虚拟可信根的迁移方法及相关设备技术

本发明专利技术提供虚拟可信根的迁移方法及相关设备，涉及信息安全领域，其中，所述方法，应用于第一设备，包括：向第二设备发送迁移请求；接收迁移请求对应的第一签名，其中，第一签名对应第一目标虚拟可信根DvTPM的身份信息；获取第二设备的目标物理可信根DpTPM的身份信息；基于DpTPM的身份信息，从区块链上获取第二签名，其中，第二签名对应第二设备的第二目标虚拟可信根DvTPM的身份信息，且第二签名绑定DpTPM的身份信息；在第一签名和第二签名匹配的情况下，将第一设备的源虚拟可信根SvTPM迁移至第二设备。本发明专利技术实施例利用区块链以去中心化的逻辑结构替代CA实现vTPM的迁移，当虚拟机频繁迁移时，避免产生短命无效证书和中心化的性能瓶颈节点。的性能瓶颈节点。的性能瓶颈节点。

【技术实现步骤摘要】
虚拟可信根的迁移方法及相关设备


[0001]本专利技术涉及信息安全领域，尤其涉及虚拟可信根的迁移方法及相关设备。

技术介绍

[0002]可信计算技术是从物理上安全的可信根出发，在计算环境中构筑从可信根到应用的完整可信链条，以向系统提供可信度量、可信存储、可信报告等可信支撑功能，支持系统应用可信运行的一种技术。当将可信计算技术应用于虚拟化系统中时，虚拟机之间的迁移成为了可信计算技术需要解决的问题。在虚拟化系统中，虚拟机管理器VMM(Virtual Machine Manager)从物理可信根pTPM(physical TPM)中虚拟出虚拟可信根vTPM(virtual TPM)，每一个vTPM对应一个虚拟机。当虚拟机需要从一个物理主机迁移到另一个物理主机时，相应的vTPM也要进行迁移。由于vTPM中包含着敏感秘钥信息，需要确保迁移的目的vTPM的身份是安全可靠的。
[0003]现有技术中，表明TPM身份的秘钥是AIK(Attestation Identity Key)非对称公私钥对，通常由AIK向CA(Certification Authority)申请证书，通过CA颁发的证书来表明AIK和TPM的身份，从而完成vTPM迁移，当虚拟机因负载均衡等原因迁移频繁时，会产生大量短命无效证书，造成资源浪费。

技术实现思路

[0004]本专利技术实施例提供虚拟可信根的迁移方法及相关设备，以解决现有vTPM迁移产生短命无效证书，造成资源浪费的问题。
[0005]为解决上述技术问题，本专利技术是这样实现的：
[0006]第一方面，本专利技术实施例提供了一种虚拟可信根的迁移方法，应用于第一设备，所述方法包括：
[0007]向第二设备发送迁移请求；
[0008]接收所述迁移请求对应的第一签名，其中，所述第一签名对应第一目标虚拟可信根DvTPM的身份信息；
[0009]获取所述第二设备的目标物理可信根DpTPM的身份信息；
[0010]基于所述DpTPM的身份信息，从区块链上获取第二签名，其中，所述第二签名对应所述第二设备的第二目标虚拟可信根DvTPM的身份信息，且所述第二签名绑定所述DpTPM的身份信息，所述第二目标物理可信根DvTPM为所述第二设备基于所述迁移请求为所述第一设备分配的DvTPM；
[0011]在所述第一签名和第二签名匹配的情况下，将所述第一设备的源虚拟可信根SvTPM迁移至所述第二设备。
[0012]可选的，所述在所述第一签名和第二签名匹配的情况下，将所述第一设备的源虚拟可信根SvTPM迁移至所述第二设备，包括：
[0013]解密所述第一签名和第二签名，分别得到第一解密信息和第二解密信息，其中，所
述第一解密信息包括第一目标虚拟可信根DvTPM的身份信息，所述第二解密信息包括所述第二目标虚拟可信根DvTPM的身份信息；
[0014]判断所述第一解密信息和第二解密信息是否匹配；
[0015]若匹配，则将所述第一设备的源虚拟可信根SvTPM迁移至所述第二设备。
[0016]可选的，所述第二目标物理可信根DvTPM包括第二AIK私钥、第二AIK公钥和第二平台配置寄存器信息；
[0017]所述第二签名由第二设备利用DpTPM的AIK私钥签名所述第二AIK公钥和第二平台配置寄存器信息得到。
[0018]可选的，所述DpTPM的身份信息包括DpTPM的AIK公钥；
[0019]所述基于所述DpTPM的身份信息，从区块链上获取第二签名，包括：
[0020]基于所述DpTPM的AIK公钥，在所述区块链上读取所述第二签名。
[0021]可选的，所述第一目标物理可信根DvTPM包括第一AIK私钥、第一AIK公钥和第一平台配置寄存器信息；
[0022]所述第一签名是利用所述第一AIK私钥签名所述第一AIK公钥和第一平台配置寄存器信息得到；
[0023]所述解密所述第一签名和第二签名，分别得到第一解密信息和第二解密信息，包括：
[0024]利用所述DpTPM的AIK公钥解密所述第二签名，得到包括所述第二AIK公钥和第二平台配置寄存器信息的第二解密信息；
[0025]利用所述第二AIK公钥解密所述第一签名，得到包括所述第一AIK公钥和第一平台配置寄存器信息的第一解密信息。
[0026]可选的，所述判断所述第一解密信息和第二解密信息是否匹配，包括：
[0027]若第一AIK公钥与第二AIK公钥匹配，且第一平台配置寄存器信息与第二平台配置寄存器信息匹配，则判断所述第一解密信息和第二解密信息匹配。
[0028]第二方面，本专利技术实施例提供了一种虚拟可信根的迁移方法，应用于第二设备，所述方法包括：
[0029]所述第二设备的目标物理可信根DpTPM对第二设备的目标虚拟可信根DvTPM的身份信息签名，生成第二签名，所述第二签名绑定所述DpTPM的身份信息；
[0030]将所述第二签名挂载至区块链；
[0031]接收第一设备发送的迁移请求；
[0032]基于所述迁移请求向所述第一设备发送的第一签名，其中，所述第一签名对应所述第二设备的DvTPM的身份信息；所述DvTPM为所述第二设备基于所述迁移请求为所述第一设备分配的DvTPM；
[0033]接收所述第一设备的源虚拟可信根SvTPM迁移信息。
[0034]可选的，所述DvTPM包括DvTPM的AIK私钥、DvTPM的AIK公钥和平台配置寄存器信息；
[0035]所述DpTPM包括DpTPM的AIK私钥和DpTPM的AIK公钥；
[0036]所述目标物理可信根DpTPM对第二设备的第二目标虚拟可信根DvTPM的身份信息签名，生成第二签名，包括：
[0037]所述DpTPM利用DpTPM的AIK私钥对所述DvTPM的AIK公钥和第二平台配置寄存器信息签名得到所述第二签名。
[0038]可选的，所述DpTPM的身份信息包括DpTPM的AIK公钥。
[0039]可选的，所述第一签名由所述第二设备利用所述DvTPM的AIK私钥签名所述DvTPM的AIK公钥和平台配置寄存器信息得到。
[0040]可选的，所述第二设备的目标物理可信根DpTPM对第二设备的目标虚拟可信根DvTPM的身份信息签名，生成第二签名步骤之前，所述方法，还包括：
[0041]通过所述第二设备的目标虚拟机管理器DVMM创建目标虚拟可信根DvTPM，得到目标虚拟可信根DvTPM的所述DvTPM的AIK私钥和DvTPM的AIK公钥。
[0042]第三方面，本专利技术实施例提供了一种虚拟可信根的迁移装置，应用于第一设备，所述装置包括：
[0043]第一发送模块，用于向第二设备发送迁移请求；
[0044]第一接收模块，用于接收所述迁移请求对应的第一签名，其中，所述第一签名对应第一目标虚拟可信根DvTPM的身份信息；
[0045]第一获取模块，用于获取所述第本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种虚拟可信根的迁移方法，应用于第一设备，其特征在于，所述方法包括：向第二设备发送迁移请求；接收所述迁移请求对应的第一签名，其中，所述第一签名对应第一目标虚拟可信根DvTPM的身份信息；获取所述第二设备的目标物理可信根DpTPM的身份信息；基于所述DpTPM的身份信息，从区块链上获取第二签名，其中，所述第二签名对应所述第二设备的第二目标虚拟可信根DvTPM的身份信息，且所述第二签名绑定所述DpTPM的身份信息，所述第二目标物理可信根DvTPM为所述第二设备基于所述迁移请求为所述第一设备分配的DvTPM；在所述第一签名和第二签名匹配的情况下，将所述第一设备的源虚拟可信根SvTPM迁移至所述第二设备。2.根据权利要求1所述的方法，其特征在于，所述在所述第一签名和第二签名匹配的情况下，将所述第一设备的源虚拟可信根SvTPM迁移至所述第二设备，包括：解密所述第一签名和第二签名，分别得到第一解密信息和第二解密信息，其中，所述第一解密信息包括第一目标虚拟可信根DvTPM的身份信息，所述第二解密信息包括所述第二目标虚拟可信根DvTPM的身份信息；判断所述第一解密信息和第二解密信息是否匹配；若匹配，则将所述第一设备的源虚拟可信根SvTPM迁移至所述第二设备。3.根据权利要求2所述的方法，其特征在于，所述第二目标物理可信根DvTPM包括第二AIK私钥、第二AIK公钥和第二平台配置寄存器信息；所述第二签名由第二设备利用DpTPM的AIK私钥签名所述第二AIK公钥和第二平台配置寄存器信息得到。4.根据权利要求3所述的方法，其特征在于，所述DpTPM的身份信息包括DpTPM的AIK公钥；所述基于所述DpTPM的身份信息，从区块链上获取第二签名，包括：基于所述DpTPM的AIK公钥，在所述区块链上读取所述第二签名。5.根据权利要求4所述的方法，其特征在于，所述第一目标物理可信根DvTPM包括第一AIK私钥、第一AIK公钥和第一平台配置寄存器信息；所述第一签名是利用所述第一AIK私钥签名所述第一AIK公钥和第一平台配置寄存器信息得到；所述解密所述第一签名和第二签名，分别得到第一解密信息和第二解密信息，包括：利用所述DpTPM的AIK公钥解密所述第二签名，得到包括所述第二AIK公钥和第二平台配置寄存器信息的第二解密信息；利用所述第二AIK公钥解密所述第一签名，得到包括所述第一AIK公钥和第一平台配置寄存器信息的第一解密信息。6.根据权利要求5所述的方法，其特征在于，所述判断所述第一解密信息和第二解密信
息是否匹配，包括：若第一AIK公钥与第二AIK公钥匹配，且第一平台配置寄存器信息与第二平台配置寄存器信息匹配，则判断所述第一解密信息和第二解密信息匹配。7.一种虚拟可信根的迁移方法，应用于第二设备，其特征在于，所述方法包括：所述第二设备的目标物理可信根DpTPM对第二设备的目标虚拟可信根DvTPM的身份信息签名，生成第二签名，所述第二签名绑定所述DpTPM的身份信息；将所述第二签名挂载至区块链；接收第一设备发送的迁移请求；基于所述迁移请求向所述第一设备发送的第一签名，其中，所述第一签名对应所述第二设备的DvTPM的身份信息；所述DvTPM为所述第二设备基于所述迁移请求为所述第一设备分配的DvTPM；接收所述第一设备的源虚拟可信根SvTPM迁移信息。8.根据权利要求7所述的方法，其特征在于，所述DvTPM包括DvTPM的AIK私钥、DvTPM的AIK公钥和平台配置寄存器信息；所述DpTPM包括DpTPM的AIK私钥和DpTPM的AIK公钥；所述目标物理可信根DpTPM对第二设备的第二目标虚拟可信根DvTPM的身份信息签名，生成第二签名，包括：所述DpTPM利用DpTPM的AIK私钥对所述DvTPM的AIK公钥和第二平台配置寄存器信息签名得到所述第二签名。9.根据权利要求7或8所述的方法，其特征在于，所述DpTPM的身份信息包括DpTPM的AIK公钥。10.根据权利要求8所述的方法，其特征在于，所述第一签名由所述第二设备利用所述DvTPM的AIK私钥签名所述DvTPM的AIK公钥和平台配置寄存器信息得到。11.根据权利要求8所述的方法，其特征在于，所述第二设备的目标物理可信根DpTPM对第二...

【专利技术属性】
技术研发人员：黄静，何申，杨朋霖，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：