CN114710319B - 一种基于可信计算的裁决判定方法及系统 - Google Patents

一种基于可信计算的裁决判定方法及系统 Download PDF

Info

Publication number
CN114710319B
CN114710319B CN202210211593.0A CN202210211593A CN114710319B CN 114710319 B CN114710319 B CN 114710319B CN 202210211593 A CN202210211593 A CN 202210211593A CN 114710319 B CN114710319 B CN 114710319B
Authority
CN
China
Prior art keywords
trusted
file
value
measurement
report
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210211593.0A
Other languages
English (en)
Other versions
CN114710319A (zh
Inventor
蔡鹏�
刘赢
叶林
梁伟伟
张鸿涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Trusted Computing Technology Wuxi Co ltd
Original Assignee
Trusted Computing Technology Wuxi Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Trusted Computing Technology Wuxi Co ltd filed Critical Trusted Computing Technology Wuxi Co ltd
Priority to CN202210211593.0A priority Critical patent/CN114710319B/zh
Publication of CN114710319A publication Critical patent/CN114710319A/zh
Application granted granted Critical
Publication of CN114710319B publication Critical patent/CN114710319B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明提供了一种基于可信计算的裁决判定方法及系统,节点的可信性根据被写入PCR的值生成可信报告进行判断,可信报告证明了PCR写入值序列的真实性。PCR写入序列中每个值对应一个对象的度量值,对于固定数据内容的度量对象,可以建立起度量对象可信属性和度量值的一一映射关系,因此,裁决节点通过可信报告,就可以倒推出度量对象的可信性。如果度量对象是可变对象,则可信报告中不仅要包含PCR值的写入序列,还需将其度量结果也发送到裁决节点,这样,裁决节点才能得到足够的信息来对节点的可信性进行判断。

Description

一种基于可信计算的裁决判定方法及系统
技术领域
本发明涉及计算机技术领域,尤其涉及一种基于可信计算的裁决判定方法及系统。
背景技术
随着网络技术的普及,越来越多的事件需要借助网络实现。然而,在现有网络环境下,往往无法对访问设备进行可信控制,而一旦访问设备存在安全隐患,则会导致被访问端出现风险,因此,如何设计一种网络访问安全控制机制,成为亟待解决的问题。
发明内容
本发明旨在提供一种克服上述问题或者至少部分地解决上述问题的基于可信计算的裁决判定方法及装置。
为达到上述目的,本发明的技术方案具体是这样实现的:
本发明的一个方面提供了一种基于可信计算的裁决判定方法,包括:可信报告节点接收可信报告请求,读取可信报告节点AIK密钥,生成可信报告文件,其中,所述可信报告文件包括:度量值、PCR写入序列值和可信报告记录;所述可信报告节点将所述可信报告文件转换为唯一文件名,得到可信报告文件名;所述可信报告节点生成文件发送请求记录,所述文件发送请求记录包括:所述可信报告文件名、可信报告摘要值和可信报告节点AIK公钥摘要值;所述可信报告节点通过可信安全传输装置将可信报告文件和所述文件发送请求记录发送至可信裁决节点;所述可信裁决节点通过所述可信安全传输装置接收所述可信报告文件和所述文件发送请求记录;所述可信裁决节点获取可信裁决节点AIK公钥,利用所述可信裁决节点AIK公钥验证所述可信报告文件的可信性;可信裁决节点在验证所述可信报告文件可信的情况下,按照所述可信报告文件中PCR写入序列值,计算PCR预期值,比对所述PCR预期值与所述PCR写入序列值,如果结果一致,则建立可信报告记录项,从所述可信报告文件中获取所述度量值,如果获取成功,则从可信基准库中查找度量对应项,并进行比对,如果比对一致,则将查询结果加入可信报告记录中;如果获取不成功,则将可信报告记录信息加入所述可信报告文件中,发送控制消息至所述可信安全传输装置控制网络访问请求。
其中,方法还包括:所述可信报告节点创建空度量值记录和空PCR写入序列值记录;所述可信报告节点获取度量文件,根据所述度量文件和全路径名计算摘要值,将所述度量文件的摘要值写入所述度量值记录;所述可信报告节点将PCR原有记录结果与所述度量文件的摘要值进行哈希运算,得到运算结果,将所述运算结果作为新的度量结果存储到PCR中;所述可信报告节点将所述新的度量结果添加至所述PCR写入序列值记录。
其中,方法还包括:可信基准节点建立度量基准值记录数据结构,将所述策略配置文件中的内容读入所述度量基准值记录数据结构中;可信基准节点根据路径和文件列表确定需度量文件的全路径名,计算需度量文件的摘要值,并生成对象的度量值,将所述对象的度量值填充到基准值记录数据结构中,生成对象度量基准值,将所述对象度量基准值发送给所述可信裁决节点。
其中,所述可信基准节点建立度量基准值记录数据结构,将所述策略配置文件中的内容读入所述度量基准值记录数据结构中包括:所述可信基准节点将所述策略配置文件转化为解析树;所述可信基准节点建立所述度量基准值数据结构,将所述策略配置文件解析树中的内容读入所述度量基准值数据结构中;可信基准节点根据路径和文件列表确定需度量文件的全路径名,计算需度量文件的摘要值,并生成对象的度量值,将所述对象的度量值填充到基准值记录数据结构中,生成对象度量基准值,将所述对象度量基准值发送给所述可信裁决节点包括:所述可信基准节点通过所述解析树查找路径元素,设置度量文件名函数获取文件列表对象的第一个元素,判断所述度量文件名函数是否为空,如果不为空,则将路径和文件名拼接成文件全路径名,计算文件摘要值,将文件摘要值扩展到所述度量基准值数据结构的度量基准值中,所述度量文件名函数获取所述文件列表对象的第二个元素,直至将文件列表对象的全部元素的文件摘要值均扩展到所述度量基准值数据结构的度量基准值中;如果为空,则创建记录格式消息,将所述度量基准值数据结构作为消息记录添加到消息中发送至所述可信裁决节点。
其中,所述度量值包括但不限于度量对象名称、度量对象版本号、对象度量值、对度量值描述;所述PCR写入序列值包括但不限于PCR寄存器、PCR寄存器的初值、写入PCR序列数据结构数量、PCR序列度量对象的列表、PCR序列写入值列表;所述可信报告记录包括但不限于可信节点的唯一编号、可信报告生成时的用户名称、可信报告的类型、可信报告的唯一编号、可信报告所使用的公钥的唯一编号。
本发明另一方面提供了一种基于可信计算的裁决判定系统,包括:可信报告节点、可信裁决节点和可信安全传输装置;其中:所述可信报告节点,用于接收可信报告请求,读取可信报告节点AIK密钥,生成可信报告文件,其中,所述可信报告文件包括:度量值、PCR写入序列值和可信报告记录;将所述可信报告文件转换为唯一文件名,得到可信报告文件名;生成文件发送请求记录,所述文件发送请求记录包括:所述可信报告文件名、可信报告摘要值和可信报告节点AIK公钥摘要值;通过所述可信安全传输装置将可信报告文件和所述文件发送请求记录发送至可信裁决节点;所述可信裁决节点,用于通过所述可信安全传输装置接收所述可信报告文件和所述文件发送请求记录;获取可信裁决节点AIK公钥,利用所述可信裁决节点AIK公钥验证所述可信报告文件的可信性;在验证所述可信报告文件可信的情况下,按照所述可信报告文件中PCR写入序列值,计算PCR预期值,比对所述PCR预期值与所述PCR写入序列值,如果结果一致,则建立可信报告记录项,从所述可信报告文件中获取所述度量值,如果获取成功,则从可信基准库中查找度量对应项,并进行比对,如果比对一致,则将查询结果加入可信报告记录中;如果获取不成功,则将可信报告记录信息加入所述可信报告文件中,发送控制消息至所述可信安全传输装置控制网络访问请求。
