WO2010051742A1

WO2010051742A1 - 一种基于三元对等鉴别(TePA)的可信平台验证方法

Info

Publication number: WO2010051742A1
Application number: PCT/CN2009/074763
Authority: WO
Inventors: 肖跃雷; 曹军; 葛莉; 赖晓龙; 黄振海
Original assignee: 西安西电捷通无线网络通信有限公司
Priority date: 2008-11-04
Filing date: 2009-11-03
Publication date: 2010-05-14
Also published as: EP2346207A1; CN100581107C; JP5196021B2; EP2346207A4; KR101421329B1; US20110202992A1; JP2012501120A; US8533806B2; KR20110051281A; CN101394283A

Abstract

一种基于三元对等鉴别 Te PA的可信平台验证方法。该方法包括以下步骤：A）第二证明系统向第一证明系统发送第一消息；B）第一证明系统收到第一消息后，向第二证明系统发送第二消息；C）第二证明系统收到第二消息后，向可信第三方 TTP发送第三消息；D）可信第三方 TTP收到第三消息后，向第二证明系统发送第四消息；E）第二证明系统收到第四消息后，向第一证明系统发送第五消息；F）第一证明系统收到第五消息后，执行访问控制。本发明的基于三元对等鉴别的可信平台验证方法，采用了三元对等鉴别的安全架构，增强了可信平台评估协议的安全性，实现了证明系统之间的双向可信平台评估，扩展了应用范围。

Description

一种基于三元对等鉴别 (TePA)的可信平台验证方法

本申请要求于 2008 年 11 月 4 日提交中国专利局、申请号为 200810232093.5、发明名称为"一种基于三元对等鉴别（TePA)的可信平台验证方法"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及一种基于三元对等鉴别 (TePA)的可信平台验证方法。

背景技术

随着计算机网络的逐渐发展，网络安全问题面临严峻的考验。目前业内的安全解决方案往往侧重于先防外后防内，即先防服务设施后防终端设施。而可信计算则逆其道而行之，首先保证所有终端的安全性，也即透过确保安全的组件来组建更大的安全系统。可信计算平台在更底层进行更高级别防护，通过可信赖的硬件对软层次的攻击进行保护可以使用户获得更强的保护空间和选择空间。

为了验证可信计算平台是否可信，挑战者（CH, Challenger )需要利用某种平台属性对可信计算平台进行评估。在国际可信计算组织（TCG, Trusted Computing Group )制定的可信计算规范中挑战者 CH利用平台完整性对可信计算平台进行评估，其中被评估的可信计算平台称为证明系统（AS, Attesting System ), 对应的可信平台评估协议如下，见图 1 :

1 ) 挑战者 CH产生随机数 N_CH, 然后向证明系统 AS发送消息 1=N_CH。

2 )证明系统 AS收到消息 1后，首先将随机数 N_CH传送给证明系统 AS 的可信计算模块（ TPM, Trusted Platform Module ), 然后从证明系统 AS的可信计算模块 TPM提取证明系统 AS的平台配置寄存器值 PCRs_AS、使用证明系统 AS的身份证明密钥（AIK, Attesting Identity Key ) 的私钥对证明系统 AS 的平台配置寄存器值 PCRs_AS和随机数 N_CH进行的签名 [PCRs_AS,N_CH]_Slg ,从证明系统 AS的存储度量日志（ SML, Store Measurement Log )提取证明系统 AS 的平台配置寄存器值 PCRs_AS对应的度量日志 Lo_gAS,最后向挑战者 CH发送消息 2=PCRs_AS||Lo_gAS||[PCRs_AS,N_CH]_Slg, 其中 ||表示字符串的连接。

3 )挑战者 CH收到消息 2后，首先利用证明系统 AS的身份证明密钥 AIK 的公钥，随机数 N_CH和消息 2中证明系统 AS的平台配置寄存器值 PCRs_AS验证签名，若签名无效，则丟弃消息 2, 否则利用消息 2中证明系统 AS的平台配置寄存器值 PCRs_AS验证消息 2中证明系统 AS的平台配置寄存器值 PCRs_AS 对应的度量日志 Log_AS的正确性，若不正确，则中止该协议过程，否则根据消息 2中证明系统 AS的平台配置寄存器值 PCRs_AS对应的度量日志 Lo_gAS和度量日志 Lo_gAS中各组件的基准完整性值评估证明系统 AS是否可信。

在上述的可信平台评估协议中，证明系统 AS和挑战者 CH之间交互的消息是在安全通道中传输的。从图 1所示的可信平台评估协议可知：该协议仅适合于单向可信平台评估，且挑战者 CH必须具有验证证明系统 AS的身份证明密钥 AIK和平台完整性的能力，其中挑战者 CH可以基于可信第三方（TTP, Trusted Third Party )来验证证明系统 AS的身份证明密钥 AIK , 也可以利用基于直接匿名证明（ DAA, Direct anonymous attestation )来马全证证明系统 AS的身份证明密钥 AIK。但是，当证明系统 AS之间需要互相验证对方平台是否可信时，若证明系统 AS不具有验证对方证明系统 AS的身份证明密钥 AIK和平台完整性的能力，则现有技术就无法验证证明系统 AS的身份证明密钥 AIK和平台完整性。

发明内容

本发明为解决背景技术中存在的上述技术问题 ,而提供一种利用一个可信第三方 TTP来验证证明系统 AS的身份证明密钥 AIK和平台完整性的方法，即是基于三元对等鉴别（ TePA, Tri-element Peer Authentication )的可信平台验证方法。

本发明的技术解决方案：本发明为一种基于三元对等鉴别的可信平台验证方法，其特殊之处在于：该方法包括以下步骤：

A )第二证明系统向第一证明系统发送第一消息，所述第一消息包括第二证明系统产生的随机数 N_AS2 , 第二证明系统的身份证明密钥 AIK 证书 Cert_AiK-AS2 , 以及第二证明系统向第一证明系统请求的平台配置寄存器值 PCRs 参数表 ParmpcRs-Asi ;

B )第一证明系统将所述 N_AS2传送给第一证明系统的可信计算模块 TPM, 然后依据所述 PCRs参数表 ParmpcRs-Asi从所述可信计算模块 TPM提取对应的平台配置寄存器值 PCRs_AS1 ,以及使用第一证明系统的身份证明密钥 AIK的私钥对所述 PCRs_AS1和所述 N_AS2进行的签名 [N_AS2, PCRs_AS1]_Slg, 并从第一证明系统的存储度量日志 SML提取 PCRs_AS1对应的度量日志 Log_AS1 , 并向第二证明系统 AS₂发送第二消息，所述第二消息包括第一证明系统产生的随机数 NASI , 第一证明系统的身份证明密钥 AIK证书 Cert_AI]^_AS1 , 第一证明系统向第二证明系统请求的平台配置寄存器值 PCRs参数表 Parm_Pc_Rs-As₂;

C )第二证明系统利用第一证明系统的身份证明密钥 AIK证书的公钥，所述 N_AS2和 PCRs_AS1验证签名，若签名无效，则丟弃所述第二消息，如签名有效，将所述 N_AS1传送给第二证明系统的可信计算模块 TPM , 然后依据所述 Parmp_CRs-AS2从第二证明系统的可信计算模块 TPM提取对应的平台配置寄存器值 PCRs_AS2, 并使用第二证明系统的身份证明密钥 AIK的私钥对所述 PCRs_AS2 和 N_AS1进行的签名 [N_AS1, PCRs_AS2]_Slg, 从第二证明系统的存储度量日志 SML 提取平台配置寄存器值 PCRs_AS2对应的度量日志 Lo_gAS2,并向可信第三方发送第三消息，所述第三消息包括第二证明系统产生的鉴别随机数 N_AS2j_Tp;

D )可信第三方验证所述 CertAK-Asi和 Cert_An^_AS2的有效性，生成 Cert_AIK-AS1 的验证结果 Re_AI]^_AS1和 Cert_AI]^_AS2的验证结果 Re_An^_AS2,然后利用所述 PCRs_AS1 马全证所述 Log_AS1的正确性，若不正确，则丟弃该消息，如果正确，利用所述 PCRSAS2验证 Log_AS2的正确性，若不正确，则丟弃该消息，如果正确，根据 Log_AS1 和 Lo_gAS1中各组件的基准完整性值评估第一证明系统是否可信，以及根据所述 Lo_gAS2和 Lo_gAS2中各组件的基准完整性值评估第二证明系统是否可信，生成第一证明系统的平台完整性验证结果 Rep_{CR AS1}和平台修补信息 Rem_AS1、以及第二证明系统的平台完整性验证结果 Rep_{CR AS2}和平台修补信息 Rem_AS2, 并利用私钥计算第一证明系统 AS 和第二证明系统 AS₂的相关参数，并将包括所述相关参数的第四消息发送至 AS₂;

E )第二证明系统根据所述第四消息进行签名验证，如签名无效，则丟弃该消息，若签名有效，则生成 AS^† AS₂的访问结果，并向第一证明系统 AS 发送第五消息；

F ) AS₂根据所述第五消息进行签名验证，如签名无效，则丟弃该消息，若签名有效，则验证所述第四消息中的签名，如果签名无效，则中止该协议过程，如果签名有效，则依据 Cert_An^_AS2的验证结果 Re_An^_AS2、第二证明系统 AS₂ 的平台完整性验证结果 Rep_{CR AS2}和第一证明系统 AS^†第二证明系统 AS₂的访问结果 Re_access执行访问控制。

上述步骤 A ) 中的平台配置寄存器 PCR列表是第一证明系统中确定的平台配置寄存器 PCR列表或者是第一证明系统中确定的组件列表。

上述步骤 B ) 中的平台配置寄存器 PCR列表是第二证明系统中确定的平台配置寄存器 PCR列表，或者是第二证明系统中确定的组件列表。

上述第一证明系统和第二证明系统之间交互的消息是在它们之间的安全通道中传输的。

上述第二证明系统和可信第三方之间交互的消息是在它们之间的安全通道中传输的。

若第二证明系统不能知道第一证明系统的平台配置信息，则所述 Lo_gAS1 和第一证明系统的平台修补信息 Rem_AS1是在第一证明系统和可信第三方之间的安全通道中传输的；若第一证明系统和第二证明系统之间基于直接匿名证明 DAA来验证证明系统的身份证明密钥，则第四消息和第五消息中不包含所述 Cert_AiK-Asi及险证结果 Re_AiK_-AS1、所述 Cert_AiK-AS2及险证结果 Re_AiK_-AS2。

本发明具有以下优点：

1 )本发明的基于三元对等鉴别的可信平台验证方法实现了证明系统之间的双向可信平台评估，利用一个可信第三方 TTP来验证证明系统 AS的身份证明密钥 AIK和平台完整性，扩展了应用范围；

2 )本发明的基于三元对等鉴别的可信平台验证方法釆用了三元对等鉴别的安全架构，增强了可信平台评估协议的安全性。

附图说明

图 1是背景技术中的 TCG体系中的可信平台验证方法；

图 2 是本发明的方法示意图。

具体实施方式

参见图 2, 本发明的具体步骤如下：

1 )第二证明系统 AS₂向第一证明系统 8₁发送第一消息，所述第一消息包括第二证明系统产生的随机数，第二证明系统的身份证明密钥 AIK证书，以及第二证明系统向第一证明系统请求的平台配置寄存器值 PCRs参数表。其中，第一消息（消息 1 ) = N_AS2|| Cert_AiK-AS2| | Parm_PCRs-AS1。其中 N_AS2为第二证明系统 AS₂产生的随机数， Cert_AiK-AS2为第二证明系统 AS₂的身份证明密钥 AIK证书，？ 111^0^^₁为第二证明系统 AS₂向第一证明系统 AS请求的平台配置寄存器值 PCRs参数表，它可以是第一证明系统 AS 中确定的平台配置寄存器 PCR列表，也可以是第一证明系统 AS 中确定的组件列表。

2 )第一证明系统 AS将所述随机数传送给自身的可信计算模块 TPM, 并依据所述平台配置寄存器值 PCRs参数表向所述 TPM提取对应的第一证明系统 AS 的平台配置寄存器值 PCRs_AS1 ,以及使用 AS 々身份证明密钥 AIK的私钥对所述 PCRs_AS o N_AS2进行的签名 [N_AS2, PCRs_AS1]_Slg, 从第一证明系统 ASi 的存储度量日志 SML提取 PCRSASI对应的度量日志 Log_AS1 , 并向第二证明系统 AS₂发送第二消息，所述第二消息包括八8₁产生的随机数， AS 的身份证明密钥 AIK证书， AS 向 AS₂请求的平台配置寄存器值 PCRs参数表。

