CN109462611B - 一种完整性证明方法及装置 - Google Patents
一种完整性证明方法及装置 Download PDFInfo
- Publication number
- CN109462611B CN109462611B CN201811607136.3A CN201811607136A CN109462611B CN 109462611 B CN109462611 B CN 109462611B CN 201811607136 A CN201811607136 A CN 201811607136A CN 109462611 B CN109462611 B CN 109462611B
- Authority
- CN
- China
- Prior art keywords
- measurement
- comprehensive
- value
- integrity
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明实施例提供一种完整性证明方法及装置。本发明实施例中,第一设备向第二设备发送用于获取综合度量值的第一请求报文。第二设备在回应的第一响应报文中携带第二设备的综合度量值以及度量次数。第一设备向第二设备发送用于获取所述度量次数个日志记录的第二请求报文。第二设备在回应的第二响应报文中携带所述度量次数个日志记录。第二设备根据获取的所述度量次数个日志记录以及综合度量值,验证第二设备的完整性。本发明实施例中,设备之间的交互次数较少,可有效提升完整性证明的效率。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种完整性证明方法及装置。
背景技术
可信计算通过建立一种特定的完整性度量机制,来验证网络设备是否遭受恶意代码攻击。该验证过程亦称为完整性证明。
网络设备对本设备上运行的程序代码进行度量,并将度量相关信息通告给对端设备,以使对端设备对本设备的完整性进行验证。
完整性证明的信息交互过程如图1所示。这里,以设备12验证设备11的完整性为例,该交互过程包括:
步骤101,设备12请求获取设备11的度量日志;
步骤102,设备11向设备12返回本设备的度量日志,记为L1;
步骤103,设备12请求获取设备11的综合度量值;
步骤104,设备11向设备12返回本设备的综合度量值;
步骤105,设备12请求获取设备11的度量日志;
步骤106,设备11向设备12返回本设备的度量日志,记为L2。
在完成上述交互后,设备12比较L2中日志记录的数量(记为N2)与L1中日志记录的数量(记为N1)。若N2大于N1,说明设备12获取L1时,设备11仍在度量。也就是说,在执行步骤102至步骤104期间,设备11可能生成新的日志记录。
设备12根据L1中所有日志记录进行计算,若计算结果与获取到的综合度量值一致,说明设备11的完整性正常。若不一致,从L2中获取与L1中最后一条日志记录相邻的下一条日志记录(即第N1+1条日志记录),对L2中前N1+1条日志记录进行计算。若计算结果仍与获取的综合度量值不一致,继续取L2中前N1+2条日志记录进行计算,以此类推。若计算结果与综合度量值一致,则停止计算,证明设备11的完整性正常。若直至所有L2中的日志记录均参与计算,仍无法获取到与综合度量值不一致的计算结果,则证明设备11的完整性异常。
从上述完整性证明过程可以看出,该过程过于复杂,导致完整性证明效率不高。
发明内容
本发明为了解决现有完整性证明的效率不高的问题,提出一种完整性证明方法及装置,用以提升完整性证明的效率。
为实现上述发明目的,本发明提供了如下技术方案:
第一方面,本发明提供一种完整性证明方法,应用于第一设备,所述方法包括:
向待验证的第二设备发送第一请求报文,所述第一请求报文用于获取所述第二设备的综合度量值;
接收所述第二设备根据所述第一请求报文回应的第一响应报文,所述第一响应报文包括所述第二设备的综合度量值以及度量次数;
向所述第二设备发送第二请求报文,所述第二请求报文用于获取所述度量次数个日志记录;
接收所述第二设备根据所述第二请求报文回应的第二响应报文,所述第二响应报文包括所述第二设备从所述度量日志中获取的所述度量次数个日志记录;
