[发明专利]可信计算环境的异构融合方法、装置及相关设备

权利要求书

1.一种可信计算环境的异构融合方法，其特征在于，所述方法应用于计算机设备，所述方法包括：

通过完整性度量架构，初始化可信计算环境的第一TEE容器；

接收客户端的第二TEE容器发起的第一协商通信密钥请求和第一互信证明验证请求，其中，所述第一协商通信密钥请求中携带客户端公钥，所述第一互信证明验证请求携带客户端本地完整性度量报告；

向所述客户端的所述第二TEE容器发送第二协商通信密钥请求和第二互信证明验证请求，其中，所述第二协商通信密钥请求中携带服务器公钥，所述第二互信证明验证请求携带服务器本地完整性度量报告；

验证所述客户端本地完整性度量报告的内容，当所述客户端本地完整性度量报告验证通过且接收到客户端发送的所述服务器本地完整性度量报告验证通过时，所述第一TEE容器与所述第二TEE容器建立互信；

当所述第一TEE容器与所述第二TEE容器建立互信时，接收所述客户端发送的通过所述服务器公钥进行加密的可信调用请求，向所述客户端返回通过所述客户端公钥进行加密的调用结果。

2.根据权利要求1所述的可信计算环境的异构融合方法，其特征在于，所述通过完整性度量架构，初始化可信计算环境的第一TEE容器的步骤之前，所述方法还包括：

通过所述第一TEE容器生成服务器私钥和所述服务器公钥，其中，所述服务器私钥和所述服务器公钥为非对称的私钥和公钥。

3.根据权利要求2所述的可信计算环境的异构融合方法，其特征在于，所述方法还包括：

接收所述客户端发送的通过所述服务器公钥进行加密的所述客户端本地完整性度量报告，其中，所述客户端本地完整度量报告使用第一证书进行签名，所述第一证书是第一数字证书通过客户端私钥派生；

通过所述服务器私钥对所述客户端本地完整性度量报告进行解密。

4.根据权利要求3所述的可信计算环境的异构融合方法，其特征在于，向所述客户端的所述第二TEE容器发送第二协商通信密钥请求和第二互信证明验证请求时，所述方法还包括：

通过所述客户端公钥对所述服务器本地完整性度量报告进行加密，其中，所述服务器本地完整度量报告使用第二证书进行签名，所述第二证书是第二数字证书通过所述服务器私钥派生；

通过所述客户端私钥对所述服务器本地完整性度量报告进行解密。

5.根据权利要求4所述的可信计算环境的异构融合方法，其特征在于，所述验证所述客户端本地完整性度量报告的内容的步骤包括：

验证所述第一数字证书是否完整，若是，则验证所述第一证书是否完整，若是，则验证所述客户端本地完整性度量报告是否被所述第一证书签名，若是，则验证所述第一证书是否未过期，若是，则验证所述第二TEE容器的初始化信息是否准确，若是，则判断所述客户端本地完整性度量报告验证通过。

6.根据权利要求2所述的可信计算环境的异构融合方法，其特征在于，所述接收所述客户端发送的通过所述服务器公钥进行加密的可信调用请求的步骤之后，所述方法还包括:

通过所述第一TEE容器使用所述服务器私钥对所述可信调用请求进行解密；

通过所述第一TEE容器处理解密后的所述可信调用请求，其中，所述可信调用请求为全平台统一的可信调用请求，所述处理包括将所述可信调用请求翻译为所述第一TEE容器所在平台的特定可信调用请求；

通过所述第一TEE容器将处理完的所述可信调用请求发送给所述第二TEE容器，其中，处理完的所述可信调用请求通过所述第一TEE容器翻译为全平台同一的可信调用请求。

7.根据权利要求6所述的可信计算环境的异构融合方法，其特征在于，所述通过所述第一TEE容器使用所述服务器私钥对所述可信调用请求进行解密的步骤之后，所述方法还包括了：

通过随机数和/或时间戳验证解密后的所述可信调用请求。