本发明专利技术实施例公开了一种可信状态证明的方法和相关设备,用于降低证明服务器进行可信状态证明的过程中需要处理的信息量以及证明服务器的负担。本发明专利技术实施例方法包括:首先,对该网络设备的第一可信证明代理进行度量以获取第一代理度量值;随后,向该上游设备发送该第一代理度量值;最后,接收来自该上游设备的至少一个基线值,该至少一个基线值中的至少部分基线值用于证明该下游网络设备的可信状态。分基线值用于证明该下游网络设备的可信状态。分基线值用于证明该下游网络设备的可信状态。
【技术实现步骤摘要】
可信状态证明的方法和相关设备
[0001]本申请涉及网络安全
,具体涉及一种可信状态证明的方法和相关设备。
技术介绍
[0002]为解决当前网络安全的问题,可信计算组(trusted computing group,TCG)提出了可信计算的方法。通过该可信计算的方法能够证明网络设备是否被非法篡改和破坏。
[0003]但是,随着组网的日益复杂,证明服务器连接大量的网络设备。大量的网络设备的可信状态的证明均需要依赖于证明服务器。从而增加了证明服务器进行可信状态证明的过程中需要处理的信息量以及证明服务器的负担。若证明服务器被非法篡改,会导致网络设备无法抵御非法篡改和破坏。
技术实现思路
[0004]本申请提供了一种可信状态证明的方法和相关设备。其用于解决如何降低证明服务器进行可信状态证明的过程中需要处理的信息量的技术问题。
[0005]第一方面,本专利技术实施例提供了一种可信状态证明的方法,该方法用于网络设备。该网络设备连接于上游设备和下游网络设备之间,该上游设备为该网络设备的上游网络设备或证明服务器,该方法包括:首先,对该网络设备的第一可信证明代理进行度量以获取第一代理度量值,该第一代理度量值用于证明该第一可信证明代理的可信状态;随后,向该上游设备发送该第一代理度量值;最后,接收来自该上游设备的至少一个基线值,该至少一个基线值中的至少部分基线值用于证明该下游网络设备的可信状态。
[0006]在该实施方式中,使用处于可信状态的第一可信证明代理承担对下游网络设备的可信状态的证明,有效地降低了证明服务器处理的信息量。此外,该方法在证明服务器出现被非法篡改和破坏的情况下,该第一可信证明代理会独立的实现对下游网络设备的可信状态的证明,提高了可靠性。
[0007]在一种可选的实现方式中,该网络设备包括与该第一可信证明代理连接的至少一个第一待证明对象,该方法还包括:获取该至少一个第一待证明对象中每个第一待证明对象的第一度量值,该第一度量值用于证明该第一待证明对象的可信状态;该至少一个基线值包括与该第一待证明对象对应的第一基线值,该接收来自该上游设备的至少一个基线值之后,该方法还包括:根据该第一待证明对象对应的该第一基线值和该第一度量值,证明该第一待证明对象的可信状态。
[0008]在该实施方式中,由第一可信证明代理负责对第一待证明对象的可信状态进行证明。因各第一待证明对象的可信状态的证明均无需依赖于证明服务器,有效地降低了证明服务器所处理的信息量。而且在证明服务器出现被攻击的情况下,第一可信证明代理能够独立的实现对第一待证明对象的可信状态的证明,提高了可靠性。
[0009]在一种可选的实现方式中,该获取该第一待证明对象的第一度量值之后,该方法还包括:将该第一度量值向该上游设备发送。在该实施方式中,处于可信状态的第一可信证
明代理,将第一度量值向上游设备发送。由上游设备负责对第一待证明对象的证明,有效地降低了第一可信证明代理所处理的信息量以及该第一待证明对象的负担。
[0010]在一种可选的实现方式中,该至少一个基线值包括第二基线值,该第二基线值与该下游网络设备的第二可信证明代理对应,该接收来自该上游设备的至少一个基线值之后,该方法还包括:接收来自该下游网络设备的第二代理度量值,该第二代理度量值用于证明该第二可信证明代理的可信状态;根据该第二基线值和该第二代理度量值,证明该第二可信证明代理的可信状态。
[0011]在该实施方式中,由第一可信证明代理负责对第二可信证明代理的证明,有效地降低了证明服务器所处理的信息量以及证明服务器的负担。
[0012]在一种可选的实现方式中,该方法还包括:接收来自该下游网络设备的第二代理度量值,该第二代理度量值用于证明该第二可信证明代理的可信状态;将该第二代理度量值向该上游设备发送。在该实施方式中,由上游设备负责对第二可信证明代理的证明,有效地降低了第一可信证明代理所处理的信息量以及证明服务器的负担。
[0013]在一种可选的实现方式中,该方法还包括:该至少一个基线值包括第三基线值,该第三基线值与该下游网络设备的第二待证明对象对应,该接收来自该上游设备的至少一个基线值之后,该方法还包括:接收来自该下游网络设备的第二度量值,该第二度量值用于证明该第二待证明对象的可信状态;根据该第二待证明对象对应的该第三基线值和该第二度量值,证明该第二待证明对象的可信状态。
[0014]在该实施方式中,由处于可信状态的第一可信证明代理承担对第二待证明对象的可信状态的证明,有效地降低了证明服务器处理的信息量以及证明服务器的负担。而且有效地提高了对第二待证明对象进行证明的效率。避免了在证明服务器被非法篡改的情况下,进而篡改第二待证明对象的风险。
[0015]在一种可选的实现方式中,该至少一个基线值包括第三基线值,该第三基线值与该下游网络设备的第二待证明对象对应,该接收来自该上游设备的至少一个基线值之后,该方法还包括:向该下游网络设备发送该第三基线值。
[0016]在该实施方式中,由下游网络设备负责承担对第二待证明对象的可信状态的证明,有效地降低了第一可信证明代理处理的信息量以及负担。此外,该实施方式避免了在第一可信证明代理被非法篡改的情况下,进而篡改下游网络设备的风险。
[0017]在一种可选的实现方式中,该第一待证明对象和该第一可信证明代理为两个板卡;或,该第一待证明对象和该第一可信证明代理为两个虚拟机;或,该第一待证明对象和该第一可信证明代理为虚拟机、网络功能虚拟化管理和编排系统或网络功能虚拟化基础设施层中的任意两个。
[0018]第二方面,本专利技术实施例提供了一种可信状态证明的方法,该方法用于上游设备。对上游设备的说明,参见第一方面所示,不做赘述。该方法包括:首先,接收来自该网络设备的第一代理度量值,该第一代理度量值用于证明该网络设备的第一可信证明代理的可信状态;随后,根据该第一代理度量值证明该第一可信证明代理处于可信状态;最后,向该网络设备发送至少一个基线值,该至少一个基线值中的至少部分基线值用于证明该下游网络设备的可信状态。
[0019]本方面所示的过程以及有益效果的具体说明,参见第一方面所示,不做赘述。
[0020]在一种可选的实现方式中,该至少一个基线值包括与该网络设备的第一待证明对象对应的第一基线值。
[0021]在一种可选的实现方式中,该方法还包括:接收来自该网络设备的第一度量值,该第一度量值用于证明该网络设备的第一待证明对象的可信状态;根据该第一待证明对象对应的第一基线值和该第一度量值,证明该第一待证明对象的可信状态。
[0022]在一种可选的实现方式中,该至少一个基线值包括第二基线值,该第二基线值与该下游网络设备的第二可信证明代理对应。
[0023]在一种可选的实现方式中,该方法还包括:接收来自该网络设备的第二代理度量值,该第二代理度量值用于证明该下游网络设备的第二可信证明代理的可信状态;根据该第二可信证明代理对应的第二基线值和该第二代理度量值,证明该第二可信本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种可信状态证明的方法,其特征在于,所述方法用于网络设备,所述网络设备连接于上游设备和下游网络设备之间,所述上游设备为所述网络设备的上游网络设备或证明服务器,所述方法包括:对所述网络设备的第一可信证明代理进行度量以获取第一代理度量值,所述第一代理度量值用于证明所述第一可信证明代理的可信状态;向所述上游设备发送所述第一代理度量值;接收来自所述上游设备的至少一个基线值,所述至少一个基线值中的至少部分基线值用于证明所述下游网络设备的可信状态。2.根据权利要求1所述的方法,其特征在于,所述网络设备包括与所述第一可信证明代理连接的至少一个第一待证明对象,所述方法还包括:获取所述至少一个第一待证明对象中每个第一待证明对象的第一度量值,所述第一度量值用于证明所述第一待证明对象的可信状态;所述至少一个基线值包括与所述第一待证明对象对应的第一基线值,所述接收来自所述上游设备的至少一个基线值之后,所述方法还包括:根据所述第一待证明对象对应的所述第一基线值和所述第一度量值,证明所述第一待证明对象的可信状态。3.根据权利要求2所述的方法,其特征在于,所述获取所述第一待证明对象的第一度量值之后,所述方法还包括:将所述第一度量值向所述上游设备发送。4.根据权利要求1至3任一项所述的方法,其特征在于,所述至少一个基线值包括第二基线值,所述第二基线值与所述下游网络设备的第二可信证明代理对应,所述接收来自所述上游设备的至少一个基线值之后,所述方法还包括:接收来自所述下游网络设备的第二代理度量值,所述第二代理度量值用于证明所述第二可信证明代理的可信状态;根据所述第二基线值和所述第二代理度量值,证明所述第二可信证明代理的可信状态。5.根据权利要求1至3任一项所述的方法,其特征在于,所述方法还包括:接收来自所述下游网络设备的第二代理度量值,所述第二代理度量值用于证明所述第二可信证明代理的可信状态;将所述第二代理度量值向所述上游设备发送。6.根据权利要求1至5任一项所述的方法,其特征在于,所述至少一个基线值包括第三基线值,所述第三基线值与所述下游网络设备的第二待证明对象对应,所述接收来自所述上游设备的至少一个基线值之后,所述方法还包括:接收来自所述下游网络设备的第二度量值,所述第二度量值用于证明所述第二待证明对象的可信状态;根据所述第二待证明对象对应的所述第三基线值和所述第二度量值,证明所述第二待证明对象的可信状态。7.根据权利要求1至5任一项项所述的方法,其特征在于,所述至少一个基线值包括第三基线值,所述第三基线值与所述下游网络设备的第二待证明对象对应,所述接收来自所
述上游设备的至少一个基线值之后,所述方法还包括:向所述下游网络设备发送所述第三基线值。8.根据权利要求2或3所述的方法,其特征在于,所述第一待证明对象和所述第一可信证明代理为两个板卡;或,所述第一待证明对象和所述第一可信证明代理为两个虚拟机;或,所述第一待证明对象和所述第一可信证明代理为虚拟机、网络功能虚拟化管理和编排系统或网络功能虚拟化基础设施层中的任意两个。9.一种可信状态证明的方法,其特征在于,所述方法用于上游设备,所述上游设备、网络设备和下游网络设备依次连接,所...
【专利技术属性】
技术研发人员:乐伟志,赵雄君,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。