具体的，第一证明系统 AS^t到消息 1后，首先将第二证明系统 AS₂产生的随机数 N_AS2传送给第一证明系统 AS 的可信计算模块 TPM, 然后依据第二证明系统 AS₂向第一证明系统 AS 请求的平台配置寄存器值 PCRs 参数表 ParmpcRs-Asi从第一证明系统 AS 的可信计算模块 TPM提取对应的第一证明系统 AS 的平台配置寄存器值 PCRs_AS1、使用第一证明系统 AS 的身份证明密钥 AIK的私钥对所提取的第一证明系统 AS 的平台配置寄存器值 PCRs_AS1和第二证明系统 AS₂产生的随机数 N_AS2进行的签名 [N_AS2, PCRs_AS1]_Slg, 从第一证明系统 AS 的存储度量日志 SML提取该第一证明系统 AS 的平台配置寄存器值

日志 Log_AS1 , 最后向第二证明系统 AS₂发送第二消息（消息 2 ) , 该消息 2=PCRs_AS1||Lo_gAS1||[N_AS2, PCRs_AS1]_Slg|| N_AS1|| Cert_AIK-AS1|| Parmp_CRs-AS2 , 其中 N_ASi为第一证明系统 AS产生的随机数，

为第一证明系统 AS 々身份证明密钥 AIK证书， Parmp_{CR AS2}为第一证明系统 AS 向第二证明系统 AS₂请求的平台配置寄存器值 PCRs参数表，它可以是第二证明系统 AS₂中确定的平台配置寄存器 PCR列表，也可以是第二证明系统 AS₂中确定的组件列表。

3 )第二证明系统依据所述身份证明密钥 AIK证书的公钥， AS₂产生的随机数 N_AS2和 PCRs_AS1验证签名，若签名无效，则丟弃所述第二消息，如签名有效，则将 N_AS1传送给 AS₂的可信计算模块 TPM, 并依据所述 AS 向 AS₂请求的平台配置寄存器值 PCRs参数表 Parm_PCRs-AS2从第二证明系统 AS₂的可信计算模块 TPM提取对应的 AS₂的平台配置寄存器值 PCRs_AS2, 并使用 AS₂的身份证明密钥 AIK的私钥对所述 PCRs_AS2和 N_ASi进行的签名 [N_AS1, PCRs_AS2]_Slg, 从 AS₂的存储度量日志 SML提取 AS₂的的平台配置寄存器值 PCRs_AS2对应的度量日志 Log_AS2，并向可信第三方 TTP发送第三消息，所述第三消息包括：第二证明系统 AS₂产生的鉴别随机数。

具体的，第二证明系统 AS₂收到消息 2后，首先利用第一证明系统 ASi 的身份证明密钥 AIK证书的公钥，第二证明系统 AS₂产生的随机数 N_AS2和消息 2中第一证明系统 AS 的平台配置寄存器值 PCRs_AS1验证签名，若签名无效，则丟弃消息 2 ,否则将第一证明系统 AS 产生的随机数 N_AS^ 送给第二证明系统 AS₂的可信计算模块 TPM,然后依据第一证明系统 AS 向第二证明系统 AS₂ 请求的平台配置寄存器值 PCRs参数表 Parmp_CRs-AS2从第二证明系统 AS₂的可信计算模块 TPM提取对应的第二证明系统 AS₂的平台配置寄存器值 PCRs_AS2、使用第二证明系统 AS₂的身份证明密钥 AIK的私钥对所提取的第二证明系统 AS₂的平台配置寄存器值 PCRs_AS2和第一证明系统 AS产生的随机数 N_AS1进行的签名 [N_AS1, PCRs_AS2]_Slg,从第二证明系统 AS₂的存储度量日志 SML提取该笫二证明系统 AS₂的的平台配置寄存器值 PCRs_AS2对应的度量日志 Lo_gAS2,最后向可信第三方 TTP 发送第三消息（消息 3 ) , 其中，消息 3= N_As2-TTp||NAsi||Cert_AiK-Asi||CertAiK-AS2||PCRsAsi||LogAsi||PCRsAS2||LogAS2 ，其中 N_AS2jTP为第二证明系统 AS₂产生的鉴别随机数。

4 )可信第三方 TTP验证 CertAiK-Asi和 Cert_AiK_-AS2的有效性，生成 Cert_AiK_-AS1 的验证结果 Re_An^_AS1和 Cert_AI]^_AS2的验证结果 Re_An^_AS2, 并依据 PCRs_ASi验证对应的度量日志 Log_{AS 1}的正确性，若不正确，则丟弃该消息，如果正确，则利用 PCRs_AS2验证 PCRs_AS2对应的度量日志 Log_AS2的正确性，若不正确，则丟弃该消息，如果正确，则依据度量日志！^^^ 和 Log_AS1中各组件的基准完整性值评估第一证明系统 AS是否可信，以及根据度量日志 Lo_gAS2和 Lo_gAS2中各组件的基准完整性值评估第二证明系统 AS₂是否可信，生成第一证明系统 ASi的平台完整性验证结果 Rep_CRs-AS p平台修补信息 Rem_AS1、以及第二证明系统 AS₂的平台完整性验证结果 Re_{PCR AS2}和平台修补信息 Rem_AS2 , 并利用私钥计算第一证明系统 AS 和第二证明系统 AS₂的相关参数，并将包括所述相关参数的第四消息发送至 AS₂。

具体过程为：可信第三方 TTP收到消息 3后，首先验证第一证明系统 ASi 的身份证明密钥 AIK证书 Cert_AI]^_AS1和第二证明系统 AS₂的身份证明密钥 AIK 证书 Cert_AI]^_AS2的有效性，生成第一证明系统 ASi的身份证明密钥 AIK证书 CertAiK-Asi的验证结果 Re_An^_AS1和第二证明系统 AS₂的身份证明密钥 AIK证书 Cert_AI]^_AS2的验证结果 Re_AI]^_AS2 , 然后利用消息 3中第一证明系统 AS 的平台配置寄存器值 PCRs_AS1 3 证消息 3 中第一证明系统 AS 的平台配置寄存器值

日志 Log_AS1的正确性，若不正确，则丟弃该消息，否则利用消息 3中第二证明系统 AS₂的平台配置寄存器值 PCRs_AS2验证消息 3中第二证明系统 AS₂的平台配置寄存器值 PCRs_AS2对应的度量日志 Log_AS2的正确性，若不正确，则丟弃该消息，否则根据消息 3中第一证明系统 AS 的平台配置寄存器值 PCRs_AS1对应的度量日志 Log_AS1和度量日志 Log_AS1中各组件的基准完整性值评估第一证明系统 AS是否可信，以及根据消息 3中第二证明系统 AS₂ 的平台配置寄存器值 PCRs_AS2对应的度量日志 Lo_gAS2和度量日志 Lo_gAS2中各组件的基准完整性值评估第二证明系统 AS₂是否可信，生成第一证明系统 AS 的平台完整性验证结果 Rep_{CR AS1}和平台修补信息 Rem_AS1、以及第二证明系统 AS₂的平台完整性验证结果 Rep_{CR AS2}和平台修补信息 Rem_AS2 , 接着可信第三方 TTP利用私钥计算第二证明系统 AS₂产生的鉴别随机数 N_AS2j_Tp、第一证明系统 AS 的身份证明密钥 AIK证书 Cert_AI]^_AS1、第一证明系统 AS 的身份证明密钥 AIK证书 Cert_AI]^_AS1的验证结果 Re_AI]^_AS1、第一证明系统 AS 的平台配置寄存器值 PCRs_AS1、第一证明系统 AS 々平台完整性验证结果 Re_{PCR AS1}、第一证明系统 AS 的平台修补信息 Rem_AS1、第一证明系统 AS 产生的随机数 N_AS1、第二证明系统 AS₂的身份证明密钥 AIK证书 Cert_An^_AS2、第二证明系统 AS₂的身份证明密钥 AIK证书 Cert_AI]^_AS2的验证结果 Re_AI]^_AS2、第二证明系统 AS₂的平台配置寄存器值 PCRs_AS2、第二证明系统 AS₂的平台完整性验证结果 RepcR_S-As2 和第二证明系统 AS₂ 的平台修补信息 Rem_AS2 的签名 [N_As2-TTp||Cert_AiK-Asi I |Re_AiK-Asi I |PCRs_ASi I |Re_{PC S}-Asi I |Rem_ASi I |N_AS1 ||Cert_AiK-AS2| | Re_AiK-AS2||PCRsAS2|| Re_PcRs-As₂| | Rem_AS2]_Slg, 最后向第二证明系统 AS₂发送消息 4= Re_AiK-Asi I |Re_PC s-Asi I |Rem_ASi I |Re_Ai_K-AS2| |Re_PCR_S-AS2| |Rem_AS2| | [N_AS2-TTP| |Cert_AIK-AS111 Re_AiK-Asi I |PCRSASI I |Re_{PC S}-Asi I |Rem_ASi I |N_AS11 |Cert_AiK_-AS2| |Re_AK-AS2| |PCRs_AS2| |

RSpC s-AS2| | ReHlAS2]Sig。

5 ) AS₂根据所述第四消息进行签名验证，如签名无效，则丟弃该消息，若签名有效，则生成 AS^† AS₂的访问结果，并向第一证明系统 8₁发送第五消息。

其中，具体过程为：第二证明系统 AS₂收到消息 4后，首先利用可信第三方 TTP 的公钥验证签名 [N_As2-TTp||Cert_AiK-Asi I |Re_AiK-Asi I |PCRs_ASi I |Re_{PC S}-Asi I |Rem_ASi I |N_AS1 ||Cert_AiK-AS2| |

Re_AiK-AS2||PCRsAS2|| Re_PcRs-As₂| | Rem_AS2]_Slg, 若签名无效，则丟弃该消息，否则根据消息 4中第一证明系统 AS 的身份证明密钥 AIK证书 Cert_An^_AS1的验证结果 Re_AiK-Asi和第一证明系统 AS 的平台完整性验证结果 Rep_{CR AS1}生成第一证明系统 AS †第二证明系统 AS₂的访问结果 Re_access, 值为允许 /禁止 /隔离，然后向第一证明系统 AS 发送消息 5= N_AS2-TTP||PCRs_AS2||[N_AS1||PCRs_AS2]_Slg||Re_access|| 消息 4。

6 ) AS₂根据所述第五消息进行签名验证，如签名无效，则丟弃该消息，若签名有效，则验证所述第四消息中的签名，如果签名无效，则中止该协议过程，如果签名有效，则依据 Cert_An^_AS2的验证结果 Re_An^_AS2、第二证明系统 AS₂ 的平台完整性验证结果 Rep_{CR AS2}和第一证明系统 AS^†第二证明系统 AS₂的访问结果 Re_access执行访问控制。

其中，具体过程为：第一证明系统 AS 收到第五消息（消息 5 )后，首先利用第二证明系统 AS₂的身份证明密钥 AIK证书 Cert_AI]^_AS2的公钥验证签名 [N_AS1||PCRs_AS2]_Slg, 若签名无效，则丟弃该消息，否则验证消息 4 中的签名 [N_As2-TTp||Cert_AiK-Asi I |Re_AiK-Asi I |PCRs_ASi I |Re_{PC S}-Asi I |Rem_ASi I |N_AS1 ||Cert_AiK-AS2| |

Re_AiK-AS2||PCRsAS2|| Re_PcRs-As₂| | Rem_As₂]_Slg , 若签名无效，则中止该协议过程，否则根据消息 4中第二证明系统 AS₂的身份证明密钥 AIK证书 Cert_AI]^_AS2的验证结果 Re_An^_AS2、第二证明系统 AS₂的平台完整性验证结果 Rep_{CR AS2}和第一证明系统 AS对第二证明系统 AS₂的访问结果 Re_access执行访问控制。在上述的基于三元对等鉴别的可信平台评估协议中，第一证明系统 AS 和第二证明系统 AS₂之间交互的消息是在它们之间的安全通道中传输的；第二证明系统 AS₂和可信第三方 TTP之间交互的消息是在它们之间的安全通道中传输的；若第一证明系统 AS 不希望第二证明系统 AS₂知道第一证明系统 ASi 的平台配置信息，则第一证明系统 AS 的平台配置寄存器值 PCRs_AS1对应的度量曰志 Log_AS1和第一证明系统 AS 的平台修补信息 Rem_AS1是在第一证明系统 AS 和可信第三方 TTP之间的安全通道中传输的；若第一证明系统 AS 和第二证明系统 AS₂之间基于直接匿名证明 DAA来验证证明系统 AS的身份证明密钥 AIK, 则消息 4和消息 5中不包含第一证明系统 ASi的身份证明密钥 AIK 证书 Cert_AIK__AS1及验证结果 Re_AI]^_AS1、第二证明系统 AS₂的身份证明密钥 AIK 证书 Cert_AiK_-AS2及 3全证结果 Re_AiK_-AS2。

Claims

权利要求

1、一种基于三元对等鉴别的可信平台验证方法，其特征在于：该方法包括以下步骤：

F ) AS₂根据所述第五消息进行签名验证，如签名无效，则丟弃该消息，若签名有效，则验证所述第四消息中的签名，如果签名无效，则中止该协议过程，如果签名有效，则依据 Cert_AiK-AS2的验证结果 Re_An^_AS2、第二证明系统 AS₂ 的平台完整性验证结果 Rep_{CR AS2}和第一证明系统 AS^†第二证明系统 AS₂的访问结果 Re_access执行访问控制。

2、根据权利要求 1所述的基于三元对等鉴别的可信平台验证方法，其特征在于：所述步骤 A ) 中的平台配置寄存器 PCR列表是第一证明系统中确定的平台配置寄存器 PCR列表，或者是第一证明系统中确定的组件列表。

3、根据权利要求 1所述的基于三元对等鉴别的可信平台验证方法，其特征在于：所述步骤 B ) 中的平台配置寄存器 PCR列表是第二证明系统中确定的平台配置寄存器 PCR列表，或者是第二证明系统中确定的组件列表。

4、根据权利要求 1所述的基于三元对等鉴别的可信平台验证方法，其特征在于：所述第一证明系统和第二证明系统之间交互的消息是在它们之间的安全通道中传输的。

5、根据权利要求 4所述的基于三元对等鉴别的可信平台验证方法，其特征在于：所述第二证明系统和可信第三方之间交互的消息是在它们之间的安全通道中传输的。

6、根据权利要求 1-5任一项所述的基于三元对等鉴别的可信平台验证方法，其特征在于：若第二证明系统不能知道第一证明系统的平台配置信息，则所述 Log_AS1和第一证明系统的平台修补信息 Rem_AS1是在第一证明系统和可信第三方之间的安全通道中传输的；若第一证明系统和第二证明系统之间基于直接匿名证明 DAA来验证证明系统的身份证明密钥，则第四消息和第五消息中不包含所述 Cert_AI]^_AS1及验证结果 Re_AI]^_AS1、所述 Cert_AI]^_AS2及验证结果

RSAIK-AS2 O

7、根据权利要求 1所述的基于三元对等鉴别的可信平台验证方法，所述第一证明系统 AS 和第二证明系统 AS₂的相关参数，具体包括：

第二证明系统产生的鉴别随机数 N_AS2j_Tp、第一证明系统的身份证明密钥 AIK证书

的验证结果 Re_An^_AS1、第一证明系统的平台配置寄存器值 PCRs_AS1、第一证明系统的平台完整性验证结果 Re_{PCR AS1}、第一证明系统的平台修补信息 Rem_AS1、第一证明系统产生的随机数 N_AS1、第二证明系统的身份证明密钥 AIK 证书 Cert_AiK-AS2 ^ 第二证明系统的身份证明密钥 AIK证书 Cert_AI]^_AS2的验证结果 Re_AiK-AS2 ^ 第二证明系统的平台配置寄存器值 PCRs_AS2、第二证明系统的平台完整性验证结果 Re_{PCR AS2}和第二证明系统的平台修补信息 Rem_AS2的签名。