可信计算平台密钥授权数据管理系统及方法

摘要

本发明涉及一种可信计算密钥授权数据管理系统，包括可信平台模块、授权数据管理模块、授权数据列表存储模块以及密钥存储模块。授权数据管理模块与可信平台模块、密钥存储模块以及授权数据列表存储模块连接，用于授权数据的管理和授权数据的认证。授权数据列表存储模块与授权数据管理模块连接，用于存储授权数据列表。密钥存储模块与授权数据管理模块连接，包括：用于存储密钥标识的密钥标识存储模块和用于存储密钥相关信息的密钥相关信息存储模块。本发明还包括一种可信计算平台密钥授权数据管理方法，及该方法对应的一种授权数据维护方法。解决了TCG密码管理体系中密钥同步的问题，提高了授权数据管理效率和系统安全性。

说明书

技术领域

本发明涉及可信计算平台密钥管理系统及方法，属于信息安全领域。

背景技术

随着网络应用的普及，人们的信息保护意识日益增强，各种安全软件应运而生。事实证明，仅仅依靠软件不能从根本上解决安全问题。1999年，由Intel、惠普、微软、IBM等业界大公司成立了可信计算平台联盟(TrustedComputing P1atform Alliance，以下简称TCPA)，2003年改称为可信计算组织(Trusted Computing Group，以下简称TCG)。TCG提出的“可信计算”技术，通过在主板上加入一个称为可信平台模块(Trust Platform Module，以下简称TPM)的硬件作为系统信任根，提高了现有计算终端硬件结构的安全。目前，它已成为信息安全技术发展的主流趋势。可信计算以密码技术为核心，实现了平台身份鉴别，平台完整性测量、存储和报告，数据安全存储，系统可信引导等功能，弥补了传统PC体系在安全保护上的不足。现有TCG规范定义了一个庞大复杂的密码使用和管理体系。

TCG规范涉及七种密钥的管理，即签名密钥(Signing Key)、存储密钥(Storage Key，以下简称SK)、身份密钥(Attestation Identity Key，以下简称AIK)、签署密钥(Endorsement Key，以下EK)、绑定密钥(Bind Key)、继承密钥(Legacy Key)和认证密钥(Authentication Key)。

根据密钥使用范围的不同，上述七种密钥可以分为三类：

EK和AIK都属于平台身份密钥，用于平台身份鉴别和完整性报告，EK用于中请AIK公钥，AIK用于平台完整性值的报告和验证。

存储密钥用于保护在平台上存储的密钥和敏感数据，包括存储根密钥(Storage Root Key，SRK)、存储密钥(Storage Key，SK)。

应用密钥是由TPM保护可信计算平台上各种应用使用的密钥，包括签名密钥、绑定密钥、继承密钥和认证密钥。

TCG规范中，只有EK和SRK直接存放在TPM中保护，其它密钥加密后存放在TPM外部，这些外部密钥的存储保护使用SRK、SK，形成以SRK为根的多级密钥保护体系，即“密钥树”。在该密钥树中，除SRK以外的任何一个节点，均由其上级节点(即“父密钥”)加密保护。这样，任何一个密钥均具有一个从SRK到该密钥的唯一的路径，当需要使用该密钥时，就需要使用从SRK和解密第一级SK开始，由上至下逐级访问路径上的各个密钥。

TPM存储平台密钥和敏感数据，密钥和敏感数据统称为实体，每个实体创建时均分配一个授权数据，以后访问时只要输入正确的授权数据就可以使用该实体。TCG规范中的授权数据包括TPM所有者授权数据、SRK授权数据、各种外部存储密钥和敏感数据的授权数据，以及用于权限委派的授权数据。

现有TCG密码管理体系密钥存储结构中密钥授权数据和密钥的私钥一起用其父密钥加密后存放，构成密钥数据块(Keyblob)。

当TPM需要将一个密钥调入到TPM的内部时，先调入密钥数据块、其父密钥句柄(Handle)(要调入一个密钥必须确保其父密钥已经调入TPM中)、父密钥的授权数据等。接着，TMP判断父密钥的授权数据是否与外部提供的一致，如果相同则可以继续，否则返回错误。然后，使用其父密钥解密密钥数据块，将该密钥信息调入到TPM内部。调入TPM中的密钥可以被用来执行数据封装(seal)、绑定(bind)、签名(sign)等操作。

