CN102594558B - 一种可信计算环境的匿名数字证书系统及验证方法 - Google Patents

Abstract

一种可信计算环境的匿名数字证书系统及验证方法，属于通讯安全技术领域，本发明提出了面向可信计算环境的匿名数字证书系统，该系统采用公钥基础设施PKI(Public Key Infrastructure)体系架构，实体包括隐私CA服务器、远程验证服务器和可信平台客户端，在匿名数字证书系统中，证书(AIK(Attestation Identity Key)证书)的格式满足X509.V3规范且具有匿名性，一方面增强了系统的可扩展性，另一方面保障了可信平台客户端的隐私性，同时本系统还具备良好的跨平台特性。

Description

一种可信计算环境的匿名数字证书系统及验证方法

技术领域

本发明属于通讯安全技术领域，特别涉及一种可信计算环境的匿名数字证书系统及验证方法。

背景技术

随着电子技术与网络技术的不断发展，人们对网络的依赖性越来越强，特别是通信技术已经成为人们生活中不可或缺的一部分，网络与信息安全也随着技术的发展而日益受到广泛的关注，为确保计算终端安全性可信计算组织(Trusted Computing Group，TCG)提出了可信计算的概念，并制定了相关的标准用于保障计算平台的安全性。在可信计算环境中为验证一个平台是否可信，平台需要出示其身份凭证，若使用传统认证方法，即要平台提交其平台真实身份信息，这样会使得平台用户的隐私性遭到破坏，进而导致针对用户身份信息的统计攻击，同时对于一些带有公正性，商业机密性的应用，例如电子现金、电子投票、电子选举、匿名通信等，变得不再可行。为此TCG提出了两种方法解决隐私性问题，一是直接匿名认证方法，但该方法基于多种密码学原型且较为复杂不易部署实现；二是基于隐私CA(PrivacyCertification Authority)的认证，该方案虽然可以很好解决隐私性问题，但目前仍未有可用的商业模型且整体架构存在性能问题。

发明内容

针对现有方法存在的不足，本发明提出一种可信计算环境的匿名数字证书系统及验证方法。

本发明的技术方案是这样实现的：一种可信计算环境的匿名数字证书系统，包括可信平台客户端、远程验证服务器和隐私CA服务器，其中，可信平台客户端由可信平台模块TPM和证明系统模块组成，所述的可信平台模块TPM不能直接与外界实体进行交互，由证明系统模块实现与外界实体间的交互，方法为：所述的证明系统模块协助可信平台模块TPM向隐私CA服务器申请AIK证书，利用获得的AIK证书向远程验证服务器证明客户端所在的平台为可信平台；

所述的可信计算环境是指：在该环境下，所有的设备都嵌入了可信平台模块TPM，并且所有设备的软硬件都遵循可信计算组织提出的标准；

所述的AIK证书为证明身份密钥证书（Attestation Identity Key），由隐私CA服务器为可信平台客户端颁发，可信平台客户端可以使用该证书向远程验证服务器证明其平台的可信性，即AIK证书让可信平台客户端向远程验证服务器证明其拥有可信平台模块TPM，平台的可信性由可信平台模块TPM来保证；

所述的远程验证服务器用于验证用户平台的AIK证书，为通过验证的可信平台客户端提供服务；

所述的隐私CA服务器（Certification Authority,CA，证书管理机构）用于认证可信平台客户端的平台信息，为合法用户颁发AIK证书，负责证书颁发后的证书管理，包括证书的查找及撤销；

采用可信计算环境的匿名数字证书系统的验证方法，包括以下步骤：

步骤1：可信平台客户端向隐私CA服务器进行证书申请，包括以下步骤：

步骤1-1：证明系统模块发出创建AIK密钥对的命令给可信平台模块TPM；

可信平台客户端提供创建AIK密钥对的授权数据给证明系统模块，所述的授权数据是指使用所述AIK密钥对的口令，证明系统模块根据所述的授权数据来调用可信平台模块TPM所支持的创建密钥命令，所述密钥命令的作用是让可信平台模块TPM生成一个新的AIK密钥对，并将产生的新的AIK密钥对发送给可信平台模块TPM；

