验证异构保密计算集群的信任态势的制作方法

本公开总体上涉及计算机联网的领域，更具体而言涉及评估在网络内操作的设备的可靠性和可信度。

背景技术：

1、在网络内操作的给定设备的可信度可能从其初始配置之时起下降。可能需要主动测量来证实设备的可信度与其最初部署之时的可信度相当。新技术正在添加支持安全、实时地报告远程设备的主动可信度测量/评估的能力。具体而言，一体式芯片已被用于实现安全启动模块、信任锚模块和安全联合测试行动组(joint test action group，jtag)解决方案，以用于验证设备的可信度。另外，还开发了包含安全性测量或者安全性证据的令牌或元数据元素，以用于验证设备的可信度。

2、可信度向量可以允许来自直接对等体的声明(claim)，以表达其经验证的可信度。其结果是，可以在一组网络设备上建立和维护信任网。然而，可信度向量并不表达多跳之外的可信度关系，其中利用路由协议来确保特定的互联网协议(internet protocol，ip)分组只走值得信任的路径。

3、了解“异构”系统的所有元素的可信度的问题仍未解决，这并不是联网独有的问题。随着保密计算的出现，对于受信任执行环境(trusted execution environment，tee)而言，可证明地断言任何直接连接的tee的可信度已变得有用。

技术实现思路

技术特征：

1.一种用于由服务节点验证信任的方法，该方法包括：

2.根据权利要求1所述的方法，其中，所述安全性信息包括与验证的类型相关的多个声明，其中，所述验证的类型包括以下各项中的至少一者：硬件验证、唯一身份验证、数据完好性验证、启动验证、以及可执行文件验证。

3.根据权利要求1或2所述的方法，首先包括：响应于接收到来自所述相关节点的安全性信息，在所述相关节点的安全性信息中识别隐性声明，并且将所述隐性声明附加到来自所述相关节点的安全性信息。

4.根据权利要求2至3中的任一项所述的方法，其中，所述复合安全性信息的生成包括组合所述服务节点的安全性信息和所述相关节点的安全性信息中的每个相应声明，以产生所述复合安全性信息。

5.根据权利要求4所述的方法，其中，组合每个相应声明包括：

6.根据权利要求4或5所述的方法，其中，组合每种类型的验证包括：

7.根据权利要求4至6中的任一项所述的方法，其中，组合每种类型的验证包括：

8.根据权利要求1至7中的任一项所述的方法，还包括：

9.根据权利要求1至8中的任一项所述的方法，其中，所述服务节点包括第一受信任模块，并且所述相关节点包括第二受信任模块，并且其中，所述第一受信任模块与所述第二受信任模块不同。

10.根据权利要求1至9中的任一项所述的方法，还包括：

11.一种用于提供异构系统的信任态势的服务节点，包括：

12.根据权利要求11所述的服务节点，其中，所述安全性信息包括与验证的类型相关的多个声明，其中，所述验证的类型包括以下各项中的至少一者：硬件验证、唯一身份验证、数据完好性验证、启动验证、以及可执行文件验证。

13.根据权利要求11或12所述的服务节点，其中，所述处理器被配置为执行所述指令并且使得所述处理器：在所述相关节点的安全性信息中识别隐性声明并且将所述隐性声明附加到来自所述相关节点的安全性信息。

14.根据权利要求11至13中的任一项所述的服务节点，其中，所述处理器被配置为执行所述指令并且使得所述处理器：

15.根据权利要求14所述的服务节点，其中，所述处理器被配置为执行所述指令并且使得所述处理器：

16.根据权利要求14或15所述的服务节点，其中，所述处理器被配置为执行所述指令并且使得所述处理器：

17.根据权利要求14至16中的任一项所述的服务节点，其中，所述处理器被配置为执行所述指令并且使得所述处理器：

18.根据权利要求11至17中的任一项所述的服务节点，其中，所述处理器被配置为执行所述指令并且使得所述处理器：

19.根据权利要求11至18中的任一项所述的服务节点，其中，所述服务节点包括第一受信任模块，并且所述相关节点包括第二受信任模块，并且其中，所述第一受信任模块与所述第二受信任模块不同。

20.一种非暂时性计算机可读介质，包括指令，所述指令当被计算系统执行时，使得所述计算系统：

21.一种用于提供异构系统的信任态势的服务节点，所述服务节点包括：

22.根据权利要求21所述的服务节点，还包括用于实现根据权利要求2至10中的任一项所述的方法的模块。

23.一种计算机程序、计算机程序产品或计算机可读介质，包括指令，所述指令当被计算机执行时，使得所述计算机执行根据权利要求1至10中的任一项所述的方法的步骤。

技术总结
公开了用于为异构系统提供的服务提供安全性态势的系统、装置、方法和计算机可读介质。一种用于由服务节点验证信任的方法包括从客户端设备接收对服务节点的安全性信息的请求，其中该请求包括识别要从服务节点接收的服务的信息，基于该服务识别要与服务节点通信的相关节点，在识别相关节点之后，请求相关节点的安全性信息；由服务节点的安全性信息和相关节点的安全性信息生成复合安全性信息，并且将复合安全性信息发送到客户端设备。复合安全性信息为由具有不同受信任执行环境的异构设备实现的服务提供安全性声明。

技术研发人员：埃里克·沃尔特,普拉迪普·库玛·卡泰尔,阿维纳什·卡利亚纳拉曼
受保护的技术使用者：思科技术公司
技术研发日：
技术公布日：2024/1/13