[发明专利]构建可信计算池的方法及系统、认证服务器

权利要求书

1.构建可信计算池的方法，其特征在于，包括：

产生代理端程序，所述代理端程序中包括CA证书；

将所述代理端程序发送给待认证主机，触发待认证主机进行所述代理端程序的安装；

向待认证主机的代理端程序发送基准值收集命令；

接收待认证主机的基准值；

接收对所述待认证主机的可信认证请求；

通过待认证主机的代理端程序，获取所述待认证主机的BIOS度量值、VMM度量值、OS度量值，以及获取所述待认证主机根据CA证书产生的认证信息；

根据所述CA证书以及待认证主机根据CA证书产生的认证信息，验证所述待认证主机的合法性，合法性通过后，根据预先得到的待认证主机的基准值对待认证主机的BIOS度量值、VMM度量值及OS度量值进行可信认证，将可信认证结果返回给认证管理平台，触发所述认证管理平台根据所述认证结果执行将所述待认证主机加入或不加入可信计算池。

2.根据权利要求1所述的方法，其特征在于，所述可信认证请求包括：主机添加请求、认证请求及主机移动请求中的任意一个。

3.根据权利要求1所述的方法，其特征在于，进一步包括：

通过所述代理端程序获取所述待认证主机根据所述CA证书产生的EK公钥；

根据获取的EK公钥产生EC，并发送给所述代理端程序；

通过所述代理端程序获取所述待认证主机根据EC生成的AIK密钥；

根据获取的AIK密钥产生所述证言身份证书AIC；

所述待认证主机根据CA证书产生的认证信息包括：所述待认证主机产生的AIC；

所述根据所述CA证书验证所述待认证主机的合法性包括：判断自身产生的AIC与获取的所述待认证主机的AIC是否相同，如果相同，则合法性通过。

4.构建可信计算池的方法，其特征在于，包括：

接收并安装代理端程序，该代理端程序中包括CA证书；

根据接收到的基准值收集命令，通过代理端程序将自身的基准值发送给认证服务器；

根据所述CA证书产生认证信息；

通过代理端程序将自身的BIOS度量值、VMM度量值、OS度量值，以及认证信息发送给认证服务器。

5.根据权利要求4所述的方法，其特征在于，所述认证信息包括：AIC；

所述根据所述CA证书产生认证信息包括：根据所述CA证书产生EK公钥，并发送给认证服务器；接收认证服务器根据EK公钥产生并发来的EC；根据接收到的EC生成AIK密钥，并发送给认证服务器，以及根据AIK密钥生成所述AIC。

6.一种认证服务器，其特征在于，包括：

代理端程序产生单元，用于产生代理端程序，所述代理端程序中包括CA证书；

第一交互处理单元，用于将代理端程序产生单元所产生的代理端程序发送给待认证主机；向待认证主机的代理端程序发送基准值收集命令；接收待认证主机的基准值；通过待认证主机的代理端程序，获取所述待认证主机的BIOS度量值、VMM度量值、OS度量值，以及获取所述待认证主机根据CA证书产生的认证信息；

第二交互处理单元，用于接收对所述待认证主机的可信认证请求；

合法性认证单元，用于在所述第二交互处理单元接收到所述可信认证请求后，根据代理端程序产生单元所产生的所述CA证书以及第一交互处理单元接收到的认证信息，验证所述待认证主机的合法性，

可信认证单元，用于在所述合法性认证单元合法性通过后，根据预先得到的待认证主机的基准值对待认证主机的BIOS度量值、VMM度量值及OS度量值进行可信认证，将可信认证结果返回给认证管理平台，触发所述认证管理平台根据所述认证结果执行将所述待认证主机加入或不加入可信计算池。

7.根据权利要求6所述的认证服务器，其特征在于，所述合法性认证单元中包括：

AIC获取子单元，所述AIC获取子单元通过所述第一交互单元获取所述待认证主机根据所述CA证书产生的EK公钥；根据获取的EK公钥产生EC，并通过第一交互处理单元发送给待认证主机的所述代理端程序；通过第一交互处理单元获取所述待认证主机根据EC生成的AIK密钥；根据获取的AIK密钥产生所述证言身份证书AIC；

AIC认证子单元，判断AIC获取子单元产生的AIC与第一交互处理单元获取的所述待认证主机的AIC是否相同，如果相同，则合法性通过。