阅读说明：本技术 一种可信平台完整性证明的方法 (Method for verifying integrity of trusted platform ) 是由 肖智强 刘槟滔 张贤佳 黄雨 林志威 周卓标 杨世宏 于 2021-07-05 设计创作，主要内容包括：本发明公开一种可信平台完整性证明的方法,包括以下步骤：在验证第三方建立虚拟化可信平台,该虚拟化可信平台内置有度量值收集模块和度量值比对模块；验证第三方向可信平台发送完整性度量报告的请求；度量值收集模块收集来自可信平台的度量值；度量值比对模块在可信执行环境中将度量值收集模块所收集的度量值与可信平台计算得到的度量值进行比对,并将比对结果发送给可信平台,同时所述验证第三方生成一所述可信执行环境的运行证据,使所述可信平台可安全地信任接收到的比对结果；可信平台在接收比对结果为一致时则表明当前验证者平台处于可信状态。本发明可保障验证者平台的可信性,实用性强,平台身份隐私性能良好,有效证明平台完整性。(The invention discloses a method for verifying the integrity of a trusted platform, which comprises the following steps: establishing a virtualized trusted platform at a verification third party, wherein a metric value collection module and a metric value comparison module are arranged in the virtualized trusted platform; verifying a request for sending an integrity measurement report to a trusted platform by a third party; the metric value collecting module collects metric values from a trusted platform; the metric value comparison module compares the metric value collected by the metric value collection module with the metric value calculated by the trusted platform in the trusted execution environment, sends the comparison result to the trusted platform, and meanwhile, the verification third party generates an operation evidence of the trusted execution environment, so that the trusted platform can safely trust the received comparison result; and when the receiving comparison result is consistent, the trusted platform indicates that the current verifier platform is in a trusted state. The method can guarantee the credibility of the verifier platform, has strong practicability and good platform identity privacy performance, and effectively proves the integrity of the platform.)

一种可信平台完整性证明的方法

技术领域

本发明涉及计算机安全技术领域，具体涉及一种可信平台完整性证明的方法。

背景技术

平台完整性证明就是通过身份凭证证明可信计算平台真实身份的过程，一般可信计算平台的身份是用安全芯片标识的，平台完整性证明实质上即认证TPM/TCM安全芯片身份。可信计算组织TCG的Privacy CA认证方法在可信第三方的协助下只是减少了平台身份隐私信息的泄露，但该方法并不保证平台身份隐私，因此无法证明平台的完整性。

发明内容

本发明的目的在于克服现有技术的不足，提供一种可信平台完整性证明的方法。

本发明的技术方案如下：

一种可信平台完整性证明的方法，包括以下步骤；

在验证第三方建立虚拟化可信平台，该虚拟化可信平台内置有度量值收集模块和度量值比对模块；

验证第三方向可信平台发送完整性度量报告的请求；

度量值收集模块收集来自可信平台的度量值；

度量值比对模块在可信执行环境中将度量值收集模块所收集的度量值与可信平台计算得到的度量值进行比对，并将比对结果发送给可信平台，同时所述验证第三方生成一所述可信执行环境的运行证据，使所述可信平台可安全地信任接收到的比对结果；

可信平台在接收比对结果为一致时则表明当前验证者平台处于可信状态。

其中，所述可信平台内置有度量值计算模块和平台配置寄存器；

所述度量值计算模块计算各个加载阶段的度量值，并将度量结果扩展到平台配置寄存器中，以及在接收到验证第三方发送的完整性度量报告请求时将度量结果发送给度量值比对模块；

所述平台配置寄存器储存各个加载阶段的度量值，以供所述度量值收集模块获取。

进一步的，所述可信平台还内置有平台身份密钥和平台身份证书；

所述平台身份密钥在接收到比对结果为一致时生成密文，在密文上进行数字签名，并将具有数字签名的密文导入平台身份证书中，发送给验证者平台进行身份验证。

相对于现有技术，本发明的有益效果在于：

安全性：本发明通过在验证第三方建立虚拟化可信平台，通过收集各个加载阶段的度量值，并与可信平台计算得到的度量值进行比对的方式，来判断验证者平台的可信性，实用性强，平台身份隐私性能良好，有效证明平台完整性；

可见性：可信平台能够收到由验证第三方生成的可信执行环境运行证据，该证据表明度量值比对过程是在相应的保护措施下进行的，也就是说，验证者对验证第三方的度量值比对过程是可见的，避免了盲目地相信来自验证第三方发送过来的验证结果。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种可信平台完整性证明的方法的实现架构图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

为了说明本发明所述的技术方案，下面通过具体实施例来进行说明。

实施例

请参阅图1，本发明提供一种可信平台完整性证明的方法，包括以下步骤；

(1)设置可信平台，该可信平台内置度量值计算模块、平台配置寄存器、平台身份密钥和平台身份证书，该可信平台分别连接验证第三方和验证者平台；

其中，所述度量值计算模块用于计算各个加载阶段的度量值；

所述平台配置寄存器用于储存各个加载阶段的度量值；

所述平台身份密钥用于生成密文和进行数字签名；

所述平台身份证书用于发送给验证者进行身份验证；

(2)在验证第三方建立虚拟化可信平台，该虚拟化可信平台内置有度量值收集模块和度量值比对模块；

其中，所述度量值收集模块用于收集来自可信平台的度量值；

所述度量值比对模块用于将度量值收集模块所收集的度量值与可信平台计算得到的度量值进行比对；

(3)当验证第三方向可信平台发送完整性度量报告的请求时，所述度量值计算模块将度量结果发送给度量值比对模块，同时，所述度量值收集模块从所述平台配置寄存器中获取所储存的各个加载阶段的度量值；

(4)接着所述度量值比对模块在可信执行环境中将度量值收集模块所收集的度量值与可信平台计算得到的度量值进行比对，并将比对结果发送给可信平台，同时所述验证第三方生成一所述可信执行环境的运行证据，使所述可信平台可安全地信任接收到的比对结果；

(5)可信平台在接收比对结果为一致时则表明当前验证者平台处于可信状态；

具体的，所述平台身份密钥在接收到比对结果为一致时生成密文，在密文上进行数字签名，并将具有数字签名的密文导入平台身份证书中，发送给验证者平台进行身份验证。

通过该方法达到了安全性和可见性的目的：

(1)安全性：通过在验证第三方建立虚拟化可信平台，通过收集各个加载阶段的度量值，并与可信平台计算得到的度量值进行比对的方式，来判断验证者平台的可信性，实用性强，平台身份隐私性能良好，有效证明平台完整性；

(2)可见性：可信平台能够收到由验证第三方生成的可信执行环境运行证据，该证据表明度量值比对过程是在相应的保护措施下进行的，也就是说，验证者对验证第三方的度量值比对过程是可见的，避免了盲目地相信来自验证第三方发送过来的验证结果。

以上仅为本发明的较佳实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。