【技术实现步骤摘要】
获取可信信息的方法、装置及可信服务器
[0001]本说明书实施例涉及计算机
,特别涉及获取可信信息的方法、装置及可信服务器。
技术介绍
[0002]可信服务器,是以可信计算密码模块为基础,综合可信服务构建出的数据存储、处理平台,并通过该平台来对外提供可信的服务。在可信服务器中,可信计算密码模块只有一个接口,该接口与CPU对接。例如,在可信服务器启动过程中,服务器主CPU会将服务器的带内系统的度量值扩展到可信计算密码模块。在服务器启动后,由部署在服务器主CPU上的可信代理对外(挑战者)提供平台带内系统的可信证明,证明平台的启动过程符合预期,没有发生固件篡改、启动流程篡改等异常行为,工作在可信状态。
[0003]但是,由于目前服务器主CPU上的可信代理只走带内的可信证明流程,一方面需要用户在平台上部署可信证明客户端来对接远程证明平台,导致可实施性差,另一方面,难以满足外部挑战者对可信信息多样化的需求。
技术实现思路
[0004]有鉴于此,本说明书实施例提供了一种获取可信信息的方法。本说明书一个或者多...
【技术保护点】
【技术特征摘要】
1.一种获取可信信息的方法,应用于可信服务器,所述可信服务器包括带内系统、带外系统以及可信计算密码模块,所述可信计算密码模块包括至少两路可信服务端口,其中,第一路可信服务端口与所述带内系统对接,第二路可信服务端口与所述带外系统对接,所述方法包括:接收证明请求;根据所述证明请求,在带内系统通过所述第一路可信服务端口获取所述可信计算密码模块记录的带外可信信息,其中,所述带外可信信息为所述带外系统的可信信息;或者,根据所述证明请求,在带外系统通过所述第二路可信服务端口获取所述可信计算密码模块记录的带内可信信息,其中,所述带内可信信息为所述带内系统的可信信息。2.根据权利要求1所述的方法,所述接收证明请求,包括:通过带内系统对外提供的第一远程证明客户端接口,接收所述证明请求;所述方法还包括:通过所述第一远程证明客户端接口向所述证明请求的请求端发送所述带外可信信息。3.根据权利要求1所述的方法,所述接收证明请求,包括:通过带外系统对外提供的第二远程证明客户端接口,接收所述证明请求;所述方法还包括:通过所述第二远程证明客户端接口向所述证明请求的请求端发送所述带内可信信息。4.根据权利要求1所述的方法,所述在带内系统通过所述第一路可信服务端口获取所述可信计算密码模块记录的带外可信信息,包括:在带内系统获取所述证明请求携带的临时挑战随机数;在带内系统通过所述第一路可信服务端口向所述可信计算密码模块发送携带了所述临时挑战随机数的带外信息获取请求;在带内系统通过所述第一路可信服务端口接收所述可信计算密码模块已签名的带外可信信息及临时挑战随机数;所述在带外系统通过所述第二路可信服务端口获取所述可信计算密码模块记录的带内可信信息,包括:在带外系统获取所述证明请求携带的临时挑战随机数;在带外系统通过所述第二路可信服务端口向所述可信计算密码模块发送携带了所述临时挑战随机数的带内信息获取请求;在带外系统通过所述第二路可信服务端口接收所述可信计算密码模块已签名的带内可信信息及临时挑战随机数。5.根据权利要求1所述的方法,还包括:在带内系统通过所述第一路可信服务端口获取所述可信计算密码模块记录的带内可信信息;或者,在带外系统通过所述第二路可信服务端口获取所述可信计算密码模块记录的带外可信信息。6.根据权利要求1所述的方法,所述带内可信信息为带内系统的启动度量信息;所述带内系统,用于在启动时利用可信度量根进行度量计算得到度量值,并将所述度量值扩展到所述可信计算密码模块进行启动度量信息的记录;
所述可信计算密码模块,用于记录所述带内系统的...
【专利技术属性】
技术研发人员:蔡恒,
申请(专利权)人:阿里巴巴中国有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。