用于可信网络连接的方法及相应装置、计算机设备和介质

技术领域

本发明涉及可信网络连接技术领域，具体涉及一种用于可信网络连接的方法、适于进行可信网络连接的节点装置、适于进行可信网络连接的服务器装置，以及相应的系统、计算机设备和介质。

背景技术

可信网络连接(Trusted Network Connection，TNC)技术已经是已知的。2004年5月，可信计算组织(Trusted Computing Group，TCG)成立的可信网络连接分组(TNC SubGroup，TNCSG)提出了TNC技术规范，旨在将终端的可信状态延续到网络中，使信任链从终端扩展到网络，在传统的基于身份认证网络接入控制技术的基础上，增加基于平台硬件模块的平台身份认证与完整性验证。

现有的基于TNC的方案存在一些问题，例如：具有平台自治性的特点，难以实现跨网、跨中心的异构网络下的可信性评估；对申请接入网络的终端内实体单独进行评估，导致难以实现有机融合；等。

发明内容

本发明的目的在于提出一种方案，以解决或缓解上述问题中的至少部分。

本发明提供至少以下技术方案：

1.一种用于可信网络连接的方法，包括：

作为网络访问发起方的第一节点向第二节点发送连接请求，其中响应于接收到所述连接请求，所述第二节点向可信第三方发送验证所述第一节点的可信性的第一验证请求；

响应于接收到来自可信第三方的第一验证指令，第一节点收集其包括的多个第一实体的实时信任值并将所述实时信任值连同每个所述第一实体的标识发送给第二节点，其中，所述第一验证指令由所述可信第三方响应于所述第一验证请求而发送给所述第一节点，

其中，所述第二节点将接收到的所述实时信任值和每个所述第一实体的标识发送给所述可信第三方，

其中，所述可信第三方基于所述多个第一实体中每个第一实体的标识判断所述多个第一实体的实时信任值和获得的所述多个第一实体的可信预期值是否一致，并在判断结果为肯定的情况下发送指示所述第一节点可信的肯定验证结果给所述第二节点，

其中，在接收到来自所述可信第三方的肯定验证结果的情况下，所述第二节点作出与所述第一节点建立连接的指示，并且响应于此，所述第一节点选择性地与所述第二节点建立连接。

2.根据方案1所述的方法，其中：

响应于所述第二节点作出与所述第一节点建立连接的指示，所述第一节点向所述可信第三方发送验证所述第二节点的可信性的第二验证请求；

所述第一节点接收所述第二节点包括的多个第二实体的实时信任值以及每个所述第二实体的标识并将其发送给所述可信第三方；以及

在接收到来自所述可信第三方的肯定验证结果的情况下，所述第一节点与所述第二节点建立连接，

其中，所述第二节点响应于接收到来自所述可信第三方的第二验证指令而收集所述多个第二实体的实时信任值并将所述实时信任值连同每个所述第二实体的标识发送给所述第一节点，所述第二验证指令由所述可信第三方响应于所述第二验证请求而发送给所述第二节点，

其中，所述可信第三方基于所述多个第二实体中每个第二实体的标识判断所述多个第二实体的实时信任值与获得的所述多个第二实体的可信预期值是否一致，并在判断结果为肯定的情况下发送指示所述第二节点可信的肯定验证结果给所述第一节点。

3.根据方案1或2所述的方法，其中，发送所述连接请求包括发送安全协议，其中，响应于所述第二节点对所述安全协议的确认，所述第一节点发起与所述第二节点的密钥协商以生成密钥。

4.一种用于可信网络连接的方法，包括：

作为网络访问响应方的第一节点响应于来自第二节点的连接请求向可信第三方发送验证所述第二节点的可信性的第二验证请求；

所述第一节点接收所述第二节点包括的多个第二实体的实时信任值以及每个所述第二实体的标识并将其发送给所述可信第三方；以及

所述第一节点响应于接收到来自所述可信第三方的指示所述第二节点可信的肯定验证结果而作出与所述第二节点建立连接的指示，

其中，所述第二节点响应于接收到来自所述可信第三方的第二验证指令而收集所述多个第二实体的实时信任值并将所述实时信任值连同每个所述第二实体的标识发送给所述第一节点，所述第二验证指令由所述可信第三方响应于所述第二验证请求而发送给所述第二节点，

其中，所述可信第三方基于所述多个第二实体中每个第二实体的标识判断所述多个第二实体的实时信任值和获得的所述多个第二实体的可信预期值是否一致，并在判断结果为肯定的情况下发送指示所述第二节点可信的肯定验证结果给所述第一节点，

其中，响应于所述第一节点作出与所述第二节点建立连接的指示，所述第二节点选择性地与所述第一节点建立连接。

5.一种用于可信网络连接的方法，包括：

响应于来自第一节点的验证第二节点的可信性的验证请求，向所述第二节点发送验证指令以指示所述第二节点收集其包括的多个第二实体的实时信任值；

响应于从所述第一节点接收到所述多个第二实体的实时信任值以及每个所述第二实体的标识，基于所述多个第二实体中每个第二实体的标识判断所述多个第二实体的实时信任值与获得的所述多个第二实体的可信预期值是否一致，并在判断结果为肯定的情况下发送指示所述第二节点可信的肯定验证结果给所述第一节点，