在实际中，由于安全的需要，在某些情况下，比如，原授权数据不慎泄露时，TPM对授权数据需要进行修改。在TCG密码管理体系中，密钥授权数据的修改按如下步骤进行：首先，验证父密钥的授权数据和要修改密钥的旧的授权数据；接着，有用户输入的数据经过散列(hash)操作后生成新的授权数据，用新的授权数据来替代旧的授权数据；最后，再使用父密钥对新的密钥数据块进行加密。

根据上述TCG密码管理体系中密钥授权数据的存储、使用和修改过程可以看出，在TCG密码管理体系中密钥和授权数据存放在一起。在判断是否有权使用密钥时，是从密钥数据块中取出授权数据，与外部提供的授权数据进行比较。修改授权数据时，也是修改密钥数据块中的授权数据。这样就会出现密钥同步的问题，在修改了授权数据后，如果有人知道以前的授权数据和相对应的以前的密钥数据块，则仍然可以使用该密钥。因为在密钥的使用过程中需要验证的是密钥数据块中的授权数据与提供的授权数据是否相等，所以只要两者相同，该密钥就可以使用。

密钥同步问题的存在，使得TPM可能受到敌手攻击，存在的重大安全缺陷。另外，由于原TCG密码管理体系中密钥和授权数据一一对应，每一个密钥都需要对应一个授权数据，对于存储在外部的TPM实体而言，授权数据实际上就是一个口令，这个口令由创建实体的用户产生。当外部实体数量不断增加时，用户不得不产生和管理大量口令，给使用造成不便。而且弱口令存在的可能，也给平台安全造成严重影响。

关于的TMP的具体可以进一步参阅以下文献：

1、TPM Main Part 1 Design Principles，specification version 1.2Level 2 Revision 94，29 march 2006；

2、TPM Main Part 2 TPM Structures，specification version 1.2Level 2 Revision 94，29 march 2006；

3、TPM Main Part 3 Commands，specification version 1.2 Level 2Revision 94，29 march 2006。

发明内容

本发明所要解决的技术问题是：解决TCG密码管理体系中密钥同步的问题，同时提高可信计算平台授权数据的管理效率。

为实现上述目的，本发明提供了一种可信计算平台密钥授权数据管理系统，包括可信平台模块、授权数据管理模块、授权数据列表存储模块以及密钥存储模块；

授权数据管理模块与可信平台模块、密钥存储模块以及授权数据列表存储模块连接，用于授权数据的管理和授权数据的认证；

授权数据列表存储模块与授权数据管理模块连接，用于存储授权数据列表；

密钥存储模块与授权数据管理模块连接，包括：密钥标识存储模块和密钥相关信息存储模块；

密钥标识存储模块，用于存储密钥标识；

密钥相关信息存储模块，用于存储密钥相关信息。

本发明还提供了一种可信计算平台密钥授权数据管理方法，包括下列步骤：

步骤1、授权数据管理模块接收密钥调用请求信息，根据该密钥调用请求信息，获得密钥标识；

步骤2、查询授权数据列表存储模块，判断所述密钥调用请求信息中是否包含该密钥标识对应的授权数据，是则执行步骤3，否则，执行步骤4；

步骤3、使用密钥完成操作，结束；

步骤4、返回错误信息，结束。

此外，本发明还提供了一种与上述可信计算平台密钥授权数据管理方法相应的授权数据维护方法，包括如下步骤：

步骤a、接收授权数据列表修改信息；

步骤b、判断授权数据列表修改信息是删除授权数据项信息、新建授权数据项信息或更新授权数据项信息，如果为删除授权数据项信息，执行步骤c；如果为新建授权数据项信息，执行步骤d；如果为更新授权数据项信息执行步骤e；否则，返回错误信息；

