远程证明的方法、装置、设备、系统及可读存储介质制造方法及图纸

本申请公开了远程证明的方法、装置、设备、系统及可读存储介质，属于信息技术领域。该方法包括：具有路由反射功能的第一网元设备基于BGP连接向第二网元设备发送用于查询第二网元设备的度量信息的第一BGP报文，第一网元设备与第二网元设备之间建立有用于进行路由反射的BGP连接。之后，第一网元设备基于BGP连接接收第二网元设备发送的第二BGP报文，解析该第二BGP报文得到第二BGP报文携带的度量信息。接着，第一网元设备对比度量信息和远程证明基线文件，得到远程证明结果。本申请使用具有路由反射功能的第一网元设备和用于进行路由反射的BGP连接对第二网元设备进行远程证明，节约了成本、提高了远程证明的效率。提高了远程证明的效率。提高了远程证明的效率。

【技术实现步骤摘要】
远程证明的方法、装置、设备、系统及可读存储介质
[0001]本申请要求于2021年10月19日提交的申请号为202111217700.2、专利技术名称为“一种远程证明方法、系统及相关装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。


[0002]本申请涉及信息
，特别涉及远程证明的方法、装置、设备、系统及可读存储介质。

技术介绍

[0003]随着信息技术的不断发展，信息安全问题成为关注重点，可信计算(trusted computing)应运而生。可信计算的其中一种方案包括远程证明(remote attestation，RA)过程。在RA过程中，RA客户端(client)向RA服务器(server)发送数据，该数据是作为RA Client的设备产生的数据。RA Server根据接收到的数据确定作为RA Client的设备是否处于可信状态，从而解决信息安全问题。
[0004]相关技术中，将需要确定是否处于可信状态的设备作为RA Client，部署独立的设备作为RA Server，手动建立RA Client和RA Server之间的专用连接，该专用连接专用于实现上述RA过程。
[0005]然而，部署独立的设备作为RA Server的成本较高，手动建立RA Client和RA Server之间的专用连接的步骤较为繁琐，从而导致RA的效率较低。

技术实现思路

[0006]本申请提供了一种远程证明的方法、装置、设备、系统及可读存储介质，以解决相关技术中成本较高、RA的效率较低的问题，技术方案如下：
[0007]第一方面，提供了一种远程证明的方法，该方法应用于具有路由反射功能的第一网元设备，其中，第一网元设备与第二网元设备之间建立有用于进行路由反射的BGP连接。该方法包括：第一网元设备基于BGP连接向第二网元设备发送用于查询第二网元设备的度量信息的第一BGP报文。之后，第一网元设备基于BGP连接接收第二网元设备发送的第二BGP报文，解析该第二BGP报文得到第二BGP报文携带的度量信息。接着，第一网元设备对比度量信息和远程证明基线文件，从而得到远程证明结果。
[0008]本申请实施例中具有路由反射功能的第一网元设备利用用于进行路由反射的BGP连接对第二网元设备实施远程证明，无需在第一网元设备和第二网元设备之外部署其他额外设备(例如专用的远程证明服务器或者独立的远程证明服务器)，也无需手动建立用于进行远程证明的专用连接，不仅节约了成本，而且提高了远程证明的效率。
[0009]在一种可能的实现方式中，第一BGP报文包括第一TLV字段，第一TLV字段用于指示查询度量信息。
[0010]在一种可能的实现方式中，第一BGP报文为第一更新报文，第一更新报文包括第一
路径属性字段，第一TLV字段位于第一路径属性字段中。第一更新报文也即是更新类型的BGP报文，本申请对更新类型的BGP报文进行了扩展，使得更新类型的BGP报文能够通过路径属性字段携带用于指示查询度量信息的第一TLV字段。
[0011]在本申请实施例中，通过上述扩展BGP报文的方式，实现查询度量信息的功能。
[0012]在一种可能的实现方式中，第二BGP报文包括第二TLV字段，第二TLV字段用于携带度量信息。
[0013]在一种可能的实现方式中，第二BGP报文为第二更新报文，第二更新报文包括第二路径属性字段，第二TLV字段位于第二路径属性字段中。第二更新报文也即是更新类型的BGP报文，本申请对更新类型的BGP报文进行了扩展，使得更新类型的BGP报文能够通过路径属性字段携带用于携带度量信息的第二TLV字段。
[0014]在本申请实施例中，通过上述扩展BGP报文的方式，实现携带度量信息的功能。
[0015]在一种可能的实现方式中，第一网元设备基于BGP连接向第二网元设备发送第一BGP报文，包括：第一网元设备基于BGP连接与第二网元设备建立安全连接，通过安全连接向第二网元设备发送第一BGP报文；第一网元设备基于BGP连接接收第二网元设备发送的第二BGP报文，包括：第一网元设备通过安全连接接收第二网元设备发送的第二BGP报文。通过在第一网元设备和第二网元设备之间建立安全连接，提供了第一BGP报文和第二BGP报文的传输安全性，从而保证了远程证明结果的准确性。
[0016]在一种可能的实现方式中，安全连接包括TLS连接或者IP Sec隧道。
[0017]在一种可能的实现方式中，第一网元设备基于BGP连接与第二网元设备建立安全连接，包括：响应于确定第二网元设备支持远程证明功能，第一网元设备通过BGP连接向第二网元设备发送安全连接建立请求，根据安全连接建立请求与第二网元设备建立安全连接。在确定第二网元设备支持远程证明功能的情况下再建立安全连接，能够避免发生已建立安全连接但第二网元设备不支持远程证明功能的情况，避免造成传输带宽和设备处理资源的浪费。
[0018]在一种可能的实现方式中，第二网元设备支持远程证明功能包括：第二网元设备对应的版本信息与远程证明基线文件对应的版本信息相匹配，和/或，第二网元设备具备地址族扩展能力。
[0019]在一种可能的实现方式中，第一网元设备基于BGP连接向第二网元设备发送第一BGP报文之前，方法还包括：第一网元设备通过BGP连接向第二网元设备发送第三BGP报文，第三BGP报文用于指示查询第二网元设备对应的版本信息；第一网元设备通过BGP连接接收第二网元设备发送的第四BGP报文，解析第四BGP报文得到第四BGP报文携带的第二网元设备对应的版本信息；第一网元设备响应于第二网元设备对应的版本信息与远程证明基线文件对应的版本信息相同，确定第二网元设备支持远程证明功能。
[0020]本申请实施例中具有路由反射功能的第一网元设备通过复用BGP连接进行查询，从而确定第二网元设备支持远程证明功能的方式实施代价低，具有较佳的及时性。
[0021]在一种可能的实现方式中，第三BGP报文包括第三TLV字段，第三TLV字段用于指示查询版本信息。
[0022]在一种可能的实现方式中，第三BGP报文为第三更新报文，第三更新报文包括第三路径属性字段，第三TLV字段位于第三路径属性字段中。第三更新报文也即是更新类型的
BGP报文，本申请对更新类型的BGP报文进行了扩展，使得更新类型的BGP报文能够通过路径属性字段携带用于查询版本信息的第三TLV字段。
[0023]在本申请实施例中，通过上述扩展BGP报文的方式，实现查询版本信息的功能。
[0024]在一种可能的实现方式中，第四BGP报文包括第四TLV字段，第四TLV字段用于携带第二网元设备对应的版本信息。
[0025]在一种可能的实现方式中，第四BGP报文为第四更新报文，第四更新报文包括第四路径属性字段，第四TLV字段位于第四路径属性字段中。第四更新报文也即是更新类型的BGP报文，本申请对更新类型的BGP报文进行了扩展，使得更新类型的BGP报文能够通过路径属性字段携带本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种远程证明的方法，其特征在于，所述方法应用于具有路由反射功能的第一网元设备，所述第一网元设备与第二网元设备之间建立有用于进行路由反射的边界网关协议BGP连接，所述方法包括：所述第一网元设备基于所述BGP连接向所述第二网元设备发送第一BGP报文，所述第一BGP报文用于查询所述第二网元设备的度量信息；所述第一网元设备基于所述BGP连接接收所述第二网元设备发送的第二BGP报文，解析所述第二BGP报文得到所述第二BGP报文携带的所述度量信息；所述第一网元设备对比所述度量信息和远程证明基线文件，得到远程证明结果。2.根据权利要求1所述的方法，其特征在于，所述第一BGP报文包括第一类型长度值TLV字段，所述第一TLV字段用于指示查询度量信息。3.根据权利要求2所述的方法，其特征在于，所述第一BGP报文为第一更新报文，所述第一更新报文包括第一路径属性字段，所述第一TLV字段位于所述第一路径属性字段中。4.根据权利要求1
‑
3中任一项所述的方法，其特征在于，所述第二BGP报文包括第二TLV字段，所述第二TLV字段用于携带所述度量信息。5.根据权利要求4所述的方法，其特征在于，所述第二BGP报文为第二更新报文，所述第二更新报文包括第二路径属性字段，所述第二TLV字段位于所述第二路径属性字段中。6.根据权利要求1
‑
5中任一项所述的方法，其特征在于，所述第一网元设备基于所述BGP连接向所述第二网元设备发送第一BGP报文，包括：所述第一网元设备基于所述BGP连接与所述第二网元设备建立安全连接，通过所述安全连接向所述第二网元设备发送所述第一BGP报文；所述第一网元设备基于所述BGP连接接收所述第二网元设备发送的第二BGP报文，包括：所述第一网元设备通过所述安全连接接收所述第二网元设备发送的所述第二BGP报文。7.根据权利要求6所述的方法，其特征在于，所述安全连接包括传输层安全TLS连接或者互联网协议IP安全Sec隧道。8.根据权利要求6或7所述的方法，其特征在于，所述第一网元设备基于所述BGP连接与所述第二网元设备建立安全连接，包括：响应于确定所述第二网元设备支持远程证明功能，所述第一网元设备通过所述BGP连接向所述第二网元设备发送安全连接建立请求，根据所述安全连接建立请求与所述第二网元设备建立安全连接。9.根据权利要求8所述的方法，其特征在于，所述第二网元设备支持远程证明功能，包括：所述第二网元设备对应的版本信息与所述远程证明基线文件对应的版本信息相匹配，和/或，所述第二网元设备具备地址族扩展能力。10.根据权利要求1或9所述的方法，其特征在于，所述第一网元设备基于所述BGP连接向所述第二网元设备发送第一BGP报文之前，所述方法还包括：所述第一网元设备通过所述BGP连接向所述第二网元设备发送第三BGP报文，所述第三BGP报文用于指示查询所述第二网元设备对应的版本信息；
所述第一网元设备通过所述BGP连接接收所述第二网元设备发送的第四BGP报文，解析所述第四BGP报文得到所述第四BGP报文携带的所述第二网元设备对应的版本信息；所述第一网元设备响应于所述第二网元设备对应的版本信息与所述远程证明基线文件对应的版本信息相同，确定所述第二网元设备支持所述远程证明功能。11.根据权利要求10所述的方法，其特征在于，所述第三BGP报文包括第三TLV字段，所述第三TLV字段用于指示查询版本信息。12.根据权利要求11所述的方法，其特征在于，所述第三BGP报文为第三更新报文，所述第三更新报文包括第三路径属性字段，所述第三TLV字段位于所述第三路径属性字段中。13.根据权利要求10
‑
12中任一项所述的方法，其特征在于，所述第四BGP报文包括第四TLV字段，所述第四TLV字段用于携带所述第二网元设备对应的版本信息。14.根据权利要求13所述的方法，其特征在于，所述第四BGP报文为第四更新报文，所述第四更新报文包括第四路径属性字段，所述第四TLV字段位于所述第四路径属性字段中。15.根据权利要求13或14所述的方法，其特征在于，所述第二网元设备对应的版本信息包括所述第二网元设备中的至少一个组件的子版本信息，所述至少一个组件中任一组件的子版本信息包括软件版本和硬件版本中的至少一种信息，所述第四TLV字段用于携带信息列表，所述信息列表包括至少一个信息项，所述至少一个信息项中的任一信息项包括所述任一组件的组件名称和所述任一组件的子版本信息。16.根据权利要求1、9
‑
15中任一项所述的方法，其特征在于，所述第一网元设备基于所述BGP连接向所述第二网元设备发送第一BGP报文之前，所述方法还包括：所述第一网元设备通过所述BGP连接向所述第二网元设备发送第五BGP报文，所述第五BGP报文用于与所述第二网元设备协商地址族扩展能力；所述第一网元设备通过所述BGP连接接收所述第二网元设备发送的第六BGP报文，基于所述第六BGP报文确定所述第二网元设备具备地址族扩展能力，则所述第二网元设备支持所述远程证明功能。17.根据权利要求16所述的方法，其特征在于，所述第五BGP报文包括至少一个第一能力子字段，所述至少一个第一能力子字段中的任一第一能力子字段携带一个地址族标识，所述地址族标识用于指示扩展的地址族。18.根据权利要求17所述的方法，其特征在于，所述第五BGP报文为第一开放报文，所述第一开放报文包括第一可选参数字段，所述至少一个第一能力子字段位于所述第一可选参数字段中。19.根据权利要求16
‑
18中任一项所述的方法，其特征在于，所述第六BGP报文包括至少一个携带有地址族标识的第二能力子字段。20.根据权利要求19所述的方法，其特征在于，所述第六BGP报文的报文类型为开放类型，所述第六BGP报文包括第二可选参数字段，响应于所述第六BGP报文包括至少一个携带有地址族标识的第二能力子字段，则所述至少一个携带有地址族标识的第二能力子字段位于所述第二可选参数字段中。21.根据权利要求20所述的方法，其特征在于，所述基于所述第六BGP报文确定所述第二网元设备具备地址族扩展能力，包括：所述第一网元设备解析所述第六BGP报文；
响应于所述第六BGP报文包括至少一个携带有地址族标识的第二能力子字段，则所述第一网元设备确定所述第二网元设备具备地址族扩展能力。22.根据权利要求1
‑
21中任一项所述的方法，其特征在于，所述远程证明基线文件由所述第一网元设备接收得到，或者，所述远程证明基线文件由所述第一网元设备根据所述第一网元设备的度量信息生成。23.一种远程证明的方法，其特征在于，所述方法应用于第二网元设备，所述第二网元设备与第一网元设备之间建立有用于进行路由反射的边界网关协议BGP连接，所述第一网元设备具有路由反射功能，所述方法包括：所述第二网元设备基于所述BGP连接接收所述第一网元设备发送的第一BGP报文，所述第一BGP报文用于查询所述第二网元设备的度量信息；所述第二网元设备基于所述BGP连接向所述第一网元设备发送第二BGP报文，所述第二BGP报文携带所述度量信息，以使所述第一网元设备得到所述第二网元设备对应的远程证明结果。24.根据权利要求23所述的方法，其特征在于，所述第一BGP报文包括第一类型长度值TLV字段，所述第一TLV字段用于指示查询度量信息。25.根据权利要求24所述的方法，其特征在于，所述第一BGP报文为第一更新报文，所述第一更新报文包括第一路径属性字段，所述第一TLV字段位于所述第一路径属性字段中。26.根据权利要求23
‑
25中任一项所述的方法，其特征在于，所述第二BGP报文包括第二TLV字段，所述第二TLV字段用于携带所述度量信息。27.根据权利要求26所述的方法，其特征在于，所述第二BGP报文为第二更新报文，所述第二更新报文包括第二路径属性字段，所述第二TLV字段位于所述第二路径属性字段中。28.根据权利要求23
‑
27中任一项所述的方法，其特征在于，所述第二网元设备基于所述BGP连接接收所述第一网元设备发送的第一BGP报文，包括：所述第二网元设备基于所述BGP连接与所述第一网元设备建立安全连接，通过所述安全连接接收所述第一网元设备发送的所述第一BGP报文；所述第二网元设备基于所述BGP连接向所述第一网元设备发送第二BGP报文，包括：所述第二网元设备通过所述安全连接向所述第一网元设备发送所述第二BGP报文。29.根据权利要求28所述的方法，其特征在于，所述安全连接包括传输层安全TLS连接或者互联网协议IP安全Sec隧道。30.根据权利要求28或29所述的方法，其特征在于，所述第二网元设备基于所述BGP连接与所述第一网元设备建立安全连接，包括：所述第二网元设备通过所述BGP连接接收所述第一网元设备发送的安全连接建立请求，根据所述安全连接建立请求与所述第一网元设备建立安全连接。31.根据权利要求30所述的方法，其特征在于，所述第二网元设备对应的版本信息与所述第一网元设备上的远程证明基线文件对应的版本信息相匹配，和/或，所述第二网元设备具备地址族扩展能力，所述远程证明基线文件用于得到所述第二网元设备对应的远程证明结果。32.根据权利要求23或31所述的方法，其特征在于，所述第二网元设备基于所述BGP连接接收所述第一网元设备发送的第一BGP报文之前，所述方法还包括：
所述第二网元设备通过所述BGP连接接收所述第一网元设备发送...

【专利技术属性】
技术研发人员：吴迪，曹斌，张轶炯，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：