可信计算是一种信息系统安全新技术,提供数据完整性、安全存储、平台身份证明等可信功能,从终端入手解决信息安全问题。用户获取可信功能必须通过平台的授权认证,因此授权认证是实现平台可信的一个关键环节。委托授权是在角色备份、权限分离等需求下提出的一种新的授权方式,某个角色将其拥有的部分或全部权限授予另一个角色,使后者能代表前者执行一些功能。可信计算组织TCG制订的TPM规范支持委托授权机制,其中存在委托信息的时效性不能得到有效验证的问题,委托相关的授权协议也存在委托信息替换等安全问题。本文针对这些问题,研究委托授权的相关机理,改进TCG规范定义的委托机制,提高TPM对委托的可控性以及委托机制的安全性。所做工作主要有以下三个方面:第一,设计一个授权数据及其权限列表集中管理委托的授权数据和对应的权限,给出由TPM操作和维护列表的方法,改变了TCG委托机制对委托信息的外部分散存储方式,可有效验证委托信息的时效性。第二,将Merkle哈希树应用于对委托信息的集中管理,给出由平台主机配合TPM操作和维护哈希树的方法,既可解决委托信息的时效性验证问题,又不受限于TPM有限的存储空间和运算能力。第三,针对TCG委托相关授权协议中存在的缺乏数据机密性保护、委托信息替换、交互双方对会话状态认知不一致等问题,通过引入对称加密算法、结合对实体和对功能的授权认证、建立会话状态的沟通机制等方法改进了委托授权协议。在Linux系统中搭建了实验环境,基于TPM仿真模块和软件栈实例编程实现其核心功能,在此基础上编写委托相关的功能和服务接口,实现了本文改进的委托授权机制,验证了方案的可行性。在今后的工作中将继续改进委托授权机制,开展进一步的实验和测试工作,在满足功能需求和安全性要求的前提下,优化其性能。