CN112804203B - 互联网节点的认证方法、装置及相关产品 - Google Patents
互联网节点的认证方法、装置及相关产品 Download PDFInfo
- Publication number
- CN112804203B CN112804203B CN202011615075.2A CN202011615075A CN112804203B CN 112804203 B CN112804203 B CN 112804203B CN 202011615075 A CN202011615075 A CN 202011615075A CN 112804203 B CN112804203 B CN 112804203B
- Authority
- CN
- China
- Prior art keywords
- internet
- node
- trust
- internet node
- nodes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/04—Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Technology Law (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例提供的互联网节点的认证方法、装置及相关产品,通过互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态,互联网节点包括区块链节点;互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态;根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。从而简化了区块链节点的认证过程,提高了区块链节点的认证效率。
Description
技术领域
本申请涉及区块链技术领域,特别是涉及一种互联网节点的认证方法、装置及相关产品。
背景技术
区块链系统(本质上是大数据系统)是分布式数据存储系统、点对点传输、共识机制、加密算法等技术的集成应用模式,能够在互联网上实现传统互联网无法实现的信任和价值传递。区块链系统包括若干个区块链节点,由于区块链系统是去中心化的系统,如果保证区块链系统的正常且安全的运行,必须对区块链节点(本质上是互联网节点)进行认证,只有区块链节点的状态是认证通过的,这些区块链节点才可以参与运行。但是,现有技术中,这种认证的过程比较复杂,导致认证的效率较低,极大的影响了区块链系统的运行。
发明内容
基于上述问题,本申请实施例提供了一种互联网节点的认证方法、装置及相关产品。
第一方面,本申请实施例提供了一种互联网节点的认证方法,包括:
互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态,互联网节点包括区块链节点;
互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态;
根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
可选地,在一种具体地实施方式中,互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态之前,包括:互联网节点基于设置的统一接口将互联网节点的底层硬件资源隐藏在互联网节点内部,以对TPMs不可见。
可选地,在一种具体地实施方式中,互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态之前,包括:互联网节点基于设置的统一接口,只向应用程序公开虚拟资源。
可选地,在一种具体地实施方式中,互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态之前,包括:互联网节点基于设置的统一接口,只向应用程序公开虚拟资源的统一视图和抽象。
可选地,在一种具体地实施方式中,互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态,包括:基于单独设置的应用程序信任根,互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态。
可选地,在一种具体地实施方式中,根据行为可信状态以及应用程序可信状态,对互联网节点进行认证,包括:基于设置的抽象去中心化信任根,根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
可选地,在一种具体地实施方式中,根据行为可信状态以及应用程序可信状态,对互联网节点进行认证,之后包括:基于互联网节点与其他互联网节点的内部交互模式对互联网节点之间的依赖关系进行认证。
第二方面,本申请实施例提供了一种互联网节点的认证装置,包括:
凭据生成单元,用于使互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态,互联网节点包括区块链节点;
关系确定单元,用于使互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态;
认证单元,用于根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
可选地,在一种具体地实施方式中,凭据生成单元进一步用于使互联网节点基于设置的统一接口将互联网节点的底层硬件资源隐藏在互联网节点内部,以对TPMs不可见。
可选地,在一种具体地实施方式中,凭据生成单元进一步用于使互联网节点基于设置的统一接口,只向应用程序公开虚拟资源。
可选地,在一种具体地实施方式中,凭据生成单元进一步用于使互联网节点基于设置的统一接口,只向应用程序公开虚拟资源的统一视图和抽象。
可选地,在一种具体地实施方式中,关系确定单元进一步用于基于单独设置的应用程序信任根,使互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态。
可选地,在一种具体地实施方式中,认证单元进一步用于基于设置的抽象去中心化信任根,根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
可选地,在一种具体地实施方式中,认证单元进一步用于基于互联网节点与其他互联网节点的内部交互模式对互联网节点之间的依赖关系进行认证。
第三方面,本申请实施例提供了一种区块链系统,包括:多个区块链节点,每个区块链节点上设置有互联网节点的认证装置,其包括:
凭据生成单元,用于使互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态,互联网节点包括区块链节点;
关系确定单元,用于使互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态;
认证单元,用于根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
第四方面,本申请实施例提供了一种电子设备,包括:存储器以及处理器,存储器上存储有计算机可执行指令,处理器用于执行计算机可执行指令以执行如下步骤:
互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态,互联网节点包括区块链节点;
互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态;
根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
第五方面,本申请实施例提供了一种计算机存储介质,计算机存储介质上存储有计算机可执行指令,计算机可执行指令被执行时实施如下步骤:
