在一個往返行程中的密鑰認證的製作方法

2023-05-26 21:53:31 2

專利名稱：在一個往返行程中的密鑰認證的製作方法
在一個往返行程中的密鑰認證
背景技術：
密碼密鑰的使用涉及到信任。當A利用B的密鑰來加密數據時，A期望只有B將能夠解密該數據。而當A驗證利用B的密鑰創建的籤名時，A期望有效籤名的存在以表示B 實際上簽署了對其計算該籤名的數據。因而，當A使用B的密鑰時，A想知道A如何能夠肯定B的密鑰真正屬於B以及A如何能夠肯定B的密鑰還沒有被攻破是合法的。通常通過證書來建立對密鑰的信任。當實體創建密鑰時，該實體向機構提交該密鑰以便認證。該機構確定該密鑰及其所有者是否符合該機構用於認證的標準。如果是這樣的話，該機構為該密鑰頒發證書，其中該證書包含由該機構籤署的密鑰。機構是其服務的團體(community)所知曉的並且該團體信任其來認證其他實體的密鑰的實體。如果公認的機構認證密鑰，則信任該機構的團體將信任所認證的密鑰。例如，瀏覽器定期接收更新的機構的列表，並且這些瀏覽器將信任由該列表上的機構頒發的證書。組織(例如，公司)可以具有被該組織內的機器認可並信任的證書頒發機構(certificate authority)。可信平臺模塊(TPM)是能夠用於為機器提供各種形式的安全性的一種硬體。TPM 能夠做的一件事是圍繞密鑰來維護硬體安全，從而提供該密鑰將不被濫用的高保證措施。 在某些情況下，證書頒發機構可能願意僅認證被綁定到特定TPM的密鑰，因為這種綁定確保該密鑰將只在包含那個特定TPM的機器上才被使用。因此，為了認證這樣的密鑰，證書頒發機構必須驗證該密鑰實際上被綁定到特定機器上的TPM，並且不能被遷移到其他機器。通常，認證這樣的密鑰的處理涉及到在證書頒發機構和正請求認證密鑰的客戶端 (client)之間的若干往返行程(round-trip)交換。當客戶端想認證利用該客戶端的TPM 所保護的新的不可遷移的密鑰時，該客戶端請求TPM為該新密鑰創建被稱為證明身份密鑰 (Attestation Identity Key) (AIK)的密鑰。該客戶端隨後要求該證書頒發機構認證該 AIK,而該證書頒發機構在驗證該AIK實際上是由位於該客戶端的機器上的TPM生成之後認證該AIK。該客戶端隨後要求該TPM利用該AIK來籤署新密鑰，而該TPM將在該密鑰是不可遷移的時候才這樣做。該客戶端然後向證書頒發機構提交新密鑰和AIK生成的籤名。 該證書頒發機構信任該TPM，並已將該AIK認證為屬於該TPM。因此，基於該TPM已利用該 AIK籤署新密鑰，該證書頒發機構將信任該新密鑰是不可遷移的，所以該證書頒發機構將為該新密鑰頒發證書。然而，這種處理具有的問題是它涉及到在客戶端和證書頒發機構之間的多個往返行程用於認證AIK的一個行程(trip)，以及用於認證客戶端正在試圖認證的新密鑰的另一個行程。

發明內容
不可遷移的密鑰可以在證書頒發機構和正在請求該密鑰的客戶端之間的一個往返行程中被認證。在具有TPM的機器上，客戶端要求TPM創建新的不可遷移的密鑰(例如， RSA密鑰對)。TPM然後創建該密鑰，並將新密鑰的公用部分提供給客戶端。客戶端隨後為該新密鑰創建證書請求，並要求TPM創建被綁定到該證書請求的摘要(digest)的證明身份密鑰(AIK)。TPM創建AIK，並返回包含該AIK的公用部分、該摘要以及對AIK的該公用部分和該摘要兩者採用的籤名的身份綁定。客戶端然後要求TPM使用AIK來籤署新密鑰的公用部分作為該新密鑰是不可遷移的指示。TPM籤署該新密鑰的公用部分，並返回包含該新密鑰、該新密鑰是不可遷移的TPM聲明以及利用AIK的專用部分創建的籤名的密鑰認證結構。 客戶端隨後向證書頒發機構發送證書請求；身份綁定；密鑰認證結構；和TPM的籤注密鑰 (endorsement key)的公用密鑰證書。(籤注密鑰是每個TPM具有的識別特定TPM的密鑰)。當證書頒發機構從客戶端接收到這些項時，它檢查TPM的籤注密鑰的公鑰證書， 以驗證與該籤注密鑰相關聯的TPM是證書頒發機構了解並信任的TPM。證書頒發機構然後檢查該證書，以恢復客戶端正要求認證的新密鑰。證書頒發機構隨後驗證身份綁定上的籤名、計算證書請求的摘要並比較所計算的摘要與包含在身份綁定中的摘要，以確保這兩個摘要相匹配。如果這些摘要相匹配的話，並且如果身份綁定的籤名是有效的話，這些事實證實身份綁定中所提及的AIK是特別地為證書頒發機構已接收到的證書請求而創建的。假設這些摘要相匹配且身份綁定上的籤名正確地驗證，證書頒發機構檢查密鑰認證結構，並驗證該結構上的籤名。密鑰認證結構表示由擁有AIK的專用部分的一方所作出的、包含在該結構中的新密鑰是不可遷移的聲明。因而，如果密鑰認證結構提到位於證書請求中的相同的密鑰，並且如果該籤名驗證，則證書頒發機構知道擁有AIK的專用部分的一方已聲稱該密鑰是不可遷移的。在這一點上，證書頒發機構為新密鑰創建證書並籤署該證書。但是，證書頒發機構創建對稱密鑰並利用對稱密鑰來加密籤名，而不在證書中包括明文籤名(clear signature)。證書頒發機構然後利用其隨證書請求一起接收到的公用籤注密鑰來加密該對稱密鑰，並將該證書(具有利用對稱密鑰加密的籤名)與利用TPM的公用籤注密鑰加密的對稱密鑰一起發送給客戶端。當證書頒發機構接收到用於TPM的籤注密鑰的公鑰證書，則它確定它信任與該籤注密鑰相關聯的特定TPM。只要該TPM呈現在該客戶端在其上面運行的機器上(相對於具有不同籤注密鑰的其他一些TPM)，通過首先要求TPM使用其籤注密鑰來解密對稱密鑰並隨後使用對稱密鑰來解密籤名，客戶端將能夠解密該證書中的籤名。當客戶端利用明文籤名來替代加密籤名時，該證書將變成可用的。如果不同的TPM呈現在客戶端上(例如，不被證書頒發機構信任的TPM)，那麼該TPM將無法解密該對稱密鑰，這是因為它將不具有為其加密對稱密鑰的籤注密鑰。在那種情況下，客戶端將無法對該籤名進行解密，並且該證書將是不可用的。提供這個發明內容部分來以簡化的形式介紹下面在具體描述中將進一步描述的概念的選擇。這個發明內容部分並不打算標識所請求保護的主題的關鍵特徵或基本特徵， 也不打算用於限制所請求保護的主題的範圍。