其中,所述可信报告节点,还用于创建空度量值记录和空PCR写入序列值记录;获取度量文件,根据所述度量文件和全路径名计算摘要值,将所述度量文件的摘要值写入所述度量值记录;将PCR原有记录结果与所述度量文件的摘要值进行哈希运算,得到运算结果,将所述运算结果作为新的度量结果存储到PCR中;将所述新的度量结果添加至所述PCR写入序列值记录。
其中,系统还包括:可信基准节点;所述可信基准节点,用于建立度量基准值记录数据结构,将所述策略配置文件中的内容读入所述度量基准值记录数据结构中;根据路径和文件列表确定需度量文件的全路径名,计算需度量文件的摘要值,并生成对象的度量值,将所述对象的度量值填充到基准值记录数据结构中,生成对象度量基准值,将所述对象度量基准值发送给所述可信裁决节点。
其中,所述可信基准节点通过如下方式建立度量基准值记录数据结构,将所述策略配置文件中的内容读入所述度量基准值记录数据结构中:所述可信基准节点将所述策略配置文件转化为解析树;建立所述度量基准值数据结构,将所述策略配置文件解析树中的内容读入所述度量基准值数据结构中;所述可信基准节点通过如下方式根据路径和文件列表确定需度量文件的全路径名,计算需度量文件的摘要值,并生成对象的度量值,将所述对象的度量值填充到基准值记录数据结构中,生成对象度量基准值,将所述对象度量基准值发送给所述可信裁决节点:所述可信基准节点通过所述解析树查找路径元素,设置度量文件名函数获取文件列表对象的第一个元素,判断所述度量文件名函数是否为空,如果不为空,则将路径和文件名拼接成文件全路径名,计算文件摘要值,将文件摘要值扩展到所述度量基准值数据结构的度量基准值中,所述度量文件名函数获取所述文件列表对象的第二个元素,直至将文件列表对象的全部元素的文件摘要值均扩展到所述度量基准值数据结构的度量基准值中;如果为空,则创建记录格式消息,将所述度量基准值数据结构作为消息记录添加到消息中发送至所述可信裁决节点。
其中,所述度量值包括但不限于度量对象名称、度量对象版本号、对象度量值、对度量值描述;所述PCR写入序列值包括但不限于PCR寄存器、PCR寄存器的初值、写入PCR序列数据结构数量、PCR序列度量对象的列表、PCR序列写入值列表;所述可信报告记录包括但不限于可信节点的唯一编号、可信报告生成时的用户名称、可信报告的类型、可信报告的唯一编号、可信报告所使用的公钥的唯一编号。
由此可见,通过本发明提供的基于可信计算的裁决判定方法及系统,节点的可信性根据被写入PCR的值生成可信报告进行判断,可信报告证明了PCR写入值序列的真实性。PCR写入序列中每个值对应一个对象的度量值,对于固定数据内容的度量对象,可以建立起度量对象可信属性和度量值的一一映射关系,因此,裁决节点通过可信报告,就可以倒推出度量对象的可信性。如果度量对象是可变对象,则可信报告中不仅要包含PCR值的写入序列,还需将其度量结果也发送到裁决节点,这样,裁决节点才能得到足够的信息来对节点的可信性进行判断。因此,通过本发明实施例提供的可信裁决机制,可以提高网络访问的安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例提供的基于可信计算的裁决判定系统的结构示意图;
图2为本发明实施例提供的可信报告生成流程图;
图3为本发明实施例提供的可信裁决流程图;
图4为本发明实施例提供的可信基准值生成流程图;
图5为本发明实施例提供的基准值生成子模块工作流程图;
图6为本发明实施例提供的可信度量流程图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了本发明实施例提供的基于可信计算的裁决判定系统的结构示意图,参见图1,本发明实施例提供的基于可信计算的裁决判定系统,包括:可信报告节点、可信裁决节点和可信安全传输装置;其中:
可信报告节点,用于接收可信报告请求,读取可信报告节点AIK密钥,生成可信报告文件,其中,可信报告文件包括:度量值、PCR写入序列值和可信报告记录;将可信报告文件转换为唯一文件名,得到可信报告文件名;生成文件发送请求记录,文件发送请求记录包括:可信报告文件名、可信报告摘要值和可信报告节点AIK公钥摘要值;通过可信安全传输装置将可信报告文件和文件发送请求记录发送至可信裁决节点;
可信裁决节点,用于通过可信安全传输装置接收可信报告文件和文件发送请求记录;获取可信裁决节点AIK公钥,利用可信裁决节点AIK公钥验证可信报告文件的可信性;在验证可信报告文件可信的情况下,按照可信报告文件中PCR写入序列值,计算PCR预期值,比对PCR预期值与PCR写入序列值,如果结果一致,则建立可信报告记录项,从可信报告文件中获取度量值,如果获取成功,则从可信基准库中查找度量对应项,并进行比对,如果比对一致,则将查询结果加入可信报告记录中;如果获取不成功,则将可信报告记录信息加入可信报告文件中,发送控制消息至可信安全传输装置控制网络访问请求。
作为本发明实施例的一个可选实施方式,本发明实施例提供的基于可信计算的裁决判定系统还包括:可信基准节点;可信基准节点,用于建立度量基准值记录数据结构,将策略配置文件中的内容读入度量基准值记录数据结构中;根据路径和文件列表确定需度量文件的全路径名,计算需度量文件的摘要值,并生成对象的度量值,将对象的度量值填充到基准值记录数据结构中,生成对象度量基准值,将对象度量基准值发送给可信裁决节点。