步骤1-2：可信平台模块TPM返回AIK公钥给证明系统模块；

可信平台模块TPM接收到证明系统模块发送过来的用于创建AIK密钥对的命令后执行该命令：首先，可信平台模块TPM用于验证创建AIK密钥对的密码学参数，是否符合可信平台模块TPM的规范(Trusted Platform Module Main Specification)，如果符合规范，则创建AIK密钥对，并用已创建的AIK私钥对其标识符(Identity,ID)ID值及隐私CA的公钥进行签名，然后可信平台模块TPM将创建好的AIK公钥跟由该AIK私钥签名得到的签名值发送给证明系统模块；

所述的密码学参数包括：密钥的长度和类型；

步骤1-3：证明系统模块将AIK公钥和可信平台模块TPM相关证书发送给隐私CA服务器；

证明系统模块从可信平台模块TPM处接收到AIK公钥和签名值之后，首先读取证书信息，所述的证书包括：背书证书EC(Endorsement Credential,EC)，平台证书PC(Platform Credential,PC)和一致性证书CC(Consistency Credential,CC)，所述证书已由可信平台模块TPM制造厂商提供；将上述证书连同AIK公钥、标识符ID值和由AIK私钥签名得到的签名值一齐打包成一个响应数据包，证明系统模块用隐私CA服务器的公钥将该响应数据包进行加密，再将加密后的结果发送给隐私CA服务器；

步骤2：隐私CA服务器向可信平台客户端颁发证书；

步骤2-1：隐私CA服务器颁发AIK证书;

隐私CA服务器接收到可信平台客户端的AIK证书申请后，首先，隐私CA服务器验证背书证书EC、平台证书PC和一致性证书CC的有效性；其次，隐私CA服务器利用AIK公钥验证由AIK私钥签名得到的签名值的有效性，如验证通过，则隐私CA服务器生成关于该AIK公钥的AIK证书，所述AIK证书的格式遵循X509.V3标准，其中的标志符ID为伪名，用于保障可信平台隐私性；

最后，隐私CA服务器创建一个对称加密密钥K，隐私CA服务器用对称密钥K加密其所签发的AIK证书；然后隐私CA服务器用可信平台模块TPM的EK公钥将对称密钥K进行加密，其中，所述的EK公钥来至于EK证书；

隐私CA服务器将用对称密钥K加密AIK证书得到的加密结果和用EK公钥加密对称密钥K得到的加密结果发送给证明系统模块；

步骤2-2：证明系统模块向可信平台模块TPM发出解密请求；

证明系统模块接收到来自隐私CA服务器的加密结果后，对加密结果进行解密，由于背书密钥EK的私钥由可信平台模块TPM持有，因此证明系统模块向可信平台模块TPM发出解密请求，让可信平台模块TPM加载对应的EK私钥对由其EK公钥加密的数据块进行解密；

步骤2-3：可信平台模块TPM返回解密值给证明系统模块；

可信平台模块TPM使用背书密钥EK的私钥进行解密得到对称密钥K，然后可信平台模块TPM将对称密钥K返回给证明系统模块，证明系统模块得到对称密钥K，用其解密得到AIK证书，并保存在其非易失性存储区内，最终可信平台客户端获得了一个有效的AIK证书；

步骤3：远程验证服务器远程证明可信平台客户端的安全性，并为可信平台客户端提供远程服务；

步骤3-1：远程验证服务器发起远程证明请求给可信平台客户端；

远程验证端服务器一方面对请求服务的可信平台客户端平台配置信息进行安全性需求校验；另一方面要验证该平台是否为可信平台，因此远程验证端服务器向可信平台客户端发起远程证明请求，所述远程证明请求的内容包括：平台配置信息对应的PCR(PlatformConfiguration Register,PCR)序号、对PCR值的签名以及AIK证书；

步骤3-2：证明系统模块发出远程证明命令给可信平台模块TPM；

证明系统模块收到远程验证服务器的远程证明请求，由于平台配置信息的摘要值存放在可信平台模块TPM内部的PCR寄存器内，因此证明系统模块需要对可信平台模块TPM发起请求，将指定的PCR寄存器序号作为参数发送给可信平台模块TPM；