圖1是在客戶端請求證書頒發機構認證密鑰時可以使用的各個組件的框圖。圖2-5 —起是其中可以提出認證密鑰的請求並對請求起作用的示例處理的流程圖。圖6是示例的身份綁定的框圖。圖7是示例的密鑰認證結構的框圖。
圖8是具有加密籤名的示例證書的框圖。圖9是可以結合此處描述的主題的實現方式來使用的示例組件的框圖。
具體實施例方式密碼密鑰用於計算機安全的各種應用，諸如加密和數字籤署。加密是利用加密密鑰來加密消息的處理，以便只有擁有解密密鑰(其可以與加密密鑰相同或可以不相同)的一方才能解碼該消息。數字籤署是實體(籤名者)用於作出有關數據塊的斷言並且其中簽名提供該斷言實際上是由擁有密鑰的實體作出的密碼強度保證(cryptographic-strength assurance) StJ^S0加密和數字籤署處理二者涉及到參與這些處理的各方之間的隱式信任關係。例如，當A利用B的密鑰來加密數據時，A正在隱式信任(a)A相信是B的密鑰的確是B的密鑰，和(b)利用B的密鑰來加密數據並通過不安全通道發送加密數據將不會導致加密數據以A不能接受的某種方式被使用。例如，對於點(a)，A可能從不可靠的來源接收到B的密鑰，因而A相信屬於B的密鑰可能實際上是闖入者的密鑰。或者，對於點(b)，該密鑰可能的確是B的密鑰，但是B可能使用如此寬鬆的安全措施，以致該密鑰的安全性已被攻破，從而允許闖入者解密已利用B的密鑰加密的消息。類似地，當A接收到據稱由B籤署的消息(例如，「事實F是真的，B籤署」)時，如果A信賴這個消息，則A隱式信任該消息的確由B籤署 (即，A確實知道哪個密鑰是B的，並且B的密鑰還沒有被攻破)。此外，A也信任B將不會籤署該消息「事實F是真的」，除非到某種程度確定性B已驗證事實F確實是真的。當使用密鑰時，對密鑰的信任通常通過使得機構證明密鑰的可信性 (trustworthiness)來建立。這個證明以證書的形式來表示，由此該機構籤署密鑰作為該機構已發現該密鑰是可信的指示。當然，對機構的籤名的信賴涉及到上述的相同形式的信任，但是證書頒發機構通常是在其中將建立信任的相關團體所熟知的或者涉及返回到公知機構的簡訊任鏈。因而，如果實體想使用密鑰來籤署或加密，該實體通常將該密鑰提交給合適的證書頒發機構並請求該機構籤署該密鑰。該機構採取任何它認為適當的措施來確定該密鑰是足夠可信的。例如，該機構可以確定請求實體使用什麼類型的安全措施來保護該密鑰(例如，該實體是使用硬體還是軟體保護)。該機構可以查詢請求實體將使用什麼策略來確定能夠利用該密鑰來籤署什麼。或者，該機構可能只願意為某些類型的實體認證密鑰(例如，該機構可能是公司或其他企業的證書頒發機構，並可能只願意認證由那個企業中的機器所使用的密鑰)。如果該機構確定它能夠認證該密鑰，則它頒發包含該密鑰和該機構的籤名的證書。X. 509證書是這樣的證書的示例。機器能夠幫助確保其密鑰的可信性的一種方式是採用被綁定到該機器上的可信平臺模塊(Trusted Platform Module) (TPM)0 TPM是為其主機執行某些密碼功能的晶片。 該主機能夠利用這些密碼功能來提供各式各樣的安全服務。例如，TPM能夠將數據密封到特定機器執行狀態，以便當機器處於已知的安全狀態中時才給該機器提供該數據。這種技術時常用於保護主機上的密碼密鑰。利用這樣的技術，主機使用TPM來密封密鑰，並且只有密封的密鑰才被存儲在機器的磁碟驅動器上。當主機想使用該密鑰時，該主機要求TPM啟封該密鑰，而在該機器處於該密鑰已被密封至的執行狀態中時，TPM才將啟封該密鑰。這個執行狀態(其通常利用平臺配置寄存器(Platform Configuration Register)或「PCR」的特定值來表示)以前已被驗證為提供足夠的保證以防止該密鑰的濫用的安全狀態。TPM能夠為密鑰提供安全性的另一種方式是生成密鑰對，並且僅提供該密鑰對的公用部分給主機， 以致涉及到那個密鑰對的所有的私鑰操作在TPM內被執行。TPM能夠為這樣的密鑰提供各種保證。例如，TPM能夠保證不離開TPM的密鑰是不可遷移的密鑰(S卩，該密鑰不能在除了採用已密封該密鑰的特定TPM的平臺之外的任何平臺上被使用)。由於不可遷移的密鑰利用TPM來保護，所以在該密鑰不太可能被闖入者盜用並且也不太可能在主機平臺上被惡意軟體濫用的意義上，該密鑰是相當可信的。為了對相關團體的成員建立這種可信性，主機平臺可以將不可遷移的密鑰提交給機構，並請求該機構認證該密鑰為可信的指示。然而，在獲得這個認證時，問題出現。具體來說，在為這樣的密鑰頒發證書之前，證書頒發機構必須確認被提交用於籤名的密鑰實際上已利用TPM來保護。例如，主辦機構(host authority)可能聲稱具有不可遷移的密鑰。然而，在認證該密鑰是不可遷移的之前，證書頒發機構將堅持該TPM聲稱該密鑰是不可遷移的，而不僅僅是主機這樣聲稱。諸如「這個密鑰是不可遷移的」的聲明通常利用可信實體的籤署的聲明來建立。 TPM具有被稱為「籤注密鑰」(其被稱為「EK」，並且其公用部分和專用部分可以分別地被稱為「EK-public (ΕΚ公用部分)」和「EK-private (ΕΚ專用部分)」)的密鑰對。給定TPM的籤注密鑰將那個TPM與其他的TPM區分開來。TPM的公用EK對於信任那個特定TPM的證書頒發機構是已知的。例如，公司可能操作伺服器以充當證書頒發機構，並且那個伺服器可能知道該公司所擁有的所有筆記本計算機的ΕΚ。因而，如果主機平臺創建由TPM密封的密鑰，理論上該TPM能夠使用EK來籤署該密鑰作為該TPM相信該密鑰是安全的指示。由於證書頒發機構知道它了解並信任的那些TPM的公用ΕΚ，所以證書頒發機構能夠使用籤名來驗證可信TPM已證明該密鑰是不可遷移的，並且證書頒發機構能夠在此基礎上為該密鑰頒發證書。然而，實際上，TPM具有防止它利用EK籤署任意數據的策略。因而，TPM通常使用EK 來創建其它密鑰，並且TPM使用這些其它密鑰來籤署數據。這樣的「其它密鑰」的一個示例是證明身份密鑰(ΑΙΚ)，其中TPM使用AIK來籤署其它密鑰。典型地，AIK用於以下列方式獲得密鑰的證書。主機平臺上的軟體要求TPM創建新的密鑰對，其中該軟體接收其公用部分。該軟體隨後要求TPM創建被綁定到新密鑰的公用部分的ΑΙΚ，並且然後請求證書頒發機構(「CA」)籤署AIK的公用部分(即，「AIK-public」)。 在這個處理期間，CA驗證該請求實際上來自它信任的TPM。例如，CA可能通過使用隨機數 (nonce)來驗證在它自己與TPM之間的通信信道的安全性。一旦使CA確信籤署AIK的請求來自CA信任的TPM，CA籤署AIK-public並將證書返回到主機平臺。主機平臺然後生成新密鑰，並請求TPM使用AIK的專用部分(「々11(- 1^^切」)來籤署新密鑰。使用AIK籤署新密鑰可能代表TPM作出的關於新密鑰的某個聲明，例如，利用AIK籤署新密鑰可能指示TPM宣稱該新密鑰是不可遷移的。主機然後向CA提交新密鑰；籤名；和CA頒發的AIK的證書；以及CA籤署新密鑰的請求。CA使用AIK-public來驗證新密鑰上的籤名，並使用AIK-public 的證書來驗證以前已建立對AIK的信任。CA隨後頒發新證書，並將其返回給主機。上述程序出現的問題是它使用去往CA的多個往返行程一個往返行程用於認證 AIK,而另一個往返行程用於認證TPM已利用AIK籤署的密鑰。此處描述的主題允許TPM的主機平臺請求CA在一個往返行程中認證TPM保護的密鑰。此處描述的技術避免使用單獨的往返行程來認證AIK。相反，主機平臺上的客戶端要求TPM創建新的不可遷移的密鑰，並要求CA認證新密鑰而不首先建立CA信任該AIK。CA 通過認證該密鑰來響應，但是以使得證書的後續使用視主機具有CA信任的TPM而定的方式來響應。為了執行這個程序，客戶端要求TPM創建客戶端希望認證的新密鑰。客戶端隨後創建證書請求，即，使得CA籤署新密鑰的請求。在將該請求實際發送到CA之前，客戶端要求TPM創建被綁定到證書請求的AIK。TPM通過創建包含AIK的公用部分、證書請求的摘要以及籤名的身份綁定來響應。客戶端隨後要求TPM籤署新密鑰。TPM通過創建包含將要認證的密鑰、有關密鑰的聲明(例如，「這個密鑰是不可遷移的」)和利用AIK-private創建的籤名的密鑰認證結構來響應。客戶端然後將證書請求、身份綁定、密鑰認證結構和TPM的 EK-public的證書轉發到CL·CA隨後檢查EK-public的證書，以確保它屬於CA信任的TPM。CA隨後提取證書請求的摘要(digest)，將該摘要與包含在身份綁定中的摘要進行比較，並驗證身份綁定上的籤名。假設這些摘要相匹配且該籤名驗證，這些事實證實AIK針對CA接收到的證書請求而創建。接下來，CA從證書請求中恢復將認證的密鑰，並將其與密鑰認證結構中識別的密鑰進行比較，以確保該密鑰認證結構涉及在證書請求中指定的密鑰。CA然後檢查在密鑰認證結構中作出的聲明，以確保有關該密鑰的聲明與CA的證書頒發策略相一致(例如，如果CA的策略需要僅認證不可遷移的密鑰，則CA驗證該聲明證明該密鑰的不可遷移性)。CA隨後驗證該密鑰認證結構上的籤名，以確保包含在那個結構中的聲明由AIK-private的持有者作出。假設所有的上述驗證已妥當，CA此時知道AIK的持有者正宣稱新密鑰是不可遷移的並正在請求用於那個密鑰的證書。CA不知道的是AIK是否與關聯於EK-public的可信TPM相關聯。因而，CA向客戶端頒發有條件的證書。在該證書僅在持有EK-private的TPM (CA信任其)將驗證AIK由那個TPM頒發時才能夠使用的意義上，該證書是有條件的。為了使得該證書是有條件的，而不是以明文(in the clear)籤署該證書，CA創建對稱密鑰並利用該對稱密鑰來加密該證書的其籤名。因此，CA向客戶端提供包含加密籤名的證書，並且也提供利用EK-public加密的對稱密鑰。如果用於證書請求的AIK實際上由持有EK的可信TPM創建的話，則那個客戶端將能夠要求該TPM使用EK-private來解密該對稱密鑰，其中對稱密鑰反過來可以用於解密該證書上的籤名。否則，如果CA向沒有利用EK-public識別的可信TPM的機器上的客戶端提供該證書，則該客戶端將無法解密該籤名，並將無法使用該證書。這樣，CA將驗證特定AIK的可信度的工作委派給可信TPM，從而避免在證書頒發機構和客戶端之間單獨的往返來使得AIK被認證。現在轉向附圖，圖1顯示在客戶端請求證書頒發機構認證新密鑰時可以使用的各個組件以及這些組件之間的示例交互。在附圖中，並且在以下的描述中，客戶端正請求認證的密鑰被稱為「新密鑰」。在一個示例中，這個密鑰是客戶端將用作籤署數據的處理的一部分的Rivest-aiamir-Adelman (RSA)密鑰的公用部分。因而，在典型的場景中，客戶端創建新的RSA籤署密鑰，並尋求使得該密鑰由CA認證，以便該籤署密鑰能夠被其他實體信任。然而，在這裡描述的技術並不限於籤署密鑰或RSA密鑰的認證。通常，此處的技術在客戶端創建密鑰並尋求使之由CA認證時適用。因而，客戶端正尋求認證的密鑰在這裡將被稱為「新密鑰」。此處所述的技術涉及各種密鑰的使用，並且這些密鑰在文本和附圖中將利用適當的標籤和/或修飾符來區分。機器102是提供一些計算能力的機器，諸如個人計算機、手持式計算機、機頂盒等等。機器102裝備有TPM 104。TPM 104是為TPM 104位於其上的機器102提供各種安全服務的組件。TPM 104具有籤注密鑰(EK)106，其是分別地具有各自的公用部分和專用部分 108和110 (在這裡被稱為「EK-Public」和「EK-Private」)的非對稱密鑰對。每個TPM 104 具有它自己的不被其它TPM共享的EK。EK 106的一個方面是EK_private不暴露(expose) 在TPM 104之外。TPM 104暴露機器102能夠使用來請求TPM 104利用EK-private解密數據塊的接口，以便TPM 104能夠為機器102解密數據而不暴露EK-private的實際值。TPM 104也提供各種其它的安全功能。例如，TPM 104維護記錄該機器的當前執行狀態的測量的一組寄存器(被稱為平臺配置寄存器或PCR)，並且TPM 104允許機器102將數據塊密封到特定的機器狀態。這樣，機器102能夠保持只有TPM 104能夠啟封的密封數據塊，並且TPM 104能夠通過拒絕啟封該數據來保護這個數據，除非機器102當前處於已知的「安全」狀態中。由TPM 104提供的另一個特徵是在TPM 104內部能夠用於存儲密鑰的少量的存儲器。 因而，TPM 104能夠生成密鑰對，並且能夠將密鑰的專用部分保存在它自己的存儲器中，以致專用部分不暴露於機器102的非安全部分(即，機器102中位於TPM 104外部的那些部分)。在這個意義上，其私鑰被保存在TPM 104內部的密鑰對是不可遷移的密鑰它不能被遷移到其他機器，這是因為它不暴露於特定機器的TPM之外。客戶端112是為了某種目的(例如，籤署或加密)而想要創建新密鑰的軟體組件。 客戶端112可以是應用、作業系統的組件或運行在機器102上的任何其它類型的軟體組件。 當客戶端112決定創建新密鑰時，客戶端112發出TPM 104創建密鑰的請求114。TPM 104 創建所請求的密鑰，並返回能夠利用來識別該密鑰的密鑰句柄(key handle) 1160通常，請求114是創建諸如RSA密鑰對之類的非對稱密鑰對的請求，在這種情況下，密鑰句柄116包含新密鑰的公用部分(專用部分僅被保持在TPM 104內部)。在這個示例中，RSA密鑰對的公用部分是客戶端正尋求認證的「新密鑰」。(技術上，它是用於籤署數據的私鑰，而公鑰被其它各方用來驗證籤名。由於利用某人稍後將驗證籤名的期望來籤署數據，所以為了此處的目的而能夠將公鑰視為籤署數據的「處理的一部分」)。為了使得新密鑰被認證，客戶端112創建證書請求118，其是請求證書頒發機構認證密鑰的正式數據結構。客戶端112此時並不發送證書請求118給證書頒發機構。在這麼做之前，客戶端112安排由TPM創建各種數據塊，以便與證書請求一起發送。這些各種數據塊在下面進行描述。首先，客戶端112向TPM 104發出對於證明身份密鑰(AIK)的請求119。TPM 104 暴露創建被綁定到任意數據塊的AIK的功能。例如，TPM 104可能暴露諸如「CreateAIK (blob)」的功能，其以被加密綁定到「blob (塊)，，的方式返回AIK (其中「blob」是任意數據塊)。具體來說，當客戶端112發出請求「CreateAIK (blob)」時，TPM 104返回以下形式的數據塊
AIK-Public I blob | sig-AIK-Private (AIK-Public | blob) (關於記號，豎線符號「 I，，指的是級聯。此外，在整個說明書中，記號 "sig--private ，，將表示通過使用〈key pair (密鑰對)> 的專用部分在〈data (數據)> 上創建的籤名)。當客戶端112向TPM 104請求AIK時，客戶端請求AIK被綁定至的「blob」是證書請求118的摘要。利用AIK創建功能返回的數據被稱為身份綁定120，並且身份綁定120的示例在圖6中顯示。具體來說，身份綁定120包含AIK-Public 602、證書請求的摘要604以及針對AIK-Public 602和摘要604採用的籤名606，其中簽名 606使用AIK-Private來創建。因而，客戶端112從TPM 104接收的身份綁定120是
AIK-Public I digest | sig-AIK-Private (AIK-Public | digest)
身份綁定所做的是將AIK綁定到特定的證書請求(經由那個請求的摘要)。實際上，籤名意味著AIK-private的持有者(其是TPM 104)宣稱「摘要」是為之創建AIK的數據。具有身份綁定120的任何一方能夠使用AIK-public來驗證該籤名。返回到圖1，客戶端112接下來向TPM 104發出請求122以使得新密鑰利用AIK來籤署。當TPM 104利用AIK籤署密鑰時，TPM 104返回指示適用於該密鑰的安全特徵的結構。例如，如上所述，客戶端112正尋求由CA認證的新密鑰是由TPM創建的。在其中新密鑰是密鑰對的示例中，TPM 104在TPM 104內部保存專用部分，並且不在TPM 104外部洩露該專用部分。在這個意義上，因為新密鑰的專用部分不能在除了包含TPM 104的特定機器 (即，機器102)之外的任何機器上使用，所以新密鑰是不可遷移的。因而，當TPM 104利用 AIK籤署密鑰時，它返回實際上包含以下信息的結構