作为本发明实施例的一个可选实施方式,可信报告节点,还用于创建空度量值记录和空PCR写入序列值记录;获取度量文件,根据度量文件和全路径名计算摘要值,将度量文件的摘要值写入度量值记录;将PCR原有记录结果与度量文件的摘要值进行哈希运算,得到运算结果,将运算结果作为新的度量结果存储到PCR中;将新的度量结果添加至PCR写入序列值记录。其中,可信基准节点通过如下方式建立度量基准值记录数据结构,将策略配置文件中的内容读入度量基准值记录数据结构中:可信基准节点将策略配置文件转化为解析树;建立度量基准值数据结构,将策略配置文件解析树中的内容读入度量基准值数据结构中;可信基准节点通过如下方式根据路径和文件列表确定需度量文件的全路径名,计算需度量文件的摘要值,并生成对象的度量值,将对象的度量值填充到基准值记录数据结构中,生成对象度量基准值,将对象度量基准值发送给可信裁决节点:可信基准节点通过解析树查找路径元素,设置度量文件名函数获取文件列表对象的第一个元素,判断度量文件名函数是否为空,如果不为空,则将路径和文件名拼接成文件全路径名,计算文件摘要值,将文件摘要值扩展到度量基准值数据结构的度量基准值中,度量文件名函数获取文件列表对象的第二个元素,直至将文件列表对象的全部元素的文件摘要值均扩展到度量基准值数据结构的度量基准值中;如果为空,则创建记录格式消息,将度量基准值数据结构作为消息记录添加到消息中发送至可信裁决节点。
作为本发明实施例的一个可选实施方式,度量值包括但不限于度量对象名称、度量对象版本号、对象度量值、对度量值描述;PCR写入序列值包括但不限于PCR寄存器、PCR寄存器的初值、写入PCR序列数据结构数量、PCR序列度量对象的列表、PCR序列写入值列表;可信报告记录包括但不限于可信节点的唯一编号、可信报告生成时的用户名称、可信报告的类型、可信报告的唯一编号、可信报告所使用的公钥的唯一编号。
在本发明具体实现时,本发明实施例提供的基于可信计算的裁决判定系统可以按照图1进行架构,包括:可信报告节点、可信安全传输装置、可信裁决节点和可信基准节点。其中:
可信基准节点上运行基准值生成子模块,可以根据度量对象的配置情况,计算对象的可信基准值,该可信基准值以记录格式发送到可信裁决节点,不需要本地存储。
可信传输安全装置用于传输可信验证信息,并接收可信裁决结果,通过访问控制策略,保证信息资源不被非授权使用。
可信报告节点包括可信度量子模块、可信报告子模块、文件传输子模块和密钥管理子模块;其中:可信度量子模块执行度量工作,对每个对象的度量都生成PCR写入值并存储到可信根的PCR寄存器中,同时构造PCR写入值序列并存储在内存数据库中;可信报告子模块执行可信报告操作,生成可信报告数据并把其写入本地文件中以便长期保存,并向可信裁决节点发送包含节点信息、报告摘要值、PCR写入值序列的可信报告数据,这些数据以文件方式通过文件传输子模块发送给可信裁决节点。为了让可信报告安全保密的发送到可信裁决节点,还在可信报告节点建立了密钥管理模块,通过密钥管理模块向可信报告模块提供可信报告所用的身份证明密钥AIK信息,并向可信裁决节点提交AIK公钥和公钥证书。
可信裁决节点包括:文件传输子模块、消息接收子模块、可信裁决子模块、内存数据库导出子模块、密钥管理子模块和可信基准库。可信裁决节点主要有两方面工作任务:一、接收可信基准值,并存储下来。由消息接收子模块接收消息并存放到内存数据库中,然后发送一个类型记录信息给内存数据库导出子模块。内存数据库导出子模块将基准值数据存储下来。二、接收可信报告文件,可信报告文件包括可信报告数据、可信报告摘要值和PCR写入值序列记录,并执行可信报告裁决工作,产生裁决结果。由文件传输子模块接收可信报告文件,而可信报告裁决工作则由可信裁决模块完成,并生成裁决结果。同时,可信裁决节点也需要密钥管理模块提供验证所需的身份证明密钥AIK。
由此可见,通过本发明提供的基于可信计算的裁决判定系统,节点的可信性根据被写入PCR的值生成可信报告进行判断,可信报告证明了PCR写入值序列的真实性。PCR写入序列中每个值对应一个对象的度量值,对于固定数据内容的度量对象,可以建立起度量对象可信属性和度量值的一一映射关系,因此,裁决节点通过可信报告,就可以倒推出度量对象的可信性。如果度量对象是可变对象,则可信报告中不仅要包含PCR值的写入序列,还需将其度量结果也发送到裁决节点,这样,裁决节点才能得到足够的信息来对节点的可信性进行判断。
基于图1所示的基于可信计算的裁决判定系统,以下,对本发明实施例提供的基于可信计算的裁决判定方法进行说明,本发明实施例提供的基于可信计算的裁决判定方法,包括:
S1,可信报告节点接收可信报告请求,读取可信报告节点AIK密钥,生成可信报告文件,其中,可信报告文件包括:度量值、PCR写入序列值和可信报告记录;
S2,可信报告节点将可信报告文件转换为唯一文件名,得到可信报告文件名;
S3,可信报告节点生成文件发送请求记录,文件发送请求记录包括:可信报告文件名、可信报告摘要值和可信报告节点AIK公钥摘要值;
S4,可信报告节点通过可信安全传输装置将可信报告文件和文件发送请求记录发送至可信裁决节点。
具体地,可信报告节点依据可信报告模板、度量值、PCR写入值序列、可信报告记录等信息生成可信报告,并通过文件传输子模块发送给可信安全传输装置。可信安全传输装置将收到的可信报告转发给可信裁决节点上述步骤S1至S4为可信报告生成流程,可信报告的生成过程具体可以参见图2所示的流程图。
基于图1具体实现时,可信报告生成流程可以包括:
1、可信报告节点的可信报告子模块收到可信报告请求后,读取本地节点AIK密钥,生成空可信报告文件,并依据报告格式和记录项填充报告文件内容,将可信报告文件转化为唯一的文件名。
2、通过文件传输子模块将报告名、报告摘要值和AIK公钥摘要值发送给可信裁决节点文件传输子模块,并将可信报告文件也发送至可信裁决节点文件传输子模块。
