一种联合分布式可信基准值管理方法及系统与流程

本发明实施例涉及信息安全，尤其涉及一种联合分布式可信基准值管理方法及系统。

背景技术：

1、可信计算技术是一种保护系统完整性的安全解决方案，在可信计算技术里，要对系统运行部件的完整性值进行度量、存储和验证。基于安全模块可以保证完整性值度量、存储的可信性，在验证时将部件的实际度量值与可信基准值进行比较，从而确定系统是否可信。可信基准值在可信验证中就至关重要。

2、尽管可信计算组织提出了一套可信基准值的管理规范，但与现有系统的结合比较困难，规范适用性不够，也没有考虑采用分布式的方法来增强基准值的安全性。现有与可信基准值管理相关的主要工作有提供下载程序的哈希值及数字签名验证等。一些针对开放平台的程序在提供给用户下载时，同时提供一个程序的哈希值，主要是供用户下载到本地之后通过哈希值来验证安装程序是否正确，是否遭到篡改。通常下载的程序是一个压缩包或者安装包，仅在解压或者安装之前能保证程序的正确性。在程序安装之后运行时，难以使用此哈希值来验证运行之中的程序是否遭到篡改破坏。linux系统上广泛使用的包管理工具dpkg，在系统上安装好一个固件后，会有一个相应的md5sums文件，里面存储有属于该该固件二进制程序及档案文件的md5哈希值列表，基于该哈希值列表，可使用dpkg–verify来验证已安装程序是遭到破坏，攻击者若篡改了二进制程序或者档案文件，也能篡改相应的哈希值。为了增强安全性，一些系统为程序提供了数字签名验证机制，如64位windows对驱动程序强制要求签名验证及ios系统对app应用的签名验证等；在64位windows里，要求所有的驱动程序必须获得官方的whql签名，windows在装载驱动时，会对签名进行验证；ios应用在通过审查后才会获得官方的签名，进而在应用商店里发布，用户下载安装ios应用时，系统会验证签名的正确性，并根据签名的权限列表判断应用是否有违背承诺的越权行为。

3、数字签名增强了基准值的安全性，但目前主要是由系统厂商进行各自集中封闭式的签名管理，若厂商的私钥泄漏，则给其签名基准值带来巨大的安全风险。此外，目前各个厂商对程序的签名管理没有形成联合机制。通常一个安全中心会验证其安全域范围内的所有不同类型、不同厂商系统的可信性，这就需要安全中心自己向各个厂商搜集、管理可信基准值。目前linux上的完整性保护工具ima将系统初始化时对程序文件度量值的hmac值或者数字签名作为本地验证时的基准，可信计算认证开源项目ibm acs也是以ima数字签名作为验证时的基准，这种方式也难以满足安全中心的要求，需对同一类型系统的可信基准值进行统一化管理。

技术实现思路

1、鉴于此，为解决上述技术问题或部分技术问题，本发明实施例提供一种联合分布式可信基准值管理方法及系统。

2、第一方面，本发明实施例提供一种联合分布式可信基准值管理方法，包括：

3、获取可信基准值文件，其中，所述可信基准值文件是目标固件在更新时生成的，所述可信基准值文件至少携带有文件标识以及固件标识；

4、获取所述可信基准值文件在进行分布式存储时得到的存储索引信息；

5、将所述文件标识以及所述存储索引信息关联存储至联合分布式可信系统，生成所述可信基准值文件对应的关键存储信息，其中，所述关键存储信息包括交易信息；

6、基于所述关键存储信息构建非平衡哈希区块树，所述非平衡哈希区块树用于联合分布式可信系统中的任意一个交易信息进行验证。

7、在一个可能的实施方式中，所述方法还包括：

8、通过预设的分布式哈希表，确定所述可信基准值文件的目标分布式存储位置；

9、将所述可信基准值文件存储至所述目标分布式存储位置。

10、在一个可能的实施方式中，所述方法还包括：

11、将所述文件标识作为所述联合分布式可信系统的数据库的key值，以及将所述存储索引信息作为所述联合分布式可信系统的数据库的value值；

12、利用所述key值以及所述value值在所述联合分布式可信系统的数据库中构建所述可信基准值文件对应的键值对，并在所述联合分布式可信系统中创建所述键值对所对应的交易区块，其中，所述交易区块存储有所述可信基准值文件对应的交易信息；

13、将所述键值对以及所述交易区块确定为所述关键存储信息。

14、在一个可能的实施方式中，所述方法还包括：

15、将所述关键存储信息中的至少一个交易区块中满足预设条件的交易区块，确定为非平衡哈希区块树的根节点，判断以所述根节点为根的树是否为满二叉树；

16、若否，则迭代判断所述根节点的右子节点，直至寻找到目标节点为根的树为满二叉树；

17、基于所述满二叉树，生成空叶子节点，为所述空叶子节点加入区块头信息，以及计算所述空叶子节点的value字段值，其中，所述区块头信息为所述空叶子节点添加前的非平衡哈希树的根节点哈希值；

