CN107465689B - 云环境下的虚拟可信平台模块的密钥管理系统及方法 - Google Patents

云环境下的虚拟可信平台模块的密钥管理系统及方法 Download PDF

Info

Publication number
CN107465689B
CN107465689B CN201710804893.9A CN201710804893A CN107465689B CN 107465689 B CN107465689 B CN 107465689B CN 201710804893 A CN201710804893 A CN 201710804893A CN 107465689 B CN107465689 B CN 107465689B
Authority
CN
China
Prior art keywords
trusted
management server
virtual
platform module
application data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710804893.9A
Other languages
English (en)
Other versions
CN107465689A (zh
Inventor
郑驰
梁思谦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Datang Gaohong Xin'an Zhejiang Information Technology Co ltd
Original Assignee
Datang Gaohong Xin'an Zhejiang Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Datang Gaohong Xin'an Zhejiang Information Technology Co ltd filed Critical Datang Gaohong Xin'an Zhejiang Information Technology Co ltd
Priority to CN201710804893.9A priority Critical patent/CN107465689B/zh
Publication of CN107465689A publication Critical patent/CN107465689A/zh
Application granted granted Critical
Publication of CN107465689B publication Critical patent/CN107465689B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Abstract

本发明公开一种云环境下的虚拟可信平台模块的密钥管理系统及方法,于可信主机上建立虚拟机及其对应的虚拟可信平台模块,其中,将虚拟可信平台模块的密钥管理功能独立出来,由硬件密码设备实现,同时结合资源管理服务器、证书管理服务器、可信认证服务器等进行密钥管理和认证,虚拟可信平台模块的其它功能通过软件实现,一方面,可保证虚拟可信平台模块迁移时的灵活性;另一方面,可实现密钥等关键信息的硬件级保护,可信主机与密码设备客户端之间通过保密通道传输应用数据对称密钥,提高密钥等关键信息的安全性;可将密钥使用及管理的控制权从云服务提供商转移到虚拟机及虚拟可信平台模块的用户手中,密钥管理实现了非集中管理模式。

