CN111901285A - 一种可信验证方法、系统、设备及存储介质 - Google Patents
一种可信验证方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN111901285A CN111901285A CN201910371291.8A CN201910371291A CN111901285A CN 111901285 A CN111901285 A CN 111901285A CN 201910371291 A CN201910371291 A CN 201910371291A CN 111901285 A CN111901285 A CN 111901285A
- Authority
- CN
- China
- Prior art keywords
- trusted
- cluster
- verification
- server
- verified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Abstract
本申请实施例提供一种可信验证系统、方法、设备及存储介质,其中,该系统包括可信根集群、可信代理服务器和云服务器集群;云服务器集群用于在发生可信验证需求的情况下,向可信代理服务器发送远程验证请求,并接收可信代理服务器返回的验证结果;可信代理服务器用于在接收到云服务器集群发送的远程验证请求时,基于可信代理服务器与可信根集群之间的远程通信连接,调用可信根集群对云服务器集群进行可信验证,并将验证结果返回云服务器集群。基于这种特殊的可信验证系统架构,可保证可信根集群的独立性,从而,在云服务器集群受到攻击的情况下,可避免可信根集群受到攻击的影响,进而可基于可信根集群提升云服务器集群的可信环境的安全性。
Description
技术领域
本申请涉及可信云技术领域,尤其涉及一种可信验证方法、系统、设备及存储介质。
背景技术
随着云计算技术的不断发展,云计算技术支持的云平台为各行各业提供了大量的云服务。企业或个人用户将用户数据交由云平台进行存储、计算等处理,因此,用户数据的安全性是云平台的一项重要性能指标。
目前,为了保证用户数据的安全性,云平台通常利用其内各物理机上的可信根进行可信验证,以构建云平台的可信环境。然而,这种可信验证的方式仍然存在安全漏洞,在云平台受到攻击情况下,云平台的可信环境可能遭到破坏。
发明内容
本申请的多个方面提供一种可信验证方法、系统、设备及存储介质,用以提高云平台的可信环境的安全性。
本申请实施例提供一种可信验证系统,包括可信根集群、可信代理服务器和云服务器集群;
所述云服务器集群用于在发生可信验证需求的情况下,向所述可信代理服务器发送远程验证请求,并接收所述可信代理服务器返回的验证结果;
所述可信代理服务器用于在接收到所述云服务器集群发送的远程验证请求时,基于所述可信代理服务器与所述可信根集群之间的远程通信连接,调用所述可信根集群对所述云服务器集群进行可信验证,并将验证结果返回所述云服务器集群。
本申请实施例还提供一种可信验证方法,适用于可信代理服务器,包括:
接收云服务器集群发送的远程验证请求;
基于与所述可信根集群之间的远程通信连接,调用所述可信根集群对所述云服务器集群进行可信验证;
将验证结果返回所述云服务器集群。
本申请实施例还提供一种可信验证方法,适用于云服务器集群中的云服务器,包括:
在发生可信验证需求的情况下,生成远程验证请求;
将所述远程验证请求发送至所述可信代理服务器,以供所述可信代理服务器调用可信根集群对所述云服务器进行可信验证;
接收所述可信代理服务器返回的验证结果。。
本申请实施例还提供一种可信验证方法,适用于可信根集群中的管理设备,包括:
基于与所述可信代理服务器之间的远程通信连接,接收所述可信代理服务器发送的调用请求,所述调用请求为所述可信代理服务器根据接收到的云服务器集群发送的远程验证请求而生成的;
利用所述可信根集群中的可信根响应所述调用请求,以对所述云服务器集群进行可信验证。
本申请实施例还提供一种计算设备,包括存储器、处理器和通信组件;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器及所述通信组件耦合,用于执行所述一条或多条计算机指令,以用于:
接收云服务器集群发送的远程验证请求;
基于与所述可信根集群之间的远程通信连接,调用所述可信根集群对所述云服务器集群进行可信验证;
将验证结果返回所述云服务器集群。
本申请实施例还提供一种云服务器,包括存储器、处理器和通信组件;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器及所述通信组件耦合,用于执行所述一条或多条计算机指令,以用于:
在发生可信验证需求的情况下,生成远程验证请求;
通过所述通信组件将所述远程验证请求发送至所述可信代理服务器,以供所述可信代理服务器调用可信根集群对所述云服务器进行可信验证;
通过所述通信组件接收所述可信代理服务器返回的验证结果。
本申请实施例还提供计算设备,包括存储器、处理器和通信组件;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器及所述通信组件耦合,用于执行所述一条或多条计算机指令,以用于:
基于与所述可信代理服务器之间的远程通信连接,通过所述通信组件接收所述可信代理服务器发送的调用请求,所述调用请求为所述可信代理服务器根据接收到的云服务器集群发送的远程验证请求而生成的;
利用所述可信根集群中的可信根响应所述调用请求,以对所述云服务器集群进行可信验证。
本申请实施例还提供存储计算机指令的计算机可读存储介质,当所述计算机指令被一个或多个处理器执行时,致使所述一个或多个处理器执行前述的可信验证方法。
在本申请实施例中,在云服务器集群之外设立可信根集群,云服务器集群通过远程验证的方式,利用可信根集群实现远程可信验证。基于这种特殊的可信验证系统架构,可保证可信根集群的独立性,从而,在云服务器集群受到攻击的情况下,可避免可信根集群受到攻击的影响,进而可基于可信根集群提升云服务器集群的可信环境的安全性。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请一实施例提供的一种可信验证系统的结构示意图;
图2为本申请另一实施例提供的一种可信验证方法的流程示意图;
图3为本申请另一实施例提供的一种计算设备的结构示意图;
图4为本申请又一实施例提供的一种可信验证方法的流程示意图;
图5为本申请又一实施例提供的一种云服务器的结构示意图;
图6为本申请又一实施例提供的一种可信验证方法的流程示意图;
图7为本申请又一实施例提供的一种计算设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,为了保证用户数据的安全性,云服务器集群中的云服务器通常利用其上的可信根进行可信验证,但这种可信验证的方式仍然存在安全漏洞,在云服务器受到攻击情况下,云服务器的可信环境可能遭到破坏。为了解决现有技术存在的问题,在本申请的一些实施例中:在云服务器集群之外设立可信根集群,云服务器集群通过远程验证的方式,利用可信根集群实现远程可信验证。基于这种特殊的可信验证系统架构,可保证可信根集群的独立性,从而,在云服务器集群受到攻击的情况下,可避免可信根集群受到攻击的影响,进而可基于可信根集群提升云服务器集群的可信环境的安全性。
