[发明专利]一种可信计算系统及相应的认证方法和设备

权利要求书

1.一种可信计算系统的认证方法，所述可信计算系统包括管理域和多个可信域，所述可信域的成员包括域可信方(DT)和域终端，所述方法包括：

DT以其平台身份证书为证明到管理域注册，管理域认证通过后，将管理域对所述DT的签名证书授予所述DT；

域终端以其平台身份证书为证明到所在可信域的DT注册，所述DT认证通过后，将终端身份证书授予所述域终端，所述终端身份证书包含管理域对所述DT的签名和所述DT对所述域终端的签名；

一个可信域的域终端与另一可信域的域终端之间交互时，该可信域的域终端基于该另一可信域的域终端的终端身份证书实现对该另一可信域的域终端身份的远程认证。

2.如权利要求1所述的认证方法，其特征在于：

所述管理域的成员包括隐私证书权威(PrivacyCA)；

所述管理域认证通过后，将管理域对所述DT的签名证书授予所述DT，包括：所述PrivacyCA认证通过后，将DT身份证书授予所述DT，所述DT身份证书包含所述PrivacyCA对所述DT的签名。

3.如权利要求1所述的认证方法，其特征在于：

所述管理域的成员包括隐私证书权威(PrivacyCA)和多个虚拟CA成员，所述认证方法还包括以下虚拟CA的建立过程：

所述PrivacyCA产生一对系统公私钥，公布门限签名和验证所需的公共参数，并将系统私钥秘密分发给虚拟CA成员；

各虚拟CA成员基于(t,n)门限体制秘密共享所述系统私钥，构成虚拟CA，每一虚拟CA成员保存一份系统子私钥；

所述DT以其平台身份证书为证明到管理域注册是分别到t个虚拟CA成员注册；所述管理域认证通过后，将管理域对所述DT的签名证书授予所述DT，包括：所述t个虚拟CA成员分别认证通过后，根据门限签名算法用各自保存的系统子私钥对所述DT签名得到t个子DT身份子证书并授予所述DT，所述DT对所述t个DT身份子证书中系统子私钥对所述DT的签名的合法性认证通过后，根据所述t个DT身份子证书合成DT身份证书，所述DT身份证书包含用门限签名算法合成的虚拟CA对所述DT的签名。

4.如权利要求3所述的认证方法，其特征在于：

所述t个虚拟CA成员用各自保存的系统子私钥对所述DT签名得到t个DT身份子证书并授予所述DT时，还将自己的CA成员身份证书作为身份证明提供给所述DT；

所述DT收到所述DT身份子证书和CA成员身份证书后，先基于所述CA成员身份证书对相应虚拟CA成员进行身份认证，认证通过后，再对所述DT身份子证书中的签名进行合法性认证。

5.如权利要求4所述的认证方法，其特征在于：

所述CA成员身份证书是虚拟CA成员通过以下过程得到的：

一虚拟CA成员以其平台身份证书为证明到其他t个或t-1个虚拟CA成员注册，所述其他t个或t-1个虚拟CA成员验证通过后，用各自保存的系统子私钥对该虚拟CA成员签名，得到的t个或t-1个CA成员子身份证书授予该虚拟CA成员，该虚拟CA成员对所述t个或t-1个CA成员身份子证书中系统子私钥对该虚拟CA成员的签名进行合法性认证通过后，合成CA成员t身份证书，所述CA成员身份证书包含用门限签名算法合成的虚拟CA对所述DT的签名；

所述CA成员身份证书中签名的主体部分包括该虚拟CA成员的平台标识，或者同时包含该虚拟CA成员的平台标识和系统管理员标识。

6.如权利要求2或3或4或5所述的认证方法，其特征在于：

所述DT将终端身份证书授予域终端时，还将自己的DT身份证书作为身份证明提供给所述域终端；

所述域终端收到所述终端身份证书和DT身份证书后，先基于所述DT身份证书对所述DT进行认证，认证通过后，再保存所述终端身份证书。

7.如权利要求3所述的认证方法，其特征在于：

所述DT身份证书中签名的主体部分包括所述DT的域管理员标识和平台标识。