[发明专利]一种建立可信计算集群的方法、装置、存储介质及计算设备

说明书

本实施例提供了一种建立可信集群的方法和装置，用于将N个可信计算单元形成可信计算集群，方法包括，将N个可信计算单元划分为多个分组，使得各个分组包括的可信计算单元的数量不大于K+1，K为每个可信计算单元至多同时与之进行信任认证的可信计算单元的数目；在每个分组中指定一个第一可信计算单元，使得各个分组中的各个第一可信计算单元并行地与同分组的其他可信计算单元进行单元间信任认证；在多个分组之间，并行进行组间信任认证，从而获得经过信任认证的可信计算单元；在经过信任认证的可信计算单元中，传播秘密信息，使得经过信任认证的可信计算单元获得相同的秘密信息，以形成可信计算集群。

技术领域

本说明书实施例涉及可信计算集群领域，具体地，涉及一种建立可信计算集群的方法和装置。

背景技术

为了计算和数据传输的安全，常常使用可信计算单元进行可信计算和数据处理。可信计算单元可以保证其中的代码执行是安全的，外界(包括操作系统或驱动等)都无法获取其内部运行时内存等秘密。初始状态，每个可信计算单元并不可信，无法保证各可信计算单元之间传播的信息不被泄露。为保证信息传输的安全性，构建可信计算集群，即各个可信计算单元建立信任关系，并协商得到一个共同的加密秘钥。当多个可信计算单元拥有相同的秘钥时，认为该多个可信计算单元构成了一个逻辑上的可信计算集群；其中，秘钥除了通信的双方，其他任何可信计算单元无法破解。

当所要建立的可信计算集群中涉及的可信计算单元的数目庞大时，采用传统方式建立可信计算集群的耗时会很长，因此需要寻找新的方法来建立可信计算集群。

发明内容

本申请提供了一种建立可信计算集群的方法和装置，缩短了建立可信计算集群的时间。

第一方面，提供了一种建立可信计算集群的方法，用于将N个可信计算单元形成可信计算集群；该方法包括：

将N个可信计算单元划分为多个分组，使得各个分组包括的可信计算单元的数量不大于K+1，其中，K为每个可信计算单元至多同时与之进行信任认证的可信计算单元的数目；

在每个分组中指定一个第一可信计算单元，使得各个分组中的各个第一可信计算单元并行地与同分组的其他可信计算单元进行单元间信任认证；

在多个分组之间，并行进行组间信任认证，从而获得经过信任认证的可信计算单元；

在经过信任认证的可信计算单元中，传播秘密信息，使得经过信任认证的可信计算单元获得相同的秘密信息，以形成可信计算集群。

在一个实施例中，单元间信任认证包括：

两个可信计算单元双方均执行以下步骤，以相互进行信任认证：

从对方可信计算单元获取其单元认证报告，将其发送到第三方认证机构进行认证；

将自身的单元认证报告发送给对方可信计算单元，以供其发送到第三方认证机构进行认证。

在一个实施例中，在多个分组之间，并行进行组间信任认证，包括：

在多个分组形成的分组序列中，并行使得每个分组与该分组在分组序列中的相邻分组进行组间信任认证。

进一步的，在一个实施例中，组间信任认证包括：

在每个分组中指定一个第二可信计算单元，使得每个分组的第二可信计算单元与相邻分组中的第二可信计算单元进行单元间信任认证。

在一个实施例中，在多个分组之间，并行进行组间信任认证，包括：

在多个分组中，使得至少一个分组同时与其他至多K个分组进行组间信任认证。

进一步的，在一个实施例中，组间信任认证包括：