18、基于所述满二叉树，生成空中间节点，并计算所述空中间节点的value字段值，其中所述空中间节点的左节点为所述目标节点，右节点为所述空叶子节点；

19、从所述空中间节点开始向上更新节点哈希值直到根节点，得到更新后的非平衡哈希区块树。

20、第二方面，本发明实施例提供一种联合分布式可信基准值管理方法，包括：

21、获取可信证明报告，其中，所述可信证明报告至少携带有目标固件标识；

22、利用所述目标固件标识获取相应的目标可信基准值文件，并从所述目标可信基准值文件中获取目标文件标识；

23、从联合分布式可信系统中查询所述目标固件标识所对应的目标关键存储信息；

24、利用非平衡哈希区块树对所述目标关键存储信息进行证明，得到目标证明信息，并利用所述目标证明信息对所述可信证明报告进行检验，得到检验结果，其中，所述检验结果用于指示所述可信证明报告是否正确。

25、在一个可能的实施方式中，所述方法还包括：

26、从所述联合分布式可信系统的数据库中获取与所述目标固件标识对应的目标键值对，并从所述目标键值对中获取目标存储索引信息，以及从联合分布式可信系统中获取相应的目标区块；

27、将所述目标存储索引信息以及所述目标区块确定为所述目标关键存储信息。

28、在一个可能的实施方式中，所述方法还包括：

29、从所述目标关键存储信息中获取目标交易区块；

30、确定所述目标交易区块中是否携带所述目标文件标识对应的交易信息，得到第一证明信息，以及确定所述目标交易区块是否存在于所述非平衡哈希区块树，得到第二证明信息；

31、基于所述第一证明信息以及所述第二证明信息，确定所述目标证明信息。

32、在一个可能的实施方式中，所述方法还包括：

33、根据证明信息，构建出交易树的树根节点哈希值，与对应区块中的该字段进行比较，比较通过后继续构建出区块树的根节点哈希值，与联合分布式可信系统最新区块头中的区块树根字段值进行比较，一致则说明获取到的可信基准度量文件索引是正确的。

34、第三方面，本发明实施例提供一种联合分布式可信基准值管理系统，包括：分布式存储模块、联合分布式可信系统网络模块；

35、所述联合分布式可信系统网络模块包括数据库模块、可信系统模块、组织管理模块；

36、所述分布式存储模块用于存储可信基准值文件；

37、所述数据库模块用于存储所述分布式存储模块存储的可信基准值文件对应的键值对；

38、所述联合分布式可信系统模块用于存储所述键值对对应的交易区块。

39、可选的，所述组织管理模块用于管理多个嵌入式自动化设备。

40、本发明实施例提供的联合分布式可信基准值管理方案，通过获取可信基准值文件，其中，所述可信基准值文件是目标固件在更新时生成的，所述可信基准值文件至少携带有文件标识以及固件标识；获取所述可信基准值文件在进行分布式存储时得到的存储索引信息；将所述文件标识以及所述存储索引信息关联存储至联合分布式可信系统，生成所述可信基准值文件对应的关键存储信息，其中，所述关键存储信息包括交易信息；基于所述关键存储信息构建非平衡哈希区块树，所述非平衡哈希区块树用于联合分布式可信系统中的任意一个交易信息进行验证，相比于现有的可信计算技术与现有系统的结合比较困难、规范适用性不够，现有的可信基准值的管理规范无法确定程序安装过程中是否被篡改的问题，由本方案，可以在一个系统里获取所有联合厂商固件的基准值，可以快速验证所获取的基准值文件索引值的正确性，进而保证基准值的正确性，降低单一厂商集中式管理私钥泄漏所导致的安全风险。本方案适用于嵌入式自动化设备可信验证场景。

41、本发明实施例提供的联合分布式可信基准值管理系统，包括：分布式存储模块、联合分布式可信系统模块；所述联合分布式可信系统模块包括数据库模块、可信系统模块、组织管理模块；所述分布式存储模块用于存储可信基准值文件；所述数据库模块用于存储所述分布式存储模块存储的可信基准值文件对应的键值对；所述可信系统模块用于存储所述键值对对应的交易区块；所述组织管理模块用于管理多个嵌入式自动化设备，相比于现有各个厂商对程序的签名管理没有形成联合机制，通常一个安全中心会验证其安全域范围内的所有不同类型、不同厂商系统的可信性，需要安全中心自己向各个厂商搜集、管理可信基准值的情况，难以满足安全中心的要求，由本系统，可以实现对同一类型系统的可信基准值进行统一化管理，安全中心可以在一个系统里获取所有联合厂商固件的基准值。