[发明专利]一种利用可信赖平台模块的认证系统和认证方法

说明书

技术领域

本发明涉及计算机系统的安全技术，特别是一种对计算机系统的用户进 行安全认证的技术。

背景技术

出于安全的考虑，现有的计算机系统(例如笔记本电脑、台式电脑等) 都在用户登陆的时候对计算机用户进行认证，只有在用户提供的认证信息与 计算机系统中存储的认证信息一致的情况下，才允许用户进入计算机系统进 行操作。

然而，目前的认证信息均存在计算机系统的存储系统中(如计算机系统 的硬盘)，这样存放于电脑的存储系统内上的认证信息可能被远程盗取或者非 授权访问，没有通过认证的用户还是有可能获取该认证信息，从而实现登陆 该计算机系统，同时，由于介质的通用性和开放性，存放于电脑的存储系统 内上的认证信息也很容易受到病毒、木马和其他恶意程序的攻击。

由于上述问题的存在，目前已有一些致力于解决该问题的相关的解决方 案，如利用TPM(Trusted Platform Module，可信任平台模块)来实现，其独 立于操作系统，不受操作系统控制而独立运行，TPM芯片内部程序是固化的， 不能更改的，这些都能部分的解决上述问题。

其中，现有的TPM认证模块的结构如图1所示，包括包括应用程序模块11、 TSP(TSS Service Provider，TSS服务提供商)模块12、TCS(TSS Core Service， TSS核心服务)模块15、TPM驱动模块16和TPM 17，TSS为TPM Software Stack 的缩写，即TPM软件堆，是一种软件规范，该规范提供用于接入TPM的函数 的标准API(Application Programming Interface，应用编程接口)。

如图1所示，其中：

应用程序模块11，与TSP模块12连接，用于向TSP模块12发送指令，包括 创建秘钥指令和加解密操作指令，并接收TSP模块12返回的密钥创建成功信 息和加解密执行结果信息；

TPM 17，与TPM驱动模块16连接，用于创建秘钥和加解密操作，并向TSP 模块返回创建秘钥和加解密操作执行结果；

TCS模块15，连接TSP模块12和TPM驱动模块16，用于对TPM 17和TSP 模块12之间传输的数据执行一定的编码操作；

TSP模块12，与TCS模块15连接，用于通过TCS模块15、TPM驱动 模块16向TPM 17发送创建密钥指令和加解密操作指令，在创建密钥时，还 用于向应用程序模块11返回密钥创建成功信息；在使用密钥时，还用于向应 用程序模块11返回加解密操作执行结果。

然而，目前TPM认证采用口令的方式进行认证，用户需要记忆用户名、 口令等一系列的数据，使用不便，同时输入口令也容易被键盘监听软件盗取 到口令，系统安全还是无法得到充分的保证。

用户作为一种生物，其本身的许多生理特征都是独一无二的，例如指纹、 虹膜等。

发明内容

本发明的目的在于提供一种利用可信赖平台模块的认证系统和认证方 法，将用户本身的特有的生理特征引入现有的TPM认证系统，安全，易于使 用，解决现有技术条件下计算机系统的安全认证无法完全保证安全、同时使 用不便等问题。

为了实现上述目的，本发明提供了一种利用可信赖平台模块的认证系统， 包括一应用程序模块、一TSP模块、一TCS模块、一TPM驱动模块和TPM， 还包括：

一生物特征识别设备，与所述TPM和TSP模块连接，用于获取用户生 物特征，并根据用户生物特征形成用户生物特征码，还用于根据用户生物特 征寻找匹配的用户生物特征码；

所述TPM，用于直接从所述生物特征识别设备获取所述用户生物特征码， 并用于根据所述TSP模块的指令和所述用户生物特征码执行TPM操作。

上述的系统，其中，在执行需要获取认证信息的指令时，所述生物特征 识别设备具体用于获取第一用户生物特征码并根据所述第一用户生物特征码 计算得到第一哈希值；所述TPM具体用于从所述生物特征识别设备获取第一 用户生物特征码和第一哈希值后执行需要获取认证信息的指令。