根据所述度量次数个日志记录以及所述综合度量值,验证所述第二设备的完整性。
第二方面,本发明提供一种完整性证明方法,应用于第二设备,所述方法包括:
若接收到第一设备发送的用于获取综合度量值的第一请求报文,获取综合度量值以及度量次数;
向所述第一设备发送第一响应报文,所述第一响应报文包括所述综合度量值以及所述度量次数;
若接收到所述第一设备发送的用于获取所述度量次数个日志记录的第二请求报文,从所述度量日志中,获取前所述度量次数个日志记录;
向所述第一设备发送第二响应报文,所述第二响应报文包括获取的所述度量次数个日志记录,以使所述第一设备根据所述度量次数个日志记录以及所述综合度量值,验证所述第二设备的完整性。
第三方面,本发明提供一种完整性证明装置,应用于第一设备,所述装置包括:
发送单元,用于向待验证的第二设备发送第一请求报文,所述第一请求报文用于获取所述第二设备的综合度量值;
接收单元,用于接收所述第二设备根据所述第一请求报文回应的第一响应报文,所述第一响应报文包括所述第二设备的综合度量值以及度量次数;
所述发送单元,还用于向所述第二设备发送第二请求报文,所述第二请求报文用于获取所述度量次数个日志记录;
所述接收单元,还用于接收所述第二设备根据所述第二请求报文回应的第二响应报文,所述第二响应报文包括所述第二设备从所述度量日志中获取的所述度量次数个日志记录;
验证单元,用于根据所述度量次数个日志记录以及所述综合度量值,验证所述第二设备的完整性。
第四方面,本发明提供一种完整性证明装置,应用于第二设备,所述装置包括:
完整性度量单元,用于生成包括单次度量值的日志记录,添加到度量日志中,并向可信平台单元推送所述单次度量值;
所述可信平台单元,用于根据所述单次度量值更新综合度量值,并累计度量次数;
平台可信服务单元,用于若接收到第一设备发送的用于获取综合度量值的第一请求报文,从所述可信平台单元获取综合度量值以及度量次数;向第一设备发送第一响应报文,所述第一响应报文包括所述综合度量值以及所述度量次数;若接收到所述第一设备发送的用于获取所述度量次数个日志记录的第二请求报文,从所述完整性度量单元获取前所述度量次数个日志记录;向所述第一设备发送第二响应报文,所述第二响应报文包括获取的所述度量次数个日志记录,以使所述第一设备根据所述度量次数个日志记录以及所述综合度量值,验证所述第二设备的完整性。
由以上描述可以看出,本发明实施例中,第一设备只需要从第二设备获取一次日志记录,即可实现对第二设备的完整性验证。相较于现有技术中的获取两次日志记录,可大大减少设备之间的交互次数,有效提升完整性证明的效率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是现有完整性证明的信息交互流程;
图2是本发明实施例示出的一种完整性证明方法流程图;
图3是本发明实施例示出的步骤205的实现流程;
图4是本发明实施例示出的另一种完整性证明方法流程图;
图5是本发明实施例示出的第二设备的度量更新流程;
图6是本发明实施例提供的完整性证明的信息交互流程;
图7是本发明实施例示出的一种完整性证明装置的结构示意图;
图8是本发明实施例示出的另一种完整性证明装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,协商信息也可以被称为第二信息,类似地,第二信息也可以被称为协商信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本发明实施例提供一种完整性证明方法,该方法中,第一设备只需要从第二设备获取一次日志记录,即可实现对第二设备的完整性验证。可大大减少设备之间的交互次数,有效提升完整性证明的效率。
为了使本发明实施例的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明实施例执行详细描述:
参见图2,为本发明实施例提供的一种完整性证明方法的流程图。该流程应用于第一设备。比如,该第一设备可以为服务器,对访问服务器的客户端设备进行完整性验证。
这里,第一设备只是为便于描述而进行的命名,并非用于限定。
如图2所示,该流程可包括以下步骤:
