可信计算集群的集群密钥获取方法及装置与流程

技术特征：

1.一种可信计算集群的集群密钥获取方法，通过处于可信执行环境tee中的第一可信计算节点执行，所述方法包括：

获取所述第一可信计算节点的配置信息；其中，所述配置信息包括配置的第一服务，以及用于标识所述第一可信计算节点是否为第一个配置所述第一服务的可信计算节点的标识信息；

当所述标识信息表示所述第一可信计算节点不是第一个配置所述第一服务的可信计算节点时，向服务注册发现平台发送针对所述第一服务的访问请求；

接收所述服务注册发现平台针对所述访问请求返回的响应消息；其中，所述响应消息包括配置了所述第一服务的第二可信计算节点的第一地址信息；

利用所述第一地址信息，与所述第二可信计算节点之间进行远程ra认证，建立ra通道；

通过建立的ra通道，从所述第二可信计算节点中获取集群密钥，作为所述第一可信计算节点和所述第二可信计算节点所在的可信计算集群的集群密钥。

2.根据权利要求1所述的方法，在从所述第二可信计算节点中获取集群密钥之后，还包括：

使用所述第一可信计算节点的第二地址信息向所述服务注册发现平台进行服务注册，以使所述服务注册发现平台将所述第二地址信息加入所述第一服务对应的注册列表中。

3.根据权利要求2所述的方法，所述服务注册发现平台还用于管理包括所述第一可信计算节点在内的多个可信计算节点；

所述获取所述第一可信计算节点的配置信息的步骤，包括：

接收所述服务注册发现平台发送的所述第一可信计算节点的配置信息，所述配置信息由所述服务注册发现平台依据服务配置请求从所述多个可信计算节点中选择第一可信计算节点并为其进行配置而得到。

4.根据权利要求3所述的方法，所述服务注册发现平台存储有所述第一可信计算节点的第二地址信息；所述使用所述第一可信计算节点的第二地址信息向所述服务注册发现平台进行服务注册的步骤，包括：

配置所述第一可信计算节点的状态为可服务状态，并使用所述第二地址信息与所述服务注册平台进行通信连接，以使所述服务注册发现平台在通过通信连接确定所述第一可信计算节点处于可服务状态时将所述第二地址信息加入所述第一服务对应的注册列表中。

5.根据权利要求1所述的方法，还包括：

当所述标识信息表示所述第一可信计算节点是第一个配置所述第一服务的可信计算节点时：

生成集群密钥；

使用所述第一可信计算节点的第二地址信息向所述服务注册发现平台进行服务注册，以使所述服务注册发现平台将所述第二地址信息加入所述第一服务对应的注册列表中。

6.根据权利要求1所述的方法，在从所述第二可信计算节点中获取集群密钥之后，还包括：

利用所述第一可信计算节点的硬件标识，生成对称密钥；

采用所述对称密钥对所述集群密钥进行加密，得到第一加密数据；

将所述第一加密数据存储至本地磁盘空间。

7.根据权利要求1所述的方法，在从所述第二可信计算节点中获取集群密钥之后，还包括：

当存在待持久化的隐私数据时，利用所述集群密钥对所述隐私数据进行加密，得到第二加密数据，将所述第二加密数据存储至数据存储平台。

8.一种可信计算集群的集群密钥获取装置，部署在处于tee中的第一可信计算节点中，所述装置包括：

第一获取单元，配置为获取所述第一可信计算节点的配置信息；其中，所述配置信息包括配置的第一服务，以及用于标识所述第一可信计算节点是否为第一个配置所述第一服务的可信计算节点的标识信息；

发送单元，配置为当所述标识信息表示所述第一可信计算节点不是第一个配置所述第一服务的可信计算节点时，向服务注册发现平台发送针对所述第一服务的访问请求；

接收单元，配置为接收所述服务注册发现平台针对所述访问请求返回的响应消息；其中，所述响应消息包括配置了所述第一服务的第二可信计算节点的第一地址信息；

认证单元，配置为利用所述第一地址信息，与所述第二可信计算节点之间进行远程ra认证，建立ra通道；

第二获取单元，配置为通过建立的ra通道，从所述第二可信计算节点中获取集群密钥，作为所述第一可信计算节点和所述第二可信计算节点所在的可信计算集群的集群密钥。

9.根据权利要求8所述的装置，还包括第一注册单元，配置为：

在从所述第二可信计算节点中获取集群密钥之后，使用所述第一可信计算节点的第二地址信息向所述服务注册发现平台进行服务注册，以使所述服务注册发现平台将所述第二地址信息加入所述第一服务对应的注册列表中。

10.根据权利要求9所述的装置，所述服务注册发现平台还用于管理包括所述第一可信计算节点在内的多个可信计算节点；

所述第一获取单元，具体配置为：

接收所述服务注册发现平台发送的所述第一可信计算节点的配置信息；其中，所述配置信息由所述服务注册发现平台依据服务配置请求从所述多个可信计算节点中选择第一可信计算节点并为其进行配置而得到。

11.根据权利要求10所述的装置，所述服务注册发现平台存储有所述第一可信计算节点的第二地址信息；所述第一注册单元，使用所述第一可信计算节点的第二地址信息向所述服务注册发现平台进行服务注册时，包括：

配置所述第一可信计算节点的状态为可服务状态，并使用所述第二地址信息与所述服务注册平台进行通信连接，以使所述服务注册发现平台在通过通信连接确定所述第一可信计算节点处于可服务状态时将所述第二地址信息加入所述第一服务对应的注册列表中。

12.根据权利要求8所述的装置，还包括：

生成单元，配置为当所述标识信息表示所述第一可信计算节点是第一个配置所述第一服务的可信计算节点时，生成集群密钥；

第二注册单元，配置为当所述标识信息表示所述第一可信计算节点是第一个配置所述第一服务的可信计算节点时，使用所述第一可信计算节点的第二地址信息向所述服务注册发现平台进行服务注册，以使所述服务注册发现平台将所述第二地址信息加入所述第一服务对应的注册列表中。

13.根据权利要求8所述的装置，还包括：

第一存储单元，配置为在从所述第二可信计算节点中获取集群密钥之后，利用所述第一可信计算节点的硬件标识，生成对称密钥，采用所述对称密钥对所述集群密钥进行加密，得到第一加密数据，将所述第一加密数据存储至本地磁盘空间。

14.根据权利要求8所述的装置，还包括：

第二存储单元，配置为在从所述第二可信计算节点中获取集群密钥之后，当存在待持久化的隐私数据时，利用所述集群密钥对所述隐私数据进行加密，得到第二加密数据，将所述第二加密数据存储至数据存储平台。

15.一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行权利要求1-7中任一项的所述的方法。

16.一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现权利要求1-7中任一项所述的方法。