構(gòu)建可信計(jì)算池的方法及系統(tǒng)、認(rèn)證服務(wù)器的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，特別涉及構(gòu)建可信計(jì)算池的方法及系統(tǒng)、認(rèn)證服務(wù)器。
【背景技術(shù)】
[0002]隨著云計(jì)算技術(shù)的發(fā)展，虛擬化安全問(wèn)題越來(lái)越受到重視，由于傳統(tǒng)的安全檢測(cè)方式都是對(duì)系統(tǒng)進(jìn)行安全防御或發(fā)生攻擊時(shí)進(jìn)行處理，沒(méi)有對(duì)系統(tǒng)本身的計(jì)算環(huán)境進(jìn)行有效的度量，而現(xiàn)在熱門(mén)的可信計(jì)算技術(shù)在傳統(tǒng)物理主機(jī)中得到了快速發(fā)展，因此，在云環(huán)境中構(gòu)建可信計(jì)算池成為急需解決的技術(shù)問(wèn)題。

【發(fā)明內(nèi)容】

[0003]本發(fā)明提供構(gòu)建可信計(jì)算池的方法及系統(tǒng)、認(rèn)證服務(wù)器及主機(jī)，能夠在云環(huán)境中構(gòu)建可信計(jì)算池。
[0004]構(gòu)建可信計(jì)算池的方法，應(yīng)用于認(rèn)證服務(wù)器中，包括:
[0005]產(chǎn)生代理端程序，所述代理端程序中包括CA證書(shū)；
[0006]將所述代理端程序發(fā)送給待認(rèn)證主機(jī)，觸發(fā)待認(rèn)證主機(jī)進(jìn)行所述代理端程序的安裝；
[0007]向待認(rèn)證主機(jī)的代理端程序發(fā)送基準(zhǔn)值收集命令；
[0008]接收待認(rèn)證主機(jī)的基準(zhǔn)值；
[0009]接收對(duì)所述待認(rèn)證主機(jī)的可信認(rèn)證請(qǐng)求；
[0010]通過(guò)待認(rèn)證主機(jī)的代理端程序，獲取所述待認(rèn)證主機(jī)的基本輸入輸出(BasicInput Output System, B1S)度量值、虛擬機(jī)監(jiān)視器(Virtual Machine Monitor，VMM)度量值、操作系統(tǒng)(OS)度量值，以及獲取所述待認(rèn)證主機(jī)根據(jù)CA證書(shū)產(chǎn)生的認(rèn)證信息；
[0011]根據(jù)所述CA證書(shū)以及待認(rèn)證主機(jī)根據(jù)CA證書(shū)產(chǎn)生的認(rèn)證信息，驗(yàn)證所述待認(rèn)證主機(jī)的合法性，合法性通過(guò)后，根據(jù)預(yù)先得到的待認(rèn)證主機(jī)的基準(zhǔn)值對(duì)待認(rèn)證主機(jī)的B1S度量值、VMM度量值及OS度量值進(jìn)行可信認(rèn)證，將可信認(rèn)證結(jié)果返回給認(rèn)證管理平臺(tái)，觸發(fā)所述認(rèn)證管理平臺(tái)根據(jù)所述認(rèn)證結(jié)果執(zhí)行將所述待認(rèn)證主機(jī)加入或不加入可信計(jì)算池。
[0012]所述可信認(rèn)證請(qǐng)求包括:主機(jī)添加請(qǐng)求、認(rèn)證請(qǐng)求及主機(jī)移動(dòng)請(qǐng)求中的任意一個(gè)。
[0013]進(jìn)一步包括:
[0014]通過(guò)所述代理端程序獲取所述待認(rèn)證主機(jī)根據(jù)所述CA證書(shū)產(chǎn)生的EK公鑰；
[0015]根據(jù)獲取的EK公鑰產(chǎn)生EC，并發(fā)送給所述代理端程序；
[0016]通過(guò)所述代理端程序獲取所述待認(rèn)證主機(jī)根據(jù)EC生成的AIK密鑰；
[0017]根據(jù)獲取的AIK密鑰產(chǎn)生所述證言身份證書(shū)AIC ;
[0018]所述待認(rèn)證主機(jī)根據(jù)CA證書(shū)產(chǎn)生的認(rèn)證信息包括:所述待認(rèn)證主機(jī)產(chǎn)生的AIC ;
[0019]所述根據(jù)所述CA證書(shū)驗(yàn)證所述待認(rèn)證主機(jī)的合法性包括:判斷自身產(chǎn)生的AIC與獲取的所述待認(rèn)證主機(jī)的AIC是否相同，如果相同，則合法性通過(guò)。
