户获取的第六证书的合法性；

第一证书验证模块，所述第一证书验证模块用于验证第一证书的合法性，

第四证书验证模块，所述第四证书验证模块用于验证第四证书的合法性。

第三方面，本申请提供一种实现设备的安全性验证方法的可信模块，所述实现设备的安全性验证方法的可信模块绑定第一私钥，存储与设备绑定的设备密钥、第五证书；以及配置至少一条指令，执行所述指令调用第五证书以验证用户提供的第四证书是否合法，第四证书验证合法后确定用户身份合法。

本申请实施例提供的上述技术方案与现有技术相比具有如下优点：

本申请利用第一证书构建可信模块的安全验证机制，通过第六证书构建设备安全验证机制，利用第四证书构建用户身份识别机制；再利用第二证书构建第一证书合法性验证模块，通过第三证书构建第六证书合法性验证机制，通过第五证书构建对第四证书合法性验证机制；从而构建出对设备安全性进行验证的安全性验证系统。

若第一证书被篡改，能够通过第二证书验证知晓，若可信模块被替换，可以通过对第一证书验证知晓；若第六证书被篡改，可以通过第三证书验证知晓，若设备的硬件或者固件被篡改，通过合法第六证书的度量根恢复出的初始固件摘要与基于设备现状计算的当前固件摘要必然不同，从而可以知晓设备硬件或固件篡改；若第四证书被篡改，可以通过第五证书验证知晓，第四证书验证合法从而识别用户身份。

通过以上方式实现了设备在供应链中的任何改动均会被用户获知，设备的安全性得以检验，保证了用户的合法权益。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的设备的安全性验证方法的两个部分示意图；

图2为本申请实施例提供的利用构建的安全性验证系统验证用户身份的流程图；

图3为本申请实施例提供的利用构建的安全性验证系统验证设备的安全性中验证第六证书的合法性的流程图；

图4为本申请实施例提供的利用构建的安全性验证系统验证设备的安全性中验证设备属性的完整性的流程图；

图5为本申请实施例提供的利用构建的安全性验证系统验证可信模块合法性的流程图；

图6为本申请实施例提供的一种安全性可验证的设备。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请的一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

实施例1

参阅图1所示，本申请实施例提供一种设备的安全性验证方法，包括安全性验证系统的构建和利用构建的安全性验证系统进行的安全验证。

其中，安全验证系统的构建包括可信模块的厂商构建可信模块合法性验证机制：

可信模块的厂商基于RSA算法生成2048位的第一密钥对EK，所述第一密钥对EK包含第一私钥EK_pri和第一公钥EK_pub。

将每个所述可信模块绑定第一私钥EK_pri，使第一私钥EK_pri永久存储于对应的可信模块内部；将第一公钥EK_pub设置于第一证书EK_Cert中，所述第一证书EK_Cert中还包括可信模块属性信息。

可信模块的厂商通过杂凑算法处理第一证书EK_Cert获取第一证书EK_Cert的第三摘要，一种可行的杂凑算法为SHA-256算法。

可信模块的厂商基于RSA算法生成2048位非对称的第二密钥对TM_fac，所述第二密钥对TM_fac包含第二私钥TM_fac_pri和第二公钥TM_fac_pub。

可信模块的厂商通过第二私钥TM_fac_pri对第三摘要进行签名，获取相应的第二签名值。

将第二公钥TM_fac_pub添加到第二证书TM_Cert中，第二证书TM_Cert还包括可信模块的厂商信息。

安全验证系统的构建包括设备厂商利用可信模块构建设备属性完整性验证机制：

设备厂商在设备中集成所述可信模块，如服务器厂商将可信模块集成在服务器的主板上。设备厂商生成设备密钥PK，并将设备密钥PK存储于可信模块中，实现设备密钥PK与设备的绑定。

设备出厂前通过设备密钥PK对设备初始的固件的摘要进行加密获取度量根；具体实施过程中，通过杂凑算法计算初始的固件摘要，并通过设备密钥对初始的固件摘要进行加密获取度量根，将度量根存储于可信模块中。

配置第六证书PK_Cert，所述第六证书PK_Cert包括第一证书EK_Cert的索引和设备属性信息。其中，所述设备属性信息包括硬件资产信息和度量根；第一证书EK_Cert的索引用于为用户提供获取第一证书EK_Cert的途径。

设备厂商用杂凑算法处理第六证书PK_Cert，获取第六证书PK_Cert的第一摘要；一种可行的杂凑算法为SHA-256算法。

设备厂商基于RSA算法生成2048位非对称的第三密钥对PK_fac，所述第三密钥对PK_fac包含第三私钥PK_fac_pri和第三公钥PK_fac_pub。

通过第三密钥对PK_fac的第三私钥PK_fac_pri对第一摘要进行签名获取第一签名值，将第三密钥对PK_fac的第三公钥PK_fac_pub设置于第三证书PK_fac_Cert。

安全验证系统的构建包括用户构建的用户身份验证机制：

由用户基于RSA算法生成2048位非对称的第四密钥对UK，所述第四密钥对UK包括第四私钥UK_pri和第四公钥UK_pub。

其中，所述第四密钥UK对中的第四私钥UK_pri由用户保留，作为后续操作可信模块的密钥，以实现可信模块的接口调用及功能操作；所述第四密钥UK对中的第四公钥UK_pub设置于第四证书UK_Cert中。

通过杂凑算法处理第四证书UK_Cert，获取第四证书UK_Cert的第五摘要。

由用户基于RSA算法生成2048位非对称的第五密钥对User，第五密钥对User包含第五私钥User_pri和第五公钥User_pub，第五公钥设置于第五证书User_Cert中，第五证书User_Cert设置于可信模块。

通过第五私钥User_pri对第五摘要进行签名获取第三签名值。

利用构建的安全性验证系统进行的安全验证包括验证用户身份。可信模块验证第四公钥是否合法以确定用户身份是否合法，从而使用户具备了持有第四私钥对可信模块验证进行操作的权限。具体的，参阅图2所示，验证用户身份包括：

首先，可信模块通过验证第四证书UK_Cert的合法性以确定第四公钥UK_pub的合法性。

具体的，可信模块获取第四证书UK_Cert的第三签名值和第四证书UK_Cert；可信模块通过第五证书User_Cert中的第五公钥User_pub验签第三签名值获取第五摘要；可信模块通过杂凑算法重新处理第四证书UK_Cert，获取第六摘要；对比第五摘要和第六摘要是否相同，不相同则判断第四证书UK_Cert被篡改，第四证书UK_Cert中的第四公钥UK_pub非法，相同则判断第四公钥UK_pub合法。

确定第四证书UK_Cert合法后，所述可信模块通过合法的第四公钥UK_pub可确认用户身份合法，允许用户获取操作权限。

利用构建的安全性验证系统进行的安全验证包括验证设备的安全性。具体的，验证设备的安全性包括：

首先，参阅图3所示，验证第六证书的合法性：

用户获取设备后，获取第三证书PK_fac_Cert、第六证书PK_Cert的第一签名值及第六证书PK_Cert；

通过第三证书PK_fac_Cert中的第三公钥PK_fac_pub验签第一签名值获取第一摘要；

重新通过杂凑算法处理第六证书PK_Cert获取第二摘要；

对比第二摘要和第一摘要是否一致，一致则判断第六证书合法，不一致则判断第六证书被篡改。

验证设备本体的安全性还包括验证设备属性的完整性，具体的，参阅图4所示，验证设备属性的完整性包括：

用户从可信模块获取设备密钥PK；

通过设备密钥PK解密设备当前的度量根，恢复设备初始的固件的初始固件摘要；

重新计算设备固件的当前固件摘要；

比较当前固件摘要与初始固件摘要是否相同，不相同则判断设备发生硬件或固件篡改，设备属性不完整，相同则判断设备属性完整。

利用构建的安全性验证系统进行的安全验证包括验证可信模块的合法性。具体的，参阅图5所示，验证可信模块合法性包括：

首先验证第一证书EK_Cert的合法性:

获取第一证书EK_Cert、第二签名值和第二证书TM_Cert；

通过第二证书TM_Cert中第二公钥TM_fac_pub验签第二签名值获取第三摘要；

重新计算第一证书EK_Cert的第四摘要；

对比第三摘要和第四摘要是否相同，不相同则判断第一证书EK_Cert被篡改，第一公钥EK_pub非法；相同则判断第一证书EK_Cert及第一证书EK_Cert中的第一公钥EK_pub合法。用户验证对应第一私钥的第一公钥是否合法，不合法则判断可信模块发生更改。

本申请利用第一证书构建可信模块的安全验证机制，通过第六证书构建设备安全验证机制，利用第四证书构建用户身份识别机制；再利用第二证书构建第一证书合法性验证模块，通过第三证书构建第六证书合法性验证机制，通过第五证书构建对第四证书合法性验证机制；从而构建出对设备安全性进行验证的安全性验证系统。

若第一证书被篡改，能够通过第二证书验证知晓，通过第一证书是否合法判断可信模块的合法性；若第六证书被篡改，可以通过第三证书验证知晓，若设备的硬件或者固件被篡改，通过合法第六证书的度量根恢复出的初始固件摘要与基于设备现状计算的当前固件摘要必然不同，从而可以知晓设备硬件或固件篡改；若第四证书被篡改，可以通过第五证书验证知晓，第四证书验证合法从而识别用户身份。

通过以上方式实现了设备在供应链中的任何改动均会被用户获知，设备的安全性得以检验，保证了用户的合法权益。

实施例2

参阅图6所示，本申请实施例提供一种安全性可验证的设备，包括：

可信模块验证模块，所述可信模块验证模块根据第一公钥是否合法验证可信模块是否被篡改；具体实施过程中，所述安全性可验证的设备包括第一证书验证模块，所述第一证书验证模块用于验证第一证书的合法性。

设备验证模块，所述设备验证模块根据出厂后的第六证书验证设备是否被篡改；具体实施过程中，所述安全性可验证的设备包括：第六证书生成模块，所述第六证书生成模块生成包含硬件资产信息和度量根的第六证书，其中，所述度量根由度量根计算模块生成，所述度量根计算模块根据可信模块中的设备密钥计算设备固件的度量根。用户接收设备后，设备验证模块通过合法的第六证书的度量根恢复出初始固件摘要，并通过度量根计算模块重新生成设备固件的当前固件摘要；第六证书验证模块，所述第六证书验证模块用于验证用户获取的第六证书的合法性。

用户验证模块，所述用户验证模块根据合法的第四公钥为用户分配操作权限。具体实施过程中，所述安全性可验证的设备还包括：第四证书验证模块，所述第四证书验证模块用于验证第四证书的合法性。

实施例3

本申请实施例提供一种实现设备的安全性验证方法的可信模块，采用本申请中的可信模块采用TPM可信平台模块、TCM可信密码模块或TPCM可信平台控制模块中的任意一种。所述实现设备的安全性验证方法的可信模块绑定第一私钥，存储与设备绑定的设备密钥、第五证书；以及配置至少一条指令，执行所述指令调用第五证书以验证用户提供的第四证书是否合法，通过合法的第四证书可验证用户的身份是合法的。

在本发明所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

以上所述仅是本发明的具体实施方式，使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。