一種驗(yàn)證計(jì)算池可信的方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域�,特別涉及一種驗(yàn)證計(jì)算池可信的方法及系統(tǒng)����。
【背景技術(shù)】
[0002]隨著云計(jì)算、大數(shù)據(jù)等技術(shù)的發(fā)展��,如何為用戶提供安全可信的計(jì)算環(huán)境變得越來越重要���。在云計(jì)算中����,將大量的計(jì)算資源放到計(jì)算池中�,當(dāng)用戶需要計(jì)算資源進(jìn)行計(jì)算時(shí)����,云計(jì)算的管理端會(huì)根據(jù)用戶的需要為用戶分配計(jì)算資源,如何保證云計(jì)算的管理端為用戶分配的計(jì)算資源安全可信��,變得越來越重要��。
[0003]現(xiàn)有技術(shù)中����,為了保障計(jì)算池中的宿主機(jī)的安全性�,采用類似保障一臺(tái)獨(dú)立的物理主機(jī)的安全性的策略�,為宿主機(jī)安全防火墻等。現(xiàn)有技術(shù)中只能對(duì)通過驗(yàn)證宿主機(jī)的完整性來判斷該宿主機(jī)是否可信��,而在云計(jì)算中���,計(jì)算池中的宿主機(jī)并不是一臺(tái)完全獨(dú)立的物理主機(jī)���,計(jì)算池中的宿主機(jī)需要按照云計(jì)算的管理端發(fā)來的命令來完成計(jì)算任務(wù),云計(jì)算的管理端在分配宿主機(jī)給用戶時(shí)��,需要考慮宿主機(jī)的地理位置���,當(dāng)計(jì)算池中的虛擬機(jī)需要迀移或發(fā)生逃逸問題時(shí)�����,需要確保宿主機(jī)的地理位置的安全�����,現(xiàn)有技術(shù)不能保證計(jì)算池中宿主機(jī)的地理位置的安全�,總之���,現(xiàn)有技術(shù)中計(jì)算池的安全性較低�����。
【發(fā)明內(nèi)容】
[0004]有鑒于此����,本發(fā)明提供了一種驗(yàn)證計(jì)算池可信的方法及系統(tǒng),能夠提高計(jì)算池的安全性��。
[0005]一方面�����,本發(fā)明提供了一種驗(yàn)證計(jì)算池可信的方法����,包括:
[0006]預(yù)先生成攜帶有宿主機(jī)的地理位置信息的地理位置標(biāo)簽Geo-Tag證書��,確定所述Geo-Tag證書的初始哈希值��,將所述初始哈希值保存在所述宿主機(jī)中�����,并將所述Geo-Tag證書保存在可信第三方中作為可信Geo-Tag證書,還包括:
[0007]S1:所述可信第三方向所述宿主機(jī)請(qǐng)求所述宿主機(jī)中保存的初始哈希值���;
[0008]S2:所述可信第三方接收所述宿主機(jī)返回的待驗(yàn)證的初始哈希值�;
[0009]S3:所述可信第三方計(jì)算所述可信Geo-Tag證書的可信哈希值�����;
[0010]S4:所述可信第三方判斷所述待驗(yàn)證的初始哈希值與所述可信哈希值是否相等�,如果是,則判定所述宿主機(jī)可信�����,否則��,判定所述宿主機(jī)不可信�。
[0011]進(jìn)一步地,所述預(yù)先生成攜帶有宿主機(jī)的地理位置信息的Ge0-Tag證書���,包括:
[0012]Al:向數(shù)字證書認(rèn)證中心CA發(fā)送所述宿主機(jī)的地理位置信息����,以使所述CA生成攜帶有所述地理位置信息的CA證書;
[0013]A2:獲取所述CA證書和所述宿主機(jī)的通用唯一識(shí)別碼UUID��,根據(jù)所述UUID和所述CA證書創(chuàng)建Geo-Tag標(biāo)簽���;
[0014]A3:對(duì)所述Geo-Tag標(biāo)簽進(jìn)行數(shù)字簽名�����,生成所述Geo-Tag證書�。
[0015]進(jìn)一步地�,所述確定所述Geo-Tag證書的初始哈希值,將所述初始哈希值保存在所述宿主機(jī)中�����,包括:
[0016]將所述Geo-Tag證書發(fā)送給所述宿主機(jī)中的安全芯片TPM芯片���,通過所述TPM芯片對(duì)所述Geo-Tag證書進(jìn)行哈希運(yùn)算�����,獲得所述初始哈希值,并將所述初始哈希值保存到在所述TPM芯片中�。
[0017]進(jìn)一步地,在所述SI之前還包括:
[0018]預(yù)先設(shè)置所述CA的私鑰、所述CA的公鑰��、所述宿主機(jī)的私鑰��、所述宿主機(jī)的公鑰�;
[0019]所述Al,包括:
[0020]向所述CA發(fā)送攜帶有第一隨機(jī)數(shù)的開始會(huì)話請(qǐng)求�;
[0021]接收所述CA返回的對(duì)所述開始會(huì)話請(qǐng)求的應(yīng)答和所述第一隨機(jī)數(shù);
[0022]將所述宿主機(jī)的地理位置信息�、所述第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和所述宿主機(jī)的公鑰����,利用所述CA的公鑰進(jìn)行加密,得到第一加密信息�,將所述第一加密信息發(fā)送給所述CA,以使所述CA接收所述第一加密信息�����,所述CA利用所述CA的私鑰進(jìn)行解密��,所述CA生成攜帶有所述地理位置信息的CA證書��,所述CA通過所述宿主機(jī)的公鑰對(duì)所述CA證書和所述第二隨機(jī)數(shù)進(jìn)行加密��,得到第二加密信息,所述CA返回所述第二加密信息����;
[0023]所述A2中,所述獲取所述CA證書�,包括:
[0024]接收所述CA返回的所述第二加密信息,利用所述宿主機(jī)的私鑰對(duì)所述第二加密信息進(jìn)行解密��,獲得所述CA證書�;
[0025]在所述獲取所述CA證書之后,還包括:
[0026]利用所述CA的公鑰對(duì)結(jié)束會(huì)話請(qǐng)求����、所述第二隨機(jī)數(shù)和第三隨機(jī)數(shù)進(jìn)行加密,得到第三加密信息����,將所述第三加密信息發(fā)送給所述CA,以使所述CA利用所述CA的私鑰對(duì)所述第三加密信息進(jìn)行解密�,所述CA根據(jù)所述結(jié)束會(huì)話請(qǐng)求返回結(jié)束會(huì)話的應(yīng)答和所述第三隨機(jī)數(shù)。
[0027]進(jìn)一步地���,所述確定所述Geo-Tag證書的初始哈希值���,包括:
[0028]利用SHA-1計(jì)算所述Geo-Tag證書的初始哈希值;
[0029]和/ 或�,
[0030]所述將所述初始哈希值保存到在所述TPM芯片中,包括:
[0031 ] 將所述初始哈希值擴(kuò)展到所述TPM芯片的PCR22中��。
[0032]另一方面��,本發(fā)明提供了一種驗(yàn)證計(jì)算池可信的系統(tǒng)�����,包括:
[0033]地理位置標(biāo)簽Geo-Tag證書單元��,用于生成攜帶有宿主機(jī)的地理位置信息的地理位置標(biāo)簽Geo-Tag證書����,確定所述Geo-Tag證書的初始哈希值,將所述初始哈希值保存在所述宿主機(jī)中����,并將所述Geo-Tag證書保存在可信第三方中作為可信Geo-Tag證書;
[0034]所述可信第三方�,用于向所述宿主機(jī)請(qǐng)求所述宿主機(jī)中保存的初始哈希值,接收所述宿主機(jī)返回的待驗(yàn)證的初始哈希值�����,計(jì)算所述可信Geo-Tag證書的可信哈希值,判斷所述待驗(yàn)證的初始哈希值與所述可信哈希值是否相等��,當(dāng)判斷結(jié)果為是時(shí)�,則判定所述宿主機(jī)可信,當(dāng)判斷結(jié)果為否時(shí)���,判定所述宿主機(jī)不可信�����。
[0035]進(jìn)一步地����,還包括:數(shù)字證書認(rèn)證中心CA��,用于接收所述Geo-Tag證書單元發(fā)來的所述地理位置信息����,生成攜帶有所述地理位置信息的CA證書,將所述CA證書發(fā)送給所述Geo-Tag證書單元����;
[0036]所述Geo-Tag證書單元,用于在執(zhí)行所述生成攜帶有宿主機(jī)的地理位置信息的Geo-Tag證書時(shí)�����,具體執(zhí)行:向CA發(fā)送所述宿主機(jī)的地理位置信息,接收所述CA發(fā)來的CA證書�,獲取所述宿主機(jī)的通用唯一識(shí)別碼UUID���,根據(jù)所述UUID和所述CA證書創(chuàng)建Geo-Tag標(biāo)簽��,對(duì)所述Geo-Tag標(biāo)簽進(jìn)行數(shù)字簽名����,生成所述Geo-Tag證書�。
[0037]進(jìn)一步地,所述Geo-Tag證書單元����,用于在執(zhí)行所述確定所述Geo-Tag證書的初始哈希值,將所述初始哈希值保存在所述宿主機(jī)中時(shí)����,具體執(zhí)行:將所述Geo-Tag證書發(fā)送給所述宿主機(jī)中的安全芯片TPM芯片,通過所述TPM芯片對(duì)所述Geo-Tag證書進(jìn)行哈希運(yùn)算�,獲得所述初始哈希值,并將所述初始哈希值保存到在所述TPM芯片中�����。
[0038]進(jìn)一步地,還包括:設(shè)置單元�,用于設(shè)置所述CA的私鑰、所述CA的公鑰��、所述宿主機(jī)的私鑰�����、所述宿主機(jī)的公鑰���;
[0039]所述Geo-Tag證書單元�,用于向所述CA發(fā)送攜帶有第一隨機(jī)數(shù)的開始會(huì)話請(qǐng)求��,接收所述CA返回的對(duì)所述開始會(huì)話請(qǐng)求的應(yīng)答和所述第一隨機(jī)數(shù)��,將所述宿主機(jī)的地理位置信息��、所述第一隨機(jī)數(shù)���、第二隨機(jī)數(shù)和所述宿主機(jī)的公鑰�����,利用所述CA的公鑰進(jìn)行加密���,得到第一加密信息���,將所述第一加密信息發(fā)送給所述CA,接收所述CA返回的所述第二加密信息��,利用所述宿主機(jī)的私鑰對(duì)所述第二加密信息進(jìn)行解密�����,獲得所述CA證書��;
[0040]所述CA���,用于接收所述Geo-Tag證書單元發(fā)來的攜帶有第一隨機(jī)數(shù)的開始會(huì)話請(qǐng)求,并返回對(duì)所述開始會(huì)話請(qǐng)求的應(yīng)答和所述第一隨機(jī)數(shù)��,接收所述第一加密信息�����,利用所述CA的私鑰進(jìn)行解密����,根據(jù)所述地理位置信息生成所述CA證書��,