[发明专利]在用户和可信计算集群之间建立可信通道的方法、装置、存储介质及计算设备

说明书

本说明书实施例提供一种在用户与可信计算集群之间建立可信通道的方法和装置。根据以上方法，当用户想要与可信计算集群建立可信通道时，用户仅需要与该集群中的任意的第一可信计算单元协商出会话秘钥，建立可信通道。然后，第一可信计算单元利用所属的可信计算集群共同的集群秘钥，对该会话秘钥进行加密，并发送给集群管理器。集群管理器将加密的会话秘钥在可信计算集群中传播，从而使得集群中的其他可信计算单元获取到会话秘钥，加入到该可信通道。于是，用户与整个可信计算集群建立起可信通道。

技术领域

本说明书一个或多个实施例涉及安全计算领域，尤其与可信计算集群建立可信通道的方法和装置。

背景技术

为了计算和数据传输的安全，常常使用可信计算单元进行可信计算和数据处理。其中可信计算单元可以保证其中的代码执行是安全的，外界包括操作系统或驱动等都无法获取内部的运行时内存等秘密。

在用户设备与可信计算单元交换要处理的数据之前，通常首先通过协商得到一个共同的加密秘钥，该秘钥除了通信的双方，其他任何人都不可能破解。双方之间的数据发送均通过该协商得出的秘钥来进行加密，如此，我们称为，用户设备与可信计算单元建立了可信通道，可以在该可信通道上安全传输保密数据。

在许多情况下，用户设备需要与可信计算平台中的多个可信计算单元进行通信。为此，用户设备往往需要与这些可信计算单元分别进行秘钥协商，分别单独建立可信通道。当可信平台中的可信计算单元数目增多，数量庞大时，用户接入会变得复杂繁琐，成本高昂。

因此，希望能有改进的方案，安全有效，且快速便捷地在用户与可信计算平台之间建立可信通道。

发明内容

本说明书一个或多个实施例描述了建立和重建可信通道的方法及装置，从而使得用户可以与整个可信计算集群，简单又安全地建立可信通道。

根据第一方面，提供了一种在用户和可信计算集群之间建立可信通道的方法，所述方法通过第一可信计算单元执行，所述第一可信计算单元归属于预先建立的第一可信计算集群，所述第一可信计算集群中的每个可信计算单元均维护有共同的第一集群秘钥，所述第一可信计算单元预先向集群管理器注册有所归属的所述第一可信计算集群的信息，所述方法包括：

与用户协商出第一会话秘钥，并建立与所述用户的第一可信通道，所述第一会话秘钥用于对通过所述第一可信通道传输的数据进行加密；

利用所述第一集群秘钥对所述第一会话秘钥进行加密，得到第一加密秘钥；

向所述集群管理器发出第一通知，其中包含所述第一加密秘钥，以使得所述集群管理器将所述第一加密秘钥传递给所述第一可信计算集群中的其他可信计算单元。

根据一个实施例，通过以下方式与用户协商出第一会话秘钥：

将本地的第一公钥和第一私钥所构成的秘钥对中的第一公钥发送给所述用户，并获取用户提供的用户公钥；基于所述第一公钥，第一私钥和所述用户公钥，生成第一会话秘钥。

在一个实施例中，在向所述集群管理器发出第一通知之前，方法还包括：

向所述集群管理器发送针对第一可信通道的标识请求消息；

获取所述集群管理器为所述第一可信通道分配的第一会话标识；

将所述第一会话标识包含在所述第一通知中。

根据第二方面，提供一种在用户和可信计算集群之间建立可信通道的方法，所述方法通过集群管理器执行，所述集群管理器用于管理至少一个预先建立的可信计算集群，所述方法包括：

从第一可信计算单元接收第一通知，所述第一通知中包括第一加密秘钥，所述第一加密秘钥是利用第一集群秘钥对第一会话秘钥进行加密而得到，所述第一会话秘钥是所述第一可信计算单元与用户建立的第一可信通道所对应的数据加密秘钥；