[发明专利]形成可信计算集群的方法及装置

权利要求书

1.一种形成可信计算集群的方法，所述方法通过第一可信计算单元执行，包括：

获取第二可信计算单元的第二单元报告，所述第二单元报告由所述第二可信计算单元生成，包括所述第二可信计算单元的签名信息；

将所述第二单元报告发送至第三方认证机构，以获得第二认证结果；

向所述第二可信计算单元提供第一单元报告，所述第一单元报告包括所述第一可信计算单元的签名信息，以供所述第二可信计算单元获得针对第一可信计算单元的第一认证结果；

在所述第一认证结果和第二认证结果均为认证通过时，与所述第二可信计算单元进行秘钥传输通信，以使得所述第一可信计算单元和第二可信计算单元维护共同的集群秘钥。

2.根据权利要求1所述的方法，其中，所述第一可信计算单元和所述第二可信计算单元均实现为可信围圈enclave。

3.根据权利要求1所述的方法，其中，所述第二单元报告还包括，所述第二可信计算单元的硬件和软件信息，以及所述第二可信计算单元的运行时环境信息。

4.根据权利要求1所述的方法，其中所述第二可信计算单元的签名信息依赖于所述第二可信计算单元的硬件秘钥。

5.根据权利要求1所述的方法，其中所述第一可信计算单元被指定为主单元，所述第二可信计算单元被指定为从单元，

所述与所述第二可信计算单元进行秘钥传输通信包括：

将所述第一可信计算单元维护的第一秘钥作为所述集群秘钥，传输给所述第二可信计算单元。

6.根据权利要求5所述的方法，其中，所述第一秘钥为所述第一可信计算单元生成的初始集群秘钥。

7.根据权利要求5所述的方法，其中，所述第一可信计算单元已加入已有可信计算集群，所述第一秘钥为所述已有可信计算集群的集群秘钥。

8.根据权利要求5所述的方法，其中，所述第二可信计算单元维护有第二秘钥对，其中包括第二公钥和第二私钥，

所述将所述第一可信计算单元维护的第一秘钥作为所述集群秘钥，传输给所述第二可信计算单元，包括：

获取所述第二公钥；

利用所述第二公钥对所述第一秘钥进行加密，得到加密秘钥；

将所述加密秘钥传输给所述第二可信计算单元。

9.根据权利要求1所述的方法，其中所述第一可信计算单元被指定为从单元，所述第二可信计算单元被指定为主单元，

所述与所述第二可信计算单元进行秘钥传输通信包括：

从所述第二可信计算单元获取第二秘钥作为所述集群秘钥。

10.根据权利要求9所述的方法，其中，所述第一可信计算单元维护有第一秘钥对，其中包括第一公钥和第一私钥，

从所述第二可信计算单元获取第二秘钥作为所述集群秘钥，包括：

将所述第一公钥提供给所述第二可信计算单元；

从所述第二可信计算单元接收到加密秘钥，该加密秘钥是利用所述第一公钥对第二秘钥加密得到；

利用所述第一私钥对所述加密秘钥进行解密，得到所述第二秘钥。

11.根据权利要求9或10所述的方法，其中所述第一可信计算单元维护有生成的初始集群秘钥；

从所述第二可信计算单元获取第二秘钥作为所述集群秘钥，包括：

用获取的所述第二秘钥替换所述初始集群秘钥。

12.根据权利要求1所述的方法，其中，所述第一可信计算单元和第二可信计算单元为对等单元，

所述与所述第二可信计算单元进行秘钥传输通信，包括：

与所述第二可信计算单元进行秘钥协商，将协商的秘钥作为所述集群秘钥。