[实用新型]移动邮箱多因子可信身份认证系统

摘要

一种移动邮箱多因子可信身份认证方法，移动终端通过可信芯片进行完整性度量的计算、收集包括PCRS值及SML值在内的完整性度量报告所需信息，并利用可信芯片中的AIK私钥加密，后生成完整性度量报告，PCRS值中包含邮箱系统的完整性度量计算值；利用SDIO智能卡中的身份证书签名包括完整性度量报告和移动终端鉴别信息在内的验证信息，并发送至邮箱服务平台；邮箱服务平台验证移动终端的鉴别信息，验证成功后利用预先存储的移动终端邮箱可信度验证信息检测当前接收到的完整性度量报告的合法性，验证通过则激活用户终端的邮箱系统。

主权项

一种移动邮箱多因子可信身份认证系统，其特征在于，包括邮箱服务平台和若干移动终端，其中，邮箱服务平台进一步包括存储器和服务器，所述存储器包括；用户和终端鉴别存储单元：用于存储每个用户身份识别信息、每个用户对应的终端鉴别信息；完整性度量信息存储单元，用于存储移动终端邮箱可信度验证信息；算法信息存储单元，用于存储包括验证的流程及各种算法密码信息在内的算法信息；所述服务器进一步包括：交互处理单元：用于建立与各个终端的交互；身份验证处理单元：用于验证用户的身份信息及终端鉴别信息；完整性度量处理单元：用于利用预先存储的移动终端邮箱可信度验证信息检测当前接收到的完整性度量报告的合法性；所述移动终端进一步包括：可信芯片：用于作为可信度量根，设置存储完整性度量值的若干PCR寄存储器，每一PCR寄存器保存一度量结果，其中至少有一个PCR寄存器存储邮箱系统的完整性度量计算值；SDIO智能卡：用于存储为移动终端颁发的身份证书；终端鉴别处理模块：用于从移动终端中获得包括SIM卡信息在内的鉴别信息；可信度量模块硬件管理模块：用于获取可信度量根的可信度量报告；硬件管理模块：用于实现与SDIO智能卡的交互，获得包括PIN码、身份证书在内的信息；多因子可信身份认证代理模块：建立与邮箱服务平台的通信，从终端鉴别处理模块、可信度量模块硬件管理模块中获得的各类认证鉴别信息，并通过邮箱服务器平台的验证反馈中决定是否启动邮箱系统。