步骤201,第一设备向待验证的第二设备发送第一请求报文。
本发明实施例中,第二设备可以为客户端设备、交换设备等。本发明对此不作限定。
第二设备对本地运行的多个程序进行度量,比如,通过哈希运算获取每一个程序对应的哈希值(即度量值,本发明实施例将针对每一个程序得到的度量值称为单次度量值)。并利用单次度量值更新本设备记录的综合度量值。
作为一个实施例,第二设备可利用自身包括的可信芯片,比如,TPM(TrustPlatform Modle,可信平台模块)芯片实现综合度量值的更新。具体为,TPM芯片获取到单次度量值后,直接扩展到TPM芯片的PCR(Platform Configuration Register,平台配置寄存器)中。需要说明的是,所谓扩展通常是对PCR中的值与新获取的单次度量值进行或运算,得到新的PCR中的值。即PCR中始终记录最新的扩展结果(即综合度量值)。
当第一设备需要验证第二设备的完整性时,第一设备生成第一请求报文。该第一请求报文用于获取第二设备的综合度量值。
第一设备向第二设备发送第一请求报文。
这里,第二设备、第一请求报文只是为便于描述而进行的命名,并非用于限定。
步骤202,第一设备接收第二设备根据第一请求报文回应的第一响应报文。
第二设备接收到步骤201中的第一请求报文后,对第一请求报文进行解析,确定第一设备需要获取本设备(第二设备)的综合度量值。
第二设备获取本设备当前的综合度量值以及度量次数。
这里,需要说明的是,第二设备在每一次根据单次度量值更新综合度量值时,都会累计度量次数。
第二设备生成第一响应报文,该第一响应报文包括第二设备的综合度量值以及度量次数。
第二设备向第一设备发送第一响应报文。
这里,第一响应报文只是为便于描述而进行的命名,并非用于限定。
步骤203,第一设备向第二设备发送第二请求报文。
第一设备接收到步骤202中的第一响应报文后,对第一响应报文进行解析,获取第一响应报文中包括的第二设备的综合度量值以及度量次数。
第一设备根据获取到的度量次数,可确定当前获取到的综合度量值是第二设备基于度量次数个单次度量值得到的。因此,第一设备生成第二请求报文,该第二请求报文用于获取第二设备中度量次数个日志记录(每一个日志记录包括一个单次度量值)。
第一设备向第二设备发送第二请求报文。
这里,第二请求报文只是为便于描述而进行的命名,并非用于限定。
步骤204,第一设备接收第二设备根据第二请求报文回应的第二响应报文。
第二设备接收到步骤203中的第二请求报文后,对第二请求报文进行解析,确定第一设备需要获取本设备(第二设备)中度量次数个日志记录。
第二设备按照度量顺序向度量日志中添加日志记录。比如,第二设备按照从程序1到程序5的顺序进行度量。首先,度量程序1,得到单次度量值1,综合度量值为Z1(等于度量值1),累计度量次数为1,并在度量日志中添加第1条日志记录,记为M1;度量程序2,得到单次度量值2,综合度量值为Z2(比如,Z2为Z1与单次度量值2的或运算结果),累计度量次数为2,并在度量日志中添加第2条日志记录,记为M2;以此类推。也就是说,综合度量值由按照一定度量顺序得到的单次度量值确定。该度量顺序对应度量日志中日志记录的添加顺序(即从前到后的顺序)。因此,第二设备获取度量日志中前度量次数个日志记录。
第二设备生成第二响应报文,该第二响应报文包括第二设备从度量日志中获取的前度量次数个日志记录。
第二设备向第一设备发送第二响应报文。
这里,第二响应报文只是为便于描述而进行的命名,并非用于限定。
步骤205,第一设备根据获取的度量次数个日志记录以及综合度量值,验证第二设备的完整性。
第一设备接收到步骤204中的第二响应报文后,对第二响应报文进行解析,获取第二响应报文包括的度量次数个日志记录。
第一设备根据获取的度量次数个日志记录以及通过步骤202获取的综合度量值,验证第二设备的完整性。具体验证过程在下文中描述,这里暂不赘述。
至此,完成图2所示流程。
通过图2所示流程可以看出,在本发明实施例中,第一设备只需要从第二设备获取一次日志记录,即可实现对第二设备的完整性验证。相较于现有技术中的获取两次日志记录,可大大减少设备之间的交互次数,有效提升完整性证明的效率。
下面对步骤205中第一设备验证第二设备的完整性的过程进行描述。参见图3,为本发明实施例示出的一种实现流程。
如图3所示,该流程可包括以下步骤:
步骤301,第一设备从度量次数个日志记录中获取度量次数个单次度量值。
如前所述,第二设备每完成一次度量,在度量日志中添加一条对应的日志记录(包括单次度量值)。因此,第一设备可从第二设备返回的度量次数个日志记录中获取到度量次数个单次度量值。
步骤302,第一设备利用预设算法对度量次数个单次度量值进行计算。
这里,预设算法与第二设备计算综合度量值的算法相同。
比如,第二设备包括的TPM芯片采用或运算扩展PCR的值,即,将每一次得到的单次度量值与PCR中的值进行或运算,得到新的PCR的值(综合度量值),则第一设备采用同样的或运算方式对度量次数个单次度量值进行计算。
步骤303,第一设备判断计算结果与通过步骤202获取的综合度量值是否一致,若一致,转步骤304;若不一致,转步骤305。
步骤304,第一设备确定第二设备的完整性正常。
步骤305,第一设备确定第二设备的完整性异常。
如前所述,第一设备通过步骤202获取到的综合度量值是第二设备基于度量次数个单次度量值得到的。
若第二设备的度量日志被篡改,则第一设备通过步骤302得到的计算结果与从第二设备获取的综合度量值不一致,证明第二设备的完整性异常;反之,证明第二设备的完整性正常。
至此,完成图3所示流程。
通过图3所示流程实现对第二设备的完整性验证。
参见图4,为本发明实施例提供的另一种完整性证明方法的流程图。该流程应用于第二设备。
如图4所示,该流程可包括以下步骤:
步骤401,若接收到第一设备发送的用于获取综合度量值的第一请求报文,第二设备获取综合度量值以及度量次数。
本发明实施例中,第一设备发送第一请求报文、第二设备接收第一请求报文的过程与前述实施例步骤201相同,在此不再复述。
第二设备获取综合度量值的过程与前述实施例步骤201相同,在此不再复述。
第二设备获取度量次数的过程与前述实施例步骤202相同,在此不再复述。
步骤402,第二设备向第一设备发送第一响应报文。
该第一响应报文包括综合度量值以及度量次数。
本发明实施例中,第二设备发送第一响应报文的过程与前述实施例步骤202相同,在此不再复述。
步骤403,若接收到第一设备发送的用于获取度量次数个日志记录的第二请求报文,第二设备从度量日志中,获取前度量次数个日志记录。
本发明实施例中,第一设备发送第二请求报文、第二设备接收第二请求报文的过程与前述实施例步骤203相同,在此不再复述。
第二设备获取前度量次数个日志记录的过程与前述实施例步骤204相同,在此不再复述。
步骤404,第二设备向第一设备发送第二响应报文。
该第二响应报文包括获取的前度量次数个日志记录。
本发明实施例中,第二设备发送第二响应报文的过程与前述实施例步骤204相同,在此不再复述。
第一设备根据获取的度量次数个日志记录以及从第二设备获取的综合度量值,验证第二设备的完整性。
本发明实施例中,第一设备验证第二设备的完整性的过程与前述实施例步骤205相同,在此不再复述。
至此,完成图4所示流程。
通过图4所示流程可以看出,在本发明实施例中,第一设备只需要从第二设备获取一次日志记录,即可实现对第二设备的完整性验证。相较于现有技术中的获取两次日志记录,可大大减少设备之间的交互次数,有效提升完整性证明的效率。
作为一个实施例,在执行步骤401之前,还包括图5所示流程。参见图5,为本发明实施例示出的度量更新流程。
如图5所示,该流程可包括以下步骤:
步骤501,在完成每一次度量时,第二设备根据单次度量值更新综合度量值,并累计度量次数。
本发明实施例中,第二设备更新综合度量值的过程与前述实施例步骤201相同,在此不再复述。
本发明实施例中,第二设备累计度量次数的过程与前述实施例步骤202相同,在此不再复述。
步骤502,第二设备生成包括单次度量值的日志记录,并添加到度量日志中。
本发明实施例中,第二设备添加日志记录的过程与前述实施例步骤204相同,在此不再复述。
至此,完成图5所示流程。
通过图5所示流程可实现对综合度量值、度量次数以及度量日志的更新。
下面通过具体实施例对本发明实施例提供的方法进行描述:
参见图6,为本发明实施例提供的完整性证明的信息交互流程。该交互流程以设备62验证设备61的完整性为例。
设备61对本设备运行的程序1进行哈希运算,得到单次度量值(记为D1)。设备61将D1记录到TPM芯片的PCR中,并累计度量次数为1。同时,生成包括D1的日志记录(记为R1),添加到度量日志中。
设备61对本设备运行的程序2进行哈希运算,得到单次度量值(记为D2)。设备61将D2扩展到TPM芯片的PCR中,即对D2和PCR中的D1进行或运算,PCR中记录或运算的结果(记为W1),累计度量次数为2。同时,生成包括D2的日志记录(记为R2),添加到度量日志中。
此时,设备61中的度量日志如表1所示。
表1
步骤601,设备62向设备61发送第一请求报文。
该第一请求报文用于获取设备61的综合度量值。
设备61解析第一请求报文,确定设备62需要获取本设备的综合度量值,则设备61从TPM芯片的PCR中获取当前的综合度量值(W1)。同时,获取当前的度量次数(2)。
设备61生成第一响应报文,该第一响应报文包括W1和度量次数(2)。
步骤602,设备61向设备62发送第一响应报文。
设备62解析第一响应报文,获取第一响应报文包括的W1和度量次数(2)。
设备62生成第二请求报文,该第二请求报文包括从第一响应报文获取的度量次数(2)。
步骤603,设备62向设备61发送第二请求报文。
若此时设备61对本设备运行的程序3进行哈希运算,得到单次度量值(记为D3),则设备61将D3扩展到TPM芯片的PCR中,即对D3和PCR中的值(W1)进行或运算,PCR中记录或运算的结果(记为W2),累计度量次数为3。同时,生成包括D3的日志记录(记为R3),添加到度量日志中。
此时,设备61中的度量日志如表2所示。
表2
设备61解析第二请求报文,确定设备62需要获取本设备的度量日志,且需要获取的日志记录的数量为2个,则设备61从表2所示度量日志中获取前2个日志记录(R1和R2)。
设备61生成第二响应报文,该第二响应报文包括R1和R2。
步骤604,设备61向设备62发送第二响应报文。
设备62解析第二响应报文,获取第二响应报文包括的R1和R2。从R1和R2中获取D1和D2,对D1和D2进行或运算,得到W1。将W1与从设备61获取到的综合度量值(W1)进行比对,两者一致,因此,确定设备61的完整性正常。
若设备61生成第二响应报文之前,表2中的日志记录被篡改,如表3所示。
表3
对比表2和表3可知,第一条日志记录的单次度量值被篡改为D4。则设备62通过第二响应报文获取到的单次度量值为D1和D4。设备62对D1和D4进行或运算,运算结果与设备61基于D1和D2得到的综合度量值(W1)不一致,因此,确定设备61的完整性异常。
至此,完成对本实施例的描述。
以上对本发明实施例提供的方法进行了描述,下面对本发明实施例提供的装置进行描述:
参见图7,为本发明实施例提供的一种装置的结构示意图。该完整性证明装置应用于第一设备,该装置包括:发送单元701、接收单元702以及验证单元703,其中:
发送单元701,用于向待验证的第二设备发送第一请求报文,所述第一请求报文用于获取所述第二设备的综合度量值;
接收单元702,用于接收所述第二设备根据所述第一请求报文回应的第一响应报文,所述第一响应报文包括所述第二设备的综合度量值以及度量次数;
所述发送单元701,还用于向所述第二设备发送第二请求报文,所述第二请求报文用于获取所述度量次数个日志记录;
所述接收单元702,还用于接收所述第二设备根据所述第二请求报文回应的第二响应报文,所述第二响应报文包括所述第二设备从所述度量日志中获取的所述度量次数个日志记录;
验证单元703,用于根据所述度量次数个日志记录以及所述综合度量值,验证所述第二设备的完整性。
作为一个实施例,所述验证单元703,具体用于从所述度量次数个日志记录中,获取所述度量次数个单次度量值;利用预设算法对所述度量次数个单次度量值进行计算,其中,所述预设算法与所述第二设备计算所述综合度量值的算法相同;判断计算结果与所述综合度量值是否一致;若所述计算结果与所述综合度量值一致,确定所述第二设备的完整性正常。
作为一个实施例,所述验证单元703,还用于若所述计算结果与所述综合度量值不一致,确定所述第二设备的完整性异常。
至此,完成图7所示装置的描述。
本发明实施例中,第一设备只需要从第二设备获取一次日志记录,即可实现对第二设备的完整性验证。相较于现有技术中的获取两次日志记录,可大大减少设备之间的交互次数,有效提升完整性证明的效率。
参见图8,为本发明实施例提供的另一种装置的结构示意图。该完整性证明装置应用于第二设备,该装置包括:完整性度量单元801、可信平台单元802以及平台可信服务单元803,其中:
完整性度量单元801,用于生成包括单次度量值的日志记录,添加到度量日志中,并向可信平台单元802推送所述单次度量值;
所述可信平台单元802,用于根据所述单次度量值更新综合度量值,并累计度量次数;
平台可信服务单元803,用于若接收到第一设备发送的用于获取综合度量值的第一请求报文,从所述可信平台单元802获取综合度量值以及度量次数;向第一设备发送第一响应报文,所述第一响应报文包括所述综合度量值以及所述度量次数;若接收到所述第一设备发送的用于获取所述度量次数个日志记录的第二请求报文,从所述完整性度量单元801获取前所述度量次数个日志记录;向所述第一设备发送第二响应报文,所述第二响应报文包括获取的所述度量次数个日志记录,以使所述第一设备根据所述度量次数个日志记录以及所述综合度量值,验证所述第二设备的完整性。
至此,完成图8所示装置的描述。
本发明实施例中,第一设备只需要从第二设备获取一次日志记录,即可实现对第二设备的完整性验证。相较于现有技术中的获取两次日志记录,可大大减少设备之间的交互次数,有效提升完整性证明的效率。
以上所述仅为本发明实施例的较佳实施例而已,并不用以限制本发明,凡在本发明实施例的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (9)
1.一种完整性证明方法,应用于第一设备,其特征在于,所述方法包括:
向待验证的第二设备发送第一请求报文,所述第一请求报文用于获取所述第二设备的综合度量值;
接收所述第二设备根据所述第一请求报文回应的第一响应报文,所述第一响应报文包括所述第二设备的综合度量值以及度量次数;
向所述第二设备发送第二请求报文,所述第二请求报文用于获取所述度量次数个日志记录;
接收所述第二设备根据所述第二请求报文回应的第二响应报文,所述第二响应报文包括所述第二设备从度量日志中获取的所述度量次数个日志记录;
根据所述度量次数个日志记录以及所述综合度量值,验证所述第二设备的完整性。
2.如权利要求1所述的方法,其特征在于,所述日志记录包括单次度量值,所述根据所述度量次数个日志记录以及所述综合度量值,验证所述第二设备的完整性,包括:
从所述度量次数个日志记录中,获取所述度量次数个单次度量值;
利用预设算法对所述度量次数个单次度量值进行计算,其中,所述预设算法与所述第二设备计算所述综合度量值的算法相同;
判断计算结果与所述综合度量值是否一致;
若所述计算结果与所述综合度量值一致,确定所述第二设备的完整性正常。
3.如权利要求2所述的方法,其特征在于,所述方法还包括:
若所述计算结果与所述综合度量值不一致,确定所述第二设备的完整性异常。
4.一种完整性证明方法,应用于第二设备,其特征在于,所述方法包括:
若接收到第一设备发送的用于获取综合度量值的第一请求报文,获取综合度量值以及度量次数;
向所述第一设备发送第一响应报文,所述第一响应报文包括所述综合度量值以及所述度量次数;
若接收到所述第一设备发送的用于获取所述度量次数个日志记录的第二请求报文,从所述度量日志中,获取前所述度量次数个日志记录;
向所述第一设备发送第二响应报文,所述第二响应报文包括获取的所述度量次数个日志记录,以使所述第一设备根据所述度量次数个日志记录以及所述综合度量值,验证所述第二设备的完整性。
5.如权利要求4所述的方法,其特征在于,所述获取综合度量值以及度量次数之前,还包括:
在完成每一次度量时,根据单次度量值更新所述综合度量值,并累计度量次数;
生成包括所述单次度量值的日志记录,并添加到所述度量日志中。
6.一种完整性证明装置,应用于第一设备,其特征在于,所述装置包括:
发送单元,用于向待验证的第二设备发送第一请求报文,所述第一请求报文用于获取所述第二设备的综合度量值;
接收单元,用于接收所述第二设备根据所述第一请求报文回应的第一响应报文,所述第一响应报文包括所述第二设备的综合度量值以及度量次数;
所述发送单元,还用于向所述第二设备发送第二请求报文,所述第二请求报文用于获取所述度量次数个日志记录;
所述接收单元,还用于接收所述第二设备根据所述第二请求报文回应的第二响应报文,所述第二响应报文包括所述第二设备从所述度量日志中获取的所述度量次数个日志记录;
验证单元,用于根据所述度量次数个日志记录以及所述综合度量值,验证所述第二设备的完整性。
7.如权利要求6所述的装置,其特征在于:
所述验证单元,具体用于从所述度量次数个日志记录中,获取所述度量次数个单次度量值;利用预设算法对所述度量次数个单次度量值进行计算,其中,所述预设算法与所述第二设备计算所述综合度量值的算法相同;判断计算结果与所述综合度量值是否一致;若所述计算结果与所述综合度量值一致,确定所述第二设备的完整性正常。
8.如权利要求7所述的装置,其特征在于:
所述验证单元,还用于若所述计算结果与所述综合度量值不一致,确定所述第二设备的完整性异常。
9.一种完整性证明装置,应用于第二设备,其特征在于,所述装置包括:
完整性度量单元,用于生成包括单次度量值的日志记录,添加到度量日志中,并向可信平台单元推送所述单次度量值;
所述可信平台单元,用于根据所述单次度量值更新综合度量值,并累计度量次数;
平台可信服务单元,用于若接收到第一设备发送的用于获取综合度量值的第一请求报文,从所述可信平台单元获取综合度量值以及度量次数;向第一设备发送第一响应报文,所述第一响应报文包括所述综合度量值以及所述度量次数;若接收到所述第一设备发送的用于获取所述度量次数个日志记录的第二请求报文,从所述完整性度量单元获取前所述度量次数个日志记录;向所述第一设备发送第二响应报文,所述第二响应报文包括获取的所述度量次数个日志记录,以使所述第一设备根据所述度量次数个日志记录以及所述综合度量值,验证所述第二设备的完整性。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811607136.3A CN109462611B (zh) | 2018-12-27 | 2018-12-27 | 一种完整性证明方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811607136.3A CN109462611B (zh) | 2018-12-27 | 2018-12-27 | 一种完整性证明方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109462611A CN109462611A (zh) | 2019-03-12 |
CN109462611B true CN109462611B (zh) | 2021-06-29 |
Family
ID=65614998
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811607136.3A Active CN109462611B (zh) | 2018-12-27 | 2018-12-27 | 一种完整性证明方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109462611B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101477602A (zh) * | 2009-02-10 | 2009-07-08 | 浪潮电子信息产业股份有限公司 | 一种可信计算环境中远程证明的方法 |
WO2011109959A1 (zh) * | 2010-03-11 | 2011-09-15 | 西安西电捷通无线网络通信股份有限公司 | 一种适合可信连接架构的平台鉴别实现方法及*** |
CN105608386A (zh) * | 2016-03-11 | 2016-05-25 | 成都三零嘉微电子有限公司 | 一种可信计算终端完整性度量、证明方法及装置 |
-
2018
- 2018-12-27 CN CN201811607136.3A patent/CN109462611B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101477602A (zh) * | 2009-02-10 | 2009-07-08 | 浪潮电子信息产业股份有限公司 | 一种可信计算环境中远程证明的方法 |
WO2011109959A1 (zh) * | 2010-03-11 | 2011-09-15 | 西安西电捷通无线网络通信股份有限公司 | 一种适合可信连接架构的平台鉴别实现方法及*** |
CN105608386A (zh) * | 2016-03-11 | 2016-05-25 | 成都三零嘉微电子有限公司 | 一种可信计算终端完整性度量、证明方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN109462611A (zh) | 2019-03-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7877596B2 (en) | Method and computer product to increase accuracy of time-based software verification for sensor networks | |
CN110929880A (zh) | 一种联邦学习方法、装置及计算机可读存储介质 | |
CN107124444B (zh) | 一种区块链数据同步的方法和装置 | |
WO2018177093A1 (zh) | 区块链处理方法、记账节点、验证节点及存储介质 | |
CN110912707A (zh) | 基于区块链的数字证书处理方法、装置、设备及存储介质 | |
US11496290B2 (en) | Blockchain network and finalization method therefor | |
WO2016000543A1 (zh) | 检测app的cpu占用率异常的方法、装置及移动终端 | |
US10075520B2 (en) | Distributed aggregation of real-time metrics for large scale distributed systems | |
CN105743854A (zh) | 安全认证***及方法 | |
CN110928880A (zh) | 基于区块链的数据处理方法、装置、终端及介质 | |
CN115348278A (zh) | 区块链的分布式存储方法 | |
CN112132574A (zh) | 区块链数据校验方法、数据处理方法、装置及设备 | |
CN109462611B (zh) | 一种完整性证明方法及装置 | |
CN112182009B (zh) | 区块链的数据更新方法及装置、可读存储介质 | |
US11797712B2 (en) | Verifying data integrity | |
CN110572857B (zh) | 网络连接处理方法和装置、电子设备、存储介质 | |
CN113067802A (zh) | 一种用户标识方法、装置、设备及计算机可读存储介质 | |
KR20210145415A (ko) | 블록체인 기반 센서 데이터 제공 장치 및 방법 | |
CN110730186A (zh) | 基于区块链的Token发放方法、记账节点及介质 | |
CN111835504A (zh) | 识别码生成方法及服务器 | |
CN112910643B (zh) | 一种区块链中随机数的生成方法及装置 | |
CN111585940B (zh) | 一种资源管理方法及其相关设备 | |
CN102263791A (zh) | 资源文件校验方法及*** | |
CN112419068A (zh) | 基于区块链的交易管理方法、***及存储介质 | |
CN112463310A (zh) | 基于节点分片的事务数据处理方法、***、设备和介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |