一种可信报告的处理方法及相关设备与流程

本技术涉及计算机，尤其涉及一种可信报告的处理方法及相关设备。

背景技术：

1、可信根，通常是指由硬件、固件或软件构成的，用于执行关键安全功能(包括验证、度量、存储、报告、升级等)。计算机设备在运行过程所启动的代码需要以可信根作为信任关系传递的锚点，以可信根为基础记录该设备的运行过程相应的平台配置寄存器(platformconfiguration register，pcr)值和日志等信息，所记录的信息可以形成可信报告。

2、目前，计算机设备在本地得到可信报告之后，该计算机设备可以向提供远程证明服务的远程服务器(或虚拟机、容器等)发送该可信报告；此后，该远程服务器可以对该可信报告进行验证并存储，这一过程称之为远程证明(remote attestation)。其中，远程证明是可信计算领域的一个重要环节，可以实现对计算机设备的完整性感知和检测，为管理方提供准确、及时的可信报告。

3、然而，在上述实现过程中，由于计算机设备在正常运行过程中将会持续不断地产生并向远程服务器发送多个可信报告，导致对用于存储该多个可信报告的存储空间的需求不断增加，进而造成存储资源的大量消耗。

技术实现思路

1、本技术提供了一种可信报告的处理方法及相关设备，用于通过对可信报告进行增量存储的方式，降低多个可信报告对存储空间的需求，以期节省存储资源。

2、本技术第一方面提供了一种可信报告的处理方法，该方法由可信报告的处理设备执行，或者，该方法由可信报告的处理设备中的部分组件(例如处理器、芯片或芯片系统等)执行，或者，该方法由能实现全部或部分可信报告的处理设备功能的逻辑模块或软件实现。在第一方面及其可能的实现方式中，以该方法由可信报告的处理设备执行为例进行描述，其中，可信报告的处理设备可以为服务器，虚拟机，容器等设备。在该方法中，可信报告的处理设备获取第一信息，该第一信息指示第二可信报告相对于第一可信报告的增量部分；其中，该第一可信报告指示第一可信状态，该第二可信报告指示第二可信状态；该可信报告的处理设备在存储系统中存储该第一信息。

3、基于上述技术方案，可信报告的处理设备在获取第一信息之后，该可信报告的处理设备在存储系统中存储该第一信息，其中，该第一信息指示第二可信报告相对于第一可信报告的增量部分，并且，该第一可信报告指示第一可信状态，该第二可信报告指示第二可信状态。换言之，该可信报告的处理设备可以通过存储指示第二可信报告相对于第一可信报告的增量部分的第一信息的方式，以实现该第二可信报告在存储系统中的存储。从而，通过对可信报告进行增量存储的方式，降低多个可信报告对存储空间的需求，以期节省存储资源。

4、需要说明的是，本技术涉及的可信报告用于记录某设备的可信状态，其中，该设备可以为一台独立的计算机系统，也可以是云计算，数据中心，边缘云中的一台服务器，也可以是物联网，工业互联网中的一台物联网(internet of things，iot)设备或工业设备等，或者是其他的设备形态，本技术对该设备的具体实现不做限定。

5、可选地，本技术提及的存储系统可以为提供远程证明的远程服务器中的硬盘，存储阵列；或者，该存储系统是独立于该远程服务器所设置的存储服务器，提供网络存储服务的服务器，数据库系统等，本技术对此不做限定。

6、可选地，存储系统可以设置于该可信报告的处理设备中，相应的，该可信报告的处理设备在存储系统中存储该第一信息的过程可以理解为：该可信报告的处理设备在内部的存储系统中存储该第一信息。或者，存储系统可以设置于该可信报告的处理设备之外的其他设备中，相应的，该可信报告的处理设备在存储系统中存储该第一信息的过程可以理解为：该可信报告的处理设备向该存储系统发送该第一信息，使得该存储系统存储该第一信息。

7、可选地，该可信报告的处理设备可以为提供远程证明的远程服务器，或者，该可信报告的处理设备可以为提供远程证明的远程服务器之外的其他设备，本技术对此不做限定。

8、在第一方面的一种可能的实现方式中，该第一可信状态和该第二可信状态分别为同一设备在不同时刻下的可信状态。

9、基于上述技术方案，可信报告的处理设备在存储系统中进行增量存储的过程，可以为对同一设备在不同时刻下对应的可信报告进行增量存储，以期实现对同一设备的多个可信报告的增量存储。

10、在第一方面的一种可能的实现方式中，该第一可信状态和该第二可信状态分别为不同设备的可信状态。

11、基于上述技术方案，可信报告的处理设备在存储系统中进行增量存储的过程，可以为对不同设备对应的可信报告进行增量存储，以期实现对多个设备对应的多个可信报告的增量存储。

12、在第一方面的一种可能的实现方式中，该可信报告的处理设备获取第一信息包括：该可信报告的处理设备接收该第二可信报告；该可信报告的处理设备基于该第一可信报告和该第二可信报告确定该第一信息。

13、基于上述技术方案，该可信报告的处理设备可以通过所接收的第二可信报告确定第一信息，使得生成并发送该可信报告的设备无需作出额外的改进，即可实现对多个可信报告的增量存储。

14、在第一方面的一种可能的实现方式中，在该可信报告的处理设备基于该第一可信报告和该第二可信报告确定该第一信息之前，该方法还包括：该可信报告的处理设备在该存储系统当前存储的一个或多个可信报告中确定该第一可信报告，该第一可信报告与该第二可信报告存在相同部分，或，该第一可信报告对应的校验信息与该第二可信报告中的部分信息对应的校验信息相同。

15、基于上述技术方案，该可信报告的处理设备通过所接收的第二可信报告确定第一信息的过程中，该可信报告的处理设备可以在当前已存储的一个或多个可信报告中确定增量存储第二可信报告所依赖的第一可信报告之后，再进一步基于该第一可信报告确定该第一信息。

16、应理解，本技术涉及的可信报告对应的校验信息，可以为通过对可信报告进行哈希计算得到的哈希结果，也可以为通过其它方式确定的可信报告对应的数据特征值，或者是其他的实现方式，本技术对该具体的实现不做限定。

17、在第一方面的一种可能的实现方式中，该一个或多个可信报告中存在至少两个可信报告与该第二可信报告存在相同部分，且该第一可信报告为该至少两个可信报告中与该第二可信报告存在最多的相同部分；或，该一个或多个可信报告中存在至少两个可信报告对应的校验信息与该第二可信报告中的部分信息对应的校验信息部分，且该第一可信报告为该至少两个可信报告中长度最长的可信报告。

18、基于上述技术方案，可信报告的处理设备所确定的第一可信报告可以为该至少两个可信报告中与该第二可信报告存在最多的相同部分，或者，该第一可信报告为该至少两个可信报告中长度最长的可信报告，以期尽可能地减少该第一信息所存储的信息量。

19、在第一方面的一种可能的实现方式中，该可信报告的处理设备获取第一信息包括：该可信报告的处理设备接收该第一信息。

20、基于上述技术方案，生成并发送该可信报告的设备可以在本地确定第一信息之后向该该可信报告的处理设备发送该第一信息，使得该可信报告的处理设备可以通过接收该第一信息的方式以确定第一信息。从而，通过对可信报告进行增量存储的方式以节省存储资源的同时，相比于传输第二可信报告的方式，传输第一信息的方式也能够降低可信报告的传输开销，以节省传输资源的消耗。

21、在第一方面的一种可能的实现方式中，该第一信息包括该第二可信报告相对于该第一可信报告的增量部分之外，该第一信息还包括以下至少一项：该第一可信报告的标识，该第二可信报告的标识，指示该第二可信报告与该第一可信报告之间存在关联的指示信息，该第一可信报告的长度，该第二可信报告的长度，该第一可信报告对应的校验信息，或，该第二可信报告对应的校验信息。

22、基于上述技术方案，该第一信息包括该第二可信报告相对于该第一可信报告的增量部分之外，该第一信息还包括上述至少一项信息，以便于提升方案的灵活性，并且能够便于后续在存储系统中对该第一信息进行查询。

23、在第一方面的一种可能的实现方式中，该第一信息包括该第二可信报告的标识，该方法还包括：该可信报告的处理设备获取第一请求消息，该第一请求消息用于请求该第二可信报告，该第一请求消息包括该第二可信报告的标识；该可信报告的处理设备基于该第一请求消息从该存储系统获取该第一信息和该第一可信报告，并对该第一信息和该第一可信报告进行处理，得到该第二可信报告。

24、基于上述技术方案，该可信报告的处理设备可以获取在存储系统中读取该第二可信报告的请求，并且基于该请求从该存储系统获取该第一信息和该第一可信报告，并对该第一信息和该第一可信报告进行处理，得到该第二可信报告，以便于从增量存储的存储方式中确定可信报告。

25、需要说明的是，该可信报告的处理设备可以为提供远程证明的远程服务器的情况下，该可信报告的处理设备可以在本地生成该第一请求消息或者基于用户操作指令获取该第一请求消息；或者，该可信报告的处理设备可以为提供远程证明的远程服务器之外的其他设备的情况下，该可信报告的处理设备可以接收来自该远程服务器的第一请求消息的方式以获取该第一请求消息。

26、在第一方面的一种可能的实现方式中，该可信报告的处理设备对该第一信息和该第一可信报告进行处理，得到该第二可信报告之后，该方法还包括：该可信报告的处理设备发送该第二可信报告。

27、基于上述技术方案，该可信报告的处理设备可以为提供远程证明的远程服务器之外的其他设备的情况下，该可信报告的处理设备还可以发送该第二可信报告，以便于该远程服务器获取该第二可信报告。

28、在第一方面的一种可能的实现方式中，该标识包括编号，版本号中的至少一项。

29、基于上述技术方案，在存储系统中存储的第一信息所包含的可信报告(包括第一可信报告和/或第二可信报告)的标识可以包括编号，该编号为基于该存储系统中存储多个可信报告的存储顺序(或可信报告携带的时间戳信息等)所确定的编号。此外，在存储系统中存储的第一信息所包含的可信报告(包括第一可信报告和/或第二可信报告)的标识可以包括版本号，该版本号为基于版本化管理的存储系统中存储多个可信报告的所对应的版本号，使得上述技术方案能够应用于基于版本化管理的增量存储场景。

30、可选地，该基于版本化管理的增量存储场景可以为分布式版本控制系统(git)，或者mercurial，bazaar，cvs，svn等，或者是其他的系统，本实施例对此不做限定。

31、本技术第二方面提供了一种可信报告的处理方法，该方法由可信报告的处理设备执行，或者，该方法由可信报告的处理设备中的部分组件(例如处理器、芯片或芯片系统等)执行，或者，该方法由能实现全部或部分可信报告的处理设备功能的逻辑模块或软件实现。在第二方面及其可能的实现方式中，以该方法由可信报告的处理设备执行为例进行描述，其中，可信报告的处理设备可以为服务器，虚拟机，容器等设备。在该方法中，可信报告的处理设备确定第一信息，该第一信息指示第二可信报告相对于第一可信报告的增量部分；其中，该第一可信报告指示第一可信状态，该第二可信报告指示第二可信状态，该第一可信状态和该第二可信状态分别为同一设备在不同时刻下的可信状态；该可信报告的处理设备发送该第一信息。

32、基于上述技术方案，生成并发送该可信报告的设备可以在本地确定第一信息之后发送该第一信息，使得第一信息的接收方可以通过对可信报告进行增量存储的方式，降低多个可信报告对存储空间的需求，以期节省存储资源。并且，通过对可信报告进行增量存储的方式以节省存储资源的同时，相比于传输第二可信报告的方式，传输第一信息的方式也能够降低可信报告的传输开销，以节省传输资源的消耗。

33、在第二方面的一种可能的实现方式中，该第一信息包括该第二可信报告相对于该第一可信报告的增量部分之外，该第一信息还包括以下至少一项：该第一可信报告的标识，该第二可信报告的标识，该第二可信报告与该第一可信报告之间的映射关系，该第一可信报告的长度，该第二可信报告的长度，该第一可信报告对应的校验信息，或，该第二可信报告对应的校验信息。

34、基于上述技术方案，该第一信息包括该第二可信报告相对于该第一可信报告的增量部分之外，该第一信息还包括上述至少一项信息，以便于提升方案的灵活性，并且能够便于后续在存储系统中对该第一信息进行查询。