作为本发明实施例的一个可选实施方式,度量值包括但不限于度量对象名称、度量对象版本号、对象度量值、对度量值描述;PCR写入序列值包括但不限于PCR寄存器、PCR寄存器的初值、写入PCR序列数据结构数量、PCR序列度量对象的列表、PCR序列写入值列表;可信报告记录包括但不限于可信节点的唯一编号、可信报告生成时的用户名称、可信报告的类型、可信报告的唯一编号、可信报告所使用的公钥的唯一编号。
具体地,报告格式定义:
可信报告定义的记录项包括:度量值记录项、PCR写入序列记录项和可信报告记录项三部分内容组成。
1)度量记录项用来记录对象的度量值并供用户查询比对。记录项内部包括:度量对象名称、度量对象版本号、对象度量值、对度量值描述等。
2)PCR写入序列记录项用来记录写入一个PCR的数值序列。记录项内容包括:PCR寄存器、PCR寄存器的初值、写入PCR序列数据结构数量、PCR序列度量对象的列表、PCR序列写入值列表等。
3)可信报告记录项用来传送可信报告的摘要值以及相关信息,记录项内容包括:可信节点的唯一编号、可信报告生成时的用户名称、可信报告的类型(由信息系统根据自身安全需求定义)、可信报告的唯一编号、可信报告所使用的公钥的唯一编号等。
S5,可信裁决节点通过可信安全传输装置接收可信报告文件和文件发送请求记录;
S6,可信裁决节点获取可信裁决节点AIK公钥,利用可信裁决节点AIK公钥验证可信报告文件的可信性;
S7,可信裁决节点在验证可信报告文件可信的情况下,按照可信报告文件中PCR写入序列值,计算PCR预期值,比对PCR预期值与PCR写入序列值,如果结果一致,则建立可信报告记录项,从可信报告文件中获取度量值,如果获取成功,则从可信基准库中查找度量对应项,并进行比对,如果比对一致,则将查询结果加入可信报告记录中;如果获取不成功,则将可信报告记录信息加入可信报告文件中,发送控制消息至可信安全传输装置控制网络访问请求。
具体地,可信裁决节点依据可信基准库和的可信报告进行可信裁决,并将可信裁决结果发送给可信安全传输装置,可信安全传输装置依据裁决结果,控制网络访问请求。上述步骤S5至S7为可信裁决流程,可信裁决过程具体可以参见图3所示的流程图。
基于图1具体实现时,可信裁决流程包括:
1、可信裁决节点的文件传输子模块在收到可信报告节点的可信报告摘要值、AIK公钥摘要值和可信报告文件后,载入可信裁决子模块以及密钥管理子模块。
2、验证可信报告的可信性。裁决服务收到节点可信报告后,使用本地节点的AIK公钥验证可信报告的可信性,验证通过后从中提取PCR寄存器值。
3、验证本地节点提交的PCR写入值序列的真实性。裁决服务将收到报告中的PCR写入值序列按照PCR写入规律,计算出一个PCR预期值,并于步骤(2)中获得的PCR值进行比较,若比较结果一致,则说明PCR写入值序列为真实。
4、验证度量结果的真实性。对于固定数据对象,PCR写入值序列的对应度量值就是其度量结果。PCR写入值序列通过验证就表示固定数据对象验证结果真实。对于可变对象,裁决服务需要获取本地节点提交的对象度量结果,并计算其摘要值,将摘要值与PCR写入序列中对应的可变对象度量结果进行比对,如果比对结果一致,说明该度量结果为真实的度量结果。
5、验证度量结果的可信性。裁决服务查询可信基准库,用可信基准库中的基准值与度量结果比较,根据不同的度量方式,比较不同的基准值内容,如果比较结果一致,则说明度量结果可信。
6、在完成度量结果可信性验证后,将最终的验证结果以消息方式发送至可信安全传输装置。可信安全传输装置依据裁决结果,控制网络访问请求。
作为本发明实施例的一个可选实施方式,在可信报告裁决工作之前,首先需要建立可信基准库。在度量对象处于可信状态时对其进行度量,产生的度量基准值以可信存储方式存储到数据库中,即为可信基准库。因此,本发明实施例提供的基于可信计算的裁决判定方法还包括:可信基准节点建立度量基准值记录数据结构,将策略配置文件中的内容读入度量基准值记录数据结构中;可信基准节点根据路径和文件列表确定需度量文件的全路径名,计算需度量文件的摘要值,并生成对象的度量值,将对象的度量值填充到基准值记录数据结构中,生成对象度量基准值,将对象度量基准值发送给可信裁决节点。
具体地,可以参照图4所示的可信基准值生成流程图进行实现。
基于图1具体实现时,可信基准值生成流程包括:
1、基准值生成子模块建立一个度量基准值记录数据结构,并将策略配置文件中的对应内容读入系统度量值记录中,再根据路径和文件列表找到需度量文件的全路径名,计算这些文件的摘要值,并合成为对象的度量值。将对象度量值填充到度量基准值记录数据结构中,即可形成一个完整的对象度量基准值。
2、将生成的对象度量可信基准值写入消息记录中并发送给可信裁决节点的消息接收子模块。
3、可信裁决节点的消息接收子模块收到可信基准值记录后将其存储到本地内存数据库中,并发送所接收的消息类型记录给内存数据库导出子模块。
4、内存数据库导出子模块收到消息后将内存数据库中的可信基准值内容保存到本地磁盘上形成可信基准库以备校验使用。
作为本发明实施例的一个可选实施方式,可信基准节点建立度量基准值记录数据结构,将策略配置文件中的内容读入度量基准值记录数据结构中包括:可信基准节点将策略配置文件转化为解析树;可信基准节点建立度量基准值数据结构,将策略配置文件解析树中的内容读入度量基准值数据结构中;可信基准节点根据路径和文件列表确定需度量文件的全路径名,计算需度量文件的摘要值,并生成对象的度量值,将对象的度量值填充到基准值记录数据结构中,生成对象度量基准值,将对象度量基准值发送给可信裁决节点包括:可信基准节点通过解析树查找路径元素,设置度量文件名函数获取文件列表对象的第一个元素,判断度量文件名函数是否为空,如果不为空,则将路径和文件名拼接成文件全路径名,计算文件摘要值,将文件摘要值扩展到度量基准值数据结构的度量基准值中,度量文件名函数获取文件列表对象的第二个元素,直至将文件列表对象的全部元素的文件摘要值均扩展到度量基准值数据结构的度量基准值中;如果为空,则创建记录格式消息,将度量基准值数据结构作为消息记录添加到消息中发送至可信裁决节点。具体地,以上可信基准节点的操作,可以由图1中所示的基准值生成子模块执行,该基准值生成子模块执行的基准值生成流程可以参照图5所示。
作为本发明实施例的一个可选实施方式,基于可信计算的裁决判定方法还包括:可信报告节点创建空度量值记录和空PCR写入序列值记录;可信报告节点获取度量文件,根据度量文件和全路径名计算摘要值,将度量文件的摘要值写入度量值记录;可信报告节点将PCR原有记录结果与度量文件的摘要值进行哈希运算,得到运算结果,将运算结果作为新的度量结果存储到PCR中;可信报告节点将新的度量结果添加至PCR写入序列值记录。具体地,在建立可信基准库后,裁决节点就可以为可信报告节点提供可信裁决服务了。可信报告节点生成可信报告时会调用可信度量子模块,再根据度量配置目录中的路径和文件列表计算这些文件的摘要值。具体实现时,可信度量子模块可以按照图6所示的可信度量流程执行相关操作。
基于图1具体实现时,可信度量流程可以包括:
1、由可信报告节点的可信度量子模块载入,对可信报告节点进行可信度量,由可信度量子模块创建一个空度量值记录数据结构和一个PCR序列记录数据结构,再根据度量配置目录中的路径和文件列表找到需度量文件的全路径名,计算这些文件的摘要值。
2、将生成的度量文件的摘要值写入度量值记录数据结构中。
3、将生成的度量文件摘要值发送给可信密码模块TCM,TCM将PCR寄存器中原有的写入序列记录结果和接收到的文件摘要值进行哈希运算,并将运算结果作为新生成的度量结果存储到PCR中。
4、PCR寄存器中新生成的度量结果添加至PCR序列记录数据结构中。
由此可见,通过本发明提供的基于可信计算的裁决判定方法,节点的可信性根据被写入PCR的值生成可信报告进行判断,可信报告证明了PCR写入值序列的真实性。PCR写入序列中每个值对应一个对象的度量值,对于固定数据内容的度量对象,可以建立起度量对象可信属性和度量值的一一映射关系,因此,裁决节点通过可信报告,就可以倒推出度量对象的可信性。如果度量对象是可变对象,则可信报告中不仅要包含PCR值的写入序列,还需将其度量结果也发送到裁决节点,这样,裁决节点才能得到足够的信息来对节点的可信性进行判断。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种基于可信计算的裁决判定方法,其特征在于,包括:
可信报告节点接收可信报告请求,读取可信报告节点AIK密钥,生成可信报告文件,其中,所述可信报告文件包括:度量值、PCR写入序列值和可信报告记录;
所述可信报告节点将所述可信报告文件转换为唯一文件名,得到可信报告文件名;
所述可信报告节点生成文件发送请求记录,所述文件发送请求记录包括:所述可信报告文件名、可信报告摘要值和可信报告节点AIK公钥摘要值;
所述可信报告节点通过可信安全传输装置将可信报告文件和所述文件发送请求记录发送至可信裁决节点;
所述可信裁决节点通过所述可信安全传输装置接收所述可信报告文件和所述文件发送请求记录;
所述可信裁决节点获取可信裁决节点AIK公钥,利用所述可信裁决节点AIK公钥验证所述可信报告文件的可信性;
可信裁决节点在验证所述可信报告文件可信的情况下,按照所述可信报告文件中PCR写入序列值,计算PCR预期值,比对所述PCR预期值与所述PCR写入序列值,如果结果一致,则建立可信报告记录项,从所述可信报告文件中获取所述度量值,如果获取成功,则从可信基准库中查找度量对应项,并进行比对,如果比对一致,则将查询结果加入可信报告记录中;如果获取不成功,则将可信报告记录信息加入所述可信报告文件中,发送控制消息至所述可信安全传输装置控制网络访问请求。
2.根据权利要求1所述的方法,其特征在于,还包括:
所述可信报告节点创建空度量值记录和空PCR写入序列值记录;
所述可信报告节点获取度量文件,根据所述度量文件和全路径名计算摘要值,将所述度量文件的摘要值写入所述度量值记录;
所述可信报告节点将PCR原有记录结果与所述度量文件的摘要值进行哈希运算,得到运算结果,将所述运算结果作为新的度量结果存储到PCR中;
所述可信报告节点将所述新的度量结果添加至所述PCR写入序列值记录。
3.根据权利要求1所述的方法,其特征在于,还包括:
可信基准节点建立度量基准值记录数据结构,将策略配置文件中的内容读入所述度量基准值记录数据结构中;
可信基准节点根据路径和文件列表确定需度量文件的全路径名,计算需度量文件的摘要值,并生成对象的度量值,将所述对象的度量值填充到基准值记录数据结构中,生成对象度量基准值,将所述对象度量基准值发送给所述可信裁决节点。
4.根据权利要求3所述的方法,其特征在于,
所述可信基准节点建立度量基准值记录数据结构,将所述策略配置文件中的内容读入所述度量基准值记录数据结构中包括:
所述可信基准节点将所述策略配置文件转化为解析树;
所述可信基准节点建立所述度量基准值数据结构,将策略配置文件解析树中的内容读入所述度量基准值数据结构中;
可信基准节点根据路径和文件列表确定需度量文件的全路径名,计算需度量文件的摘要值,并生成对象的度量值,将所述对象的度量值填充到基准值记录数据结构中,生成对象度量基准值,将所述对象度量基准值发送给所述可信裁决节点包括:
所述可信基准节点通过所述解析树查找路径元素,设置度量文件名函数获取文件列表对象的第一个元素,判断所述度量文件名函数是否为空,如果不为空,则将路径和文件名拼接成文件全路径名,计算文件摘要值,将文件摘要值扩展到所述度量基准值数据结构的度量基准值中,所述度量文件名函数获取所述文件列表对象的第二个元素,直至将文件列表对象的全部元素的文件摘要值均扩展到所述度量基准值数据结构的度量基准值中;如果为空,则创建记录格式消息,将所述度量基准值数据结构作为消息记录添加到消息中发送至所述可信裁决节点。
5.根据权利要求1所述的方法,其特征在于,
所述度量值包括:度量对象名称、度量对象版本号、对象度量值、对度量值描述;
所述PCR写入序列值包括:PCR寄存器、PCR寄存器的初值、写入PCR序列数据结构数量、PCR序列度量对象的列表、PCR序列写入值列表;
所述可信报告记录包括:可信节点的唯一编号、可信报告生成时的用户名称、可信报告的类型、可信报告的唯一编号、可信报告所使用的公钥的唯一编号。
6.一种基于可信计算的裁决判定系统,其特征在于,包括:可信报告节点、可信裁决节点和可信安全传输装置;其中:
所述可信报告节点,用于接收可信报告请求,读取可信报告节点AIK密钥,生成可信报告文件,其中,所述可信报告文件包括:度量值、PCR写入序列值和可信报告记录;将所述可信报告文件转换为唯一文件名,得到可信报告文件名;生成文件发送请求记录,所述文件发送请求记录包括:所述可信报告文件名、可信报告摘要值和可信报告节点AIK公钥摘要值;通过所述可信安全传输装置将可信报告文件和所述文件发送请求记录发送至可信裁决节点;
所述可信裁决节点,用于通过所述可信安全传输装置接收所述可信报告文件和所述文件发送请求记录;获取可信裁决节点AIK公钥,利用所述可信裁决节点AIK公钥验证所述可信报告文件的可信性;在验证所述可信报告文件可信的情况下,按照所述可信报告文件中PCR写入序列值,计算PCR预期值,比对所述PCR预期值与所述PCR写入序列值,如果结果一致,则建立可信报告记录项,从所述可信报告文件中获取所述度量值,如果获取成功,则从可信基准库中查找度量对应项,并进行比对,如果比对一致,则将查询结果加入可信报告记录中;如果获取不成功,则将可信报告记录信息加入所述可信报告文件中,发送控制消息至所述可信安全传输装置控制网络访问请求。
7.根据权利要求6所述的系统,其特征在于,所述可信报告节点,还用于创建空度量值记录和空PCR写入序列值记录;获取度量文件,根据所述度量文件和全路径名计算摘要值,将所述度量文件的摘要值写入所述度量值记录;将PCR原有记录结果与所述度量文件的摘要值进行哈希运算,得到运算结果,将所述运算结果作为新的度量结果存储到PCR中;将所述新的度量结果添加至所述PCR写入序列值记录。
8.根据权利要求6所述的系统,其特征在于,还包括:可信基准节点;
所述可信基准节点,用于建立度量基准值记录数据结构,将策略配置文件中的内容读入所述度量基准值记录数据结构中;根据路径和文件列表确定需度量文件的全路径名,计算需度量文件的摘要值,并生成对象的度量值,将所述对象的度量值填充到基准值记录数据结构中,生成对象度量基准值,将所述对象度量基准值发送给所述可信裁决节点。
9.根据权利要求8所述的系统,其特征在于,
所述可信基准节点通过如下方式建立度量基准值记录数据结构,将所述策略配置文件中的内容读入所述度量基准值记录数据结构中:
所述可信基准节点将所述策略配置文件转化为解析树;建立所述度量基准值数据结构,将策略配置文件解析树中的内容读入所述度量基准值数据结构中;
所述可信基准节点通过如下方式根据路径和文件列表确定需度量文件的全路径名,计算需度量文件的摘要值,并生成对象的度量值,将所述对象的度量值填充到基准值记录数据结构中,生成对象度量基准值,将所述对象度量基准值发送给所述可信裁决节点:
所述可信基准节点通过所述解析树查找路径元素,设置度量文件名函数获取文件列表对象的第一个元素,判断所述度量文件名函数是否为空,如果不为空,则将路径和文件名拼接成文件全路径名,计算文件摘要值,将文件摘要值扩展到所述度量基准值数据结构的度量基准值中,所述度量文件名函数获取所述文件列表对象的第二个元素,直至将文件列表对象的全部元素的文件摘要值均扩展到所述度量基准值数据结构的度量基准值中;如果为空,则创建记录格式消息,将所述度量基准值数据结构作为消息记录添加到消息中发送至所述可信裁决节点。
10.根据权利要求6所述的系统,其特征在于,
所述度量值包括:度量对象名称、度量对象版本号、对象度量值、对度量值描述;
所述PCR写入序列值包括:PCR寄存器、PCR寄存器的初值、写入PCR序列数据结构数量、PCR序列度量对象的列表、PCR序列写入值列表;
所述可信报告记录包括:可信节点的唯一编号、可信报告生成时的用户名称、可信报告的类型、可信报告的唯一编号、可信报告所使用的公钥的唯一编号。
CN202210211593.0A 2022-03-04 2022-03-04 一种基于可信计算的裁决判定方法及系统 Active CN114710319B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210211593.0A CN114710319B (zh) 2022-03-04 2022-03-04 一种基于可信计算的裁决判定方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210211593.0A CN114710319B (zh) 2022-03-04 2022-03-04 一种基于可信计算的裁决判定方法及系统

Publications (2)

Publication Number Publication Date
CN114710319A CN114710319A (zh) 2022-07-05
CN114710319B true CN114710319B (zh) 2024-04-12

Family

ID=82167305

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210211593.0A Active CN114710319B (zh) 2022-03-04 2022-03-04 一种基于可信计算的裁决判定方法及系统

Country Status (1)

Country Link
CN (1) CN114710319B (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101504704A (zh) * 2009-03-17 2009-08-12 武汉大学 由星型信任链支持的嵌入式平台应用程序完整性验证方法
CN202268910U (zh) * 2011-07-27 2012-06-06 上海和辰信息技术有限公司 移动邮箱多因子可信身份认证系统
CN103560887A (zh) * 2013-11-04 2014-02-05 深圳数字电视国家工程实验室股份有限公司 智能终端远程证明方法和系统
CN105468978A (zh) * 2015-11-16 2016-04-06 国网智能电网研究院 一种适用于电力系统通用计算平台的可信计算密码平台
CN109522721A (zh) * 2017-09-19 2019-03-26 中国科学院沈阳自动化研究所 一种基于tpm的工业控制可信嵌入式平台的启动方法
CN109951276A (zh) * 2019-03-04 2019-06-28 北京工业大学 基于tpm的嵌入式设备远程身份认证方法
WO2021036186A1 (zh) * 2019-08-29 2021-03-04 创新先进技术有限公司 通过证书签发提供高可用计算服务的方法及装置
CN113127935A (zh) * 2019-12-30 2021-07-16 国民技术股份有限公司 可信计算控制方法及设备
CN113536361A (zh) * 2021-09-15 2021-10-22 统信软件技术有限公司 一种可信基准库的实现方法、装置及计算设备
CN113783846A (zh) * 2021-08-16 2021-12-10 可信计算科技(无锡)有限公司 一种可信数据传输系统及方法
CN113965342A (zh) * 2021-08-31 2022-01-21 天津七所精密机电技术有限公司 一种基于国产平台的可信网络连接系统及连接方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10164778B2 (en) * 2016-12-15 2018-12-25 Alibaba Group Holding Limited Method and system for distributing attestation key and certificate in trusted computing

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101504704A (zh) * 2009-03-17 2009-08-12 武汉大学 由星型信任链支持的嵌入式平台应用程序完整性验证方法
CN202268910U (zh) * 2011-07-27 2012-06-06 上海和辰信息技术有限公司 移动邮箱多因子可信身份认证系统
CN103560887A (zh) * 2013-11-04 2014-02-05 深圳数字电视国家工程实验室股份有限公司 智能终端远程证明方法和系统
CN105468978A (zh) * 2015-11-16 2016-04-06 国网智能电网研究院 一种适用于电力系统通用计算平台的可信计算密码平台
CN109522721A (zh) * 2017-09-19 2019-03-26 中国科学院沈阳自动化研究所 一种基于tpm的工业控制可信嵌入式平台的启动方法
CN109951276A (zh) * 2019-03-04 2019-06-28 北京工业大学 基于tpm的嵌入式设备远程身份认证方法
WO2021036186A1 (zh) * 2019-08-29 2021-03-04 创新先进技术有限公司 通过证书签发提供高可用计算服务的方法及装置
CN113127935A (zh) * 2019-12-30 2021-07-16 国民技术股份有限公司 可信计算控制方法及设备
CN113783846A (zh) * 2021-08-16 2021-12-10 可信计算科技(无锡)有限公司 一种可信数据传输系统及方法
CN113965342A (zh) * 2021-08-31 2022-01-21 天津七所精密机电技术有限公司 一种基于国产平台的可信网络连接系统及连接方法
CN113536361A (zh) * 2021-09-15 2021-10-22 统信软件技术有限公司 一种可信基准库的实现方法、装置及计算设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于网络计算的可信环境研究;谷大伟;王玉华;侯志强;;《电脑知识与技术》;20091005(第28期);全文 *

Also Published As

Publication number Publication date
CN114710319A (zh) 2022-07-05

Similar Documents

Publication Publication Date Title
KR102040170B1 (ko) 데이터를 블록체인을 이용하여 저장하는 방법 및 클라우드 시스템
CN110414268B (zh) 访问控制方法、装置、设备及存储介质
CN104506487B (zh) 云环境下隐私策略的可信执行方法
CN111475376B (zh) 处理测试数据的方法、装置、计算机设备和存储介质
US20200213331A1 (en) Data service system
US20080082831A1 (en) Information processing system, information processing apparatus, information processing method, and storage medium
CN107092535B (zh) 用于测试接口的数据存储的方法及设备
CN113094334B (zh) 基于分布式存储的数字服务方法、装置、设备及储存介质
CN105556533A (zh) 自动生成证书文档
CN111339551A (zh) 数据的验证方法及相关装置、设备
CN113362068B (zh) 一种轻节点验证区块链状态转移的方法
CN114138402A (zh) 一种容器集群部署平台
CN114710319B (zh) 一种基于可信计算的裁决判定方法及系统
CN112291321A (zh) 业务处理方法、装置及系统
CN113901498B (zh) 一种数据共享方法、装置、设备及存储介质
CN114422586B (zh) 事件通知方法、装置、计算机设备及存储介质
CN115934640A (zh) 一种数据存储方法、系统、电子设备及存储介质
CN115587233A (zh) 一种数据标识及目录管理方法及系统
CN112583890B (zh) 基于企业办公系统的消息推送方法、装置和计算机设备
CN112860702B (zh) 试验执行工单验证方法、装置、计算机设备和存储介质
CN115221559A (zh) 数据账户的访问授权方法及装置
CN110704451A (zh) 基于区块链的所有权登记、举证的方法及装置
CN114785578B (zh) 一种rpc服务权限管理的方法及系统
CN116739397B (zh) 一种新能源指标的动态管理方法
CN116090020B (zh) 基于区块链的信息存储方法和装置、电子设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant