一种联合分布式可信基准值管理方法及系统

技术领域

本发明实施例涉及信息安全技术领域，尤其涉及一种联合分布式可信基准值管理方法及系统。

背景技术

可信计算技术是一种保护系统完整性的安全解决方案，在可信计算技术里，要对系统运行部件的完整性值进行度量、存储和验证。基于安全模块可以保证完整性值度量、存储的可信性，在验证时将部件的实际度量值与可信基准值进行比较，从而确定系统是否可信。可信基准值在可信验证中就至关重要。

尽管可信计算组织提出了一套可信基准值的管理规范，但与现有系统的结合比较困难，规范适用性不够，也没有考虑采用分布式的方法来增强基准值的安全性。现有与可信基准值管理相关的主要工作有提供下载程序的哈希值及数字签名验证等。一些针对开放平台的程序在提供给用户下载时，同时提供一个程序的哈希值，主要是供用户下载到本地之后通过哈希值来验证安装程序是否正确，是否遭到篡改。通常下载的程序是一个压缩包或者安装包，仅在解压或者安装之前能保证程序的正确性。在程序安装之后运行时，难以使用此哈希值来验证运行之中的程序是否遭到篡改破坏。Linux系统上广泛使用的包管理工具dpkg，在系统上安装好一个固件后，会有一个相应的md5sums文件，里面存储有属于该该固件二进制程序及档案文件的md5哈希值列表，基于该哈希值列表，可使用dpkg–verify来验证已安装程序是遭到破坏，攻击者若篡改了二进制程序或者档案文件，也能篡改相应的哈希值。为了增强安全性，一些系统为程序提供了数字签名验证机制，如64位Windows对驱动程序强制要求签名验证及iOS系统对APP应用的签名验证等；在64位Windows里，要求所有的驱动程序必须获得官方的WHQL签名，Windows在装载驱动时，会对签名进行验证；iOS应用在通过审查后才会获得官方的签名，进而在应用商店里发布，用户下载安装iOS应用时，系统会验证签名的正确性，并根据签名的权限列表判断应用是否有违背承诺的越权行为。

数字签名增强了基准值的安全性，但目前主要是由系统厂商进行各自集中封闭式的签名管理，若厂商的私钥泄漏，则给其签名基准值带来巨大的安全风险。此外，目前各个厂商对程序的签名管理没有形成联合机制。通常一个安全中心会验证其安全域范围内的所有不同类型、不同厂商系统的可信性，这就需要安全中心自己向各个厂商搜集、管理可信基准值。目前Linux上的完整性保护工具IMA将系统初始化时对程序文件度量值的HMAC值或者数字签名作为本地验证时的基准，可信计算认证开源项目IBM ACS也是以IMA数字签名作为验证时的基准，这种方式也难以满足安全中心的要求，需对同一类型系统的可信基准值进行统一化管理。

发明内容

鉴于此，为解决上述技术问题或部分技术问题，本发明实施例提供一种联合分布式可信基准值管理方法及系统。

第一方面，本发明实施例提供一种联合分布式可信基准值管理方法，包括：

获取可信基准值文件，其中，所述可信基准值文件是目标固件在更新时生成的，所述可信基准值文件至少携带有文件标识以及固件标识；

获取所述可信基准值文件在进行分布式存储时得到的存储索引信息；

将所述文件标识以及所述存储索引信息关联存储至联合分布式可信系统，生成所述可信基准值文件对应的关键存储信息，其中，所述关键存储信息包括交易信息；

基于所述关键存储信息构建非平衡哈希区块树，所述非平衡哈希区块树用于联合分布式可信系统中的任意一个交易信息进行验证。

在一个可能的实施方式中，所述方法还包括：

通过预设的分布式哈希表，确定所述可信基准值文件的目标分布式存储位置；

将所述可信基准值文件存储至所述目标分布式存储位置。

在一个可能的实施方式中，所述方法还包括：

将所述文件标识作为所述联合分布式可信系统的数据库的Key值，以及将所述存储索引信息作为所述联合分布式可信系统的数据库的Value值；

利用所述Key值以及所述Value值在所述联合分布式可信系统的数据库中构建所述可信基准值文件对应的键值对，并在所述联合分布式可信系统中创建所述键值对所对应的交易区块，其中，所述交易区块存储有所述可信基准值文件对应的交易信息；