35、本技术第三方面提供了一种可信报告的处理装置，包括：

36、获取单元，用于获取第一信息，该第一信息指示第二可信报告相对于第一可信报告的增量部分；其中，该第一可信报告指示第一可信状态，该第二可信报告指示第二可信状态；

37、存储单元，用于在存储系统中存储该第一信息。

38、在第三方面的一种可能的实现方式中，该第一可信状态和该第二可信状态分别为同一设备在不同时刻下的可信状态。

39、在第三方面的一种可能的实现方式中，该第一可信状态和该第二可信状态分别为不同设备的可信状态。

40、在第三方面的一种可能的实现方式中，该获取单元具体用于：

41、接收该第二可信报告；

42、基于该第一可信报告和该第二可信报告确定该第一信息。

43、在第三方面的一种可能的实现方式中，该获取单元具体用于：

44、在该存储系统当前存储的一个或多个可信报告中确定该第一可信报告，该第一可信报告与该第二可信报告存在相同部分，或，该第一可信报告对应的校验信息与该第二可信报告中的部分信息对应的校验信息相同。

45、在第三方面的一种可能的实现方式中，

46、该一个或多个可信报告中存在至少两个可信报告与该第二可信报告存在相同部分，且该第一可信报告为该至少两个可信报告中与该第二可信报告存在最多的相同部分；或，

47、该一个或多个可信报告中存在至少两个可信报告对应的校验信息与该第二可信报告中的部分信息对应的校验信息部分，且该第一可信报告为该至少两个可信报告中长度最长的可信报告。

48、在第三方面的一种可能的实现方式中，该获取单元具体用于：接收该第一信息。

49、在第三方面的一种可能的实现方式中，该第一信息包括该第二可信报告相对于该第一可信报告的增量部分之外，该第一信息还包括以下至少一项：

50、该第一可信报告的标识，该第二可信报告的标识，指示该第二可信报告与该第一可信报告之间存在关联的指示信息，该第一可信报告的长度，该第二可信报告的长度，该第一可信报告对应的校验信息，或，该第二可信报告对应的校验信息。

51、在第三方面的一种可能的实现方式中，该第一信息包括该第二可信报告的标识，该装置还包括处理单元；

52、该获取单元还用于获取第一请求消息，该第一请求消息用于请求该第二可信报告，该第一请求消息包括该第二可信报告的标识；

53、该获取单元还用于基于该第一请求消息从该存储系统获取该第一信息和该第一可信报告，该处理单元用于对该第一信息和该第一可信报告进行处理，得到该第二可信报告。

54、在第三方面的一种可能的实现方式中，该装置还包括：

55、发送单元，用于发送该第二可信报告。

56、在第三方面的一种可能的实现方式中，该标识包括编号，版本号中的至少一项。

57、本技术第四方面提供了一种可信报告的处理装置，包括：

58、确定单元，确定第一信息，该第一信息指示第二可信报告相对于第一可信报告的增量部分；其中，该第一可信报告指示第一可信状态，该第二可信报告指示第二可信状态，该第一可信状态和该第二可信状态分别为同一设备在不同时刻下的可信状态；

59、发送单元，用于发送该第一信息。

60、在第四方面的一种可能的实现方式中，该第一信息包括该第二可信报告相对于该第一可信报告的增量部分之外，该第一信息还包括以下至少一项：

61、该第一可信报告的标识，该第二可信报告的标识，该第二可信报告与该第一可信报告之间的映射关系，该第一可信报告的长度，该第二可信报告的长度，该第一可信报告对应的校验信息，或，该第二可信报告对应的校验信息。

62、本技术第五方面提供了一种可信报告的处理设备，包括存储器和处理器；所述存储器存储有代码，所述处理器被配置为执行所述代码，当所述代码被执行时，所述设备执行如第一方面及其任一可能的实现方式中的方法。

63、本技术第六方面提供了一种可信报告的处理设备，包括存储器和处理器；所述存储器存储有代码，所述处理器被配置为执行所述代码，当所述代码被执行时，所述设备执行如第二方面及其任一可能的实现方式中的方法。

64、本技术第七方面提供了一种计算机存储介质，计算机存储介质存储有计算机程序，该程序由计算机执行时，使得计算机实施如第二方面或第二方面中任意一种可能的实现方式所述的方法。

65、本技术第八方面提供了一种计算机程序产品，计算机程序产品存储有指令，所述指令在由计算机执行时，使得计算机实施如第二方面或第二方面中任意一种可能的实现方式所述的方法。

66、其中，第三方面至第八方面中任一种设计方式所带来的技术效果可参见上述第一方面至第二方面中不同实现方式所带来的技术效果，在此不再赘述。