構(gòu)建可信計算池的方法及系統(tǒng)、認證服務(wù)器的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,特別涉及構(gòu)建可信計算池的方法及系統(tǒng)、認證服務(wù)器。
【背景技術(shù)】
[0002]隨著云計算技術(shù)的發(fā)展,虛擬化安全問題越來越受到重視,由于傳統(tǒng)的安全檢測方式都是對系統(tǒng)進行安全防御或發(fā)生攻擊時進行處理,沒有對系統(tǒng)本身的計算環(huán)境進行有效的度量,而現(xiàn)在熱門的可信計算技術(shù)在傳統(tǒng)物理主機中得到了快速發(fā)展,因此,在云環(huán)境中構(gòu)建可信計算池成為急需解決的技術(shù)問題。
【發(fā)明內(nèi)容】
[0003]本發(fā)明提供構(gòu)建可信計算池的方法及系統(tǒng)、認證服務(wù)器及主機,能夠在云環(huán)境中構(gòu)建可信計算池。
[0004]構(gòu)建可信計算池的方法,應(yīng)用于認證服務(wù)器中,包括:
[0005]產(chǎn)生代理端程序,所述代理端程序中包括CA證書;
[0006]將所述代理端程序發(fā)送給待認證主機,觸發(fā)待認證主機進行所述代理端程序的安裝;
[0007]向待認證主機的代理端程序發(fā)送基準(zhǔn)值收集命令;
[0008]接收待認證主機的基準(zhǔn)值;
[0009]接收對所述待認證主機的可信認證請求;
[0010]通過待認證主機的代理端程序,獲取所述待認證主機的基本輸入輸出(BasicInput Output System, B1S)度量值、虛擬機監(jiān)視器(Virtual Machine Monitor,VMM)度量值、操作系統(tǒng)(OS)度量值,以及獲取所述待認證主機根據(jù)CA證書產(chǎn)生的認證信息;
[0011]根據(jù)所述CA證書以及待認證主機根據(jù)CA證書產(chǎn)生的認證信息,驗證所述待認證主機的合法性,合法性通過后,根據(jù)預(yù)先得到的待認證主機的基準(zhǔn)值對待認證主機的B1S度量值、VMM度量值及OS度量值進行可信認證,將可信認證結(jié)果返回給認證管理平臺,觸發(fā)所述認證管理平臺根據(jù)所述認證結(jié)果執(zhí)行將所述待認證主機加入或不加入可信計算池。
[0012]所述可信認證請求包括:主機添加請求、認證請求及主機移動請求中的任意一個。
[0013]進一步包括:
[0014]通過所述代理端程序獲取所述待認證主機根據(jù)所述CA證書產(chǎn)生的EK公鑰;
[0015]根據(jù)獲取的EK公鑰產(chǎn)生EC,并發(fā)送給所述代理端程序;
[0016]通過所述代理端程序獲取所述待認證主機根據(jù)EC生成的AIK密鑰;
[0017]根據(jù)獲取的AIK密鑰產(chǎn)生所述證言身份證書AIC ;
[0018]所述待認證主機根據(jù)CA證書產(chǎn)生的認證信息包括:所述待認證主機產(chǎn)生的AIC ;
[0019]所述根據(jù)所述CA證書驗證所述待認證主機的合法性包括:判斷自身產(chǎn)生的AIC與獲取的所述待認證主機的AIC是否相同,如果相同,則合法性通過。
[0020]構(gòu)建可信計算池的方法,應(yīng)用于主機中,包括:
[0021]接收并安裝代理端程序,該代理端程序中包括CA證書;
[0022]根據(jù)接收到的基準(zhǔn)值收集命令,通過代理端程序?qū)⒆陨淼幕鶞?zhǔn)值發(fā)送給認證服務(wù)器;
[0023]根據(jù)所述CA證書產(chǎn)生認證信息;
[0024]通過代理端程序?qū)⒆陨淼腂1S度量值、VMM度量值、OS度量值,以及認證信息發(fā)送給認證服務(wù)器。
[0025]所述認證信息包括:AIC ;
[0026]所述根據(jù)所述CA證書產(chǎn)生認證信息包括:根據(jù)所述CA證書產(chǎn)生EK公鑰,并發(fā)送給認證服務(wù)器;接收認證服務(wù)器根據(jù)EK公鑰產(chǎn)生并發(fā)來的EC ;根據(jù)接收到的EC生成AIK密鑰,并發(fā)送給認證服務(wù)器,以及根據(jù)AIK密鑰生成所述AIC。
[0027]一種認證服務(wù)器,包括:
[0028]代理端程序產(chǎn)生單元,用于產(chǎn)生代理端程序,所述代理端程序中包括CA證書;
[0029]第一交互處理單元,用于將代理端程序產(chǎn)生單元所產(chǎn)生的代理端程序發(fā)送給待認證主機;向待認證主機的代理端程序發(fā)送基準(zhǔn)值收集命令;接收待認證主機的基準(zhǔn)值;通過待認證主機的代理端程序,獲取所述待認證主機的B1S度量值、VMM度量值、OS度量值,以及獲取所述待認證主機根據(jù)CA證書產(chǎn)生的認證信息;
[0030]第二交互處理單元,用于接收對所述待認證主機的可信認證請求;
