本申請公開了一種遠程證明方法，應用于遠程證明系統，所述遠程證明系統包括多個RA服務器以及多個網絡設備，所述方法由所述多個網絡設備中的任一網絡設備執行。在該所述方法中，所述網絡設備獲取所述網絡設備中的度量對象的完整性度量值；所述網絡設備將所述度量對象的完整性度量值發送至所述多個RA服務器中的至少一個RA服務器，以便所述至少一個RA服務器對所述網絡設備中的度量對象的完整性執行遠程證明。解決了跨廠商間的開放性系統中提供可靠的完整性證明的問題。

技術領域

本申請涉及路由技術領域，特別涉及一種遠程證明方法、裝置，系統及計算機存儲介質。

背景技術

軟件是產品的重要組成部分，保護軟件的完整性是構筑網絡安全保障體系的重要保障。遠程證明是當前保護完整性的必備消減措施。目前的遠程證明方案中，按照TCG(Trusted Computing Group)標準要求，網絡設備的啟動階段，網絡設備逐級計算BIOS、OS、APP的度量值，將其擴展至TPM芯片。遠程證明服務器(Remote Attestation服務器，下文中簡稱 RA服務器)向網絡設備發送完整性挑戰請求，網絡設備的遠程證明客戶端(RemoteAttestation Client，下文中簡稱RA客戶端)將所需度量值上送至RA服務器，在RA服務器中完成度量值的校驗，以此來判斷設備軟件是否被篡改從而檢查其完整性。

當前方案中的遠程證明系統為封閉式系統，僅部署單臺RA服務器，網絡設備中的各部件，如硬件、BIOS、OS、APP，由同一廠商提供，因此該同一廠商的各度量對象的完整性度量值集中上送至該RA服務器，由該RA服務器集中統一進行完整性的遠程證明。這種封閉式集中統一的遠程證明系統無法提供跨廠商間的互信問題，從而不能提供可靠的完整性證明。

發明內容

本申請實施例提供了一種遠程證明方法、裝置、系統、以及計算機存儲介質，可以為開放性跨廠商場景下提供完整性可靠證明。這些實施例包括如下：

第一方面，提供了一種遠程證明方法，該方法由遠程證明系統中的網絡設備執行，該遠程證明系統包括多個RA服務器以及至少一個網絡設備。在該方法中，所述網絡設備獲取所述網絡設備中的多個度量對象的完整性度量值；所述網絡設備將所述多個度量對象的完整性度量值中不同的度量對象的完整性度量值分別發送至所述多個RA服務器中的至少兩個RA服務器，以便所述至少兩個RA服務器分別對所述網絡設備中的不同的度量對象的完整性執行遠程證明。

通過本實施方式中的遠程證明方法，不同的RA服務器可以分別對網絡設備中不同的度量對象的完整性度執行證明，這樣當網絡設備中的不同度量對象，如各BIOS、OS以及各類應用等部件對屬于不同的廠商時，也可以由該遠程證明系統對該網絡設備中的各度量對象執行可靠的完整性證明。

可選地，所述網絡設備根據所述多個RA服務器中的各RA服務器與所述各RA服務器能夠執行遠程證明的度量對象之間的對應關系，將所述多個度量對象的完整性度量值中不同的度量對象的完整性度量值分別發送至所述多個RA服務器中的至少兩個RA服務器。

通過該方法，網絡設備可以根據獲取到的多個RA服務器中的各RA服務器與所述各RA服務器能夠執行遠程證明的度量對象之間的對應關系，主動向RA服務器發起遠程證明流程。。從而，可以使得網絡設備以及整個證明系統的完整性證明更加可靠和靈活。該對應關系可以在本地保存，或者也可從其他設備獲取。

可選地，所述網絡設備可以響應于所述至少兩個RA服務器發送的完整性挑戰請求，獲取所述網絡設備中的多個度量對象的完整性度量值，發送相應的度量對象的完整性度量值給挑戰發送方進行完整性證明。

相對于上述主動發起完整性證明，本實施方案中，根據RA服務器的安排，如周期性或其他事件觸發，執行完整性證明，可以提高遠程證明的可預期性和穩定性。

可選的，所述兩個RA服務器可以根據遠程證明策略發送的完整性挑戰請求。