[发明专利]一种网络平台身份认证系统和方法

说明书

技术领域

本发明涉及采用TCM(Trusted Cryptography Module)芯片提供的密钥管理、数据加解密、数据审计以及关键数据存储等基础功能，提出一种基于TCM芯片的应用系统客户端敏感数据保护方法，特别是涉及一种基于TCM芯片的网络平台身份认证系统和方法。

背景技术

在与网络平台的交互中，第一步就是进行客户端身份的鉴别，而进行身份鉴别的首要条件，则是首先需要把客户端的身份等敏感信息存储在对方存储设备中；当客户端访问某网络平台进行活动时，被访问网络平台会要求对客户端的身份进行鉴权，鉴权通过后才会允许客户端进行权利范围内的操作；以上描述的两个步骤也就是与网络平台交互活动中常见的注册与登录操作。

在这两个操作过程中存在如下弊病：

1、客户端身份证书发布流程中，服务端没有为客户端提供自身的身份证明，证明其有效身份，这样很容易出现客户端客户端身份信息被违法人员盗取，进行非法活动，损害客户端的权益；

2、进行客户端身份认证操作时，客户端敏感信息是进行裸数据网络传输，容易被第三方截获；

3、客户端敏感数据存储在服务端提供方的存储设备中如采用裸数据存储，同样存在被人主动泄密以及被他人盗取的危险。

发明内容

本发明提供一种基于TCM芯片的网络平台身份认证以及客户端敏感数据的数据加密，解决目前与网络平台交互活动中身份信息易被第三方冒充以及客户端敏感数据裸数据传输以及存储的问题。

本发明解决上述技术问题的技术方案如下：

一种网络平台身份认证系统，其特征在于，所述认证系统包括服务端、与服务端连接的第一可信计算密码模块TCM，数字认证中心CA以及客户端；

所述服务端通过所述第一可信计算密码模块TCM提供的PIK功能生成身份证书请求并输出到所述数字认证中心CA；

所述数字认证中心CA下发身份证书给服务端；

所述客户端接收所述服务端输出的服务端身份证书，并进行鉴别。

所述认证系统包括与所述客户端连接的第二可信计算密码模块TCM，所述客户端将所述服务端身份证书提供给所述第二可信计算密码模块TCM，第二可信计算密码模块TCM对所述服务端身份证书进行鉴别而实现平台身份认证。

一种根据上述系统采用的网络平台身份认证方法，其特征在于，所述网络平台身份认证方法包括如下步骤：

所述服务端通过所述第一可信计算密码模块TCM提供的PIK功能生成身份证书请求并输出到所述数字认证中心CA；

所述数字认证中心CA下发身份证书给服务端；

服务端向客户端提供服务端身份证书；

所述客户端对所述服务端身份证书进行鉴别而实现平台身份认证。

所述客户端对所述服务端输出的身份证书进行鉴别而实现平台身份认证的步骤具体为：所述客户端将所述服务端身份证书提供给所述第二可信计算密码模块TCM，第二可信计算密码模块TCM对所述服务端身份证书进行鉴别而实现平台身份认证。

所述网络平台身份认证方法进一步包括如下步骤：

所述第二可信计算密码模块TCM对所述客户端身份证书进行发布。

所述第二可信计算密码模块TCM对所述客户端身份证书进行发布的步骤具体包括：

所述客户端接收外部输入的客户端敏感数据信息；

所述第二可信计算密码模块TCM使用PEK的公钥加密所述客户端敏感数据信息，生成客户端身份信息；

所述第二可信计算密码模块TCM将客户端身份信息传输至所述第一可信计算密码模块TCM；

所述第一可信计算密码模块TCM对所述客户端身份信息进行处理，生成客户端身份证书；

所述第一可信计算密码模块TCM返回所述客户端身份证书到所述第二可信计算密码模块TCM，完成发布。

所述第二可信计算密码模块TCM将客户端身份信息传输至所述第一可信计算密码模块TCM的步骤具体包括：

所述第二可信计算密码模块TCM将所述客户端身份信息通过所述客户端传输至所述服务端，所述服务端将所述客户端身份信息提供给所述第一可信计算密码模块TCM。

所述第一可信计算密码模块TCM对所述客户端身份证书进行鉴别的步骤具体包括：

所述第一可信计算密码模块TCM使用PEK私钥对所述客户端身份证书进行解密；

所述第一可信计算密码模块TCM使用存储密钥对解密的所述客户端身份证书进行加密；