[发明专利]基于双代理双向匿名认证的可信远程证明方法及系统

权利要求书

1.一种基于双代理双向匿名认证的可信远程证明系统，其特征在于，包括发行者、客户端和服务器端，发行者向客户端和服务器端提供成员证书，所述客户端与服务器端进行远程证明和交互；其中客户端包括主机平台和认证代理，认证代理向主机平台提供代理证书，主机平台包括可信平台模块和测量代理，测量代理用于收集可信平台模块的完整性信息；服务器端也包括对应的主机平台和认证代理，基于上述系统实现的方法包括：

步骤1、发行者与客户端和服务器端的认证代理生成系统安全参数；

步骤2、客户端的认证代理生成代理证书即密钥对(σ,k)，并利用客户端主机平台可信平台模块的身份公钥PK_EK加密发送给客户端主机平台，客户端主机平台利用自身的可信平台模块验证代理证书的合法性；服务器端的认证代理生成代理证书即密钥对(σ′,k′)，并利用服务器端主机平台可信平台模块的身份公钥PK′_EK加密发送给服务器端主机平台，服务器端主机平台利用自身的可信平台模块验证代理证书的合法性；

步骤3、服务器端和客户端的主机平台均加入发行者群并获取成员证书；

步骤4、客户端和服务器端利用各自的认证代理进行双向身份认证；

步骤5、客户端的认证代理请求收集客户端主机平台的完整性信息；

步骤6、客户端的测量代理收集主机平台的完整性信息，并将结果发送给客户端的认证代理；

步骤7、客户端和服务器端的主机平台运用各自的认证代理进行平台配置完整性认证。

2.一种基于权利要求1所述系统的可信远程证明方法，其特征在于，包括以下步骤：

步骤1、发行者与客户端和服务器端的认证代理生成系统安全参数；

步骤2、客户端的认证代理生成代理证书即密钥对(σ,k)，并利用客户端主机平台可信平台模块的身份公钥PK_EK加密发送给客户端主机平台，客户端主机平台利用自身的可信平台模块验证代理证书的合法性；服务器端的认证代理生成代理证书即密钥对(σ′,k′)，并利用服务器端主机平台可信平台模块的身份公钥PK′_EK加密发送给服务器端主机平台，服务器端主机平台利用自身的可信平台模块验证代理证书的合法性；

步骤3、服务器端和客户端的主机平台均加入发行者群并获取成员证书；

步骤4、客户端和服务器端利用各自的认证代理进行双向身份认证；

步骤5、客户端的认证代理请求收集客户端主机平台的完整性信息；

步骤6、客户端的测量代理收集主机平台的完整性信息，并将结果发送给客户端的认证代理；

步骤7、客户端和服务器端的主机平台运用各自的认证代理进行平台配置完整性认证。