CN113301107A - 节点计算平台及其实现方法、可信云平台实现方法 - Google Patents

Abstract

一种节点计算平台及其实现方法、可信云平台实现方法及计算机可读存储介质；节点计算平台的实现方法包括：将节点计算平台的凭证封装在安全环境中；将凭证对应的信任链在节点计算平台所在的去中心化网络中进行公示。可信云平台实现方法包括：云平台中的节点向区块链网络中的所有验证者或者自选部分验证者注册，各验证者分别自选背书证书验证所述节点是否为信任节点；各验证者的验证记录以及信任节点列表记录上链；当用户在启动虚拟机时，在区块链上自选部分验证者认证云平台中的节点的可信性，验证者的验证记录上链，用户根据区块链网络的验证者的验证结果选择接收或拒绝云平台中的信任节点。

Description

节点计算平台及其实现方法、可信云平台实现方法

技术领域

本文涉及去中心化网络领域，尤指一种节点计算平台及其实现方法、可信云平台实现方法及计算机可读存储介质。

背景技术

目前，MSO(Multi Service Operators，多业务运营商)在5G和IOT(Internet OfThings，物联网)部署中扮演重要角色，虽然虚拟化和SDN(Software Defined Network，软件定义网络)降低了网络体系结构的复杂性，并提供了更好的处理和路由数据的方法，但在SDN环境下对于安全提出了新的挑战：

1、中心化的控制：SDN控制器是中心化控制导致高价值的资产暴露在黑客攻击风险中，攻击者可以通过跟踪和破坏SDN控制器从而控制网络服务甚至整个网络。

2、可编程性：SDN控制器向客户端提供了显式可编程访问的能力，使得商业模式中的组织和业务实体可以完全独立，带来了新安全威胁，这种新的商业模式使得不存在封闭的用于保护系统完整性、第三方数据和开放接口的管理域。

当SDN作为MSO运营商的IAAS(Infrastructure as a Service，基础设施即服务)的网络虚拟化基础设施时，SDN控制器和SDN application(应用)部署在虚拟节点上，MSO运营商可以通过SDN快速为租户(虚拟运营商)创建和变更任意拓扑的虚拟网络，虚拟运营商可以通过SDN控制器维护属于自己的网络。在这种情况下，SDN架构中的各个组件模块可能由不是同一提供商的租户租赁云主机执行，在这种情况下，虚拟节点的可信性必须被保证，否则黑客可以通过控制虚拟节点从而控制SDN控制器和/或SDN application导致严重的安全风险。由此在SDN架构下，为支持海量的IOT设备、保证数据完整性和内容隐私的安全性要求没有得到有效解决。

目前区块链正在成为一种新的解决安全问题的方法，区块链提供了的零信任条件下的信任解决方案，正好适合SDN这种不存在封闭的用于保护系统完整性、第三方数据和开放接口的管理域的安全需求场景；另外，在IOT场景中，IOT的设备配置，以及由于IOT场景中自动触发的微支付特别适合于使用区块链技术；但是由于IOT设备的资源限制，需要进一步为IOT设备在云端扩展资源用于部署区块链节点；所有这些都对IAAS环境安全性提出要求，只有保证IAAS提供的资源可信，才能确保使用区块链技术可以解决SDN的安全风险以及为IOT设备扩展资源部署区块链节点提供安全可信的环境。

资源扩展是指对一个计算设备的计算能力、存储能力和网络能力的扩展，包括外设扩展，局域网或广域网的能力资源共享。在去中心化的环境中(例如区块链的共识节点)，需要用户自我维护个人计算节点的安全，通常一个节点在设计时就会采用各种机制保证设备、服务或应用的安全。然而，个人计算节点常常受困于有限的能力资源，需要借用节点外的资源。此时，计算环境所受到的安全威胁有新的特点。

故意制造恶意节点的行为是无法避免的。所幸，所有去中心化网络都对一定比例的恶意节点的存在具有免疫能力，例如比特币能容忍拥有50％算力的恶意节点，拜占庭将军网络能容忍1/3的恶意共识参与者等。增多节点数量显然能够提高共识网络安全的强度，但是，一种明显的安全威胁来自于恶意程序通过网络扩散、入侵已有的节点，典型的场景是用户自主下载的应用程序内藏有恶意代码，通过监听盗取节点身份，冒充节点参与共识。

很多个人节点采用专用硬件保护运行环境不受网络黑客的攻击。这种硬件安全环境通常很有效。但是，当需要扩展个人节点的能力时，尤其是利用公共资源扩展个人节点能力时，很可能给黑客在扩展的资源上攻击节点提供了机会。

发明内容

本申请提供了一种节点计算平台及其实现方法、去中心化的可信云平台和计算机可读存储介质，可以在节点资源扩展的同时保证节点的安全性。

一方面，本申请提供了一种节点计算平台的实现方法，所述节点计算平台采用多处理资源环境，所述多处理资源环境包括安全环境和开放环境，所述开放环境至少包括节点环境，所述方法包括：

将所述节点计算平台的凭证封装在所述安全环境中；

将所述凭证对应的信任链在所述节点计算平台所在的去中心化网络中进行公示，以通过凭证上链查证的方式证明所述节点计算平台可信。

与相关技术相比，本申请实施例的去中心化网络中的节点计算平台中配置有安全环境、节点环境和扩展环境，所述实现方法包括：将所述节点计算平台的凭证封装在所述安全环境中，其中，所述节点计算平台的凭证包括硬件出生凭证、代码IMAGE背书凭证和用户节点凭证证明中的至少之一；将所述凭证对应的信任链在区块链中进行公示，通过凭证上链查证的方式保护网络安全。本申请实施例通过将节点计算平台的凭证封装在所述安全环境并且上链公示，可以通过凭证上链查证机制确保恶意程序无法冒充节点参与共识，保证了去中心化网络安全。

另一方面，本申请实施例还提供了一种安全的去中心化的可信云平台的实现方法，包括：

云平台中的节点向区块链网络中的所有验证者或者自选部分验证者注册，各验证者分别自选背书证书验证所述节点是否为信任节点；各验证者的验证记录以及信任节点列表记录上链；

当用户在启动虚拟机时，在区块链上自选部分验证者认证云平台中的节点的可信性，验证者的验证记录上链，用户根据区块链网络的验证者的验证结果选择接收或拒绝云平台中的信任节点。

