多用户安全芯片资源配置的方法和多用户安全系统

摘要

根据本发明，提出了一种利用多用户安全芯片实现多用户管理的方法，所述方法包括：验证由安全芯片拥有者输入的验证信息；如果验证成功，则由安全芯片拥有者为各用户配置用户验证信息、各用户的安全芯片资源配置信息并存储在安全芯片内部存储器中；当开机时，访问者输入访问者验证信息；安全芯片验证访问者验证信息以确定访问者是否为已配置用户，如果访问者为已配置用户，则将拥有者为该用户分配的相应用户的安全芯片资源分配给所述用户。

说明书

技术领域

本发明涉及一种多用户安全芯片资源配置的方法和实现多用户管理的多用户安全系统，能够在一个安全芯片中为多个用户配置多种不同的安全芯片资源并在开机时将相应的安全芯片资源分配给用户，从而实现基于安全芯片的主机多用户管理。

背景技术

随着计算机在各个领域的应用和网络技术的发展，信息安全成为信息领域的一个重要研究方向。网络安全、计算机信息安全、以及计算机系统安全成为信息安全领域的主要研究方向。

随着信息技术的发展，对于个人计算机(PC)以及服务器等的可靠性要求也提出了越来越高的要求。单单依靠操作系统或软件来保护计算机的信息安全是远远不够的。现在，在信息安全领域已经提出了通过安全芯片对计算机系统进行保护。从另一个角度来考虑，计算机系统信息的安全得到了保证，但是，如何验证访问者的安全性、如何为多用户主机提供一个更为安全有效的身份验证过程、如何将安全芯片的资源与这种多用户方式更有效的结合起来、如何将单一化的可信平台模块(TPM)芯片变成一个为不同用户提供不同服务功能的复合型TPM芯片而使得安全芯片的资源能够得到一种更为有效的利用，也就是，如何为主机提供一种基于安全芯片的更为有效的多用户管理模式已经成为一种计算机系统安全领域所急需解决的问题。

考虑到以上问题，本发明人提出了通过将TPM的用户与主机用户绑定的方式，利用TPM芯片来完成对主机访问者的身份验证过程，其中主要涉及如下几种技术：

1、如何实现芯片的多用户管理；

2、如何利用安全芯片完成对主机访问者的身份验证过程；

3、如何将用户验证信息安全地传输至安全芯片；

4、如何利用用户验证信息配置安全芯片资源。实现了TPM资源配置方案与主机用户一一对应的关系。

在现有技术中，主要有两类专利与本申请有一定的相关性，一类是通过验证用户身份来保护计算机信息安全的方式，如1138250.3号专利文献《具有信息安全的计算机》和01252716.5号专利文献《信息安全计算机》，主要是通过在主机上加一个验证设备或验证模块来验证用户信息的合法性。然而，此种方式的最大缺点在于：在外围设备或主机中存储用户验证信息本身就是极其不安全的，用户合法信息本身就缺乏安全性，一旦被截获，所谓的安全验证也就不存在任何意义。在以下所论述的本发明中，用户的合法信息是存储在安全芯片内部的，用户输入的安全信息是在BIOS模式下传输的，输入设备为绝对的只读设备，在这种方式下用户信息的传输和用户合法信息的保存都是非常安全的。另外，在这些现有技术的专利文献中，验证过程是在主机上进行的，这样整个验证过程以及验证结果都是以明文方式进行的，验证过程本身就没有得到安全监控和保护，所有的过程都可能在这个过程被监控或甚至被复制。在这种情况下，安全验证本身就是系统安全的一个不安全点。在以下所论述的本发明中，整个验证过程是在安全芯片内部进行的，保证了验证过程的安全性。

在现有已实现的一些安全系统，安全平台以及安全芯片中，如200310108901.4号专利文献《一种嵌入式信息安全平台》和96198962号专利文献《安全芯片》实现的都是一种单一的保护模式。其中所采用的方式无法验证访问者的身份是否具有安全性，或者说，这只是一种与机器绑定的安全模式，并没有考虑到使用者的不安全隐患。

为了解决上述现有技术中所存在的问题，需要一种多用户安全芯片资源配置的方法和实现多用户管理的多用户安全系统，能够安全有效地为用户分配安全芯片资源，从而实现基于安全芯片的多用户管理。

发明内容

因此，本发明的目的是提出一种多用户安全芯片资源配置的方法和实现多用户管理的多用户安全系统，能够在安全芯片中为多个用户配置不同的安全芯片资源并在开机时将相应的安全芯片资源分配给用户，从而实现基于安全芯片的多用户管理。

为了实现上述目的，根据本发明，提出了一种利用多用户安全芯片实现多用户管理的方法，所述方法包括：验证由安全芯片拥有者输入的验证信息；如果验证成功，则由安全芯片拥有者为各用户配置用户验证信息、各用户的安全芯片资源配置信息并存储在安全芯片内部存储器中；当开机时，访问者输入访问者验证信息；安全芯片验证访问者验证信息以确定访问者是否为已配置用户，如果访问者为已配置用户，则将拥有者为该用户分配的相应用户的安全芯片资源分配给所述用户。

优选地，所述验证由安全芯片拥有者输入的验证信息的步骤包括：在初次启动具有所述安全芯片的主机时，输入安全芯片拥有者的验证信息并存储在安全芯片内部存储器中；在访问者输入其验证信息时，将所述验证信息与安全芯片内部存储器中所存储的拥有者验证信息进行比较，如果验证通过，则拥有者验证成功。

优选地，所述由安全芯片拥有者为各用户录入用户验证信息、用户的安全芯片资源配置信息并存储在安全芯片内部存储器中的步骤包括：安全芯片拥有者输入用户的用户名、用户验证信息；拥有者通过安全芯片为所述用户配置相应的安全芯片资源；将用户名、用户验证信息和与所述用户配置对应的安全芯片资源配置信息存储在安全芯片内部存储器中。

优选地，在将用户名、用户验证信息和与所述用户对应的安全芯片资源配置信息存储在安全芯片内部存储器之后，还包括步骤：由拥有者确认针对所述用户的安全芯片资源配置是否成功，如果成功，则完成所述配置。

优选地，所述安全芯片验证访问者验证信息以确定访问者是否为已配置用户的步骤包括：安全芯片在其内部存储器中所存储的各已存在用户的用户验证信息中搜索所述访问者验证信息，如果搜索到对应的用户验证信息，则确定访问者为与所述用户验证信息相对应的用户。

优选地，如果并未搜索到对应的用户验证信息，则验证失败，且访问者不能登陆装有多用户安全芯片的主机。

根据本发明，还提出了一种实现多用户管理的多用户安全系统，所述多用户安全系统包括：多用户管理模块，用于管理安全芯片的用户信息，以便由安全芯片拥有者通过配置资源配置模块来为不同的用户配置不同的安全芯片资源；以及在访问者登陆主机时，访问者身份验证通过后，由多用户管理模块调用资源配置模块，将安全芯片拥有者为该用户分配的安全芯片资源分配给所述用户；访问者验证模块，通过验证输入的访问者验证信息以确定访问者是否为安全芯片的拥有者，如果访问者为安全芯片的拥有者，则启动资源配置模块；以及验证访问者是否为已配置用户；内部存储器，用于存储用户验证信息；资源配置模块，用于在多用户管理模块的控制下，为与安全芯片中已完成了安全芯片资源配置的用户相对应的访问者分配相应的安全芯片资源。

优选地，所述多用户安全系统还包括：多个提供加解密功能、安全检测功能的功能模块。

优选地，所述多用户安全系统为TPM安全芯片。

附图说明

通过参考以下结合附图对所采用的优选实施例的详细描述，本发明的上述目的、优点和特征将变得显而易见，其中：

图1示出了根据本发明的实现多用户管理的TPM安全芯片的方框图；

图2是示出了根据本发明由拥有者来初始化TPM芯片多用户环境的过程的流程图；

图3是示出了根据本发明由安全芯片拥有者在通过验证后，启动安全芯片多用户管理模块104之后，建立其他用户，以及为其他用户配置芯片资源的流程图；以及

图4是示出了根据本发明，在TPM安全芯片上创建多个用户之后、主机访问者的开机身份验证过程的流程图。

具体实施方式

下面将描述本发明的主要思想。

在本发明中，主机装有带有多用户管理的TPM芯片。芯片具有多用户使用机制。另外，芯片采用拥有者管理机制；并利用此管理机制，通过对不同的用户配置不同的安全芯片资源，实现主机用户与TPM安全芯片资源配置方案的一一对应关系。

在用户第一次使用安全芯片的时候，芯片会自动生成SRK(SRK是根据出厂EK生成)和拥有者，芯片会要求用户在操作系统下，通过输入设备录入拥有者验证信息，芯片自动将此用户验证信息与SRK绑定、以及多用户管理功能的使能端绑定。拥有拥有者身份的使用者即为安全芯片的管理者，只有拥有者拥有安全芯片多用户机制的管理权；

在拥有者生成之后，拥有者可以启动多用户管理功能。在多用户机制下，拥有者拥有录入、删除其它使用者身份验证信息的权限；制定和更改其它用户的安全芯片资源配置方案的权限；拥有者的身份验证信息与其它使用者的验证信息都存储于芯片内部存储器103中。在所有用户验证信息录入完成后，使用者(包括拥有者)在启动计算机时，在BIOS(基本输入输出系统)中启动身份验证过程(可以为密码输入，指纹识别，语音识别，虹膜识别，存储介质识别等)，此时，要求用户输入验证信息。在将验证信息直接通过LPC总线输入到安全芯片中，在安全芯片内部比较输入信息与已存信息，确认用户的合法性，并根据用户级别和拥有者为用户指定的TPM资源配置方案驱动安全芯片资源配置单元，在完成安全芯片的配置后，启动操作系统系统。

下面将参考附图来描述本发明的优选实施例。

图1示出了根据本发明的实现多用户管理的TPM安全芯片1的方框图。

如图1所示，所述的TPM安全芯片包括：访问者身份验证模块101、芯片资源配置模块102、内部存储器103、安全芯片多用户管理模块104和多个TPM的功能模块。

在验证模块101验证访问者为安全芯片拥有者后，将启动多用户管理模块104，多用户管理模块104的功能包括：

1、安全芯片的拥有者可以在启动多用户管理模块104后录入用户验证信息，并将用户的验证信息存储在芯片存储器中；

2、通过多用户管理模块调用芯片资源配置模块102，为新建立的用户制定相应的芯片资源配置方案，在配置方案中所指定的选项为安全芯片所提供的多个功能模块(未示出)；

3、芯片的拥有者还可以通过多用户管理模块删除存储在内部存储器103中的用户信息；

4、芯片的拥有者可以通过多用户管理模块更改用户的芯片资源配置方案。

需要说明的是：

安全芯片通过多用户管理模块104的管理，将内部存储器103中的用户信息与资源配置模块102中的资源配置方案一一对应起来，实现了不同的用户对应不同的芯片资源，同一芯片为不同的用户提供不同的服务的目的。

资源配置模块的信息和存储器中的用户验证信息只有在启动了多用户管理模块104时才可更改，多用户管理模块104只有芯片的拥有者才可以访问，所以不但保证了芯片拥有者对芯片用户的管理而且保证了用户信息的安全。

验证模块101的功能包括：

1、芯片的拥有者的验证信息通过主机传递(通过LPC总线)到芯片的验证模块101中进行验证计算，如果验证计算结果如果与存储在芯片内部存储器103中的用户信息比较，如果确定为芯片拥有者，将启动芯片的全部资源，并同时启动多用户管理模块。

2、通用户的验证信息通过主机传送到验证模块101进行验证计算，如果验证计算结果与存储在芯片内部存储器103中的用户信息比较，如果确定为芯片的合法访问者，将读取与此用户绑定资源配置数据，驱动资源配置模块102，通过资源配置模块102驱动相应的功能模块。

3、主机的用户与安全芯片的用户一一对应，开机时，主机访问者输入的验证信息即为安全芯片用户的验证信息，安全芯片通过验证模块对传入的验证信息进行验证，验证通过等同于对主机访问者身份验证通过。即主机访问者与安全芯片访问者的验证同时完成，验证模块验证成功，表明主机的访问者身份安全，主机进入操作系统，同时，启动安全芯片中与此用户绑定的芯片资源。

安全芯片资源配置模块102的功能包括：

1、资源配置模块102的配置信息只能通过功能管理模块来制定和更改。

2、资源配置模块102读取与用户绑定的资源配置信息，根据配置信息使能响应的功能模块。

如以上提到的，TPM芯片含有多个功能模块(未示出)，可以为用户提供多种加解密功能，安全检测功能等，每个功能模块可以通过资源配置模块为多个用户调用，不同的功能模块组合在一起实现了不同的安全平台服务，实现了芯片资源复用的目的。

图2是示出了根据本发明由拥有者来初始化TPM芯片多用户环境的过程的流程图。

在此过程中，芯片的拥有者(同时也为主机的拥有者)为此芯片的其他用户建立了用户访问信息，并为不同的用户指定与其对应的TPM芯片资源。

如图2所示，在用户初次启动计算机时(步骤201)，芯片根据出厂的EK(签注密钥)生成属于拥有者的SRK(存储根密钥)，分别保存于主机与芯片内部的存储器中(步骤203)。然后，在操作系统下，安全芯片启动身份验证设备，要求用户输入拥有者验证信息(步骤205)；在用户输入拥有者验证信息之后，由芯片将拥有者验证信息存储于芯片内部存储器103中(步骤207)。于是，芯片自动将拥有者验证信息与芯片所生成的SRK绑定，实现了拥有者、主机、安全芯片的三方绑定。此时，只有拥有者与SRK密钥绑定，也就是，将拥有者验证信息与资源配置模块的使能端唯一绑定，即，只有拥有者利用该拥有者验证信息经过身份验证通过之后，才能够启动该资源配置模块。因此，使拥有者验证信息成为TPM芯片资源配置模块102的使能信息(步骤209)。此时，作为拥有者，可以使用的多用户管理功能在于：

1)授权录入其它用户的验证信息(只有先通过拥有者身份认证，芯片才会将其它用户验证信息保存于芯片内部)；

2)删除其它用户的验证信息；

3)更改其它用户的资源配置方案；

4)规定其它用户可使用的安全芯片资源配置。

图3是示出了根据本发明由拥有者利用拥有者验证信息进入安全芯片之后为各用户配置安全芯片资源的过程的流程图。

如图3所示，在拥有者利用拥有者验证信息进入安全芯片之后，TPM安全芯片会询问拥有者是否建立下一级用户(例如用户A)(步骤301)。如果是这样(步骤301的是)，TPM安全芯片要求拥有者输入该用户A的用户名及用户验证信息(步骤303)，并将其存储在芯片内部存储器103中(步骤305)。接着，TPM安全芯片要求拥有者为该用户配置相应的TPM安全芯片资源(步骤307)。在针对该用户的TPM安全芯片资源配置成功之后，在完成了用户A的建立过程(步骤309)。在完成该用户A的建立过程之后，该过程返回到步骤301，在步骤301，继续询问是否建立新用户，如果需要建立新用户，则继续上述过程。如果此时不再需要建立用户(步骤301的否)，则此时，TPM芯片可以向拥有者显示拥有者所建立的用户的相关信息，并要求拥有者确认以退出整个创建用户的过程(步骤311)。可选地，当完成用户建立或退出安全芯片时，芯片会告诉拥有者当前安全芯片中已经存在的用户列表，要求拥有者输入自己的验证信息(拥有者验证信息)进行确认。

图4为示出了根据本发明，在TPM安全芯片上创建多个用户之后、主机访问者的开机身份验证过程的流程图。

如图4所示，用户开机(步骤401)。计算机在BIOS中完成系统硬件信息的安全验证之后，BIOS启动访问者验证模块并要求访问者输入身份信息(步骤403)。于是，访问者输入身份验证信息，并将所输入的信息通过LPC总线(低引脚计数总线)直接传送到TPM芯片的缓存区中(步骤405)。然后，TPM安全芯片根据访问者身份验证信息，在TPM安全芯片内部存储器103(非易失性存储器)所存储的用户身份验证信息中搜索与访问者对应的用户(步骤407)。如果搜索到对应的用户(步骤409中的是)，则表明访问者为已配置用户，此时，根据在上述过程中为该用户配置的安全芯片资源，来对该用户进行配置，并在配置成功之后，向主机发起就绪信号，主机启动操作系统。(步骤411)。如果未搜索到相应的用户，则访问者验证失败(步骤413)，此时，可以向访问者通知失败信息，访问者不能够进入主机的操作系统。

如上所述，根据本发明，实现了主机用户、芯片用户、不同用户不同的安全芯片资源配置方案的三方绑定；不同的主机用户可以拥有自己不同的安全芯片配置方案，实现了不同的用户与不同的安全芯片资源配置方案一一对应的关系；改变了现有TPM芯片一对多的服务方式，更为有效的利用了安全芯片的资源。另外，通过使用拥有者管理机制，既实现了安全芯片的多用户功能，又实现了主机基于安全芯片的用户管理。根据使用者的级别通过对安全芯片的不同资源配置，也保证了使用者对主机访问的安全性，实现了一种利用安全芯片实现的用户管理机制。另外，根据本发明，用户验证信息存储于安全芯片内部，相较于存储在主机上，用于验证身份合法性的信息更加具有安全保证，外界无法窃取。

此外，根据本发明，在BIOS中启动身份验证过程，并输入验证信息，保证了输入信息的安全性，如果是在系统下启动验证设备，并输入验证信息，输入信息极易被窃取和复制。在BIOS中输入身份验证信息避免了这种情况，保证输入信息传输过程中的安全性。另外，根据本发明，通过将经过计算的验证信息运送到芯片内部验证，保证了验证过程的安全性，以及验证结果的安全性。

尽管以上已经结合本发明的优选实施例示出了本发明，但是本领域的技术人员将会理解，在不脱离本发明的精神和范围的情况下，可以对本发明进行各种修改、替换和改变。因此，本发明不应由上述实施例来限定，而应由所附权利要求及其等价物来限定。