可信计算集群的集群密钥获取方法及装置制造方法及图纸

本说明书实施例提供了一种可信计算集群的集群密钥获取方法及装置。处于可信执行环境TEE中的第一可信计算节点，在获取到针对自身的包含第一服务和标识信息的配置信息，且当标识信息表示第一可信计算节点不是第一个配置第一服务的可信计算节点时，向服务注册发现平台发送针对第一服务的访问请求，服务注册发现平台返回包含第二可信计算节点的地址信息的响应消息，第一可信计算节点利用该地址信息，与第二可信计算节点之间进行远程RA认证，建立RA通道，通过建立的RA通道，从第二可信计算节点中获取集群密钥，作为第一可信计算节点和第二可信计算节点所在的可信计算集群的集群密钥，以便使用集群密钥对隐私数据进行加密存储。

Method and device for obtaining cluster key of Trusted Computing Cluster

【技术实现步骤摘要】
可信计算集群的集群密钥获取方法及装置
本说明书一个或多个实施例涉及数据安全领域，尤其涉及可信计算集群的集群密钥获取方法及装置。
技术介绍
可信计算集群是由运行在可信执行环境(TrustedExecutionEnvironment，TEE)中的多个可信计算节点所构成的计算集群。可信计算集群能够提供不同类型的数据计算服务。可信计算节点具有一定的隔离能力，这种隔离能力能够防止其他应用程序包括操作系统或驱动等窥探和篡改可信计算节点的应用程序和数据，进而保证数据计算的安全性。同一个可信计算集群中的不同可信计算节点，可以执行相同的计算任务，进而可以更好地提供同一服务。因此，希望能有改进的方案，可以更加便利地、安全地将多个可信计算节点形成可信计算集群。
技术实现思路
本说明书一个或多个实施例描述了可信计算集群的集群密钥获取方法及装置，可以更加便利地、安全地获取可信计算集群的集群密钥。具体的技术方案如下。第一方面，提供了一种可信计算集群的集群密钥获取方法，通过处于可信执行环境TEE中的第一可信计算节点执行，所述方法包括：获取所述第一可信计算节点的配置信息；其中，所述配置信息包括配置的第一服务，以及用于标识所述第一可信计算节点是否为第一个配置所述第一服务的可信计算节点的标识信息；当所述标识信息表示所述第一可信计算节点不是第一个配置所述第一服务的可信计算节点时，向服务注册发现平台发送针对所述第一服务的访问请求；接收所述服务注册发现平台针对所述访问请求返回的响应消息；其中，所述响应消息包括配置了所述第一服务的第二可信计算节点的第一地址信息；利用所述第一地址信息，与所述第二可信计算节点之间进行远程RA认证，建立RA通道；通过建立的RA通道，从所述第二可信计算节点中获取集群密钥，作为所述第一可信计算节点和所述第二可信计算节点所在的可信计算集群的集群密钥。在另一种实施例中，在从所述第二可信计算节点中获取集群密钥之后，该方法还包括：使用所述第一可信计算节点的第二地址信息向所述服务注册发现平台进行服务注册，以使所述服务注册发现平台将所述第二地址信息加入所述第一服务对应的注册列表中。在另一种实施例中，所述服务注册发现平台还用于管理包括所述第一可信计算节点在内的多个可信计算节点；所述获取所述第一可信计算节点的配置信息的步骤，包括：接收服务注册发现平台发送的所述第一可信计算节点的配置信息；其中，所述配置信息由所述服务注册发现平台依据服务配置请求从多个可信计算节点中选择第一可信计算节点并为其进行配置而得到。在另一种实施例中，所述服务注册发现平台存储有所述第一可信计算节点的第二地址信息；所述使用所述第一可信计算节点的第二地址信息向所述服务注册发现平台进行服务注册的步骤，包括：配置所述第一可信计算节点的状态为可服务状态，并使用所述第二地址信息与所述服务注册平台进行通信连接，以使所述服务注册发现平台在通过通信连接确定所述第一可信计算节点处于可服务状态时将所述第二地址信息加入所述第一服务对应的注册列表中。在另一种实施例中，方法还包括：当所述标识信息表示所述第一可信计算节点是第一个配置所述第一服务的可信计算节点时：生成集群密钥；使用所述第一可信计算节点的第二地址信息向所述服务注册发现平台进行服务注册，以使所述服务注册发现平台将所述第二地址信息加入所述第一服务对应的注册列表中。在另一种实施例中，在从所述第二可信计算节点中获取集群密钥之后，方法还包括：利用所述第一可信计算节点的硬件标识，生成对称密钥；采用所述对称密钥对所述集群密钥进行加密，得到第一加密数据；将所述第一加密数据存储至本地磁盘空间。在另一种实施例中，在从所述第二可信计算节点中获取集群密钥之后，方法还包括：当存在待持久化的隐私数据时，利用所述集群密钥对所述隐私数据进行加密，得到第二加密数据，将所述第二加密数据存储至数据存储平台。第二方面，提供了一种可信计算集群的集群密钥获取装置，部署在处于TEE中的第一可信计算节点中，所述装置包括：第一获取单元，配置为获取所述第一可信计算节点的配置信息；其中，所述配置信息包括配置的第一服务，以及用于标识所述第一可信计算节点是否为第一个配置所述第一服务的可信计算节点的标识信息；发送单元，配置为当所述标识信息表示所述第一可信计算节点不是第一个配置所述第一服务的可信计算节点时，向服务注册发现平台发送针对所述第一服务的访问请求；接收单元，配置为接收所述服务注册发现平台针对所述访问请求返回的响应消息；其中，所述响应消息包括配置了所述第一服务的第二可信计算节点的第一地址信息；认证单元，配置为利用所述第一地址信息，与所述第二可信计算节点之间进行远程RA认证，建立RA通道；第二获取单元，配置为通过建立的RA通道，从所述第二可信计算节点中获取集群密钥，作为所述第一可信计算节点和所述第二可信计算节点所在的可信计算集群的集群密钥。在另一种实施例中，装置还包括第一注册单元，配置为：在从所述第二可信计算节点中获取集群密钥之后，使用所述第一可信计算节点的第二地址信息向所述服务注册发现平台进行服务注册，以使所述服务注册发现平台将所述第二地址信息加入所述第一服务对应的注册列表中。在另一种实施例中，所述服务注册发现平台还用于管理包括所述第一可信计算节点在内的多个可信计算节点；所述第一获取单元，具体配置为：接收服务注册发现平台发送的所述第一可信计算节点的配置信息；其中，所述配置信息由所述服务注册发现平台依据服务配置请求从多个可信计算节点中选择第一可信计算节点并为其进行配置而得到。在另一种实施例中，所述服务注册发现平台存储有所述第一可信计算节点的第二地址信息；所述第一注册单元，使用所述第一可信计算节点的第二地址信息向所述服务注册发现平台进行服务注册时，包括：配置所述第一可信计算节点的状态为可服务状态，并使用所述第二地址信息与所述服务注册平台进行通信连接，以使所述服务注册发现平台在通过通信连接确定所述第一可信计算节点处于可服务状态时将所述第二地址信息加入所述第一服务对应的注册列表中。在另一种实施例中，装置还包括：生成单元，配置为当所述标识信息表示所述第一可信计算节点是第一个配置所述第一服务的可信计算节点时，生成集群密钥；第二注册单元，配置为当所述标识信息表示所述第一可信计算节点是第一个配置所述第一服务的可信计算节点时，使用所述第一可信计算节点的第二地址信息向所述服务注册发现平台进行服务注册，以使所述服务注册发现平台将所述第二地址信息加入所述第一服务对应的注册列表中。在另一种实施例中，装置还包括：第一存储单元，配置为在从所述第二可信计算节点中获取集群密钥之后，利用所述第一可信计算节点的硬件标识，生成对称密钥，采用所述对称密钥对所述集群密钥进行加密，得到第一加密数据，将所述第一加密数据存储至本本文档来自技高网...

【技术保护点】
1.一种可信计算集群的集群密钥获取方法，通过处于可信执行环境TEE中的第一可信计算节点执行，所述方法包括：/n获取所述第一可信计算节点的配置信息；其中，所述配置信息包括配置的第一服务，以及用于标识所述第一可信计算节点是否为第一个配置所述第一服务的可信计算节点的标识信息；/n当所述标识信息表示所述第一可信计算节点不是第一个配置所述第一服务的可信计算节点时，向服务注册发现平台发送针对所述第一服务的访问请求；/n接收所述服务注册发现平台针对所述访问请求返回的响应消息；其中，所述响应消息包括配置了所述第一服务的第二可信计算节点的第一地址信息；/n利用所述第一地址信息，与所述第二可信计算节点之间进行远程RA认证，建立RA通道；/n通过建立的RA通道，从所述第二可信计算节点中获取集群密钥，作为所述第一可信计算节点和所述第二可信计算节点所在的可信计算集群的集群密钥。/n

【技术特征摘要】
1.一种可信计算集群的集群密钥获取方法，通过处于可信执行环境TEE中的第一可信计算节点执行，所述方法包括：
获取所述第一可信计算节点的配置信息；其中，所述配置信息包括配置的第一服务，以及用于标识所述第一可信计算节点是否为第一个配置所述第一服务的可信计算节点的标识信息；
当所述标识信息表示所述第一可信计算节点不是第一个配置所述第一服务的可信计算节点时，向服务注册发现平台发送针对所述第一服务的访问请求；
接收所述服务注册发现平台针对所述访问请求返回的响应消息；其中，所述响应消息包括配置了所述第一服务的第二可信计算节点的第一地址信息；
利用所述第一地址信息，与所述第二可信计算节点之间进行远程RA认证，建立RA通道；
通过建立的RA通道，从所述第二可信计算节点中获取集群密钥，作为所述第一可信计算节点和所述第二可信计算节点所在的可信计算集群的集群密钥。


2.根据权利要求1所述的方法，在从所述第二可信计算节点中获取集群密钥之后，还包括：
使用所述第一可信计算节点的第二地址信息向所述服务注册发现平台进行服务注册，以使所述服务注册发现平台将所述第二地址信息加入所述第一服务对应的注册列表中。


3.根据权利要求2所述的方法，所述服务注册发现平台还用于管理包括所述第一可信计算节点在内的多个可信计算节点；
所述获取所述第一可信计算节点的配置信息的步骤，包括：
接收所述服务注册发现平台发送的所述第一可信计算节点的配置信息，所述配置信息由所述服务注册发现平台依据服务配置请求从所述多个可信计算节点中选择第一可信计算节点并为其进行配置而得到。


4.根据权利要求3所述的方法，所述服务注册发现平台存储有所述第一可信计算节点的第二地址信息；所述使用所述第一可信计算节点的第二地址信息向所述服务注册发现平台进行服务注册的步骤，包括：
配置所述第一可信计算节点的状态为可服务状态，并使用所述第二地址信息与所述服务注册平台进行通信连接，以使所述服务注册发现平台在通过通信连接确定所述第一可信计算节点处于可服务状态时将所述第二地址信息加入所述第一服务对应的注册列表中。


5.根据权利要求1所述的方法，还包括：
当所述标识信息表示所述第一可信计算节点是第一个配置所述第一服务的可信计算节点时：
生成集群密钥；
使用所述第一可信计算节点的第二地址信息向所述服务注册发现平台进行服务注册，以使所述服务注册发现平台将所述第二地址信息加入所述第一服务对应的注册列表中。


6.根据权利要求1所述的方法，在从所述第二可信计算节点中获取集群密钥之后，还包括：
利用所述第一可信计算节点的硬件标识，生成对称密钥；
采用所述对称密钥对所述集群密钥进行加密，得到第一加密数据；
将所述第一加密数据存储至本地磁盘空间。


7.根据权利要求1所述的方法，在从所述第二可信计算节点中获取集群密钥之后，还包括：
当存在待持久化的隐私数据时，利用所述集群密钥对所述隐私数据进行加密，得到第二加密数据，将所述第二加密数据存储至数据存储平台。


8.一种可信计算集群的集群密钥获取装置，部署在处于TEE中的第一可信计算节点中，所述装置包括：
第一获取单元，配置为获取所述第一可信计算节点的配置信息；其中，所述配置信息包括配置的第一服务，以及用于标识所述第一可信计算节点是否为第一个配置所述第一服务的可信计算...

【专利技术属性】
技术研发人员：余超凡，王磊，
申请(专利权)人：支付宝杭州信息技术有限公司，
类型：发明
国别省市：浙江;33