[发明专利]在用户和可信计算集群之间建立可信通道的方法、装置、存储介质及计算设备

权利要求书

1.一种在用户和可信计算集群之间建立可信通道的方法，所述方法通过第一可信计算单元执行，所述第一可信计算单元归属于预先建立的第一可信计算集群，所述第一可信计算集群中的每个可信计算单元均维护有共同的第一集群秘钥，所述第一可信计算单元预先向集群管理器注册有所归属的所述第一可信计算集群的信息，所述方法包括：

与用户协商出第一会话秘钥，并建立与所述用户的第一可信通道，所述第一会话秘钥用于对通过所述第一可信通道传输的数据进行加密；

利用所述第一集群秘钥对所述第一会话秘钥进行加密，得到第一加密秘钥；

向所述集群管理器发出第一通知，其中包含所述第一加密秘钥，以使得所述集群管理器将所述第一加密秘钥传递给所述第一可信计算集群中的其他可信计算单元，以使得所述其他可信计算单元中的任意一个可信计算单元根据其维持的第一集群秘钥，对所述第一加密秘钥进行解密以得到所述第一会话秘钥，从而基于所述第一会话秘钥而加入到所述第一可信通道中。

2.根据权利要求1所述的方法，其中与用户协商出第一会话秘钥包括：

将本地的第一公钥和第一私钥所构成的秘钥对中的第一公钥发送给所述用户，并获取用户提供的用户公钥；

基于所述第一公钥，第一私钥和所述用户公钥，生成第一会话秘钥。

3.根据权利要求1所述的方法，在向所述集群管理器发出第一通知之前，所述方法还包括：

向所述集群管理器发送针对第一可信通道的标识请求消息；

获取所述集群管理器为所述第一可信通道分配的第一会话标识；

将所述第一会话标识包含在所述第一通知中。

4.一种在用户和可信计算集群之间建立可信通道的方法，所述方法通过集群管理器执行，所述集群管理器用于管理至少一个预先建立的可信计算集群，所述方法包括：

从第一可信计算单元接收第一通知，所述第一通知中包括第一加密秘钥，所述第一加密秘钥是利用第一集群秘钥对第一会话秘钥进行加密而得到，所述第一会话秘钥是所述第一可信计算单元与用户建立的第一可信通道所对应的数据加密秘钥；

确定所述第一可信计算单元所属的第一可信计算集群，所述第一可信计算集群中的每个可信计算单元均维护有所述第一集群秘钥；

将所述第一加密秘钥传递给所述第一可信计算集群中的第二可信计算单元，以使得所述第二可信计算单元根据其维持的第一集群秘钥对所述第一加密秘钥进行解密以得到所述第一会话秘钥，从而基于所述第一会话秘钥而加入到所述第一可信通道中。

5.根据权利要求4所述的方法，还包括，

响应于所述第一可信计算单元针对所述第一可信通道的标识请求消息，为所述第一可信通道分配第一会话标识；

将所述第一可信计算单元添加到与所述第一会话标识对应的第一可信计算单元列表。

6.根据权利要求5所述的方法，其中所述第一通知还包括所述第一会话标识，所述方法还包括：

将所述第一会话标识传递给所述第二可信计算单元；以及

将所述第二可信计算单元添加到所述第一可信计算单元列表中。

7.根据权利要求4所述的方法，其中确定所述第一可信计算单元所属的第一可信计算集群包括，

利用维护的集群信息表，确定所述第一可信计算单元所属的第一可信计算集群，以及所述第一可信计算集群中包含的各个可信计算单元。

8.根据权利要求4所述的方法，还包括：

将所述第一加密秘钥传递给所述第一可信计算集群中的第三可信计算单元，以使得所述第三可信计算单元根据其维持的第一集群秘钥对所述第一加密秘钥进行解密以得到所述第一会话秘钥，从而基于所述第一会话秘钥而加入到所述第一可信通道中。