步骤c、从授权数据列表中删除相应的授权数据项，执行步骤f；

步骤d、建立新的授权数据项，根据授权数据列表修改信息在新建立的授权数据项中存储授权数据以及该授权数据对应的一个或多个密钥标识，执行步骤f；

步骤e、根据授权数据列表修改信息更新相应的授权数据项，执行步骤f；

步骤f、结束。

本发明具有以下优点：解决TCG密码管理体系中密钥同步的问题，使得在修改了授权数据后，即使有人知道以前的授权数据和相对应的以前的密钥块，也无法使用该密钥，以提高TPM的安全性能，消除TPM中因为密钥同步问题而存在的安全缺陷，并且与现有的TCG密钥授权管理方式兼容，灵活易用。本发明的另一优点在于提高了授权数据管理效率。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

图1为本发明的可信计算密钥管理系统结构图；

图2为本发明的可信计算密钥管理方法的流程图；

图3为本发明的授权数据维护方法的流程图。

具体实施方式

图1为实现本发明首先需要建立一种可信计算密钥授权数据管理系统，包括：可信平台模块、授权数据管理模块、授权数据列表存储模块以及密钥存储模块。授权数据管理模块与可信平台模块、密钥存储模块以及授权数据列表存储模块连接，用于授权数据的管理和授权数据的认证。授权数据列表存储模块与授权数据管理模块连接，用于存储授权数据列表。密钥存储模块与授权数据管理模块连接，包括：密钥标识存储模块和密钥相关信息存储模块。密钥标识存储模块，用于存储密钥标识。密钥相关信息存储模块，用于存储密钥相关信息。

可信平台模块与现有技术中的可信平台模块相同。授权数据管理模块可以采用硬件或者软件模块的方式实现。授权数据列表存储模块可以独立于可信计算平台之外，用于存储授权数据列表，可以采用硬件、数据库或其它方式实现。在该授权数据存储列表中，一个授权数据可以对应多个密钥标识，也就是说，拥有该授权数据的用户可以请求调用该授权数据对应的所有密钥标识相应的密钥。所有授权数据形成一个授权数据列表，该授权数据列表由存储在可信平台模块中专门的密钥加密(此密钥可以用SRK加密后存储在可信平台模块中)，存储在授权数据列表存储模块。也就是说，授权数据管理模块与授权数据列表存储模块之间的连接成为安全连接。授权数据管理模块只有从可信平台模块中调用相应密钥，才可以解密授权数据列表存储模块中存储的授权数据列表，从解密后的授权数据列表中获得授权数据信息，进行对授权数据列表的维护操作等。防止授权数据列表被敌手访问、篡改或恶意攻击。保证了授权数据列表的安全性。密钥存储模块包括密钥标识存储模块和密钥相关信息存储模块。密钥标识存储模块用于存储密钥标识。密钥相关信息存储模块，用于存储密钥相关信息。其中，密钥相关信息包括密钥，还可以包括其它和密钥有关的信息，比如迁移授权数据(migrationAuth)、公开数据摘要(pubDataDigest)等。其中，密钥标识和密钥一一对应，每个密钥都拥有相应的密钥标识。

因为授权数据列表中包括一个或多个授权数据项，因此，授权数据列表存储模块可以进一步包括：一个或多个授权数据项存储模块，用于存储授权数据项。其中每一个授权数据项包括一个授权数据，以及该授权数据对应的一个或多个密钥标识。由于每个密钥都对应唯一的密钥标识，即，密钥标识和密钥一一对应。因此，可以根据授权数据查找该授权数据对应的密钥标识，以判断某授权数据的持有者是否是该密钥的合法使用者。

由于每个授权数据项包括授权数据以及该授权数据对应的密钥标识，因此，授权数据项存储模块包括授权数据存储模块以及密钥标识存储模块。授权数据储存模块与授权数据模块链接，用于存储具体授权数据。密钥标识存储模块用于存储密钥的密钥标识。授权数据存储模块可以为一个。密钥标识存储模块可以为一个或多个。

在本发明可信计算平台密钥管理系统的实施例中，授权数据项存储模块包括的授权数据存储模块为一个，密钥标识存储模块可以为一个或多个，因此，一个授权数据可以对应到多个密钥标识。反过来说，同一项密钥标识也可以存储于多个授权数据项存储模块中，即，一项密钥标识可以对应多个授权数据。相对于现有技术中，密钥和授权数据一一对应，每一个密钥都需要对应一个不同的授权数据，使得系统需要管理大量密钥授权数据，本发明提供的存储结构可以减少系统密钥授权数据量，提高管理效率。并且，在现有技术中，在计算用户的授权数据时，一般都采用对用户输入的口令进行hash将得到的hash值作为用户授权数据的方法，因此，为管理大量的外部实体，用户不得不产生和管理大量的口令。而采用本发明后，用户只需要产生和管理一个口令，即可管理大量的外部实体。由于所需口令减少，因此用户在口令选取时有更大的可能避免选择弱口令，从而也减少了弱口令对平台安全造成的严重影响。

由于在本可信计算密钥授权数据管理系统中，采用了独立于可信计算平台的授权数据列表存储模块存储授权数据，将密钥和授权数据分开存储，每次使用密钥时都需要从授权数据列表中查找当前密钥标识对应的授权数据，所以，当授权数据更改后，旧授权数据不再与该密钥的密钥标识对应，验证无法通过。从而解决了TCG方案中密钥授权数据更新的同步问题，并且与原密钥授权数据管理方式保持兼容，灵活易用，提高了可信计算平台对密钥授权数据的管理效率。

如图2所示，本发明的可信计算平台密钥授权数据管理方法，包括如下步骤：

步骤1、授权数据管理模块接收密钥调用请求信息，根据该密钥调用请求信息，获得密钥标识；

步骤2、查询授权数据列表，判断所述密钥调用请求信息中是否包含该密钥标识对应的授权数据，是则执行步骤3，否则，执行步骤4；

步骤3、使用密钥完成操作，结束；

步骤4、返回错误信息，结束。

以上所述的授权数据列表中包括一个或多个授权数据项，存储在授权数据列表存储模块中。其中每一个授权数据项包括一个授权数据，以及该授权数据对应的一个或多个密钥标识。由于每个密钥都对应唯一的密钥标识，即，密钥标识和密钥一一对应。因此，可以查找授权数据对应的密钥标识，以判断某授权数据的持有者是否是该密钥的合法使用者。也就是说，授权数据列表中的授权数据项建立了一种对应关系，掌握该授权数据项中授权数据的用户可以使用该授权数据项中密钥标识对应的密钥执行数据封装(seal)、绑定(bind)、签名(sign)等操作。

在本实施例中，上述过程可以具体描述为：系统接收用户的密钥调用请求信息，该密钥调用请求信息可以包括密钥相应的口令，密钥的句柄值等。系统通过该密钥调用请求信息获得用户授权数据以及密钥标识，并在授权数据列表中进行查找，判断从所述密钥调用请求信息中是否可以计算出该密钥正确的授权数据。是，则将密钥调入可信平台模块，根据授权数据的授权范围以及用户的请求，执行的数据封装(seal)、绑定(bind)、签名(sign)等操作。否则，返回错误信息。

由于在本实施例中，为防止攻击者截获密钥相关数据而进行攻击，可以对存储在密钥存储模块中的密钥标识和密钥相关信息等数据进行加密。因此，在获得该密钥的密钥标识时还需要对密钥数据进行解密，所以，步骤1包括：

步骤11、授权数据管理模块接收密钥调用请求信息；

步骤12、授权数据管理模块根据密钥调用请求信息获取存储在该密钥的密钥存储模块中的密钥数据；

步骤13、授权数据管理模块解密所述密钥数据，获得该密钥的密钥标识。

在步骤12中所述的密钥数据即为存储在密钥存储模块中的密钥标识和密钥相关信息，在本实施例中，对密钥数据采用该密钥的父密钥进行加密。从而步骤13可以进一步具体化为：

步骤131、查询授权数据列表存储模块，判断所述密钥调用请求信息中是否包含父密钥的正确的授权数据，是则执行步骤132，否则，执行步骤133；

步骤132、使用请求调用密钥的父密钥解密密钥相关数据得到密钥标识；

步骤133、返回错误信息，结束。

在本发明中每个密钥都对应唯一的密钥标识，即，密钥标识和密钥一一对应。每一个授权数据项都由授权数据与其对应的所有密钥标识构成，以列表的形式存储在授权数据列表存储模块中。因此，查找该授权数据列表中授权数据项，判断用户提供的授权数据是否对应请求调用密钥的密钥标识，即可判断某授权数据的持有者是否是该密钥的合法使用者。

相应的，步骤2进一步包括：

步骤21、从所述密钥调用请求信息中获取用户授权数据；

步骤22、查询授权数据列表存储模块，判断所述用户授权数据对应的授权数据项是否存在，是，执行步骤23，否则，执行步骤4；

步骤23、查询该授权数据项中是否包含用户请求调用密钥的密钥标识，是，则执行步骤3，否则，执行步骤4。

由于在本发明可信计算平台密钥管理方法的实施例中，密钥的授权数据可以由手工输入的一个口令经过hash运算后得到，或者为了提高安全性，是一段熵值更高的二进制数据，存放在智能卡之类介质中。所以，步骤21、从所述密钥调用请求信息中计算出用户授权数据，可以是对用户输入的口令进行hash得到用户授权数据，或者从智能卡之类的介质中提取存放的二进制数据。

由于在本实施例中，为保证授权数据列表的安全性，授权数据列表是经过加密存储在授权数据列表存储模块中的，因此，步骤22之前可以包括：步骤221、调用可信平台模块，解密授权数据列表存储模块中存储的授权数据列表。

在实际操作中该授权数据列表可以由SRK加密，或者由存储在可信平台模块中专门的密钥加密(此密钥可以用SRK加密后存储在可信平台模块中)，存储在授权数据列表存储模块。

另外，步骤2还可以通过以下方式实现：

步骤21′、从所述密钥调用请求信息中获取用户授权数据；

步骤22′、查询授权数据列表，查找每个授权数据项中的密钥标识，判断其是否与步骤1中获得的密钥标识一致，是则执行步骤23′，否则，继续执行步骤22′直到查询完授权数据列表中所有的授权数据项，执行步骤4；

步骤23′、判断该授权数据项中的授权数据是否与步骤21′所述的用户授权数据一致，是，则执行步骤3，否则执行步骤22′。

即系统根据密钥标识查询授权数据列表，判断密钥调用请求信息中用户提供的授权数据是否与密钥标识对应的授权数据一致。

同样的，步骤22′之前还可以进一步包括：步骤221′、步骤221、调用可信平台模块，解密授权数据列表存储模块中存储的授权数据列表。

在上述方法中，由于每次使用密钥时都需要从授权数据列表中查找当前授权数据对应的密钥标识，所以，当授权数据更改后，旧授权数据不再与该密钥的密钥标识对应，验证无法通过。从而解决了密钥授权数据更新的同步问题。而且由于在实际操作中，只需将原TCG密钥授权管理方式中，密钥相关数据中的授权数据替换为密钥标识即可实现本发明提供的方法，因此本发明可以与TGC原密钥授权管理方式保持兼容。

在实际中，由于安全的需要，在某些情况下，比如，原授权数据不慎泄露，时，授权数据需要进行修改，另外，当添加了新的密钥或者旧密钥被废除时授权数据列表也需要更新。因此，本发明在提供上述可信计算密钥管理方法的同时，还提供了对应本发明可信计算密钥授权数据管理方法的授权数据维护方法，如图3所示，包括如下步骤：

步骤a、接收授权数据列表修改信息；

步骤b、判断授权数据列表修改信息是删除授权数据项信息、新建授权数据项信息或更新授权数据项信息，如果为删除授权数据项信息，执行步骤c；如果为新建授权数据项信息，执行步骤d；如果为更新授权数据项信息执行步骤e；否则，返回错误信息；