statement | new key | sig-AIK-Private (statement | new key)
其中「statement (聲明)」是有關新密鑰的聲明。例如，聲明可以實際上聲稱「正被籤署白勺密書月是不可遷移白勺密書月(The key that is being signed is a non-migratabIe key)，，。 (以英文句子的形式寫出的聲明的示例僅用於說明。通常，該聲明可以使用代碼來作出。或者，如果TPM具有已知的除非密鑰符合特定安全標準否則拒絕籤署該密鑰的策略，則該聲明可能隱含在TPM籤署了該密鑰的事實中。此外，注意「不可遷移性」是密鑰的示例特徵， 並且在這裡在整個說明書中使用這個示例。因而，說明書頻繁提及密鑰具有不可遷移的特徵，或者AIK被用來籤署該密鑰是不可遷移的聲明，或者CA核實該密鑰符合不可遷移性的策略。然而，不可遷移性僅僅是這樣的特徵的示例。一般而言，密鑰可以具有任何特徵，在密鑰認證結構中包含的聲明能夠證明任何這樣的特徵，並且CA能夠實行需要密鑰具有任何集合的零個或更多特徵的策略。因而，雖然這裡的說明書提及不可遷移的密鑰，但是將明白密鑰認證結構僅證明密鑰的某一特徵，而不論該特徵是什麼，並且如下所述，CA可以使用密鑰認證結構來確定AIK-Private是否已被用來證明CA的策略所需要的無論什麼特徵)。因而，當TPM 104籤署該密鑰時，它產生密鑰認證結構124，其示例顯示在圖7中。 示例的密鑰認證結構1 包含聲明702 (其可以顯式表示，如所示的，或可以隱式表示)。密鑰認證結構1 也包含將要認證的新密鑰704以及使用AIK-Private創建並對該聲明和新密鑰計算的籤名706。密鑰認證結構IM證實無論什麼實體控制AIK-Private，其聲稱新密鑰704是不可遷移的密鑰(或具有AIK-Private的持有者正在證明的無論什麼特徵)。任何的擁有AIK-public的實體(S卩，已接收到上述的身份綁定的任何實體)能夠使用該籤名來證實新密鑰704和聲明702是由擁有AIK-Private的實體籤署的。返回到圖1，證書頒發機構(CA)U6是客戶端112想要求認證新密鑰的實體。客戶端112現在已準備好向CA 126請求證書。為了請求CA 126認證新密鑰，客戶端112向CA 126發送證書請求118 ；身份綁定120 ；密鑰認證結構124 ；以及EK 106的證書128 (即，TPM 104的籤注密鑰的公鑰證書，其包含EK-Public)。這些項由CA 1 接收。在一個示例中，CA 1 是對頒發證書的請求起作用的伺服器。例如，CA 1 可以是公司(或其他企業)內通過認證新機器的密鑰而在企業中招收(enroll)新機器的伺服器。 CA 1 包括發行組件130，其作出有關將認證哪些密鑰的決定。CA 1 可以包含可信TPM 的列表132(例如，CA 1 信任的那些TPM的EK-public的列表)。CA 1 也可以具有包含據此將準許或拒絕證書請求的規則的策略134。例如，CA 1 可能具有僅認證不可遷移密鑰的策略，或可能具有某一其它策略。此外，CA 1 可以具有籤名驗證器136，其允許它驗證它接收到的各種數據塊上的密碼籤名。這些組件可以被發行組件130使用。例如，發行組件可以使用籤名驗證器136來驗證身份綁定和密鑰認證結構上的籤名。發行組件130也可以使用可信TPM的列表132來確定它願意為哪些TPM認證密鑰。此外，發行組件130可以使用策略134來確定它是否將認證特定密鑰，即使證書請求來自可信TPM。(例如，發行組件可能信任TPM 104，但如果TPM 104沒有聲稱密鑰是不可遷移的話，該發行組件可能不願意為TPM 104認證該密鑰)。當CA 126從客戶端112接收到上述項時，它進行以下動作。首先，CA 126檢查證書128 (其包含TPM 104的籤注密鑰的公用部分)，以確定CA 1 是否了解並信任客戶端 112正在其上面運行的機器上的TPM。例如，如果TPM 104對於CA 1 是未知的(這可以通過將證書1 與列表132進行比較來確定)，則CA 126可能不願意認證其上面安裝TPM 104 的機器上的密鑰。因而，如果證書1 指示正尋求其認證的密鑰被綁定到未知TPM，則CA126 可以拒絕證書請求。假設CA 1 了解並信任其公用籤注密鑰出現在證書128中的TPM，CA 1 則檢查證書請求118，以恢復客戶端112正請求認證的新密鑰(因為那個密鑰被包含在該證書請求中)。接下來，CA 1 檢查身份綁定120，以找到證書請求的摘要。CA 1 然後計算證書請求的摘要(使用與用於創建身份綁定120中的摘要相同的摘要算法)，並驗證包含在身份綁定中的摘要與CA 1 計算的摘要相匹配。如果這些摘要匹配的話，則CA 1 從身份綁定120讀取AIK-public，並使用AIK-public來驗證身份綁定120上的籤名。將回憶起 AIK在其創建時被綁定到特定的數據塊。籤名的驗證證實為其創建這個特定AIK的數據塊是證書請求118的摘要。在摘要處理是安全的程度上，為摘要創建AIK的事實證實為證書請求118而創建該AIK。注意如果驗證處理失敗的話(即，如果AIK是為某證書請求而非當前正提出的這個證書請求而創建的話)，這個事實將表明作為某種類型的重放攻擊的一部分而正在提出該證書請求，並且CA 1 可以拒絕該請求。接下來，CA 126檢查密鑰認證結構，以確定AIK-Private的持有者對於包含在安全請求中的新密鑰正作出什麼聲明。CA 1 使用AIK-public來驗證密鑰認證結構上的籤名。如果該籤名不驗證的話，則CA 1 不能得出AIK-Private的持有者已作出有關CA 126 的任何特別聲明的結論，所以CA 1 拒絕該證書請求。假設該籤名驗證，CA 1 確定新密鑰的屬性是否與CA 126的策略134相一致。例如，如果CA 126具有僅驗證不可遷移密鑰的策略，則它可能堅持密鑰認證結構顯示AIK-Private的持有者聲稱該密鑰是不可遷移的。到目前為止，該處理的描述提到了 「AIK-Private的持有者」而不識別什麼實體實際上持有那個密鑰。事實上，AIK-Private被TPM 104持有，這是因為正是TPM 104創建了AIK0然而，這一事實對於CA 1 是未知的。CA 1 知道TPM 104的籤注密鑰的公用部分， 但是CA 1 不能僅從籤注密鑰中推導出特定TPM和特定AIK之間的關係。換言之，此時在該處理中，CA 1 知道某個實體已為CA 1 接收到的特定證書請求創建了 AIK，以及無論那個實體是誰都已作出了有關滿足CA 1 的頒發策略的將要認證的密鑰的聲明。但是 CA 1 不知道該實體是誰。如上所述，CA 1 已檢查了 TPM 104的公用籤注密鑰，並已確定TPM 104是可信的，因此在控制AIK-Private的實體是TPM 104時，CA 1 將願意準許該證書請求。但是CA 1 並不知道AIK-Private是由TPM 104還是由其一其他實體控制。 如下所述，CA 126能夠以僅在控制AIK-Private的實體實際上是TPM 104時才能夠使用的形式頒發有條件的證書。具體來說，該證書的形式是在該證書能夠被使用之前TPM 104將不得不執行某個行動。特別地，證書上的籤名能夠以僅作為由TPM執行的處理的結果才可解密的方式來加密(例如，由TPM進行的籤名的解密，或由TPM進行的稍後用於解密籤名的密鑰的解密)。為了頒發以特定TPM的存在為條件的證書，CA 126按照請求為新密鑰創建證書 (例如，X. 509證書)。證書包含將要認證的密鑰以及認證該密鑰的證書頒發機構的籤名。通常，該籤名將以明文(即，不加密)的形式位於證書中。然而，當CA 1 創建證書時，它創建對稱密鑰，並使用該對稱密鑰來加密該籤名。加密的籤名替代明文籤名而被放置在證書中。 CA 126然後利用TPM 104的公用籤注密鑰(即，CA 126在證書128中接收的EK-Public)來加密對稱密鑰。只有EK-private的持有者(即，TPM 104)才能夠解密利用EK-Public加密的信息，所以只有TPM 104將能夠恢復對稱密鑰。因此，CA 1 向客戶端112發送(a)具有加密籤名的證書138，和(b)加密的對稱密鑰140 (利用EK-Public加密)。當客戶端112 接收到加密的對稱密鑰時，它能夠要求TPM 104利用EK-Public來解密它，從而允許客戶端 112利用對稱密鑰來解密該籤名。客戶端112隨後能夠將證書138中的加密籤名替換為明文籤名。在圖8中顯示證書138。證書138包含新密鑰704以及為sig-CA-Private (新密鑰)的利用對稱密鑰加密的加密籤名802。(「CA-Private」是CA 1 的私鑰)。注意CA 126隻希望在TPM 104已證明CA 126正在認證的密鑰符合由CA 126實行的適用標準(例如，不可遷移性)時才頒發可用的證書，這僅在TPM 104實際上是生成AIK 的實體時CA 1 才知道是真實的。理論上，AIK可能已由除了 TPM 104之外的某個實體生成了。在那種情況下，CA 1 將仍然頒發具有TPM 104能夠解密的加密籤名的證書138(因為利用對稱密鑰來加密該籤名，其中能夠利用TPM 104的專用籤注密鑰來恢復對稱密鑰)。 然而，當CA 126將帶有加密籤名的證書發送給TPM 104時，CA 126信賴TPM 104不創建具有明文籤名的證書，除非利用證書138認證的新密鑰實際上是TPM 104利用AIK籤署的密鑰。實際上，CA 1 將這個確定委派給TPM 104，其中CA 1 因為它已證實TPM 104是CA 126信任的TPM而能夠這麼做。因而，在TPM 104接收到具有加密籤名的證書138之後，TPM 104確定利用證書138認證的新密鑰是否是TPM 104已利用AIK籤署的密鑰。如果是這樣的話，則TPM 104解密該籤名並利用明文籤名來替代加密籤名。否則，TPM 104不解密該籤名，從而使得該證書是不可用的。除非某一方能夠驗證密鑰證書是由該方信任的適當機構籤署的，否則沒有一方將信任該密鑰證書。如果證書中的籤名不能被解密，該證書仍然保持是不可用的，這是因為它不能用於與任何一方建立信任。圖2-5以流程圖的形式顯示可以用於提出認證密鑰的請求並對請求起作用的示例處理。在轉至圖2-5的描述之前，注意包含在這些附圖中的流程圖參考圖1中顯示的組件通過示例來描述，儘管這個處理可以在任何系統中完成並且不限於圖1中所示的場景。 此外，圖2-5中的每個流程圖顯示其中處理的各階段以特定順序來完成的示例，如利用連接這些框的線所指示的，但是這些附圖中所示的各個階段能夠以任何順序或以任何組合或子組合來執行。在202，客戶端請求TPM生成新密鑰。如上所述，新密鑰可以例如是RSA密鑰對，其可以用於諸如加密或籤署之類的任何密碼功能。在其中生成RSA密鑰對的示例中，流程圖中提及的「新密鑰」(即，將要認證的密鑰)是密鑰對的公用部分。