[发明专利]用于在分布式系统中建立信任关系的系统和方法

说明书

分布式网络中的节点计算在数据包中接收的服务的内容的哈希；通过将从相邻节点接收到的服务的内容的哈希与所述节点计算到的所述内容的哈希进行比较，所述节点验证所述数据包；在所述节点的可信执行环境(trusted execution environment，TEE)中累加具有相同标识的服务的内容量，并且根据存储在所述节点的TEE中的代码生成签名；然后，所述节点向下一相邻节点发送所述数据包，其中，服务相关信息包括服务ID、服务内容的哈希和所述签名；向所述验证节点发送包括累加服务内容量、累加哈希值和节点签名的服务记录，以对提供的服务达成共识。

技术领域

本发明大体上涉及在分布式系统中建立信任关系。

背景技术

可信计算平台可以依赖硬件隔离来创建可信执行环境(trusted executionenvironment，TEE)，在TEE中执行安全敏感操作，例如，使用云备份服务备份敏感数据，通过社交网站等与个人共享照片、会议纪要、文档等敏感信息。这些可信计算平台可以集成安全协同处理器(例如，可管理性引擎、融合安全引擎(converged security engine，CSE)等)，以满足安全处理需求。TEE环境可以用于使用可信平台模块(trusted platform module，TPM)技术、平台信任技术(platform trust technology，PTT)、身份保护技术(identityprotection technology，IPT)等执行加密操作。

发明内容

根据本发明一方面，存在一种用于在分布式系统中建立信任关系的计算机实现方法。所述方法包括：节点计算从相邻节点接收到的数据包中的服务的内容的哈希，其中，所述数据包包括所述服务和服务相关信息；通过将从所述相邻节点接收到的所述服务的内容的哈希与所述节点计算到的所述内容的哈希进行比较，所述节点验证所述数据包；所述节点累加从所述相邻节点接收到的所述数据包中的具有相同服务ID的服务的内容量；所述节点根据存储在可信执行环境(trusted execution environment，TEE)中的代码生成第一签名；所述节点向下一相邻节点发送包括所述服务和所述服务相关信息的所述数据包，其中，所述服务相关信息包括所述服务ID、所述累加内容量的哈希和所述第一签名。

可选地，在任一上述方面中，所述计算机实现方法还包括：向所述相邻节点发送确认消息，其中，所述确认消息包括所述服务ID、所述服务的累加内容的哈希和另一签名。

可选地，在任一上述方面中，所述计算机实现方法还包括：创建哈希树，其中，所述哈希树包括节点结构，所述节点结构包括一个或多个叶节点、一个或多个子节点和一个或多个父节点，每个叶节点表示从所述相邻节点接收到的所述数据包中的内容的哈希，每个父节点表示每个直接叶节点或每个子节点的内容的累加哈希。

可选地，在任一上述方面中，所述哈希的累加通过以下方式计算：根据所述服务ID使用所述哈希树；将所述接收到的数据包中的所述服务的内容的哈希作为叶节点添加到所述哈希树中；当每个父节点的子节点是完整的时，移除每个父节点的一个或多个子节点。

可选地，在任一上述方面中，所述哈希树被划分成哈希子树，其中，每个哈希子树表示父节点及其对应的一个或多个叶节点或一个或多个子节点；对应于每个哈希子树的数据包沿着多条不同路径从所述相邻节点接收。

可选地，在任一上述方面中，所述计算机实现方法还包括：在所述节点处沿着所述多条不同路径合并与所述接收到的数据包对应的每个所述哈希子树。

可选地，在任一上述方面中，所述计算机实现方法还包括：通过以下方式确定所述累加哈希中是否丢失所述数据包的哈希：在向所述相邻节点发送所述数据包之后，存储每条传输路径的具有相同服务ID的累加哈希；从所述相邻节点的所述确认消息中提取所述累加哈希；将所述提取到的累加哈希与所述存储的累加哈希进行比较。