本發明實施例公開了一種可信狀態證明的方法和相關設備，用于降低證明服務器進行可信狀態證明的過程中需要處理的信息量以及證明服務器的負擔。本發明實施例方法包括：首先，對該網絡設備的第一可信證明代理進行度量以獲取第一代理度量值；隨后，向該上游設備發送該第一代理度量值；最后，接收來自該上游設備的至少一個基線值，該至少一個基線值中的至少部分基線值用于證明該下游網絡設備的可信狀態。

技術領域

本申請涉及網絡安全技術領域，具體涉及一種可信狀態證明的方法和相關設備。

背景技術

為解決當前網絡安全的問題，可信計算組(trusted computing group,TCG)提出了可信計算的方法。通過該可信計算的方法能夠證明網絡設備是否被非法篡改和破壞。

但是，隨著組網的日益復雜，證明服務器連接大量的網絡設備。大量的網絡設備的可信狀態的證明均需要依賴于證明服務器。從而增加了證明服務器進行可信狀態證明的過程中需要處理的信息量以及證明服務器的負擔。若證明服務器被非法篡改，會導致網絡設備無法抵御非法篡改和破壞。

發明內容

本申請提供了一種可信狀態證明的方法和相關設備。其用于解決如何降低證明服務器進行可信狀態證明的過程中需要處理的信息量的技術問題。

第一方面，本發明實施例提供了一種可信狀態證明的方法，該方法用于網絡設備。該網絡設備連接于上游設備和下游網絡設備之間，該上游設備為該網絡設備的上游網絡設備或證明服務器，該方法包括：首先，對該網絡設備的第一可信證明代理進行度量以獲取第一代理度量值，該第一代理度量值用于證明該第一可信證明代理的可信狀態；隨后，向該上游設備發送該第一代理度量值；最后，接收來自該上游設備的至少一個基線值，該至少一個基線值中的至少部分基線值用于證明該下游網絡設備的可信狀態。

在該實施方式中，使用處于可信狀態的第一可信證明代理承擔對下游網絡設備的可信狀態的證明，有效地降低了證明服務器處理的信息量。此外，該方法在證明服務器出現被非法篡改和破壞的情況下，該第一可信證明代理會獨立的實現對下游網絡設備的可信狀態的證明，提高了可靠性。

在一種可選的實現方式中，該網絡設備包括與該第一可信證明代理連接的至少一個第一待證明對象，該方法還包括：獲取該至少一個第一待證明對象中每個第一待證明對象的第一度量值，該第一度量值用于證明該第一待證明對象的可信狀態；該至少一個基線值包括與該第一待證明對象對應的第一基線值，該接收來自該上游設備的至少一個基線值之后，該方法還包括：根據該第一待證明對象對應的該第一基線值和該第一度量值，證明該第一待證明對象的可信狀態。

在該實施方式中，由第一可信證明代理負責對第一待證明對象的可信狀態進行證明。因各第一待證明對象的可信狀態的證明均無需依賴于證明服務器，有效地降低了證明服務器所處理的信息量。而且在證明服務器出現被攻擊的情況下，第一可信證明代理能夠獨立的實現對第一待證明對象的可信狀態的證明，提高了可靠性。

在一種可選的實現方式中，該獲取該第一待證明對象的第一度量值之后，該方法還包括：將該第一度量值向該上游設備發送。在該實施方式中，處于可信狀態的第一可信證明代理，將第一度量值向上游設備發送。由上游設備負責對第一待證明對象的證明，有效地降低了第一可信證明代理所處理的信息量以及該第一待證明對象的負擔。

在一種可選的實現方式中，該至少一個基線值包括第二基線值，該第二基線值與該下游網絡設備的第二可信證明代理對應，該接收來自該上游設備的至少一個基線值之后，該方法還包括：接收來自該下游網絡設備的第二代理度量值，該第二代理度量值用于證明該第二可信證明代理的可信狀態；根據該第二基線值和該第二代理度量值，證明該第二可信證明代理的可信狀態。

在該實施方式中，由第一可信證明代理負責對第二可信證明代理的證明，有效地降低了證明服務器所處理的信息量以及證明服務器的負擔。