[发明专利]一种可信度量的远程认证方法、装置及系统

说明书

本发明实施例公开一种可信度量的远程认证方法、装置及系统，涉及计算机技术领域，能够有效简化动态可信度量的远程认证的部署。所述方法包括：接收远程认证服务端发送的可信度量认证请求，所述可信度量认证请求中携带目标寄存器的标识，所述目标寄存器为可信平台模块TPM中，需要进行远程认证的特征值所在的虚拟平台配置寄存器PCR；在所述目标寄存器包括预设寄存器的情况下，触发所述可信平台模块TPM通过预设安全通道从可信动态度量服务获取动态度量信息；利用所述动态度量信息及所述目标寄存器中存储的信息，生成可信度量报告，所述可信度量报告由所述可信平台模块TPM签名。本发明适用于计算机安全技术中。

技术领域

本发明涉及计算机技术领域，尤其涉及一种可信度量的远程认证方法、装置及系统。

背景技术

度量是可信计算里使用广泛的一项关键技术。所谓度量就是通过某种方法提取目标程序或数据的特征值，该特征值具有唯一性，通过特征值判断目标的状态，例如可以通过目标程序或数据的特征值相对于基准值是否发生变化，来判断目标程序或数据是否被篡改。

随着计算机和网络技术的发展，可信度量不仅可以用于验证本地目标程序是否可信，还可以借助于网络认证远程目标程序是否可信。例如，集群式服务器需要调度某一台计算机执行某个计算任务时，可以通过对该计算机中的程序进行可信度量，远程认证该计算机是否被非法入侵，是否可以执行该计算任务。

相关技术中的可信度量大多基于TPM(Trusted Platform Module，可信平台模块)技术。TPM是由TCG(Trusted Computing Group，国际可信计算组)制定的支持可信计算的底层模块标准，TPM中设置有PCR(Platform Configuration Register，虚拟平台配置寄存器)组件以支持可信计算中最重要的度量功能。与此同时，TPM标准还支持对读取的PCR信息进行签名保护，形成不可篡改的可信度量报告(签名使用TPM内置的非对称签名密钥)，以支持远程实体在通信通道不可信的情况下依然能够验证报告的真实性及根据报告内容判断主机的身份真实性和完整性，从而实现远程认证。

然而，TPM的度量对要度量的目标(代码或数据)来说是一种一次性度量，即在某个时机，比如系统启动或程序加载时，对目标进行一次度量并将度量值Hash扩展到对应PCR，后续在目标运行阶段则不会再次度量，所以TPM PCR内保存的度量值只反映了程序或数据在装载时刻的完整性，是静态的。

为了能够进一步保护程序在运行时的完整性，TDM(Trusted Dynamic Measuring,可信动态度量)应运而生，然而由于TDM还处在发展早期，目前尚无专门为TDM设计的远程认证方案。由于远程认证涉及一整套完整的认证机制，既包括远程认证服务端RA又包括TDM本地端，且TDM还需内置签名密钥，工作量大，影响广泛，因此TDM的远程认证实际部署较为困难。

发明内容

有鉴于此，本发明实施例提供一种可信度量的远程认证方法、装置、系统、电子设备及计算机可读存储介质，能够有效简化动态可信度量的远程认证的部署。

第一方面，本发明的实施例提供一种可信度量的远程认证方法，基于终端，所述方法包括：接收远程认证服务端发送的可信度量认证请求，所述可信度量认证请求中携带目标寄存器的标识，所述目标寄存器为可信平台模块TPM中，需要进行远程认证的特征值所在的虚拟平台配置寄存器PCR；

在所述目标寄存器包括预设寄存器的情况下，触发所述可信平台模块TPM通过预设安全通道从可信动态度量服务获取动态度量信息，其中所述可信动态度量服务及所述可信平台模块TPM均处于可信环境中；

利用所述动态度量信息及所述目标寄存器中存储的信息，生成可信度量报告，所述可信度量报告由所述可信平台模块TPM签名。

可选的，所述利用所述动态度量信息及所述目标寄存器中存储的信息，生成可信度量报告包括：