在204，創建對於新密鑰的證書請求。創建該請求的摘要(在206)，並且客戶端然後請求TPM創建被綁定到該摘要的AIK (在208)。TPM隨後創建AIK (在210)，並返回身份綁定。如上所述，該身份綁定包含AIK-public、摘要以及對AIK-public和摘要採用的籤名 (其中該籤名利用AIK-Private來創建)。在212，客戶端請求TPM利用AIK籤署新密鑰。TPM然後返回密鑰認證結構(在 214)，其包含有關新密鑰(顯式或隱式)的聲明(例如，「這個密鑰為不可遷移的」)、新密鑰本身以及對聲明和新密鑰採用的籤名(其中該籤名利用AIK-Private來創建)。在216，客戶端向CA發送(a)證書請求；(b)身份綁定；(c)密鑰認證結構；和(d)TPM的籤注密鑰的公鑰證書(EK-Public)。在218，這些項由CA來接收。在220，CA對照已知TPM的列表來檢驗EK_Public。如果CA基於EK-Public確定與EK-Public相關聯的TPM或不為CA所知曉或已知來自不可信的TPM (如在222所確定的)，則CA中止該處理(在224)並且不頒發證書。如果EK-Public來自已知的、可信的TPM， 則這個處理繼續至226，其中CA讀取證書請求以獲得正被要求認證的新密鑰。CA隨後驗證身份綁定上的籤名，從該綁定中恢復摘要，並且還從證書請求中計算摘要本身。如果身份綁定與證書請求不相匹配(即，如果包含在證書請求中的摘要與CA從證書請求計算的摘要不相同，如在2 所確定的)，則該處理中止，並且CA不頒發證書(在 230)。否則，這個處理繼續至232。在232，CA確定密鑰認證結構是否證明新密鑰滿足適用策略(例如，不可遷移性的策略)。例如，通過驗證密鑰認證結構上的籤名並且隨後檢查該結構作出的關於該密鑰的聲明，CA可以作出這個確定。如果該籤名無法驗證，或者如果該聲明指示該密鑰不滿足CA的認證密鑰的策略，則該處理中止，並且CA不頒發證書(在234)。否則，該處理繼續至236，其中CA進而頒發證書。在236，CA創建將用於加密證書上的籤名的對稱密鑰。在238，CA為新密鑰創建證書。在M0，CA為證書創建籤名。在242，CA利用對稱密鑰來加密籤名，並將加密的籤名(而非明文籤名)包括在證書中。在對4，CA利用EK-Public (位於將對其頒發證書的機器上的 TPM的籤注密鑰的公用部分)來加密對稱密鑰。在M6，CA向請求證書的客戶端發送該密鑰的證書(具有加密的籤名)以及利用EK-Public加密的對稱密鑰。在對8，這些項由客戶端來接收。在250，客戶端要求TPM利用EK-private解密對稱密鑰。假設包含在證書中的密鑰是TPM利用用於證書請求的AIK籤署的相同的密鑰，TPM解密對稱密鑰(在252)，並將其返回給客戶端。客戶端然後使用對稱密鑰來解密籤名，並利用明文籤名來替換證書中的加密籤名(在256)。客戶端現在擁有用於新密鑰的可用證書(在258)。圖9顯示其中可以部署此處描述的主題的各方面的示例環境。計算機900包括一個或多個處理器902和一個或多個數據記憶組件904。(一個或多個)處理器902典型地是微處理器，諸如在個人臺式或膝上型計算機、伺服器、手持式計算機或另一類型的計算設備中找到的那些微處理器。(一個或多個)數據記憶組件904是能夠或短期或長期存儲數據的組件。(一個或多個)數據記憶組件904的示例包括硬碟、可移動盤(包括光碟和磁碟)、易失性和非易失性隨機存取存儲器(RAM)、只讀存儲器(ROM)、快閃記憶體、 磁帶等。(一個或多個)數據記憶組件是計算機可讀存儲媒體的示例。計算機900可以包括顯示器912或與顯示器912相關聯，其中顯示器912可以是陰極射線管(CRT)監視器、液晶顯示(IXD)監視器或任何其它類型的監視器。軟體可以存儲在(一個或多個)數據記憶組件904中，並且可以執行在一個或多個處理器902上。這樣的軟體的示例是密鑰認證軟體906，其可以實現上面結合附圖1-8所述的功能中的一些或全部功能，儘管能夠使用任何類型的軟體。軟體906可以例如通過一個或多個組件來實現，其中組件可以是分布式系統中的組件、單獨的文件、單獨的功能、單獨的對象、單獨的代碼行等。其中程序被存儲在硬碟上、被加載到RAM中並在計算機的(一個或多個)處理器上執行的個人計算機代表圖9所述的場景，儘管此處描述的主題並不限於這個示例。此處描述的主題能夠作為存儲在(一個或多個)數據記憶組件904之中的一個或多個數據記憶組件中且執行在(一個或多個)處理器902之中的一個或多個處理器上的軟體來實現。作為另一示例，該主題可以作為存儲在一個或多個計算機可讀存儲媒體上的指令來實現。(有形媒體諸如光碟或磁碟是存儲媒體的示例)。這樣的指令當由計算機或其他機器執行時可以導致計算機或其他機器執行方法的一個或多個動作。執動這些動作的指令能夠存儲在一個介質上或者能夠遍布於多個媒體上，以致這些指令可能一起出現在一個或多個計算機可讀存儲媒體上，而不管是否所有的指令碰巧位於同一介質上。此外，此處描述的任何動作(不論是否在圖中顯示)可以由處理器(例如，一個或多個處理器902)作為方法的一部分來執行。因而，如果此處描述動作A、B和C，則可以執行包括A、B和C的動作的方法。此外，如果此處描述A、B和C的動作，則可以執行包括使用處理器來執行A、B和C的動作的方法。在一個示例環境中，計算機900可以通過網絡908而通信連接到一個或多個其他設備。在結構上可以與計算機900相類似的計算機910是能夠連接到計算機900的設備的示例，儘管其他類型的設備也可以這樣進行連接。儘管以結構特徵和/或方法動作特定的語言描述了該主題，但是將明白在所附的權利要求書中定義的主題不一定限於上述的特定特徵或動作。相反，上述的特定特徵和動作被披露為實現這些權利要求的示例形式。
權利要求
1.一種用於請求第一密鑰(704)的證書(138)的方法，該方法包括 創建(204)證書請求(118)，以使得所述第一密鑰(704)被認證；向可信平臺模塊(104)請求(208)被綁定到所述證書請求(118)的證明身份密鑰； 從所述可信平臺模塊(104)接收(210)將所述證明身份密鑰綁定到所述證書請求 (118)的身份綁定(120);請求(214)所述可信平臺模塊(104)利用所述證明身份密鑰來籤署所述第一密鑰 (704)；從所述可信平臺模塊(104)接收(216)包含所述第一密鑰(704)並利用所述證明身份密鑰籤署的密鑰認證結構(IM)；向證書頒發機構(1 )發送(218)包括所述證書請求(118)、所述身份綁定(120)、所述密鑰認證結構(124)和所述可信平臺模塊(104)的公用籤注密鑰(108)的第一證書(1 ) 的信息；以及從所述證書頒發機構(126)接收(248)所述第一密鑰(704)的第二證書(138)，所述第二證書(138)採用僅在由所述可信平臺模塊(104)採取行動之後才是可用的形式。
2.權利要求1的方法，進一步包括 計算所述證書請求的摘要；其中通過將所述證明身份密鑰綁定到所述摘要，將所述證明身份密鑰綁定到所述證書請求。
3.權利要求1的方法，其中所述第一證書包括所述證書頒發機構的籤名，所述籤名是僅利用使用所述可信平臺模塊的專用籤注密鑰的處理才可解密的，其中所述行動包括使用所述可信平臺模塊的專用籤注密鑰。
4.權利要求3的方法，進一步包括從所述證書頒發機構接收利用所述可信平臺模塊的公用籤注密鑰加密的對稱密鑰； 其中所述第二證書以利用所述對稱密鑰加密的形式包含所述籤名，並且其中使用所述可信平臺模塊的專用籤注密鑰的所述處理包括使用所述可信平臺模塊的專用籤注密鑰來解密所述對稱密鑰；和使用所述對稱密鑰來解密所述籤名。
5.權利要求1的方法，其中所述第二證書包括以加密形式接收的籤名，並且其中所述行動進一步包括利用採用明文形式的籤名來替換採用所述加密形式的所述籤名。
6.權利要求1的方法，其中所述第一密鑰是不可遷移的，並且其中所述密鑰認證結構包括所述第一密鑰是不可遷移的聲明。
7.權利要求1的方法，其中所述第一密鑰被用作在所述可信平臺模塊位於其上的機器上簽署數據的處理的一部分。
8.一種計算機可讀介質，其具有計算機可執行指令來執行權利要求1-7之中任一權利要求的方法。
9.一種對請求起作用以認證第一密鑰的方法，該方法包括 從客戶端(112)接收(218)包括以下的信息認證第一密鑰(704)的證書請求(118)；由所述客戶端(112)在其上面運行的機器(102)上的可信平臺模塊(104)創建的證明身份密鑰的身份綁定(120);使用所述證明身份密鑰來證明所述第一密鑰(704)的特徵的密鑰認證結構(124)；和所述可信平臺模塊(104)的公用籤注密鑰(108)的第一證書(1 )；基於所述公用籤注密鑰(108)，驗證(222)所述可信平臺模塊(104)被執行所述行動的證書頒發機構(126)信任；驗證(2 )所述身份綁定(120)將所述證明身份密鑰綁定到所述證書請求(118)；由所述證明身份密鑰的專用部分的持有者驗證(232)所述密鑰認證結構(124)代表所述第一密鑰(704)具有所述特徵的聲明(702)；和發送(246)所述第一密鑰(704)的第二證書(138)到所述客戶端(112)，其中所述第二證書(704)的使用以所述可信平臺模塊(104)的存在為條件。
10.權利要求9的方法，其中通過使得所述證書僅在所述可信平臺模塊的專用籤注密鑰的使用之後才是可用的，使得所述第二證書的使用以所述可信平臺模塊的存在為條件。
11.權利要求9的方法，其中所述第二證書包括所述證書頒發機構的籤名，所述籤名採用僅使用所述可信平臺模塊的專用籤注密鑰才可解密的形式。
12.權利要求9的方法，其中所述第二證書包括所述證書頒發機構的籤名，所述籤名利用對稱密鑰來加密，並且其中該方法進一步包括發送利用所述可信平臺模塊的公用籤注密鑰加密的所述對稱密鑰到所述客戶端。
13.權利要求9的方法，其中所述特徵包括所述第一密鑰是不可遷移的，並且其中所述密鑰認證結構包含所述第一密鑰是不可遷移的顯式或隱式聲明。
14.權利要求9的方法，其中通過包含所述證書請求的第一摘要，所述身份綁定將所述證明身份密鑰綁定到所述證書請求，並且其中該方法進一步包括計算所述證書請求的第二摘要；以及驗證所述第二摘要與所述第一摘要相匹配。
15.一種計算機可讀介質，其具有計算機可執行指令來執行權利要求9-14之中的任一權利要求的方法。
全文摘要
可信平臺模塊(TPM)已證明為不可遷移的密鑰的認證能夠在證書頒發機構(CA)與請求證書的客戶端之間的單個往返行程中被執行。客戶端創建證書請求，並隨後使得TPM創建被綁定到證書請求的證明身份密鑰(AIK)。客戶端然後要求TPM將新密鑰籤署為不可遷移性的證明。客戶端隨後將證書請求與不可遷移性的證明一起發送到CA。CA檢查證書請求以及不可遷移性的證明。然而，因為CA並不知道該證明是否已由可信TPM作出，所以它認證該密鑰僅僅在該證書中包括只能使用可信TPM的籤注密鑰來解密的加密籤名。
文檔編號H04L9/14GK102577229SQ201080048694
公開日2012年7月11日 申請日期2010年9月24日 優先權日2009年10月28日
發明者E.L.霍爾特, S.D.安德森, S.託姆 申請人:微軟公司