CN109726540A - 一种为Qemu中虚拟可信根颁发背书证书的方法与系统 - Google Patents

一种为Qemu中虚拟可信根颁发背书证书的方法与系统 Download PDF

Info

Publication number
CN109726540A
CN109726540A CN201811579174.2A CN201811579174A CN109726540A CN 109726540 A CN109726540 A CN 109726540A CN 201811579174 A CN201811579174 A CN 201811579174A CN 109726540 A CN109726540 A CN 109726540A
Authority
CN
China
Prior art keywords
root
csr
certificate
file
virtual credible
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201811579174.2A
Other languages
English (en)
Inventor
许鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Yunhai Information Technology Co Ltd
Original Assignee
Zhengzhou Yunhai Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Yunhai Information Technology Co Ltd filed Critical Zhengzhou Yunhai Information Technology Co Ltd
Priority to CN201811579174.2A priority Critical patent/CN109726540A/zh
Publication of CN109726540A publication Critical patent/CN109726540A/zh
Withdrawn legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明提供了一种为Qemu中虚拟可信根颁发背书证书的方法与系统,包括:S1、生成默认磁盘文件,所述默认磁盘文件与虚拟可信根磁盘文件的数据结构一致;S2、创建EK,并生成CSR证书请求文件;S3、通过CA对CSR文件主体签名生成EC证书;S4、将EC证书写入磁盘文件中,并将磁盘文件转换为虚拟可信根使用的格式。本发明提出了为虚拟可信根创建带EC证书的磁盘文件的方法,为虚拟可信根创建已初始化的虚拟可信根磁盘文件,并生成EK及对应的CSR文件后交由CA生成对应的数字证书,然后将该证书写入虚拟可信根磁盘文件中,交给Qemu虚拟可信根使用,使Qemu虚拟可信根直接加载磁盘文件中的状态数据并运行。

Description

一种为Qemu中虚拟可信根颁发背书证书的方法与系统
技术领域
本发明涉及信息安全技术领域,特别是一种为Qemu中虚拟可信根颁发背书证书的方法与系统。
背景技术
当前,信息安全已成为云计算应用与发展重要一环,其中云数据中心基础设施的安全性、云数据中心虚拟机租户数据及信息的机密性、云服务提供商与云服务租户之间的信任是提升云安全的关键基础,密码学技术依然是解决云数据中心数据机密性的核心技术手段。当前,Qemu(Quick Emulator,一款开源的模拟器及虚拟机监管器)中已经实现了多种基于密码学技术的数据保护机制来保障虚拟机数据的机密性,防止Qemu虚拟机的信息被非法窃取。同时,基于Qemu密码学功能的虚拟机可信根技术已经出现,其利用Qemu中的QOM机制模拟可信根功能,基于物理可信根的信任链技术、远程证明技术等可信计算核心技术可以无差别的在虚拟机中使用。
可信报告功能是可信根中的关键功能,远程证明技术即利用了可信根的可信报告功能。可信报告功能需要可信根中的背书密钥作为可信根的身份标识。在物理可信根中,物理可信根生产厂商会为每一个物理可信根的背书密钥颁发一个数字证书固化到物理可信根的固件中作为身份的佐证(注:物理可信根中的背书密钥都是随机生成的,因此每一物理可信根的证书也不一样),物理可信根的使用者可以读取该证书去生产商指定的CA(Certificate Authority,电子商务认证授权机构)做验证。但目前Qemu虚拟可信根并无背书证书,虽然用户依然可以生成背书密钥用以进行远程认证等可信报告功能,但由于无CA为该密钥颁发证书,这一过程可信度将大打折扣。
发明内容
本发明的目的是提供一种为Qemu中虚拟可信根颁发背书证书的方法与系统,旨在解决现有技术中基于虚拟可信根的可信报告的可信程度低的问题,实现无需自己创建虚拟可信根磁盘文件,提高可信程度。
为达到上述技术目的,本发明提供了一种为Qemu中虚拟可信根颁发背书证书的方法,所述方法包括以下步骤:
S1、生成默认磁盘文件,所述默认磁盘文件与虚拟可信根磁盘文件的数据结构一致;
S2、创建EK,并生成CSR证书请求文件;
S3、通过CA对CSR文件主体签名生成EC证书;
S4、将EC证书写入磁盘文件中,并将磁盘文件转换为虚拟可信根使用的格式。
优选地,所述步骤S2具体操作为:
通过指令创建EK;
获取EK的公钥,生成CSR主体结构;
使用EK对CSR主体结构签名;
将CSR主体结构及其签名写入文件,生成CSR文件。
优选地,所述将EC证书写入磁盘文件中具体操作为:
通过可信根NV空间定义指令开辟NV空间用以存储EC数据;
通过可信根NV写操作指令将EC写入到已开辟的空间中;
当写入失败时,通过可信根NV释放指令删除已定义的空间,写入成功则保留该空间。
优选地,所述CSR主体结构包含公钥、主体、版本以及密钥算法。
本发明还提供了一种为Qemu中虚拟可信根颁发背书证书的系统,所述系统包括:
数据初始化模块,用于根据可信根标准生成标准的数据结构并设置其中的默认值,并将该数据结构中的数据写入磁盘文件中;
可信根模拟模块,用于在系统上层模拟可信根功能的模拟器;
可信根命令模块,用于与可信根交互、下发可信根指令,并获取指令处理结果;
CSR生成模块,用于获取可信根EK,并生成CSR文件;
CA模块,用于使用可信根密钥对CSR文件签名生成EC证书;
EC证书写入模块,用于在NV空间中写入EC证书文件。
优选地,所述CSR生成模块包括:
EK创建单元,用于通过指令创建EK;
CSR主体结构生成单元,用于获取EK的公钥,生成CSR主体结构;
签名单元,用于使用EK对CSR主体结构签名;
CSR文件写入单元,用于将CSR主体结构及其签名写入文件,生成CSR文件。
优选地,所述EC证书写入模块包括:
NV空间开辟单元,用于通过可信根NV空间定义指令开辟NV空间用以存储EC数据;
EC写入单元,用于通过可信根NV写操作指令将EC写入到已开辟的空间中,当写入失败时,通过可信根NV释放指令删除已定义的空间,写入成功则保留该空间。
优选地,所述CSR主体结构包含公钥、主体、版本以及密钥算法。
发明内容中提供的效果仅仅是实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
与现有技术相比,本发明围绕当前Qemu虚拟可信根中无EC的问题,提出了为虚拟可信根创建带EC证书的磁盘文件的方法,为虚拟可信根创建已初始化的虚拟可信根磁盘文件,并生成EK及对应的CSR文件后交由CA生成对应的数字证书,然后将该证书写入虚拟可信根磁盘文件中,最后将写入证书的虚拟可信根磁盘文件交给Qemu虚拟可信根使用,使Qemu虚拟可信根直接加载磁盘文件中的状态数据并运行,而非由Qemu虚拟可信根自行创建磁盘文件及其中的状态数据。本发明解决了现有技术中基于虚拟可信根的可信报告的可信程度低的问题,实现无需自己创建虚拟可信根磁盘文件,提高可信程度。
附图说明
图1为本发明实施例中所提供的一种为Qemu中虚拟可信根颁发背书证书的方法流程图;
图2为本发明实施例中所提供的一种为Qemu中虚拟可信根颁发背书证书的系统结构框图。
具体实施方式
为了能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
下面结合附图对本发明实施例所提供的一种为Qemu中虚拟可信根颁发背书证书的方法与系统进行详细说明。
如图1所示,本发明实施例公开了一种为Qemu中虚拟可信根颁发背书证书的方法,所述方法包括以下步骤:
S1、生成默认磁盘文件,所述默认磁盘文件与虚拟可信根磁盘文件的数据结构一致;
S2、创建EK,并生成CSR证书请求文件;
S3、通过CA对CSR文件主体签名生成EC证书;
S4、将EC证书写入磁盘文件中,并将磁盘文件转换为虚拟可信根使用的格式。
本发明实施例通过为Qemu中虚拟可信根颁发背书证书,围绕当前Qemu虚拟可信根无EC的问题,提出了为虚拟可信根创建带EC证书的磁盘文件的方法,使Qemu虚拟可信根直接加在磁盘文件中的状态数据并运行,而非由Qemu虚拟可信根自行创建磁盘文件及其中的状态数据。
磁盘文件中的数据结构与虚拟可信根磁盘文件的数据结构一致,因此虚拟可信根可直接使用该文件,待虚拟可信根运行时读取该文件中的数据无需转换即可使用。因最终生成的磁盘文件要作为虚拟可信根磁盘文件供虚拟可信根使用,该部分可复用虚拟可信根数据初始化的功能。
待默认状态数据文件初始化完毕后,可信根模拟器可以直接加载该文件中的内容并模拟可信根功能,通过直接向模拟器发送可信根命令码来获取或改变其中的状态数据。
生成CSR(Certificate Signing Request,证书请求文件)证书请求文件。
可信根初始状态数据中并无EK(Eodorsement Key,背书密钥),需要通过指令创建EK后才能进行后续操作。在EK创建后,可以通过指令获取EK的公钥,随后生成CSR主体结构。CSR是标准的数据结构,包含公钥、主体、版本以及密钥算法等信息,因此需要根据EK的信息来填充这些数据生成完整的CSR数据结构。
CSR主体信息中包含了EK的公钥,通过模拟器调用签名指令使用EK的私钥对CSR主体信息签名,CA可以从CSR主体中提取EK公钥来进行签名验证,保证本次CSR文件中的EK公钥与签名私钥匹配。CA的数据多以PEM格式存储,所以要将CSR的数据内容进行转换并存放在文件中。
在生成CSR文件后,将该文件传递给任意一CA,由CA对其进行验证,并使用CA的根密钥对其主体签名生成完整的证书,本发明实施例中使用Openssl CA进行签名验证。如用户有自有CA系统,也可使用其自有CA系统。标准CA系统都有处理CSR的功能,但原理相同,本发明实施例在此不作赘述。
待CA对CSR文件处理得到EC后,就可将EC导入到磁盘文件中,EC的导入其实是在可信根中开辟一块NV(Non-volatile RAM,非易失性空间)空间,然后将证书写入到该空间中。由于有模拟器,可以模拟可信根的指令处理过程,并将处理后的状态数据写入到磁盘文件中,通过NV定义、写入等操作来将EC证书写入状态数据文件中。具体写入流程如下:
定义NV空间,通过可信根NV空间定义指令开辟一块足够大小的NV空间用以存储EC数据;
写入EC证书文件,通过可信根NV写操作指令将EC写入到已开辟的空间中;
删除空间,通过可信根NV释放指令删除已定义的空间,如果写入数据失败,则不再保留该空间,所以要删除;如果写入成功,则保留该空间,供后续操作读取证书数据。
当EC通过模拟器写入成功后,该磁盘文件中已经包含了EC证书,将该磁盘文件转换为虚拟可信根使用的格式后虚拟可信根可直接使用,由于该文件的创建已经包含了可信根默认数据的初始化,同时又包含了EC,虚拟可信根可直接使用无需再做任何数据的初始化操作。
本发明实施例围绕当前Qemu虚拟可信根中无EC的问题,提出了为虚拟可信根创建带EC证书的磁盘文件的方法,为虚拟可信根创建已初始化的虚拟可信根磁盘文件,并生成EK及对应的CSR文件后交由CA生成对应的数字证书,然后将该证书写入虚拟可信根磁盘文件中,最后将写入证书的虚拟可信根磁盘文件交给Qemu虚拟可信根使用,使Qemu虚拟可信根直接加载磁盘文件中的状态数据并运行,而非由Qemu虚拟可信根自行创建磁盘文件及其中的状态数据。本发明解决了现有技术中基于虚拟可信根的可信报告的可信程度低的问题,实现无需自己创建虚拟可信根磁盘文件,提高可信程度。
如图2所示,本发明实施例还公开了一种为Qemu中虚拟可信根颁发背书证书的系统,所述系统包括数据初始化模块、可信根模拟模块、可信根命令模块、CSR生成模块、CA模块以及EC证书写入模块。
可信根的状态数据是一套标准的数据结构,只是其中的一些数据需要设置为随机值用以区分每一可信根,数据初始化模块根据可信根标准生成标准的数据结构并设置其中的默认值,并将该数据结构中的数据写入磁盘文件中,使其成为可以被可信根模拟器直接使用的磁盘文件。
通过可信根模拟模块在系统上层模拟可信根功能的模拟器,模拟可信根的逻辑,接收到标准的可信根指令后会处理指令并返回指令处理结果,对上层程序而言,与使用物理可信根效果一致。该模块直接使用数据初始化模块生成的磁盘文件,并将改变后的状态数据同步至磁盘文件中。
可信根命令模块包含了可信根指令码的程序集合,可与可信根交互、下发可信根指令,并获取指令处理结果。
通过CSR生成模块获取可信根EK,并生成CSR文件。
可信根初始状态数据中并无EK,需要通过指令创建EK后才能进行后续操作。在EK创建后,可以通过指令获取EK的公钥,随后生成CSR主体结构。CSR是标准的数据结构,包含公钥、主体、版本以及密钥算法等信息,因此需要根据EK的信息来填充这些数据生成完整的CSR数据结构。
CSR主体信息中包含了EK的公钥,通过模拟器调用签名指令使用EK的私钥对CSR主体信息签名,CA可以从CSR主体中提取EK公钥来进行签名验证,保证本次CSR文件中的EK公钥与签名私钥匹配。CA的数据多以PEM格式存储,所以要将CSR的数据内容进行转换并存放在文件中。
通过CA模块使用可信根密钥对CSR文件签名生成EC证书。在生成CSR文件后,将该文件传递给任意一CA,由CA对其进行验证,并使用CA的根密钥对其主体签名生成完整的证书,本发明实施例中使用Openssl CA进行签名验证。
通过EC证书写入模块在NV空间中写入EC证书文件。
待CA对CSR文件处理得到EC后,就可将EC导入到磁盘文件中,EC的导入其实是在可信根中开辟一块NV(Non-volatile RAM,非易失性空间)空间,然后将证书写入到该空间中。由于有模拟器,可以模拟可信根的指令处理过程,并将处理后的状态数据写入到磁盘文件中,通过NV定义、写入等操作来将EC证书写入状态数据文件中。具体写入流程如下:
定义NV空间,通过可信根NV空间定义指令开辟一块足够大小的NV空间用以存储EC数据;
写入EC证书文件,通过可信根NV写操作指令将EC写入到已开辟的空间中;
删除空间,通过可信根NV释放指令删除已定义的空间,如果写入数据失败,则不再保留该空间,所以要删除;如果写入成功,则保留该空间,供后续操作读取证书数据。
当EC通过模拟器写入成功后,该磁盘文件中已经包含了EC证书,将该磁盘文件转换为虚拟可信根使用的格式后虚拟可信根可直接使用,由于该文件的创建已经包含了可信根默认数据的初始化,同时又包含了EC,虚拟可信根可直接使用无需再做任何数据的初始化操作。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种为Qemu中虚拟可信根颁发背书证书的方法,其特征在于,所述方法包括以下步骤:
S1、生成默认磁盘文件,所述默认磁盘文件与虚拟可信根磁盘文件的数据结构一致;
S2、创建EK,并生成CSR证书请求文件;
S3、通过CA对CSR文件主体签名生成EC证书;
S4、将EC证书写入磁盘文件中,并将磁盘文件转换为虚拟可信根使用的格式。
2.根据权利要求1所述的一种为Qemu中虚拟可信根颁发背书证书的方法,其特征在于,所述步骤S2具体操作为:
通过指令创建EK;
获取EK的公钥,生成CSR主体结构;
使用EK对CSR主体结构签名;
将CSR主体结构及其签名写入文件,生成CSR文件。
3.根据权利要求1所述的一种为Qemu中虚拟可信根颁发背书证书的方法,其特征在于,所述将EC证书写入磁盘文件中具体操作为:
通过可信根NV空间定义指令开辟NV空间用以存储EC数据;
通过可信根NV写操作指令将EC写入到已开辟的空间中;
当写入失败时,通过可信根NV释放指令删除已定义的空间,写入成功则保留该空间。
4.根据权利要求2所述的一种为Qemu中虚拟可信根颁发背书证书的方法,其特征在于,所述CSR主体结构包含公钥、主体、版本以及密钥算法。
5.一种为Qemu中虚拟可信根颁发背书证书的系统,其特征在于,所述系统包括:
数据初始化模块,用于根据可信根标准生成标准的数据结构并设置其中的默认值,并将该数据结构中的数据写入磁盘文件中;
可信根模拟模块,用于在系统上层模拟可信根功能的模拟器;
可信根命令模块,用于与可信根交互、下发可信根指令,并获取指令处理结果;
CSR生成模块,用于获取可信根EK,并生成CSR文件;
CA模块,用于使用可信根密钥对CSR文件签名生成EC证书;
EC证书写入模块,用于在NV空间中写入EC证书文件。
6.根据权利要求5所述的一种为Qemu中虚拟可信根颁发背书证书的系统,其特征在于,所述CSR生成模块包括:
EK创建单元,用于通过指令创建EK;
CSR主体结构生成单元,用于获取EK的公钥,生成CSR主体结构;
签名单元,用于使用EK对CSR主体结构签名;
CSR文件写入单元,用于将CSR主体结构及其签名写入文件,生成CSR文件。
7.根据权利要求5所述的一种为Qemu中虚拟可信根颁发背书证书的系统,其特征在于,所述EC证书写入模块包括:
NV空间开辟单元,用于通过可信根NV空间定义指令开辟NV空间用以存储EC数据;
EC写入单元,用于通过可信根NV写操作指令将EC写入到已开辟的空间中,当写入失败时,通过可信根NV释放指令删除已定义的空间,写入成功则保留该空间。
8.根据权利要求6所述的一种为Qemu中虚拟可信根颁发背书证书的系统,其特征在于,所述CSR主体结构包含公钥、主体、版本以及密钥算法。
CN201811579174.2A 2018-12-21 2018-12-21 一种为Qemu中虚拟可信根颁发背书证书的方法与系统 Withdrawn CN109726540A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811579174.2A CN109726540A (zh) 2018-12-21 2018-12-21 一种为Qemu中虚拟可信根颁发背书证书的方法与系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811579174.2A CN109726540A (zh) 2018-12-21 2018-12-21 一种为Qemu中虚拟可信根颁发背书证书的方法与系统

Publications (1)

Publication Number Publication Date
CN109726540A true CN109726540A (zh) 2019-05-07

Family

ID=66296969

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811579174.2A Withdrawn CN109726540A (zh) 2018-12-21 2018-12-21 一种为Qemu中虚拟可信根颁发背书证书的方法与系统

Country Status (1)

Country Link
CN (1) CN109726540A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110601846A (zh) * 2019-08-30 2019-12-20 苏州浪潮智能科技有限公司 一种校验虚拟可信根的系统及方法
CN115348112A (zh) * 2022-10-18 2022-11-15 中国人民解放军军事科学院系统工程研究院 一种局域网交换设备接入认证与可信组网的方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110601846A (zh) * 2019-08-30 2019-12-20 苏州浪潮智能科技有限公司 一种校验虚拟可信根的系统及方法
CN110601846B (zh) * 2019-08-30 2022-12-27 苏州浪潮智能科技有限公司 一种校验虚拟可信根的系统及方法
CN115348112A (zh) * 2022-10-18 2022-11-15 中国人民解放军军事科学院系统工程研究院 一种局域网交换设备接入认证与可信组网的方法
CN115348112B (zh) * 2022-10-18 2022-12-09 中国人民解放军军事科学院系统工程研究院 一种局域网交换设备接入认证与可信组网的方法

Similar Documents

Publication Publication Date Title
EP3520018B1 (en) Unified programming environment for programmable devices
CN103051451B (zh) 安全托管执行环境的加密认证
CN105718807B (zh) 基于软tcm和可信软件栈的安卓系统及其可信认证系统与方法
CN102171652B (zh) 为电子装置提供可信软件的方法
US9413754B2 (en) Authenticator device facilitating file security
CN110473318B (zh) 解锁方法、实现解锁的设备及计算机可读介质
CN105447390B (zh) 一种基于数字证书系统的软件版本可信管理方法
CN105812366B (zh) 服务器、反爬虫系统和反爬虫验证方法
CN103473592B (zh) 一种基于cpk体制的标签离线鉴真方法及装置
CN108206831A (zh) 电子印章的实现方法和服务器、客户端及可读存储介质
KR20140099325A (ko) 글로벌 플랫폼 규격을 사용하는 발행자 보안 도메인에 대한 키 관리 시스템 및 방법
TW202036347A (zh) 資料儲存、驗證方法及裝置
CN109634619A (zh) 可信执行环境实现方法及装置、终端设备、可读存储介质
CN103701607A (zh) 一种虚拟机环境下可信平台模块的虚拟化方法
CN106921496A (zh) 一种数字签名方法和系统
CN110677376A (zh) 认证方法、相关设备和系统及计算机可读存储介质
CN104573527A (zh) 一种基于更新安全机制的uefi系统更新方法
CN109190401A (zh) 一种Qemu虚拟可信根的数据存储方法、装置及相关组件
CN112131595B (zh) 一种SQLite数据库文件安全存取方法及装置
CN103825724A (zh) 一种自动更新和恢复私钥的标识型密码系统及方法
CN114282193A (zh) 一种应用授权方法、装置、设备及存储介质
CN109726540A (zh) 一种为Qemu中虚拟可信根颁发背书证书的方法与系统
CN112653553A (zh) 物联网设备身份管理系统
CN107315945B (zh) 一种电子设备的磁盘解密方法和装置
CN110021291B (zh) 一种语音合成文件的调用方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20190507

WW01 Invention patent application withdrawn after publication