本申请实施例为通过云平台或者计算节点能力资源提供零信任环境下的信任机制；当通过公共云平台扩展资源时，可以确保使用的云平台本身是可信的。

本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的其他优点可通过在说明书、权利要求书以及附图中所描述的方案来实现和获得。

附图说明

附图用来提供对本申请技术方案的理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本申请的技术方案，并不构成对本申请技术方案的限制。

图1是本申请实施例的去中心化的节点计算平台的组成示意图；

图2是本申请实施例的去中心化网络安全保护的方法的流程图；

图3是本申请实施例的生产授权软件植入硬件唯一身份UID签名和证书的示意图；

图4是本申请实施例的从固化区域读取UID签名和硬件签名证书信任链的示意图；

图5是本申请实施例的节点计算平台的程序安装和更新软件的示意图；

图6是本申请实施例的节点计算平台重启后的示意图；

图7是本申请实施例的NODE信任链的示意图；

图8是本申请实施例的安全的去中心化的可信云平台的实现方法流程图；

图9是MPI-SWS提出的可信云计算平台的示意图；

图10是MPI-SWS的TCCP模型的示意图；

图11是示例中用户、DTC和IAAS之间的交互过程示意图。

具体实施方式

本申请描述了多个实施例，但是该描述是示例性的，而不是限制性的，并且对于本领域的普通技术人员来说显而易见的是，在本申请所描述的实施例包含的范围内可以有更多的实施例和实现方案。尽管在附图中示出了许多可能的特征组合，并在具体实施方式中进行了讨论，但是所公开的特征的许多其它组合方式也是可能的。除非特意加以限制的情况以外，任何实施例的任何特征或元件可以与任何其它实施例中的任何其他特征或元件结合使用，或可以替代任何其它实施例中的任何其他特征或元件。

本申请包括并设想了与本领域普通技术人员已知的特征和元件的组合。本申请已经公开的实施例、特征和元件也可以与任何常规特征或元件组合，以形成由权利要求限定的独特的发明方案。任何实施例的任何特征或元件也可以与来自其它发明方案的特征或元件组合，以形成另一个由权利要求限定的独特的发明方案。因此，应当理解，在本申请中示出和/或讨论的任何特征可以单独地或以任何适当的组合来实现。因此，除了根据所附权利要求及其等同替换所做的限制以外，实施例不受其它限制。此外，可以在所附权利要求的保护范围内进行各种修改和改变。

此外，在描述具有代表性的实施例时，说明书可能已经将方法和/或过程呈现为特定的步骤序列。然而，在该方法或过程不依赖于本文所述步骤的特定顺序的程度上，该方法或过程不应限于所述的特定顺序的步骤。如本领域普通技术人员将理解的，其它的步骤顺序也是可能的。因此，说明书中阐述的步骤的特定顺序不应被解释为对权利要求的限制。此外，针对该方法和/或过程的权利要求不应限于按照所写顺序执行它们的步骤，本领域技术人员可以容易地理解，这些顺序可以变化，并且仍然保持在本申请实施例的精神和范围内。

如图1所示，本申请实施例采用一种多处理资源结构，处理资源分别称为安全环境(Secure Environment)、节点环境(On Node Environment)和扩展环境(Off NodeEnvironment)。其中，节点环境(On Node Environment)和扩展环境(Off NodeEnvironment)统称为开放环境(Open Environment)。

开放环境中的处理资源可以有多个，例如，存储的扩展，以通用计算为目的、或神经网络计算为目的的扩展可能来自不同的资源。

本申请实施例在安全环境和开放环境中都设置了Boot程序(引导程序)，这个Boot程序只负责装载并运行一个Loader程序(装载程序)；为了区分安全环境和开放环境中的Loader，分别称为安全Loader(Secure Loader)和节点Loader(On Node Loader)和扩展Loader(Off Node Loader)。

本发明实施例涉及的Boot程序运行在支持Secure Boot功能的CPU硬件上(目前大多数芯片都具备这种能力)。上电后，硬件直接启动这个Boot程序，Boot程序首先检查Loader程序的完整性和签名，如果正确，启动Loader程序。两个环境中的Boot功能相同。

On Node Environment中的Boot程序是第三方的服务，Node Loader程序负责安装操作系统，该系统的IMAGE(镜像)存储在Node(节点)，有安全签名。

作为去中心化的节点计算平台，本发明实施例将硬件出生凭证和代码IMAGE背书凭证以及用户节点凭证证明封装在安全环境中并且上链公示，确保恶意程序无法冒充节点参与共识。

如图2所示，本发明实施例的去中心化网络安全保护的方法，包括：

步骤201，将所述节点计算平台的凭证封装在所述安全环境中。

其中，所述节点计算平台的凭证包括硬件出生凭证、代码IMAGE(镜像)背书凭证和用户节点凭证证明中的至少之一。

所述硬件出生凭证可以简称为硬件凭证，代码IMAGE背书凭证可以简称为代码凭证，用户节点凭证证明可以简称为用户凭证。

步骤202，将所述凭证对应的信任链在区块链中进行公示，通过凭证上链查证的方式保护网络安全。

本发明实施例的去中心化网络可以是区块链网络。

本申请实施例通过将节点计算平台的凭证封装在所述安全环境并且上链公示，可以通过凭证上链查证机制确保恶意程序无法冒充节点参与共识，保证了去中心化网络安全。

其中，硬件出生凭证对应的信任链包括硬件签名证书信任链，代码IMAGE背书凭证对应的信任链包括厂商代码签名信任链，用户节点凭证证明对应的信任链包括NODE(节点)信任链。

下面针对步骤201，分别对硬件出生凭证、代码镜像IMAGE背书凭证和用户节点凭证证明进行阐述。

1、硬件出生凭证

步骤201中，对硬件用户身份证明UID(User Identification，用户身份证明)选用区块链网络信任的同根签名证书签名，对所述节点计算平台植入硬件唯一身份的UID签名和签名证书，将所述UID签名以及包含所述签名证书的硬件签名证书信任链作为硬件出生凭证固化在所述安全环境的硬件安全存储区。