以下结合附图,详细说明本申请各实施例提供的技术方案。
图1为本申请一实施例提供的可信验证系统的结构示意图。如图1所示,该系统包括:可信根集群10、可信代理服务器30和云服务器集群20。
其中,可信根集群10独立于云服务器集群20之外,两者通过可信代理服务器30实现交互。可信代理服务器30可用于代理可信根集群10的可信服务,本实施例中,可信代理服务器30可以是独立于云服务器集群20之外的计算设备,也可以是云服务器集群20中作为管理角色的计算设备,当然,还可以其它的部署形式存在于可信验证系统中,本实施例对此不作限定。可信代理服务器30可分别与可信根集群10及云服务器集群20通信连接。
本实施例中,可信根集群10、可信代理服务器30和云服务器集群20的启动顺序,可以是可信根集群10首先启动,之后可信代理服务器30建立与可信根集群10的远程通信连接,最后,云服务器集群20再启动。这可保证可信根集群10在云服务器集群20启动之前,做好可信服务的准备,从而确保可信验证流程的实现。
对云服务器集群20来说,在发生可信验证需求的情况下,可向可信代理服务器30发送远程验证请求。
在云服务器集群20的启动过程中,将发生可信验证需求,这种情况下,云服务器集群20可根据可信验证需求,生成远程验证请求,以通过可信根集群10实现远程可信验证。因此,云服务器集群20将不再通过其自带的可信根进行可信验证,而是采用远程验证的方式,利用独立于云服务器集群20之外的可信根集群10进行可信验证。
对可信代理服务器30来说,可接收云服务器集群20发送的远程验证请求,并基于可信代理服务器30与可信根集群10之间的远程通信连接,调用可信根集群10对云服务器集群20进行可信验证。
具体地,可信代理服务器30可在接收到云服务器集群20发送的远程验证请求的情况下,根据云服务器集群20发送的远程验证请求,生成对可信根集群10的调用请求,并将调用请求发送至可信根集群10,以调用可信根集群10对云服务器集群20进行可信验证。
对可信根集群10来说,可接收可信代理服务器30的这类调用请求,并利用其中的可信根服务器12响应这类调用请求,以实现对云服务器集群20的可信验证。也就是,可信根集群10可在可信代理服务器30发出调用请求的情况下,向可信代理服务器30提供可信服务,以实现对云服务器集群20的可信验证。其中,对云服务器集群20的可信验证包括但不限于对云服务器集群20中的系统固件、硬件驱动、系统软件、应用软件进行可信验证。
据此,可信代理服务器30通过调用可信根服务器12,可实现对云服务器集群20的可信验证,并产生验证结果。可信代理服务器30可将验证结果返回给云服务器集群20,而云服务器集群20则可获取到与其远程验证请求对应的验证结果。
对云服务器集群20来说,可根据获取到的验证结果确定后续的操作安排。例如,当验证结果为未通过可信验证时,云服务器集群20可停止该可信验证请求关联的后续操作,而当验证结果为通过可信验证时,云服务器集群20则可继续该可信验证请求关联的后续操作。
本实施例中,在云服务器集群20之外设立可信根集群10,云服务器集群20通过远程验证的方式,利用可信根集群10实现远程可信验证。基于这种特殊的可信验证系统架构,可保证可信根集群10的独立性,从而,在云服务器集群20受到攻击的情况下,可避免可信根集群10受到攻击的影响,进而可基于可信根集群10提升云服务器集群20的可信环境的安全性。
在上述或下述实施例中,可信根集群10中可包含至少一台可信根服务器12,每台可信根服务器12上可配置可信根,可信根包括但不限于TPM(Trusted Platform Module,可信平台模块)或TCM(Trusted Cryptography Module,可信密码模块)。可信根可以芯片的形式装配在可信根服务器12的主板上,当然,本实施例对可信根与可信根服务器12之间的硬件连接方式不作限定。
云服务器集群20中可包含至少一台云服务器21,每台云服务器21上可配置硬件可信模块,硬件可信模块包括但不限于TPM(Trusted Platform Module,可信平台模块)或TCM(Trusted Cryptography Module,可信密码模块)。硬件可信模块可以芯片的形式装配在可信根服务器12的主板上,当然,本实施例对硬件可信模块与云服务器之间的硬件连接方式不作限定。
云服务器集群20中发生的可信验证需求可以是云服务器集群20中的云服务器21上发生的可信验证需求。云服务器21中发生的可信验证需求的情况包括但不限于需要对其上的系统固件、硬件驱动、系统软件、应用软件进行可信验证的情况。本实施例中,将这些需要可信验证的固件、驱动、软件等称为待验证对象。据此,待验证对象可以是云服务器启动过程中任何启动阶段中需要进行可信验证的固件、驱动或软件等。
据此,对云服务器集群20中的云服务器21来说,可在其上的待验证对象需要进行可信验证的情况下,利用其上的硬件可信模块计算待验证对象的当前度量值。
如前所述,云服务器21上配置有硬件可信模块,云服务器21上的硬件可信模块可为云服务器提供待验证对象的当前度量值计算及存储、加密、解密等服务,当然,本实施例并不限于此。
云服务器21可根据计算获得的待验证对象的当前度量值,生成远程验证请求。在一种实际应用中,云服务器21上的硬件可信模块可利用其私钥对待验证对象的当前度量值进行加密,云服务器21可将待验证对象的经加密的当前度量值及其上硬件可信模块的公钥配置在远程验证请求中,以便可信代理服务器30可从远程验证请求中获取到待验证对象的当前度量值,当然,本实施例对此不作限定。
对可信代理服务器30来说,可在接收到云服务器21发送的远程验证请求的情况下,从远程验证请求中获取待验证对象的当前度量值;基于可信代理服务器30与可信根集群10之间的远程通信连接,从可信根集群10中的读取待验证对象的基准度量值;根据待验证对象的当前度量值和其基准度量值,对待验证对象进行可信验证,并生成验证结果。
如前文所述,在云服务器集群20启动之前,可信代理服务器30和可信根集群10之间已经建立了远程通信连接,基于这种远程通信连接,可信代理服务器30可获得对可信根集群10的调用权限。其中,本实施例中,至少可采用以下实现方式建立可信代理服务器30与可信根集群10之间的远程通信连接:
在该实现方式中,可信代理服务器30可基于预置的连接配置参数,响应于操作者的连接触发操作,向可信根集群10发送远程连接请求;若通过可信根集群10的权限认证,则可建立与可信根集群10之间的远程通信连接。其中,预置的连接配置参数包括但不限于可信根集群10的通信地址等等。可信代理服务器30可向操作者提供操作界面,操作者可在操作界面中执行输入远程连接密码等权限认证参数的连接触发操作,以在可信代理服务器30中创建对可信根集群10的远程连接请求。
在该实际方式中,对于可信根集群10来说,则可在接收到可信代理服务器30发送的远程连接请求情况下,基于预置的权限认证参数对远程连接请求进行权限认证,并在远程连接请求通过权限认证后,建立与可信代理服务器30之间的远程通信连接。其中,预置的权限认证参数可以是前文提出的远程连接密码等。
进一步,在该实现方式中,可信根集群10中可包含管理设备11,基于此,可信代理服务器30可将远程连接请求发送至可信根集群10中的管理设备11,而可信根集群10中的管理设备11可对该远程连接请求进行权限认证,并在该远程连接请求通过权限认证的情况下,建立其与可信代理服务器30之间的远程通信连接。其中,可信根集群10中的管理设备11可用于对可信根集群10中的各可信根服务器12进行集中管理和服务资源调配。
据此,对可信代理服务器30来说,可基于获得的对可信根集群10的调用权限,从可信根集群10中的读取待验证对象的基准度量值。
其中,可信根集群10中可预先存储云服务器集群20中所涉及到的所有待验证对象的基准度量值。具体地,可通过人工方式将这些基准度量值配置到可信根集群10中各可信根的寄存器中,例如,当可信根采用TPM时,可将这些基准值配置到TPM的PCR(v-PlatformConfiguration Registers,虚拟平台配置寄存器)中。
在该实现方式中,基于可信根集群10中的管理设备11,可信代理服务器30可根据远程验证请求,获取远程验证请求对应的待验证对象的信息;基于待验证对象的信息,生成对可信根集群10的调用请求;并将调用请求发送至管理设备11。
对可信根集群10中的管理设备11来说,可根据各可信根服务器12的服务能力等因素,预先构建待验证对象与可信根服务器12之间的配对关系,基于这种预置的配对关系可信根集群10中的管理设备11可将可信代理服务器30发送的调用请求分配至对应的目标可信服务器。在实际应用中,管理设备11可预先构建可信根服务器12与云服务器集群中的物理机或虚拟机之间的配对关系,从而构建出运行于云服务器集群中的物理机或虚拟机上的各待验证对象与可信根服务器12之间的配对关系,当然,本实施例并不限于此。
这样,可信根集群10中的管理设备11可接收可信代理服务器30发送的该调用请求;基于预置的待验证对象与可信根服务器12之间的配对关系,根据调用请求中的待验证对象的信息,确定待验证对象对应的目标可信根服务器12;利用目标可信根服务器12上的可信根响应调用请求。
如前文所述,目标可信服务器中预先保存有该调用请求所涉及的待验证对象的基准度量信息等数据,因此,可信根集群10中的管理设备11,可在确定出待验证对象对应的目标可信根服务器12后,从目标可信根服务器12的可信根中获取待验证对象的基准度量值;将待验证对象的基准度量值发送给可信代理服务器30,以供可信代理服务器30基于基准度量值对待验证对象进行可信验证。
这样,可信根集群10中的管理设备11可实现对可信根集群10中的服务资源的调配,从而顺利响应可信代理服务器30的调用请求。
当然,本实施例中,还可采用其它实现方式建立可信代理服务器30与可信根集群10之间的远程通信连接,例如,可信代理服务器30也可将远程连接请求发送至可信根集群10中的每一台可信根服务器12,以建立与每一台可信根服务器12之间的远程通信连接。这种情况下,可信代理服务器30上可预先保存待验证对象与可信根服务器12之间的配对关系,并基于这种配对关系,可信代理服务器30可调用正确的可信根服务器12来响应云服务器的远程验证请求。本实施例并不限于此。
对可信代理服务器30来说,基于从远程验证请求中获取到的待验证对象的当前度量值以及从可信根集群10中读取的待验证对象的基准度量值,可判断待验证对象的当前度量值与其基准度量值是否匹配。若待验证对象的当前度量值与其基准度量值相匹配,则生成待验证对象通过可信验证的验证结果;若待验证对象的当前度量值与其基准度量值不匹配,则生成待验证对象未通过可信验证的验证结果。
可信代理服务器30可将验证结果返回给发送远程验证请求的云服务器,云服务器可在验证结果为通过可信验证时继续执行后续的启动操作;也可在验证结果为未通过可信验证时停止后续的启动操作。
在上述或下述实施例中,云服务器集群20中的云服务器还可在开始启动的情况下,利用可信根集群10实现其上硬件可信模块的初始化,这有异于现有的云服务器利用其自身硬件可信模块进行初始化的方案。
本实施例中,云服务器可在开始启动的情况下,基于其上可信硬件模块的公钥,生成初始化请求;通过可信代理服务器30将初始化请求发送至可信根集群10。
可信根集群10则可接收可信代理服务器30转发来的云服务器的初始化请求;从初始化请求中获取云服务器上可信硬件模块的公钥;对公钥进行签名,并将签名结果作为云服务器上可信硬件模块的证书;通过可信代理服务器30将证书返回云服务器。
通过这种远程初始化的处理方式,云服务器可获得可信根集群10为其上的可信硬件模块颁发的证书。
基于可信根集群10为云服务器上可信硬件模块颁发的证书,云服务器可将可信根集群10为云服务器上可信硬件模块颁发的证书配置到远程验证请求中。结合前文中提及的配置到远程验证请求中的待验证对象的经加密的当前度量值及云服务器上硬件可信模块的公钥,至此云服务器发出的远程验证请求中将包括:可信根集群10为其上可信硬件模块颁发的证书、待验证对象的经加密的当前度量值及云服务器上硬件可信模块的公钥。
据此,对可信代理服务器30来说,在其接收到云服务器发送的远程验证请求的情况下,可调用可信根集群10对远程验证请求进行安全认证。具体地,可调用可信根集群10中的目标可信根服务器12对该证书进行签名验证,若签名验证通过,可信代理服务器30可获取到证书中包含的公钥,可信代理服务器30可将获取到的该公钥与远程验证请求中包含的云服务器上硬件可信模块的公钥进行比对,当两者一致时,确定该远程验证请求通过安全认证。
在确定该远程验证请求通过安全认证的情况下,可信代理服务器30可利用远程验证请求中包含的云服务器上硬件可信模块的公钥,对远程验证请求中包含的待验证对象的经加密的当前度量值进行解密,以获取待验证对象的当前度量值。
本实施例中,利用可信根集群10对远程验证请求进行安全认证,可进一步保证可信验证过程的安全性。
图2为本申请实施例提供的一种可信验证方法的流程示意图。如图2所示,该方法适用于前述实施例提供的可信验证系统中的可信代理服务器,该方法包括:
200、接收云服务器集群发送的远程验证请求;
201、基于与可信根集群之间的远程通信连接,调用可信根集群对云服务器集群进行可信验证;
202、将验证结果返回云服务器集群。
在一可选实施例中,步骤201,包括:
从云服务器集群中的云服务器发送的远程验证请求中获取待验证对象的当前度量值;
基于与可信根集群之间的远程通信连接,从可信根集群中的读取待验证对象的基准度量值;
根据待验证对象的当前度量值和其基准度量值,对待验证对象进行可信验证,并生成验证结果。
在一可选实施例中,步骤根据待验证对象的当前度量值和其基准度量值,对待验证对象进行可信验证,并生成验证结果,包括:
若待验证对象的当前度量值与其基准度量值相匹配,则生成待验证对象通过可信验证的验证结果;
若待验证对象的当前度量值与其基准度量值不匹配,则生成待验证对象未通过可信验证的验证结果。
在一可选实施例中,远程验证请求中包含可信根集群为云服务器上可信硬件模块颁发的证书,该方法还包括:
基于远程验证请求中的证书,调用可信根集群对远程验证请求进行安全认证,若远程验证请求通过安全认证,执行获取待验证对象的当前度量值的操作。
在一可选实施例中,可信根集群包括管理设备,步骤基于与可信根集群之间的远程通信连接,从可信根集群中的读取待验证对象的基准度量值,包括:
根据远程验证请求,获取远程验证请求对应的待验证对象的信息;
基于待验证对象的信息,生成对可信根集群的调用请求;
基于与可信根集群中的管理设备之间的远程通信连接,将调用请求发送至管理设备,以供可信根集群中的管理设备确定待验证对象对应的目标可信根服务器,并从目标可信根服务器中获取待验证对象的基准度量值并发送给可信代理服务器。
在一可选实施例中,该方法还包括:
基于预置的连接配置参数,响应于操作者的连接触发操作,向可信根集群中的管理设备发送远程连接请求;若通过管理设备的权限认证,建立与管理设备之间的远程通信连接。
值得说明的是,上述关于适用于可信代理服务器的可信验证方法的各实施例中提及或未提及的技术细节,可参考前述关于可信验证系统中针对可信代理服务器的技术方案的描述,为节省篇幅,在此未进行详述,但这不应造成对本申请保护范围的损失。
图3为本申请另一实施例提供的一种计算设备的结构示意图。如图3所示,实际中,可信代理服务器可实现为计算设备,该计算设备包括:存储器30、处理器31以及通信组件32。
处理器31,与存储器30及通信组件32耦合,用于执行存储器中的计算机程序,以用于:
通过通信组件32接收云服务器集群发送的远程验证请求;
基于与可信根集群之间的远程通信连接,调用可信根集群对云服务器集群进行可信验证;
通过通信组件32将验证结果返回云服务器集群。
在一可选实施例中,处理器31在基于与可信根集群之间的远程通信连接,调用可信根集群对云服务器集群进行可信验证时,用于:
从云服务器集群中的云服务器发送的远程验证请求中获取待验证对象的当前度量值;
基于与可信根集群之间的远程通信连接,从可信根集群中的读取待验证对象的基准度量值;
根据待验证对象的当前度量值和其基准度量值,对待验证对象进行可信验证,并生成验证结果。
在一可选实施例中,处理器31在根据待验证对象的当前度量值和其基准度量值,对待验证对象进行可信验证,并生成验证结果时,用于:
若待验证对象的当前度量值与其基准度量值相匹配,则生成待验证对象通过可信验证的验证结果;
若待验证对象的当前度量值与其基准度量值不匹配,则生成待验证对象未通过可信验证的验证结果。
在一可选实施例中,远程验证请求中包含可信根集群为云服务器上可信硬件模块颁发的证书,处理器31还包括:
基于远程验证请求中的证书,调用可信根集群对远程验证请求进行安全认证,若远程验证请求通过安全认证,执行获取待验证对象的当前度量值的操作。
在一可选实施例中,可信根集群包括管理设备,处理器31在基于与可信根集群之间的远程通信连接,从可信根集群中的读取待验证对象的基准度量值时,用于:
根据远程验证请求,获取远程验证请求对应的待验证对象的信息;
基于待验证对象的信息,生成对可信根集群的调用请求;
基于与可信根集群中的管理设备之间的远程通信连接,将调用请求发送至管理设备,以供可信根集群中的管理设备确定待验证对象对应的目标可信根服务器,并从目标可信根服务器中获取待验证对象的基准度量值并发送给可信代理服务器。
在一可选实施例中,处理器31还用于:
基于预置的连接配置参数,响应于操作者的连接触发操作,向可信根集群中的管理设备发送远程连接请求;若通过管理设备的权限认证,建立与管理设备之间的远程通信连接。
进一步,如图3所示,该计算设备还包括:电源组件33等其它组件。图3中仅示意性给出部分组件,并不意味着计算设备只包括图3所示组件。
值得说明的是,上述关于该计算设备的各实施例中提及或未提及的技术细节,可参考前述关于可信验证系统中针对可信代理服务器的技术方案的描述,为节省篇幅,在此未进行详述,但这不应造成对本申请保护范围的损失。
相应地,本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,计算机程序被执行时能够实现上述方法实施例中可由可信代理服务器执行的各步骤。
图4为本申请又一实施例提供的一种可信验证方法的流程示意图。如图4所示,该方法适用于前述可信验证系统中的云服务器集群中的云服务器,该方法包括:
400、在发生可信验证需求的情况下,生成远程验证请求;
401、将远程验证请求发送至可信代理服务器,以供可信代理服务器调用可信根集群对云服务器进行可信验证;
402、接收可信代理服务器返回的验证结果。
在一可选实施例中,步骤400包括:
在其上的待验证对象需要进行可信验证的情况下,利用云服务器上的硬件可信模块计算待验证对象的当前度量值;
根据当前度量值生成远程验证请求。
在一可选实施例中,该方法还包括:
将可信根集群为云服务器上可信硬件模块颁发的证书配置到远程验证请求中,以供可信代理服务器调用可信根集群对远程验证请求中进行安全认证。
在一可选实施例中,该方法还包括:
在开始启动的情况下,基于其上可信硬件模块的公钥,生成初始化请求;
通过可信代理服务器将初始化请求发送至可信根集群;
接收可信代理服务器转发而来的可信根集群为云服务器上可信硬件模块颁发的证书。
在一可选实施例中,该方法还包括:
若验证结果为未通过验证,则停止其上后续的启动操作。
值得说明的是,上述关于适用于云服务器的可信验证方法的各实施例中提及或未提及的技术细节,可参考前述关于可信验证系统中针对云服务器的技术方案的描述,为节省篇幅,在此未进行详述,但这不应造成对本申请保护范围的损失。
图5为本申请又一实施例提供的一种云服务器的结构示意图。如图5所示,该云服务器包括:存储器51、处理器52以及通信组件53。
处理器52,与存储器51、通信组件53耦合,用于执行存储器中的计算机程序,以用于:
在发生可信验证需求的情况下,生成远程验证请求;
通过通信组件53将远程验证请求发送至可信代理服务器,以供可信代理服务器调用可信根集群对云服务器进行可信验证;
通过通信组件53接收可信代理服务器返回的验证结果。
在一可选实施例中,还包括可信硬件模块50,处理器52还与可信硬件模块50耦合,处理器52在发生可信验证需求的情况下,生成远程验证请求时,用于:
在其上的待验证对象需要进行可信验证的情况下,利用其上的硬件可信模块50计算待验证对象的当前度量值;
根据当前度量值生成远程验证请求。
在一可选实施例中,处理器52还用于:
将可信根集群为云服务器上可信硬件模块颁发的证书配置到远程验证请求中,以供可信代理服务器调用可信根集群对远程验证请求中进行安全认证。
在一可选实施例中,处理器52还用于:
在开始启动的情况下,基于其上可信硬件模块的公钥,生成初始化请求;
通过可信代理服务器将初始化请求发送至可信根集群;
接收可信代理服务器转发而来的可信根集群为云服务器上可信硬件模块颁发的证书。
在一可选实施例中,处理器52还用于:
若验证结果为未通过验证,则停止其上后续的启动操作。
进一步,如图5所示,该计算设备还包括:电源组件54等其它组件。图5中仅示意性给出部分组件,并不意味着计算设备只包括图5所示组件。
值得说明的是,上述关于该云服务器的各实施例中提及或未提及的技术细节,可参考前述关于可信验证系统中针对云服务器的技术方案的描述,为节省篇幅,在此未进行详述,但这不应造成对本申请保护范围的损失。
相应地,本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,计算机程序被执行时能够实现上述方法实施例中可由云服务器执行的各步骤。
图6为本申请又一实施例提供的一种可信计算方法的流程示意图。如图6所示,该方法适用于前述可信验证系统中的可信根集群中的管理设备,该方法包括:
600、基于与可信代理服务器之间的远程通信连接,接收可信代理服务器发送的调用请求,调用请求为可信代理服务器根据接收到的云服务器集群发送的远程验证请求而生成的;
601、利用可信根集群中的可信根响应调用请求,以对云服务器集群进行可信验证。
在一可选实施例中,该方法还包括:
接收可信代理服务器发送的远程连接请求;
基于预置的权限认证参数对远程连接请求进行权限认证,并在远程连接请求通过权限认证后,建立与可信代理服务器之间的远程通信连接。
在一可选实施例中,调用请求中包含云服务器集群中待验证对象的信息,步骤利用可信根集群中的可信根响应调用请求,包括:
基于预置的待验证对象与可信根服务器之间的配对关系,根据调用请求中的待验证对象的信息,确定待验证对象对应的目标可信根服务器;
利用目标可信根服务器上的可信根响应调用请求。
在一可选实施例中,步骤利用目标可信根服务器上的可信根响应调用请求,包括:
从目标可信根服务器的可信根中获取待验证对象的基准度量值;
将待验证对象的基准度量值发送给可信代理服务器,以供可信代理服务器基于基准度量值对待验证对象进行可信验证。
在一可选实施例中,该方法还包括:
基于与可信代理服务器之间的远程通信连接,接收可信代理服务器转发来的云服务器集群中的云服务器的初始化请求;
从初始化请求中获取云服务器上可信硬件模块的公钥;
对公钥进行签名,并将签名结果作为云服务器上可信硬件模块的证书;
通过可信代理服务器将证书返回云服务器。
值得说明的是,上述关于适用于可信根集群中管理设备的可信验证方法的各实施例中提及或未提及的技术细节,可参考前述关于可信验证系统中针对可信根集群中管理设备的技术方案的描述,为节省篇幅,在此未进行详述,但这不应造成对本申请保护范围的损失。
图7为本申请另一实施例提供的一种计算设备的结构示意图。如图7所示,实际中,可信根集群中的管理设备可实现为计算设备,该计算设备包括:存储器70、处理器71以及通信组件72。
处理器71,与存储器70及通信组件72耦合,用于执行存储器中的计算机程序,以用于:
基于与可信代理服务器之间的远程通信连接,接收可信代理服务器发送的调用请求,调用请求为可信代理服务器根据接收到的云服务器集群发送的远程验证请求而生成的;
利用可信根集群中的可信根响应调用请求,以对云服务器集群进行可信验证。
在一可选实施例中,处理器71还用于:
接收可信代理服务器发送的远程连接请求;
基于预置的权限认证参数对远程连接请求进行权限认证,并在远程连接请求通过权限认证后,建立与可信代理服务器之间的远程通信连接。
在一可选实施例中,调用请求中包含云服务器集群中待验证对象的信息,处理器71在利用可信根集群中的可信根响应调用请求时,用于:
基于预置的待验证对象与可信根服务器之间的配对关系,根据调用请求中的待验证对象的信息,确定待验证对象对应的目标可信根服务器;
利用目标可信根服务器上的可信根响应调用请求。
在一可选实施例中,处理器71在利用目标可信根服务器上的可信根响应调用请求时,用于:
从目标可信根服务器的可信根中获取待验证对象的基准度量值;
将待验证对象的基准度量值发送给可信代理服务器,以供可信代理服务器基于基准度量值对待验证对象进行可信验证。
在一可选实施例中,处理器71还用于:
基于与可信代理服务器之间的远程通信连接,接收可信代理服务器转发来的云服务器集群中的云服务器的初始化请求;
从初始化请求中获取云服务器上可信硬件模块的公钥;
对公钥进行签名,并将签名结果作为云服务器上可信硬件模块的证书;
通过可信代理服务器将证书返回云服务器。
进一步,如图7所示,该计算设备还包括:电源组件73等其它组件。图7中仅示意性给出部分组件,并不意味着计算设备只包括图7所示组件。
值得说明的是,上述关于该计算设备的各实施例中提及或未提及的技术细节,可参考前述关于可信验证系统中针对可信根集群中管理设备的技术方案的描述,为节省篇幅,在此未进行详述,但这不应造成对本申请保护范围的损失。
相应地,本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,计算机程序被执行时能够实现上述方法实施例中可由可信根集群中管理设备执行的各步骤。
其中,图3、5、7中的存储器,用于存储计算机程序,并可被配置为存储其它各种数据以支持其所在设备上的操作。这些数据的示例包括用于在其所在设备上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
其中,图3、5、7中的通信组件,被配置为便于通信组件所在设备和其他设备之间有线或无线方式的通信。通信组件所在设备可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件可基于近场通信(NFC)技术、射频识别(RFID)技术、红外数据协会(IrDA)技术、超宽带(UWB)技术、蓝牙(BT)技术或其它技术来实现,以促进短程通信。
其中,图3、5、7中的电源组件,为电源组件所在设备的各种组件提供电力。电源组件可以包括电源管理系统,一个或多个电源,及其他与为电源组件所在设备生成、管理和分配电力相关联的组件。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (29)
1.一种可信验证系统,其特征在于,包括可信根集群、可信代理服务器和云服务器集群;
所述云服务器集群用于在发生可信验证需求的情况下,向所述可信代理服务器发送远程验证请求,并接收所述可信代理服务器返回的验证结果;
所述可信代理服务器用于在接收到所述云服务器集群发送的远程验证请求时,基于所述可信代理服务器与所述可信根集群之间的远程通信连接,调用所述可信根集群对所述云服务器集群进行可信验证,并将验证结果返回所述云服务器集群。
2.根据权利要求1所述的系统,其特征在于,所述云服务器集群中的云服务器用于:
在其上的待验证对象进行启动的情况下,利用其上的硬件可信模块计算所述待验证对象的当前度量值;
根据所述当前度量值生成所述远程验证请求。
3.根据权利要求2所述的系统,其特征在于,所述可信代理服务器具体用于:
从所述云服务器发送的远程验证请求中获取所述待验证对象的当前度量值;
基于可信代理服务器与所述可信根集群之间的远程通信连接,从所述可信根集群中的读取所述待验证对象的基准度量值;
根据所述待验证对象的当前度量值和其基准度量值,对所述待验证对象进行可信验证,并生成验证结果。
4.根据权利要求3所述的系统,其特征在于,所述可信代理服务器具体用于:
若所述待验证对象的当前度量值与其基准度量值相匹配,则生成所述待验证对象通过可信验证的验证结果;
若所述待验证对象的当前度量值与其基准度量值不匹配,则生成所述待验证对象未通过可信验证的验证结果。
5.根据权利要求3所述的系统,其特征在于,所述可信根集群包括管理设备,所述可信代理服务器具体用于:
根据所述远程验证请求,获取所述远程验证请求对应的待验证对象的信息;
基于所述待验证对象的信息,生成对所述可信根集群的调用请求;
基于与所述可信根集群中的所述管理设备之间的远程通信连接,将所述调用请求发送至所述管理设备;
所述可信根集群中的管理设备用于:
基于与所述可信代理服务器之间的远程通信连接,接收所述调用请求;
基于预置的待验证对象与可信根服务器之间的配对关系,根据所述调用请求中的所述待验证对象的信息,确定所述待验证对象对应的目标可信根服务器;
从所述目标可信根服务器的可信根中获取所述待验证对象的基准度量值;
将所述待验证对象的基准度量值发送给可信代理服务器,以供可信代理服务器基于基准度量值对待验证对象进行可信验证。
6.根据权利要求5所述的系统,其特征在于,所述可信代理服务器还用于:
基于预置的连接配置参数,响应于操作者的连接触发操作,向所述可信根集群中的管理设备发送远程连接请求;若通过所述管理设备的权限认证,建立与所述管理设备之间的远程通信连接;
所述可信根集群中的管理设备用于:
在接收到所述可信代理服务器发送的远程连接请求情况下,基于预置的权限认证参数对所述远程连接请求进行权限认证,并在所述远程连接请求通过权限认证后,建立与所述可信代理服务器之间的远程通信连接。
7.根据权利要求2所述的系统,其特征在于,所述云服务器还用于:将所述可信根集群为所述云服务器上可信硬件模块颁发的证书携带在所述远程验证请求中发送给所述可信代理服务器;
所述可信代理服务器还用于:基于所述远程验证请求中的证书,调用所述可信根集群对所述远程验证请求进行安全认证,若所述远程验证请求通过安全认证,执行获取待验证对象的当前度量值的操作。
8.根据权利要求7所述的系统,其特征在于,所述云服务器还用于:
在开始启动的情况下,基于其上可信硬件模块的公钥,生成初始化请求;
通过所述可信代理服务器将所述初始化请求发送至所述可信根集群;
接收所述可信代理服务器转发而来的所述可信根集群为所述云服务器上可信硬件模块颁发的证书;
所述可信根集群还用于:
接收所述可信代理服务器转发来的所述云服务器的初始化请求;
从所述初始化请求中获取所述云服务器上可信硬件模块的公钥;
对所述公钥进行签名,并将签名结果作为所述云服务器上可信硬件模块的证书;
通过所述可信代理服务器将所述证书返回所述云服务器。
9.根据权利要求2所述的系统,其特征在于,所述云服务器还用于:
若所述验证结果为未通过验证,则停止其上后续的启动操作。
10.一种可信验证方法,适用于可信代理服务器,其特征在于,包括:
接收云服务器集群发送的远程验证请求;
基于与所述可信根集群之间的远程通信连接,调用所述可信根集群对所述云服务器集群进行可信验证;
将验证结果返回所述云服务器集群。
11.根据权利要求10所述的方法,其特征在于,所述基于与所述可信根集群之间的远程通信连接,调用所述可信根集群对所述云服务器集群进行可信验证,包括:
从云服务器集群中的云服务器发送的远程验证请求中获取待验证对象的当前度量值;
基于与所述可信根集群之间的远程通信连接,从所述可信根集群中的读取所述待验证对象的基准度量值;
根据所述待验证对象的当前度量值和其基准度量值,对所述待验证对象进行可信验证,并生成验证结果。
12.根据权利要求11所述的方法,其特征在于,所述根据所述待验证对象的当前度量值和其基准度量值,对所述待验证对象进行可信验证,并生成验证结果,包括:
若所述待验证对象的当前度量值与其基准度量值相匹配,则生成所述待验证对象通过可信验证的验证结果;
若所述待验证对象的当前度量值与其基准度量值不匹配,则生成所述待验证对象未通过可信验证的验证结果。
13.根据权利要求11所述的方法,其特征在于,所述远程验证请求中包含所述可信根集群为所述云服务器上可信硬件模块颁发的证书,所述方法还包括:
基于所述远程验证请求中的证书,调用所述可信根集群对所述远程验证请求进行安全认证,若所述远程验证请求通过安全认证,执行获取待验证对象的当前度量值的操作。
14.根据权利要求11所述的方法,其特征在于,所述可信根集群包括管理设备,所述基于与所述可信根集群之间的远程通信连接,从所述可信根集群中的读取所述待验证对象的基准度量值,包括:
根据所述远程验证请求,获取所述远程验证请求对应的待验证对象的信息;
基于所述待验证对象的信息,生成对所述可信根集群的调用请求;
基于与所述可信根集群中的所述管理设备之间的远程通信连接,将所述调用请求发送至所述管理设备,以供所述可信根集群中的所述管理设备确定所述待验证对象对应的目标可信根服务器,并从所述目标可信根服务器中获取所述待验证对象的基准度量值并发送给所述可信代理服务器。
15.根据权利要求11所述的方法,其特征在于,还包括:
基于预置的连接配置参数,响应于操作者的连接触发操作,向所述可信根集群中的所述管理设备发送远程连接请求;若通过所述管理设备的权限认证,建立与所述管理设备之间的远程通信连接。
16.一种可信验证方法,适用于云服务器集群中的云服务器,其特征在于,包括:
在发生可信验证需求的情况下,生成远程验证请求;
将所述远程验证请求发送至所述可信代理服务器,以供所述可信代理服务器调用可信根集群对所述云服务器进行可信验证;
接收所述可信代理服务器返回的验证结果。
17.根据权利要求16所述的方法,其特征在于,所述在发生可信验证需求的情况下,生成远程验证请求,包括:
在其上的待验证对象需要进行可信验证的情况下,利用所述云服务器上的硬件可信模块计算所述待验证对象的当前度量值;
根据所述当前度量值生成所述远程验证请求。
18.根据权利要求17所述的方法,其特征在于,还包括:
将所述可信根集群为所述云服务器上可信硬件模块颁发的证书配置到所述远程验证请求中,以供所述可信代理服务器调用所述可信根集群对所述远程验证请求进行安全认证。
19.根据权利要求18所述的方法,其特征在于,还包括:
在开始启动的情况下,基于其上可信硬件模块的公钥,生成初始化请求;
通过所述可信代理服务器将所述初始化请求发送至所述可信根集群;
接收所述可信代理服务器转发而来的所述可信根集群为所述云服务器上可信硬件模块颁发的证书。
20.根据权利要求16所述的方法,其特征在于,还包括:
若所述验证结果为未通过验证,则停止其上后续的启动操作。
21.一种可信验证方法,适用于可信根集群中的管理设备,其特征在于,包括:
基于与所述可信代理服务器之间的远程通信连接,接收所述可信代理服务器发送的调用请求,所述调用请求为所述可信代理服务器根据接收到的云服务器集群发送的远程验证请求而生成的;
利用所述可信根集群中的可信根响应所述调用请求,以对所述云服务器集群进行可信验证。
22.根据权利要求21所述的方法,其特征在于,还包括:
接收所述可信代理服务器发送的远程连接请求;
基于预置的权限认证参数对所述远程连接请求进行权限认证,并在所述远程连接请求通过权限认证后,建立与所述可信代理服务器之间的远程通信连接。
23.根据权利要求21所述的方法,其特征在于,所述调用请求中包含所述云服务器集群中待验证对象的信息,所述利用所述可信根集群中的可信根响应所述调用请求,包括:
基于预置的待验证对象与可信根服务器之间的配对关系,根据所述调用请求中的所述待验证对象的信息,确定所述待验证对象对应的目标可信根服务器;
利用所述目标可信根服务器上的可信根响应所述调用请求。
24.根据权利要求23所述的方法,其特征在于,所述利用所述目标可信根服务器上的可信根响应所述调用请求,包括:
从所述目标可信根服务器的可信根中获取所述待验证对象的基准度量值;
将所述待验证对象的基准度量值发送给所述可信代理服务器,以供所述可信代理服务器基于所述基准度量值对所述待验证对象进行可信验证。
25.根据权利要求21所述的方法,其特征在于,还包括:
基于与所述可信代理服务器之间的远程通信连接,接收所述可信代理服务器转发来的所述云服务器集群中的云服务器的初始化请求;
从所述初始化请求中获取所述云服务器上可信硬件模块的公钥;
对所述公钥进行签名,并将签名结果作为所述云服务器上可信硬件模块的证书;
通过所述可信代理服务器将所述证书返回所述云服务器。
26.一种计算设备,其特征在于,包括存储器、处理器和通信组件;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器及所述通信组件耦合,用于执行所述一条或多条计算机指令,以用于:
接收云服务器集群发送的远程验证请求;
基于与所述可信根集群之间的远程通信连接,调用所述可信根集群对所述云服务器集群进行可信验证;
将验证结果返回所述云服务器集群。
27.一种云服务器,其特征在于,包括存储器、处理器和通信组件;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器及所述通信组件耦合,用于执行所述一条或多条计算机指令,以用于:
在发生可信验证需求的情况下,生成远程验证请求;
通过所述通信组件将所述远程验证请求发送至所述可信代理服务器,以供所述可信代理服务器调用可信根集群对所述云服务器进行可信验证;
通过所述通信组件接收所述可信代理服务器返回的验证结果。
28.一种计算设备,其特征在于,包括存储器、处理器和通信组件;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器及所述通信组件耦合,用于执行所述一条或多条计算机指令,以用于:
基于与所述可信代理服务器之间的远程通信连接,通过所述通信组件接收所述可信代理服务器发送的调用请求,所述调用请求为所述可信代理服务器根据接收到的云服务器集群发送的远程验证请求而生成的;
利用所述可信根集群中的可信根响应所述调用请求,以对所述云服务器集群进行可信验证。
29.一种存储计算机指令的计算机可读存储介质,其特征在于,当所述计算机指令被一个或多个处理器执行时,致使所述一个或多个处理器执行权利要求10-15、16-20或21-25任一项所述的可信验证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910371291.8A CN111901285B (zh) | 2019-05-06 | 2019-05-06 | 一种可信验证方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910371291.8A CN111901285B (zh) | 2019-05-06 | 2019-05-06 | 一种可信验证方法、系统、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111901285A true CN111901285A (zh) | 2020-11-06 |
| CN111901285B CN111901285B (zh) | 2022-09-20 |
Family
ID=73169445
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910371291.8A Active CN111901285B (zh) | 2019-05-06 | 2019-05-06 | 一种可信验证方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111901285B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113472547A (zh) * | 2021-09-06 | 2021-10-01 | 湖南和信安华区块链科技有限公司 | 一种基于区块链的安全监控系统 |
| CN114666103A (zh) * | 2022-03-04 | 2022-06-24 | 阿里巴巴(中国)有限公司 | 可信度量装置、设备、系统及可信身份认证方法 |
| US20230156004A1 (en) * | 2021-11-15 | 2023-05-18 | Red Hat, Inc. | Scalable and secure edge cluster registration |
| CN116743811A (zh) * | 2023-06-29 | 2023-09-12 | 杭州初星网络科技有限公司 | 云平台下的远程教育数据处理方法、系统及电子设备 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102438044A (zh) * | 2011-12-04 | 2012-05-02 | 河南科技大学 | 一种基于云计算的数字内容可信使用控制方法 |
| CN102594558A (zh) * | 2012-01-19 | 2012-07-18 | 东北大学 | 一种可信计算环境的匿名数字证书系统及验证方法 |
| CN103501303A (zh) * | 2013-10-12 | 2014-01-08 | 武汉大学 | 一种针对云平台虚拟机度量的主动远程证明方法 |
| US20140122873A1 (en) * | 2012-10-31 | 2014-05-01 | Steven W. Deutsch | Cryptographic enforcement based on mutual attestation for cloud services |
| CN103795717A (zh) * | 2014-01-23 | 2014-05-14 | 中国科学院计算技术研究所 | 一种云计算平台完整性证明方法及其系统 |
| CN106506543A (zh) * | 2016-12-20 | 2017-03-15 | 北京工业大学 | 一种云服务器中可信代理模块的实现方法 |
| US20170351436A1 (en) * | 2011-03-08 | 2017-12-07 | Rackspace Us, Inc. | Cluster federation and trust in a cloud environment |
| CN107533609A (zh) * | 2015-05-29 | 2018-01-02 | 英特尔公司 | 用于对系统中的多个可信执行环境进行控制的系统、设备和方法 |
| US20180234255A1 (en) * | 2016-12-15 | 2018-08-16 | Alibaba Group Holding Limited | Method and system for distributing attestation key and certificate in trusted computing |
| CN109495436A (zh) * | 2018-04-20 | 2019-03-19 | 全球能源互联网研究院有限公司 | 一种可信云平台度量系统及方法 |
| CN109714168A (zh) * | 2017-10-25 | 2019-05-03 | 阿里巴巴集团控股有限公司 | 可信远程证明方法、装置和系统 |
-
2019
- 2019-05-06 CN CN201910371291.8A patent/CN111901285B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170351436A1 (en) * | 2011-03-08 | 2017-12-07 | Rackspace Us, Inc. | Cluster federation and trust in a cloud environment |
| CN102438044A (zh) * | 2011-12-04 | 2012-05-02 | 河南科技大学 | 一种基于云计算的数字内容可信使用控制方法 |
| CN102594558A (zh) * | 2012-01-19 | 2012-07-18 | 东北大学 | 一种可信计算环境的匿名数字证书系统及验证方法 |
| US20140122873A1 (en) * | 2012-10-31 | 2014-05-01 | Steven W. Deutsch | Cryptographic enforcement based on mutual attestation for cloud services |
| CN103501303A (zh) * | 2013-10-12 | 2014-01-08 | 武汉大学 | 一种针对云平台虚拟机度量的主动远程证明方法 |
| CN103795717A (zh) * | 2014-01-23 | 2014-05-14 | 中国科学院计算技术研究所 | 一种云计算平台完整性证明方法及其系统 |
| CN107533609A (zh) * | 2015-05-29 | 2018-01-02 | 英特尔公司 | 用于对系统中的多个可信执行环境进行控制的系统、设备和方法 |
| US20180234255A1 (en) * | 2016-12-15 | 2018-08-16 | Alibaba Group Holding Limited | Method and system for distributing attestation key and certificate in trusted computing |
| CN106506543A (zh) * | 2016-12-20 | 2017-03-15 | 北京工业大学 | 一种云服务器中可信代理模块的实现方法 |
| CN109714168A (zh) * | 2017-10-25 | 2019-05-03 | 阿里巴巴集团控股有限公司 | 可信远程证明方法、装置和系统 |
| CN109495436A (zh) * | 2018-04-20 | 2019-03-19 | 全球能源互联网研究院有限公司 | 一种可信云平台度量系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 胡玲碧: "《云环境中可信虚拟平台的远程证明方案研究》", 《软件学报》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113472547A (zh) * | 2021-09-06 | 2021-10-01 | 湖南和信安华区块链科技有限公司 | 一种基于区块链的安全监控系统 |
| US20230156004A1 (en) * | 2021-11-15 | 2023-05-18 | Red Hat, Inc. | Scalable and secure edge cluster registration |
| CN114666103A (zh) * | 2022-03-04 | 2022-06-24 | 阿里巴巴(中国)有限公司 | 可信度量装置、设备、系统及可信身份认证方法 |
| CN114666103B (zh) * | 2022-03-04 | 2023-08-15 | 阿里巴巴(中国)有限公司 | 可信度量装置、设备、系统及可信身份认证方法 |
| CN116743811A (zh) * | 2023-06-29 | 2023-09-12 | 杭州初星网络科技有限公司 | 云平台下的远程教育数据处理方法、系统及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111901285B (zh) | 2022-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11516011B2 (en) | Blockchain data processing methods and apparatuses based on cloud computing | |
| CN111901285B (zh) | 一种可信验证方法、系统、设备及存储介质 | |
| US20210297410A1 (en) | Mec platform deployment method and apparatus | |
| US8924723B2 (en) | Managing security for computer services | |
| US10833859B2 (en) | Automating verification using secure encrypted phone verification | |
| CA2982539C (en) | Method of operating a computing device, computing device and computer program | |
| US10601590B1 (en) | Secure secrets in hardware security module for use by protected function in trusted execution environment | |
| US11483155B2 (en) | Access control using proof-of-possession token | |
| CN109086596B (zh) | 应用程序的认证方法、装置及系统 | |
| US11240043B1 (en) | Issuance of certificates for secure enterprise wireless network access | |
| CN111897621A (zh) | 一种虚拟机迁移方法、装置、设备、系统及存储介质 | |
| CN108900324B (zh) | 校验虚拟机通信性能的方法及装置 | |
| CN113647113A (zh) | 基于网络的媒体处理安全性 | |
| CN112800393A (zh) | 授权认证、软件开发工具包生成方法、装置及电子设备 | |
| CN107026730B (zh) | 数据处理方法、装置及系统 | |
| CN111431957B (zh) | 文件处理方法、装置、设备和系统 | |
| CN113766496A (zh) | 智能设备的跨平台绑定方法、系统及相关设备 | |
| US10531296B2 (en) | Method for loading a subscription into an embedded security element of a mobile terminal | |
| CN111414640B (zh) | 秘钥访问控制方法和装置 | |
| US11777742B2 (en) | Network device authentication | |
| CN112422475B (zh) | 一种服务鉴权方法、装置、系统及存储介质 | |
| US10459722B2 (en) | Device, system, and method for secure supervisor system calls | |
| CN112118210A (zh) | 一种认证密钥配置方法、设备、系统及存储介质 | |
| US11977620B2 (en) | Attestation of application identity for inter-app communications | |
| KR102664180B1 (ko) | 네트워크 기반 미디어 처리 보안 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |