具体实施方式

下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。可以理解的是，此处所描述的具体实施例仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。

在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各步骤描述成顺序的处理，但是其中的许多步骤可以被并行地、并发地或者同时实施。此外，各步骤的顺序可以被重新安排。当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤。

定义时间树T是一个二元组<V，E>，其中，V是n(n≥0)个节点的有限集合，V＝{v_i|0≤i≤n-1}，E是节点间边的集合，E＝{<v_i，v_j>|v_i，v_j∈V，i≠j}。

另外，v_i＝<I，t>，其中，i是节点编号，I是i的集合，i∈[0，n-1]，t是时间属性，t∈[0，v_i]。定义时间属性为节点加入时间树的时刻，若v_i与v_j同一时刻加入时间树，则有t_i＝t_j；若v_i先于v_j加入时间树，则有t_i＜t_j。i和t满足如下关系：

f(i)被定义为

当且仅当i和j满足j＝f(i)时，v_i，v_j∈E，此时称v_i是v_j的后继节点，v_j是v_i的前驱节点，v_j的所有后继节点为兄弟节点。

当V＝Φ时，称T为空时间树；当V≠Φ时，V中的节点随机确定编号，并依式(1)确定节点的时间属性值，此时依照各节点的编号和时间属性唯一构建时间树。

若时间树T非空，称<0，0>为根节点。若称<i，t_i>为叶节点，否则<i，t_i>称为分支节点。

依时间树定义中集合V和集合E必须满足的条件，形成的时间树有2种表示形式。图1为n＝16时的时间树，第1种表示形式的时间树中节点依时间属性值t分层，见图1(a)。第2种表示形式的时间树中节点依兄弟关系进行分层，见图1(b)。

可信网络中的节点依时间树模型形成的可信节点管理网络中，RT表示管理节点，MT表示服务节点。RT的编号为0，MT的编号按照时间树的定义由云管理员在可信网络初始化创建节点状态数据库时指定。节点的时间属性值表示节点在第几个认证周期加入到可信节点管理网络中。认证周期表示2个节点之间进行远程证明所花费的时间。

图2为依时间属性值t分层的时间树建立的可信节点管理网络图。

在描述具体实施方式之前，本发明做如下约定。

UUID_i：表示节点i的UUID，用于可信网络和云节点数据库中永久标识一个节点。

ID_i：表示节点i的编号，用于可信节点管理网络和节点状态数据库中标识一个节点。

MT_i：表示节点编号为ID_i的服务节点。

M/RTPM_i→j：表示节点i的前驱节点j。

IP_i：表示节点i的IP地址。

PK_i、SK_i：分别表示节点i的公钥和私钥。

KEY_ij：表示节点i和j共享的对称密钥。

ML_i：表示节点i的完整性度量值，由可信证据收集组件产生。

CON_i：表示节点i的配置类型，对应于节点配置数据库中的某种配置类型。

CHECKVALUE_i：表示节点i的基准值，是节点配置数据库中与CON_i类型相对应的指纹。

{M}K：表示用密钥K对消息M进行加密。

本发明使用可信安全服务器，配置Intel Xeon E5620，4G DDRIII，STCM，运行Linux 3.11.0，使用Octave模拟100万个节点建立TPM联盟，配置方法步骤如下：

步骤一：管理员设置节点配置协议，使MT从RT获取自己的编号、前驱节点的IP和公钥证书用于建立可信节点管理网络。该协议在可信网络启动后(包括重新启动)执行。

图3描述了管埋员配直MT和RT之间信息交换的过程，具体流程如下：

1)MT_i向RT发送编号请求信息UUID_i。

2)RT通过UUID_i查询节点状态数据库得到ID_i，同时发送响应信息ID_i。

3)MT_i将ID_i代入式(2)中，计算出前驱节点编号ID_j，同时发送前驱节点信息请求ID_j。

4)RT通过ID_j查询节点状态数据库得到UUID_j，再通过UUID_j查询云节点数据库得到IP_j和PK_j，同时向MT_i发送响应信息：IP_j和PK_j；RT通过UUID_i查询云节点数据库得到PK_i、CON_i和CHECKVALUE_i，同时向M/RTPM_i→j发送信息ID_i、PK_i、CON_i和CHECKVALUE_i。

MT_i将ID_i、IP_j和PK_j存储到TPM的非易失性存储器中。M/RTPM_i→j将ID_i和PK_i存储到TPM的非易失性存储器中，将CON_i和CHECKVALUE_i存储到基准数据库。

步骤二：管理员配置节点注册协议，使RT验证所有MT启动后的完整性。MT通过验证，才能成为可信网络中的一员来提供服务。该协议与基于中心的节点管理策略不同的是，该协议的执行不一定发生在MT和RT之间，而是发生在MT和前驱节点之间，这样保证了大量的节点能够同时注册。该协议同时实现了节点间的可信传输。可信节点管理网络的建立是通过各MT执行节点注册协议完成的，其中节点注册协议利用了TPM的随机数生成、密钥生成、签名和验证签名等基本功能。MT每次重启之后都要主动执行节点注册协议，MT的状态通过可信节点管理网络传输给RT。RT利用可信节点管理网络实时监控所有MT的状态。

如图4所示，管理员配置MT_i与M/RTPM_i→j之间信息交换的过程，具体流程如下：

1)MT_i向M/RTPM_i→j发送注册请求信息ID_i、CON_i和随机数n₁。

2)M/RTPM_i→j向MTPM_i发送响应信息：随机数n₂，签名SIG₁：{n₁，t}SK_j，其中t是M/RTPM_i→j加入可信节点管理网络的标识。MTPM_i为前驱节点缺省时的服务节点。

3)MTPM_i验证SIG₁，若通过验证发送响应信息：签名SIG₂：{n₁，n₂，ML_i}SK_j。。否则，发送挂起信号SUSPEND，等待下一个认证周期重新注册。

4)M/RTPM_i→j验证SIG₂，若验证通过，生成KEY_ij，发送响应信息：{KEY_ij}PK_i，{KEYSET，IPSET}KEY_ij，其中，KEYSET是M/RTPM_i→j与其他节点之间的对称密钥集合，IPSET是各节点的IP集合。同时M/RTPM_i→j向其他后继节点发送KEY_ij和IP_i。若验证不通过，向前驱节点发送MTPM_i的状态不可信警报。

步骤三：管理员配置节点注销协议，当MT通过节点注册协议添加到可信网络中时，会形成时间树型拓扑的可信节点管理网络。网络中每一个MT的状态都是通过前驱节点一级一级主动汇报给RT。当云管理员缩减节点规模时，可以注销一部分MT，若注销的MT节点是分支节点，必然会造成后继节点的状态无法传递到RT。为了使可信网络能够自由控制MT数量，同时又不破坏可信节点管理网络，需要对节点的注销采取以下策略，具体流程如下：

首先，如图5(a)所示，注销节点B操作过程为：

1)R向B发送注销命令和PK_Z，同时将B从节点状态数据库中删除。

2)B收到注销命令后，将PK_A和PK_Z转发给X，将PK_X和IP_X发送给A和R，将ID_X发送给R，将PK_X发送给C和D。此后B在可信节点管理网络中的职责由X来承担，B关闭计算机。

3)X收到PK_A和PK_Z后，将PK_Z存储到TPM的非易失性存储器中。X更新前驱节点的公钥为PK_A，更新前驱节点的IP为IP_A，将自己的编号改为ID_B。C和D收到PK_X后，更新前驱节点的公钥为PK_X，更新前驱节点的IP为IPX。A收到PK_X和IP_X后，将B的公钥信息修改为PK_X，通过IP_X与X建立可信通道。R收到PK_X、IP_X和ID_X后，将PK_X、IP_X和ID_X转发给Z。在节点状态数据库中修改Z的编号为ID_X，修改X的编号为ID_B。

4)Z收到PK_X、IP_X和ID_X后，向前驱节点发送终止命令，修改前驱节点的IP为IP_X，修改前驱节点的公钥为PK_X，修改自己的编号为ID_X，重新执行节点注册协议。

其次，如图5(b)所示，注销节点X操作过程为：

1)R向X发送注销命令和PK_Z，将Z的编号改为ID_X，将ID_X发送给Z，将X从节点状态数据库中删除。

2)B将存储的PK_X修改为PK_Z，向R发送IP_B和PK_B。X收到注销命令后关闭计算机。Z收到ID_X后，将自己的编号改为ID_X。

3)R收到送IP_B和PK_B后，将IP_B和PK_B转发给Z。

4)Z收到IP_B和PK_B后向前驱节点发送终止命令，修改前驱节点的IP为IP_B，修改前驱节点的公钥为PK_B，重新执行节点注册协议。当注销大量MT时，RT应先注销叶子节点，其次注销编号大的分支节点，这样能保证各MT的注销同时进行。

步骤四：管理员配置节点状态实时监控协议。TPM联盟中每个节点初始化2个空集合NoTrustedList和LeftList，其中NoTrustedList中的元素为节点的编号及其类型，LeftList中的元素为叶子节点编号。同时每个节点维护一个后继节点列表SubsequentList，列表中元素按照节点编号降序排列。MT的状态分为3种：可信，即系统完整性未遭破坏；不可信，即系统中某些进程的完整性遭到破坏但节点的MT完整性未遭破坏(记为类型1)或者是节点的MT完整性遭到破坏但该节点的前驱和所有兄弟节点中至少有一个节点的MT完整性未遭破坏(记为类型2)；状态未知，即MT的状态没有通过可信节点管理网络传递到RT。节点的状态转换如图6所示，其中虚线椭圆表示该状态是暂态。

具体地，TPM联盟中每个节点进行如下操作：

1)从SubsequentList取一个后继节点。

2)判断与后继节点的可信通道是否断开，若是，则将后继节点编号及类型2插入NoTrustedList；否则验证可信证据，若验证不通过，则将后继节点编号和类型1插入NoTrustedList。

3)判断后继节点是否为叶子，若是，将其编号插入到LeftList。

4)将后继节点的NoTrustedList插入到本节点的NoTrustedList，将后继节点的LeftList插入到本节点的LeftList。

5)判断后继节点是否为SubsequentList中的最后一个元素，若否，则跳转到1)执行。

6)将本节点的可信证据、NoTrustedList和LeftList传递给前驱节点。RT节点中的NoTrustedList和LeftList将会是关于整个可信网络中节点的状态信息。RT通过LeftList计算出状态未知的叶子节点编号列表NoStatusList。1)从NoStatusList中取一个叶子节点编号，并将其插入到NoTrustedList，置类型为2。2)以此编号计算前驱节点编号，若前驱节点编号未出现在NoTrustedList中，则将前驱节点编号插入到NoTrustedList，类型置为2，跳转到2)执行。3)判断NoStatusList是否遍历完，若否，跳转到1)执行。

步骤五：管理员配置可信节点管理网络修复协议，修复策略分为三种情况：

1)若是叶子节点出现故障，RT通过警报器隔离该节点并向云管理员报警。云管理员修复该节点后，该节点依据节点注册协议重新加入TPM联盟。

2)若是单个分支节点出现故障，修复策略如图7所示。

其中，A、B、C、D、E代表MT，B故障造成可信节点管理网络局部连接中断，从B的后继节点C、D、E中选取一个节点代替B。选取规则是选编号最大的节点。假设图7中C编号最大，故选C代替B，该局部网络的通信即可恢复。同时RT通过警报器隔离B并向云管理员报警，B修复后依据节点注册协议重新加入TPM联盟，这时可信节点管理网络得到修复。

3)若节点与前驱节点同时出现故障，修复策略如图8所示。其中，B、C、F、G、Z代表MT，R代表RT。B、C故障造成可信节点管理网络局部连接中断，此时B的后继节点依照图7的方式重建网络，本图中不再给出示例；从C的后继节点F、G中选取一个节点代替C，选取规则依然是选编号最大的节点。图中假设F编号比G编号大，故选F代替C。因为C的前驱B故障，所以F不再与B建立连接，而是直接与R建立临时连接，R从TPM联盟中选一个编号最大的节点Z作为F的前驱节点，F与Z建立连接后，该局部网络的通信即可恢复。同时RT通过警报器隔离B、C并向云管理员报警，B、C修复后依据节点注册协议重新加入TPM联盟，这时可信节点管理网络得到修复。