其中，设备生产商通过对硬件UID签名，将UID签名，硬件签名证书信任链植入并固化在安全环境Secure Environment中的安全存储区，并且将硬件签名证书信任链在区块链上上链公示申明硬件的可信性；硬件UID签名和硬件签名证书信任链植入和固化、硬件UID签名和校验过程和机制可以采用相关技术实现，为了方便理解本发明实施例的内容，举例如下：

生产厂商在生产时对硬件设备植入硬件唯一身份UID签名和签名证书，并固化在硬件安全存储区，厂商可以向任何区块链网络信任的第三方机构获取硬件根证书，硬件认证所依赖的签名证书可以在硬件生产过程中产生也可以由厂商自行决定如何产生(可以采用多种方式实现)。

如图3，生产授权软件和随机数产生器(Random Number Generator)、制造硬件证书颁发机构(Manufacture Hardware CA)、安全协处理器(SEC)相连，可以操作安全存储器(Security Storage)中固化区里的硬件签名证书信任链(Hardware Cert Chain)、UID签名(UID signature)。生产授权软件是厂商用于对硬件设备植入硬件唯一身份UID(UserIdentification，用户身份证明)签名和签名证书的软件程序，部署在Secure Environment中，生产授权软件可以由仅用于生产的boot程序启动(区别于图1中的Secure Environment的boot),生产授权软件完成植入硬件唯一身份UID签名和签名证书后一般可以自动擦除生产授权软件自身IMAGE，并用图1中的Secure Environment的boot覆盖引导自身的boot程序，这是常用的生产过程中植入密钥和证书的流程和方法。

SEC是安全环境的安全协处理器(本发明实施例的安全环境一般设置有硬件的安全协处理器，但并不代表限定)，Random Number Generator(随机数发生器)可以是互联网上的噪声源，Manufacture Hardware CA是厂商的硬件CA(Certification Authority，认证机构)，其对应的CA证书由区块链网络信任的第三方机构颁发。

生产时厂商首先通过生成授权软件向安全CPU倒入一个随机数或者接入互联网噪声源(通常芯片中没有随机数发生器)，生产授权软件产生硬件签名密钥对，向厂商硬件CA(厂商选择的区块链网络信任的第三方机构根证书颁发)申请签名证书，读取硬件安全芯片的唯一UID，将硬件签名证书信任链，UID签名固化在指定位置，销毁硬件签名私钥。

其中，所述硬件签名信任链可包括根证书、CA证书、签名证书以及设备硬件证书。其中，可以从任何区块链网络信任的第三方机构获取硬件根证书，设备硬件证书可以包括UID签名+对应的签名证书。

在一实施例中，节点计算平台启动时，通过Secure Loader读取所述UID签名和硬件签名证书信任链，进行UID签名校验，若校验不通过，则启动失败，也即停止启动。

其中，在设备启动时，在安全环境(Security Environment)下，Secure Loader将读取硬件UID，从固化区域读取所述UID签名和硬件签名证书信任链(Hardware CertChain)并进行UID签名校验，校验不通过，则设备启动失败，如图4所示，Security LoaderRun time(安全加载器运行时)读取固化区的UID签名及Hardware Cert Chain。

2、代码IMAGE背书凭证

步骤201中，对代码IMAGE选用区块链网络信任的同根签名证书签名，将厂商代码签名信任链作为代码IMAGE背书凭证固化在所述安全环境中的安全存储区。

设备生产商可以向任何区块链网络信任的第三方机构获取根证书作为节点计算平台代码IMAGE签名证书的根，签名证书由厂商自行决定如何产生。设备生产厂商使用签名证书对代码IMAGE做厂商签名(如图1中的安全存储区域的Security Environment Image和On Node Environment Image，以及Off Node Environment Image)。其中，代码签名和校验机制和过程可采用相关技术完成，为了方便理解本发明实施例的内容，举例如下：

设备生产商将代码IMAGE厂商签名并将厂商代码签名信任链固化在SecureEnvironment中的安全存储区，厂商代码签名信任链固化可采用相关技术完成，厂商可以用生产授权软件完成厂商代码签名信任链固化或者其他常用手段。节点计算平台代码IMAGE的安装可以由厂商在出厂时将厂商代码签名的文件安装在指定位置。使得，Secure Loader写在Security Environment Boot规定的地址，Secure Kernel写在Secure Loader规定的地址，Secure Node以及安全环境中的其他系统程序写在Secure Kernel规定的地址上。OnNode Loader写在On Node Environment Boot规定的地址，On Node kernel写在On NodeLoader规定的地址，On Node写在On Node kernel规定的地址上。

在一实施例中，所述节点计算平台启动时，按照所述厂商代码签名信任链进行校验，若校验不通过，则启动失败，也即停止启动。

例如，在设备启动时，Secure Environment中的Boot读取厂商代码签名信任链并校验Secure Loader的代码签名后启动Secure Loader，Secure Loader读取厂商代码签名信任链并校验Secure kernel后启动Secure kernel；Secure kernel读取厂商代码签名信任链并校验Secure Node和其他Secure Environment的系统程序后启动Secure Node和其他系统程序。

同样，On Node Environment中的Boot读取厂商代码签名信任链并校验On NodeLoader的代码签名后启动On Node Loader，On Node Loader读取厂商代码签名信任链并校验On Node kernel后启动On Node kernel；On Node kernel读取厂商代码签名信任链并校验On Node后启动On Node。

在启动过程中，若校验失败，则启动失败。

开放环境上的其他应用程序的启动、运行、安装、下载等可采用相关技术完成。

在一实施例中，所述方法还包括：

位于所述节点环境中的扩展管理程序向IAAS申请创建扩展环境资源；在所述IAAS创建扩展环境资源后，所述扩展管理程序对所述扩展环境中的程序进行加载、进程监管和资源回收。