Description

云环境下的虚拟可信平台模块的密钥管理系统及方法
技术领域
本发明涉及一种云环境下的虚拟可信平台模块的密钥管理系统及方法,属于信息安全技术领域。
背景技术
可信计算在工业上的主要实现方式为硬件可信平台模块(TPM:Trusted PlatformModule),因为可信平台模块自身性能以及成本的局限性,无法向上层云服务提供充分的可信安全服务。为此虚拟可信平台模块的概念被提出,它通过模拟硬件可信平台模块的功能和接口来为每个虚拟机分配一个虚拟可信平台模块,能够实现相当于可信平台模块的各项功能,解决上层云服务的安全问题。
由于虚拟可信平台模块完全基于软件实现,能够实现其随虚拟机的迁移而迁移,不受绑定硬件的限制,灵活性较强,但由于密钥等关键信息缺少硬件设备的保护,密钥管理无法达到硬件安全级别,相较于硬件可信平台模块,虚拟可信平台模块的密钥等关键信息更易受到攻击,安全性较差。
发明内容
鉴于上述原因,本发明的目的在于提供一种云环境下的虚拟可信平台模块的密钥管理系统及方法,利用密码设备实现虚拟可信平台模块的密钥管理功能,同时结合资源管理服务器、可信认证服务器、证书管理服务器等进行密钥管理和认证,既可保证虚拟可信平台模块的使用灵活性,又可提高密钥等关键信息的安全性。
为实现上述目的,本发明采用以下技术方案:
一种云环境下的虚拟可信平台模块的密钥管理系统,包括密码设备、密码设备客户端、资源管理服务器、服务器资源池、可信认证服务器、证书管理服务器,
密码设备,用于实现虚拟可信平台模块的密钥管理功能;
密码设备客户端,用于实现密码设备与资源管理服务器之间的数据交互,实现虚拟可信平台模块的生成、管理、迁移;
资源管理服务器,用于根据可信认证服务器的可信主机完整性验证信息,从服务器资源池中确定运行虚拟机及虚拟可信平台模块的可信主机;用于在可信主机与密码设备客户端之间建立保密通道;
证书管理服务器,用于根据密码设备的密钥及虚拟机、虚拟可信平台模块的信息生成证书,并将证书保存于密码设备。
创建虚拟机及虚拟可信平台模块的方法是:
密码设备生成vAIK公钥、vAIK私钥,经密码设备客户端向资源管理服务器发送包括vAIK公钥和密码设备的数字证书的创建虚拟机请求消息,该数字证书包括密码设备的身份信息UsbID;
资源管理服务器向证书管理服务器发送包括密码设备的数字证书的认证消息,
数字证书认证通过,资源管理服务器通过可信认证服务器获取服务器资源池中处于可信状态的可信主机列表,资源管理服务器从中确定可信主机,向服务器资源池发送于该可信主机上创建虚拟机及虚拟可信平台模块的请求消息;
该可信主机创建虚拟机及虚拟可信平台模块,生成虚拟机vmID、虚拟可信平台模块vTPMID,向资源管理服务器发送vmID、vTPMID及该可信主机所属可信资源池CtrsID;
资源管理服务器向证书管理服务器发送包括vmID、vTPMID、CtrsID、vAIK公钥的证书请求,证书管理服务器根据该证书请求,生成vAIK证书,返回给资源管理服务器;
资源管理服务器将vAIK证书经密码设备客户端传输至密码设备,资源管理服务器维护CtrsID-vmID-vTPMID-UsbID关系对照表。
在密码设备客户端与可信主机之间建立保密通道,包括:
密码设备客户端向资源管理服务器发送保密通道连接请求消息,该请求消息包括密码设备保存的vAIK证书及UsbID;
资源管理服务器根据CtrsID-vmID-vTPMID-UsbID关系对照表,从服务器资源池中确定可信主机;
密码设备客户端与该可信主机通过资源管理服务器建立保密通道。
对所述虚拟机的应用数据进行加密,包括:
虚拟机的上层应用请求加密应用数据;
虚拟可信平台模块生成应用数据对称密钥,利用该应用数据对称密钥对应用数据进行加密处理,生成密文应用数据;
虚拟可信平台模块将应用数据对称密钥经所述保密通道传输给密码设备客户端,保存于密码设备;
虚拟可信平台模块计算该应用数据对称密钥的摘要值,保存应用数据对称密钥-摘要值关系表,并将该应用数据对称密钥-摘要值关系表传输至密码设备客户端。
对所述虚拟机的应用数据进行解密,包括:
虚拟机的上层应用请求解密应用数据;
虚拟可信平台模块向密码设备客户端发送获取应用数据对称密钥的请求消息,该请求消息包括要获取的应用数据对称密钥对应的摘要值;
密码设备客户端接收该请求消息,根据摘要值确定应用数据对称密钥,从密码设备中获取该应用数据对称密钥;
密码设备客户端将应用数据对称密钥经所述保密通道传输至虚拟可信平台模块;
虚拟可信平台模块利用应用数据对称密钥对密文应用数据进行解密处理,将生成的明文应用数据返回给上层应用。
虚拟机与虚拟可信平台模块的迁移方法是:
密码设备客户端向资源管理服务器发送虚拟机迁移请求消息,该请求消息包括密码设备保存的vAIK证书及UsbID;
资源管理服务器根据CtrsID-vmID-vTPMID-UsbID关系对照表,确定当前宿主可信主机;
资源管理服务器通过可信认证服务器获取服务器资源池中处于可信状态的可信主机列表,资源管理服务器从中确定目的宿主可信主机;
虚拟机及虚拟可信平台模块从当前宿主可信主机迁移到目的宿主可信主机;
资源管理服务器更新CtrsID-vmID-vTPMID-UsbID关系对照表。
所述服务器资源池包括可信资源池与普通资源池,可信资源池包括若干经过完整性验证的可信主机,普通资源池包括若干未经完整性验证或是验证未通过的普通主机。
云环境下的虚拟可信平台模块的密钥管理方法,包括:
利用密码设备实现虚拟可信平台模块的密钥管理功能;
利用密码设备客户端实现密码设备与资源管理服务器之间的数据交互,实现虚拟可信平台模块的生成、管理、迁移;
利用资源管理服务器根据可信认证服务器的可信主机完整性验证信息,从服务器资源池中确定运行虚拟机及虚拟可信平台模块的可信主机;以及在可信主机与密码设备客户端之间建立保密通道;
利用证书管理服务器根据密码设备的密钥及虚拟机、虚拟可信平台模块的信息生成证书,并将证书保存于密码设备;
其中,创建所述虚拟机及虚拟可信平台模块的方法是:
密码设备生成vAIK公钥、vAIK私钥,经密码设备客户端向资源管理服务器发送包括vAIK公钥和密码设备的数字证书的创建虚拟机请求消息,该数字证书包括密码设备的身份信息UsbID;
资源管理服务器向证书管理服务器发送包括密码设备的数字证书的认证消息,
数字证书认证通过,资源管理服务器通过可信认证服务器获取服务器资源池中处于可信状态的可信主机列表,资源管理服务器从中确定可信主机,向服务器资源池发送于该可信主机上创建虚拟机及虚拟可信平台模块的请求消息;
该可信主机创建虚拟机及虚拟可信平台模块,生成虚拟机vmID、虚拟可信平台模块vTPMID,向资源管理服务器发送vmID、vTPMID及该可信主机所属可信资源池CtrsID;
资源管理服务器向证书管理服务器发送包括vmID、vTPMID、CtrsID、vAIK公钥的证书请求,证书管理服务器根据该证书请求,生成vAIK证书,返回给资源管理服务器;
资源管理服务器将vAIK证书经密码设备客户端传输至密码设备,资源管理服务器维护CtrsID-vmID-vTPMID-UsbID关系对照表。
本发明的优点是:
1、本发明的系统及方法,将虚拟可信平台模块的密钥管理模块独立出来,利用便携式密码设备进行密钥存储与管理,而虚拟可信平台模块的其他功能通过软件实现,通过软件和硬件的结合,即可保证虚拟可信平台模块在云环境下的使用灵活性,又可提高密钥管理的安全性;
2、本发明的系统及方法,密码设备可以是UsbKey或带有USB接口的加密SD卡等便携式密码设备,基于便携式密码设备实现虚拟可信平台模块的密钥管理,并提供配套的密码设备客户端供用户操作使用,可将虚拟机及虚拟可信平台模块的密钥使用和管理控制权从云服务提供商转移到用户手中,满足用户隐私安全需求,实现了非集中管理模式。
附图说明
图1是本发明的系统组成框图。
图2是本发明的创建虚拟机及虚拟可信平台模块的信号流向示意图。
图3是本发明的建立保密通道的信号流向示意图。
图4是本发明的应用数据加密过程的信号流向示意图。
图5是本发明的应用数据解密过程的信号流向示意图。
图6是本发明的虚拟机及虚拟可信平台模块迁移的信号流向示意图。
具体实施方式
以下结合附图和实施例对本发明作进一步详细的描述。
如图1所述,本发明公开的云环境下的虚拟可信平台模块的密钥管理系统,包括密码设备、密码设备客户端、资源管理服务器、服务器资源池、可信认证服务器、证书管理服务器等。
密码设备,基于硬件实现的密码管理设备,如便携式USB密码设备,密钥设备包括密钥管理模块、加解密运算模块,密钥管理模块用于管理虚拟可信平台模块的密钥,包括生成密钥、存储密钥、使用密钥、销毁密钥等,密钥包括根密钥、虚拟身份认证密钥、存储密钥等符合TPM2.0规范的密钥。
密码设备客户端,安装于终端主机,是密码设备与资源管理服务器的通信接口,用于实现密码设备与资源管理服务器之间的数据交互;
资源管理服务器,用于分别与密码设备客户端、服务器资源池、可信认证服务器、证书管理服务器进行数据交互;
服务器资源池,包括若干服务器主机,根据完整性度量结果,划分为可信资源池及普通资源池,可信资源池包括若干完整性验证通过的可信主机,普通资源池包括若干未经完整性度量或是完整性验证未通过的普通主机。可信主机与普通主机上可运行虚拟机及虚拟可信平台模块。
可信认证服务器,保存有服务器资源池中各可信主机的完整性验证信息。
证书管理服务器,用于证书管理,包括认证、签发、吊销等。
基于上述系统实现的虚拟可信平台模块的密钥管理方法,包括:
一、创建虚拟机及虚拟可信平台模块
如图2所示,具体方法是:
1)建立连接;
将密码设备插入终端主机,登陆密码设备客户端,密码设备客户端与资源管理服务器建立加密网络连接,密码设备客户端可以执行符合TPM2.0规范的相关操作。
2)密码设备生成vAIK密钥对,将vAIK公钥和密码设备的数字证书传输至密码设备客户端;
密码设备内预先设定存储根密钥(SRK)和密码设备的数字证书,该数字证书包括密码设备的身份信息UsbID,密码设备基于SRK密钥生成虚拟身份认证密钥(vAIK),包括vAIK公钥、vAIK私钥对,将vAIK公钥和密码设备的数字证书传输至密码设备客户端。
3)密码设备客户端向资源管理服务器发送创建虚拟机请求消息,该请求消息包括vAIK公钥和密码设备的数字证书;
4)资源管理服务器接收该创建虚拟机请求消息,向证书管理服务器发送证书验证消息,该证书验证消息包括密码设备的数字证书,用以验证密码设备的数字证书的有效性;
5)密码设备的数字证书验证通过后,资源管理服务器向可信认证服务器发送查询服务器资源池中可信主机的完整性验证信息的请求消息,可信认证服务器向资源管理服务器返回根据完整性验证信息判断为可信状态的可信主机列表;
6)资源管理服务器从返回的可信主机列表中,选取一个可信主机,确定在该可信主机上建立虚拟机及相应的虚拟可信平台模块,资源管理服务器向服务器资源池发送于选定的可信主机上建立虚拟机及虚拟可信平台模块的请求消息;
7)服务器资源池接收该请求消息,于该可信主机上建立虚拟机及相应的虚拟可信平台模块,生成虚拟机vmID、虚拟可信平台模块vTPMID,将生成的虚拟机vmID、虚拟可信平台模块vTPMID及该可信主机所在的可信资源池CtrsID发送给资源管理服务器;
8)资源管理服务器与证书管理服务器进行认证过程,得到vAIK证书,
认证过程包括:资源管理服务器将可信资源池CtrsID、虚拟机vmID、虚拟可信平台模块vTPMID、vAIK公钥、UsbID发送给证书管理服务器;证书管理服务器根据上述各项信息签名得到vAIK证书;证书管理服务器将vAIK证书发送给资源管理服务器;
9)资源管理服务器保存CtrsID-vmID-vTPMID-UsbID关系对照表;
10)资源管理服务器将vAIK证书发送给密码设备客户端;
11)密码设备客户端将vAIK证书传输给密码设备,密码设备保存该vAIK证书,并将vAIK私钥经SRK密钥加密后保存。
二、虚拟可信平台模块的数据加解密处理
1、建立保密通道
如图3所示,具体方法是:
1)建立连接;
将密码设备插入终端主机,登陆密码设备客户端,密码设备客户端与资源管理服务器建立加密网络连接。
2)密码设备客户端向资源管理服务器发送建立保密通道请求消息,该请求消息包括vAIK证书及UsbID;
3)资源管理服务器接收该请求消息,资源管理服务器根据其保存的CtrsID-vmID-vTPMID-UsbID关系对照表,查找该密码设备的UsbID对应的CtrsID、vmID,资源管理服务器根据CtrsID、vmID向服务器资源池中对应的可信资源池CtrsID中运行虚拟机vmID的可信主机请求建立保密通道,该可信主机与资源管理服务器建立保密通道后,可信主机向资源管理服务器发送连接成功的消息;
4)资源管理服务器与密码设备客户端之间建立保密通道;
资源管理服务器生成会话密钥,利用vAIK公钥对会话密钥加密后,将密文会话密钥传输至密码设备客户端,密码设备客户端从密码设备调用vAIK私钥,对密文会话密钥进行解密生成明文的会话密钥,后续资源管理服务器与密码设备客户端之间利用会话密钥对交互的数据进行加解密处理,在资源管理服务器与密码设备客户端之间建立保密通道。
2、数据加密
如图4所示,方法是:
1)虚拟机的上层应用请求加密应用数据;
2)虚拟可信平台模块收到该请求,生成应用数据对称密钥(AppKey),利用该应用数据对称密钥对应用数据进行加密处理,生成密文应用数据;
3)虚拟可信平台模块将AppKey经保密通道传输给密码设备客户端,保存于密码设备;
4)虚拟可信平台模块计算该AppKey的摘要值,保存AppKey-摘要值关系表,并将该AppKey-摘要值关系表传输至密码设备客户端。
3、数据解密
如图5所示,方法是:
1)虚拟机的上层应用请求解密应用数据;
2)虚拟可信平台模块向密码设备客户端发送获取AppKey的请求消息,该请求消息包括要获取的AppKey对应的摘要值;
3)密码设备客户端接收该请求消息,根据摘要值确定AppKey,从密码设备中获取该AppKey;
4)密码设备客户端将AppKey经保密通道传输至虚拟可信平台模块;
5)虚拟可信平台模块利用AppKey对密文应用数据进行解密处理,将生成的明文应用数据返回给上层应用。
三、虚拟机及相应的虚拟可信平台模块迁移
如图6所示,具体方法是:
1)建立连接;
将密码设备插入终端主机,登陆密码设备客户端,密码设备客户端与资源管理服务器建立加密网络连接。
2)密码设备客户端向资源管理服务器发送虚拟机迁移请求消息,该请求消息包括vAIK证书及UsbID;
3)资源管理服务器接收该虚拟机迁移请求消息,资源管理服务器根据其保存的CtrsID-vmID-vTPMID-UsbID关系对照表,查找该密码设备的UsbID对应的CtrsID、vmID,资源管理服务器根据CtrsID、vmID向服务器资源池中对应的可信资源池CtrsID中运行虚拟机vmID的可信主机请求迁移该虚拟机;
4)资源管理服务器通过可信认证服务器从服务器资源池中选定目的宿主可信主机;
资源管理服务器向可信认证服务器发送查询服务器资源池中可信主机的完整性验证信息的请求消息,可信认证服务器向资源管理服务器返回根据完整性验证信息判断为可信状态的可信主机列表,资源管理服务器从返回的可信主机列表中,选取一个可信主机作为虚拟机迁移的目的宿主可信主机,资源管理服务器向服务器资源池发送在当前宿主可信主机与目的宿主可信主机之间迁移虚拟机的请求消息。
5)将虚拟机由当前宿主可信主机迁移到目的宿主可信主机;
6)虚拟机迁移完成,服务器资源池将目的宿主可信主机所在的可信资源池CtrsID发送给资源管理服务器,资源管理服务器根据该CtrsID,更新本地保存的CtrsID-vmID-vTPMID-UsbID关系对照表;
7)资源管理服务器向密码设备客户端发送虚拟机迁移成功消息。
本发明公开的云环境下的虚拟可信平台模块的密钥管理系统及方法,于可信主机上建立虚拟机及其对应的虚拟可信平台模块,其中,将虚拟可信平台模块的密钥管理功能独立出来,由硬件密码设备实现,同时结合资源管理服务器、证书管理服务器、可信认证服务器等进行密钥管理和认证,虚拟可信平台模块的其它功能通过软件实现,一方面,可保证虚拟可信平台模块迁移时的灵活性;另一方面,可实现密钥等关键信息的硬件级保护,可信主机与密码设备客户端之间通过保密通道传输应用数据对称密钥,提高密钥等关键信息的安全性;同时,可将密钥使用及管理的控制权从云服务提供商转移到虚拟机及虚拟可信平台模块的用户手中,密钥管理实现了非集中管理模式。
以上所述是本发明的较佳实施例及其所运用的技术原理,对于本领域的技术人员来说,在不背离本发明的精神和范围的情况下,任何基于本发明技术方案基础上的等效变换、简单替换等显而易见的改变,均属于本发明保护范围之内。

Claims (10)

1.云环境下的虚拟可信平台模块的密钥管理系统,其特征在于,包括密码设备、密码设备客户端、资源管理服务器、服务器资源池、可信认证服务器、证书管理服务器,
密码设备,用于实现虚拟可信平台模块的密钥管理功能;
密码设备客户端,用于实现密码设备与资源管理服务器之间的数据交互,实现虚拟可信平台模块的生成、管理、迁移;
资源管理服务器,用于根据可信认证服务器的可信主机完整性验证信息,从服务器资源池中确定运行虚拟机及虚拟可信平台模块的可信主机;用于在可信主机与密码设备客户端之间建立保密通道;
证书管理服务器,用于根据密码设备的密钥及虚拟机、虚拟可信平台模块的信息生成证书,并将证书保存于密码设备;
其中,
创建所述虚拟机及虚拟可信平台模块的方法是:
密码设备生成vAIK公钥、vAIK私钥,经密码设备客户端向资源管理服务器发送包括vAIK公钥和密码设备的数字证书的创建虚拟机请求消息,该数字证书包括密码设备的身份信息UsbID;
资源管理服务器向证书管理服务器发送包括密码设备的数字证书的认证消息,
数字证书认证通过,资源管理服务器通过可信认证服务器获取服务器资源池中处于可信状态的可信主机列表,资源管理服务器从中确定可信主机,向服务器资源池发送于该可信主机上创建虚拟机及虚拟可信平台模块的请求消息;
该可信主机创建虚拟机及虚拟可信平台模块,生成虚拟机vmID、虚拟可信平台模块vTPMID,向资源管理服务器发送vmID、vTPMID及该可信主机所属可信资源池CtrsID;
资源管理服务器向证书管理服务器发送包括vmID、vTPMID、CtrsID、vAIK公钥的证书请求,证书管理服务器根据该证书请求,生成vAIK证书,返回给资源管理服务器;
资源管理服务器将vAIK证书经密码设备客户端传输至密码设备,资源管理服务器维护CtrsID-vmID-vTPMID-UsbID关系对照表。
2.根据权利要求1所述的密钥管理系统,其特征在于,在密码设备客户端与可信主机之间建立保密通道,包括:
密码设备客户端向资源管理服务器发送保密通道连接请求消息,该请求消息包括密码设备保存的vAIK证书及UsbID;
资源管理服务器根据CtrsID-vmID-vTPMID-UsbID关系对照表,从服务器资源池中确定可信主机;
密码设备客户端与该可信主机通过资源管理服务器建立保密通道。
3.根据权利要求2所述的密钥管理系统,其特征在于,对所述虚拟机的应用数据进行加密,包括:
虚拟机的上层应用请求加密应用数据;
虚拟可信平台模块生成应用数据对称密钥,利用该应用数据对称密钥对应用数据进行加密处理,生成密文应用数据;
虚拟可信平台模块将应用数据对称密钥经所述保密通道传输给密码设备客户端,保存于密码设备;
虚拟可信平台模块计算该应用数据对称密钥的摘要值,保存应用数据对称密钥-摘要值关系表,并将该应用数据对称密钥-摘要值关系表传输至密码设备客户端。
4.根据权利要求3所述的密钥管理系统,其特征在于,对所述虚拟机的应用数据进行解密,包括:
虚拟机的上层应用请求解密应用数据;
虚拟可信平台模块向密码设备客户端发送获取应用数据对称密钥的请求消息,该请求消息包括要获取的应用数据对称密钥对应的摘要值;
密码设备客户端接收该请求消息,根据摘要值确定应用数据对称密钥,从密码设备中获取该应用数据对称密钥;
密码设备客户端将应用数据对称密钥经所述保密通道传输至虚拟可信平台模块;
虚拟可信平台模块利用应用数据对称密钥对密文应用数据进行解密处理,将生成的明文应用数据返回给上层应用。
5.根据权利要求1所述的密钥管理系统,其特征在于,所述虚拟机与虚拟可信平台模块的迁移方法是:
密码设备客户端向资源管理服务器发送虚拟机迁移请求消息,该请求消息包括密码设备保存的vAIK证书及UsbID;
资源管理服务器根据CtrsID-vmID-vTPMID-UsbID关系对照表,确定当前宿主可信主机;
资源管理服务器通过可信认证服务器获取服务器资源池中处于可信状态的可信主机列表,资源管理服务器从中确定目的宿主可信主机;
虚拟机及虚拟可信平台模块从当前宿主可信主机迁移到目的宿主可信主机;
资源管理服务器更新CtrsID-vmID-vTPMID-UsbID关系对照表。
6.根据权利要求1所述的密钥管理系统,其特征在于,所述服务器资源池包括可信资源池与普通资源池,可信资源池包括若干经过完整性验证的可信主机,普通资源池包括若干未经完整性验证或是验证未通过的普通主机。
7.云环境下的虚拟可信平台模块的密钥管理方法,其特征在于,包括:
利用密码设备实现虚拟可信平台模块的密钥管理功能;
利用密码设备客户端实现密码设备与资源管理服务器之间的数据交互,实现虚拟可信平台模块的生成、管理、迁移;
利用资源管理服务器根据可信认证服务器的可信主机完整性验证信息,从服务器资源池中确定运行虚拟机及虚拟可信平台模块的可信主机;以及在可信主机与密码设备客户端之间建立保密通道;
利用证书管理服务器根据密码设备的密钥及虚拟机、虚拟可信平台模块的信息生成证书,并将证书保存于密码设备;
其中,创建所述虚拟机及虚拟可信平台模块的方法是:
密码设备生成vAIK公钥、vAIK私钥,经密码设备客户端向资源管理服务器发送包括vAIK公钥和密码设备的数字证书的创建虚拟机请求消息,该数字证书包括密码设备的身份信息UsbID;
资源管理服务器向证书管理服务器发送包括密码设备的数字证书的认证消息,
数字证书认证通过,资源管理服务器通过可信认证服务器获取服务器资源池中处于可信状态的可信主机列表,资源管理服务器从中确定可信主机,向服务器资源池发送于该可信主机上创建虚拟机及虚拟可信平台模块的请求消息;
该可信主机创建虚拟机及虚拟可信平台模块,生成虚拟机vmID、虚拟可信平台模块vTPMID,向资源管理服务器发送vmID、vTPMID及该可信主机所属可信资源池CtrsID;
资源管理服务器向证书管理服务器发送包括vmID、vTPMID、CtrsID、vAIK公钥的证书请求,证书管理服务器根据该证书请求,生成vAIK证书,返回给资源管理服务器;
资源管理服务器将vAIK证书经密码设备客户端传输至密码设备,资源管理服务器维护CtrsID-vmID-vTPMID-UsbID关系对照表。
8.根据权利要求7所述的密钥管理方法,其特征在于,所述在密码设备客户端与可信主机之间建立保密通道,包括:
密码设备客户端向资源管理服务器发送保密通道连接请求消息,该请求消息包括密码设备保存的vAIK证书及UsbID;
资源管理服务器根据CtrsID-vmID-vTPMID-UsbID关系对照表,从服务器资源池中确定可信主机;
密码设备客户端与该可信主机通过资源管理服务器建立保密通道。
9.根据权利要求8所述的密钥管理方法,其特征在于,对所述虚拟机的应用数据进行加密,包括:
虚拟机的上层应用请求加密应用数据;
虚拟可信平台模块生成应用数据对称密钥,利用该应用数据对称密钥对应用数据进行加密处理,生成密文应用数据;
虚拟可信平台模块将应用数据对称密钥经所述保密通道传输给密码设备客户端,保存于密码设备;
虚拟可信平台模块计算该应用数据对称密钥的摘要值,保存应用数据对称密钥-摘要值关系表,并将该应用数据对称密钥-摘要值关系表传输至密码设备客户端。
10.根据权利要求9所述的密钥管理方法,其特征在于,对所述虚拟机的应用数据进行解密,包括:
虚拟机的上层应用请求解密应用数据;
虚拟可信平台模块向密码设备客户端发送获取应用数据对称密钥的请求消息,该请求消息包括要获取的应用数据对称密钥对应的摘要值;
密码设备客户端接收该请求消息,根据摘要值确定应用数据对称密钥,从密码设备中获取该应用数据对称密钥;
密码设备客户端将应用数据对称密钥经所述保密通道传输至虚拟可信平台模块;
虚拟可信平台模块利用应用数据对称密钥对密文应用数据进行解密处理,将生成的明文应用数据返回给上层应用。
CN201710804893.9A 2017-09-08 2017-09-08 云环境下的虚拟可信平台模块的密钥管理系统及方法 Active CN107465689B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710804893.9A CN107465689B (zh) 2017-09-08 2017-09-08 云环境下的虚拟可信平台模块的密钥管理系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710804893.9A CN107465689B (zh) 2017-09-08 2017-09-08 云环境下的虚拟可信平台模块的密钥管理系统及方法

Publications (2)

Publication Number Publication Date
CN107465689A CN107465689A (zh) 2017-12-12
CN107465689B true CN107465689B (zh) 2020-08-04

Family

ID=60552211

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710804893.9A Active CN107465689B (zh) 2017-09-08 2017-09-08 云环境下的虚拟可信平台模块的密钥管理系统及方法

Country Status (1)

Country Link
CN (1) CN107465689B (zh)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108572861A (zh) * 2018-04-26 2018-09-25 浪潮(北京)电子信息产业有限公司 一种虚拟可信根的保护方法、系统、设备及存储介质
CN110502311B (zh) * 2018-05-18 2022-11-25 杭州海康威视数字技术股份有限公司 容器调度方法、装置、电子设备及可读存储介质
CN108718316B (zh) * 2018-06-11 2020-11-24 山东超越数控电子股份有限公司 一种虚拟机密码信息安全迁移的实现方法及系统
CN110109731B (zh) * 2019-04-19 2021-02-09 苏州浪潮智能科技有限公司 一种云环境下虚拟可信根的管理方法与系统
CN111897621A (zh) * 2019-05-06 2020-11-06 阿里巴巴集团控股有限公司 一种虚拟机迁移方法、装置、设备、系统及存储介质
US20220337402A1 (en) * 2019-09-17 2022-10-20 Simon Bourdages Centralized remote migration client credential management
CN111190694A (zh) * 2019-12-27 2020-05-22 山东乾云启创信息科技股份有限公司 一种基于鲲鹏平台的虚拟化安全加固方法及装置
CN111310173A (zh) * 2020-03-11 2020-06-19 青岛科技大学 一种可信芯片的终端虚拟机身份认证方法及系统
CN114417362A (zh) * 2020-10-10 2022-04-29 华为技术有限公司 数据管理方法、装置及系统、存储介质
CN112905993B (zh) * 2021-03-22 2022-07-08 华东师范大学 一种面向大规模网络的分布式密码设备管理系统及构建方法
US11575508B2 (en) 2021-06-02 2023-02-07 International Business Machines Corporation Unified HSM and key management service
CN113703918B (zh) * 2021-08-26 2022-10-11 中国人民解放军战略支援部队信息工程大学 一种基于硬件辅助的虚拟可信平台及安全处理方法
CN113791872B (zh) * 2021-11-11 2022-03-22 北京信安世纪科技股份有限公司 基于云计算的认证方法及系统
CN114218555B (zh) * 2021-12-14 2022-08-12 广东工业大学 增强密码管理app密码安全强度方法和装置、存储介质
CN114938275B (zh) * 2022-07-21 2022-10-14 国开启科量子技术(北京)有限公司 使用量子密钥迁移虚拟机的方法、装置、介质和设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101350044A (zh) * 2008-09-02 2009-01-21 中国科学院软件研究所 一种虚拟环境信任构建方法
CN102882858A (zh) * 2012-09-13 2013-01-16 江苏乐买到网络科技有限公司 一种用于云计算系统的外部数据传输方法
CN103888429A (zh) * 2012-12-21 2014-06-25 华为技术有限公司 虚拟机启动方法、相关设备和系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7590867B2 (en) * 2004-06-24 2009-09-15 Intel Corporation Method and apparatus for providing secure virtualization of a trusted platform module
US8074262B2 (en) * 2005-05-13 2011-12-06 Intel Corporation Method and apparatus for migrating virtual trusted platform modules
CN103139221B (zh) * 2013-03-07 2016-07-06 中国科学院软件研究所 一种可信虚拟平台及其构建方法、平台之间数据迁移方法
CN104639516B (zh) * 2013-11-13 2018-02-06 华为技术有限公司 身份认证方法、设备及系统
CN106936797A (zh) * 2015-12-31 2017-07-07 北京网御星云信息技术有限公司 一种云中虚拟机磁盘及文件加密密钥的管理方法和系统
CN105528239B (zh) * 2016-01-15 2018-12-07 北京工业大学 基于可信根服务器的虚拟可信平台模块的密钥管理方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101350044A (zh) * 2008-09-02 2009-01-21 中国科学院软件研究所 一种虚拟环境信任构建方法
CN102882858A (zh) * 2012-09-13 2013-01-16 江苏乐买到网络科技有限公司 一种用于云计算系统的外部数据传输方法
CN103888429A (zh) * 2012-12-21 2014-06-25 华为技术有限公司 虚拟机启动方法、相关设备和系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
一种云计算适用的虚拟可信报告根构建机制;黄强等;《工程科学与技术》;20170331;第49卷(第2期);第140-144页 *

Also Published As

Publication number Publication date
CN107465689A (zh) 2017-12-12

Similar Documents

Publication Publication Date Title
CN107465689B (zh) 云环境下的虚拟可信平台模块的密钥管理系统及方法
JP6797828B2 (ja) クラウドベースの暗号化マシン鍵インジェクションの方法、装置、及びシステム
CN109309565B (zh) 一种安全认证的方法及装置
US10142297B2 (en) Secure communication method and apparatus
US10601801B2 (en) Identity authentication method and apparatus
CN109756500B (zh) 基于多个非对称密钥池的抗量子计算https通信方法和系统
CN111416807B (zh) 数据获取方法、装置及存储介质
KR101265873B1 (ko) 분산된 단일 서명 서비스 방법
WO2017097041A1 (zh) 数据传输方法和装置
JP5564453B2 (ja) 情報処理システム、及び情報処理方法
CN109861813B (zh) 基于非对称密钥池的抗量子计算https通信方法和系统
CN104639516A (zh) 身份认证方法、设备及系统
CN108199847B (zh) 数字安全处理方法、计算机设备及存储介质
CN108809633B (zh) 一种身份认证的方法、装置及系统
CN103036880A (zh) 网络信息传输方法、设备及系统
CN102984273B (zh) 虚拟磁盘加密方法、解密方法、装置及云服务器
CN111435913A (zh) 一种物联网终端的身份认证方法、装置和存储介质
CN113204760B (zh) 用于软件密码模块的安全通道建立方法及系统
CN105142134A (zh) 参数获取以及参数传输方法和装置
CN112351037A (zh) 用于安全通信的信息处理方法及装置
CN111756530B (zh) 量子服务移动引擎系统、网络架构及相关设备
CN110659471A (zh) 一种云环境中的身份认证登录方法
CN117118763B (zh) 用于数据传输的方法及装置、系统
CN116599719A (zh) 一种用户登录认证方法、装置、设备、存储介质
CN115348077A (zh) 一种虚拟机加密方法、装置、设备、存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant