[发明专利]一种完整性证明方法及装置

说明书

本发明实施例提供一种完整性证明方法及装置。本发明实施例中，第一设备向第二设备发送用于获取综合度量值的第一请求报文。第二设备在回应的第一响应报文中携带第二设备的综合度量值以及度量次数。第一设备向第二设备发送用于获取所述度量次数个日志记录的第二请求报文。第二设备在回应的第二响应报文中携带所述度量次数个日志记录。第二设备根据获取的所述度量次数个日志记录以及综合度量值，验证第二设备的完整性。本发明实施例中，设备之间的交互次数较少，可有效提升完整性证明的效率。

技术领域

本发明涉及网络通信技术领域，尤其涉及一种完整性证明方法及装置。

背景技术

可信计算通过建立一种特定的完整性度量机制，来验证网络设备是否遭受恶意代码攻击。该验证过程亦称为完整性证明。

网络设备对本设备上运行的程序代码进行度量，并将度量相关信息通告给对端设备，以使对端设备对本设备的完整性进行验证。

完整性证明的信息交互过程如图1所示。这里，以设备12验证设备11的完整性为例，该交互过程包括：

步骤101，设备12请求获取设备11的度量日志；

步骤102，设备11向设备12返回本设备的度量日志，记为L1；

步骤103，设备12请求获取设备11的综合度量值；

步骤104，设备11向设备12返回本设备的综合度量值；

步骤105，设备12请求获取设备11的度量日志；

步骤106，设备11向设备12返回本设备的度量日志，记为L2。

在完成上述交互后，设备12比较L2中日志记录的数量(记为N2)与L1中日志记录的数量(记为N1)。若N2大于N1，说明设备12获取L1时，设备11仍在度量。也就是说，在执行步骤102至步骤104期间，设备11可能生成新的日志记录。

设备12根据L1中所有日志记录进行计算，若计算结果与获取到的综合度量值一致，说明设备11的完整性正常。若不一致，从L2中获取与L1中最后一条日志记录相邻的下一条日志记录(即第N1+1条日志记录)，对L2中前N1+1条日志记录进行计算。若计算结果仍与获取的综合度量值不一致，继续取L2中前N1+2条日志记录进行计算，以此类推。若计算结果与综合度量值一致，则停止计算，证明设备11的完整性正常。若直至所有L2中的日志记录均参与计算，仍无法获取到与综合度量值不一致的计算结果，则证明设备11的完整性异常。

从上述完整性证明过程可以看出，该过程过于复杂，导致完整性证明效率不高。

发明内容

本发明为了解决现有完整性证明的效率不高的问题，提出一种完整性证明方法及装置，用以提升完整性证明的效率。

为实现上述发明目的，本发明提供了如下技术方案：

第一方面，本发明提供一种完整性证明方法，应用于第一设备，所述方法包括：

向待验证的第二设备发送第一请求报文，所述第一请求报文用于获取所述第二设备的综合度量值；

接收所述第二设备根据所述第一请求报文回应的第一响应报文，所述第一响应报文包括所述第二设备的综合度量值以及度量次数；

向所述第二设备发送第二请求报文，所述第二请求报文用于获取所述度量次数个日志记录；

接收所述第二设备根据所述第二请求报文回应的第二响应报文，所述第二响应报文包括所述第二设备从所述度量日志中获取的所述度量次数个日志记录；

根据所述度量次数个日志记录以及所述综合度量值，验证所述第二设备的完整性。