互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态,互联网节点包括区块链节点;
互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态;
根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
本申请实施例的技术方案中,通过互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态,互联网节点包括区块链节点;互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态;根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。从而简化了区块链节点的认证过程,提高了区块链节点的认证效率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种互联网节点的认证方法的流程示意图;
图2为本申请实施例提供的一种互联网节点的认证装置的示意图;
图3为本申请实施例提供的一种区块链系统的示意图;
图4为本申请实施例提供的一种电子设备的示意图;
图5为本申请实施例提供的一种电子设备的结构示意图;
图6为本申请实施例提供的一种计算机存储介质示意图。
具体实施方式
实施本申请实施例的任一技术方案必不一定需要同时达到以上的所有优点。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一、
请参阅图1,本申请实施例提供了一种互联网节点的认证方法,包括:
S101:互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态,互联网节点包括区块链节点;
可选地,本实施例中,多个互联网节点可以组成大数据系统,该大数据系统比如为区块链系统,该区块链系统比如为联盟链、私有链或者公有链;可选地,本实施例中,所述互联网节点包括区块链节点,所述区块链节点可以为区块链轻节点和区块链全节点。区块链全节点就是拥有全网所有的交易数据的节点,区块链轻节点就是只拥有和自己相关的交易数据节点。
可选地,本实施例中,TPMs即可信模块(Trusted Platform Modules),对于一个大数据系统来说,由于每个互联网节点上设置有TPMS,因此,这些互联网节点上的TPMs可以组成一个可信群组。
可选地,本实施例中,所述信任凭据用于反映互联网节点的可信程度,所述信任凭据主要从节点的行为角度反映所述互联网节点的可信状态或可信程度。
可选地,本实施例中,所述互联网节点的行为比如为记账、出块、共识、投票等。
可选地,在一种具体地实施方式中,互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态之前,包括:互联网节点基于设置的统一接口将互联网节点的底层硬件资源隐藏在互联网节点内部,以对TPMs不可见。
可选地,本实施例中,获取到硬件资源的接口函数,并基于屏蔽控制函数作为设置的统一接口对该接口函数的调用进行阻断,从而实现将底层硬件资源隐藏在所述互联网节点内部,以对所述TPMs不可见,从而弱化了底层硬件资源对应用程序的影响,使得TPMs计算出的所述互联网节点的应用程序可信状态更加可靠。
可选地,本实施例中,所述底层硬件资源包括但不限于主板、CPU、内存、显卡、声卡、光驱。
可选地,在一种具体地实施方式中,互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态之前,包括:互联网节点基于设置的统一接口,只向应用程序公开虚拟资源。
可选地,本实施例中,向所述应用程序公开虚拟资源使得虚拟资源对所述应用程序可见。
可选地,获取到虚拟资源的接口函数,并允许屏蔽控制函数作为设置的统一接口对该虚拟资源的接口函数进行调用,从而实现虚拟资源对应用程序可见,此处需要说明的是,所述虚拟资源包括与系统运行相关的可执行文件、应用程序,从而在识别所述互联网节点的应用程序可信状态时,可以准确地反映虚拟资源对应用程序的影响,并将这种影响直观地承载在所述应用程序可信状态上。
可选地,在一种具体地实施方式中,互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态之前,包括:互联网节点基于设置的统一接口,只向应用程序公开虚拟资源的统一视图和抽象。
可选地,本实施例中,向所述应用程序公开虚拟资源的统一视图和抽象使得虚拟资源的统一视图和抽象对所述应用程序可见。
可选地,获取到虚拟资源的视图和抽象接口函数,并允许屏蔽控制函数作为设置的统一接口对该虚拟资源的接口函数进行调用,从而实现虚拟资源的视图和抽象对应用程序可见,此处需要说明的是,所述虚拟资源包括与系统运行相关的可执行文件、应用程序,从而在识别所述互联网节点的应用程序可信状态时,可以准确地反映虚拟资源对应用程序的影响,并将这种影响直观地承载在所述应用程序可信状态上。
可选地,本实施例中,所述抽象比如包括基于统一资源池提供持续集成、持续部署的流水线、虚拟机、容器等虚拟化环境。
S102:互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态;
本实施例中,所述分散认证框架比如为dROT(Decentralized Root-of-Trust),即去中心化信任根框架,从而可以确定出一互联网节点与其他互联网节点之间的信任依赖关系,从而识别出所述互联网节点的应用程序可信状态。
本实施例中,每一个互联网节点上设置有所述分散认证框架,每个分散认证框架中存储于与其他互联网节点之间的信任依赖关系,通过互联网节点的信任依赖关系的传播,从而识别出互联网节点的应用程序可信状态。
可选地,在一种具体地实施方式中,互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态,包括:基于单独设置的应用程序信任根,互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态。
可选地,本实施例中,应用程序信任根(Application Root of Trust,简称ArOT,该AroT优选为硬件信任根,从而保证是完全可信地。
可选地,通过该应用程序信任根提供可信执行环境(TEE),供应用程序运行。另外,对应用程序的运行过程数据进行AES加密,再者,提供篡改防护机制保证应用程序不被篡改。为此,该AroT包括安全边界(security perimeter)组件,该安全边界组件定义了需要保护的应用程。具体地,该安全边界组件可以基于零信任构建,与安全无关的不可信应用程序全部位于位于安全边界外。
S103:根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
可选地,在一种具体地实施方式中,根据行为可信状态以及应用程序可信状态,对互联网节点进行认证,包括:基于设置的抽象去中心化信任根,根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
可选地,本实施例中,每个互联网节点上设置有抽象去中心化信任根,从而使得互联网节点之间可以基于各自的抽象去中心化信任根对对方互联网节点进行认证。
可选地,本实施例中,对于任一个互联网节点来说,其基于抽象去中心化信任根,根据与其他互联网节点的服务依赖关系导致的所述行为可信状态以及所述应用程序可信状态,对所述互联网节点进行认证,从而快速地对任一互联网节点进行认证。
可选地,本实施例中,所述服务依赖关系包括:直接依赖关系,间接依赖关系以及循环依赖关系等。
可选地,从故障容忍度的角度来看,服务之间的依赖关系又可以分为弱依赖与强依赖。如果某个服务无法正常提供服务,则依赖它的服务区无法正常执行下去,那么即为强依赖关系,也就是说,强依赖关系是服务正常运转的基本单元。而弱依赖则没有这样的限制,比如如果一个服务无法正常提供功能,另外一个服务可以正常运行。
可选地,在一种具体地实施方式中,根据行为可信状态以及应用程序可信状态,对互联网节点进行认证,之后包括:基于互联网节点与其他互联网节点的内部交互模式对互联网节点之间的依赖关系进行认证。
可选地,本实施例中,通过所述互联网节点的内部交互模式可以反映互联网节点之间服务依赖的关系,为此,通过这种内部交互模式可以直接对互联网节点之间的依赖关系进行认证,提高了认证的效率和准确度。
实施例二、
请参阅图2,本申请实施例提供了一种互联网节点的认证装置20,包括:
凭据生成单元201,用于使互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态,互联网节点包括区块链节点;
关系确定单元202,用于使互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态;
认证单元203,用于根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
下面具体说明:
凭据生成单元201,用于使互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态,互联网节点包括区块链节点;
可选地,本实施例中,多个互联网节点可以组成大数据系统,该大数据系统比如为区块链系统,该区块链系统比如为联盟链、私有链或者公有链;可选地,本实施例中,所述互联网节点包括区块链节点,所述区块链节点可以为区块链轻节点和区块链全节点。区块链全节点就是拥有全网所有的交易数据的节点,区块链轻节点就是只拥有和自己相关的交易数据节点。
可选地,本实施例中,TPMs即可信模块(Trusted Platform Modules),对于一个大数据系统来说,由于每个互联网节点上设置有TPMs,因此,这些互联网节点上的TPMs可以组成一个可信群组。
可选地,本实施例中,所述信任凭据用于反映互联网节点的可信程度,所述信任凭据主要从节点的行为角度反映所述互联网节点的可信状态或可信程度。
可选地,本实施例中,所述互联网节点的行为比如为记账、出块、共识、投票等。
可选地,在一种具体地实施方式中,凭据生成单元201进一步用于使互联网节点基于设置的统一接口将互联网节点的底层硬件资源隐藏在互联网节点内部,以对TPMs不可见。
本申请实施例中,凭据生成单元201还包括:隐藏单元,用于使互联网节点基于设置的统一接口将互联网节点的底层硬件资源隐藏在互联网节点内部,以对TPMs不可见,该隐藏操作具体可以在互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态之前执行。
可选地,本实施例中,隐藏单元获取到硬件资源的接口函数,并基于屏蔽控制函数作为设置的统一接口对该接口函数的调用进行阻断,从而实现将底层硬件资源隐藏在所述互联网节点内部,以对所述TPMs不可见,从而弱化了底层硬件资源对应用程序的影响,使得TPMs计算出的所述互联网节点的应用程序可信状态更加可靠。
可选地,本实施例中,所述底层硬件资源包括但不限于主板、CPU、内存、显卡、声卡、光驱。
可选地,在一种具体地实施方式中,凭据生成单元201进一步用于使互联网节点基于设置的统一接口,只向应用程序公开虚拟资源。
本申请实施例中,凭据生成单元201还包括:第一公开单元,用于使互联网节点基于设置的统一接口,只向应用程序公开虚拟资源,该公开操作具体可以在互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态之前执行。
可选地,本实施例中,第一公开单元向所述应用程序公开虚拟资源使得虚拟资源对所述应用程序可见。
可选地,第一公开单元获取到虚拟资源的接口函数,并允许屏蔽控制函数作为设置的统一接口对该虚拟资源的接口函数进行调用,从而实现虚拟资源对应用程序可见,此处需要说明的是,所述虚拟资源包括与系统运行相关的可执行文件、应用程序,从而在识别所述互联网节点的应用程序可信状态时,可以准确地反映虚拟资源对应用程序的影响,并将这种影响直观地承载在所述应用程序可信状态上。
可选地,在一种具体地实施方式中,凭据生成单元201进一步用于使互联网节点基于设置的统一接口,只向应用程序公开虚拟资源的统一视图和抽象。
本申请实施例中,凭据生成单元201还包括:第二公开单元,用于使互联网节点基于设置的统一接口,只向应用程序公开虚拟资源的统一视图和抽象,该公开操作具体可以在互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态之前执行。
可选地,本实施例中,第二公开单元向所述应用程序公开虚拟资源的统一视图和抽象使得虚拟资源的统一视图和抽象对所述应用程序可见。
可选地,第二公开单元获取到虚拟资源的视图和抽象接口函数,并允许屏蔽控制函数作为设置的统一接口对该虚拟资源的接口函数进行调用,从而实现虚拟资源的视图和抽象对应用程序可见,此处需要说明的是,所述虚拟资源包括与系统运行相关的可执行文件、应用程序,从而在识别所述互联网节点的应用程序可信状态时,可以准确地反映虚拟资源对应用程序的影响,并将这种影响直观地承载在所述应用程序可信状态上。
可选地,本实施例中,所述抽象比如包括基于统一资源池提供持续集成、持续部署的流水线、虚拟机、容器等虚拟化环境。
关系确定单元202,用于使互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态;
本实施例中,所述分散认证框架比如为dROT(Decentralized Root-of-Trust),即去中心化信任根框架,从而使关系确定单元202可以确定出一互联网节点与其他互联网节点之间的信任依赖关系,从而识别出所述互联网节点的应用程序可信状态。
本实施例中,关系确定单元202在每一个互联网节点上设置有所述分散认证框架,每个分散认证框架中存储与其他互联网节点之间的信任依赖关系,通过互联网节点的信任依赖关系的传播,从而识别出互联网节点的应用程序可信状态。
可选地,在一种具体地实施方式中,关系确定单元202进一步用于基于单独设置的应用程序信任根,使互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态。
可选地,本实施例中,应用程序信任根(Application Root of Trust,简称ArOT,该AroT优选为硬件信任根,从而保证是完全可信地。
可选地,关系确定单元202通过该应用程序信任根提供可信执行环境(TEE),供应用程序运行。另外,对应用程序的运行过程数据进行AES加密,再者,提供篡改防护机制保证应用程序不被篡改。为此,该AroT包括安全边界(security perimeter)组件,该安全边界组件定义了需要保护的应用程。具体地,该安全边界组件可以基于零信任构建,与安全无关的不可信应用程序全部位于位于安全边界外。
认证单元203,用于根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
可选地,在一种具体地实施方式中,认证单元203进一步用于基于设置的抽象去中心化信任根,根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
可选地,本实施例中,认证单元203在每个互联网节点上设置有抽象去中心化信任根,从而使得互联网节点之间可以基于各自的抽象去中心化信任根对对方互联网节点进行认证。
可选地,本实施例中,对于任一个互联网节点来说,其基于抽象去中心化信任根,根据与其他互联网节点的服务依赖关系导致的所述行为可信状态以及所述应用程序可信状态,对所述互联网节点进行认证,从而快速地对任一互联网节点进行认证。
可选地,本实施例中,所述服务依赖关系包括:直接依赖关系,间接依赖关系以及循环依赖关系等。
可选地,从故障容忍度的角度来看,服务之间的依赖关系又可以分为弱依赖与强依赖。如果某个服务无法正常提供服务,则依赖它的服务区无法正常执行下去,那么即为强依赖关系,也就是说,强依赖关系是服务正常运转的基本单元。而弱依赖则没有这样的限制,比如如果一个服务无法正常提供功能,另外一个服务可以正常运行。
可选地,在一种具体地实施方式中,认证单元203进一步用于基于互联网节点与其他互联网节点的内部交互模式对互联网节点之间的依赖关系进行认证。
本申请实施例中,认证单元203还包括:内部交互单元,用于基于互联网节点与其他互联网节点的内部交互模式对互联网节点之间的依赖关系进行认证,其具体可以在根据行为可信状态以及应用程序可信状态,对互联网节点进行认证之后执行。
可选地,本实施例中,通过所述互联网节点的内部交互模式可以反映互联网节点之间服务依赖的关系,为此,通过这种内部交互模式可以直接对互联网节点之间的依赖关系进行认证,提高了认证的效率和准确度。
实施例三、
本申请实施例提供了一种区块链系统,包括:多个区块链节点,每个区块链节点上设置有互联网节点的认证装置20,其包括:
凭据生成单元201,用于使互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态,互联网节点包括区块链节点;
关系确定单元202,用于使互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态;
认证单元203,用于根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
下面具体说明:
凭据生成单元201,用于使互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态,互联网节点包括区块链节点;
可选地,本实施例中,多个互联网节点可以组成大数据系统,该大数据系统比如为区块链系统,该区块链系统比如为联盟链、私有链或者公有链;可选地,本实施例中,所述互联网节点包括区块链节点,所述区块链节点可以为区块链轻节点和区块链全节点。区块链全节点就是拥有全网所有的交易数据的节点,区块链轻节点就是只拥有和自己相关的交易数据节点。
可选地,本实施例中,TPMs即可信模块(Trusted Platform Modules),对于一个大数据系统来说,由于每个互联网节点上设置有TPMs,因此,这些互联网节点上的TPMs可以组成一个可信群组。
可选地,本实施例中,所述信任凭据用于反映互联网节点的可信程度,所述信任凭据主要从节点的行为角度反映所述互联网节点的可信状态或可信程度。
可选地,本实施例中,所述互联网节点的行为比如为记账、出块、共识、投票等。
可选地,在一种具体地实施方式中,凭据生成单元201进一步用于使互联网节点基于设置的统一接口将互联网节点的底层硬件资源隐藏在互联网节点内部,以对TPMs不可见。
本申请实施例中,凭据生成单元201还包括:隐藏单元,用于使互联网节点基于设置的统一接口将互联网节点的底层硬件资源隐藏在互联网节点内部,以对TPMs不可见,该隐藏操作具体可以在互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态之前执行。
可选地,本实施例中,隐藏单元获取到硬件资源的接口函数,并基于屏蔽控制函数作为设置的统一接口对该接口函数的调用进行阻断,从而实现将底层硬件资源隐藏在所述互联网节点内部,以对所述TPMs不可见,从而弱化了底层硬件资源对应用程序的影响,使得TPMs计算出的所述互联网节点的应用程序可信状态更加可靠。
可选地,本实施例中,所述底层硬件资源包括但不限于主板、CPU、内存、显卡、声卡、光驱。
可选地,在一种具体地实施方式中,凭据生成单元201进一步用于使互联网节点基于设置的统一接口,只向应用程序公开虚拟资源。
本申请实施例中,凭据生成单元201还包括:第一公开单元,用于使互联网节点基于设置的统一接口,只向应用程序公开虚拟资源,该公开操作具体可以在互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态之前执行。
可选地,本实施例中,第一公开单元向所述应用程序公开虚拟资源使得虚拟资源对所述应用程序可见。
可选地,第一公开单元获取到虚拟资源的接口函数,并允许屏蔽控制函数作为设置的统一接口对该虚拟资源的接口函数进行调用,从而实现虚拟资源对应用程序可见,此处需要说明的是,所述虚拟资源包括与系统运行相关的可执行文件、应用程序,从而在识别所述互联网节点的应用程序可信状态时,可以准确地反映虚拟资源对应用程序的影响,并将这种影响直观地承载在所述应用程序可信状态上。
可选地,在一种具体地实施方式中,凭据生成单元201进一步用于使互联网节点基于设置的统一接口,只向应用程序公开虚拟资源的统一视图和抽象。
本申请实施例中,凭据生成单元201还包括:第二公开单元,用于使互联网节点基于设置的统一接口,只向应用程序公开虚拟资源的统一视图和抽象,该公开操作具体可以在互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态之前执行。
可选地,本实施例中,第二公开单元向所述应用程序公开虚拟资源的统一视图和抽象使得虚拟资源的统一视图和抽象对所述应用程序可见。
可选地,第二公开单元获取到虚拟资源的视图和抽象接口函数,并允许屏蔽控制函数作为设置的统一接口对该虚拟资源的接口函数进行调用,从而实现虚拟资源的视图和抽象对应用程序可见,此处需要说明的是,所述虚拟资源包括与系统运行相关的可执行文件、应用程序,从而在识别所述互联网节点的应用程序可信状态时,可以准确地反映虚拟资源对应用程序的影响,并将这种影响直观地承载在所述应用程序可信状态上。
可选地,本实施例中,所述抽象比如包括基于统一资源池提供持续集成、持续部署的流水线、虚拟机、容器等虚拟化环境。
关系确定单元202,用于使互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态;
本实施例中,所述分散认证框架比如为dROT(Decentralized Root-of-Trust),即去中心化信任根框架,从而使关系确定单元202可以确定出一互联网节点与其他互联网节点之间的信任依赖关系,从而识别出所述互联网节点的应用程序可信状态。
本实施例中,关系确定单元202在每一个互联网节点上设置有所述分散认证框架,每个分散认证框架中存储与其他互联网节点之间的信任依赖关系,通过互联网节点的信任依赖关系的传播,从而识别出互联网节点的应用程序可信状态。
可选地,在一种具体地实施方式中,关系确定单元202进一步用于基于单独设置的应用程序信任根,使互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态。
可选地,本实施例中,应用程序信任根(Application Root of Trust,简称ArOT,该AroT优选为硬件信任根,从而保证是完全可信地。
可选地,关系确定单元202通过该应用程序信任根提供可信执行环境(TEE),供应用程序运行。另外,对应用程序的运行过程数据进行AES加密,再者,提供篡改防护机制保证应用程序不被篡改。为此,该AroT包括安全边界(security perimeter)组件,该安全边界组件定义了需要保护的应用程。具体地,该安全边界组件可以基于零信任构建,与安全无关的不可信应用程序全部位于位于安全边界外。
认证单元203,用于根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
可选地,在一种具体地实施方式中,认证单元203进一步用于基于设置的抽象去中心化信任根,根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
可选地,本实施例中,认证单元203在每个互联网节点上设置有抽象去中心化信任根,从而使得互联网节点之间可以基于各自的抽象去中心化信任根对对方互联网节点进行认证。
可选地,本实施例中,对于任一个互联网节点来说,其基于抽象去中心化信任根,根据与其他互联网节点的服务依赖关系导致的所述行为可信状态以及所述应用程序可信状态,对所述互联网节点进行认证,从而快速地对任一互联网节点进行认证。
可选地,本实施例中,所述服务依赖关系包括:直接依赖关系,间接依赖关系以及循环依赖关系等。
可选地,从故障容忍度的角度来看,服务之间的依赖关系又可以分为弱依赖与强依赖。如果某个服务无法正常提供服务,则依赖它的服务区无法正常执行下去,那么即为强依赖关系,也就是说,强依赖关系是服务正常运转的基本单元。而弱依赖则没有这样的限制,比如如果一个服务无法正常提供功能,另外一个服务可以正常运行。
可选地,在一种具体地实施方式中,认证单元203进一步用于基于互联网节点与其他互联网节点的内部交互模式对互联网节点之间的依赖关系进行认证。
本申请实施例中,认证单元203还包括:内部交互单元,用于基于互联网节点与其他互联网节点的内部交互模式对互联网节点之间的依赖关系进行认证,其具体可以在根据行为可信状态以及应用程序可信状态,对互联网节点进行认证之后执行。
可选地,本实施例中,通过所述互联网节点的内部交互模式可以反映互联网节点之间服务依赖的关系,为此,通过这种内部交互模式可以直接对互联网节点之间的依赖关系进行认证,提高了认证的效率和准确度。
实施例四、
请参阅图4,本申请实施例提供了一种电子设备,包括:存储器以及处理器,存储器上存储有计算机可执行指令,处理器用于执行计算机可执行指令以执行如下步骤:
互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态,互联网节点包括区块链节点;
互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态;
根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
下面具体说明:
互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态,互联网节点包括区块链节点;
可选地,本实施例中,多个互联网节点可以组成大数据系统,该大数据系统比如为区块链系统,该区块链系统比如为联盟链、私有链或者公有链;可选地,本实施例中,所述互联网节点包括区块链节点,所述区块链节点可以为区块链轻节点和区块链全节点。区块链全节点就是拥有全网所有的交易数据的节点,区块链轻节点就是只拥有和自己相关的交易数据节点。
可选地,本实施例中,TPMs即可信模块(Trusted Platform Modules),对于一个大数据系统来说,由于每个互联网节点上设置有TPMS,因此,这些互联网节点上的TPMs可以组成一个可信群组。
可选地,本实施例中,所述信任凭据用于反映互联网节点的可信程度,所述信任凭据主要从节点的行为角度反映所述互联网节点的可信状态或可信程度。
可选地,本实施例中,所述互联网节点的行为比如为记账、出块、共识、投票等。
可选地,在一种具体地实施方式中,互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态之前,包括:互联网节点基于设置的统一接口将互联网节点的底层硬件资源隐藏在互联网节点内部,以对TPMs不可见。
可选地,本实施例中,获取到硬件资源的接口函数,并基于屏蔽控制函数作为设置的统一接口对该接口函数的调用进行阻断,从而实现将底层硬件资源隐藏在所述互联网节点内部,以对所述TPMs不可见,从而弱化了底层硬件资源对应用程序的影响,使得TPMs计算出的所述互联网节点的应用程序可信状态更加可靠。
可选地,本实施例中,所述底层硬件资源包括但不限于主板、CPU、内存、显卡、声卡、光驱。
可选地,在一种具体地实施方式中,互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态之前,包括:互联网节点基于设置的统一接口,只向应用程序公开虚拟资源。
可选地,本实施例中,向所述应用程序公开虚拟资源使得虚拟资源对所述应用程序可见。
可选地,获取到虚拟资源的接口函数,并允许屏蔽控制函数作为设置的统一接口对该虚拟资源的接口函数进行调用,从而实现虚拟资源对应用程序可见,此处需要说明的是,所述虚拟资源包括与系统运行相关的可执行文件、应用程序,从而在识别所述互联网节点的应用程序可信状态时,可以准确地反映虚拟资源对应用程序的影响,并将这种影响直观地承载在所述应用程序可信状态上。
可选地,在一种具体地实施方式中,互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态之前,包括:互联网节点基于设置的统一接口,只向应用程序公开虚拟资源的统一视图和抽象。
可选地,本实施例中,向所述应用程序公开虚拟资源的统一视图和抽象使得虚拟资源的统一视图和抽象对所述应用程序可见。
可选地,获取到虚拟资源的视图和抽象接口函数,并允许屏蔽控制函数作为设置的统一接口对该虚拟资源的接口函数进行调用,从而实现虚拟资源的视图和抽象对应用程序可见,此处需要说明的是,所述虚拟资源包括与系统运行相关的可执行文件、应用程序,从而在识别所述互联网节点的应用程序可信状态时,可以准确地反映虚拟资源对应用程序的影响,并将这种影响直观地承载在所述应用程序可信状态上。
可选地,本实施例中,所述抽象比如包括基于统一资源池提供持续集成、持续部署的流水线、虚拟机、容器等虚拟化环境。
互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态;
本实施例中,所述分散认证框架比如为dROT(Decentralized Root-of-Trust),即去中心化信任根框架,从而可以确定出一互联网节点与其他互联网节点之间的信任依赖关系,从而识别出所述互联网节点的应用程序可信状态。
本实施例中,每一个互联网节点上设置有所述分散认证框架,每个分散认证框架中存储于与其他互联网节点之间的信任依赖关系,通过互联网节点的信任依赖关系的传播,从而识别出互联网节点的应用程序可信状态。
可选地,在一种具体地实施方式中,互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态,包括:基于单独设置的应用程序信任根,互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态。
可选地,本实施例中,应用程序信任根(Application Root of Trust,简称ArOT,该AroT优选为硬件信任根,从而保证是完全可信地。
可选地,通过该应用程序信任根提供可信执行环境(TEE),供应用程序运行。另外,对应用程序的运行过程数据进行AES加密,再者,提供篡改防护机制保证应用程序不被篡改。为此,该AroT包括安全边界(security perimeter)组件,该安全边界组件定义了需要保护的应用程。具体地,该安全边界组件可以基于零信任构建,与安全无关的不可信应用程序全部位于位于安全边界外。
根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
可选地,在一种具体地实施方式中,根据行为可信状态以及应用程序可信状态,对互联网节点进行认证,包括:基于设置的抽象去中心化信任根,根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
可选地,本实施例中,每个互联网节点上设置有抽象去中心化信任根,从而使得互联网节点之间可以基于各自的抽象去中心化信任根对对方互联网节点进行认证。
可选地,本实施例中,对于任一个互联网节点来说,其基于抽象去中心化信任根,根据与其他互联网节点的服务依赖关系导致的所述行为可信状态以及所述应用程序可信状态,对所述互联网节点进行认证,从而快速地对任一互联网节点进行认证。
可选地,本实施例中,所述服务依赖关系包括:直接依赖关系,间接依赖关系以及循环依赖关系等。
可选地,从故障容忍度的角度来看,服务之间的依赖关系又可以分为弱依赖与强依赖。如果某个服务无法正常提供服务,则依赖它的服务区无法正常执行下去,那么即为强依赖关系,也就是说,强依赖关系是服务正常运转的基本单元。而弱依赖则没有这样的限制,比如如果一个服务无法正常提供功能,另外一个服务可以正常运行。
可选地,在一种具体地实施方式中,根据行为可信状态以及应用程序可信状态,对互联网节点进行认证,之后包括:基于互联网节点与其他互联网节点的内部交互模式对互联网节点之间的依赖关系进行认证。
可选地,本实施例中,通过所述互联网节点的内部交互模式可以反映互联网节点之间服务依赖的关系,为此,通过这种内部交互模式可以直接对互联网节点之间的依赖关系进行认证,提高了认证的效率和准确度。
请参阅图5,图5为本申请实施例一种电子设备的结构示意图;如图5所示,该电子设备的硬件结构可以包括:处理器501,通信接口502,存储器503和通信总线504;
其中,处理器501、通信接口502、存储器503通过通信总线504完成相互间的通信;
可选的,通信接口502可以为通信模块的接口,如GSM模块的接口;
其中,处理器501具体可以配置为运行存储器503上存储的可执行程序,从而执行上述任一方法实施例的所有处理步骤或者其中部分处理步骤。
处理器501可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本申请实施例的电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器710、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子装置。
本申请实施例中,处理器501可以采取例如微处理器或存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑处理器和嵌入微处理器的形式,处理器的例子包括但不限于以下微处理器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320,存储器处理器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现处理器以外,完全可以通过将方法步骤进行逻辑编程来使得处理器以逻辑门、开关、专用集成电路、可编程逻辑处理器和嵌入微处理器等的形式来实现相同功能。因此这种处理器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
实施例五、
请参阅图6,本申请实施例提供了一种计算机存储介质,计算机存储介质上存储有计算机可执行指令,计算机可执行指令被执行时实施如下步骤:
互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态,互联网节点包括区块链节点;
互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态;
根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
下面具体说明;
互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态,互联网节点包括区块链节点;
可选地,本实施例中,多个互联网节点可以组成大数据系统,该大数据系统比如为区块链系统,该区块链系统比如为联盟链、私有链或者公有链;可选地,本实施例中,所述互联网节点包括区块链节点,所述区块链节点可以为区块链轻节点和区块链全节点。区块链全节点就是拥有全网所有的交易数据的节点,区块链轻节点就是只拥有和自己相关的交易数据节点。
可选地,本实施例中,TPMs即可信模块(Trusted Platform Modules),对于一个大数据系统来说,由于每个互联网节点上设置有TPMS,因此,这些互联网节点上的TPMs可以组成一个可信群组。
可选地,本实施例中,所述信任凭据用于反映互联网节点的可信程度,所述信任凭据主要从节点的行为角度反映所述互联网节点的可信状态或可信程度。
可选地,本实施例中,所述互联网节点的行为比如为记账、出块、共识、投票等。
可选地,在一种具体地实施方式中,互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态之前,包括:互联网节点基于设置的统一接口将互联网节点的底层硬件资源隐藏在互联网节点内部,以对TPMs不可见。
可选地,本实施例中,获取到硬件资源的接口函数,并基于屏蔽控制函数作为设置的统一接口对该接口函数的调用进行阻断,从而实现将底层硬件资源隐藏在所述互联网节点内部,以对所述TPMs不可见,从而弱化了底层硬件资源对应用程序的影响,使得TPMs计算出的所述互联网节点的应用程序可信状态更加可靠。
可选地,本实施例中,所述底层硬件资源包括但不限于主板、CPU、内存、显卡、声卡、光驱。
可选地,在一种具体地实施方式中,互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态之前,包括:互联网节点基于设置的统一接口,只向应用程序公开虚拟资源。
可选地,本实施例中,向所述应用程序公开虚拟资源使得虚拟资源对所述应用程序可见。
可选地,获取到虚拟资源的接口函数,并允许屏蔽控制函数作为设置的统一接口对该虚拟资源的接口函数进行调用,从而实现虚拟资源对应用程序可见,此处需要说明的是,所述虚拟资源包括与系统运行相关的可执行文件、应用程序,从而在识别所述互联网节点的应用程序可信状态时,可以准确地反映虚拟资源对应用程序的影响,并将这种影响直观地承载在所述应用程序可信状态上。
可选地,在一种具体地实施方式中,互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态之前,包括:互联网节点基于设置的统一接口,只向应用程序公开虚拟资源的统一视图和抽象。
可选地,本实施例中,向所述应用程序公开虚拟资源的统一视图和抽象使得虚拟资源的统一视图和抽象对所述应用程序可见。
可选地,获取到虚拟资源的视图和抽象接口函数,并允许屏蔽控制函数作为设置的统一接口对该虚拟资源的接口函数进行调用,从而实现虚拟资源的视图和抽象对应用程序可见,此处需要说明的是,所述虚拟资源包括与系统运行相关的可执行文件、应用程序,从而在识别所述互联网节点的应用程序可信状态时,可以准确地反映虚拟资源对应用程序的影响,并将这种影响直观地承载在所述应用程序可信状态上。
可选地,本实施例中,所述抽象比如包括基于统一资源池提供持续集成、持续部署的流水线、虚拟机、容器等虚拟化环境。
互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态;
本实施例中,所述分散认证框架比如为dROT(Decentralized Root-of-Trust),即去中心化信任根框架,从而可以确定出一互联网节点与其他互联网节点之间的信任依赖关系,从而识别出所述互联网节点的应用程序可信状态。
本实施例中,每一个互联网节点上设置有所述分散认证框架,每个分散认证框架中存储于与其他互联网节点之间的信任依赖关系,通过互联网节点的信任依赖关系的传播,从而识别出互联网节点的应用程序可信状态。
可选地,在一种具体地实施方式中,互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态,包括:基于单独设置的应用程序信任根,互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态。
可选地,本实施例中,应用程序信任根(Application Root of Trust,简称ArOT,该AroT优选为硬件信任根,从而保证是完全可信地。
可选地,通过该应用程序信任根提供可信执行环境(TEE),供应用程序运行。另外,对应用程序的运行过程数据进行AES加密,再者,提供篡改防护机制保证应用程序不被篡改。为此,该AroT包括安全边界(security perimeter)组件,该安全边界组件定义了需要保护的应用程。具体地,该安全边界组件可以基于零信任构建,与安全无关的不可信应用程序全部位于位于安全边界外。
根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
可选地,在一种具体地实施方式中,根据行为可信状态以及应用程序可信状态,对互联网节点进行认证,包括:基于设置的抽象去中心化信任根,根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。
可选地,本实施例中,每个互联网节点上设置有抽象去中心化信任根,从而使得互联网节点之间可以基于各自的抽象去中心化信任根对对方互联网节点进行认证。
可选地,本实施例中,对于任一个互联网节点来说,其基于抽象去中心化信任根,根据与其他互联网节点的服务依赖关系导致的所述行为可信状态以及所述应用程序可信状态,对所述互联网节点进行认证,从而快速地对任一互联网节点进行认证。
可选地,本实施例中,所述服务依赖关系包括:直接依赖关系,间接依赖关系以及循环依赖关系等。
可选地,从故障容忍度的角度来看,服务之间的依赖关系又可以分为弱依赖与强依赖。如果某个服务无法正常提供服务,则依赖它的服务区无法正常执行下去,那么即为强依赖关系,也就是说,强依赖关系是服务正常运转的基本单元。而弱依赖则没有这样的限制,比如如果一个服务无法正常提供功能,另外一个服务可以正常运行。
可选地,在一种具体地实施方式中,根据行为可信状态以及应用程序可信状态,对互联网节点进行认证,之后包括:基于互联网节点与其他互联网节点的内部交互模式对互联网节点之间的依赖关系进行认证。
可选地,本实施例中,通过所述互联网节点的内部交互模式可以反映互联网节点之间服务依赖的关系,为此,通过这种内部交互模式可以直接对互联网节点之间的依赖关系进行认证,提高了认证的效率和准确度。
本申请实施例提供的互联网节点的认证方法、装置及相关产品,通过互联网节点通过内置在其中的TPMs生成信任凭据,以根据信任凭据报告互联网节点的行为可信状态,互联网节点包括区块链节点;互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别互联网节点的应用程序可信状态;根据行为可信状态以及应用程序可信状态,对互联网节点进行认证。从而简化了区块链节点的认证过程,提高了区块链节点的认证效率。
另外,计算机存储介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机存储介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定事务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行事务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备及系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的,其中作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块提示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本申请的一种具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种互联网节点的认证方法,其特征在于,包括:
互联网节点通过内置在其中的TPMs生成信任凭据,以根据所述信任凭据报告所述互联网节点的行为可信状态,所述互联网节点包括区块链节点;
所述互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别所述互联网节点的应用程序可信状态;
根据所述行为可信状态以及所述应用程序可信状态,对所述互联网节点进行认证。
2.根据权利要求1所述一种互联网节点的认证方法,其特征在于,所述互联网节点通过内置在其中的TPMs生成信任凭据,以根据所述信任凭据报告所述互联网节点的行为可信状态之前,包括:所述互联网节点基于设置的统一接口将所述互联网节点的底层硬件资源隐藏在所述互联网节点内部,以对所述TPMs不可见。
3.根据权利要求1所述一种互联网节点的认证方法,其特征在于,所述互联网节点通过内置在其中的TPMs生成信任凭据,以根据所述信任凭据报告所述互联网节点的行为可信状态之前,包括:所述互联网节点基于设置的统一接口,只向所述应用程序公开虚拟资源。
4.一种互联网节点的认证装置,其特征在于,包括:
凭据生成单元,用于使互联网节点通过内置在其中的TPMs生成信任凭据,以根据所述信任凭据报告所述互联网节点的行为可信状态,所述互联网节点包括区块链节点;
关系确定单元,用于使所述互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别所述互联网节点的应用程序可信状态;
认证单元,用于根据所述行为可信状态以及所述应用程序可信状态,对所述互联网节点进行认证。
5.根据权利要求4所述一种互联网节点的认证装置,其特征在于,所述凭据生成单元进一步用于使所述互联网节点基于设置的统一接口将所述互联网节点的底层硬件资源隐藏在所述互联网节点内部,以对所述TPMs不可见。
6.根据权利要求4所述一种互联网节点的认证装置,其特征在于,所述凭据生成单元进一步用于使所述互联网节点基于设置的统一接口,只向所述应用程序公开虚拟资源。
7.根据权利要求4所述一种互联网节点的认证装置,其特征在于,所述凭据生成单元进一步用于使所述互联网节点基于设置的统一接口,只向所述应用程序公开虚拟资源的统一视图和抽象。
8.一种区块链系统,其特征在于,包括:多个区块链节点,每个区块链节点上设置有互联网节点的认证装置,其包括:
凭据生成单元,用于使互联网节点通过内置在其中的TPMs生成信任凭据,以根据所述信任凭据报告所述互联网节点的行为可信状态,所述互联网节点包括区块链节点;
关系确定单元,用于使所述互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别所述互联网节点的应用程序可信状态;
认证单元,用于根据所述行为可信状态以及所述应用程序可信状态,对所述互联网节点进行认证。
9.一种电子设备,其特征在于,包括:存储器以及处理器,所述存储器上存储有计算机可执行指令,所述处理器用于执行所述计算机可执行指令以执行如下步骤:
互联网节点通过内置在其中的TPMs生成信任凭据,以根据所述信任凭据报告所述互联网节点的行为可信状态,所述互联网节点包括区块链节点;
所述互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别所述互联网节点的应用程序可信状态;
根据所述行为可信状态以及所述应用程序可信状态,对所述互联网节点进行认证。
10.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机可执行指令,所述计算机可执行指令被执行时实施如下步骤:
互联网节点通过内置在其中的TPMs生成信任凭据,以根据所述信任凭据报告所述互联网节点的行为可信状态,所述互联网节点包括区块链节点;
所述互联网节点基于其上设置的分散认证框架,确定其与其他互联网节点之间的信任依赖关系,以识别所述互联网节点的应用程序可信状态;
根据所述行为可信状态以及所述应用程序可信状态,对所述互联网节点进行认证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011615075.2A CN112804203B (zh) | 2020-12-30 | 2020-12-30 | 互联网节点的认证方法、装置及相关产品 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011615075.2A CN112804203B (zh) | 2020-12-30 | 2020-12-30 | 互联网节点的认证方法、装置及相关产品 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112804203A CN112804203A (zh) | 2021-05-14 |
CN112804203B true CN112804203B (zh) | 2022-10-11 |
Family
ID=75804689
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011615075.2A Active CN112804203B (zh) | 2020-12-30 | 2020-12-30 | 互联网节点的认证方法、装置及相关产品 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112804203B (zh) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110768791A (zh) * | 2019-09-24 | 2020-02-07 | 北京八分量信息科技有限公司 | 一种零知识证明的数据交互方法、节点、设备 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7313679B2 (en) * | 2003-10-17 | 2007-12-25 | Intel Corporation | Extended trusted computing base |
US11005857B2 (en) * | 2018-10-24 | 2021-05-11 | Nebbiolo Technologies, Inc. | Systems and methods for securing industrial data streams with a fog root of trust |
EP3949326A1 (en) * | 2019-04-05 | 2022-02-09 | Cisco Technology, Inc. | Discovering trustworthy devices using attestation and mutual attestation |
US11343091B2 (en) * | 2019-04-05 | 2022-05-24 | Cisco Technology, Inc. | Authentication of network devices using access control protocols |
-
2020
- 2020-12-30 CN CN202011615075.2A patent/CN112804203B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110768791A (zh) * | 2019-09-24 | 2020-02-07 | 北京八分量信息科技有限公司 | 一种零知识证明的数据交互方法、节点、设备 |
Non-Patent Citations (2)
Title |
---|
基于TPM的可信集群系统设计与实现;刘安战等;《信息安全与通信保密》;20110210(第02期);全文 * |
基于可信计算的P2P匿名通信系统;任帅等;《计算机测量与控制》;20090525(第05期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN112804203A (zh) | 2021-05-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Guo et al. | A survey on blockchain technology and its security | |
CN110008686B (zh) | 跨区块链的数据处理方法、装置、客户端、区块链系统 | |
EP3607697B1 (en) | Digital certificate management method, apparatus, and system | |
JP7007398B2 (ja) | トランザクション要求を処理するための方法及び装置 | |
JP6053786B2 (ja) | Arm(登録商標)トラストゾーン実施のためのファームウェア基盤トラステッドプラットフォームモジュール(tpm) | |
Saroiu et al. | I am a sensor, and i approve this message | |
JP6044362B2 (ja) | 仮想マシン内でトラストチェーンを構築する方法 | |
KR101106851B1 (ko) | 신뢰 검증 방법 및 신뢰 검증 시스템 | |
WO2017218180A1 (en) | Platform attestation and registration for servers | |
US20130031371A1 (en) | Software Run-Time Provenance | |
CN110245518B (zh) | 一种数据存储方法、装置及设备 | |
CN110334515B (zh) | 一种基于可信计算平台生成度量报告的方法及装置 | |
KR20130084671A (ko) | 애플리케이션 사용 정책 시행 | |
CN113810465B (zh) | 一种异步二元共识方法及装置 | |
US10482034B2 (en) | Remote attestation model for secure memory applications | |
US20240106839A1 (en) | Cyber-physical protections for edge computing platforms | |
CN112187475A (zh) | 基于可信计算进行多中心记账的方法、装置及相关产品 | |
CN112804203B (zh) | 互联网节点的认证方法、装置及相关产品 | |
US20230247020A1 (en) | Network management using trusted execution environments | |
CN113448681A (zh) | 一种虚拟机监控器公钥的注册方法、设备和存储介质 | |
CN115391801A (zh) | 区块链系统中加密模块的更新方法、装置及相关产品 | |
CN111046440B (zh) | 一种安全区域内容的篡改验证方法及系统 | |
CN112650715A (zh) | 区块链系统中存储数据的方法、装置及相关产品 | |
CN112214759A (zh) | 基于可信根度量进行应用程序的行为权限分配方法、装置及相关产品 | |
CN112214760A (zh) | 基于可信根度量进行应用程序的管理方法、装置及相关产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |