一种基于可信技术实现多型工作单元安全联动的方法技术

本发明专利技术提供了一种基于可信技术实现多型工作单元安全联动的方法，包括以下步骤：颁发证书；检测业务系统，并自动发现所述业务系统所在的工作单元类型；远程证明实现业务系统交互时所在平台的安全可信认证。本发明专利技术实现传统物理机集群、虚拟机集群、容器集群中不同业务系统之间交互时的远程证明，能够自动感知各业务系统运行的工作单元类型，根据其所在的工作单元类型，采用对应的远程证明协议进行平台可信证明；解决了可信计算中远程证明在不同集群中存在的孤岛问题，打通了不同集群多型工作单元中业务系统的可信安全交互通道，对解决部分业务无法上云问题以及可信数据中心建设具有重大意义。

【技术实现步骤摘要】
一种基于可信技术实现多型工作单元安全联动的方法
本专利技术涉及新一代信息
，特别是数字信息的传输领域，具体涉及一种基于可信技术实现多型工作单元安全联动的方法。
技术介绍
随着互联网的快速发展，安全问题频出，被动防御手段已经无法满足安全需求。为了全面保障计算平台的安全性，必须进行主动防御，提出了以可信芯片为基础，逐层构建，形成主动防御的安全计算平台。另一方面，随着云计算的发展，虚拟化技术、容器技术层出不穷，凭借低成本、灵活可扩展等优势，在实际应用中快速推广，云计算架构自身具备不安全性，吸引了一大批学者基于云模型开展可信计算研究。目前，众多数据中心处于传统物理集群向虚拟机集群和容器集群过度的时期，因此，大量数据中心出现传统物理机集群、虚拟机集群、容器集群混合部署的场景，业务系统可能部署于物理机、虚拟机、容器等不同类型的工作单元，当业务系统需要进行交互时，必须进行远程证明，由于可信架构各不相同，其远程证明方式不尽相同。目前，单一集群内只存在一种工作单元，各种可信方案中远程证明模式已固定，无法直接兼容其他工作单元的远程证明。在远程证明的研究中，众多学者是针对单一工作单元的远程证明过程进行原理与技术创新，无法应用于当前多型工作单元混合部署的场景。
技术实现思路
鉴于此，本专利技术的目的是重点解决云环境中物理机、虚拟机、容器等多型工作单元共同部署时，基于可信芯片构建虚拟可信计算环境后，不同工作单元之间无法远程证明的问题。本专利技术设计构建多型工作单元安全联动系统，能够帮助业务系统自动区分其所在的工作单元类型，并自动选用适合的远程证明方案，保证多型工作单元之间能够进行远程证明，为构建混合场景下的可信计算环境奠定基础。本专利技术基于独立的可信环境，结合多型工作单元联合工作的实际需求，对远程证明过程进行创新，针对多型数据中心，设计多型工作单元安全联动系统，包括物理机可信代理PTA、虚拟机可信代理VTA、容器可信代理DTA、单元检测模块，并通过私有证书颁发机构的配合，实现数据中心中物理机集群、虚拟机集群、容器集群联合部署时，可信计算环境中多型工作单元的远程证明，保障可信计算环境的安全运行。本专利技术提供一种基于可信技术实现多型工作单元安全联动的方法，包括以下步骤：S1、颁发证书；多型数据中心提供的工作单元分为物理机、虚拟机和容器三种类型，其中：仅包括所述物理机的物理机集群中，每一个物理机配置可信设备，可信设备具有自己唯一的背书密钥（endorsementkey，简称EK）、存储根密钥（storagerootkey，简称SRK），并根据EK生成身份证明密钥（attestationidentitykey，简称AIK），物理机使用AIK向私有证书颁发机构申请证书，私有证书颁发机构生成证书即AIK证书，发送给物理机；包括所述物理机以及所述虚拟机的虚拟机集群中，每一个物理机配置可信设备，可信设备具有自己唯一的背书密钥（endorsementkey，简称EK）、存储根密钥（storagerootkey，简称SRK），并根据EK生成身份证明密钥（attestationidentitykey，简称AIK），物理机使用AIK向私有证书颁发机构申请证书，私有证书颁发机构生成AIK证书，发送给物理机；虚拟机创建时，为该虚拟机分配一个vTPM，获取vTPM对应的vAIK，发送给私有证书颁发机构，私有证书颁发机构生成vAIK证书，发送给虚拟机；包括所述物理机的容器集群中，每一个物理机配置可信设备，可信设备具有自己唯一的背书密钥（endorsementkey，简称EK）、存储根密钥（storagerootkey，简称SRK），并根据EK生成身份证明密钥（attestationidentitykey，简称AIK），物理机使用AIK向私有证书颁发机构申请证书，私有证书颁发机构生成AIK证书，发送给物理机；S2、检测业务系统，并自动发现所述业务系统所在的工作单元类型；单元检测模块与物理机的操作系统、云操作系统以及容器管理系统联合工作，当部署新的业务系统时，触发所述单元检测模块，依次通过systemd-detect-virt、lscpu|grep-Piq'Hypervisorvendor'、cat/proc/1/cgroup|grep-qidocker、cat/proc/1/cgroup|grep-q'machine-rkt'，直至确定业务系统所在工作单元的类型，包括物理机、虚拟机、容器三类，正确存储“业务系统名称、工作单元类型”记录到共享区域；所述单元检测模块分别部署于物理机、虚拟机内部，自动收集工作单元中所运行的业务系统信息，并自动检测业务系统的类型是物理机和/或虚拟机和/或容器，将每一个业务系统所在工作单元的类型信息进行存储；S3、远程证明实现业务系统交互时所在平台的安全可信认证；在多型数据中心中，部署在物理机上的业务系统PS、部署在虚拟机中的业务系统VS以及部署在容器中的业务系统DS之间的交互，包括PS到VS、PS到DS、VS到DS、VS到PS、DS到PS、DS到VS的交互过程。进一步地，所述S1步骤的所述私有证书颁发机构用于构建本地可信计算环境的密码体系，为工作单元颁发AIK证书，物理机、虚拟机、容器三种类型的工作单元分别拥有自身的身份证明密钥AIK。进一步地，所述物理机可信代理PTA直接部署于物理机，采集物理机的度量日志与PCR值，使用AIK证书签名后生成物理机的远程报告，以所述物理机的远程报告向挑战者证明物理机平台状态的可信性。进一步地，所述虚拟机可信代理VTA部署于虚拟机内部，采集虚拟机的度量日志与PCR值，使用vAIK证书签名后生成虚拟机的远程报告，以所述虚拟机的远程报告向挑战者证明虚拟机平台状态的可信性。进一步地，所述容器可信代理DTA部署于容器集群的物理机，与容器引擎配合，采集容器所在物理机的度量日志与PCR值，使用AIK证书签名后生成容器的远程报告，以所述容器的远程报告向挑战者证明容器平台状态的可信性。进一步地，所述S3步骤中，所述VS到PS和/或DS到PS的交互过程包括以下步骤：3a1、VS和/或DS所在平台作为挑战者，所述VS和/或DS所在平台的可信模块使用PS业务系统名称，通过单元检测模块，确定PS运行平台类型为物理机，立刻启动物理机远程证明过程；3a2、所述VS和/或DS所在平台的可信模块选取一个随机数，向PS所在平台发起挑战，并把PS业务系统名称、随机数同时发送给所述PS所在平台；3a3、所述PS所在平台的物理机可信代理PTA接收到请求后，使用PS业务系统名称，通过单元检测模块，确定PS运行平台类型为物理机，立刻响应物理机远程证明过程；3a4、所述PS所在平台的物理机可信代理PTA采集度量信息，包括从SML和PCR中采集到的完整性度量值、完整性度量值摘要，并使用AIK证书对随机数、度量信息进行签名，然后发送给挑战者VS和/或DS所在平台；3a5、挑战者VS和/或DS所在平台的可信代理本文档来自技高网...

【技术保护点】
1.一种基于可信技术实现多型工作单元安全联动的方法，其特征在于，包括以下步骤：/nS1、颁发证书；/n多型数据中心提供的工作单元分为物理机、虚拟机和容器三种类型，其中：/n仅包括所述物理机的物理机集群中，每一个物理机配置可信设备，可信设备具有自己唯一的背书密钥EK、存储根密钥SRK，并根据EK生成身份证明密钥AIK，物理机使用AIK向私有证书颁发机构申请证书，私有证书颁发机构生成证书即AIK证书，发送给物理机；/n包括所述物理机以及所述虚拟机的虚拟机集群中，每一个物理机配置可信设备，可信设备具有自己唯一的背书密钥EK、存储根密钥SRK，并根据EK生成身份证明密钥AIK，物理机使用AIK向私有证书颁发机构申请证书，私有证书颁发机构生成AIK证书，发送给物理机；虚拟机创建时，为该虚拟机分配一个vTPM，获取vTPM对应的vAIK，发送给私有证书颁发机构，私有证书颁发机构生成vAIK证书，发送给虚拟机；/n包括所述物理机的容器集群中，每一个物理机配置可信设备，可信设备具有自己唯一的背书密钥EK、存储根密钥SRK，并根据EK生成身份证明密钥AIK，物理机使用AIK向私有证书颁发机构申请证书，私有证书颁发机构生成AIK证书，发送给物理机；/nS2、检测业务系统，并自动发现所述业务系统所在的工作单元类型；/n单元检测模块与物理机的操作系统、云操作系统以及容器管理系统联合工作，当部署新的业务系统时，触发所述单元检测模块，依次通过systemd-detect-virt、lscpu|grep-Piq'Hypervisorvendor'、cat/proc/1/cgroup|grep-qidocker、cat/proc/1/cgroup|grep-q'machine-rkt'，直至确定业务系统所在工作单元的类型，包括物理机、虚拟机、容器三类，正确存储“业务系统名称、工作单元类型”记录到共享区域；/n所述单元检测模块分别部署于物理机、虚拟机内部，自动收集工作单元中所运行的业务系统信息，并自动检测业务系统的类型是物理机和/或虚拟机和/或容器，将每一个业务系统所在工作单元的类型信息进行存储；/nS3、远程证明实现业务系统交互时所在平台的安全可信认证；/n在多型数据中心中，部署在物理机上的业务系统PS、部署在虚拟机中的业务系统VS以及部署在容器中的业务系统DS之间的交互，包括PS到VS、PS到DS、VS到DS、VS到PS、DS到PS、DS到VS的交互过程。/n...

【技术特征摘要】
1.一种基于可信技术实现多型工作单元安全联动的方法，其特征在于，包括以下步骤：
S1、颁发证书；
多型数据中心提供的工作单元分为物理机、虚拟机和容器三种类型，其中：
仅包括所述物理机的物理机集群中，每一个物理机配置可信设备，可信设备具有自己唯一的背书密钥EK、存储根密钥SRK，并根据EK生成身份证明密钥AIK，物理机使用AIK向私有证书颁发机构申请证书，私有证书颁发机构生成证书即AIK证书，发送给物理机；
包括所述物理机以及所述虚拟机的虚拟机集群中，每一个物理机配置可信设备，可信设备具有自己唯一的背书密钥EK、存储根密钥SRK，并根据EK生成身份证明密钥AIK，物理机使用AIK向私有证书颁发机构申请证书，私有证书颁发机构生成AIK证书，发送给物理机；虚拟机创建时，为该虚拟机分配一个vTPM，获取vTPM对应的vAIK，发送给私有证书颁发机构，私有证书颁发机构生成vAIK证书，发送给虚拟机；
包括所述物理机的容器集群中，每一个物理机配置可信设备，可信设备具有自己唯一的背书密钥EK、存储根密钥SRK，并根据EK生成身份证明密钥AIK，物理机使用AIK向私有证书颁发机构申请证书，私有证书颁发机构生成AIK证书，发送给物理机；
S2、检测业务系统，并自动发现所述业务系统所在的工作单元类型；
单元检测模块与物理机的操作系统、云操作系统以及容器管理系统联合工作，当部署新的业务系统时，触发所述单元检测模块，依次通过systemd-detect-virt、lscpu|grep-Piq'Hypervisorvendor'、cat/proc/1/cgroup|grep-qidocker、cat/proc/1/cgroup|grep-q'machine-rkt'，直至确定业务系统所在工作单元的类型，包括物理机、虚拟机、容器三类，正确存储“业务系统名称、工作单元类型”记录到共享区域；
所述单元检测模块分别部署于物理机、虚拟机内部，自动收集工作单元中所运行的业务系统信息，并自动检测业务系统的类型是物理机和/或虚拟机和/或容器，将每一个业务系统所在工作单元的类型信息进行存储；
S3、远程证明实现业务系统交互时所在平台的安全可信认证；
在多型数据中心中，部署在物理机上的业务系统PS、部署在虚拟机中的业务系统VS以及部署在容器中的业务系统DS之间的交互，包括PS到VS、PS到DS、VS到DS、VS到PS、DS到PS、DS到VS的交互过程。


2.根据权利要求1所述的方法，其特征在于，所述S1步骤的所述私有证书颁发机构用于构建本地可信计算环境的密码体系，为工作单元颁发AIK证书，物理机、虚拟机、容器三种类型的工作单元分别拥有自身的身份证明密钥AIK。


3.根据权利要求1所述的方法，其特征在于，所述物理机可信代理PTA直接部署于物理机，采集物理机的度量日志与PCR值，使用AIK证书签名后生成物理机的远程报告，以所述物理机的远程报告向挑战者证明物理机平台状态的可信性。


4.根据权利要求1所述的方法，其特征在于，所述虚拟机可信代理VTA部署于虚拟机内部，采集虚拟机的度量日志与PCR值，使用vAIK证书签名后生成虚拟机的远程报告，以所述虚拟机的远程报告向挑战者证明虚拟机平台状态的可信性。


5.根据权利要求1所述的方法，其特征在于，所述容器可信代理DTA部署于容器集群的物理机，与容器引擎配合，采集容器所在物理机的度量日志与PCR值，使用AIK证书签名后生成容器的远程报告，以所述容器的远程报告向挑战者证明容器平台状态的可信性。


6.根据权利要求1所述的方法，其特征在于，所述S3步骤中，所述VS到PS和/或DS到PS的交互过程包括以下步骤：
3a1、VS和/或DS所在平台作为挑战者，所述VS和/或DS所在平台的可信模块使用PS业务系统名称，通过单元检测模块，确定PS运行平台类型为物理机，立刻启动物理机远程证明过程；
3a2、所述VS和/或DS所在平台的可信模块选取一个随机数，向PS所在平台发起挑战，并把PS业务系统名称、随机数同时发送给所述PS所在平台；
3a3、所述PS所在平台的物理机可信代理PTA接收到请求后，使用P...

【专利技术属性】
技术研发人员：刘晨，严凡，朱敏，孟夏冰，
申请(专利权)人：北京电信易通信息技术股份有限公司，
类型：发明
国别省市：北京;11