[发明专利]用于建立信任的便携设备

权利要求书

1、一种用于建立信任的便携设备，包括：

通信模块，用于与主机进行通信；

嵌入的可信数据；

虚拟机模块，用于在所述主机上实例化出虚拟机；以及

安全模块，用于在所述虚拟机中包括安全应用程序，以使用所述嵌入的可信数据执行证明过程来对所述主机进行认证。

2、根据权利要求1所述的便携设备，其中，所述嵌入的可信数据包括所述设备的背书密钥对、背书信任状证书、背书信任状数字签名以及信任状可信数据。

3、根据权利要求1所述的便携设备，其中，所述虚拟机包括虚拟化软件以及用于在所述主机和远程机器之间进行安全通信的所述安全应用程序。

4、根据权利要求1所述的便携设备，其中，所述设备包括存储器电路，用于存储所述虚拟机模块和所述安全模块。

5、根据权利要求1所述的便携设备，其中，用于与所述主机进行通信的所述通信模块包括通信端口。

6、根据权利要求5所述的便携设备，其中，所述通信端口包括USB端口、火线端口、串口、并口、光学收发器、或无线电收发器。

7、根据权利要求1到6之任一所述的便携设备，其中，所述主机经由通信网络连接到所述远程机器。

8、根据权利要求7所述的便携设备，其中，所述证明过程由所述主机和所述远程机器通过所述通信网络来执行，以使所述远程机器基于所述嵌入的可信数据来对所述主机进行认证。

9、根据权利要求8所述的便携设备，其中，所述证明过程使得能够使用所述嵌入的可信数据在非可信主机和所述远程机器之间建立信任关系。

10、根据权利要求9所述的便携设备，其中，所述证明过程验证所述可信数据的完整性和所述便携设备对该可信数据的所有权。

11、根据权利要求10所述的便携设备，其中，所述证明过程在所述便携设备被连接到所述主机之后执行，并使得所述远程机器能够认定所述主机是可信的。

12、根据权利要求11所述的便携设备，其中，所述安全应用程序使得所述远程机器和所述主机能够通过所述通信网络进行安全通信，并且一旦所述主机被认定为可信，为所述主机提供对保密的或安全的资源的安全访问。

13、根据权利要求12所述的便携设备，其中，所述证明过程使用所述远程机器可访问的所述嵌入的可信数据的复本来对所述主机进行认证。

14、一种生产用于建立信任的便携设备的方法，包括：

生成背书密码公/私密钥对；

使用所述密钥对的公钥和信任状数据来生成背书信任状数字证书；以及

使用所述密钥对的私钥和所述背书信任状证书来生成背书信任状数字签名；

所述背书密钥对、背书信任状数字证书、数字签名和信任状数据是存储在所述设备中的可信数据。

15、根据权利要求14所述的方法，包括：

在包括用于与主机进行通信的通信模块的所述便携设备中嵌入所述可信数据；

在所述便携设备中存储虚拟机模块，该虚拟机模块用于在主机上实例化出虚拟机；

在所述便携设备中存储安全模块，该安全模块用于在所述虚拟机中包括安全应用程序，以使用所嵌入的可信数据执行证明过程来对所述主机进行认证。

16、根据权利要求14所述的方法，其中，所述虚拟机包括虚拟化软件和用于在所述主机和远程机器之间进行安全通信的所述安全应用程序。

17、根据权利要求14所述的方法，其中，所述嵌入是在所述设备的可信平台模块中进行的。

18、根据权利要求15所述的方法，其中，用于与所述主机进行通信的所述通信模块包括通信端口。

19、根据权利要求18所述的方法，其中，所述通信端口包括USB端口、火线端口、串口、并口、光学收发器、或无线电收发器。