The present embodiment provides a method and device for establishing a trusted cluster, which is used to form a trusted computing cluster with N trusted computing units. The method includes dividing N trusted computing units into several groups, so that the number of trusted computing units included in each group is not more than K+1, and K is the number of trusted computing units with which each trusted computing unit is authenticated at most at the same time. Objectives: To designate a first trusted computing unit in each group so that each first trusted computing unit in each group can authenticate trust between cells in parallel with other trusted computing units in the same group; to authenticate trust between groups in parallel, so as to obtain trusted computing units that have been authenticated by trust; and to authenticate trusted computing units that have been authenticated by trust. In order to form a trusted computing cluster, secret information is disseminated so that trusted computing units can obtain the same secret information.
【技术实现步骤摘要】
一种建立可信计算集群的方法和装置
本说明书实施例涉及可信计算集群领域,具体地,涉及一种建立可信计算集群的方法和装置。
技术介绍
为了计算和数据传输的安全,常常使用可信计算单元进行可信计算和数据处理。可信计算单元可以保证其中的代码执行是安全的,外界(包括操作系统或驱动等)都无法获取其内部运行时内存等秘密。初始状态,每个可信计算单元并不可信,无法保证各可信计算单元之间传播的信息不被泄露。为保证信息传输的安全性,构建可信计算集群,即各个可信计算单元建立信任关系,并协商得到一个共同的加密秘钥。当多个可信计算单元拥有相同的秘钥时,认为该多个可信计算单元构成了一个逻辑上的可信计算集群;其中,秘钥除了通信的双方,其他任何可信计算单元无法破解。当所要建立的可信计算集群中涉及的可信计算单元的数目庞大时,采用传统方式建立可信计算集群的耗时会很长,因此需要寻找新的方法来建立可信计算集群。
技术实现思路
本申请提供了一种建立可信计算集群的方法和装置,缩短了建立可信计算集群的时间。第一方面,提供了一种建立可信计算集群的方法,用于将N个可信计算单元形成可信计算集群;该方法包括:将N个可信计算单元...
【技术保护点】
1.一种建立可信计算集群的方法,用于将N个可信计算单元形成可信计算集群;所述方法包括:将所述N个可信计算单元划分为多个分组,使得各个分组包括的可信计算单元的数量不大于K+1,其中,K为每个可信计算单元至多同时与之进行信任认证的可信计算单元的数目;在每个分组中指定一个第一可信计算单元,使得各个分组中的各个第一可信计算单元并行地与同分组的其他可信计算单元进行单元间信任认证;在所述多个分组之间,并行进行组间信任认证,从而获得经过信任认证的可信计算单元;在所述经过信任认证的可信计算单元中,传播秘密信息,使得经过信任认证的可信计算单元获得相同的秘密信息,以形成可信计算集群。
【技术特征摘要】
1.一种建立可信计算集群的方法,用于将N个可信计算单元形成可信计算集群;所述方法包括:将所述N个可信计算单元划分为多个分组,使得各个分组包括的可信计算单元的数量不大于K+1,其中,K为每个可信计算单元至多同时与之进行信任认证的可信计算单元的数目;在每个分组中指定一个第一可信计算单元,使得各个分组中的各个第一可信计算单元并行地与同分组的其他可信计算单元进行单元间信任认证;在所述多个分组之间,并行进行组间信任认证,从而获得经过信任认证的可信计算单元;在所述经过信任认证的可信计算单元中,传播秘密信息,使得经过信任认证的可信计算单元获得相同的秘密信息,以形成可信计算集群。2.根据权利要求1所述的方法,其中,所述单元间信任认证包括:两个可信计算单元双方均执行以下步骤,以相互进行信任认证:从对方可信计算单元获取其单元认证报告,将其发送到第三方认证机构进行认证;将自身的单元认证报告发送给对方可信计算单元,以供其发送到所述第三方认证机构进行认证。3.根据权利要求1所述的方法,其中,在所述多个分组之间,并行进行组间信任认证,包括:在所述多个分组形成的分组序列中,并行使得每个分组与该分组在所述分组序列中的相邻分组进行组间信任认证。4.根据权利要求3所述的方法,其中所述组间信任认证包括:在每个分组中指定一个第二可信计算单元,使得每个分组的第二可信计算单元与相邻分组中的第二可信计算单元进行单元间信任认证。5.根据权利要求1所述的方法,其中,在所述多个分组之间,并行进行组间信任认证,包括:在所述多个分组中,使得至少一个分组同时与其他至多K个分组进行组间信任认证。6.根据权利要求5的方法,其中,所述组间信任认证包括:在每个分组中指定一个第二可信计算单元,使得所述至少一个分组中的第二可信计算单元同时与其他至多K个分组中的第二可信计算单元进行单元间信任认证。7.根据权利要求1所述的方法,其中,所述在经过信任认证的所述N个可信计算单元中传播秘密信息,包括:在所述N个可信计算单元中指定一个第三可信计算单元,将第三可信计算单元具有的第一数据指定为所述秘密信息,使得第三可信计算单元分别向M个可信计算单元发送所述秘密信息,其中M不超过每个可信计算单元至多同时向其发送秘密信息的可信计算单元的数目。8.根据权利要求7所述的方法,其中,所述在经过信任认证的所述N个可信计算单元中传播秘密信息,包括:使得具有所述秘密信息的多个可信计算单元中的每个可信计算单元,分别向不具有所述秘密信息的多个可信计算单元发送所述秘密信息。9.根据权利要求1所述的方法,其中,所述秘密信息是集群秘钥。10.一种建立可信计算集群的装置,用于将N个可信计算单元形成可信计算集群;所述装置包括:分组单元,用于将所述N个可信计算单元划分为多...
【专利技术属性】
技术研发人员:黄群山,陈星宇,解岭,王磊,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。