云环境下的虚拟可信平台模块的密钥管理系统及方法技术方案

本发明专利技术公开一种云环境下的虚拟可信平台模块的密钥管理系统及方法，于可信主机上建立虚拟机及其对应的虚拟可信平台模块，其中，将虚拟可信平台模块的密钥管理功能独立出来，由硬件密码设备实现，同时结合资源管理服务器、证书管理服务器、可信认证服务器等进行密钥管理和认证，虚拟可信平台模块的其它功能通过软件实现，一方面，可保证虚拟可信平台模块迁移时的灵活性；另一方面，可实现密钥等关键信息的硬件级保护，可信主机与密码设备客户端之间通过保密通道传输应用数据对称密钥，提高密钥等关键信息的安全性；可将密钥使用及管理的控制权从云服务提供商转移到虚拟机及虚拟可信平台模块的用户手中，密钥管理实现了非集中管理模式。

【技术实现步骤摘要】
云环境下的虚拟可信平台模块的密钥管理系统及方法
本专利技术涉及一种云环境下的虚拟可信平台模块的密钥管理系统及方法，属于信息安全

技术介绍
可信计算在工业上的主要实现方式为硬件可信平台模块(TPM：TrustedPlatformModule)，因为可信平台模块自身性能以及成本的局限性，无法向上层云服务提供充分的可信安全服务。为此虚拟可信平台模块的概念被提出，它通过模拟硬件可信平台模块的功能和接口来为每个虚拟机分配一个虚拟可信平台模块，能够实现相当于可信平台模块的各项功能，解决上层云服务的安全问题。由于虚拟可信平台模块完全基于软件实现，能够实现其随虚拟机的迁移而迁移，不受绑定硬件的限制，灵活性较强，但由于密钥等关键信息缺少硬件设备的保护，密钥管理无法达到硬件安全级别，相较于硬件可信平台模块，虚拟可信平台模块的密钥等关键信息更易受到攻击，安全性较差。
技术实现思路
鉴于上述原因，本专利技术的目的在于提供一种云环境下的虚拟可信平台模块的密钥管理系统及方法，利用密码设备实现虚拟可信平台模块的密钥管理功能，同时结合资源管理服务器、可信认证服务器、证书管理服务器等进行密钥管理和认证，既可保证本文档来自技高网...

【技术保护点】
云环境下的虚拟可信平台模块的密钥管理系统，其特征在于，包括密码设备、密码设备客户端、资源管理服务器、服务器资源池、可信认证服务器、证书管理服务器，密码设备，用于实现虚拟可信平台模块的密钥管理功能；密码设备客户端，用于实现密码设备与资源管理服务器之间的数据交互，实现虚拟可信平台模块的生成、管理、迁移；资源管理服务器，用于根据可信认证服务器的可信主机完整性验证信息，从服务器资源池中确定运行虚拟机及虚拟可信平台模块的可信主机；用于在可信主机与密码设备客户端之间建立数据通道；证书管理服务器，用于根据密码设备的密钥及虚拟机、虚拟可信平台模块的信息生成证书，并将证书保存于密码设备。

【技术特征摘要】
1.云环境下的虚拟可信平台模块的密钥管理系统，其特征在于，包括密码设备、密码设备客户端、资源管理服务器、服务器资源池、可信认证服务器、证书管理服务器，密码设备，用于实现虚拟可信平台模块的密钥管理功能；密码设备客户端，用于实现密码设备与资源管理服务器之间的数据交互，实现虚拟可信平台模块的生成、管理、迁移；资源管理服务器，用于根据可信认证服务器的可信主机完整性验证信息，从服务器资源池中确定运行虚拟机及虚拟可信平台模块的可信主机；用于在可信主机与密码设备客户端之间建立数据通道；证书管理服务器，用于根据密码设备的密钥及虚拟机、虚拟可信平台模块的信息生成证书，并将证书保存于密码设备。2.根据权利要求1所述的云环境下的虚拟可信平台模块的密钥管理系统，其特征在于，创建虚拟机及虚拟可信平台模块的方法是：密码设备生成vAIK公钥、vAIK私钥，经密码设备客户端向资源管理服务器发送包括vAIK公钥和密码设备的数字证书的创建虚拟机请求消息，该数字证书包括密码设备的身份信息UsbID；资源管理服务器向证书管理服务器发送包括密码设备的数字证书的认证消息，数字证书认证通过，资源管理服务器通过可信认证服务器获取服务器资源池中处于可信状态的可信主机列表，资源管理服务器从中确定可信主机，向服务器资源池发送于该可信主机上创建虚拟机及虚拟可信平台模块的请求消息；该可信主机创建虚拟机及虚拟可信平台模块，生成虚拟机vmID、虚拟可信平台模块vTPMID，向资源管理服务器发送vmID、vTPMID及该可信主机所属可信资源池CtrsID；资源管理服务器向证书管理服务器发送包括vmID、vTPMID、CtrsID、vAIK公钥的证书请求，证书管理服务器根据该证书请求，生成vAIK证书，返回给资源管理服务器；资源管理服务器将vAIK证书经密码设备客户端传输至密码设备，资源管理服务器维护CtrsID-vmID-vTPMID-UsbID关系对照表。3.根据权利要求2所述的云环境下的虚拟可信平台模块的密钥管理系统，其特征在于，在密码设备客户端与可信主机之间建立保密通道，包括：密码设备客户端向资源管理服务器发送保密通道连接请求消息，该请求消息包括密码设备保存的vAIK证书及UsbID；资源管理服务器根据CtrsID-vmID-vTPMID-UsbID关系对照表，从服务器资源池中确定可信主机；密码设备客户端与该可信主机通过资源管理服务器建立保密通道。4.根据权利要求3所述的云环境下的虚拟可信平台模块的密钥管理系统，其特征在于，应用数据加密方法包括：虚拟机的上层应用请求加密应用数据；虚拟可信平台模块生成应用数据对称密钥，利用该应用数据对称密钥对应用数据进行加密处理，生成密文应用数据；虚拟可信平台模块将应用数据对称密钥经所述保密通道...

【专利技术属性】
技术研发人员：郑驰，梁思谦，
申请(专利权)人：大唐高鸿信安浙江信息科技有限公司，
类型：发明
国别省市：浙江,33