在一实施例中，所述扩展管理程序对所述扩展环境中的程序进行加载时，进行代码的签名验证，在验证不通过时，拒绝加载对应的程序。

其中，当需要扩展资源时，On Node Environment节点上的扩展管理程序负责向IAAS申请创建Off Node Environment资源，IAAS创建Off Node Environment资源后，就将控制权交给节点上的扩展管理程序，节点上的扩展管理程序负责Off Node Environment内的程序加载、进程监管、和资源回收。扩展管理程序可以对所有加载的程序要求通过代码的签名验证，从而可以屏蔽掉所有非法进程。

在一实施例中，所述节点计算平台中所有的代码IMAGE的安装和更新均在所述安全环境中完成。

在无中心化的系统安装和升级服务器的情况下，所有的平台代码IMAGE，包括安全环境和开放环境的代码IMAGE的安装和更新全部由安全环境中的Loader和安全环境中的平台系统程序安装和更新软件在安全环境中完成，用户可以自主的安装和升级计算平台代码，但是所有的代码IMAGE可信性来源于上链公示的厂商签名证书，安全性通过凭证上链查证机制保障，用户自主行为并不影响平台的安全性。

从图1可见，开放环境中的Loader、Kernel和Node的image文件都存放在安全环境的存储空间里，开放环境中的进程对这些文件只有只读权限。

代码IMAGE可以如上文描述由设备生产厂商预装或者由用户自己负责维护，但都需要保证代码IMAGE来源于上链的厂商签名证书签名。

下面对用户自己负责维护机制进行详细阐述：

图1中所示，安全环境中运行的其他的系统程序至少包括平台系统程序安装和更新软件，也即SSU(系统软件更新)、SSU APP(系统软件更新应用)程序，如图5所示，SSU、SSUAPP程序用于完成去中心化计算平台程序安装和更新，SSU是系统安装和升级服务器软件，SSU APP是相应的系统安装与升级APP，可安装和更新的内容包括：两个Loader、两个环境的节点程序、两个环境的操作系统、以及安全环境中的其他系统程序(包括SSU，SSU APP本身)。其中，SSU APP与保存有镜像(Images)的临时存储器(Temp Storage)以及加载器邮箱(Loader Mail BOX)相连，并通过SSU接收Code Image Src。

安全环境和开放环境(包括ON Node和Off Node)的代码IMAGE的安装和更新全部在安全环境完成。如图5所示，Code Image Src是要升级更新的IMAGE，可以是在互联网上，或本地USB扩展。

SSU、SSU APP以及Loader对代码IMAGE的安装和更新机制和过程可采用相关技术实现，为了方便理解本发明实施例的内容，举例说明如下：

SSU APP同SSU交互检测到需要升级更新的IMAGE，则下载到临时存储区，并通过MAIL BOX机制通知security loader，提示用户选择重启或自动重启(提示用户重启可以是常用的人机交互比如UI机制)，如图5。

重启后如图6，安全加载器(Security Loader)和保存镜像(Image)的临时存储器(Temp Storage)、加载器邮箱(Load Mail BOX)、存储区的保存有已签名(signed)的代码镜像(Code image)的存储器(Storage)相连，可以操作固化区的硬件签名证书信任链(Hardware Cert Chain)、用户身份证明签名(UID signature)以及数字签名证书链(CodeSign Cert Chain)。

重启过程包括如下步骤：

1)boot启动，读取厂商代码签名信任链并校验security loader(安全加载器)；

2)boot启动security loader，security loader读取硬件UID，从固化区域读取UID签名，硬件签名证书信任链并进行UID签名校验；

3)security loader接收loader MAIL BOX的信息，获取安装信令，读取对应位置的IMAGE，security loader读取厂商代码签名信任链进行代码签名校验，只有通过校验的IMAGE才能被写入规定位置。

需要说明的是，用户可以自主的按照上文描述的机制完成去中心化计算平台程序安装和更新，但是并不影响平台的安全性。所有的代码IMAGE可信性来源于上链公示的厂商签名证书，安全性通过凭证上链查证机制保障，用户自主行为并不影响平台的安全性。

3、用户节点凭证证明

步骤201中，将用户的身份证明和节点NODE信任链作为用户节点凭证证明，通过安全环境的安全协处理器保存在所述安全环境中的安全存储区。

本发明实施例将用户的身份证明(User Key，用户的账号密钥)在安全环境中保管，用户的身份证明生产本身可采用相关技术实现，为了方便理解本发明实施例的内容，举例如下：

Security Node可在开放环境On Node的触发完成用户的身份证明初始化，Security Node自动生成User Key或者可以由用户通过On Node导入User Key，User Key通过安全环境的安全协处理器安全保存安全存储区中。

另外，很多区块链的共识算法要求提供节点的身份证明。本发明实施例中也将这些节点的身份证明产生和使用封装在安全环境中。

为了方便理解本发明实施例的内容，举例如下：

以algorand算法中的PMK和PK^(r,s)为例介绍，需要说明的是，本实施例为了便于理解，描述了一种拜占庭算法PMK和PK^(r,s)具体产生和上链公示的具体实现方法，但这种实现方法可采用相关技术实现，介绍如下：用户可以首先对节点进行设备初始化，初始化过程中用户在安全环境中为Secure Node节点安装设备NODE证书，同样用户可以向任何区块链网络信任的第三方机构获取根证书，设备NODE证书可由用户自行决定如何产生。Secure Node使用设备NODE证书派生成设备MASTER NODE PMK证书，并派生出用于拜占庭的所有NODE PK^(r,s)(比如用于100万轮，每轮180步)，并将设备NODE证书、设备MASTER NODE PMK证书和NODEPK^(r,s)通过安全环境的安全协处理器在安全存储区存储。当所有的NODE PK^(r,s)接近使用完时，Secure Node将重新通过设备NODE证书生成设备新的MASTER NODE PMK证书，并派生出新的用于拜占庭的所有NODE PK^(r,s)(比如用于新的100万轮，每轮180步)，并将新的设备MASTER NODE PMK证书和NODE PK^(r,s)通过安全环境的安全协处理器在安全存储区存储，信任关系可以如图7所示，也即NODE信任链。

下面举例说明硬件出生凭证、代码IMAGE背书凭证和用户节点凭证证明：

1)硬件出生凭证为硬件的可信证明凭证，包括SIG_i(VerifyHardwareReport)

其中，VerifyHardwareReport为Security Loader对UID签名的校验结果，SIG_i(VerifyHardwareReport)是硬件证书私钥签名。

潜在校验者在区块链上获取到公示的硬件签名信任链并校验SIG_i(VerifyHardwareReport)。

2)代码IMAGE背书凭证为平台代码的可信证明凭证，包括：SIG_i(VerifyLoaderCodeReports)+SIG_i(VerifyKernelCodeReports)+SIG_i(VerifySecurityNodeCodeReports)+SIG_i(VerifyOn Node Environment CodeReports)

VerifyCodeReport为Security Boot验证Security Loader代码的校验结果，VerifyKernelCodeReports为Security Loader验证Security Kernel代码的校验结果，VerifySecurityNodeCodeReports为Security Kernel验证Security Node代码的校验结果，VerifyOpenEnvironmentCodeReports是为Security Node验证所有On NodeEnvironment代码的校验结果，SIG_i是使用是对应的平台代码签名私钥签名。

校验者在区块链上获取到公示的厂商代码签名信任链并校验SIG_i(VerifyLoaderCodeReports)+SIG_i(VerifyKernelCodeReports)+SIG_i(VerifySecurityNodeCodeReports)+SIG_i(VerifyOn Node Environment CodeReports)。

3)用户节点凭证证明，为可查证的一次性身份凭证

以拜占庭协议为例，算法中备选区块可以使用一次性密钥NODE PK对消息进行签名(消息包括备选区块，区块HASH等等)在这个签名消息中需要增加NODE PK对应的证书链，比如可以包括区块链信任的根证书，CA证书，设备NODE证书、MASTER NODE PMK证书，以及NODE PK证书(这里只是一种信任链举例)。

校验者在区块链上获取到公示的区块链信任的根证书，CA证书，设备NODE证书从而校验MASTER NODE PMK证书，以及NODE PK证书，通过NODE PK证书校验消息签名。

下面对步骤202进行说明：

对于硬件设备来说，将硬件签名信任链上区块链公示从而可查证，通过凭证上链查证机制保证区块链网络中的可信硬件的背书；将厂商代码签名信任链上区块链公示从而可查证，通过凭证上链查证机制保证区块链网络中平台代码的背书。

在一实施例中，步骤202可包括：

将所有厂商的出生证明链在区块链中进行公示，将同厂生产节点的硬件安全资格的授予和取消记录在World State(世界状态)中，其中，所述出生证明链包括所述硬件出生凭证对应的硬件签名证书信任链和所述代码IMAGE背书凭证对应的厂商代码签名信任链；按照节点共识更新所述硬件安全资格的授予和取消。

其中，每个生产厂商在区块链上都有厂商账号，厂商账号包括厂商生产的硬件的出生根证明，也即出生证明链，该出生证明链包括硬件签名证书信任链和厂商代码签名信任链，所有的厂商的出生证明链全部公示在区块链中，同厂生产的(Co-Parent)节点的硬件安全资格授予/取消都记录在World State上，需要达成共识才能更新。厂商账户状态包含在World State数据库里，状态包括：公示、生效、观察、撤销。生产商的出生证明上链后账号处于公示状态，公示期过后，账号才处于生效状态。

对于用户节点来说，步骤202可以包括：

将所有的用户的身份证明公钥和NODE信任链公示在区块链中，将用户节点的安全资格的授予和取消记录在World State中；按照节点共识更新所述用户节点的安全资格的授予和取消。

每个用户在区块链上也都有用户账号，同样用户账号包括用户安装的设备NODE信任链，用户的身份证明公钥，所有的用户的NODE信任链和用户的身份证明公钥全部公示在区块链中，用户节点的安全资格授予/取消都记录在World State上，需要达成共识才能更新。用户账户状态包含在World State数据库里，状态包括：生效、观察、撤销。用户账号初始处于生效状态。

区块链共识网络中的节点发现恶意记账节点行为后(比如在拜占庭中，节点接收到空块，则相应对空块背书的节点即为恶意的记账行为)，会提议将该恶意节点屏蔽，亦即将用户账号和节点的安全资格撤销，当用户账号和节点的安全资格被提议屏蔽时，用户账号状态将处于观察期，提议获得共识后，触发执行设备NODE信任链和身份证明公钥吊销的智能合约，用户账号将被撤销(亦即用户账号和节点的设备NODE证书、设备MASTER NODEPMK证书撤销)。当发现恶意节点与生产者有相关性后(超过一定比例的Co-ParentRelation，硬件签名证书信任链和/或厂商代码签名信任链出生证明同根的恶意节点)，会提议将生产者屏蔽；同样，区块链网络可以安排相应的安全审计流程，会对所有的厂商上链的硬件签名证书信任链和厂商代码签名信任链安全承诺进行审查，发现异常后，由审计节点发起提议将生产者屏蔽的共识请求，当生产商被提议屏蔽时，厂商账号状态将处于观察期，提议获得共识后，触发执行相应的证书吊销的智能合约，厂商账号将被撤销。

下面对安全环境中的节点程序和开放环境中的节点程序边界进行说明：

如图1所示，本发明实施例中将节点程序分成两个部分：安全环境中的节点程序Security Node和开放环境中的节点程序On Node。下文对两个程序的边界进行描述：

很多区块链的共识算法中都要求提供节点的身份证明(Credential)，伪造身份证明能够扰乱共识机制，例如，基于抽签的算法中，节点需要提供自己中签的证明，而提供假的身份证明能够破坏抽签的公平性，使恶意节点有更高的中签概率。为了保护身份证明不受到恶意程序的篡改，将身份证明的产生放在安全环境中。即使一个节点被攻击了，也无法改变这个节点被抽中的概率。

在一实施例中，在执行共识流程时，在所述安全环境中执行网络计票和签名的步骤。

如果能够伪造投票签名，同样可以扰乱共识，为此本发明实施例把计票和签名都放在安全环境中，使之不受干扰。

本发明实施例中，将用户的身份证明封装在安全环境中保管并对开放环境中的节点程序提供有安全权限控制的用户身份证明使用服务，将共识过程中节点的身份证明产生和使用封装在安全环境中，并且将区块链网络计票和签名的共识流程放在安全环境中，使之不受干扰，对开放环境中的节点程序提供安全的共识流程服务。

账号的World State在开放环境中完成更新，交易校验也就在开放环境中进行，一个可能的攻击结果是伪造交易验证结果，例如超花、双花等情况下给予确认。为此，需要保证安全环境中的节点程序与开放环境的节点程序之间建立一个可信通道(trustchannel)。通过该可信通道Security Node为On Node提供安全的用户密钥签名，校验服务、通过该可信通道Security Node为On Node提供使用用户密钥签名，校验服务的权限认证控制机制，通过该可信通道Security Node为On Node提供安全的共识流程服务。

如前文描述，开放环境上的其他应用程序的启动、运行、安装、下载等不在本发明实施例的范围内，但是本发明实施例确保对安全环境的访问只能是被代码IMAGE上链凭证背书的On Node基于trust channel对同样被代码IMAGE上链凭证背书的Security Node安全服务的访问，即使开放环境中的应用程序中藏有恶意代码也无法影响安全环境，无法冒充节点参与共识，对平台的安全性无法造成影响。

在开放环境的节点程序初始化过程中，该节点程序(开放节点程序)生成一个随机数，采用常规办法产生动态私钥，与安全环境内的节点程序(安全节点程序)采用常规办法建立安全连接后，绑定一个固定的端口。

本发明实施例将开放环境的Root权限交给安全环境内的一个管理终端程序。在启动过程中监视可信通道的建立过程，可以定期、或在需要的时候检查端口与进程的绑定关系，监视任何可能的进程重启，保证安全节点程序是在与开放节点程序通信。

另外，由于Boot顺序的要求，开放环境启动的时间会晚于安全环境，本发明实施例可以由安全环境CPU负责启动开放环境的CPU。

综上所述，本发明实施例将区块链节点逻辑的分为三部分，一部分部署在安全环境(Secure Environment)，一部分部署在节点内部环境(On Node Environment)，一部分部署在网络开放环境(Off Node Environment)，后两部分可以统称为开放环境(OpenEnvironment)。将用户的身份证明封装在安全环境中保管并对节点开放环境中的节点程序提供有安全权限控制的用户身份证明使用服务，将共识过程中节点的身份证明产生和使用封装在安全环境中，并且将区块链网络计票和签名的共识流程放在安全环境中，使之不受干扰，对开放环境中的节点程序提供安全的共识流程服务，安全环境和开放环境在硬件上可以是两个CPU也可以是同一CPU上逻辑分离，本发明实施例不做限定。

在需要在公共网络扩展资源时，本发明实施例限定为基础资源扩展(可以是虚拟化的)，即CPU、Memory、Storage和Network。例如租用第三方的IAAS云资源时，本发明所述的扩展资源可以是一个Container的Root权限。IAAS创建Container后，就将控制权交给个人节点，节点上的扩展管理程序负责Container内的程序加载、进程监管、和资源回收。所有加载的程序，可以要求通过代码的签名验证，可以屏蔽掉所有非法进程。

从上面描述可以看出，本发明实施例提供了一种可动态扩展的、边缘计算的安全计算环境，使得在无中心化权利机构以及不依赖算力证明和POS股权担保背书的前提条件下，用户使用采用本方法的计算平台设备作为区块链节点参与共识可声明和查证为诚实节点(可信节点)，同样，对于设备生产商生产基于本发明实施例的硬件设备，在区块链上公示安全不可抵赖的出生证明从而申明和可查证为可信平台，在区块链网络中存在大数量、多来源节点的情况下仍能提供平台硬件保证，使不依赖于算力证明以及POS股权担保的区块链网络构建机制的可行性拓展到非常大的规模。

本发明实施例还提供一种去中心化网络安全保护的装置，包括：

封装模块，用于将所述节点计算平台的凭证封装在所述安全环境中，其中，所述节点计算平台的凭证包括硬件出生凭证、代码镜像IMAGE背书凭证和用户节点凭证证明中的至少之一；

保护模块，用于将所述凭证对应的信任链在区块链中进行公示，通过凭证上链查证的方式保护网络安全。

在一实施例中，所述封装模块，用于：

对硬件用户身份证明UID选用区块链网络信任的同根签名证书签名，对所述节点计算平台植入硬件唯一身份的UID签名和签名证书，将所述UID签名以及包含所述签名证书的硬件签名证书信任链作为硬件出生凭证固化在所述安全环境的硬件安全存储区。

在一实施例中，所述装置还包括启动模块，

所述启动模块用于：

所述节点计算平台启动时，通过Secure Loader读取所述UID签名和硬件签名证书信任链，进行UID签名校验，若校验不通过，则启动失败。

在一实施例中，所述封装模块，用于：

对代码IMAGE选用区块链网络信任的同根签名证书签名，将厂商代码签名信任链作为代码IMAGE背书凭证固化在所述安全环境中的安全存储区。

在一实施例中，所述启动模块还用于：

所述节点计算平台启动时，按照所述厂商代码签名信任链进行校验，若校验不通过，则启动失败。

在一实施例中，所述装置还包括安装更新模块，

所述安装更新模块用于：

将所述节点计算平台中所有的代码IMAGE的安装和更新均在所述安全环境中完成。

在一实施例中，所述封装模块，用于：

将用户的身份证明和节点NODE信任链作为用户节点凭证证明，通过安全环境的安全协处理器保存在所述安全环境中的安全存储区。

在一实施例中，所述保护模块，用于：

将所有厂商的出生证明链在区块链中进行公示，将同厂生产节点的硬件安全资格的授予和取消记录在World State中，其中，所述出生证明链包括所述硬件出生凭证对应的硬件签名证书信任链和所述代码IMAGE背书凭证对应的厂商代码签名信任链；