其中，所述第二节点响应于所述验证指令而收集所述多个第二实体实时信任值并将所述实时信任值连同每个所述第二实体的标识发送给所述第一节点，

其中，所述第一节点和第二节点中的一个为网络访问发起方，所述第一节点和第二节点中的另一个为网络访问响应方。

6.根据方案1、2、4或5所述的方法，其中，所述多个第一实体的实时信任值和可信预期值由所述第一节点基于第一预定策略收集，和/或所述多个第二实体的实时信任值和可信预期值由所述第二节点基于第二预定策略收集。

7.根据方案1、2、4或5所述的方法，其中，所述多个第一实体包括所述第一节点内的所有实体，和/或所述多个第二实体包括所述第二节点内的所有实体。

8.根据方案1-5中任一项所述的方法，其中，所述标识是Handle标识。

9.一种非暂时性计算机可读存储介质，其上存储有计算机程序，所述计算机程序在由处理器执行时导致方案1至8中任一项所述的方法被执行。

10.一种适于进行可信网络连接的节点装置，构成第一节点，包括标识单元和连接单元，其中：

所述标识单元适于通信地耦合至可信第三方，并被配置为：为所述第一节点包括的至少一个第一实体中的每个第一实体生成标识，并向所述可信第三方发送标识注册申请以便所述可信第三方为每个第一实体注册为其生成的标识，

所述连接单元适于通信地耦合至所述标识单元和所述可信第三方，并被配置为：

收集第一节点包括的至少一个第一实体的可信预期值，从所述标识单元获取所述至少一个第一实体中每个第一实体的标识，并通过可信预期值存储请求将所述可信预期值连同所述至少一个第一实体中每个第一实体的标识发送给所述可信第三方以便所述可信第三方为所述至少一个第一实体存储其可信预期值，

所述连接单元还适于通信地耦合至第二节点，并被配置为：

向所述第二节点发送连接请求，其中响应于接收到所述连接请求，所述第二节点向所述可信第三方发送验证所述第一节点的可信性的第一验证请求；

响应于接收到来自所述可信第三方的第一验证指令，收集所述第一节点包括的多个第一实体的实时信任值，从所述标识单元获取所述多个第一实体中每个第一实体的标识，并将所述实时信任值连同所述多个第一实体中每个第一实体的标识发送给第二节点，其中，所述第一验证指令由所述可信第三方响应于所述第一验证请求而发送给所述第一节点，

其中，所述第二节点将接收到的所述实时信任值和所述多个第一实体中每个第一实体的标识发送给所述可信第三方，

其中，所述可信第三方基于所述多个第一实体中每个第一实体的标识判断所述多个第一实体的实时信任值和获得的所述多个第一实体的可信预期值是否一致，并在判断结果为肯定的情况下发送指示所述第一节点可信的肯定验证结果给所述第二节点，

其中，在接收到来自所述可信第三方的肯定验证结果的情况下，所述第二节点作出与所述第一节点建立连接的指示，并且响应于此，所述连接单元选择性地与所述第二节点建立连接。

11.根据方案10所述的节点装置，其中，

所述连接单元还被配置为：

响应于所述第二节点作出与所述第一节点建立连接的指示，向所述可信第三方发送验证所述第二节点的可信性的第二验证请求；

接收所述第二节点包括的多个第二实体的实时信任值和每个所述第二实体的标识并将其发送给所述可信第三方；以及

在接收到来自所述可信第三方的指示所述第二节点可信的肯定验证结果的情况下，与所述第二节点建立连接，

其中，所述第二节点响应于接收到来自所述可信第三方的第二验证指令而收集所述多个第二实体的实时信任值并将所述实时信任值连同每个所述第二实体的标识发送给所述第一节点，所述第二验证指令由所述可信第三方响应于所述第二验证请求而发送给所述第二节点，

其中，响应于从所述第一节点接收到所述多个第二实体的实时信任值以及每个所述第二实体的标识，所述可信第三方基于所述多个第二实体中每个第二实体的标识判断所述多个第二实体的实时信任值与获得的所述多个第二实体的可信预期值是否一致，并在判断结果为肯定的情况下发送指示所述第二节点可信的肯定验证结果给所述第一节点。

12.一种适于进行可信网络连接的节点装置，构成第一节点，包括标识单元和连接单元，其中：

所述标识单元适于通信地耦合至可信第三方，并被配置为：为所述第一节点包括的至少一个第一实体中的每个第一实体生成标识，并向所述可信第三方发送标识注册申请以便所述可信第三方为每个第一实体注册为其生成的标识，

所述连接单元适于通信地耦合至所述标识单元和所述可信第三方，并被配置为：

收集第一节点包括的至少一个第一实体的可信预期值，从所述标识单元获取所述至少一个第一实体中每个第一实体的标识，并通过可信预期值存储请求将所述可信预期值连同所述至少一个第一实体中每个第一实体的标识发送给所述可信第三方以便所述可信第三方为所述至少一个第一实体存储其可信预期值，

所述连接单元还适于通信地耦合至第二节点，并被配置为：

响应于来自所述第二节点的连接请求向所述可信第三方发送验证所述第二节点的可信性的第二验证请求；

接收所述第二节点包括的多个第二实体的实时信任值以及每个所述第二实体的标识并将其发送给所述可信第三方；以及

响应于接收到来自所述可信第三方的指示所述第二节点可信的肯定验证结果而作出与所述第二节点建立连接的指示，

其中，所述第二节点响应于接收到来自所述可信第三方的第二验证指令而收集所述多个第二实体的实时信任值并将所述实时信任值连同每个所述第二实体的标识发送给所述第一节点，所述第二验证指令由所述可信第三方响应于所述第二验证请求而发送给所述第二节点，

其中，响应于从所述第一节点接收到所述多个第二实体的实时信任值以及每个所述第二实体的标识，所述可信第三方基于所述多个第二实体中每个第二实体的标识判断所述多个第二实体的实时信任值和获得的所述多个第二实体的可信预期值是否一致，并在判断结果为肯定的情况下发送指示所述第二节点可信的肯定验证结果给所述第一节点，

其中，响应于所述连接单元作出与所述第二节点建立连接的指示，所述第二节点选择性地与所述第一节点建立连接。

13.一种用于可信网络连接的服务器装置，构成可信第三方，包括评估单元，所述评估单元被配置为：

响应于来自第一节点的验证第二节点的可信性的验证请求，向所述第二节点发送验证指令以指示所述第二节点收集其包括的多个第二实体的实时信任值；

响应于从所述第一节点接收到所述多个第二实体的实时信任值以及每个所述第二实体的标识，基于所述多个第二实体中每个第二实体的标识判断所述多个第二实体的实时信任值与获得的所述多个第二实体的可信预期值是否一致，并在判断结果为肯定的情况下发送指示所述第二节点可信的肯定验证结果给所述第一节点，

其中，所述第二节点响应于所述验证指令而收集所述多个第二实体的实时信任值并将所述实时信任值连同每个所述第二实体的标识发送给所述第一节点，

其中，所述第一节点和第二节点中的一个为网络访问发起方，所述第一节点和第二节点中的另一个为网络访问响应方。

14.根据方案13所述的服务器装置，其中，所述服务器还包括标识处理单元，所述标识处理单元通信地耦合至所述评估单元以及所述第一节点和第二节点，其中

所述标识处理单元被配置为：响应于来自所述第一节点的第一标识注册申请，对所述第一节点进行身份认证，所述第一标识注册申请包括所述第一节点包括的至少一个第一实体中每个第一实体的标识；以及，在所述第一节点通过身份认证的情况下，为所述至少一个第一实体中的每个第一实体注册其标识，其中，所述评估单元还被配置为：响应于接收到来自所述第一节点的第一可信预期值存储请求，对所述第一节点进行身份验证，所述第一可信预期值存储请求包括所述第一节点包括的至少一个第一实体的可信预期值和所述至少一个第一实体中每个第一实体的标识；以及，在所述第一节点通过身份验证的情况下，为所述至少一个第一实体存储其可信预期值，

和/或

所述标识处理单元被配置为：响应于来自所述第二节点的第二标识注册申请，对所述第二节点进行身份认证，所述第二标识注册申请包括所述第二节点包括的至少一个第二实体中每个第二实体的标识；以及，在所述第二节点通过身份认证的情况下，为所述至少一个第二实体中的每个第二实体注册其标识，其中，所述评估单元还被配置为：响应于接收到来自所述第二节点的第二可信预期值存储请求，对所述第二节点进行身份验证，所述第二可信预期值存储请求包括所述第二节点包括的至少一个第二实体的可信预期值和所述至少一个第二实体中每个第二实体的标识；以及，在所述第二节点通过身份验证的情况下，为所述至少一个第二实体存储其可信预期值。

15.根据方案10-14中任一项所述的装置，其中，所述多个第一实体包括所述第一节点内的所有实体，和/或所述多个第二实体包括所述第二节点内的所有实体。

16.根据方案10-14中任一项所述的装置，其中，所述标识是Handle标识。

17.一种可信网络连接系统，包括：

根据方案13或14所述的服务器装置；和

至少一个根据方案10-12中任一项所述的节点装置。

18.一种计算机设备，包括存储器和处理器，所述存储器上存储有计算机程序，所述计算机程序在由所述处理器执行时导致方案1至8中任一项所述的方法被执行。

利用本发明的方案，可实现基于全局标识的可信计算节点之间的点对点可信网络连接，促进计算节点之间跨网、跨中心的安全连接。相较于现有技术的方案，可更好地实现计算节点之间以及计算节点与服务节点之间的互联互通，另外通过在对节点进行可信性验证时考虑节点内的多个实体以进行整体评估，有利于实现更可靠、全面的可行性评估。

附图说明

以示例的方式参考以下附图描述本发明的非限制性且非穷举性实施例，其中：

图1是示出可应用本发明的示例可信网络连接系统的框图的示意图；

图2是示出根据本发明进行可信网络连接所涉及各方的示例交互的示意图。

具体实施方式

为了使本发明的上述以及其他特征和优点更加清楚，下面结合附图进一步描述本发明。应当理解，本文给出的具体实施例是出于向本领域技术人员解释的目的，仅是示例性的，而非限制性的。

在本文中，网络节点，包括发起节点和响应节点，如下文将描述的发起节点110和响应节点120，均可以为可信计算节点，尤其是可信计算终端、服务器等主机系统。可信计算节点可以被广义地理解为囊括各种具有可信计算平台组件的终端、装置或系统，如具有可信计算平台组件的windows、linux、VxWorks或其他主机系统。可信计算平台组件包括可信平台模块、可信策略库、可信软件基、标识代理、可信连接代理等中一个或多个的有机集合。可信连接代理负责收集可信计算节点中所有基于策略要求的实体信任值的收集，信任值可以被定义为包括可信环境预期值和可信环境实时信任值，可以是基于SHA1、SHA256或SM3算法的杂凑值。下文将描述的标识单元，如第一标识单元111和第二标识单元121，可以为标识代理的示例；下文将描述的连接单元，如第一连接单元112和第二连接单元122，可以为可信连接代理的示例。

在本文中，服务节点，如下文将描述的服务节点130，可以为第三方服务平台，可以包括标识处理单元和评估单元。该标识处理单元，如下文将描述的标识处理单元131，可以为全局标识注册与解析系统；该评估单元，如下文将描述的评估单元132，可以为可信环境评估系统。全局标识注册与解析系统采用现有的数字对象标识(Digital ObjectIdentifier，DOI)技术与体系，如handle、Handle/DOI、RFID、OID、Ecode等标识体系，是一个全局式的(如，面向全球服务的)分布式系统，可以为可信计算节点提供用户及平台身份和节点内实体数字标识的注册、解析和存储服务。可信环境评估系统可以为可信计算节点提供节点可信性评估服务以及节点内实体可信环境信任值存储服务。

总体上，本发明提出一种基于数字身份标识的可信网络连接系统，该系统包括可信第三方和在可信计算节点上运行的可信连接代理和标识代理。可信第三方为可信计算节点提供全球唯一的DOI注册与解析、管理服务和基于完整性度量的平台可信环境评估服务，可信计算节点通过标识代理来实现节点内实体的全球唯一标识标记，任意两个可信计算节点间可通过可信连接代理来建立点对点安全网络连接。

参考图1，可信网络连接系统100包括作为网络访问发起方的发起节点110、作为网络访问响应方的响应节点120以及提供第三方服务的服务节点130。发起节点110包括第一标识单元111和与其通信地耦合的第一连接单元112；响应节点120包括第二标识单元121和与其通信地耦合的第二连接单元122；服务节点130包括标识处理单元131和与其通信地耦合的评估单元132。第一标识单元111和第二标识单元121各通信地耦合至服务节点130、尤其是服务节点130的标识处理单元131。第一连接单元112和第二连接单元122各通信地耦合至服务节点130、尤其是服务节点130的评估单元132。

第一标识单元111可被配置成适于为发起节点110内部的每个实体生成标识，并向标识处理单元131发送标识注册申请以为每个实体注册为其生成的标识。第二标识单元121可被配置成适于为响应节点120内部的每个实体生成标识，并向标识处理单元131发送标识注册申请以为每个实体注册为其生成的标识。这里，“实体”应被宽泛地理解为囊括网络节点中可能存在的能被独立地操作和/或访问的各种对象，例如可以为硬件如物理设备、软件如应用程序、硬件与软件的结合如固件。

单个标识注册申请可以针对一个网络节点内部的一个或多个实体，包括这一个或多个实体中每个实体的标识结果。对于每个实体，其标识结果可以包括为该实体生成的标识，并可以可选地包括一项或多项附加的与该实体相关的信息，如该实体的类型、名称、描述等；在该标识结果中，该实体的标识与其附加信息相关联，例如，被绑定。例如，第一标识单元111和第二标识单元121可以各自采集其所在节点内每个实体的相关信息，然后将生成的其标识与这些相关信息绑定得到其标识结果。标识和标识结果可以遵循预定的规范，该规范可以由标识处理单元131定义和确定。

标识处理单元131可以为全局标识注册与解析系统，为网络节点中的各种实体注册和管理全局唯一的数字化标记，可以基于各种合适的标识体系，如Handle、OID、Ecode等已知的数字对象标识体系。

以Handle系统为例，Handle系统采用全球唯一的两段式编码作为数字对象的唯一标识，能够为网络中的数字对象提供永久标识、动态链接和安全管理等基础服务。每个Handle标识由Handle前缀和其后的Handle后缀组成，Handle前缀和Handle后缀之间以分隔符“/”隔开。Handle前缀由相应的主根服务器管理机构创建和管理，Handle后缀为本地唯一编码，可以由相应实体所属的网络节点自定义。同一网络节点内的不同实体共享相同的Handle前缀，但具有相互不同的Handle后缀。

作为示例，表1示出了单个网络节点内部的多个示例实体的Handle标识及一些附加的相关信息，如名称和描述信息。以实体名称为“操作系统”的这一实体为例，其Handle标识为“86.777.2000/0001.1234567abc”，其中的Handle前缀“86.777.2000”为服务范围覆盖该单个网络节点的管理机构创建的全球唯一编码，Handle后缀“0001.1234567abc”为该单个网络节点为该实体即操作系统自定义的本地唯一编码；其名称和描述信息分别为“操作系统”和“基于主机的操作系统”。

表1

Handle作为数字对象体系(Digital Object Architecture，DOA)的一部分，提供不同系统、进程和信息资源之间互联互通的基础信息服务。Handle系统具有独立解析体系，与域名系统(Domain Name System，DNS)兼容，不受制于DNS而自主运行。在Handle系统的情况下，解析过程可以是从Handle标识到目标信息所在的网络节点(如服务器或设备)的IP地址、再到目标信息本身。

标识处理单元131可以被配置成适于：响应于接收到来自第一标识单元111和第二标识单元121中任一的标识注册申请，判断该标识注册申请中包含的标识和标识结果是否符合格式要求；若判断结果为肯定，经由相应的标识单元(第一标识单元111或第二标识单元121)对该标识单元所在的节点(发起节点110或响应节点120)进行身份认证；若该节点通过身份认证，为该标识注册申请所针对的一个或多个实体中的每个注册并存储其标识。这里，身份认证可以各种合适的方式进行。例如，身份认证可以通过采用PKI数字证书进行签名和签名验证实现，或者基于共享密钥。具体地，以发起节点110为例，发起节点110可以与服务节点130共同拥有一个或者一组密码，第一标识单元111在向标识处理单元131发送标识注册申请时可一并提交该共同拥有的密码，标识处理单元131在接收到提交的密码后判断该密码与在服务节点130中保存的密码是否一致，并且如果判断结果是肯定的，则确认发起节点110通过身份认证。

根据需要，第一标识单元111和第二标识单元121中的每个可以对其所在节点内某个或某些实体的标识进行修改，例如通过为已经为其生成和注册了标识的实体重新生成和注册标识。

例如，可以在节点内的某个或某些实体初始化或更新时，为节点内的实体注册或修改标识。

另外，第一标识单元111和第二标识单元121中的每个可以经由标识处理单元131向服务节点130申请解析服务。以第一标识单元111为例，第一标识单元111可以提取获得的标识，以解析请求的形式将提取的标识发送给标识处理单元131。响应于接收到解析请求，标识处理单元131在服务节点130的本地数据库中进行搜索以判断本地数据库中是否存在解析请求中所包含的标识，并且若判断结果为肯定，向第一标识单元111返回相应的解析结果；若判断结果为否定，标识处理单元131可以跨域进行漫游搜索以确定可访问的另外的服务节点的数据库中是否存在该标识，并且若判断结果为肯定，向第一标识单元111返回相应的解析结果。若标识处理单元131最终未找到该标识，可以向第一标识单元111指示这一点；此时，不必进行身份认证。

第一连接单元112和第二连接单元122可以各自被配置成适于：收集其所在节点(发起节点110/响应节点120)包括的至少一个实体的可信预期值，从该节点的标识单元(第一标识单元111/第二标识单元121)获取所述至少一个实体中每个实体的标识，并以可信预期值存储请求的形式将所述可信预期值连同所述至少一个实体中每个实体的标识发送给评估单元132。这里，所述至少一个实体可以包括多个实体，尤其是相应节点内的全部实体。

单个可信预期值存储请求可以针对一个网络节点内部的一个或多个实体。

所述可信预期值可以是根据预定策略收集的。

对于所述可信预期值，可以存在各种可能的情形。对于所述可信预期值中的每个值，该值可表示某个或某些实体的可信环境预期值，并且在所述可信预期值存储请求中，该值与所述某个或某些实体的标识相关联，例如被绑定。例如，所述可信预期值可以是针对所述至少一个实体中的每个实体单独地收集的可信环境预期值构成的一组值，或者是通过将所述至少一个实体作为整体而总体地获得的单个或多个可信环境预期值，例如在所述至少一个实体包括多个实体的情况下。对于任一情形，可以考虑与每个实体相关联的依赖关系；这里，“依赖关系”应被广义地理解为囊括对该实体进行完整性度量可能考虑的任何关系。另外，对于后一情形，可以综合地考虑多个实体彼此之间的关联关系；这里，“关联关系”应被广义地理解为囊括对这多个实体中的某个或某些实体进行完整性度量可能考虑的任何关系。这样的依赖关系和关联关系可以各种合适的方式确定，例如可以通过借助于已有的分析工具对初始状态下的实体进行检测来确定。

获得所述可信预期值所考虑的依赖关系和/或关联关系的组合可以限定收集所述可信预期值的预定策略。一旦确定了所述预定策略，可以各种合适的方式，包括现有技术中已知的手段(如SHA1、SHA256或SM2算法)，计算相关实体的可信环境信任值作为其可信环境预期值。可信环境信任值是对可信计算节点内的一个或多个实体按照策略进行完整性度量后生成的一个或一组可信预期值。在节点内的实体没有被恶意篡改、攻击或以其他非法手段干扰的情况下，在不同的时间基于相同的策略、相同的算法生成的其信任值理论上应该相同，因此，初始生成的实体的可信环境预期值可作为对其进行完整性度量、判断实体是否可信的依据。

例如，所述关联关系可以是所涉及的多个实体之间的执行顺序。参照表1，假设针对其收集可信预期值的多个实体包括“反病毒软件”、“反间谍软件”、“发恶意软件”、“防火墙”和“入侵检测/防御系统”，这些实体的执行顺序分别为第2、第3、第4、第5、第1。可根据执行顺序利用SHA1、SHA256或SM2算法计算出这些实体的可信环境信任值。

服务节点130可以被配置成适于：响应于接收到来自第一连接单元112和第二连接单元122中任一连接单元的可信预期值存储请求，对该连接单元所在的节点(发起节点110或响应节点120)进行身份验证；以及，在该节点通过身份验证的情况下，为该可信预期值存储请求所针对的至少一个实体存储其可信预期值。对于存储的所述可信预期值中的每个值，该值可表示该节点内某个或某些实体的可信环境预期值，并且在服务节点130的本地数据库或服务节点130可访问的数据库中，该值与所述某个或某些实体的标识相关联，例如被绑定。

下面，结合图2对根据本发明进行可信网络连接所涉及各方的交互以及其各自的单元的运作进行示例性描述。

图2中的发起节点和响应节点可以分别对应于图1中的发起节点110和响应节点120，各自具有标识单元和连接单元(未示出)，该标识单元可以对应于图1中的第一标识单元111或第二标识单元121、例如与后者相同，该连接单元可以对应于图1中的第一连接单元112或第二连接单元122、例如与后者相同。图2中的服务节点可以对应于图1中的服务节点130，具有标识处理单元和评估单元(未示出)，该标识处理单元可以对应于图1中的标识处理单元131、例如与后者相同，该评估单元可以对应于图1中的评估单元132、例如与后者相同。

在步骤S202中，发起节点向响应节点发送安全协议，以此发起连接请求。该安全协议可包括例如公钥基础设施(PKI)体系下的安全套接字层协议(SSL)、安全传输层协议(TSL)或IP安全协议(IPsec协议)等。

在步骤S203中，响应于接收到安全协议，响应节点在本地查找匹配的安全协议，然后将查找到的匹配的安全协议返回给发起节点作为对安全协议的确认。

在步骤S204中，响应于接收到对安全协议的确认，发起节点发起与响应节点的密钥协商以生成密钥。生成的密钥可用于在后续步骤中在发起节点与响应节点之间进行数据和信息的加密传输。可以各种合适的方式，包括现有技术中已知的方式，进行密钥协商和生成，这里不再赘述。

在步骤S205中，发起节点将其身份信息提供给响应节点，响应节点将其身份信息提供给发起节点。对于发起节点和响应节点中的每一个，其身份信息可以是用于识别其的唯一标识，该标识可以被预先注册和存储在服务节点中；就此而言，可参考上文有关标识注册和存储的内容。

尽管图2中示出了发起节点和响应节点均向对方提供身份信息，但在步骤S205中仅发起节点提供其身份信息给响应节点是可能的。

另外，作为替代，发起节点和/或响应节点直接向服务节点提供其身份信息是可能的。

对于发起节点和响应节点中的每个，其身份信息可被提供给服务节点，以便服务节点通过标识解析对其进行识别。例如，响应节点在向服务节点发送验证请求时——如下文将描述的，可将其接收到的发起节点的身份信息提供给服务节点；类似地，接收节点在向服务节点发送验证请求时——如下文将描述的，可将其接收到的响应节点的身份信息提供给服务节点。

发起节点和响应节点之间的直接通信，如步骤S202、S203、S204和S205的通信，通过发起节点的连接单元和响应节点的连接单元进行。

在步骤S206中，响应节点向服务节点发送对发起节点进行可信性验证的验证请求。具体地，可由响应节点的连接单元向服务节点的评估单元发送该验证请求。

在步骤S207中，响应于接收到验证请求，服务节点向发起节点发送验证指令，以指示发起节点收集并提交其内部各实体的实时信任值。具体地，验证指令可由服务节点的评估单元发送至发起节点的连接单元。

在步骤S208中，响应于接收到验证指令，发起节点的连接单元收集发起节点内部各实体的实时信任值，并向标识单元申请获取所述各实体的标识，然后将所述实时信任值连同所述各实体中每个实体的标识发送给响应节点的连接单元。

在步骤S209中，响应节点的连接单元将接收到的实时信任值以及所述各实体中每个实体的标识转发给服务节点的评估单元。

在步骤S210中，响应于接收到所述实时信任值以及所述各实体中每个实体的标识，服务节点的评估单元基于所述每个实体的标识将接收到的所述实时信任值与先前获得的对应实体的可信预期值比较以判断二者是否一致，并且若判断结果为肯定，发送指示发起节点可信的肯定验证结果给响应节点。

对于所述实时信任值，可以存在各种可能的情形。对于所述实时信任值中的每个值，该值可表示某个或某些实体的可信环境实时信任值，并且在步骤S208中，该值与所述某个或某些实体的标识相关联，例如被绑定；然后，在步骤S209和S210中，该值与所述某个或某些实体的标识在相关联(例如被绑定)的情况下被发送和转发。例如，所述实时信任值可以是针对所述至少一个实体中的每个实体单独地收集的可信环境实时信任值构成的一组值，或者是通过将所述至少一个实体作为整体而总体地获得的单个或多个可信环境实时信任值，例如在所述至少一个实体包括多个实体的情况下。对于任一情形，可以考虑与每个实体相关联的依赖关系。另外，对于后一情形，可以综合地考虑多个实体彼此之间的关联关系。

步骤S208中对所述实时信任值的收集可基于一策略。一旦确定了策略，可以各种合适的方式，包括现有技术中已知的手段，实时地收集相关实体的可信环境实时信任值。该策略与先前获取步骤S210中提及的可信预期值所基于的策略(如，前面所述的预定策略)相同。所述实时信任值包括的值的数量与所述可信预期值包括的值的数量相同。

在步骤S210中，对于所述实时信任值中的每个值，该值可表示某个或某些实体的实时信任值，并且该值与所述可信预期值中表示所述某个或某些实体的可信预期值的值比较以判断其是否与后者一致；若针对实时信任值中的每个得到的判断结果均为肯定，评估单元发送指示发起节点可信的肯定验证结果给响应节点。

例如，根据一个实施例，在步骤S208中，发起节点的连接单元根据一预定策略收集发起节点包括的多个实体中每个实体的实时信任值并将每个实体的实时信任值与其标识绑定后发送给响应节点的连接单元；在步骤S209中，响应节点的连接单元将接收到的所述多个实体中每个实体的标识和实时信任值发送给服务节点的评估单元；在步骤S210中，对于所述多个实体中的每个实体，服务节点的评估单元基于该实体的标识判断接收到的其实时信任值与先前获得的(如存储在本地数据库中的)其可信预期值是否一致，在针对所述多个实体中的每个实体的判断结果为肯定的情况下，服务节点的评估单元发送指示发起节点可信的肯定验证结果给向响应节点的连接单元。该预定策略是发起节点的连接单元收集这多个实体中每个实体的可信预期值时配置和预先确定的。

在步骤S211中，响应于接收到指示发起节点可信的肯定验证结果，响应节点通过其连接单元向发起节点的连接单元发送与发起节点建立连接的指示。在一个实施例中，该指示可以是同意或允许与发起节点建立连接的指示，或者可以直接是与发起节点建立连接的连接请求。

在步骤S212中，响应于来自响应节点的建立连接的指示，发起节点向服务节点发送对响应节点进行可信性验证的验证请求。具体地，可由发起节点的连接单元向服务节点的评估单元发送该验证请求。

在步骤S213中，响应于接收到验证请求，服务节点向响应节点发送验证指令，以指示响应节点收集并提交其内部各实体的实时信任值。具体地，验证指令可由服务节点的评估单元发送给响应节点的连接单元。

在步骤S214中，响应于接收到验证指令，响应节点的连接单元收集响应节点内部各实体的实时信任值，并向标识单元申请获取所述各实体的标识，然后将所述实时信任值连同所述各实体中每个实体的标识发送给发起节点的连接单元。

在步骤S215中，发起节点的连接单元将接收到的实时信任值以及所述各实体中每个实体的标识转发给服务节点的评估单元。

在步骤S216中，响应于接收到所述实时信任值以及所述各实体中每个实体的标识，服务节点的评估单元基于所述每个实体的标识将接收到的所述实时信任值与先前获得的对应实体的可信预期值比较以判断二者是否一致，并且若判断结果为肯定，发送指示响应节点可信的肯定验证结果给发起节点。

响应节点的连接单元可以与发起节点的连接单元相同或类似的方式收集、获取、处理、发送相关实体的实时信任值和标识，服务节点的评估单元可以与验证发起节点的可信性相同或类似的方式验证响应节点的可信性，如上文结合步骤S208-S210所述。上文结合步骤S208-S210所述的操作和细节可略作调整后适用于步骤S214-S216。

在步骤S217中，响应于接收到指示响应节点可信的肯定验证结果，发起节点通过其连接单元与响应节点的连接单元建立连接。

图2中示出了发起节点与响应节点通过服务节点实现双向验证。在双向验证的情况下，一旦针对发起节点和响应节点中任一的可信性验证的验证结果为否定，网络连接中断。

需要说明的是，作为网络访问发起方的发起节点请求对作为网络访问响应方的响应节点进行可信性验证是可选的。仅进行单向验证是可能的；在此情况下，仅作为网络访问响应方的响应节点请求对作为网络访问发起方的发起节点进行可信性验证。在单向验证的情况下，一旦针对发起节点的可信性验证的验证结果为否定，网络连接中断。在单向验证的情况下，步骤S212-S217可由以下步骤替代：响应于来自响应节点的建立连接的指示，发起节点通过其连接单元与响应节点的连接单元建立连接。

可见，响应于响应节点作出建立连接的指示，发起节点可以选择直接与响应节点建立连接，或者发起对响应节点的可信性验证并根据验证结果确定是否与响应节点建立连接。

应理解，本发明的装置的各个单元可全部或部分地通过软件、硬件、固件或其组合来实现。所述各单元各自可以硬件或固件形式内嵌于计算机设备的处理器中或独立于所述处理器，也可以软件形式存储于计算机设备的存储器中以供处理器调用来执行所述各单元的操作。所述各单元各自可以实现为独立的部件或模块，或者两个或更多个单元可实现为单个部件或模块。

本领域普通技术人员应理解，图1中示出的示意图仅仅是与本发明的方案相关的部分结构的示例性说明框图，并不构成对体现本发明的方案的计算机设备、处理器或计算机程序的限定。具体的计算机设备、处理器或计算机程序可以包括比图中所示更多或更少的部件或模块，或者组合或拆分某些部件或模块，或者可具有不同的部件或模块布置。

在一个实施例中，提供了一种计算机设备，其包括存储器和处理器，所述存储器上存储有可由处理器执行的计算机指令，所述计算机指令在由所述处理器执行时指示所述处理器执行本发明的方法的各步骤。该计算机设备可以广义地为服务器或任何其他具有必要的计算和/或处理能力的电子设备。在一个实施例中，该计算机设备可包括通过系统总线连接的处理器、存储器、网络接口、通信接口等。该计算机设备的处理器可用于提供必要的计算、处理和/或控制能力。该计算机设备的存储器可包括非易失性存储介质和内存储器。该非易失性存储介质中或上可存储有操作系统、计算机程序等。该内存储器可为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口和通信接口可用于与外部的设备通过网络连接和通信。该计算机程序被处理器执行时执行本发明的方法的步骤。

本发明可以实现为一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序在由处理器执行时导致本发明的方法的步骤被执行。在一个实施例中，所述计算机程序被分布在网络耦合的多个计算机设备或处理器上，以使得所述计算机程序由一个或多个计算机设备或处理器以分布式方式存储、访问和执行。单个方法步骤/操作，或者两个或更多个方法步骤/操作，可以由单个计算机设备或处理器或由两个或更多个计算机设备或处理器执行。一个或多个方法步骤/操作可以由一个或多个计算机设备或处理器执行，并且一个或多个其他方法步骤/操作可以由一个或多个其他计算机设备或处理器执行。一个或多个计算机设备或处理器可以执行单个方法步骤/操作，或执行两个或更多个方法步骤/操作。

本领域普通技术人员可以理解，本发明的方法的全部或部分步骤可以通过计算机程序来指示相关的硬件如计算机设备或处理器完成，所述的计算机程序可存储于非暂时性计算机可读存储介质中，该计算机程序被执行时导致本发明的方法的步骤被执行。根据情况，本文中对存储器、存储、数据库或其它介质的任何引用可包括非易失性和/或易失性存储器。非易失性存储器的示例包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)、闪存、磁带、软盘、磁光数据存储装置、光学数据存储装置、硬盘、固态盘等。易失性存储器的示例包括随机存取存储器(RAM)、外部高速缓冲存储器等。

以上描述的各技术特征可以任意地组合。尽管未对这些技术特征的所有可能组合进行描述，但这些技术特征的任何组合都应当被认为由本说明书涵盖，只要这样的组合不存在矛盾。

尽管结合实施例对本发明进行了描述，但本领域技术人员应理解，上文的描述和附图仅是示例性而非限制性的，本发明不限于所公开的实施例。在不偏离本发明的精神的情况下，各种改型和变体是可能的。