[0031]合法性認證單元,用于在所述第二交互處理單元接收到所述可信認證請求后,根據(jù)代理端程序產(chǎn)生單元所產(chǎn)生的所述CA證書以及第一交互處理單元接收到的認證信息,驗證所述待認證主機的合法性,
[0032]可信認證單元,用于在所述合法性認證單元合法性通過后,根據(jù)預(yù)先得到的待認證主機的基準(zhǔn)值對待認證主機的B1S度量值、VMM度量值及OS度量值進行可信認證,將可信認證結(jié)果返回給認證管理平臺,觸發(fā)所述認證管理平臺根據(jù)所述認證結(jié)果執(zhí)行將所述待認證主機加入或不加入可信計算池。
[0033]所述合法性認證單元中包括:
[0034]AIC獲取子單元,所述AIC獲取子單元通過所述第一交互單元獲取所述待認證主機根據(jù)所述CA證書產(chǎn)生的EK公鑰;根據(jù)獲取的EK公鑰產(chǎn)生EC,并通過第一交互處理單元發(fā)送給待認證主機的所述代理端程序;通過第一交互處理單元獲取所述待認證主機根據(jù)EC生成的AIK密鑰;根據(jù)獲取的AIK密鑰產(chǎn)生所述證言身份證書AIC ;
[0035]AIC認證子單元,判斷AIC獲取子單元產(chǎn)生的AIC與第一交互處理單元獲取的所述待認證主機的AIC是否相同,如果相同,則合法性通過。
[0036]—種主機,包括:
[0037]代理端程序執(zhí)行單元,用于接收并安裝代理端程序,該代理端程序中包括CA證書;
[0038]基準(zhǔn)值處理單元,用于根據(jù)接收到的基準(zhǔn)值收集命令,通過代理端程序執(zhí)行單元將基準(zhǔn)值發(fā)送給認證服務(wù)器;
[0039]CA證書處理單元,用于根據(jù)代理端程序執(zhí)行單元接收到的所述CA證書產(chǎn)生認證信息;
[0040]可信認證處理單元,用于通過代理端程序執(zhí)行單元將B1S度量值、VMM度量值、OS度量值,以及CA證書處理單元所產(chǎn)生的認證信息發(fā)送給認證服務(wù)器。
[0041]所述CA證書處理單元中包括:AIC生成子單元,用于根據(jù)所述代理端程序安裝單元獲取的CA證書產(chǎn)生EK公鑰,并發(fā)送給認證服務(wù)器;接收認證服務(wù)器根據(jù)EK公鑰產(chǎn)生并發(fā)來的EC ;根據(jù)接收到的EC生成AIK密鑰,并發(fā)送給認證服務(wù)器,以及根據(jù)AIK密鑰生成作為所述認證信息的AIC。
[0042]一種構(gòu)建可信計算池的系統(tǒng),包括:
[0043]認證管理平臺,包括至少一個主機的可信計算池,包括至少一個上述任意一種待認證主機的待檢測主機區(qū),上述任意一種認證服務(wù)器。
[0044]本發(fā)明實施例提供了構(gòu)建可信計算池的方法及系統(tǒng),以及認證服務(wù)器和主機,能夠?qū)ΥJ證的主機首先進行基于CA證書的合法性認證,在合法性認證通過后才基于B1S度量值、VMM度量值、OS度量值進行可信認證,雙重認證通過后,才會將待認證主機加入可信計算池,從而提高了可信計算池中主機的可信度。
【附圖說明】
[0045]圖1是本發(fā)明一個實施例中在認證服務(wù)器中實現(xiàn)構(gòu)建可信計算池的方法流程圖。
[0046]圖2是本發(fā)明一個實施例中在主機中實現(xiàn)構(gòu)建可信計算池的方法流程圖。
[0047]圖3是本發(fā)明一個實施例中認證服務(wù)器的結(jié)構(gòu)示意圖。
[0048]圖4是本發(fā)明一個實施例中主機的結(jié)構(gòu)示意圖。
[0049]圖5是本發(fā)明一個實施例中實現(xiàn)構(gòu)建可信計算池的系統(tǒng)的結(jié)構(gòu)示意圖。
[0050]圖6是本發(fā)明一個實施例中系統(tǒng)的各設(shè)備配合實現(xiàn)構(gòu)建可信計算池的方法流程圖。
【具體實施方式】
[0051]下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述。顯然,所描述的實施例僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
[0052]本發(fā)明一個實施例提供了一種構(gòu)建可信計算池的方法,應(yīng)用于認證服務(wù)器中,參見圖1,包括:
[0053]步驟101:認證服務(wù)器產(chǎn)生代理端程序,所述代理端程序中包括CA證書;
[0054]步驟102:認證服務(wù)器將所述代理端程序發(fā)送給待認證主機,觸發(fā)待認證主機進行所述代理端程序的安裝;
[0055]步驟103:認證服務(wù)器向待認證主機的代理端程序發(fā)送基準(zhǔn)值收集命令;
[0056]步驟104:認證服務(wù)器接收待認證主機的基準(zhǔn)值;
[0057]步驟105:認證服務(wù)器接收對所述待認證主機的可信認證請