[发明专利]一种基于可信计算的去中心信任链认证方法、系统及介质

权利要求书

1.一种基于可信计算的去中心信任链认证方法，其特征在于：包括如下步骤：

创建安全信任根：部署若干个种子节点，所述种子节点上设有板载TCM模块的设备，该设备完成开机后，注册到服务器上应用系统的白名单中，服务器将所述白名单发送至各种子节点，各种子节点间所述白名单形成相互信任，形成信任链；

扩展信任链：外部节点向所述信任链内的节点发出认证请求，所述信任链内的任意一节点响应所述认证请求，并作为验证者执行认证步骤；对于认证通过的外部节点，执行授权步骤且若所述外部节点为板载TCM模块的设备，则将该外部节点升级为待选节点，加入所述信任链，具有验证者权限；将加入所述信任链的待选节点注册到所述白名单中，服务器更新并发送所述白名单至所述信任链中的各节点。

2.根据权利要求1所述的一种基于可信计算的去中心信任链认证方法，其特征在于：所述板载TCM模块的设备，在开机时，TCM模块对设备的BIOS、OS内核的完整性进行主动度量，生成度量值，根据度量值判断被度量对象的完整性是否被篡改，若否，则将度量值存储在TCM模块的配置寄存器，然后，TCM模块检测OS服务的完整性，若检测通过，则该设备的硬件平台和操作系统均安全可信，启动设备系统。

3.根据权利要求2所述的一种基于可信计算的去中心信任链认证方法，其特征在于：所述认证步骤为：所述信任链中的节点根据外部节点提供的完整性度量报告判断外部节点的可信性，若可信，则认证通过；所述完整性度量报告包括所述外部节点的度量值、外部节点的身份秘钥对所述度量值的签名以及外部节点的秘钥证书；若所述外部节点为未板载TCM模块的设备，则所述认证步骤为：所述信任链中的节点根据外部节点提供的设备软硬件信息进行验证。

4.根据权利要求3所述的一种基于可信计算的去中心信任链认证方法，其特征在于：所述授权步骤具体为：对于板载TCM模块的外部节点，该外部节点升级为待选节点，所述信任链中响应其认证请求的节点向所述待选节点发放中间证书并授予再信任权限，加入所述信任链，具有验证者权限；对于未板载TCM模块的外部节点，该外部节点升级为已认证节点，所述信任链中的节点向所述已认证节点发放用于访问应用系统的服务器证书KEY，可自由访问应用。

5.根据权利要求2所述的一种基于可信计算的去中心信任链认证方法，其特征在于：将种子节点上的设备注册到服务器上应用系统的白名单中，实现应用系统对种子节点的信任；所述种子节点上的设备利用存储在所述TCM模块配置寄存器中的密钥生成根证书。

6.根据权利要求1所述的一种基于可信计算的去中心信任链认证方法，其特征在于：所述信任链内的种子节点优先响应所述认证请求，若种子节点无心跳或繁忙时，由所述信任链内的其他节点响应所述认证请求。

7.一种基于可信计算的去中心信任链认证系统，其特征在于：包括处理器与存储器，所述存储器中存储有能够被处理器运行的计算机程序，当处理器运行该计算机程序时，执行如权利要求1至6任意一项所述的方法步骤。

8.一种计算机可读存储介质，其特征在于：该计算机可读存储介质中存储有能够被处理器运行的计算机程序，当设备的一个或多个处理器运行该计算机程序时，执行如权利要求1至6任意一项所述的方法步骤。