[发明专利]一种确定节点可信的系统及方法

说明书

本发明提供了一种确定节点可信的系统及方法，该系统包括：可信流式计算集群、至少一个OAT、各OAT所连接的至少一个节点，各个节点均均配备有TPM安全芯片。OAT针对所连接的每一个节点，采集节点的TPM安全芯片中记录的固定可信值及节点的程序运行数据；将程序运行数据发送给可信流式计算集群，并接收其计算并返回的程序运行数据对应的实际可信值；在判断出同一节点的固定可信值、实际可信值、预存的预期可信值一致时，确定该节点可信。OAT不进行可信计算，而由一个专用的计算机群通过流式计算方式代为执行，OAT仅执行简单的数值收发对比操作即可确定节点是否可信，故本方案能够减少可信计算所需占用的设备资源。

技术领域

本发明涉及计算机技术领域，特别涉及一种确定节点可信的系统及方法。

背景技术

可信计算技术是解决计算机体系结构的安全技术，它通过建立一种特定的完整性度量机制，使计算平台运行时具备分辨程序代码可信与否的能力，从而对不可信的程序代码建立有效的防治方法和措施。

目前，OAT(Open Attestation)可以采集所连接的各个节点的程序运行数据，通过对程序运行数据的可信计算，以根据可信计算结果来确定各个节点是否可信。

但当所连接节点的数目较多时，可信计算通常需要占用较多设备资源。

发明内容

本发明提供了一种确定节点可信的系统及方法，能够减少可信计算所需占用的设备资源。

为了达到上述目的，本发明是通过如下技术方案实现的：

一方面，本发明提供了一种确定节点可信的系统，包括：

可信流式计算集群、至少一个OAT、每一个所述OAT所连接的至少一个节点；

任一所述节点均配备有TPM(TrustedPlatfol'In Module，可信平台模块)安全芯片；

每一个所述OAT，均用于针对所连接的每一个节点均执行：采集当前节点的TPM安全芯片中记录的第一固定可信值；采集所述当前节点的第一程序运行数据；将所述第一程序运行数据发送给所述可信流式计算集群，并接收所述可信流式计算集群返回的所述第一程序运行数据对应的实际可信值；判断所述第一固定可信值、所述第一程序运行数据对应的实际可信值、预存的所述当前节点的预期可信值是否一致，若是，确定所述当前节点可信；

所述可信流式计算集群，用于针对每一个所述OAT均执行：针对当前OAT发来的每一个程序运行数据均执行：计算当前程序运行数据对应的实际可信值，并将所述当前程序运行数据对应的实际可信值返回给所述当前OAT。

进一步地，所述第一程序运行数据携带有所述当前节点的节点唯一标识；

所述可信流式计算集群，还用于控制所述第一程序运行数据对应的实际可信值携带所述当前节点的节点唯一标识。

进一步地，所述可信流式计算集群包括：RPC(Remote Procedure Call，远程过程调用)接口、至少一个分布式RPC服务器、至少一个计算拓扑；

每一个所述OAT，均具体用于通过调用所述RPC接口，以向所述可信流式计算集群发送每一个程序运行数据，且发送的每一个程序运行数据均携带有自身的OAT唯一标识；

每一个所述分布式RPC服务器，均用于在接收到任一所述OAT发来的一程序运行数据时，根据外部当前发来的分发命令，将接收到的程序运行数据分发给该分发命令所指定的计算拓扑；在接收到一实际可信值时，根据该实际可信值对应的程序运行数据所携带的OAT唯一标识，将接收到的实际可信值发送给相应的OAT；

每一个所述计算拓扑，均用于在接收到一程序运行数据时，计算接收到的程序运行数据对应的实际可信值，并根据外部当前发来的分发命令，将计算出的实际可信值分发给该分发命令所指定的分布式RPC服务器。