[0020]構(gòu)建可信計(jì)算池的方法，應(yīng)用于主機(jī)中，包括:
[0021]接收并安裝代理端程序，該代理端程序中包括CA證書(shū)；
[0022]根據(jù)接收到的基準(zhǔn)值收集命令，通過(guò)代理端程序?qū)⒆陨淼幕鶞?zhǔn)值發(fā)送給認(rèn)證服務(wù)器；
[0023]根據(jù)所述CA證書(shū)產(chǎn)生認(rèn)證信息；
[0024]通過(guò)代理端程序?qū)⒆陨淼腂1S度量值、VMM度量值、OS度量值，以及認(rèn)證信息發(fā)送給認(rèn)證服務(wù)器。
[0025]所述認(rèn)證信息包括:AIC ；
[0026]所述根據(jù)所述CA證書(shū)產(chǎn)生認(rèn)證信息包括:根據(jù)所述CA證書(shū)產(chǎn)生EK公鑰，并發(fā)送給認(rèn)證服務(wù)器；接收認(rèn)證服務(wù)器根據(jù)EK公鑰產(chǎn)生并發(fā)來(lái)的EC ;根據(jù)接收到的EC生成AIK密鑰，并發(fā)送給認(rèn)證服務(wù)器，以及根據(jù)AIK密鑰生成所述AIC。
[0027]一種認(rèn)證服務(wù)器，包括:
[0028]代理端程序產(chǎn)生單元，用于產(chǎn)生代理端程序，所述代理端程序中包括CA證書(shū)；
[0029]第一交互處理單元，用于將代理端程序產(chǎn)生單元所產(chǎn)生的代理端程序發(fā)送給待認(rèn)證主機(jī)；向待認(rèn)證主機(jī)的代理端程序發(fā)送基準(zhǔn)值收集命令；接收待認(rèn)證主機(jī)的基準(zhǔn)值；通過(guò)待認(rèn)證主機(jī)的代理端程序，獲取所述待認(rèn)證主機(jī)的B1S度量值、VMM度量值、OS度量值，以及獲取所述待認(rèn)證主機(jī)根據(jù)CA證書(shū)產(chǎn)生的認(rèn)證信息；
[0030]第二交互處理單元，用于接收對(duì)所述待認(rèn)證主機(jī)的可信認(rèn)證請(qǐng)求；
[0031]合法性認(rèn)證單元，用于在所述第二交互處理單元接收到所述可信認(rèn)證請(qǐng)求后，根據(jù)代理端程序產(chǎn)生單元所產(chǎn)生的所述CA證書(shū)以及第一交互處理單元接收到的認(rèn)證信息，驗(yàn)證所述待認(rèn)證主機(jī)的合法性，
[0032]可信認(rèn)證單元，用于在所述合法性認(rèn)證單元合法性通過(guò)后，根據(jù)預(yù)先得到的待認(rèn)證主機(jī)的基準(zhǔn)值對(duì)待認(rèn)證主機(jī)的B1S度量值、VMM度量值及OS度量值進(jìn)行可信認(rèn)證，將可信認(rèn)證結(jié)果返回給認(rèn)證管理平臺(tái)，觸發(fā)所述認(rèn)證管理平臺(tái)根據(jù)所述認(rèn)證結(jié)果執(zhí)行將所述待認(rèn)證主機(jī)加入或不加入可信計(jì)算池。
[0033]所述合法性認(rèn)證單元中包括:
[0034]AIC獲取子單元，所述AIC獲取子單元通過(guò)所述第一交互單元獲取所述待認(rèn)證主機(jī)根據(jù)所述CA證書(shū)產(chǎn)生的EK公鑰；根據(jù)獲取的EK公鑰產(chǎn)生EC，并通過(guò)第一交互處理單元發(fā)送給待認(rèn)證主機(jī)的所述代理端程序；通過(guò)第一交互處理單元獲取所述待認(rèn)證主機(jī)根據(jù)EC生成的AIK密鑰；根據(jù)獲取的AIK密鑰產(chǎn)生所述證言身份證書(shū)AIC ；
[0035]AIC認(rèn)證子單元，判斷AIC獲取子單元產(chǎn)生的AIC與第一交互處理單元獲取的所述待認(rèn)證主機(jī)的AIC是否相同，如果相同，則合法性通過(guò)。
[0036]—種主機(jī)，包括:
[0037]代理端程序執(zhí)行單元，用于接收并安裝代理端程序，該代理端程序中包括CA證書(shū);
[0038]基準(zhǔn)值處理單元，用于根據(jù)接收到的基準(zhǔn)值收集命令，通過(guò)代理端程序執(zhí)行單元將基準(zhǔn)值發(fā)送給認(rèn)證服務(wù)器；
[0039]CA證書(shū)處理單元，用于根據(jù)代理端程序執(zhí)行單元接收到的所述CA證書(shū)產(chǎn)生認(rèn)證信息；
[0040]可信認(rèn)證處理單元，用于通過(guò)代理端程序執(zhí)行單元將B1S度量值、VMM度量值、OS度量值，以及CA證書(shū)處理單元所產(chǎn)生的認(rèn)證信息發(fā)送給認(rèn)證服務(wù)器。
[0041]所述CA證書(shū)處理單元中包括:AIC生成子單元，用于根據(jù)所述代理端程序安裝單元獲取的CA證書(shū)產(chǎn)生EK公鑰，并發(fā)送給認(rèn)證服務(wù)器；接收認(rèn)證服務(wù)器根據(jù)EK公鑰產(chǎn)生并發(fā)來(lái)的EC ;根據(jù)接收到的EC生成AIK密鑰，并發(fā)送給認(rèn)證服務(wù)器，以及根據(jù)AIK密鑰生成作為所述認(rèn)證信息的AIC。
[0042]一種構(gòu)建可信計(jì)算池的系統(tǒng)，包括:
[0043]認(rèn)證管理平臺(tái)，包括至少一個(gè)主機(jī)的可信計(jì)算池，包括至少一個(gè)上述任意一種待認(rèn)證主機(jī)的待檢測(cè)主機(jī)區(qū)，上述任意一種認(rèn)證服務(wù)器。
[0044]本發(fā)明實(shí)施例提供了構(gòu)建可信計(jì)算池的方法及系統(tǒng)，以及認(rèn)證服務(wù)器和主機(jī)，能夠?qū)ΥJ(rèn)證的主機(jī)首先進(jìn)行基于CA證書(shū)的合法性認(rèn)證，在合法性認(rèn)證通過(guò)后才基于B1S度量值、VMM度量值、OS度量值進(jìn)行可信認(rèn)證，雙重認(rèn)證通過(guò)后，才會(huì)將待認(rèn)證主機(jī)加入可信計(jì)算池，從而提高了可信計(jì)算池中主機(jī)的可信度。
【附圖說(shuō)明】
[0045]圖1是本發(fā)明一個(gè)實(shí)施例中在認(rèn)證服務(wù)器中實(shí)現(xiàn)構(gòu)建可信計(jì)算池的方法流程圖。
[0046]圖2是本發(fā)明一個(gè)實(shí)施例中在主機(jī)中實(shí)現(xiàn)構(gòu)建可信計(jì)算池的方法流程圖。
[0047]圖3是本發(fā)明一個(gè)實(shí)施例中認(rèn)證服務(wù)器的結(jié)構(gòu)示意圖。
[0048]圖4是本發(fā)明一個(gè)實(shí)施例中主機(jī)的結(jié)構(gòu)示意圖。
[0049]圖5是本發(fā)明一個(gè)實(shí)施例中實(shí)現(xiàn)構(gòu)建可信計(jì)算池的系統(tǒng)的結(jié)構(gòu)示意圖。
[0050]圖6是本發(fā)明一個(gè)實(shí)施例中系統(tǒng)的各設(shè)備配合實(shí)現(xiàn)構(gòu)建可信計(jì)算池的方法流程圖。
【具體實(shí)施方式】
[0051]下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述。顯然，所描述的實(shí)施例僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。
[0052]本發(fā)明一個(gè)實(shí)施例提供了一種構(gòu)建可信計(jì)算池的方法，應(yīng)用于認(rèn)證服務(wù)器中，參見(jiàn)圖1，包括:
[0053]步驟101:認(rèn)證服務(wù)器產(chǎn)生代理端程序，所述代理端程序中包括CA證書(shū)；
[0054]步驟102:認(rèn)證服務(wù)器將所述代理端程序發(fā)送給待認(rèn)證主機(jī)，觸發(fā)待認(rèn)證主機(jī)進(jìn)行所述代理端程序的安裝；
[0055]步驟103:認(rèn)證服務(wù)器向待認(rèn)證主機(jī)的代理端程序發(fā)送基準(zhǔn)值收集命令；
[0056]步驟104:認(rèn)證服務(wù)器接收待認(rèn)證主機(jī)的基準(zhǔn)值；
[0057]步驟105:認(rèn)證服務(wù)器接收對(duì)所述待認(rèn)證主機(jī)的可信認(rèn)證請(qǐng)