本发明专利技术提供了一种虚拟可信根标识认证系统,包括云可信计算节点,云可信计算节点用于管理维护pTCM提供的物理身份凭证pAIK和ID标识;云可信管理中心vcenter,云可信管理中心vcenter用于为VM虚拟机提供密钥管理和密码服务,并协助vTCM管理器管理身份凭证证书vAIK;全局标识服务系统,全局标识服务系统用于为pTCM和vTCM管理器提供全局唯一ID标识和身份标识的解析服务。本发明专利技术通过在全虚拟化VMM模式下实现vTCM,并采用全局标识系统,通过对pTCM和vTCM进行标识绑定,在vm身份认证中通过handle系统来传递平台身份信息而不需要pTCM的参与。的参与。的参与。
【技术实现步骤摘要】
一种虚拟可信根标识认证系统
[0001]本专利技术涉及到信息安全
,尤其涉及到一种虚拟可信根标识认证系统。
技术介绍
[0002]目前主流的标识技术有Handle、OID(object identifier,对象标识符)、Ecode(entity code for Io T,物联网统一标识体系)、Epc、UCode等,分别由不同的组织机构提出,其出发点都是面向物品对象、数字对象等进行唯一标记及提供信息查询的功能,进而发展成一种底层的信息架构。Handle系统是一种分布式信息系统,该系统提供可用于互联网等网络的有效、可扩展以及安全的全球命名服务。Handle系统使分布式计算机系统能够存储数字资源的名称(或handle),还能将这些handle解析为定位、访问和以其它方式利用资源所需的信息。Handle系统支持安全的handle解析,也可以根据客户的要求提供安全服务,如数据保密性、数据完整性和不可抵赖性。
[0003]云计算以其软件开发部署模式的创新,为大数据、物联网、人工智能等新兴领域的发展提供了基础支撑,催生出强大的产业链和产业生态。在云计算的架构下,云计算开放网络和业务共享场景更加复杂多变,安全性方面的挑战更加严峻,存在用户身份、业务共享、数据交换与存储等安全风险,云安全保障是云计算的一个显著特性。
[0004]可信计算以一个硬件安全模块(TCM)作为可信根,为宿主计算机提供平台身份认证、完整性保护和安全存储功能,把TCM集成到服务器上,将可信计算技术应用到基于服务器的虚拟计算系统中,可以在云计算应用场景中提供基于硬件的可信安全保护功能。随着云计算技术的发展,其面临的安全问题也越来越严重,可信云计算技术是利用可信计算技术来保障云计算环境安全的重要技术。
[0005]虚拟可信根由特定的颁发者发布,作为一种安全组件可以为虚拟机提供密码学算法功能、安全存储等功能。虚拟可信根中存放了虚拟机用户的密钥等敏感信息,一旦虚拟可信根被恶意攻击者替换,虚拟机用户使用被替换的虚拟可信根加解密隐私数据时,可能会导致隐私数据被破坏。
[0006]当前的可信云计算架构主要是以VMM等虚拟机平台为基础,通过对平台本身的物理TCM(pTCM)进行虚拟化为vTCM来保护虚拟机的安全。将pTCM虚拟化为vTCM,需要解决好信任扩展和vTCM的身份绑定问题。但目前全虚拟化VMM模式VMM的可信证明可以由pTPM保证,但是vm不个性化,可信证明不做考虑,有vm的客户机OS自身可信来保障,VMM不参与vm自身可信性安全管理。
[0007]当前的可信云计算架构主要是以VMM等虚拟机平台为基础,通过对平台本身的物理TCM(pTCM)进行虚拟化为vTCM来保护虚拟机的安全。将pTCM虚拟化为vTCM,需要解决好信任扩展和vTCM的身份绑定问题。但目前全虚拟化VMM模式存在如下问题:
[0008]一、当前只能实现pTPM的虚拟化,尚未实现vTCM;
[0009]二、vm信任需要pTPM间接来证明,vTPM只能提供身份凭证和密码服务,vm自身可信证明需要完善。
技术实现思路
[0010]本专利技术的目的在于提供一种虚拟可信根标识认证系统,以解决上述
技术介绍
中提出的问题。
[0011]本专利技术是通过以下技术方案实现:
[0012]本专利技术提供了一种虚拟可信根标识认证系统,该虚拟可信根标识认证系统包括:
[0013]云可信计算节点,所述云可信计算节点用于管理维护pTCM提供的物理身份凭证pAIK和ID标识;
[0014]云可信管理中心vcenter,所述云可信管理中心vcenter用于为VM虚拟机提供密钥管理和密码服务,并协助vTCM管理器管理身份凭证证书vAIK;
[0015]全局标识服务系统,所述全局标识服务系统用于为所述pTCM和所述vTCM管理器提供全局唯一ID标识和身份标识的解析服务。
[0016]优选的,所述云可信计算节点包括所述pTCM、VMM、所述vTCM管理器和所述VM虚拟机;其中,
[0017]所述pTCM用于为所述云可信计算节点提供所述物理身份凭证pAIK和所述ID标识,所述物理身份凭证pAIK为所述可信计算节点主机可信身份凭证,所述ID标识为所述云可信计算节点全球唯一身份标识;
[0018]所述VMM全虚拟化生成到所述vTCM管理器并以设备形式存在于VMM文件系统中,所述VMM在生成到所述VM虚拟机时将所述vTCM管理器装载于所述VM虚拟机中并成为所述VM虚拟机的一个设备vTCM1,所述VM虚拟机调用所述vTCM1为所述VM虚拟机的应用提供身份可信证明与身份认证服务。
[0019]优选的,所述全局标识服务系统以数字编码方式为云环境中的所有所述云计算可信节点提供标识注册、解析、安全存储服务。
[0020]优选的,所述ID标识同步存储到所述pTCM和所述vTCM管理器,所述ID标识的ID表达式为:标识节点/pTCM标识/vTCM标识。
[0021]优选的,所述pTCM为所述云可信计算节点的可信根,所述pTCM基于信任扩展将身份可信传递到所述vTCM管理器。
[0022]优选的,所述VMM是所述pTCM的唯一拥有者并管理维护所述vTCM管理器,所述vTCM管理器与所述pTCM一一对应。
[0023]优选的,所述vTCM管理器包括所述ID标识、PCR、策略管理、杂凑操作、所述物理身份凭证pAIK、时间戳的对象以及数据加解密的相关函数。
[0024]优选的,所述VM虚拟机用于调用所述vTCM管理器提供的所述ID标识和所述身份凭证证书vAIK的信息,并通过解析所述ID标识和提取所述身份凭证证书vAIK的信息来向云应用提供身份可信凭证和身份认证服务。
[0025]与现有技术相比,本专利技术的有益效果是:本专利技术通过在全虚拟化VMM模式下实现vTCM,并采用全局标识系统(如handle系统),通过对pTCM和vTCM进行标识绑定,在vm身份认证中通过handle系统来传递平台身份信息而不需要pTCM的参与。
附图说明
[0026]图1是本专利技术实施例提供的虚拟可信根标识认证系统的架构图。
具体实施方式
[0027]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0028]请参阅图1,图1是本专利技术实施例提供的虚拟可信根标识认证系统的架构图。
[0029]本专利技术实施例提供了一种虚拟可信根标识认证系统,如图1所示,该虚拟可信根标识认证系统包括云可信计算节点1、云可信管理中心vcenter2以及全局标识服务系统3,云可信计算节点1用于管理维护pTCM11提供的物理身份凭证pAIK和ID标识,云可信管理中心vcenter2用于为VM虚拟机14提供密钥管理和密码服务,并本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种虚拟可信根标识认证系统,其特征在于,包括:云可信计算节点,所述云可信计算节点用于管理维护pTCM提供的物理身份凭证pAIK和ID标识;云可信管理中心vcenter,所述云可信管理中心vcenter用于为VM虚拟机提供密钥管理和密码服务,并协助vTCM管理器管理身份凭证证书vAIK;全局标识服务系统,所述全局标识服务系统用于为所述pTCM和所述vTCM管理器提供全局唯一ID标识和身份标识的解析服务。2.根据权利要求1所述的虚拟可信根标识认证系统,其特征在于,所述云可信计算节点包括所述pTCM、VMM、所述vTCM管理器和所述VM虚拟机;其中,所述pTCM用于为所述云可信计算节点提供所述物理身份凭证pAIK和所述ID标识,所述物理身份凭证pAIK为所述可信计算节点主机可信身份凭证,所述ID标识为所述云可信计算节点全球唯一身份标识;所述VMM全虚拟化生成到所述vTCM管理器并以设备形式存在于VMM文件系统中,所述VMM在生成到所述VM虚拟机时将所述vTCM管理器装载于所述VM虚拟机中并成为所述VM虚拟机的一个设备vTCM1,所述VM虚拟机调用所述vTCM1为所述VM虚拟机的应用提供身份可信证明与身份认证服务。3.根据权利要求2所述的虚拟可信根标识认证系统,其...
【专利技术属性】
技术研发人员:韩勇桥,李文华,马帅,姚尧,
申请(专利权)人:北京旋极安辰计算科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。