基于可信计算的软件定义边界身份认证密钥管理方法与流程

本发明涉及电通信，尤其涉及一种基于可信计算的软件定义边界身份认证密钥管理方法。

背景技术：

1、软件定义边界(software-defined-perimeter，sdp)作为基于零信任(zerotrust)理念的新一代网络安全模型，以动态的方式保护现代网络。该框架遵循“先认证，后连接”的访问方式。客户端在访问网关之前，要先到控制端进行身份认证，控制端是通过判断客户端是否拥有与自己相同的用户认证密钥来识别合法的客户端。当前sdp，客户端初始的身份认证密钥采用离线或在线协议来交付，之后的身份认证密钥由前一次的密钥产生。

2、采用上述方式，用户认证的对称密钥是明文存放在客户端，很容易被泄露后篡改。

技术实现思路

1、本发明的目的在于提供一种基于可信计算的软件定义边界身份认证密钥管理方法，旨在解决用户认证的对称密钥是明文存放在客户端，容易被泄露后篡改的问题。

2、为实现上述目的，本发明提供了一种基于可信计算的软件定义边界身份认证密钥管理方法，包括以下步骤：

3、客户端创建用户认证密钥；

4、所述客户端将所述用户认证密钥复制，得到复制数据；

5、所述控制端对所述复制数据进行完整性校验，校验通过，完成所述用户认证密钥的共享；

6、所述控制端部署防火墙；

7、所述客户端使用所述用户认证密钥与所述控制端进行身份认证，认证通过，所述控制端在所述防火墙添加指定端口与所述客户端建立双向连接。

8、其中，所述客户端创建用户认证密钥的具体方式为：

9、客户端对可信平台模块进行初始化工作；

10、初始化后的所述可信平台模块进行自检；

11、所述客户端使用自检通过的所述可信平台模块基于用户认证密钥提供模板结构生成用户认证密钥。

12、其中，所述客户端使用自检通过的所述可信平台模块基于用户认证密钥提供模板结构生成用户认证密钥的具体方式为：

13、所述客户端使用自检通过的所述可信平台模块基于用户认证密钥提供模板结构使用密钥生成器产生对称密钥，并将所述对称密钥返回给用户；

14、所述可信平台模块通过存储父密钥的密钥种子采用对称加密方法对所述对称密钥进行加密保护，得到用户认证密钥。

15、其中，所述客户端将所述用户认证密钥复制，得到复制数据的具体方式为：

16、所述客户端调用复制数据生成接口将所述用户认证密钥的密钥句柄复制，得到复制数据。

17、其中，所述客户端调用复制数据生成接口将所述用户认证密钥的密钥句柄复制，得到复制数据的具体方式为：

18、所述客户端调用复制数据生成接口对所述用户认证密钥进行检验；

19、判断检验通过的所述用户认证密钥的新父密钥句柄，得到判断结果；

20、基于所述判断结果，用加密密钥对所述用户认证密钥的隐私部分进行加密和哈希计算，得到第一计算结果；

21、用所述密钥种子生成种子加密密钥和hmac密钥分别对所述第一计算结果进行处理，得到复制数据。

22、其中，所述用所述密钥种子生成种子加密密钥和hmac密钥分别对所述第一计算结果进行处理，得到复制数据的具体方式为：

23、用所述密钥种子生成种子加密密钥和hmac密钥；

24、使用所述种子加密密钥对所述第一计算结果进行加密，得到第二计算结果；

25、使用所述hmac密钥对所述第一计算结果进行hmac运算，得到运算结果；

26、将所述第一计算结果、所述运算结果、所述新父密钥句柄、所述加密密钥和所述密钥种子打包，得到复制数据。

27、其中，所述控制端对复制的所述用户认证密钥进行完整性校验，校验通过，完成所述用户认证密钥的共享的具体方式为：

28、所述控制端调用密钥导入接口将所述复制数据载入；

29、对所述复制数据的所述新父密钥句柄、所述加密密钥和所述密钥种子进行检验；

30、将检验通过所述密钥种子和所述新父密钥句柄恢复所述hamc密钥，同时对所述第二计算结果进行验证，验证通过，对所述第二计算结果进行解密，得到所述第一计算结果；

31、基于所述第一计算结果得到所述用户认证密钥，并对所述用户认证密钥进行完整性校验，校验通过，完成所述用户认证密钥的共享。

32、其中，所述客户端使用所述用户认证密钥与所述控制端进行身份认证，认证通过，所述控制端在所述防火墙添加指定端口与所述客户端建立双向连接的具体方式为：

33、所述客户端使用所述用户认证密钥生成敲门包发送给所述控制端；

34、所述控制端使用所述用户认证密钥基于所述敲门包对用户的身份进行认证，认证通过，所述控制端在所述防火墙添加指定端口；

35、所述客户端和所述控制端通过所述指定窗口建立双向连接。

36、其中，在步骤所述客户端使用所述用户认证密钥与所述控制端进行身份认证，认证通过，所述控制端在所述防火墙添加指定端口与所述客户端建立双向连接之后，所述方法还包括：

37、所述客户端通过所述用户认证密钥进行密钥更新，得到更新密钥，并将所述更新密钥迁徙至所述控制端后进行身份认证建立双向连接。

38、其中，所述客户端通过所述用户认证密钥进行密钥更新，得到更新密钥，并将所述更新密钥迁徙至所述控制端后进行身份认证建立双向连接的具体方式为：

39、所述客户端在可信平台模块调用所述用户认证密钥，对所述用户认证密钥进行初始化，然后对初始化后的所述用户认证密钥进行计算，得到更新密钥；

40、所述客户端将所述更新密钥迁徙至所述控制端后进行身份认证建立双向连接。

41、本发明的一种基于可信计算的软件定义边界身份认证密钥管理方法，通过客户端创建用户认证密钥；所述客户端将所述用户认证密钥复制，得到复制数据；所述控制端对所述复制数据进行完整性校验，校验通过，完成所述用户认证密钥的共享；所述控制端部署防火墙；所述客户端使用所述用户认证密钥与所述控制端进行身份认证，认证通过，所述控制端在所述防火墙添加指定端口与所述客户端建立双向连接，本发明通过创建用户认证密钥实现对对称密钥的加密后进行身份认证，解决了用户认证的对称密钥是明文存放在客户端，容易被泄露后篡改的问题。

技术特征：

1.一种基于可信计算的软件定义边界身份认证密钥管理方法，其特征在于，包括以下步骤：

2.如权利要求1所述的基于可信计算的软件定义边界身份认证密钥管理方法，其特征在于，

3.如权利要求2所述的基于可信计算的软件定义边界身份认证密钥管理方法，其特征在于，

4.如权利要求3所述的基于可信计算的软件定义边界身份认证密钥管理方法，其特征在于，

5.如权利要求4所述的基于可信计算的软件定义边界身份认证密钥管理方法，其特征在于，

6.如权利要求5所述的基于可信计算的软件定义边界身份认证密钥管理方法，其特征在于，

7.如权利要求6所述的基于可信计算的软件定义边界身份认证密钥管理方法，其特征在于，

8.如权利要求7所述的基于可信计算的软件定义边界身份认证密钥管理方法，其特征在于，

9.如权利要求8所述的基于可信计算的软件定义边界身份认证密钥管理方法，其特征在于，

10.如权利要求9所述的基于可信计算的软件定义边界身份认证密钥管理方法，其特征在于，

技术总结
本发明涉及电通信技术领域，具体涉及一种基于可信计算的软件定义边界身份认证密钥管理方法，包括客户端创建用户认证密钥；客户端将用户认证密钥复制，得到复制数据；控制端对复制数据进行完整性校验，校验通过，完成用户认证密钥的共享；控制端部署防火墙；客户端使用用户认证密钥与控制端进行身份认证，认证通过，控制端在防火墙添加指定端口与客户端建立双向连接，本发明通过创建用户认证密钥实现对对称密钥的加密后进行身份认证，解决了用户认证的对称密钥是明文存放在客户端，容易被泄露后篡改的问题。

技术研发人员：李欣,李元正,谢京雪,谭良
受保护的技术使用者：成都国泰网信科技有限公司
技术研发日：
技术公布日：2024/1/13