步骤3-3：可信平台模块TPM返回证明值给证明系统模块；

可信平台模块TPM将远程验证服务器指定的PCR寄存器序号以及可信平台模块TPM的版本号信息打包成一个数据包，再用AIK私钥对所述数据包进行签名，表明所述数据包是由可信平台模块TPM生成，然后可信平台模块TPM将以下2种信息返回给证明系统模块，所述的2种信息是指：一种是对数据包进行签名后的值；另一种是可信平台模块TPM根据PCR寄存器序号，返回对应序号的PCR寄存器所存储的值；

步骤3-4：证明系统模块返回签名值及平台配置信息给远程验证服务器；

证明系统模块将AIK证书、可信平台模块TPM签名值及PCR寄存器中所存储的值作为远程证明请求，发送给远程验证服务器；

步骤3-5：远程验证服务器向隐私CA服务器查询可信平台客户端提供的AIK证书的有效性；

远程验证服务器收到来自可信平台客户端的证明信息，首先验证的AIK证书是否为有效的证书，将AIK证书发送给隐私CA来校验其有效性；

步骤3-6：隐私CA服务器返回查询结果给远程验证服务器；

隐私CA服务器根据远程验证服务器提交的AIK证书信息确定证书状态，将证书状态返回给远程验证服务器；

步骤3-7：远程验证服务器验证远程证明请求的有效性；

若AIK证书无效，则远程验证服务器不提供远程服务给可信平台客户端；若AIK证书有效，则远程验证服务器用AIK公钥验证签名的有效性，并以PCR寄存器中所存储的值来判断该可信平台客户端的配置信息是否满足其安全性需求，如果满足远程验证服务器的安全需求，则远程验证服务器确信该可信平台的可信性及安全性，并为该可信平台客户端提供服务。

本发明优点：为解决可信计算环境中的平台身份认证与用户隐私性的保护之间的矛盾关系，本发明提出了面向可信计算环境的匿名数字证书系统，该系统采用公钥基础设施PKI(Public Key Infrastructure)体系架构，实体包括隐私CA服务器、远程验证服务器和可信平台客户端，在匿名数字证书系统中，证书(AIK(Attestation Identity Key)证书)的格式满足X509.V3规范且具有匿名性，一方面增强了系统的可扩展性，另一方面保障了可信平台客户端的隐私性，同时本系统还具备良好的跨平台特性。

附图说明

图1为本发明可信计算环境的匿名数字证书系统示意图；

图2为本发明可信计算环境的匿名数字证书验证方法的总流程图；

图3为本发明可信计算环境的匿名数字证书验证方法的可信平台客户端证书申请流程图；

图4为本发明可信计算环境的匿名数字证书验证方法的证书颁发流程图；

图5为本发明可信计算环境的匿名数字证书验证方法的远程证明流程图。

具体实施方式

下面结合附图和实施例对本发明作进一步详细说明。

本实施例的可信计算环境的匿名数字证书系统，如图1所示，包括：包括可信平台客户端、远程验证服务器和隐私CA服务器,本实施例中，可信平台客户端主机型号为联想ThinkCentre M55p Tower，配备可信平台模块TPM型号为Infineon1.2，远程验证服务器和隐私CA服务器的型号均为戴尔OptiPlex360Mini Tower，网络环境为校园级网络环境。

所述的可信平台客户端、远程验证服务器和隐私CA服务器彼此之间通过校园局域网网络连接；

所述的可信平台客户端与远程验证服务器、可信平台客户端与隐私CA服务器的通信均使用SOCKET实现。

本实施例采用可信计算环境的匿名数字证书系统的验证方法，如图2所示，包括以下步骤：

步骤1：可信平台客户端向隐私CA服务器进行证书申请；

可信平台模块TPM需要通过身份认证密钥AIK以及AIK证书来进行远程证明，因此在该功能模块中，可信平台客户端需要向隐私CA服务器请求AIK证书，请求证书过程如图3所示；

步骤S201：证明系统模块向可信平台模块TPM发出创建AIK密钥对命令；

为向远程验证服务器提供证明客户端平台的可信性，可信平台客户端需要使用证明身份密钥AIK证书来证明平台的可信性，因此可信平台客户端需要创建AIK密钥对，AIK密钥对由可信平台模块TPM创建并进行安全存储：首先证明系统模块设置一个AIK密钥对的授权数据（口令）A_AIK，并将该授权数据A_AIK、AIK密钥对的参数par_AIK（包括密钥的长度及类型）、隐私CA的公钥PK_PCA以及创建AIK密钥对指令TPM_MakeIdentity，发送给可信平台模块TPM，所发送消息的格式为：MSG＝(TPM_MakeIdentity||A_AIK||par_AIK||PK_PCA)；

步骤S202：可信平台模块TPM返回AIK公钥及AIK签名值；可信平台模块TPM接收到证明系统模块的消息MSG后，首先可信平台模块TPM根据用于创建AIK密钥对的参数par_AIK以及授权数据A_AIK创建证明身份密钥AIK密钥对；然后用创建的AIK私钥生成签名σ_AIK←Sign_AIK(hash(ID_AIK,PK_PCA))，上述式子表示用AIK密钥来对括号里的内容进行签名操作，生成σ_AIK签名值，其中Sign_AIK表示AIK私钥的签名算法，hash表示哈希函数，ID_AIK表示AIK密钥对的标识。可信平台模块TPM将创建好的AIK公钥PK_AIK、AIK公钥标识ID_AIK以及签名值σ_AIK发送给证明系统模块，所发送的消息格式为：MSG＝(σ_AIK||ID_AIK||PK_AIK)。

步骤S203：证明系统模块将AIK公钥和可信平台模块TPM的证书发送给隐私CA服务器；

证明系统模块收到来至可信平台模块TPM的信息后，用AIK公钥PK_AIK校验签名的有效性，然后进行两步操作：首先收集证书，包括背书证书EC，平台证书PC，一致性证书CC，将这三个证书打包成cred＝(EC,PC,CC)；其次将证书集合cred、AIK公钥PK_AIK、AIK的标识信息ID_AIK和AIK签名值σ_AIK组成响应数据包RESP＝(cred,PK_AIK,ID_AIK,σ_AIK)，然后用隐私CA服务器的公钥PK_CA将响应数据包RESP进行加密其中表示用PK_pca密钥来加密响应数据包RESP的encrypt算法，证明系统模块将加密的结果发送给隐私CA服务器，发发送的含有加密结果的消息格式如下：

步骤2：隐私CA服务器向可信平台客户端颁发证书；

隐私CA服务器在收到来自可信平台客户端的AIK证书请求信息后，对签名进行验证，如果通过，则为可信平台客户端颁发AIK证书，证书颁发模块流程图如图4所示；

步骤S301：隐私CA服务器颁发AIK证书；

隐私CA服务器接收到证明系统模块发送的加密信息并用其私钥SK_CA解密得到RESP＝(cred,PK_AIK,ID_AIK,σ_AIK)，并作如下处理：首先隐私CA服务器验证背书证书EC，平台证书PC，一致性证书CC的有效性，以上三个证书放在cred证书集中；其次隐私CA服务器利用AIK公钥PK_AIK验证签名值σ_AIK的有效性，如果以上验证通过，那么隐私CA服务器就为用户颁发AIK证书cert_AIK，该证书为伪名（pseudonym）证书，目的是保证可信平台客户端的隐私性。

为确保机密性，隐私CA服务器创建对称密钥K，用对称密钥K加密其所签发的AIK证书cert_AIK得到加密结果Enc_K(RESP_PCA)，表示用EK公钥对隐私CA服务器的响应数据进行加密；然后隐私CA服务器用EK证书中的EK公钥将K与PK_AIK的哈希值加密得到RESP_pca←(K,hash(PK_AIK))，上式为隐私CA的响应数据，包括对称密钥K以及AIK公钥PKaik的哈希值；最后隐私CA服务器将用对称密钥K加密AIK证书的结果 Enc_K(cert_AIK)和用EK公钥加密的结果作为响应返回给证明系统模块，所保护的结果消息格式为：

MSG＝(Enc_EK(RESP_PCA)||Enc_K(cert_AIK))；

步骤S302：证明系统模块向可信平台模块TPM发出解密请求；

证明系统模块接收到来自隐私CA服务器的响应之后，为了从加密块Enc_K(RESP_PCA)中获得AIK证书，需要用对称密钥K对Enc_K(RESP_PCA)进行解密。由于对称密钥K是被可信平台模块TPM的EK公钥进行加密的，因此需要用EK私钥对其解密才能获得对称密钥K，EK的私钥存放在可信平台模块TPM内部，这样就需要可信平台模块TPM来对加密块进行解密，证明系统模块将AIK公钥PK_AIK、加密块Enc_EK(RESP_PCA)、AIK对应的授权数据A_AIK及解密指令TPM_ActivateIdentity发送可信平台模块TPM,发送的消息格式为：

MSG＝(TPM_ActivateIdentity||A_AIK||PK_AIK||Enc_EK(RESP_PCA))

步骤S303：可信平台模块TPM将解密后的对称密钥发送给证明系统模块；

可信平台模块TPM执行解密命令，可信平台模块TPM使用EK的私钥对Enc_EK(RESP_PCA)进行解密得到对称密钥K，并验证哈希值hash(PK_AIK)是否正确，如果验证通过就将对称密钥K返回给证明系统模块，证明系统模块用得到的对称密钥K对密文Enc_K(cert_AIK)解密，得到AIK证书cert_AIK，将其保存在本地非易失性存储区内；

步骤3：可信平台客户端远程证明可信平台客户端的安全性，并为可信平台客户端提供远程服务；

当远程验证服务器在为可信平台提供远程服务之前，需要校验该平台的可信性及安全性，首先验证可信平台模块TPM的AIK证书的有效性，即保证该平台的可信性，其次根据该平台提供的平台配置寄存器PCR值来验证用户平台的安全性，远程证明流程图如图5所示；

步骤S401：远程验证端服务器发起远程证明请求；

当可信平台向远程服务提供者请求服务时，远程验证服务器需要对平台的可信性及安全性进行验证。为了对平台的安全性进行验证，远程验证服务器对可信平台客户端发起平台配置信息请求，因为可信平台全部配置信息的摘要值存放在可信平台模块TPM内部24个PCR寄存器中，所以在请求时需要指明PCR寄存器值的索引号S_PCR，并将该索引号发送给证明系统模块，所发送消息的格式为：MSG＝(S_PCR)；

步骤S402：证明系统模块发出远程证明命令；

证明系统模块得到请求的平台配置寄存器索引号S_PCR，因为PCR寄存器以及AIK私钥由可信平台模块TPM管理，因此证明系统模块将平台配置寄存器索引号S_PCR、AIK密钥授权数据A_AIK以及远程证明指令TPM_Quote发送给可信平台模块TPM，所发送的消息格式为：MSG＝(S_PCR||A_AIK)；

步骤S403：可信平台模块TPM返回证明值；

可信平台模块TPM收到命令后，利用授权数据A_AIK获得AIK的私钥SK_AIK，并从其内部平台配置寄存器PCR中，读取S_PCR对应的PCR值；然后利用AIK私钥SK_AIK对读取的PCR值进行签名，即将签名值以及读取的PCR值发送给证明系统模块，所发送的消息格式为：MSG＝(PCR[S_PCR]||σ_TPM)。

步骤S404：证明系统模块发送证明值到远程验证服务器；

证明系统模块从非易失性存储区中读取证明身份密钥AIK证书cert_AIK，然后将cert_AIK、可信平台模块TPM签名值σ_TPM、信平台配置寄存器PCR值PCR[S_PCR]和为可信平台远程证明发送给远程验证服务器，所发送的消息格式为：MSG＝(cert_AIK||PCR[S_PCR]||σ_TPM)；

步骤S405：远程验证服务器查询AIK证书的有效性；

远程验证服务器收到来自可信平台客户端的远程证明，首先需要验证证明身份密钥AIK证书的有效性，其有效性能证明客户端平台确实拥有一个真实的可信平台模块TPM，由于AIK证书cert_AIK由隐私CA服务器颁发，因此远程验证服务器将该证书cert_AIK发送给隐私CA服务器，MSG＝(cert_AIK)。

步骤S406：隐私CA服务器返回证书查询结果；

隐私CA服务器根据远程验证端服务器提交的AIK证书cert_AIK的主体信息在证书服务器查询得到相关的证书状态结果State_AIK，将结果State_AIK返回给远程验证端服务器，所返回消息的格式为：MSG＝(State_AIK)；

步骤S407：远程验证服务器验证远程证明的有效性；

若AIK证书有效，首先远程验证服务器用AIK证书cert_AIK中的公钥校验可信平台模块TPM的签名σ_TPM有效性；其次远程验证服务器通过PCR[S_PCR]判断该可信平台客户端的平台配置信息是否满足远程验证服务器的平台配置安全需求，如果满足远程验证服务器的安全需求，如果通过了以上的验证，则远程验证服务器确信该可信平台的可信性及安全性，并为该可信平台客户端提供服务。

Claims (1)

1.一种可信计算环境的匿名数字证书系统的验证方法，采用可信计算环境的匿名数字证书系统，该系统包括可信平台客户端、远程验证服务器和隐私CA服务器，其中，可信平台客户端由可信平台模块TPM和证明系统模块组成；其连接关系为：可信平台客户端、远程验证服务器和隐私CA服务器彼此通过网线连接；

所述的远程验证服务器用于验证用户平台的AIK证书，为通过验证的可信平台客户端提供服务；

所述的隐私CA服务器用于认证可信平台客户端的平台信息，为合法用户颁发AIK证书，负责证书颁发后的证书管理，包括证书的查找及撤销；

所述的可信平台模块TPM不能直接与外界实体进行交互，由证明系统模块实现与外界实体间的交互，即由所述的证明系统模块协助可信平台模块TPM向隐私CA服务器申请AIK证书，利用获得的AIK证书向远程验证服务器证明客户端所在的平台为可信平台；

其特征在于：包括以下步骤：

步骤1：可信平台客户端向隐私CA服务器进行证书申请：

步骤1-1：证明系统模块发出创建AIK密钥对的命令给可信平台模块TPM；

可信平台客户端提供创建AIK密钥对的授权数据给证明系统模块，所述的授权数据是指使用所述AIK密钥对的口令，证明系统模块根据所述的授权数据来调用可信平台模块TPM所支持的创建密钥命令，所述密钥命令的作用是让可信平台模块TPM生成一个新的AIK密钥对，并将产生的新的AIK密钥对发送给可信平台模块TPM；

步骤1-2：可信平台模块TPM返回AIK公钥给证明系统模块；

可信平台模块TPM接收到证明系统模块发送过来的用于创建AIK密钥对的命令后执行该命令：首先，可信平台模块TPM用于验证创建AIK密钥对的密码学参数，是否符合可信平台模块TPM的规范，如果符合规范，则创建AIK密钥对，并用已创建的AIK私钥对其标识符ID值及隐私CA的公钥进行签名，然后可信平台模块TPM将创建好的AIK公钥跟由该AIK私钥签名得到的签名值发送给证明系统模块；

所述的密码学参数包括：密钥的长度和类型；

步骤1-3：证明系统模块将AIK公钥和可信平台模块TPM相关证书发送给隐私CA服务器；

证明系统模块从可信平台模块TPM处接收到AIK公钥和签名值之后，首先读取证书信息，所述的证书包括：背书证书EC，平台证书PC和一致性证书CC，所述证书已由可信平台模块TPM制造厂商提供；将上述证书连同AIK公钥、标识符ID值和由AIK私钥签名得到的签名值一齐打包成一个响应数据包，证明系统模块用隐私CA服务器的公钥将该响应数据包进行加密，再将加密后的结果发送给隐私CA服务器；

步骤2：隐私CA服务器向可信平台客户端颁发证书；

步骤2-1：隐私CA服务器颁发AIK证书；

隐私CA服务器接收到可信平台客户端的AIK证书申请后，首先，隐私CA服务器验证背书证书EC、平台证书PC和一致性证书CC的有效性；其次，隐私CA服务器利用AIK公钥验证由AIK私钥签名得到的签名值的有效性，若验证通过，则隐私CA服务器生成关于该AIK公钥的AIK证书，所述AIK证书的格式遵循X509.V3标准，其中的标志符ID为伪名，用于保障可信平台隐私性；

