同步可信计算集群的连接状态的方法及装置制造方法及图纸

本说明书实施例提供同步可信计算集群的连接状态的方法和装置，用于客户端与集群管理器管理的多个可信计算集群进行连接状态的同步。一方面，通过客户端按照预定时间间隔向集群管理器发送的心跳包，将客户端与多个可信计算集群的当前连接状态汇报给集群管理器。另一方面，集群管理器接收到心跳包后，根据在线可信计算集群的集群信息，确定可用集群列表，并针对所述当前通道列表提供的各个可信通道确定建议分流策略，并将可用集群列表和建议分流策略通过反馈包发送给客户端，以供客户端根据情况更新与多个可信计算集群的当前连接状态。该实施方式可以提高可信计算服务的有效性。

A Method and Device for Synchronized Trusted Computing Cluster Connection State

【技术实现步骤摘要】
同步可信计算集群的连接状态的方法及装置
本说明书一个或多个实施例涉及计算机
，尤其涉及通过计算机进行可信计算集群与客户端的连接状态同步的方法和装置。
技术介绍
为了计算和数据传输的安全，常常使用可信计算单元构成的可信计算机群进行可信计算和数据处理。其中可信计算集群可以保证其中的代码执行是安全的，操作系统或驱动等都无法获取内部运行时内存的秘密。现有的可信计算平台中，如果可信计算有代码升级，则需要部署新的可信计算集群。在用新的可信计算集群代替原来的可信计算集群时，若停止原有服务，与新的可信计算集群重新连接，则会导致服务在一定时间段内不可用。如果同时维护多个版本的可信计算集群的连接，则需要客户端用户自己控制版本的切换，即自己管理各个连接状态、各版本之间的流量控制、失败回滚等等问题，对用户自身技能的要求较高，用户体验不友好。因此，希望能有改进的方案，能够在用新的可信计算集群代替原来的可信计算集群的过程中，能够减少用户参与，实现平滑切换。
技术实现思路
本说明书一个或多个实施例描述了一种同步可信计算集群的连接状态的方法和装置，利用心跳包在客户端和集群管理器之间同步可信计算集群的连接状态，从而逐步将客户端与可信计算集群的连接从旧版本平滑过渡到新版本，提高可信计算服务的有效性。根据第一方面，提供了一种同步可信计算集群的连接状态的方法，所述方法通过集群管理器执行，用于客户端与集群管理器管理的多个可信计算集群进行连接状态的同步，所述方法包括：接收所述客户端按照预定时间间隔发送的心跳包，所述心跳包用于描述所述客户端与所述多个可信计算集群的当前连接状态，并包括当前通道列表和当前分流策略，所述当前通道列表提供所述客户端当前维持的、与所述多个可信计算集群中至少一个可信计算集群之间的可信通道，所述当前分流策略用于描述所述客户端当前在各个可信通道上分配的流量份额；根据在线可信计算集群的集群信息，确定可用集群列表，并针对所述当前通道列表提供的各个可信通道确定建议分流策略；向所述客户端发送反馈包，其中包括所述可用集群列表和所述建议分流策略，以供所述客户端根据所述反馈包更新所述当前连接状态。在一个实施例中，所述多个可信计算集群包括第一集群和第二集群；所述接收所述客户端按照预定时间间隔发送的心跳包包括，接收第一心跳包，所述第一心跳包中，当前通道列表至少提供所述客户端与所述第一集群预先建立的第一可信通道，当前分流策略包括，所述客户端在所述第一可信通道上分配的第一流量份额；所述根据在线可信计算集群的集群信息，确定可用集群列表包括：在确定所述第二集群上线的情况下，在所述可用集群列表中添加所述第二集群形成第一可用集群列表；所述向所述客户端发送反馈包包括，向所述客户端发送第一反馈包，所述第一反馈包中的当前可用集群列表为所述第一可用集群列表，建议分流策略包括为所述第一可信通道分配所述第一流量份额，以供所述客户端在预先配置有所述第二集群的验证信息的情况下，建立与所述第二集群连接的第二可信通道。