步骤e、从授权数据列表中删除相应的授权数据项，执行步骤f；

步骤d、建立新的授权数据项，根据授权数据列表修改信息在新建立的授权数据项中存储授权数据以及该授权数据对应的一个或多个密钥标识，执行步骤f；

步骤e、根据授权数据列表修改信息更新相应的授权数据项，执行步骤f；

步骤f、结束。

其中，授权数据列表修改信息可以包括外部的删除、添加或者更新的指令。同时，当授权数据列表修改信息是删除授权数据项信息时，还包括需要删除的授权数据等参数，以便确定需要删除的授权数据项。当授权数据列表修改信息是添加授权数据项信息时，还包括需要添加的授权数据以及对应的密钥标识等参数。当授权数据列表修改信息是更新授权数据项信息时，还包括需要更新的授权数据项的授权数据以便查找相应的授权数据项，以及该授权数据项中需要删除或添加的密钥标识。

步骤c，可以进一步具体为：根据授权数据列表修改信息查找授权数据列表存储模块，判断是否授权数据列表中是否存在该授权数据项，是，删除该授权数据项，否则，返回错误信息。

由于授权数据项在修改时有可能是因为要更改授权数据对应的密钥而为授权数据添加相应的密钥标识或删除授密钥标识；也有可能是因为原授权数据的不慎泄露或丢失等原因需要对原授权数据进行更新，即在授权数据项中删除原有的授权数据，存入新的授权数据。因此，步骤e具体为：

步骤e1、根据授权数据列表修改信息查找授权数据存储模块，判断是否存储在相应的授权数据项，是则执行步骤e2，否则返回错误信息，并执行步骤f；

步骤e2、判断所述授权数据列表修改信息是更新密钥标识信息或更新授权数据信息，是更新密钥标识信息则执行步骤e3，是更新授权数据信息则执行步骤e7，其它情况返回错误信息，并执行步骤f；

步骤e3、判断所述授权数据列表修改信息是添加密钥标识信息或删除密钥标识信息，是添加密钥标识信息则执行步骤e4，是删除密钥标识信息则执行步骤e5，其它情况返回错误信息，并执行步骤f；

步骤e4、在相应的授权数据项中添加需要添加的密钥标识，执行步骤e8；

步骤e5、判断相应的授权数据项中是否存在所述授权数据列表修改信息指示删除的密钥标识，是，则执行步骤e6，否则返回错误信息，并执行步骤f；

步骤e6、在相应的授权数据项中删除所述授权数据列表修改信息指示删除的密钥标识，执行步骤f；

步骤e7、根据所述授权数据修改信息删除相应授权数据项中原有的授权数据，保存新的授权数据。

在上述方案中，由于授权数据存储在授权数据列表中，而密钥数据(类似于现有TCG密码管理体系中的密钥块)中不再保存授权数据而是直接存储密钥对应的密钥标识。在需要核对授权数据时，通过密钥标识对授权数据列表进行查找，以判断此授权数据是否是可以使用该密钥的正确授权数据。使得在授权数据解决TCG密码管理体系中密钥同步的问题，更改授权数据后，即使有人知道以前的授权数据和相对应的旧密钥数据(类似于现有TCG密码管理体系中的密钥数据块)，也无法使用该密钥，以提高可信平台的安全性能，消除现有技术中因为密钥同步问题而存在的安全缺陷，并且与现有的TCG密钥授权管理方式兼容，灵活易用。

另外，由于在本实施例中，授权数据列表加密存储在授权数据列表存储模块中，授权数据列表可以由存储在可信平台模块中专门的密钥加密(此密钥可以用SRK加密后存储在可信平台模块中)。所以，在更新授权数据列表之前还需要对授权数据列表进行解密，在更新授权数据列表之后也需要使用密钥对授权数据进行加密。因此，步骤b之前可以包括：步骤b′、调用可信平台模块对授权信息列表进行解密。相应的，步骤e与步骤f之间可以包括：步骤f′、调用可信平台模块对授权信息列表进行加密。

最后应说明的是：以上实施例仅用以说明本发明的技术方案而非对本发明的技术方案进行限制，尽管参照上述的实施例对本发明进行了详细说明，本领域的普通技术人员应当理解：依然可以对本发明的技术方案进行修改或者等同替换，而这些修改或替换依然不脱离本发明技术方案的精神和范围。