主权项 |
一种基于平台身份的信任服务连接方法,其步骤包括:1)终端设备发送长期身份请求信息给颁证方,由颁证方根据接收到的长期身份请求信息向终端设备发送平台长期身份证书信息,所述证书信息中包括平台长期身份证书序列号;2)获得平台长期身份证书的终端设备发送请求临时身份信息给颁证方,由颁证方根据接收到的平台临时身份请求信息向终端设备发送临时身份信息,所述平台临时身份信息中包括平台临时身份ID号和平台临时身份密钥K;所述长期身份请求信息包括平台身份密钥PIK请求包和终端设备信息;所述平台长期身份证书为基于可信芯片的公钥证书;所述平台临时身份信息包括HMAC算法、平台临时身份管理域ID号和平台临时身份验证服务地址;3)终端设备发送请求访问信息给设置在网络服务上的验证方,验证方发送一个验证信息给颁证方,验证作为证明方的终端设备的平台临时身份密钥K和平台长期身份证书有效性;所述步骤3)验证过程如下:A、验证方的信任状态过滤组件发送防重放攻击的随机挑战S给证明方;B、证明方接收验证方发送的随机挑战S,用自己的平台临时身份密钥K计算HMACK(ID,S),将HMACK(ID,S),ID发送给颁证方的平台临时身份管理组件的平台临时身份验证模块;C、证明方发送HMACK(ID,S)给验证方;D、验证方发送平台临时身份验证请求包HMACK(ID,S),S给平台临时身份验证模块;E、平台临时身份验证模块接收验证方发送的平台临时身份验证请求包HMACK(ID,S),S和证明方发送的HMACK(ID,S),ID,得到HMACK(ID,S),ID,S三元组,根据ID查找对应的K及平台长期身份证书序列号;F、若查找不到对应的K及平台长期身份证书序列号,返回给验证方False;G、与颁证方的平台长期身份管理服务组件的平台长期身份查询模块交互,查询平台长期身份证书序列号对应的平台长期身份是否被撤销,若被撤销,则返回给验证方False;H、用K验证HMACK(ID,S),若不正确,则返回给验证方False;I、当验证通过时,则信任服务连接建立,允许终端设备访问网络服务;4)在验证通过后终端设备与网络服务之间建立信任连接。 |