将所述键值对以及所述交易区块确定为所述关键存储信息。

在一个可能的实施方式中，所述方法还包括：

将所述关键存储信息中的至少一个交易区块中满足预设条件的交易区块，确定为非平衡哈希区块树的根节点，判断以所述根节点为根的树是否为满二叉树；

若否，则迭代判断所述根节点的右子节点，直至寻找到目标节点为根的树为满二叉树；

基于所述满二叉树，生成空叶子节点，为所述空叶子节点加入区块头信息，以及计算所述空叶子节点的Value字段值，其中，所述区块头信息为所述空叶子节点添加前的非平衡哈希树的根节点哈希值；

基于所述满二叉树，生成空中间节点，并计算所述空中间节点的Value字段值，其中所述空中间节点的左节点为所述目标节点，右节点为所述空叶子节点；

从所述空中间节点开始向上更新节点哈希值直到根节点，得到更新后的非平衡哈希区块树。

第二方面，本发明实施例提供一种联合分布式可信基准值管理方法，包括：

获取可信证明报告，其中，所述可信证明报告至少携带有目标固件标识；

利用所述目标固件标识获取相应的目标可信基准值文件，并从所述目标可信基准值文件中获取目标文件标识；

从联合分布式可信系统中查询所述目标固件标识所对应的目标关键存储信息；

利用非平衡哈希区块树对所述目标关键存储信息进行证明，得到目标证明信息，并利用所述目标证明信息对所述可信证明报告进行检验，得到检验结果，其中，所述检验结果用于指示所述可信证明报告是否正确。

在一个可能的实施方式中，所述方法还包括：

从所述联合分布式可信系统的数据库中获取与所述目标固件标识对应的目标键值对，并从所述目标键值对中获取目标存储索引信息，以及从联合分布式可信系统中获取相应的目标区块；

将所述目标存储索引信息以及所述目标区块确定为所述目标关键存储信息。

在一个可能的实施方式中，所述方法还包括：

从所述目标关键存储信息中获取目标交易区块；

确定所述目标交易区块中是否携带所述目标文件标识对应的交易信息，得到第一证明信息，以及确定所述目标交易区块是否存在于所述非平衡哈希区块树，得到第二证明信息；

基于所述第一证明信息以及所述第二证明信息，确定所述目标证明信息。

在一个可能的实施方式中，所述方法还包括：

根据证明信息，构建出交易树的树根节点哈希值，与对应区块中的该字段进行比较，比较通过后继续构建出区块树的根节点哈希值，与联合分布式可信系统最新区块头中的区块树根字段值进行比较，一致则说明获取到的可信基准度量文件索引是正确的。

第三方面，本发明实施例提供一种联合分布式可信基准值管理系统，包括：分布式存储模块、联合分布式可信系统网络模块；

所述联合分布式可信系统网络模块包括数据库模块、可信系统模块、组织管理模块；

所述分布式存储模块用于存储可信基准值文件；

所述数据库模块用于存储所述分布式存储模块存储的可信基准值文件对应的键值对；

所述联合分布式可信系统模块用于存储所述键值对对应的交易区块。

可选的，所述组织管理模块用于管理多个嵌入式自动化设备。

本发明实施例提供的联合分布式可信基准值管理方案，通过获取可信基准值文件，其中，所述可信基准值文件是目标固件在更新时生成的，所述可信基准值文件至少携带有文件标识以及固件标识；获取所述可信基准值文件在进行分布式存储时得到的存储索引信息；将所述文件标识以及所述存储索引信息关联存储至联合分布式可信系统，生成所述可信基准值文件对应的关键存储信息，其中，所述关键存储信息包括交易信息；基于所述关键存储信息构建非平衡哈希区块树，所述非平衡哈希区块树用于联合分布式可信系统中的任意一个交易信息进行验证，相比于现有的可信计算技术与现有系统的结合比较困难、规范适用性不够，现有的可信基准值的管理规范无法确定程序安装过程中是否被篡改的问题，由本方案，可以在一个系统里获取所有联合厂商固件的基准值，可以快速验证所获取的基准值文件索引值的正确性，进而保证基准值的正确性，降低单一厂商集中式管理私钥泄漏所导致的安全风险。本方案适用于嵌入式自动化设备可信验证场景。

本发明实施例提供的联合分布式可信基准值管理系统，包括：分布式存储模块、联合分布式可信系统模块；所述联合分布式可信系统模块包括数据库模块、可信系统模块、组织管理模块；所述分布式存储模块用于存储可信基准值文件；所述数据库模块用于存储所述分布式存储模块存储的可信基准值文件对应的键值对；所述可信系统模块用于存储所述键值对对应的交易区块；所述组织管理模块用于管理多个嵌入式自动化设备，相比于现有各个厂商对程序的签名管理没有形成联合机制，通常一个安全中心会验证其安全域范围内的所有不同类型、不同厂商系统的可信性，需要安全中心自己向各个厂商搜集、管理可信基准值的情况，难以满足安全中心的要求，由本系统，可以实现对同一类型系统的可信基准值进行统一化管理，安全中心可以在一个系统里获取所有联合厂商固件的基准值。

附图说明

图1为本发明实施例提供一种联合分布式可信基准值管理方法的流程示意图；

图2为本发明实施例提供另一种联合分布式可信基准值管理方法的流程示意图；

图3为本发明实施例提供的一种可信基准值文件示意图；

图4为本发明实施例提供的一种构建非平衡哈希区块树的示意图；

图5为本发明实施例提供又一种联合分布式可信基准值管理方法的流程示意图；

图6为本发明实施例提供再一种联合分布式可信基准值管理方法的流程示意图；

图7为本发明实施例提供的一种联合分布式可信系统非平衡哈希树多值验证路径示意图；

图8为本发明实施例提供的一种可信基准值对应交易区块验证示意图；

图9为本发明实施例提供一种联合分布式可信基准值管理系统的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为便于对本发明实施例的理解，下面将结合附图以具体实施例做进一步的解释说明，实施例并不构成对本发明实施例的限定。

图1为本发明实施例提供一种联合分布式可信基准值管理方法的流程示意图，如图1所示，该方法具体包括：

S11、获取可信基准值文件，其中，所述可信基准值文件是目标固件在更新时生成的，所述可信基准值文件至少携带有文件标识以及固件标识。

本发明实施例中，固件开发商每发布一个固件版本或者发布一个更新补丁时，就生成一个可信基准值文件，包含有可信基准值文件的唯一文件标识、固件名称、固件版本、补丁版本、所属平台类型、操作系统、创建时间、签名值、文件路径名称及哈希值列表、固件开发商公钥数字证书等，其中文件标识即为可信基准值文件的哈希值。

S12、获取所述固件基准值文件在进行分布式存储时得到的存储索引信息。

将可信基准值文件进行分布式存储，可以避免单点故障导致文件丢失，获取固件基准值文件在进行分布式存储时得到的存储索引信息，该存储索引信息可以为分布式存储的存储位置。

S13、将所述文件标识以及所述存储索引信息关联存储至联合分布式可信系统，生成所述可信基准值文件对应的关键存储信息，其中，所述关键存储信息包括交易信息。

调用链码，将分布式存储的可信基准值文件信息写入到联合分布式可信系统及数据库中。联合分布式可信系统的Key-Value数据库存储的Key值为可信基准值文件的文件标识，Value值是可信基准值文件的分布式存储的索引值。联合分布式可信系统的数据库中的可信基准值Key-Value记录，在链区块中都有相应的交易记录与之对应。

S14、基于所述关键存储信息构建非平衡哈希区块树，所述非平衡哈希区块树用于联合分布式可信系统中的任意一个交易信息进行验证。

基于关键存储信息构建非平衡哈希区块树，将区块头哈希值作为叶子节点，构建非平衡哈希区块树，每个区块都存储有该区块添加前非平衡哈希区块树的根节点哈希值，非平衡哈希区块树用于联合分布式可信系统中的任意一个交易信息进行验证。

本发明实施例提供的联合分布式可信基准值管理方法，通过获取可信基准值文件，其中，所述可信基准值文件是目标固件在更新时生成的，所述可信基准值文件至少携带有文件标识以及固件标识；获取所述可信基准值文件在进行分布式存储时得到的存储索引信息；将所述文件标识以及所述存储索引信息关联存储至联合分布式可信系统，生成所述可信基准值文件对应的关键存储信息，其中，所述关键存储信息包括交易信息；基于所述关键存储信息构建非平衡哈希区块树，所述非平衡哈希区块树用于联合分布式可信系统中的任意一个交易信息进行验证，相比于现有的可信计算技术与现有系统的结合比较困难、规范适用性不够，现有的可信基准值的管理规范无法确定程序安装过程中是否被篡改的问题，由本方法，可以在一个系统里获取所有联合厂商固件的基准值，可以快速验证所获取的基准值文件索引值的正确性，进而保证基准值的正确性，降低单一厂商集中式管理私钥泄漏所导致的安全风险。

图2为本发明实施例提供另一种联合分布式可信基准值管理方法的流程示意图，如图2所示，该方法具体包括：

S21、通过预设的分布式哈希表，确定所述可信基准值文件的目标分布式存储位置。

S22、将所述可信基准值文件存储至所述目标分布式存储位置。

本发明实施例中，在获取部署在嵌入式自动化设备的目标固件对应的的可信基准值文件之后，基于预设的分布式哈希表，查询可信基准值文件的目标分布式存储位置，将可信基准值文件存储至目标分布式存储位置，获取可信基准值文件在进行分布式存储时得到的存储索引信息，该存储索引信息可以为分布式存储的存储位置。其中，可信基准值文件信息如图3所示：

id，文件里除id之外其他所有内容的哈希值；name，固件名称；ver，固件版本；patchVer，补丁版本；arch，固件所在系统的CPU架构；os，固件所在操作系统的名称及具体版本号；time，文件创建时间；sign，固件开发者用其私钥对文件里除id、sign两部分内容之外所有内容的数字签名值；file，固件里包含的文件路径名称及文件的哈希值，可以有多个；cert，固件开发者公钥数字证书，与其在联合分布式可信系统里使用的数字证书相同。

安装好的固件也具有一个可信基准值文件，在进行可信计算远程证明时，报告的度量日志里包含有基准值id，对安装好的固件进行打补丁更新时，同时更新相应的可信基准值文件。

S23、将所述文件标识作为所述联合分布式可信系统的数据库的Key值，以及将所述存储索引信息作为所述联合分布式可信系统的数据库的Value值。

S24、利用所述Key值以及所述Value值在所述联合分布式可信系统的数据库中构建所述可信基准值文件对应的键值对，并在所述联合分布式可信系统中创建所述键值对所对应的交易区块，其中，所述交易区块存储有所述可信基准值文件对应的交易信息。

调用链码，将分布式存储的可信基准值文件信息写入到联合分布式可信系统及数据库中。联合分布式可信系统的Key-Value数据库存储的Key值为可信基准值文件的文件标识，Value值是可信基准值文件的分布式存储的索引值。联合分布式可信系统的数据库中的可信基准值Key-Value记录，在链区块中都有相应的交易记录与之对应。

S25、将所述键值对以及所述交易区块确定为所述关键存储信息。

S26、将所述关键存储信息中的至少一个交易区块中满足预设条件的交易区块，确定为非平衡哈希区块树的根节点，判断以所述根节点为根的树是否为满二叉树。

S27、若否，则迭代判断所述根节点的右子节点，直至寻找到目标节点为根的树为满二叉树。

S28、基于所述满二叉树，生成空叶子节点，为所述空叶子节点加入区块头信息，以及计算所述空叶子节点的Value字段值，其中，所述区块头信息为所述空叶子节点添加前的非平衡哈希树的根节点哈希值。

S29、基于所述满二叉树，生成空中间节点，并计算所述空中间节点的Value字段值，其中所述空中间节点的左节点为所述目标节点，右节点为所述空叶子节点。

S210、从所述空中间节点开始向上更新节点哈希值直到根节点，得到更新后的非平衡哈希区块树。

以下对S25～S210进行统一说明：

本发明实施例中，如图4所示为本发明实施例提供的一种构建非平衡哈希区块树的示意图，将键值对以及交易区块确定为关键存储信息，包含有11个区块(B0～B10)，每个区块都存储有该区块添加前的非平衡哈希树的根节点哈希值，树的根值Root存储在B10区块的区块头中。有新的区块要链接时，执行以下步骤：

1)从非平衡哈希树的根节点开始，判断以此节点为根的树是否是一棵满二叉树，若不满，则继续迭代其右子节点，直到找到符合条件的节点N

2)生成一个空的叶子节点N

3)生成一个空的中间节点N

4)从中间节点N

图5为本发明实施例提供又一种联合分布式可信基准值管理方法的流程示意图，如图5所示，该方法具体包括：

S51、获取可信证明报告，其中，所述可信证明报告至少携带有目标固件标识。

本发明实施例中，安全中心为系统里轻量级的基准值读取用户节点，获取嵌入式自动化设备发送的可信证明报告，其中，所可信证明报告至少携带有目标固件标识。

S52、利用所述目标固件标识获取相应的目标可信基准值文件，并从所述目标可信基准值文件中获取目标文件标识。

S53、从联合分布式可信系统中查询所述目标固件标识所对应的目标关键存储信息。

可以采用抽样的方法连接到一个具有块数据链的诚实固件开发商节点，依据证明报告里的固件标识，作为Key值在联合分布式可信系统数据库中读取相应的Key-Value记录，系统同时会返回Key-Value记录所对应的交易及该交易在某个区块中的证明信息、交易所在区块的头及证明该区块在非平衡哈希区块树中的证明信息。

S54、利用非平衡哈希区块树对所述目标关键存储信息进行证明，得到目标证明信息，并利用所述目标证明信息对所述可信证明报告进行检验，得到检验结果，其中，所述检验结果用于指示所述可信证明报告是否正确。

安全中心获取到信息后，首先计算交易的哈希，然后根据路径节点的兄弟节点信息，构建出交易树的根节点哈希值，与对应区块中的该字段进行比较，比较通过后继续构建出非平衡哈希区块树的根节点哈希值，与联合分布式可信系统最新区块头中的区块树根字段值进行比较，一致则说明获取到的Key-Value记录是正确的。然后用Value里的索引值读取到相应的分布式存储的可信基准值文件，从文件里读取相应的基准哈希值，用于对判断终端的可信证明报告是否正确。

本发明与现有基准值管理方法相比，具有以下优点：在不同系统、不同CPU架构、打了不同补丁的同一可信基准值文件具有不同的唯一标识，不同标识的基准值文件里含有不同的文件路径名称、哈希值列表及其签名值；具有分布式去中心化、不易篡改、可以公开验证的特性，保证基准值的安全存储，降低单一厂商集中式管理私钥泄漏所导致的安全风险；安全中心可以在一个系统里获取所有联合厂商固件的基准值；可以快速验证所获取的基准值文件索引值的正确性，进而保证基准值的正确性。

图6为本发明实施例提供再一种联合分布式可信基准值管理方法的流程示意图，如图6所示，该方法具体包括：

S61、从所述联合分布式可信系统的数据库中获取与所述目标固件标识对应的目标键值对，并从所述目标键值对中获取目标存储索引信息，以及从联合分布式可信系统中获取相应的目标区块。

S62、将所述目标存储索引信息以及所述目标区块确定为所述目标关键存储信息。

S63、从所述目标关键存储信息中获取目标交易区块。

S64、确定所述目标交易区块中是否携带所述目标文件标识对应的交易信息，得到第一证明信息，以及确定所述目标交易区块是否存在于所述非平衡哈希区块树，得到第二证明信息。

S65、基于所述第一证明信息以及所述第二证明信息，确定所述目标证明信息。

S66、根据证明信息，构建出交易树的树根节点哈希值，与对应区块中的该字段进行比较，比较通过后继续构建出区块树的根节点哈希值，与联合分布式可信系统最新区块头中的区块树根字段值进行比较，一致则说明获取到的可信基准度量文件索引是正确的。

以下对S61～S66进行统一说明：

本发明实施例中，验证方为系统里轻量级读取用户节点，依据证明报告里的固件标识，作为Key值在联合分布式可信系统数据库中读取相应的Key-Value记录，系统同时会返回Key-Value记录所对应的交易tx0及该交易在某个区块中的证明信息、交易所在区块的头及证明该区块在非平衡哈希区块树中的证明信息。如图8所示，图8中阴影部分即为验证交易tx0所需的证明信息。验证方获取到响应消息后，首先计算交易tx0的哈希，然后根据证明信息，构建出交易树的树根节点哈希值，与对应区块中的该字段进行比较，比较通过后继续构建出区块树的根节点哈希值，与联合分布式可信系统最新区块头中的区块树根字段值mmrRoot进行比较，一致则说明获取到的可信基准度量文件索引是正确的。

可选的，验证方可能同时获取多个可信基准值文件，系统通过生成多值验证路径mp进一步提高效率，如图7所示，多值验证路径的生成过程从树的叶子节点层一直迭代到根节点，步骤如下：

1)0层，区块节点B0、B1、B2、B6对应的第0层的节点编号分别为0、1、2、6，分别为这些编号添加一个相邻编号生成编号对，且编号对第一个元素为偶数，第二个元素为奇数，得到的编号对为[0，1]、[0，1]、[2，3]、[6，7]，将这些编号对去重得到[0，1]、[2，3]、[6，7]，将该编号对中除去0、1、2、6编号后剩余的节点编号为3、7，由于第0层中没有7号节点，所以将去除无效节点7后的编号对应的节点添加到mp中，此时mp＝{N0，3}，将各编号对的左端点除以2得到第1层对应的节点编号0、1、3。

2)1层，对应的节点编号为0、1、3。为这些节点生成编号对并去重得到[0，1]、[2，3]，将该编号对中除去0、1、3编号后的剩余节点编号2对应的节点添加到mp中，此时mp＝{N0，3，N1，2}，将各编号对的左端点除以2得到第2层对应的节点编号0、1。

3)2层，对应的节点编号为0、1。为这些节点生成编号对并去重得到[0，1]，此时该编号对中除去0和1后已无节点，迭代结束。最终生成的mp＝{N0，3，N1，2}。

mp可以证明任意一个区块头存在于非平衡哈希树之中，也就可以证明这个区块存在于联合分布式可信系统之中。

本发明实施例提供的联合分布式可信基准值管理方法，通过获取可信基准值文件，其中，所述可信基准值文件是目标固件在更新时生成的，所述可信基准值文件至少携带有文件标识以及固件标识；获取所述可信基准值文件在进行分布式存储时得到的存储索引信息；将所述文件标识以及所述存储索引信息关联存储至联合分布式可信系统，生成所述可信基准值文件对应的关键存储信息，其中，所述关键存储信息包括交易信息；基于所述关键存储信息构建非平衡哈希区块树，所述非平衡哈希区块树用于联合分布式可信系统中的任意一个交易信息进行验证，由本方法，可以在一个系统里获取所有联合厂商固件的基准值，可以快速验证所获取的基准值文件索引值的正确性，进而保证基准值的正确性，降低单一厂商集中式管理私钥泄漏所导致的安全风险。

图9为本发明实施例提供一种联合分布式可信基准值管理系统的结构示意图，如图9所示，联合分布式可信基准值管理系统包括：分布式存储模块、联合分布式可信系统模块；其中，联合分布式可信系统模块包括数据库模块、可信系统模块、组织管理模块；分布式存储模块用于存储可信基准值文件；数据库模块用于存储分布式存储模块存储的可信基准值文件对应的键值对；可信系统模块用于存储键值对对应的交易区块；组织管理模块用于管理多个嵌入式自动化设备。

可选的，发起者进行系统初始化配置，整个系统的发起者为若干个组织，每个组织包含若干个固件开发商成员，每个组织设定自己的密钥证书配置文件和权限配置文件，密钥证书配置文件里设定了组织名称、域名、组织内固件开发商及基准值使用用户的个数等，系统可根据配置文件自动批量生成需要的密钥和证书文件，用于身份认证和权限控制，权限配置文件里定义固件开发商及基准值使用用户调用系统链码的权限，包括读、写权限等，链码与安全策略相映射。

生成系统创世区块，所有组织的权限配置文件形成一个树形结构，其根节点哈希值为创世区块数据的一部分。

当有新的固件开发商需要加入到固件数据的处理系统时，修改权限配置文件，包括添加组织，需要多数组织管理员的投票背书即签名同意，重新编码并提交配置，以交易的形式提交到系统中；当系统里现有的固件开发商不符合规则时，系统进行删除操作，修改权限配置文件，需要多数组织管理员的投票背书即签名同意，重新编码并提交配置，通过链码调用以交易的形式提交到联合系统中。

具体的，联合分布式可信系统主要包含一个通道和众多组织。组织分为两类，由固件开发商组成的组织(组织1，组织2)；由验证方组成的组织(组织3)。固件开发商拥有调用相关链码向联合分布式可信系统的Key-Value数据库写入记录，进而进行交易，将交易记录写入到区块中的权限。验证方的权限受到严格的限制，只拥有读取、查询权限。权限控制基于PKI的签名认证来完成，固件开发商发布可信基准值时，需经过多数组织管理的背书同意及签名认证。Key-Value数据库存储有可信基准值标识和分布式存储索引，验证方依据获取的固件标识，通过存储索引可读取到分布式存储的可信基准值文件。

本发明实施例提供的联合分布式可信基准值管理系统，包括：分布式存储模块、联合分布式可信系统模块；所述联合分布式可信系统模块包括数据库模块、可信系统模块、组织管理模块；所述分布式存储模块用于存储可信基准值文件；所述数据库模块用于存储所述分布式存储模块存储的可信基准值文件对应的键值对；所述可信系统模块用于存储所述键值对对应的交易区块；所述组织管理模块用于管理多个嵌入式自动化设备，相比于现有各个厂商对程序的签名管理没有形成联合机制，通常一个安全中心会验证其安全域范围内的所有不同类型、不同厂商系统的可信性，需要安全中心自己向各个厂商搜集、管理可信基准值的情况，难以满足安全中心的要求，由本系统，可以实现对同一类型系统的可信基准值进行统一化管理，安全中心可以在一个系统里获取所有联合厂商固件的基准值。