最后，隐私CA服务器创建一个对称密钥K，隐私CA服务器用对称密钥K加密其所签发的AIK证书；然后隐私CA服务器用可信平台模块TPM的EK公钥将对称密钥K进行加密，其中，所述的EK公钥来至于EK证书；

隐私CA服务器将用对称密钥K加密AIK证书得到的加密结果和用EK公钥加密对称密钥K得到的加密结果发送给证明系统模块；

步骤2-2：证明系统模块向可信平台模块TPM发出解密请求；

证明系统模块接收到来自隐私CA服务器的加密结果后，对加密结果进行解密，由于背书密钥EK的私钥由可信平台模块TPM持有，因此证明系统模块向可信平台模块TPM发出解密请求，让可信平台模块TPM加载对应的EK私钥对由其EK公钥加密的数据块进行解密；

步骤2-3：可信平台模块TPM返回解密值给证明系统模块；

可信平台模块TPM使用背书密钥EK的私钥进行解密得到对称密钥K，然后可信平台模块TPM将对称密钥K返回给证明系统模块，证明系统模块得到对称密钥K，用其解密得到AIK证书，并保存在其非易失性存储区内，最终可信平台客户端获得了一个有效的AIK证书；

步骤3：远程验证服务器远程证明可信平台客户端的安全性，并为可信平台客户端提供远程服务；

步骤3-1：远程验证服务器发起远程证明请求给可信平台客户端；

远程验证服务器一方面对请求服务的可信平台客户端平台配置信息进行安全性需求校验；另一方面要验证该平台是否为可信平台，因此远程验证服务器向可信平台客户端发起远程证明请求，所述远程证明请求的内容包括：平台配置信息对应的平台配置寄存器PCR序号、对PCR值的签名以及AIK证书；

步骤3-2：证明系统模块发出远程证明命令给可信平台模块TPM；

证明系统模块收到远程验证服务器的远程证明请求，由于平台配置信息的摘要值存放在可信平台模块TPM内部的PCR寄存器内，因此证明系统模块需要对可信平台模块TPM发起请求，将指定的PCR寄存器序号作为参数发送给可信平台模块TPM；

步骤3-3：可信平台模块TPM返回证明值给证明系统模块；

可信平台模块TPM将远程验证服务器指定的PCR寄存器序号以及可信平台模块TPM的版本号信息打包成一个数据包，再用AIK私钥对所述数据包进行签名，表明所述数据包是由可信平台模块TPM生成，然后可信平台模块TPM将以下2种证明值返回给证明系统模块，所述的2种证明值是指：一种是对数据包进行签名后的值；另一种是可信平台模块TPM根据PCR寄存器序号，返回对应序号的PCR寄存器所存储的值；

步骤3-4：证明系统模块返回签名值及平台配置信息给远程验证服务器；

证明系统模块将AIK证书、可信平台模块TPM签名值及PCR寄存器中所存储的值作为远程证明请求，发送给远程验证服务器；

步骤3-5：远程验证服务器向隐私CA服务器查询可信平台客户端提供的AIK证书的有效性；

远程验证服务器收到来自可信平台客户端的证明值，首先验证的AIK证书是否为有效的证书，将AIK证书发送给隐私CA来校验其有效性；

步骤3-6：隐私CA服务器返回查询结果给远程验证服务器；

隐私CA服务器根据远程验证服务器提交的AIK证书信息确定证书状态，将证书状态返回给远程验证服务器；

步骤3-7：远程验证服务器验证远程证明请求的有效性；

若AIK证书无效，则远程验证服务器不提供远程服务给可信平台客户端；若AIK证书有效，则远程验证服务器用AIK公钥验证签名的有效性，并以PCR寄存器中所存储的值来判断该可信平台客户端的配置信息是否满足其安全性需求，如果满足远程验证服务器的安全需求，则远程验证服务器确信该可信平台的可信性及安全性，并为该可信平台客户端提供服务。