CN100581107C

CN100581107C - 一种基于三元对等鉴别(TePA)的可信平台验证方法

Info

Publication number: CN100581107C
Application number: CN200810232093.5A
Authority: CN
Inventors: 肖跃雷; 曹军; 葛莉; 赖晓龙; 黄振海
Original assignee: China Iwncomm Co Ltd
Current assignee: China Iwncomm Co Ltd
Priority date: 2008-11-04
Filing date: 2008-11-04
Publication date: 2010-01-13
Anticipated expiration: 2028-11-04
Also published as: EP2346207A4; KR101421329B1; US8533806B2; JP5196021B2; JP2012501120A; CN101394283A; KR20110051281A; US20110202992A1; WO2010051742A1; EP2346207A1

Abstract

本发明涉及一种基于三元对等鉴别TePA的可信平台验证方法，该方法包括以下步骤：1)第二证明系统向第一证明系统发送消息1；2)第一证明系统收到消息1后，向第二证明系统发送消息2；3)第二证明系统收到消息2后，向可信第三方TTP发送消息3；4)可信第三方TTP收到消息3后，向第二证明系统发送消息4；5)第二证明系统收到消息4后，向第一证明系统发送消息5；6)第一证明系统收到消息5后，执行访问控制。本发明的基于三元对等鉴别的可信平台验证方法，采用了三元对等鉴别的安全架构，增强了可信平台评估协议的安全性，实现了证明系统之间的双向可信平台评估，扩展了应用范围。

Description

一种基于三元对等鉴别(TePA)的可信平台验证方法

技术领域

本发明涉及一种基于三元对等鉴别(TePA)的可信平台验证方法。

背景技术

随着计算机网络的逐渐发展，网络安全问题面临严峻的考验。目前业内的安全解决方案往往侧重于先防外后防内，先防服务设施后防终端设施。而可信计算则逆其道而行之，首先保证所有终端的安全性，也即透过确保安全的组件来组建更大的安全系统。可信计算平台在更底层进行更高级别防护，通过可信赖的硬件对软层次的攻击进行保护可以使用户获得更强的保护空间和选择空间。

为了验证可信计算平台是否可信，挑战者CH(Challenger)需要利用某种平台属性对可信计算平台进行评估。在国际可信计算组织TCG(Trusted ComputingGroup)制定的可信计算规范中挑战者CH利用平台完整性对可信计算平台进行评估，其中被评估的可信计算平台称为证明系统AS(Attesting System)，对应的可信平台评估协议如下，见图1：

1)挑战者CH产生挑战随机数N_CH，然后向证明系统AS发送消息1＝N_CH。

2)证明系统AS收到消息1后，首先将挑战随机数N_CH传送给证明系统AS的可信计算模块TPM(Trusted Platform Module)，然后从证明系统AS的可信计算模块TPM提取证明系统AS的平台配置寄存器值PCRs_AS、使用证明系统AS的身份证明密钥AIK(Attesting Identity Key)的私钥对证明系统AS的平台配置寄存器值PCRs_AS和挑战随机数N_CH进行的签名[PCRs_AS，N_CH]_Sig，从证明系统AS的存储度量日志SML(Store Measurement Log)提取该证明系统AS的平台配置寄存器值PCRs_AS对应的度量日志Log_AS，最后向挑战者CH发送消息2＝PCRs_AS||Log_AS||[PCRs_AS，N_CH]_Sig，其中||表示字符串的连接。

3)挑战者CH收到消息2后，首先利用证明系统AS的身份证明密钥AIK的公钥，挑战随机数N_CH和消息2中证明系统AS的平台配置寄存器值PCRs_AS验证签名，若签名无效，则丢弃消息2，否则利用消息2中证明系统AS的平台配置寄存器值PCRs_AS验证消息2中证明系统AS的平台配置寄存器值PCRs_AS对应的度量日志Log_AS的正确性，若不正确，则中止该协议过程，否则根据消息2中证明系统AS的平台配置寄存器值PCRs_AS对应的度量日志Log_AS和度量日志Log_AS中各组件的基准完整性值评估证明系统AS是否可信。

