[发明专利]一种可信度量的远程认证方法、装置及系统

权利要求书

1.一种可信度量的远程认证方法，其特征在于，基于终端，所述方法包括：

接收远程认证服务端发送的可信度量认证请求，所述可信度量认证请求中携带目标寄存器的标识，所述目标寄存器为可信平台模块TPM中，需要进行远程认证的特征值所在的虚拟平台配置寄存器PCR；

在所述目标寄存器包括预设寄存器的情况下，触发所述可信平台模块TPM通过预设安全通道从可信动态度量服务获取动态度量信息，其中所述可信动态度量服务及所述可信平台模块TPM均处于可信环境中；

利用所述动态度量信息及所述目标寄存器中存储的信息，生成可信度量报告，所述可信度量报告由所述可信平台模块TPM签名。

2.根据权利要求1所述的方法，其特征在于，所述利用所述动态度量信息及所述目标寄存器中存储的信息，生成可信度量报告包括：

根据所述可信平台模块TPM中预设的可信算法，对所述动态度量信息执行所述可信算法相应的运算操作，得到第一特征值；

根据所述第一特征值以及所述目标寄存器中除所述预设寄存器之外的其他寄存器中的第二特征值，生成所述可信度量报告。

3.根据权利要求2所述的方法，其特征在于，所述在所述目标寄存器包括预设寄存器的情况下，触发所述可信平台模块TPM通过预设安全通道从可信动态度量服务获取动态度量信息包括：在所述目标寄存器包括至少两个不同的所述预设寄存器的情况下，触发所述可信平台模块TPM通过预设安全通道从所述可信动态度量服务分别获取每个所述预设寄存器对应的所述动态度量信息；

所述根据所述可信平台模块TPM中预设的可信算法，对所述动态度量信息执行相应的运算操作，得到第一特征值包括：根据所述可信平台模块TPM中预设的可信算法，对每个所述预设寄存器对应的所述动态度量信息分别执行相应的运算操作，得到对应的第一特征值。

4.根据权利要求3所述的方法，其特征在于，每个所述预设寄存器对应的所述动态度量信息的数量为一条或多条。

5.根据权利要求2所述的方法，其特征在于，所述根据所述可信平台模块TPM中预设的可信算法，对所述动态度量信息执行相应的运算操作包括：

确定所述预设寄存器是否被配置为所述可信动态度量服务的专用寄存器；

响应于所述预设寄存器被配置为所述可信动态度量服务的专用寄存器，基于第一预设值对所述动态度量信息执行哈希hash扩展运算；

响应于所述预设寄存器被配置为非所述可信动态度量服务的专用寄存器，基于所述预设寄存器中存储的特征值，对所述动态度量信息执行哈希hash扩展运算。

6.根据权利要求1所述的方法，其特征在于，所述可信动态度量服务及所述可信平台模块TPM均设置在安全处理器中，所述预设安全通道仅对所述可信动态度量服务及所述可信平台模块TPM开放。

7.根据权利要求1至6中任一项所述的方法，其特征在于，所述利用所述动态度量信息及所述目标寄存器中存储的信息，生成可信度量报告之后，所述方法还包括：

向所述远程认证服务端发送所述可信度量报告；

向所述远程认证服务端提供与所述可信度量报告对应的待审计度量信息，以供所述远程认证服务端审计，所述待审计度量信息包括所述动态度量信息。

8.一种可信度量的远程认证方法，其特征在于，基于远程认证服务端，所述方法包括：

向终端发送可信度量认证请求，所述可信度量认证请求中携带目标寄存器的标识，所述目标寄存器为所述终端的可信平台模块TPM中，需要进行远程认证的特征值所在的虚拟平台配置寄存器PCR；

根据所述终端返回的可信度量报告，对所述终端的安全性进行远程认证，其中，所述可信度量报告由所述终端利用动态度量信息及所述目标寄存器中存储的信息生成，并由所述可信平台模块TPM签名，所述动态度量信息由所述终端中运行的可信动态度量服务提供。