在另一个实施例中，所述多个可信计算集群包括第一集群和第二集群；所述接收所述客户端按照预定时间间隔发送的心跳包包括，接收第二心跳包，所述第二心跳包中，当前通道列表提供所述客户端与所述第一集群预先建立的第一可信通道，以及所述客户端与所述第二集群预先建立的第二可信通道，当前分流策略至少包括，所述客户端在所述第一可信通道上分配的第一流量份额；所述针对所述当前通道列表提供的各个可信通道确定建议分流策略包括：按照预定规则，根据所述第一流量份额向所述第二可信通道转移第一份额后各个可信通道的流量份额，确定第一建议分流策略；所述向所述客户端发送反馈包包括，向所述客户端发送第二反馈包，所述第二反馈包中的建议分流策略为所述第一建议分流策略，以供所述客户端基于所述第一建议分流策略更新为各个可信通道分配的流量份额。在进一步的实施例中，所述预定规则包括以下至少一项：所述第一份额；所述第一流量份额转移出所述第一份额后剩余的流量份额；所述第二可信通道增加所述第一份额后的第二流量份额。在另一个实施例中，所述接收所述客户端按照预定时间间隔发送的心跳包包括：接收第三心跳包，所述第三心跳包中，当前通道列表提供所述第一可信通道和所述第二可信通道，当前分流策略包括所述客户端在所述第二可信通道上分配的第二流量份额；所述根据在线可信计算集群的集群信息，确定可用集群列表之前，所述方法还包括：响应于基于所述第三心跳包确定所述第一可信通道的流量份额完全转移到所述第二可信通道，下线所述第一集群。在进一步的实施例中，所述向所述客户端发送反馈包包括：向所述客户端发送第三反馈包，所述第三反馈包中的可用集群列表提供所述第二集群，建议分流策略包括所述客户端在所述第二可信通道上分配的第二流量份额，以供所述客户端在接收到所述第三反馈包后，删除所述第一可信通道。在一个实施例中，所述可信计算集群包括多个可信计算单元，用于所述客户端的分布式可信计算。在一个实施例中，所述可信计算单元为围圈Enclave。根据第二方面，提供一种同步可信计算集群的连接状态的方法，所述方法通过客户端执行，用于所述客户端与集群服务器管理的多个可信计算集群进行连接状态的同步，所述方法包括：按照预定时间间隔向集群服务器发送心跳包，所述心跳包用于描述所述客户端与所述多个可信计算集群的当前连接状态，并包括当前通道列表和当前分流策略，所述当前通道列表提供所述客户端当前维持的、与所述多个可信计算集群中至少一个可信计算集群之间的可信通道，所述当前分流策略用于描述所述客户端当前在各个可信通道上分配的流量份额；接收所述集群管理器基于所述心跳包返回的反馈包，所述反馈包用于反馈根据在线可信计算集群的集群信息确定的可用集群列表，以及针对当前通道列表提供的各个可信通道确定的建议分流策略；根据所述反馈包更新所述当前连接状态。根据一个实施例，所述多个可信计算集群包括第一集群和第二集群，其中，所述第二集群用于取代所述第一集群；所述按照预定时间间隔向集群服务器发送心跳包包括，发送第一心跳包，所述第一心跳包中，当前通道列表至少提供，所述客户端与所述第一集群预先建立的第一可信通道，当前分流策略包括，所述客户端在所述第一可信通道上分配的第一流量份额；所述接收所述集群管理器基于所述心跳包返回的反馈包包括，接收第一反馈包，所述第一反馈包中的当前可用集群列表为，在确定所述第二集群上线的情况下，增加所述第二集群形成的第一可用集群列表；所述根据所述反馈包更新所述当前连接状态包括：检测是否已配置所述第二集群的验证信息；若已配置所述第二集群的验证信息，建立与所述第二集群进行连接的第二可信通道。在进一步的实施例中，所述建立与所述第二集群进行连接的第二可信通道包括：向所述第二集群发送建立所述第二可信通道的连接请求，以供所述第二集群基于所述连接请求反馈连接信息；将所述连接信息与所述验证信息进行比较，并在比较结果为一致的情况下，建立所述第二可信通道。根据另一个实施例，所述多个可信计算集群包括第一集群和第二集群；所述按照预定时间间隔向集群服务器发送心跳包包括，发送第二心跳包，所述第二心跳包中，当前通道列表提供所述客户端与所述第一集群预先建立的第一可信通道，以及所述客户端与所述第二集群预先建立的第二可信通道，当前本文档来自技高网...