按照节点共识更新所述硬件安全资格的授予和取消。

在一实施例中，所述保护模块，用于：

将所有的用户的身份证明公钥和NODE信任链公示在区块链中，将用户节点的安全资格的授予和取消记录在World State中；

按照节点共识更新所述用户节点的安全资格的授予和取消。

在一实施例中，所述装置还包括共识模块，

所述共识模块用于：

在执行共识流程时，在所述安全环境中执行网络计票和签名的步骤。

在一实施例中，所述装置还包括扩展模块，

所述扩展模块用于：

通过位于所述节点环境中的扩展管理程序向IAAS申请创建扩展环境资源；

在所述IAAS创建扩展环境资源后，通过所述扩展管理程序对所述扩展环境中的程序进行加载、进程监管和资源回收。

所述扩展模块用于：

通过所述扩展管理程序对所述扩展环境中的程序进行加载时，进行代码的签名验证，在验证不通过时，拒绝加载对应的程序。

本发明实施例还提供一种节点计算平台，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现所述去中心化网络安全保护的方法。

本发明实施例还提供一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行所述去中心化网络安全保护的方法。

在本实施例中，上述存储介质可以包括但不限于：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

本发明实施例还提供了一种安全的去中心化的可信云平台的实现方法，如图8所示，包括：

S810、云平台中的节点向区块链网络中的所有验证者或者自选部分验证者注册，各验证者分别自选背书证书验证所述节点是否为信任节点；各验证者的验证记录以及信任节点列表记录上链；

S820、当用户在启动虚拟机时，在区块链上自选部分验证者认证云平台中的节点的可信性，验证者的验证记录上链，用户根据区块链网络的验证者的验证结果选择接收或拒绝云平台中的信任节点。

MPI-SWS曾提出了一个TCCP(Trusted Cloud Computing Platform，可信云计算平台)模型，旨在防止IAAS系统管理员通过用户登录、重启节点和迁移节点作恶。该模型让“可信的第三方”(如可信云)管理云中的所有节点，这些节点要在TC注册成可信节点。可信节点采用一种成熟的远程证明技术TVMM(Trusted Virutal Machine Monitor，可信虚拟机监视器)中的“封闭”式虚拟机技术，允许用户在启动虚拟机之前先验证IAAS提供商的服务安全性，TC(信任协调者)利用TVMM的支持，为用户提供其虚拟机运行情况的执行验证信息。如图9所示：TCCP包括位于IAAS Perimeter(边缘)中的一系列信任节点(比如图9中的N₁-N₄)、CM(非信任协调者)、以及由ETE(外部信任实体)维护的TC。用户(User)通过和CM交互来使用信任节点，IAAS边缘由系统管理员(Sysadmin)管理。

重要的是：TCCP模型有效的前提是第三方TC的可信，在MPI-SWS的TCCP模型中，TC采用的是中心化PKI(Public Key Infrastructure，公钥基础设施技术，VM(VirutalMachine，虚拟机)发起过程中的信息变换过程如图10所示。

其中：

U是用户身份；

TK^P _TC是用TC公钥；

K_VM是用户产生的会话密钥；

α是初始状态，用K_VM加密的α和α散列值用以保护初始状态的保密性和完整性；

n_U是用户侧产生的随机数NONCE；

TK^p _N是节点N的私钥；

N是节点的身份标示；

n_N是节点产生的随机数NONCE；

需要强调的是，上述对TCCP的介绍不意味本发明是TCCP技术的延伸。TCCP是公开的技术，即不是本发明的内容，也不是本发明依赖的基础或前提。本发明是关于如何在零信任群体中选取“可信第三方”的技术，即，如何构建DTC(Decentralized TC，去中心的TC)，在任何需要可信第三方保证的，当然包括TCCP的开放计算环境中都可以使用。

一个示例中，用户、DTC和IAAS之间交互的具体过程如图11所示：

图中各参数说明如下：

U是用户身份；

n_U是用户侧产生的随机数NONCE；

TK^pr _U是用户的私钥；

TK^pr _N是节点N的私钥；

TK^P _N是节点N的公钥。

步骤111、用户(User)向节点Node N提交

同时提交身份证明

步骤112、N向DTC提交

证明节点身份，并证明收到服务请求；

步骤113、DTC发回

N解出K_VM；

步骤114、节点N用K_VM加密身份后向用户发回

上述流程中的步骤111-114是典型的TCCP流程，本发明实施例对流程中的具体信息做了调整，这些调整不改变TCCP流程的基本逻辑，所以，这些调整不是本申请保护的内容。

下面的流程是本示例中实现去中心TC的流程：

11a1,IAAS的DTC提交节点自签的N，以及要求提供服务的用户账号信息，hash：#(U,nu)给区块链(Block Chain)；区块链验证N可信后，将验证结果上链；

11b1，用户侧的DTC采信区块链校验结果，从中获取通过验证的N，及其公钥；

11c，用户用N公钥加密的KVM

，给用户侧的DTC；

11b2，用户侧DTC向区块链发起User请求N提供服务的验证请求(#U,n_U，N，

验证后上链；

11a2，IAAS侧的DTC采信用户的服务请求，获取KVM密文

与MPI的中心化TCCP不同的另一点是，本发明实施例可以由用户提供VMI(虚拟机映像)，包括虚拟机状态。

完整的流程是：启动虚拟机前用户不知道虚拟机将被分配到哪个物理节点。首先，用户发出启动一个虚拟机的请求给CM，一旦接收到启动虚拟机的请求，IAAS的CM从簇中指定一个节点N来操作虚拟机，并将请求转发给N。N收到服务请求后通过IAAS DTC在链上提出验证请求，验证后上链；用户独立的查看服务申请验证的情况，发现通过验证后，将会话密钥用服务提供者N的公钥加密后提交给区块链验证，IAAS DTC发现验证后的购买服务的承诺后，交信息给服务提供者N，N解出会话密钥后，解密状态信息，并用会话密钥加密N的身份，通过CM途径给用户。

下面再用一个具体示例进行说明：

1、云计算节点N向区块链网络中注册。具体的，需要在链上公示节点的身份凭证，包括：硬件的可信证明和平台代码的可信证明；

2、采用随机抽签的方法，例如，用一个大家共同的随机数和参与者账号的函数，散列数小于某个值的都可以作为潜在的验证者。潜在校验者在区块链上获取到公示的硬件签名信任链并校验，出示验证结果和自己的抽签证明，如果规定有n个校验者，则散列数最小的n个验证结果被接受，如果2/3及以上的结果为可信，对这个节点的可信达成了共识。验证者达成可信任共识的节点，链上记录为可信节点。

3、用户需要自己检查、自行确定是否信任节点。

4、用户在启动虚拟机时，由验证者(用户在区块链上从全部验证者中自选的一部分)认证节点N的可信性，验证者的验证记录上链，

5、校验者需要在区块链上获取到公示的节点身份证书信任链，通过节点身份证书校验消息签名。

6、校验者需要在区块链上获取到公示的硬件的可信证明信任链以及代码签名信任链并校验签名；

7、用户自己根据验证者、和验证结果选择接收或拒绝信任这个节点。

8、IAAS服务商创建VM后，将用户控制权交给个人用户，个人用户在链上发起该节点N可信的验证请求，在链上得到“可信”的共识结果后，个人用户节点的安全环境内的扩展管理程序负责VM内的程序加载、进程监管、和资源回收。所有加载的程序，可以要求通过代码的签名验证，可以屏蔽掉所有非法进程。

9、当IAAS系统管理员重启物理主机或将VM迁移到非可信主机时，需要重新进行可信校验，个人用户可以重新在链上查看“可信”结果。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器，如数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

Claims (16)

1.一种安全的去中心化的节点计算平台的实现方法，其特征在于，所述节点计算平台采用多处理资源环境，所述多处理资源环境包括安全环境和开放环境，所述开放环境至少包括节点环境，所述方法包括：

将所述节点计算平台的凭证封装在所述安全环境中；

将所述凭证对应的信任链在所述节点计算平台所在的去中心化网络中进行公示，以通过凭证上链查证的方式证明所述节点计算平台可信。

2.根据权利要求1所述的方法，其特征在于，所述凭证包括硬件出生凭证，将所述节点计算平台的凭证封装在所述安全环境中，包括：

对硬件用户身份证明UID选用区块链网络信任的同根签名证书签名，对所述节点计算平台植入硬件唯一身份的UID签名和签名证书，将所述UID签名以及包含所述签名证书的硬件签名证书信任链作为硬件出生凭证固化在所述安全环境的硬件安全存储区。

3.根据权利要求2所述的方法，其特征在于，所述将所述凭证对应的信任链在所述节点计算平台所在的去中心化网络中进行公示，以通过凭证上链查证的方式证明所述节点计算平台可信，包括：

将所有厂商的出生证明链在所述去中心化网络中进行公示，其中，所述出生证明链包括所述硬件出生凭证对应的硬件签名证书信任链，以通过凭证上链查证的方式证明所述节点计算平台采用可信硬件。

4.根据权利要求1所述的方法，其特征在于，所述凭证包括代码镜像IMAGE背书凭证，所述将所述节点计算平台的凭证封装在所述安全环境中，包括：

对代码IMAGE选用区块链网络信任的同根签名证书签名，将厂商代码签名信任链作为代码IMAGE背书凭证固化在所述安全环境中的安全存储区。

5.根据权利要求4所述的方法，其特征在于，所述将所述凭证对应的信任链在所述节点计算平台所在的去中心化网络中进行公示，以通过凭证上链查证的方式证明所述节点计算平台可信，包括：

将所有厂商的出生证明链在所述去中心化网络中进行公示，其中，所述出生证明链包括所述代码IMAGE背书凭证对应的厂商代码签名信任链，以通过凭证上链查证的方式保证所述节点计算平台采用可信平台代码。

6.根据权利要求4所述的方法，其特征在于，所述方法还包括：

所述节点计算平台中所有的代码IMAGE的安装和更新均由所述安全环境中的装载程序和所述安全环境中的平台系统程序安装和更新软件在所述安全环境中完成，通过凭证上链查证的方式证明所述代码IMAGE可信。

7.根据权利要求1所述的方法，其特征在于，所述凭证包括用户节点凭证证明，所述将所述节点计算平台的凭证封装在所述安全环境中，包括：

将用户的身份证明和节点NODE信任链作为用户节点凭证证明，通过安全环境的安全协处理器保存在所述安全环境中的安全存储区。

8.根据权利要求7所述的方法，其特征在于，所述将所述凭证对应的信任链在所述节点计算平台所在的去中心化网络中进行公示，以通过凭证上链查证的方式证明所述节点计算平台可信，包括：

将所有的用户的身份证明公钥和NODE信任链公示在所述去中心化网络中，以通过凭证上链查证的方式证明所述节点计算平台的用户账号可信。

9.根据权利要求7所述的方法，其特征在于，所述方法还包括：

在执行共识流程时，在所述安全环境中执行网络计票和签名，对所述开放环境的节点程序提供有安全权限控制的用户身份证明使用服务。

10.根据权利要求1所述的方法，其特征在于，所述开放环境还包括扩展环境，所述方法还包括：

通过位于所述节点环境中的扩展管理程序向基础设施即服务IAAS申请创建扩展环境资源；

在所述IAAS创建扩展环境资源后，通过所述扩展管理程序对所述扩展环境中的程序进行加载、进程监管和资源回收。

11.根据权利要求10所述的方法，其特征在于，

对所述扩展环境中的程序进行加载时，通过所述扩展管理程序进行代码的签名验证，在验证不通过时，拒绝加载对应的程序。

12.根据权利要求10所述的方法，其特征在于，所述方法还包括：

通过上链查证的方式，根据选择的验证者的验证结果，确定是否信任提供所述扩展环境资源的节点。

13.根据权利要求1所述的方法，其特征在于，所述方法还包括：

通过向所有或部分验证者注册，以成为IAAS云平台中信任节点，其中，验证者的验证结果上链公示。

14.一种节点计算平台，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1～13中任意一项所述安全的去中心化的节点计算平台的实现方法。

15.一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行权利要求1～13中任意一项所述安全的去中心化的节点计算平台的实现方法。

16.一种安全的去中心化的可信云平台的实现方法，包括：

云平台中的节点向区块链网络中的所有验证者或者自选部分验证者注册，各验证者分别自选背书证书验证所述节点是否为信任节点；各验证者的验证记录以及信任节点列表记录上链；

当用户在启动虚拟机时，在区块链上自选部分验证者认证云平台中的节点的可信性，验证者的验证记录上链，用户根据区块链网络的验证者的验证结果选择接收或拒绝云平台中的信任节点。

Images