在上述的可信平台评估协议中，证明系统AS和挑战者CH之间交互的消息是在安全通道中传输的。从图1所示的可信平台评估协议可知：该协议仅适合于单向可信平台评估，且挑战者CH必须具有验证证明系统AS的身份证明密钥AIK和平台完整性的能力，其中挑战者CH可以基于可信第三方TTP(Trusted Third Party)来验证证明系统AS的身份证明密钥AIK，也可以利用基于直接匿名证明DAA(Direct anonymous attestation)来验证证明系统AS的身份证明密钥AIK。但是，当证明系统AS之间需要互相验证对方平台是否可信时，若证明系统AS不具有验证对方证明系统AS的身份证明密钥AIK和平台完整性的能力，则必须利用一个可信第三方TTP来验证证明系统AS的身份证明密钥AIK和平台完整性，所以需要设计一种基于三元对等鉴别TePA(Tri-element Peer Authentication)的可信平台评估协议。

发明内容

本发明为解决背景技术中存在的上述技术问题，而提供一种基于三元对等鉴别的可信平台验证方法。

本发明的技术解决方案：本发明为一种基于三元对等鉴别的可信平台验证方法，其特殊之处在于：该方法包括以下步骤：

1)第二证明系统向第一证明系统发送消息1＝N_AS2||Cert_AIK-AS2||Parm_PCRs-AS1，其中N_AS2为第二证明系统产生的随机数，Cert_AIK-AS2为第二证明系统的身份证明密钥证书，Parm_PCRs-AS1为第二证明系统向第一证明系统请求的平台配置寄存器值PCRs的参数表，它是第一证明系统中确定的平台配置寄存器PCR列表，或者是第一证明系统中确定的组件列表；

2)第一证明系统收到消息1后，首先将第二证明系统产生的随机数N_AS2传送给第一证明系统的可信计算模块TPM，然后依据第二证明系统向第一证明系统请求的平台配置寄存器值PCRs参数表Parm_PCRs-AS1从第一证明系统的可信计算模块提取对应的第一证明系统的平台配置寄存器值PCRs_AS1、使用第一证明系统的身份证明密钥的私钥对所提取的第一证明系统的平台配置寄存器值PCRs_AS1和第二证明系统产生的随机数N_AS2进行的签名[N_AS2，PCRs_AS1]_Sig，从第一证明系统的存储度量日志SML提取该第一证明系统的平台配置寄存器值PCRs_AS1对应的度量日志Log_AS1，最后向第二证明系统发送消息2＝PCRs_AS1||Log_AS1||[N_AS2，PCRs_AS1]_Sig||N_AS1||Cert_AIK-AS1||Parm_PCRs-AS2，其中N_AS1为第一证明系统产生的随机数，Cert_AIK-AS1为第一证明系统的身份证明密钥证书，Parm_PCRs-AS2为第一证明系统向第二证明系统请求的平台配置寄存器值PCRs的参数表，它是第二证明系统中确定的平台配置寄存器PCR列表，或者是第二证明系统中确定的组件列表；

3)第二证明系统收到消息2后，首先利用第一证明系统的身份证明密钥AIK证书的公钥，第二证明系统产生的随机数N_AS2和消息2中第一证明系统的平台配置寄存器值PCRs_AS1验证签名，若签名无效，则丢弃消息2，否则将第一证明系统产生的随机数N_AS1传送给第二证明系统的可信计算模块，然后依据第一证明系统向第二证明系统请求的平台配置寄存器值PCRs参数表Parm_PCRs-AS2从第二证明系统的可信计算模块提取对应的第二证明系统的平台配置寄存器值PCRs_AS2、使用第二证明系统的身份证明密钥的私钥对所提取的第二证明系统的平台配置寄存器值PCRs_AS2和第一证明系统产生的随机数N_AS1进行的签名[N_AS1，PCRs_AS2]_Sig，从第二证明系统的存储度量日志SML提取该第二证明系统的的平台配置寄存器值PCRs_AS2对应的度量日志Log_AS2，最后向可信第三方发送消息3＝N_AS2-TTP||N_AS1||Cert_AIK-AS1||Cert_AIK-AS2||PCRs_AS1||Log_AS1||PCRs_AS2||Log_AS2，其中N_AS2-TTP为第二证明系统产生的鉴别随机数；

4)可信第三方收到消息3后，首先验证第一证明系统的身份证明密钥证书Cert_AIK-AS1和第二证明系统的身份证明密钥证书Cert_AIK-AS2的有效性，生成第一证明系统的身份证明密钥证书Cert_AIK-AS1的验证结果Re_AIK-AS1和第二证明系统的身份证明密钥证书Cert_AIK-AS2的验证结果Re_AIK-AS2，然后利用消息3中第一证明系统的平台配置寄存器值PCRs_AS1验证消息3中第一证明系统的平台配置寄存器值PCRs_AS1对应的度量日志Log_AS1的正确性，若不正确，则丢弃该消息，否则利用消息3中第二证明系统的平台配置寄存器值PCRs_AS2验证消息3中第二证明系统的平台配置寄存器值PCRs_AS2对应的度量日志Log_AS2的正确性，若不正确，则丢弃该消息，否则根据消息3中第一证明系统的平台配置寄存器值PCRs_AS1对应的度量日志Log_AS1和度量日志Log_AS1中各组件的基准完整性值评估第一证明系统是否可信，以及根据消息3中第二证明系统的平台配置寄存器值PCRs_AS2对应的度量日志Log_AS2和度量日志Log_AS2中各组件的基准完整性值评估第二证明系统是否可信，生成第一证明系统的平台完整性校验证结果Re_PCRs-AS1和平台修补信息Rem_AS1、以及第二证明系统的平台完整性校验证结果Re_PCRs-AS2和平台修补信息Rem_AS2，接着可信第三方利用私钥计算第二证明系统产生的鉴别随机数N_AS2-TTP、第一证明系统的身份证明密钥证书Cert_AIK-AS1、第一证明系统的身份证明密钥证书Cert_AIK-AS1的验证结果Re_AIK-AS1、第一证明系统的平台配置寄存器值PCRs_AS1、第一证明系统的平台完整性校验证结果Re_PCRs-AS1、第一证明系统的平台修补信息Rem_AS1、第一证明系统产生的随机数N_AS1、第二证明系统的身份证明密钥证书Cert_AIK-AS2、第二证明系统的身份证明密钥证书Cert_AIK-AS2的验证结果Re_AIK-AS2、第二证明系统的平台配置寄存器值PCRs_AS2、第二证明系统的平台完整性校验证结果Re_PCRs-AS2和第二证明系统的平台修补信息Rem_AS2的签名[N_AS2-TTP||Cert_AIK-AS1||Re_AIK-AS1||PCRs_AS1||Re_PCRs-AS1||Rem_AS1||N_AS1||Cert_AIK-AS2||Re_AIK-AS2||PCRs_AS2||Re_PCRs-AS2||Rem_AS2]_Sig，最后向第二证明系统发送消息4＝Re_AIK-AS1||Re_PCRs-AS1||Rem_AS1||Re_AIK-AS2||Re_PCRs-AS2||Rem_AS2||[N_AS2-TTP||Cert_AIK-AS1||Re_AIK-AS1||PCRs_AS1||Re_PCRs-AS1||Rem_AS1||N_AS1||Cert_AIK-AS2||Re_AIK-AS2||PCRs_AS2||Re_PCRs-AS2||Rem_AS2]_Sig。

5)第二证明系统收到消息4后，首先利用可信第三方的公钥验证签名[N_AS2-TTP||Cert_AIK-AS1||Re_AIK-AS1||PCRs_AS1||Re_PCRs-AS1||Rem_AS1||N_AS1||Cert_AIK-AS2||Re_AIK-AS2||PCRs_AS2||Re_PCRs-AS2||Rem_AS2]_Sig，若签名无效，则丢弃该消息，否则根据消息4中第一证明系统的身份证明密钥证书Cert_AIK-AS的验证结果Re_AIK-AS1和第一证明系统的平台完整性校验证结果Re_PCRs-AS1生成第一证明系统对第二证明系统的访问结果Re_access，值为允许/禁止/隔离，然后向第一证明系统发送消息5＝N_AS2-TTP||PCRs_AS2||[N_AS1||PCRs_AS2]_Sig||Re_access||消息4。

6)第一证明系统收到消息5后，首先利用第二证明系统的身份证明密钥证书Cert_AIK-AS2的公钥验证签名[N_AS1||PCRs_AS2]_Sig，若签名无效，则丢弃该消息，否则验证消息4中的签名[N_AS2-TTP||Cert_AIK-AS1||Re_AIK-AS1||PCRs_AS1||Re_PCRs-AS1||Rem_AS1||N_AS1||Cert_AIK-AS2||Re_AIK-AS2||PCRs_AS2||Re_PCRs-AS2||Rem_AS2]_Sig，若签名无效，则中止该协议过程，否则根据消息4中第二证明系统的身份证明密钥证书Cert_AIK-AS2的验证结果Re_AIK-AS2、第二证明系统的平台完整性校验证结果Re_PCRs-AS2和第一证明系统对第二证明系统的访问结果Re_access执行访问控制。

上述步骤1)中的平台配置寄存器PCR的参数表是第一证明系统中确定的平台配置寄存器PCR列表或者是第一证明系统中确定的组件列表。

上述步骤2)中的平台配置寄存器PCR的参数表是第二证明系统中确定的平台配置寄存器PCR列表，或者是第二证明系统中确定的组件列表。

上述第一证明系统和第二证明系统之间交互的消息是在它们之间的安全通道中传输的。

上述第二证明系统和可信第三方之间交互的消息是在它们之间的安全通道中传输的。

若第一证明系统不希望第二证明系统知道第一证明系统的平台配置信息，则第一证明系统的平台配置寄存器值PCRs_AS1对应的度量日志Log_AS1和第一证明系统的平台修补信息Rem_AS1是在第一证明系统和可信第三方之间的安全通道中传输的；若第一证明系统和第二证明系统之间基于直接匿名证明DAA(Direct anonymousatteStation)来验证证明系统的身份证明密钥，则消息4和消息5中不包含第一证明系统的身份证明密钥证书Cert_AIK-AS1及验证结果Re_AIK-AS1、第二证明系统的身份证明密钥证书Cert_AIK-AS2及验证结果Re_AIK-AS2。

本发明具有以下优点：

1)本发明的基于三元对等鉴别的可信平台评估方法实现了证明系统之间的双向可信平台评估，扩展了应用范围；

2)本发明的基于三元对等鉴别的可信平台评估方法采用了三元对等鉴别的安全架构，增强了可信平台评估协议的安全性。

附图说明

图1是背景技术中的TCG体系中的可信平台验证方法；

图2是本发明的方法示意图。

具体实施方式

参见图2，本发明的具体步骤如下：

1)第二证明系统AS₂向第一证明系统AS₁发送消息1＝N_AS2||Cert_AIK-AS2||Parm_PCRs-AS1，其中N_AS2为第二证明系统AS₂产生的随机数，Cert_AIK-AS2为第二证明系统AS₂的身份证明密钥AIK证书，Parm_PCRs-AS1为第二证明系统AS₂向第一证明系统AS₁请求的平台配置寄存器值PCRs参数表，它可以是第一证明系统AS₁中确定的平台配置寄存器PCR列表，也可以是第一证明系统AS₁中确定的组件列表。

2)第一证明系统AS₁收到消息1后，首先将第二证明系统AS₂产生的随机数N_AS2传送给第一证明系统AS₁的可信计算模块TPM，然后依据第二证明系统AS₂向第一证明系统AS₁请求的平台配置寄存器值PCRs参数表Parm_PCRs-AS1从第一证明系统AS₁的可信计算模块TPM提取对应的第一证明系统AS₁的平台配置寄存器值PCRs_AS1、使用第一证明系统AS₁的身份证明密钥AIK的私钥对所提取的第一证明系统AS₁的平台配置寄存器值PCRs_AS1和第二证明系统AS₂产生的随机数N_AS2进行的签名[N_AS2，PCRs_AS1]_Sig，从第一证明系统AS₁的存储度量日志SML提取该第一证明系统AS₁的平台配置寄存器值PCRs_AS1对应的度量日志Log_AS1，最后向第二证明系统AS₂发送消息2＝PCRs_AS1||Log_AS1||[N_AS2，PCRs_AS1]_Sig||N_AS1||Ce1t_AIK-AS1||Parm_PCRs-AS2，其中N_AS1为第一证明系统AS₁产生的随机数，Cert_AIK-AS1为第一证明系统AS₁的身份证明密钥AIK证书，Parm_PCRs-AS2为第一证明系统AS₁向第二证明系统AS₂请求的平台配置寄存器值PCRs参数表，它可以是第二证明系统AS₂中确定的平台配置寄存器PCR列表，也可以是第二证明系统AS₂中确定的组件列表。

3)第二证明系统AS₂收到消息2后，首先利用第一证明系统AS₁的身份证明密钥AIK证书的公钥，第二证明系统AS₂产生的随机数N_AS2和消息2中第一证明系统AS₁的平台配置寄存器值PCRs_AS1验证签名，若签名无效，则丢弃消息2，否则将第一证明系统AS₁产生的随机数N_AS1传送给第二证明系统AS₂的可信计算模块TPM，然后依据第一证明系统AS₁向第二证明系统AS₂请求的平台配置寄存器值PCRs参数表Parm_PCRs-AS2从第二证明系统AS₂的可信计算模块TPM提取对应的第二证明系统AS₂的平台配置寄存器值PCRs_AS2、使用第二证明系统AS₂的身份证明密钥AIK的私钥对所提取的第二证明系统AS₂的平台配置寄存器值PCRs_AS2和第一证明系统AS₁产生的随机数N_AS1进行的签名[N_AS1，PCRs_AS2]_Sig，从第二证明系统AS₂的存储度量日志SML提取该第二证明系统AS₂的的平台配置寄存器值PCRs_AS2对应的度量日志Log_AS2，最后向可信第三方TTP发送消息3＝N_AS2-TTP||N_AS1||Cert_AIK-AS1||Cert_AIK-AS2||PCRs_AS1||Log_AS1||PCRs_AS2||Log_AS2，其中N_AS2-TTP为第二证明系统AS₂产生的鉴别随机数。

4)可信第三方TTP收到消息3后，首先验证第一证明系统AS₁的身份证明密钥AIK证书Cert_AIK-AS1和第二证明系统AS₂的身份证明密钥AIK证书Cert_AIK-AS2的有效性，生成第一证明系统AS₁的身份证明密钥AIK证书Cert_AIK-AS1的验证结果Re_AIK-AS1和第二证明系统AS₂的身份证明密钥AIK证书Cert_AIK-AS2的验证结果Re_AIK-AS2，然后利用消息3中第一证明系统AS₁的平台配置寄存器值PCRs_AS1验证消息3中第一证明系统AS₁的平台配置寄存器值PCRs_AS1对应的度量日志Log_AS1的正确性，若不正确，则丢弃该消息，否则利用消息3中第二证明系统AS₂的平台配置寄存器值PCRs_AS2验证消息3中第二证明系统AS₂的平台配置寄存器值PCRs_AS2对应的度量日志Log_AS2的正确性，若不正确，则丢弃该消息，否则根据消息3中第一证明系统AS₁的平台配置寄存器值PCRs_AS1对应的度量日志Log_AS1和度量日志Log_AS1中各组件的基准完整性值评估第一证明系统AS₁是否可信，以及根据消息3中第二证明系统AS₂的平台配置寄存器值PCRs_AS2对应的度量日志Log_AS2和度量日志Log_AS2中各组件的基准完整性值评估第二证明系统AS₂是否可信，生成第一证明系统AS₁的平台完整性校验证结果Re_PCRs-AS1和平台修补信息Rem_AS1、以及第二证明系统AS₂的平台完整性校验证结果Re_PCRs-AS2和平台修补信息Rem_AS2，接着可信第三方TTP利用私钥计算第二证明系统AS₂产生的鉴别随机数N_AS2-TTP、第一证明系统AS₁的身份证明密钥AIK证书Cert_AIK-AS1、第一证明系统AS₁的身份证明密钥AIK证书Cert_AIK-AS1的验证结果Re_AIK-AS1、第一证明系统AS₁的平台配置寄存器值PCRs_AS1、第一证明系统AS₁的平台完整性校验证结果Re_PCRs-AS1、第一证明系统AS₁的平台修补信息Rem_AS1、第一证明系统AS₁产生的随机数N_AS1、第二证明系统AS₂的身份证明密钥AIK证书Cert_AIK-AS2、第二证明系统AS₂的身份证明密钥AIK证书Cert_AIK-AS2的验证结果Re_AIK-AS2、第二证明系统AS₂的平台配置寄存器值PCRs_AS2、第二证明系统AS₂的平台完整性校验证结果Re_PCRs-AS2和第二证明系统AS₂的平台修补信息Rem_AS2的签名[N_AS2-TTP||Cert_AIK-AS1||Re_AIK-AS1||PCRs_AS1||Re_PCRs-AS1||Rem_AS1||N_AS1||Cert_AIK-AS2||Re_AIK-AS2||PCRs_AS2||Re_PCRs-AS2||Rem_AS2]_Sig，最后向第二证明系统AS₂发送消息4＝Re_AIK-AS1||Re_PCRs-AS1||Rem_AS1||Re_AIK-AS2||Re_PCRs-AS2||Rem_AS2||[N_AS2-TTP||Cert_AIK-AS1||Re_AIK-AS1||PCRs_AS1||Re_PCRs-AS1||Rem_AS1||N_AS1||Cert_AIK-AS2||Re_AIK-AS2||PCRs_AS2||Re_PCRs-AS2||Rem_AS2]_Sig。

5)第二证明系统AS₂收到消息4后，首先利用可信第三方TTP的公钥验证签名[N_AS2-TTP||Cert_AIK-AS1||Re_AIK-AS1||PCRs_AS1||Re_PCRs-AS1||Rem_AS1||N_AS1||Cert_AIK-AS2||Re_AIK-AS2||PCRs_AS2||Re_PCRs-AS2||Rem_AS2]_Sig，若签名无效，则丢弃该消息，否则根据消息4中第一证明系统AS₁的身份证明密钥AIK证书Cert_AIK-AS1的验证结果Re_AIK-AS1和第一证明系统AS₁的平台完整性校验证结果Re_PCRs-AS1生成第一证明系统AS₁对第二证明系统AS₂的访问结果Re_access，值为允许/禁止/隔离，然后向第一证明系统AS₁发送消息5＝N_AS2-TTP||PCRs_AS2||[N_AS1||PCRs_AS2]_Sig||Re_access||消息4。

6)第一证明系统AS₁收到消息5后，首先利用第二证明系统AS₂的身份证明密钥AIK证书Cert_AIK-AS2的公钥验证签名[N_AS1||PCRs_AS2]_Sig，若签名无效，则丢弃该消息，否则验证消息4中的签名[N_AS2-TTP||Cert_AIK-AS1||Re_AIK-AS1||PCRs_AS1||Re_PCRs-AS1||Rem_AS1||N_AS1||Cert_AIK-AS2||Re_AIK-AS2||PCRs_AS2||Re_PCRs-AS2||Rem_AS2]_Sig，若签名无效，则中止该协议过程，否则根据消息4中第二证明系统AS₂的身份证明密钥AIK证书Cert_AIK-AS2的验证结果Re_AIK-AS2、第二证明系统AS₂的平台完整性校验证结果Re_PCRs-AS2和第一证明系统AS₁对第二证明系统AS₂的访问结果Re_access执行访问控制。

在上述的基于三元对等鉴别的可信平台评估协议中，第一证明系统AS₁和第二证明系统AS₂之间交互的消息是在它们之间的安全通道中传输的；第二证明系统AS₂和可信第三方TTP之间交互的消息是在它们之间的安全通道中传输的；若第一证明系统AS₁不希望第二证明系统AS₂知道第一证明系统AS₁的平台配置信息，则第一证明系统AS₁的平台配置寄存器值PCRs_AS1对应的度量日志Log_AS1和第一证明系统AS₁的平台修补信息Rem_AS1是在第一证明系统AS₁和可信第三方TTP之间的安全通道中传输的；若第一证明系统AS₁和第二证明系统AS₂之间基于直接匿名证明DAA(Direct anonymous attestation)来验证证明系统AS的身份证明密钥AIK，则消息4和消息5中不包含第一证明系统AS₁的身份证明密钥AIK证书Cert_AIK-AS及验证结果Re_AIK-AS1、第二证明系统AS₂的身份证明密钥AIK证书Cert_AIK-AS2及验证结果Re_AIK-AS2。

Claims

1、一种基于三元对等鉴别的可信平台验证方法，其特征在于：该方法包括以下步骤：

1)第二证明系统向第一证明系统发送消息1＝N_AS2||Cert_AIK-AS2||Parm_PCRs-AS1，其中N_AS2为第二证明系统产生的随机数，Cert_AIK-AS2为第二证明系统的身份证明密钥证书，Parm_PCRs-AS1为第二证明系统向第一证明系统请求的平台配置寄存器值PCRs的参数表；

2)第一证明系统收到消息1后，首先将第二证明系统产生的随机数N_AS2传送给第一证明系统的可信计算模块TPM，然后依据第二证明系统向第一证明系统请求的平台配置寄存器值PCRs的参数表Parm_PCRs-AS1从第一证明系统的可信计算模块提取对应的第一证明系统的平台配置寄存器值PCRs_AS1、使用第一证明系统的身份证明密钥的私钥对所提取的第一证明系统的平台配置寄存器值PCRs_AS1和第二证明系统产生的随机数N_AS2进行的签名[N_AS2，PCRs_AS1]_Sig，从第一证明系统的存储度量日志SML提取该第一证明系统的平台配置寄存器值PCRs_AS1对应的度量日志Log_AS1，最后向第二证明系统发送消息2＝PCRs_AS1||Log_AS1||[N_AS2，PCRs_AS1]_Sig||N_AS1||Cert_AIK-AS1||Parm_PCRs-AS2，其中N_AS1为第一证明系统产生的随机数，Cert_AIK-AS1为第一证明系统的身份证明密钥证书，Parm_PCRs-AS2为第一证明系统向第二证明系统请求的平台配置寄存器值PCRs的参数表；

3)第二证明系统收到消息2后，首先利用第一证明系统的身份证明密钥AIK证书的公钥，第二证明系统产生的随机数N_AS2和消息2中第一证明系统的平台配置寄存器值PCRs_AS1验证签名，若签名无效，则丢弃消息2，否则将第一证明系统产生的随机数N_AS1传送给第二证明系统的可信计算模块，然后依据第一证明系统向第二证明系统请求的平台配置寄存器值PCRs的参数表Parm_PCRs-AS2从第二证明系统的可信计算模块提取对应的第二证明系统的平台配置寄存器值PCRs_AS2、使用第二证明系统的身份证明密钥的私钥对所提取的第二证明系统的平台配置寄存器值PCRs_AS2和第一证明系统产生的随机数N_AS1进行的签名[N_AS1，PCRs_AS2]_Sig，从第二证明系统的存储度量日志SML提取该第二证明系统的的平台配置寄存器值PCRs_AS2对应的度量日志Log_AS2，最后向可信第三方发送消息3＝N_AS2-TTP||N_AS1||Cert_AIK-AS1||Cert_AIK-AS2||PCRs_AS1||Log_AS1||PCRs_AS2||Log_AS2，其中N_AS2-TTP为第二证明系统产生的鉴别随机数；

4)可信第三方收到消息3后，首先验证第一证明系统的身份证明密钥证书Cert_AIK-AS1和第二证明系统的身份证明密钥证书Cert_AIK-AS2的有效性，生成第一证明系统的身份证明密钥证书Cert_AIK-AS1的验证结果Re_AIK-AS1和第二证明系统的身份证明密钥证书Cert_AIK-AS2的验证结果Re_AIK-AS2，然后利用消息3中第一证明系统的平台配置寄存器值PCRs_AS1验证消息3中第一证明系统的平台配置寄存器值PCRs_AS1对应的度量日志Log_AS1的正确性，若不正确，则丢弃该消息，否则利用消息3中第二证明系统的平台配置寄存器值PCRs_AS2验证消息3中第二证明系统的平台配置寄存器值PCRs_AS2对应的度量日志Log_AS2的正确性，若不正确，则丢弃该消息，否则根据消息3中第一证明系统的平台配置寄存器值PCRs_AS1对应的度量日志Log_AS1和度量日志Log_AS1中各组件的基准完整性值评估第一证明系统是否可信，以及根据消息3中第二证明系统的平台配置寄存器值PCRs_AS2对应的度量日志Log_AS2和度量日志Log_AS2中各组件的基准完整性值评估第二证明系统是否可信，生成第一证明系统的平台完整性校验证结果Re_PCRs-AS1和平台修补信息Rem_AS1、以及第二证明系统的平台完整性校验证结果Re_PCRs-AS2和平台修补信息Rem_AS2，接着可信第三方利用私钥计算第二证明系统产生的鉴别随机数N_AS2-TTP、第一证明系统的身份证明密钥证书Cert_AIK-AS1、第一证明系统的身份证明密钥证书Cert_AIK-AS1的验证结果Re_AIK-AS1、第一证明系统的平台配置寄存器值PCRs_AS1、第一证明系统的平台完整性校验证结果Re_PCRs-AS1、第一证明系统的平台修补信息Rem_AS1、第一证明系统产生的随机数N_AS1、第二证明系统的身份证明密钥证书Cert_AIK-AS2、第二证明系统的身份证明密钥证书Cert_AIK-AS2的验证结果Re_AIK-AS2、第二证明系统的平台配置寄存器值PCRs_AS2、第二证明系统的平台完整性校验证结果Re_PCRs-AS2和第二证明系统的平台修补信息Rem_AS2的签名[N_AS2-TTP||Cert_AIK-AS1||Re_AIK-AS1||PCRs_AS1||Re_PCRs-AS1||Rem_AS1||N_AS1||Cert_AIK-AS2||Re_AIK-AS2||PCRs_AS2||Re_PCRs-AS2||Rem_AS2]_Sig，最后向第二证明系统发送消息4＝Re_AIK-AS1||Re_PCRs-AS1||Rem_AS1||Re_AIK-AS2||Re_PCRs-AS2||Rem_AS2||[N_AS2-TTP||Cert_AIK-AS1||Re_AIK-AS1||PCRs_AS1||Re_PCRs-AS1||Rem_AS1||N_AS1||Cert_AIK-AS2||Re_AIK-AS2||PCRs_AS2||Re_PCRs-AS2||Rem_AS2]_Sig；

5)第二证明系统收到消息4后，首先利用可信第三方的公钥验证签名[N_AS2-TTP||Cert_AIK-AS1||Re_AIK-AS1||PCRs_AS1||Re_PCRs-AS1||Rem_AS1||N_AS1||Cert_AIK-AS2||Re_AIK-AS2||PCRs_AS2||Re_PCRs-AS2||Rem_AS2]_Sig，若签名无效，则丢弃该消息，否则根据消息4中第一证明系统的身份证明密钥证书Cert_AIK-AS1的验证结果Re_AIK-AS1和第一证明系统的平台完整性校验证结果Re_PCRs-AS1生成第一证明系统对第二证明系统的访问结果Re_access，值为允许/禁止/隔离，然后向第一证明系统发送消息5＝N_AS2-TTP||PCRs_AS2||[N_AS1||PCRs_AS2]_Sig||Re_access||消息4；

2、根据权利要求1所述的基于三元对等鉴别的可信平台验证方法，其特征在于：所述步骤1)中的第二证明系统向第一证明系统请求的平台配置寄存器值PCRs的参数表Parm_PCRs-AS1是第一证明系统中确定的平台配置寄存器PCR列表或者是第一证明系统中确定的组件列表。

3、根据权利要求1所述的基于三元对等鉴别的可信平台验证方法，其特征在于：所述步骤2)中的第一证明系统向第二证明系统请求的平台配置寄存器值PCRs的参数表Parm_PCRs-AS2是第二证明系统中确定的平台配置寄存器PCR列表，或者是第二证明系统中确定的组件列表。

4、根据权利要求1所述的基于三元对等鉴别的可信平台验证方法，其特征在于：所述第一证明系统和第二证明系统之间交互的消息是在它们之间的安全通道中传输的。

5、根据权利要求4所述的基于三元对等鉴别的可信平台验证方法，其特征在于：所述第二证明系统和可信第三方之间交互的消息是在它们之间的安全通道中传输的。

6、根据权利要求1或2或3或4或5所述的基于三元对等鉴别的可信平台验证方法，其特征在于：若第二证明系统不能知道第一证明系统的平台配置信息，则第一证明系统的平台配置寄存器值PCRs_AS1对应的度量日志Log_AS1和第一证明系统的平台修补信息Rem_AS1是在第一证明系统和可信第三方之间的安全通道中传输的；若第一证明系统和第二证明系统之间基于直接匿名证明DAA来验证证明系统的身份证明密钥，则消息4和消息5中不包含第一证明系统的身份证明密钥证书Cert_AIK-AS1及验证结果Re_AIK-AS1、第二证明系统的身份证明密钥证书Cert_AIK-AS2及验证结果Re_AIK-AS2。