【技术保护点】
1.一种同步可信计算集群的连接状态的方法，所述方法通过集群管理器执行，用于客户端与集群管理器管理的多个可信计算集群进行连接状态的同步，所述方法包括：接收所述客户端按照预定时间间隔发送的心跳包，所述心跳包用于描述所述客户端与所述多个可信计算集群的当前连接状态，并包括当前通道列表和当前分流策略，所述当前通道列表提供所述客户端当前维持的、与所述多个可信计算集群中至少一个可信计算集群之间的可信通道，所述当前分流策略用于描述所述客户端当前在各个可信通道上分配的流量份额；根据在线可信计算集群的集群信息，确定可用集群列表，并针对所述当前通道列表提供的各个可信通道确定建议分流策略；向所述客户端发送反馈包，其中包括所述可用集群列表和所述建议分流策略，以供所述客户端根据所述反馈包更新所述当前连接状态。

【技术特征摘要】
1.一种同步可信计算集群的连接状态的方法，所述方法通过集群管理器执行，用于客户端与集群管理器管理的多个可信计算集群进行连接状态的同步，所述方法包括：接收所述客户端按照预定时间间隔发送的心跳包，所述心跳包用于描述所述客户端与所述多个可信计算集群的当前连接状态，并包括当前通道列表和当前分流策略，所述当前通道列表提供所述客户端当前维持的、与所述多个可信计算集群中至少一个可信计算集群之间的可信通道，所述当前分流策略用于描述所述客户端当前在各个可信通道上分配的流量份额；根据在线可信计算集群的集群信息，确定可用集群列表，并针对所述当前通道列表提供的各个可信通道确定建议分流策略；向所述客户端发送反馈包，其中包括所述可用集群列表和所述建议分流策略，以供所述客户端根据所述反馈包更新所述当前连接状态。2.根据权利要求1所述的方法，其中，所述多个可信计算集群包括第一集群和第二集群；所述接收所述客户端按照预定时间间隔发送的心跳包包括，接收第一心跳包，所述第一心跳包中，当前通道列表至少提供所述客户端与所述第一集群预先建立的第一可信通道，当前分流策略包括，所述客户端在所述第一可信通道上分配的第一流量份额；所述根据在线可信计算集群的集群信息，确定可用集群列表包括：在确定所述第二集群上线的情况下，在所述可用集群列表中添加所述第二集群形成第一可用集群列表；所述向所述客户端发送反馈包包括，向所述客户端发送第一反馈包，所述第一反馈包中的当前可用集群列表为所述第一可用集群列表，建议分流策略包括为所述第一可信通道分配所述第一流量份额，以供所述客户端在预先配置有所述第二集群的验证信息的情况下，建立与所述第二集群连接的第二可信通道。3.根据权利要求1所述的方法，其中，所述多个可信计算集群包括第一集群和第二集群，；所述接收所述客户端按照预定时间间隔发送的心跳包包括，接收第二心跳包，所述第二心跳包中，当前通道列表提供所述客户端与所述第一集群预先建立的第一可信通道，以及所述客户端与所述第二集群预先建立的第二可信通道，当前分流策略至少包括，所述客户端在所述第一可信通道上分配的第一流量份额；所述针对所述当前通道列表提供的各个可信通道确定建议分流策略包括：按照预定规则，根据所述第一流量份额向所述第二可信通道转移第一份额后各个可信通道的流量份额，确定第一建议分流策略；所述向所述客户端发送反馈包包括，向所述客户端发送第二反馈包，所述第二反馈包中的建议分流策略为所述第一建议分流策略，以供所述客户端基于所述第一建议分流策略更新为各个可信通道分配的流量份额。4.根据权利要求3所述的方法，其中，所述预定规则包括以下至少一项：将所述第一流量份额单次向所述第二可信通道转移的所述第一份额；所述第一流量份额转移出所述第一份额后剩余的流量份额；所述第二可信通道增加所述第一份额后的第二流量份额。5.根据权利要求3或4所述的方法，其中：所述接收所述客户端按照预定时间间隔发送的心跳包包括：接收第三心跳包，所述第三心跳包中，当前通道列表提供所述第一可信通道和所述第二可信通道，当前分流策略包括所述客户端在所述第二可信通道上分配的第二流量份额；所述根据在线可信计算集群的集群信息，确定可用集群列表之前，所述方法还包括：响应于基于所述第三心跳包确定所述第一可信通道的流量份额完全转移到所述第二可信通道，下线所述第一集群。6.根据权利要求5所述的方法，其中，所述向所述客户端发送反馈包包括：向所述客户端发送第三反馈包，所述第三反馈包中的可用集群列表提供所述第二集群，建议分流策略包括所述客户端在所述第二可信通道上分配的第二流量份额，以供所述客户端在接收到所述第三反馈包后，删除所述第一可信通道。7.根据权利要求1所述的方法，其中，所述可信计算集群包括多个可信计算单元，用于所述客户端的分布式可信计算。8.根据权利要求7所述的方法，其中，所述可信计算单元为围圈Enclave。9.一种同步可信计算集群的连接状态的方法，所述方法通过客户端执行，用于所述客户端与集群服务器管理的多个可信计算集群进行连接状态的同步，所述方法包括：按照预定时间间隔向集群服务器发送心跳包，所述心跳包用于描述所述客户端与所述多个可信计算集群的当前连接状态，并包括当前通道列表和当前分流策略，所述当前通道列表提供所述客户端当前维持的、与所述多个可信计算集群中至少一个可信计算集群之间的可信通道，所述当前分流策略用于描述所述客户端当前在各个可信通道上分配的流量份额；接收所述集群管理器基于所述心跳包返回的反馈包，所述反馈包用于反馈根据在线可信计算集群的集群信息确定的可用集群列表，以及针对当前通道列表提供的各个可信通道确定的建议分流策略；根据所述反馈包更新所述当前连接状态。10.根据权利要求9所述的方法，其中，所述多个可信计算集群包括第一集群和第二集群；所述按照预定时间间隔向集群服务器发送心跳包包括，发送第一心跳包，所述第一心跳包中，当前通道列表至少提供，所述客户端与所述第一集群预先建立的第一可信通道，当前分流策略包括，所述客户端在所述第一可信通道上分配的第一流量份额；所述接收所述集群管理器基于所述心跳包返回的反馈包包括，接收第一反馈包，所述第一反馈包中的当前可用集群列表为，在确定所述第二集群上线的情况下，增加所述第二集群形成的第一可用集群列表；所述根据所述反馈包更新所述当前连接状态包括：检测是否已配置所述第二集群的验证信息；若已配置所述第二集群的验证信息，建立与所述第二集群进行连接的第二可信通道。11.根据权利要求10所述的方法，其中，所述建立与所述第二集群进行连接的第二可信通道包括：向所述第二集群发送建立所述第二可信通道的连接请求，以供所述第二集群基于所述连接请求反馈连接信息；将所述连接信息与所述验证信息进行比较，并在比较结果为一致的情况下，建立所述第二可信通道。12.根据权利要求9所述的方法，其中，所述多个可信计算集群包括第一集群和第二集群；所述按照预定时间间隔向集群服务器发送心跳包包括，发送第二心跳包，所述第二心跳包中，当前通道列表提供所述客户端与所述第一集群预先建立的第一可信通道，以及所述客户端与所述第二集群预先建立的第二可信通道，当前分流策略至少包括，所述客户端在所述第一可信通道上分配的第一流量份额；所述接收所述集群管理器基于所述心跳包返回的反馈包包括，接收第二反馈包，所述第二反馈包中的建议分流策略为，所述集群管理器按照预定规则，根据所述第一流量份额向所述第二可信通道转移第一份额后各个可信通道的流量份额，确定的第一建议分流策略；所述根据所述反馈包更新所述当前连接状态包括：按照所述第一建议分流策略更新为各个可信通道分配流量份额。13.根据权利要求12所述的方法，其中，所述按照预定时间间隔向集群服务器发送心跳包包括，发送第三心跳包，所述第三心跳包中，当前通道列表提供所述第一可信通道和所述第二可信通道，当前分流策略包括所述客户端在所述第二可信通道上分配的第二流量份额；所述接收所述集群管理器基于所述心跳包返回的反馈包包括，接收第三反馈包，所述第三反馈包中，可用集群列表是所述集群管理器在所述第一集群下线的情况下确定的，提供所述第二集群，建议分流策略包括所述客户端在所述第二可信通道上分配的第二流量份额；所述根据所述反馈包更新所述当前连接状态包括：根据所述第三反馈包中的可用集群列表，删除所述第一可信通道。14.根据权利要求9所述的方法，其中，在根据所述反馈包更新所述当前连接状态之后，所述方法还包括：检测客户端的软件开发工具包是否存在异常；在存在异常的情况下，提供异常警报。15....

【专利技术属性】
技术研发人员：陈星宇，周爱辉，王磊，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY