可信计算系统中的计算装置及其认证方法制造方法及图纸

提供一种可信计算系统中的计算装置及其认证方法。所述计算装置包括被配置为按照程序代码的指示进行操作的至少一个处理器，所述程序代码包括：发送代码，被配置为使所述至少一个处理器将从包括在可信计算系统中的所述多个装置之中选择的第一装置的第一标识(ID)、从所述多个装置之中选择的第二装置的第二ID、以及现时值发送到主控制器；以及认证代码，被配置为使所述至少一个处理器基于聚合签名对所述第一装置和所述第二装置执行认证，其中，所述聚合签名的生成基于所述第一装置通过使用所述现时值生成第一签名的处理和所述第二装置通过使用所述第一签名生成第二签名的处理。置通过使用所述第一签名生成第二签名的处理。置通过使用所述第一签名生成第二签名的处理。

【技术实现步骤摘要】
可信计算系统中的计算装置及其认证方法
[0001]本申请要求于2021年11月23日在韩国知识产权局提交的第10
‑
2021
‑
0161831号韩国专利申请的优先权，所述韩国专利申请的公开通过引用全部包含于此。


[0002]本公开涉及可信计算(TC)系统中的计算装置及其认证方法。

技术介绍

[0003]在提供互联网的计算环境中，各种黑客攻击正在增加，并且为了防止这样的黑客攻击的操作系统或软件的持续的安全补丁被视为必要因素。因此，已经做出尝试以根本性地解决这些问题，并且作为结果，已经研究和开发了可信计算(TC)技术。
[0004]可信计算技术是一种施加可靠性从而计算机可按预期进行操作的技术，并且是一种旨在将基于硬件的安全芯片(诸如，可信平台模块(TPM))共同应用于具有计算能力的全部装置并为此提供软件作为开放标准的技术。可信计算技术可被广泛用于例如计算机认证、网络、打印、移动电话、应用安全等被使用的平台上。
[0005]当具有安全性的验证器访问包括多个装置的平台(例如，云平台)时，验证器需要对平台中的多个装置执行安全性认证，并且在这种情况下，当验证器对平台中的多个装置中的全部执行单独的安全性认证时，验证器的认证开销可增加。

技术实现思路

[0006]本公开的示例实施例的方面提供一种在可信计算环境中减少验证器的认证操作中的开销的可信计算系统。
[0007]本公开的示例实施例的方面提供一种在可信计算环境中减少验证器的认证操作中的开销的可信计算系统的认证方法。
[0008]根据公开的示例实施例的一个方面，提供一种在可信计算系统中的计算装置，所述可信计算系统包括多个装置和主控制器，主控制器被配置为控制所述多个装置，所述计算装置包括：至少一个存储器，被配置为存储程序代码；以及至少一个处理器，被配置为读取程序代码并按照程序代码的指示进行操作，程序代码包括：发送代码，被配置为使所述至少一个处理器将从所述多个装置之中选择的第一装置的第一标识(ID)、从所述多个装置之中选择的第二装置的第二ID、以及现时值发送到主控制器；接收代码，被配置为使所述至少一个处理器从主控制器接收聚合签名；以及认证代码，被配置为使所述至少一个处理器基于聚合签名对第一装置和第二装置执行认证，其中，聚合签名基于第一装置通过使用现时值生成第一签名的处理和第二装置通过使用第一签名生成第二签名的处理。
[0009]根据公开的示例实施例的一个方面，提供一种可信计算系统中的计算装置的认证方法，所述可信计算系统包括多个装置和主控制器，主控制器被配置为控制所述多个装置，所述认证方法包括：将从所述多个装置之中选择的第一装置的第一标识(ID)、从所述多个装置之中选择的第二装置的第二ID、以及现时值发送到主控制器；从主控制器接收聚合签
名；并且基于聚合签名对第一装置和第二装置执行认证，其中，聚合签名基于第一装置通过使用现时值生成第一签名的处理和第二装置通过使用第一签名生成第二签名的处理。
[0010]根据公开的示例实施例的一个方面，提供一种包括在可信计算系统中的计算装置，所述可信计算系统包括多个装置和主控制器，主控制器被配置为控制所述多个装置，所述计算装置包括：验证器，被配置为认证所述多个装置之中的目标装置的可靠性，其中，验证器还被配置为将针对目标装置的验证请求发送到主控制器，并且使用从主控制器接收的聚合签名来认证目标装置的可靠性，聚合签名通过组合目标装置中的每个的签名而生成。
附图说明
[0011]通过参照附图详细描述本公开的示例性实施例，本公开的以上和其他方面和特征将变得更加清楚，其中：
[0012]图1是示出根据一些示例性实施例的可信计算系统的框图。
[0013]图2是示出根据一些示例性实施例的在验证器与主控制器之间的操作的梯形图。
[0014]图3是示出根据一些示例性实施例的可信计算系统的认证方法的流程图。
[0015]图4是示出用于描述根据一些示例性实施例的可信计算系统的认证方法的在平台内的操作的示例性框图。
[0016]图5是示出根据一些示例性实施例的在平台内用于生成聚合签名的操作的示例性示图。
[0017]图6是示出图5的操作的流程图。
[0018]图7是示出根据一些示例性实施例的存储在验证器中的在平台中的装置上的信息的示例性框图。
[0019]图8是示出根据一些示例性实施例的验证器的认证操作的示例性示图。
[0020]图9是示出图8的操作的流程图。
[0021]图10是示出根据一些示例性实施例的另一可信计算系统的框图。
[0022]图11是示出根据一些示例性实施例的在验证器与主控制器之间的操作的梯形图。
[0023]图12是示出根据一些示例性实施例的用于描述另一可信计算系统的认证方法的在平台内的操作的示例性框图。
[0024]图13是示出根据一些示例性实施例的被应用可信计算系统的数据中心的示例性框图。
具体实施方式
[0025]在下文中，将参照附图描述各种示例实施例。
[0026]图1是示出根据一些示例性实施例的可信计算系统的框图。
[0027]参照图1，可信计算系统10包括验证器100和平台200。
[0028]验证器100是意图使用平台200的用户，并且可以是向平台200请求服务的用户。验证器100可执行认证(attest)平台200是否可信的可靠性的操作，并且可与本公开中的可信计算系统中的计算装置对应。验证器100可包括例如任何电子装置(诸如，个人计算机、蜂窝电话、手持通讯装置、膝上型计算机、机顶盒、个人数字助理或电子书阅读器)。虽然在图1中未示出，但是验证器100可包括至少一个存储器和至少一个处理器，至少一个存储器被配置
为存储程序代码，并且至少一个处理器被配置为读取程序代码并按照程序代码的指示进行操作，并且验证器100可包括执行以下描述的验证器100的功能和操作的硬件组件、用于执行以下描述的验证器100的功能和操作的计算机程序代码、或者配备有计算机程序代码的电子记录介质(例如，处理器)。换言之，验证器100可以是用于实现专利技术构思的硬件和/或用于运行该硬件的软件的功能和/或结构组合。
[0029]平台200包括主控制器210和多个装置220
‑
1至220
‑
n，其中，n是正整数。主控制器210可控制平台200的整体操作。此外，主控制器210可与包括在平台200中的装置220
‑
1至220
‑
n通信。例如，主控制器210可将命令发送到多个装置220
‑
1至220
‑
n。主控制器210可以是例如基板管理控制器(BMC)、可信平台模块(TPM)或安全处理器。多个装置220
‑
1至220
‑
n中的每个可以是例如中央处理器(CPU)、图形处理器(GPU)、存储装置或网络接口卡本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种可信计算系统中的计算装置，所述可信计算系统包括多个装置和主控制器，所述主控制器被配置为控制所述多个装置，所述计算装置包括：至少一个存储器，被配置为存储程序代码；以及至少一个处理器，被配置为读取所述程序代码并按照所述程序代码的指示进行操作，所述程序代码包括：发送代码，被配置为使所述至少一个处理器将从所述多个装置之中选择的第一装置的第一标识ID、从所述多个装置之中选择的第二装置的第二ID、以及现时值发送到所述主控制器；接收代码，被配置为使所述至少一个处理器从所述主控制器接收聚合签名；以及认证代码，被配置为使所述至少一个处理器基于所述聚合签名对所述第一装置和所述第二装置执行认证，其中，所述聚合签名的生成基于所述第一装置通过使用所述现时值生成第一签名的处理和所述第二装置通过使用所述第一签名生成第二签名的处理。2.根据权利要求1所述的计算装置，其中，所述第一装置和所述第二装置被配置为分别使用公钥加密算法聚合所述第一签名和所述第二签名，并且所述第二签名被接收作为所述聚合签名。3.根据权利要求2所述的计算装置，其中，所述第一装置和所述第二装置被配置为分别使用RSA算法聚合所述第一签名和所述第二签名，并且其中，所述第一签名基于以下处理生成：由所述第一装置通过对所述现时值和所述第一装置的第一状态值执行异或XOR运算，生成第一当前值；以及由所述第一装置基于所述第一当前值和所述第一装置的第一秘密密钥执行签名。4.根据权利要求3所述的计算装置，其中，所述第二签名基于以下处理生成：由所述第二装置通过对所述第一签名和所述第二装置的第二状态值执行XOR运算，生成第二当前值；以及由所述第二装置基于所述第二当前值和所述第二装置的第二秘密密钥执行签名。5.根据权利要求1至4中任一项所述的计算装置，还包括：存储设备，被配置为存储公钥库、状态值库以及现时值库，所述公钥库存储所述第一装置的第一公钥和所述第二装置的第二公钥，所述状态值库存储所述第一装置的第一状态值和所述第二装置的第二状态值，所述现时值库存储所述现时值。6.根据权利要求5所述的计算装置，其中，所述认证代码还被配置为使所述至少一个处理器使用所述第一公钥、所述第二公钥、所述第一状态值、所述第二状态值和所述现时值对所述第一装置和所述第二装置执行认证。7.根据权利要求1所述的计算装置，其中，所述多个装置中的至少一些包括多个虚拟机VM，并且其中，所述发送代码还被配置为使所述至少一个处理器将所述多个虚拟机之中的第一虚拟机的第一VM ID、所述多个虚拟机之中的第二虚拟机的第二VM ID、以及所述现时值发送到主控制器，
其中，所述聚合签名的生成基于所述第一虚拟机通过使用所述现时值生成第1m签名的处理和所述第二虚拟机通过使用所述第1m签名生成第2m签名的处理。8.一种可信计算系统中的计算装置的认证方法，所述可信计算系统包括多个装置和主控制器，所述主控制器被配置为控制所述多个装置，所述认证方法包括：将从所述多个装置之中选择的第一装置的第一标识ID、从所述多个装置之中选择的第二装置的第二ID、以及现时值发送到所述主控制器；从所述主控制器接收聚合签名；基于所述聚合签名对所述第一装置和所述第二装置执行认证，其中，所述聚合签名的生成基于所述第一装置通过使用所述现时值生成第一签名的处理和所述第二装置通过使用所述第一签名生成第二签名的处理。9.根据权利要求8所述的认证方法，其中，所述第一装置和所述第二装置分别被配置为使用公钥加密算法聚合所述第一签名和所述第二签名，并且所述第二签名被接收为所述聚合签名。10.一种包括在可信计算系统中的计算装置，所述可信计算系统包括多个装置和主控制器，所述主控制器被配置为控制所述多个装置，所述计算装置包括：验证器，被配置为认证所述多个装置之中的目标装置的可靠性，其中，所述验证器还被配置为将针对所述目标装置的验证请求发送到所述主控制器，并且使用从所述主控制器接收的聚合签名来认证所述目标装置的可靠性，所述聚合签名通过组合所述目标装置中的每个的签名而生成。11.根据权利要求10所述的计算装置，其中，所述聚合签名通过使用公钥加密算法生成。12.根据权利要求11所述的计算装置，其中，所述聚合签名通过使用RSA算法生成，其中，所述聚合签名基于以下处理生成：由所述目标装置的第一部分通过使用所述目标装置的所述第一部分的至少一个第一状态值生成第一当前值，并且由所述目标装置的所述第一部分基于所述第一当前值和所述目标装置的所述第一部分的第一秘密密钥执行签名而生成第一签名，并且其...

【专利技术属性】
技术研发人员：李丞镐，朴昭贤，廉允皓，崔明植，
申请(专利权)人：三星电子株式会社，
类型：发明
国别省市：