CN113791872B - 基于云计算的认证方法及系统 - Google Patents

基于云计算的认证方法及系统 Download PDF

Info

Publication number
CN113791872B
CN113791872B CN202111334558.XA CN202111334558A CN113791872B CN 113791872 B CN113791872 B CN 113791872B CN 202111334558 A CN202111334558 A CN 202111334558A CN 113791872 B CN113791872 B CN 113791872B
Authority
CN
China
Prior art keywords
certificate
virtual machine
module
agent
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111334558.XA
Other languages
English (en)
Other versions
CN113791872A (zh
Inventor
焦靖伟
汪宗斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Infosec Technologies Co Ltd
Original Assignee
Beijing Infosec Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Infosec Technologies Co Ltd filed Critical Beijing Infosec Technologies Co Ltd
Priority to CN202111334558.XA priority Critical patent/CN113791872B/zh
Publication of CN113791872A publication Critical patent/CN113791872A/zh
Application granted granted Critical
Publication of CN113791872B publication Critical patent/CN113791872B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45562Creating, deleting, cloning virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/4557Distribution of virtual machine instances; Migration and load balancing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例提供一种基于云计算的认证方法及系统。该方法适用于云计算系统。该系统包括代理端设备以及服务端设备,代理端设备中部署有密码模块。该方法包括:对于代理端设备中已创建的虚拟机,在虚拟机中部署代理模块;采集代理端设备的设备信息;若采集到设备信息,则基于设备信息初始化密码模块以得到签名密钥对,并向服务端设备申请双证书;将申请到的双证书以及签名密钥对存储到密码模块中,以实现对虚拟机的动态监测。该方法中,通过在代理端设备中部署外置的密码模块,避免对设备内置TPM模块的依赖,拓展安全认证的适用范围,从IaaS层开始实现云计算设备的安全认证,提高认证方案的自动化程度,提高认证效率。

Description

基于云计算的认证方法及系统
技术领域
本发明涉及软件技术领域,尤其涉及一种基于云计算的认证方法及系统。
背景技术
随着云计算的蓬勃发展,云计算安全性正成为该领域的重要问题之一。
目前,对于云主机没有相关的设备认证机制。相关技术中,创建一个新的虚拟机(Virtual Machine,VM)后,云平台通常会直接分配相关资源给用户,并不关注虚拟机的安全认证。
为解决这一问题,目前提出安迈科技(American Megatrends Inc,AMI)的TruE解决方案。上述解决方案针对的是容器平台,在容器服务层做认证,仅能够对容器运行环境负责。如果应用程序所处虚拟机存在问题(入侵、容器逃逸等),仍会影响容器内程序的运行,带来安全问题。
发明内容
本发明实施例提供一种基于云计算的认证方法及系统,用以提高虚拟机运行环境的安全性。
第一方面,本发明实施例提供一种基于云计算的认证方法,该方法适用于云计算系统,该系统包括代理端设备以及服务端设备,该服务端设备包括认证服务器,代理端设备中部署有密码模块;该方法包括:
对于代理端设备中已创建的虚拟机,在所述虚拟机中部署代理模块;
采集所述代理端设备的设备信息,所述设备信息包括系统参数以及密码模块的属性信息;
若采集到所述设备信息,则基于所述设备信息初始化密码模块以得到签名密钥对,并向服务端设备申请双证书,其中双证书包括签名证书以及加密证书;
将申请到的双证书以及签名密钥对存储到密码模块中,以实现对所述虚拟机的动态监测。
进一步可选地,所述方法还包括:通过所述代理模块向监控服务器上报所述虚拟机所处状态。
进一步可选地,所述基于所述设备信息初始化密码模块以得到签名密钥对,包括:
基于所述系统参数以及所述密码模块的属性信息生成公钥基础设施(Public KeyInfrastructure,PKI)体系中的摘要;生成所述虚拟机的签名密钥对。
进一步可选地,若所述服务端设备包括证书管理服务器,所述代理模块为可信代理模块,则所述向服务端设备申请双证书,将申请到的双证书以及签名密钥对存储到密码模块中,包括:
通过可信代理模块创建证书签名请求并发送给证书管理服务器,所述证书签名请求包括PKI体系中的摘要和挑战码;接收证书管理服务器反馈的双证书,以将双证书以及对应的签名密钥对存储到所述密码模块中。
进一步可选地,所述方法还包括:向所述服务端设备发送携带有本地设备标识的挑战码获取请求;接收所述服务端设备下发的挑战码,其中,挑战码用于生成证书签名请求。
进一步可选地,所述服务端设备包括认证服务器;所述方法还包括:接收到双证书中的加密证书之后,向服务端设备申请挑战码;响应认证服务器反馈的挑战码,向认证服务器发送签名值,其中,签名值经过加密证书的加密,签名值包括基础设施即服务IaaS虚拟机的资产标识;通过认证服务器采用加密证书对应私钥对签名值进行解密以及验证,并向通过验证的代理端设备反馈对应的密钥保护方法。
进一步可选地,所述密码模块部署在所述代理端设备的IaaS虚拟机中。
进一步可选地,所述密码模块包括可插拔的硬件密码模块,或者集成在所述代理模块中的软件密码模块;所述软件密码模块用于替代可插拔的硬件密码模块实现认证功能。
进一步可选地,为硬件密码模块预先配置统一的预制证。
进一步可选地,所述密码模块支持硬件虚拟化,以通过硬件虚拟化使得多个虚拟机共用同一所述密码模块。
第二方面,本发明实施例提供了另一种基于云计算的认证方法,该方法适用于云计算系统,该系统包括代理端设备以及服务端设备,该服务端设备包括认证服务器,代理端设备中部署有密码模块;该方法包括:
对于代理端设备中待创建的虚拟机,采用密码模块中的加密证书对IaaS虚拟机的资产标识进行加密,得到加密密文;
向认证服务器上报加密密文,以使认证服务器采用加密证书对应私钥对签名值进行解密以及验证,并激活通过验证的代理端设备;
接收认证服务器下发的激活确认消息,以实现对所述虚拟机的激活操作。
进一步可选地,所述密码模块部署在所述代理端设备的IaaS虚拟机中。
进一步可选地,所述密码模块包括可插拔的硬件密码模块,或者集成在所述代理模块中的软件密码模块;所述软件密码模块用于替代可插拔的硬件密码模块实现认证功能。
进一步可选地,为硬件密码模块预先配置统一的预制证。
进一步可选地,所述密码模块支持硬件虚拟化,以通过硬件虚拟化使得多个虚拟机共用同一所述密码模块。
第三方面,本发明实施例提供一种基于云计算的认证方法,该系统包括代理端设备以及服务端设备,该服务端设备包括认证服务器,其中
代理端设备,该代理端设备中部署有密码模块,用于对于代理端设备中已创建的虚拟机,在所述虚拟机中部署代理模块;采集所述代理端设备的设备信息,所述设备信息包括系统参数以及密码模块的属性信息;若采集到所述设备信息,则基于所述设备信息初始化密码模块以得到签名密钥对,并为所述虚拟机申请双证书,其中双证书包括签名证书以及加密证书;将申请到的双证书以及签名密钥对存储到密码模块中,以实现对所述虚拟机的动态监测;
认证服务器,用于对虚拟机进行认证;通过所述代理端设备上报的证书状态对虚拟机进行动态监测。
第四方面,本发明实施例提供了另一种基于云计算的认证方法,该系统包括代理端设备以及服务端设备,该服务端设备包括认证服务器,其中
所述代理端设备,所述代理端设备中部署有密码模块,用于对于代理端设备中待创建的虚拟机,采用密码模块中的加密证书对IaaS虚拟机的资产标识进行加密,得到加密密文;向认证服务器上报加密密文;
所述认证服务器,用于采用加密证书对应私钥对签名值进行解密以及验证,并激活通过验证的代理端设备;接收认证服务器下发的激活确认消息,以实现对所述虚拟机的激活操作。
本发明实施例提供了一种非暂时性机器可读存储介质,所述非暂时性机器可读存储介质上存储有可执行代码,当所述可执行代码被电子设备的处理器执行时,使所述处理器至少可以实现第一方面中的基于云计算的认证方法。
在本发明实施例提供的技术方案,适用于云计算系统,该云计算系统包括代理端设备以及服务端设备。该服务端设备包括认证服务器,代理端设备中部署有密码模块。该方案中,对于代理端设备中已创建的虚拟机,在虚拟机中部署代理模块;采集代理端设备的设备信息;若采集到设备信息,则基于设备信息初始化密码模块以得到签名密钥对,并向服务端设备申请双证书;将申请到的双证书以及签名密钥对存储到密码模块中,以实现对虚拟机的动态监测。
该方案中,通过在代理端设备中部署外置的密码模块,如可插拔的硬件密码模块,或搭载在外置设备中的软件密码模块,既可避免对设备内置可信平台模块(TrustedPlatform Module,TPM)的依赖,使得不具有TPM的云计算设备也可通过密码模块完成安全认证,拓展安全认证的适用范围,还可实现从基础设施即服务(Infrastructure as aService,IaaS)层开始对云计算设备的安全认证,避免手动认证带来的繁琐步骤,提高认证方案的自动化程度,提高认证效率。除此之外,该方案中还采用PKI体系完成证书链的认证,进一步提高认证安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的一种基于云计算的认证方法的流程图;
图2为本发明一实施例提供的一种云计算系统的结构示意图;
图3a为本发明一实施例提供的一种认证方法的原理示意图;
图3b为本发明一实施例提供的再一种认证方法的原理示意图;
图4为本发明一实施例提供的另一种认证方法的原理示意图;
图5为本发明一实施例提供的另一种基于云计算的认证方法的流程图;
图6为本发明一实施例提供的另一种云计算系统的结构示意图;
图7为图6所示实施例提供的云计算系统对应的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义,“多种”一般包含至少两种。
取决于语境,如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
另外,下述各方法实施例中的步骤时序仅为一种举例,而非严格限定。
随着云计算的蓬勃发展,云计算安全性正成为该领域的重要问题之一。
目前,对于云主机没有相关的设备认证机制。相关技术中,创建一个新的虚拟机后,云平台通常会直接分配相关资源给用户,并不关注虚拟机的安全认证。
为解决这一问题,目前提出AMI的TruE解决方案。这TruE解决方案针对的是容器平台,在容器服务层做认证,仅能够对容器运行环境负责。如果应用程序所处虚拟机存在问题(入侵、容器逃逸等),仍会影响容器内程序的运行,带来安全问题。
除此之外,这TruE解决方案以及类似的美国国家标准与技术研究院(NationalInstitute of Standards and Technology,NIST)提出的解决方案都需要依赖板载设备即硬件TPM实现。并且,上述解决方案与TPM都属于强绑定关系。而现有云计算环境中,存在部分设备并不具有TPM,或者在合规性约束下无法确定TPM是否合规,又或者不同厂家生产的TPM无法满足同一部署密码模块的需求。显然,在上述情况下,并不适用NIST或AMI这两种解决方案。
综上,云计算环境中,如何提高虚拟机运行环境的安全性,称为亟待解决的技术问题。
下面结合以下各个实施例对基于云计算的认证方案的执行过程进行说明。
本发明实施例提供的基于云计算的认证方案可以由电子设备来执行,该电子设备可以是服务器。该服务器可以是包含一独立主机的物理服务器,或者也可以为主机集群承载的虚拟服务器,或者也可以为云服务器。该电子设备也可以是诸如平板电脑、PC机、笔记本电脑等终端设备。
本发明实施例提供的基于云计算的认证方案适用于云计算设备的安全管理场景。例如,云计算系统中虚拟机创建场景、虚拟机认证场景。
本发明实施例适用于云计算系统。该系统中包括代理端设备以及服务端设备。具体地,该服务端设备包括但不限于认证服务器、证书管理服务器、验证服务器。可以理解的,本发明实施例中对各种设备的命名仅为本文示例,实际应用中并不限定。
基于上述设备以及应用场景,下面介绍本发明实施例提供的一种基于云计算的认证方法。图1为本发明一实施例提供的一种基于云计算的认证方法的流程图,如图1所示,该基于云计算的认证方法包括如下步骤:
101、对于代理端设备中已创建的虚拟机,在虚拟机中部署代理模块;
102、采集代理端设备的设备信息,设备信息包括系统参数以及密码模块的属性信息;
103、若采集到设备信息,则基于设备信息初始化密码模块以得到签名密钥对,并向服务端设备申请双证书,其中双证书包括签名证书以及加密证书;
104、将申请到的双证书以及签名密钥对存储到密码模块中,以实现对虚拟机的动态监测。
值得说明的是,上述方法主要针对代理端设备中的存量负载,例如已经创建的虚拟机。其中,在代理端设备中部署代理模块(Agent),具体地,代理模块部署在代理端设备创建出的虚拟机中。
实际应用中,代理端设备中部署有多个虚拟机,每一虚拟机中可部署一个代理模块。可选地,通过代理模块向监控服务器上报虚拟机所处状态。
以图2示出的架构为例,假设监控服务器有3个,分别为1个主监控服务器和2个从属监控服务器。基于此,代理模块(如监控服务器1、2、3)分别部署在各自对应的虚拟机(如虚拟机1、2、3)中,向各自连接的监控服务器上报监控信息(如虚拟机所处状态等)。其中,监控服务器与虚拟机之间的通信协议为 超文本传输安全协议(Hyper Text TransferProtocol over SecureSocket Layer,HTTPS)协议,监控器之间的通信协议为分布式一致性算法(Raft)协议。
其中,代理端设备中部署有密码模块。可选地,密码模块部署在代理端设备的IaaS虚拟机中。在一可选实施例中,密码模块包括可插拔的硬件密码模块。
可选地,为硬件密码模块预先配置统一的预制证。预制证的作用就是保证云计算设备的初始授信,即完成对设备的初始认证激活。实际应用中,预制证信息同步至IaaS集群内的证书管理服务器(Certificate Authority,CA)。例如,配置统一的预置证,用以作为硬件密码模块的初始授信。具体而言,预置证为密码模块部署时,统一为密码模块签发的双证书。密码模块启动之后,对预置证可以进行强制更新,也可以保留。
另一可选实施例中,密码模块还包括集成在代理模块中的软件密码模块。具体地,软件密码模块用于替代可插拔的硬件密码模块实现认证功能。该密码模块整体仍可实现为可插拔的外置硬件设备,从而使软件密码模块通过该外置硬件设备部署到代理模块中。
在软件密码模块中,主要用于提供密钥对生成以及证书存储的功能。上述密钥对以及双证书均可存储到密码模块中,该密码模块所使用的口令为资产标识(IdentityDocument,ID)。该密码模块中可以用于存储私钥文件,该口令是当前IaaS虚拟机的资产ID,ID由云计算系统来统一保持。通过更新该密码模块的密钥保护方法能够提升安全性以及随机性。例如,更新密钥保护口令。
实际应用中,代理模块申请的是双证书,双证书包括签名证书以及加密证书。
此情况下,在本发明实施例中,还为密码模块配置资产ID,该资产ID包含该硬件密码模块的模块硬件信息。例如,模块名称、模块出厂信息、模块编号,等等。
进一步可选地,密码模块支持硬件虚拟化,以通过硬件虚拟化使得多个虚拟机共用同一密码模块。例如,在云计算设备中,假设存在多个虚拟机,基于此,多个虚拟机通过硬件虚拟化功能可调用部署在该云计算设备中的同一个密码模块。例如,图2示出的架构中,虚拟机1至3可共用同一密码模块。
通过上文介绍的密码模块,可以从IaaS开始在代理端设备创建虚拟机的阶段即实施安全认证,也可以对代理端设备中已创建的虚拟机进行安全认证。从而,为代理端设备中的虚拟机提供安全认证服务,保障云计算环境中各个虚拟机的运行安全。
下面结合上述示例架构、示例设备以及具体示例,介绍步骤101至104的具体实现方式:
假设服务端设备还包括证书管理服务器,假设代理模块为可信代理模块,基于此,101中,对于代理端设备中已创建的虚拟机,在虚拟机中部署代理模块。
进而,102中,采集代理端设备的设备信息,该设备信息包括系统参数以及密码模块的属性信息。具体地,通过可信代理模块从代理端设备中获取系统参数以及密码模块的属性信息。若设备信息采集失败,则按照预设策略进行报错。若设备信息采集成功,则执行步骤103以及104。
103中,基于设备信息初始化密码模块以得到签名密钥对,可以实现为:基于系统参数以及密码模块的属性信息生成PKI体系中的摘要;生成虚拟机的签名密钥对。
进而,103中向服务端设备申请双证书,104中将申请到的双证书以及签名密钥对存储到密码模块中,可以实现为:通过可信代理模块创建证书签名请求并发送给证书管理服务器,证书签名请求包括PKI体系中的摘要和挑战码;接收证书管理服务器反馈的双证书,以将双证书以及对应的签名密钥对存储到密码模块中。
上述步骤中,证书签名请求中包括PKI体系中的摘要以及挑战码。证书签名请求例如是证书请求文件(Certificate Signing Request,CSR)。证书证书签名请求是在所使用证书服务器上生成的加密文本块。该证书证书签名请求包含证书信息,例如证书颁发组织机构的名称、公用名(域名)、区/县和国家/地区。签名密钥对用于后续对设备上报的签名值的验证过程,例如服务端设备通过加密证书对应的私钥对签名值进行解密。
可选地,需要先从服务端获取挑战码(如上文挑战码),用以生成证书签名请求。例如,代理模块在创建证书签名请求之前,通过向服务端设备发送本地标识编码来获取挑战码。证书签名请求是从授信代理模块中,通过双向认证安全传输层协议(Transport LayerSecurity,TLS)发送的,故而,可以直接将本地标识编码入库,并建立本地标识编码与设备IP等唯一性标识的映射关系。此情况下,服务端设备即可根据该映射关系验证是否向代理端设备下发挑战码。本发明中挑战码有效期由云计算平台根据具体情况自行设定。
举例来说,上述初始化虚拟机中的代理模块的一种实现流程如3所示,具体为:首先,对于代理端设备而言,在虚拟机创建过程中,同步触发代理模块的安装流程。接着,通过代理模块从代理端设备中采集设备信息,如系统参数以及密码模块的属性信息。若无法采集到设备信息,则触发报错流程,以修复代理端设备或重新初始化流程。设备信息采集完成之后,基于系统参数以及密码模块的属性信息生成PKI体系中的摘要,并生成虚拟机的签名密钥对,从而,基于PKI中的摘要以及签名密钥对加密后的证书创建签名请求文件,并将该文件发送给证书管理服务器,以申请双证书。在一可选实施例中,签名请求文件的创建过程中,还需要使用代理模块向服务端设备发送携带有本地设备标识的挑战码获取请求,从而接收服务端设备下发的挑战码。该挑战码用于创建签名请求文件。
进而,双证书服务器接收到该文件后,对签名请求文件进行验证,并基于验证结果确定是否向代理模块反馈双证书。代理模块接收证书管理服务器反馈的双证书之后,将双证书以及对应的签名密钥对存储到密码模块中。
通过上述流程,可以实现对代理端设备的设备认证,从而保证代理端设备中各个虚拟机的运行安全。
进而,通过上述设备认证后,可以对代理端设备进行动态监控。当然,对于代理端设备中已经建立的虚拟机也可以重新进行注册认证,以申请新的认证信息(如双证书、口令)。
实际应用中,采用虚拟机的加密证书对摘要进行签名,并将签名后的摘要保存到认证服务器中。如图3a示出的通过信息哈希的方式对摘要进行签名。此处签名后的摘要可用于后续认证服务器比对验证来自代理端设备的签名值。
实际应用中,上述步骤101至103可以实现为图3b所示的流程。在图3b中,硬件密码模块以及软件密码模块的具体步骤一致,因此可任选其中一种方式执行。
在一可选实施例中,接收到双证书中的加密证书之后,向服务端设备申请挑战码;响应认证服务器反馈的挑战码,向认证服务器发送签名值,其中,签名值经过加密证书的加密,该签名值包括IaaS虚拟机的资产标识;通过认证服务器采用加密证书对应私钥对签名值进行解密以及验证,并向通过验证的代理端设备反馈对应的密钥保护方法。例如,密钥保护口令。具体地,该密钥保护口令用于替换代理模块中的默认口令。
上述步骤中,认证服务器通过验证解密结果是否与认证服务器中存储的资产标识相符。如果相符,则该IaaS虚拟机通过验证;反之,则该IaaS虚拟机未通过验证。可选地,认证服务器所采用的私钥可以是认证服务器中保存的。
本发明实施例中,密钥保护口令(如P12口令)为云计算设备的安全管理手段之一,具体地,为保证设备安全可控,需要建立一个独有的生成机制,即由服务端设备进行生成及存储,再由代理模块通过挑战将口令获取到代理端设备中,并将签名证书对以及加密密钥对存储在口令对应的存储空间中。上述步骤可以实现为图4所示的交互流程。
在图4中,代理模块接收到双证书中的加密证书之后,基于证书管理服务器签发的双证书,向认证服务器申请挑战码;认证服务器响应该申请,以随机数N作为挑战码,并将该挑战码反馈给代理模块。进而,代理模块响应认证服务器反馈的挑战码(即随机数N)生成签名值,并发送给认证服务器。其中,签名值采用签名证书对采集到的摘要进行签名,签名证书为证书管理服务器签发的加密证书EM,并采用加密证书对签名值进行加密。加密后的签名值包括随机数N以及IaaS虚拟机的资产ID(记为tagID)。具体地,采用加密证书EM对签名值进行加密的计算方式为Epuk(tagID,N)。认证服务器通过加密证书对应的私钥对经过加密的签名值进行解密,得到tagID以及随机数N。具体地,采用加密私钥Epri对签名值进行解密,具体计算方式为(tagID,N)= Epri(EM)。进而,认证服务器对比签名值中包含的摘要信息(如tagID)之后,查询到服务器存储的tagID与密钥保护口令的映射关系,并将查询到的密钥保护口令反馈给代通过对比验证的理模块。
本发明实施例中,为便于管理代理端设备的双证书,还增加了证书吊销列表(Certificate Revocation List,CRL)。CRL文件是由证书认证服务器管理的,CRL文件是一个公开文件。可选地,虚拟机的证书状态体现在证书吊销列表中,通过增加对证书吊销列表的支持,可控制工作负载(如云主机、运行时等)的状态。当双证书出现问题,该双证书的序列号以及异常状态的原因在CRL文件中出现。其中,虚拟机的证书状态例如包括但不限于以下:冻结–保持、作废–主机下线、未使用–租用未使用。
在一可选示例中,可选地,虚拟机的证书状态直接延续使用X509证书的证书吊销列表。当然,虚拟机的证书状态可以复用证书吊销列表中的证书状态,证书状态可存在如下状态映射关系:作废——主机下线、冻结——主机租用中,但保持、未使用——主机租用中,未使用。
本发明从IaaS层开始设备认证,也即在创建虚拟机时就开始做认证,从而保证虚拟机运行环境的安全性。当工作负载(如云主机、运行时等)启动时,可以在引导层支持密码模块的自检和工作负载的状态管理功能。当然,本发明也可在虚拟机运行的任意阶段进行动态监测或者重新认证。
本发明实施例中,通过代理模块进行审计步骤。具体地,在审计步骤中,代理模块可支持推/拉结合的状态上报机制,举例来说,代理模块向监控服务器上报虚拟机所处状态,如虚拟机的证书状态、虚拟机运行情况等。
可选地,若云计算设备(如云节点)出现问题,则通过代理模块申请冻结当前云计算设备的双证书。从而,及时实现报警功能,避免云计算系统的服务异常。
图1示出的认证方法的执行过程中,通过在代理端设备中部署外置的密码模块,如可插拔的硬件密码模块,或搭载在外置设备中的软件密码模块,既可避免对设备内置TPM模块的依赖,使得不具有TPM的云计算设备也可通过密码模块完成安全认证,拓展安全认证的适用范围,还可实现从IaaS层开始对云计算设备的安全认证,避免手动认证带来的繁琐步骤,提高认证方案的自动化程度,提高认证效率。除此之外,该方法中还采用PKI体系完成证书链的认证,进一步提高认证安全性。
图5为本发明一实施例提供的一种基于云计算的认证方法的流程图,如图5所示,该基于云计算的认证方法包括如下步骤:
501、对于代理端设备中待创建的虚拟机,采用密码模块中的加密证书对IaaS虚拟机的资产标识进行加密,得到加密密文;
502、向认证服务器上报加密密文,以使认证服务器采用加密证书对应私钥对签名值进行解密以及验证,并激活通过验证的代理端设备;
503、接收认证服务器下发的激活确认消息,以实现对所述虚拟机的激活操作。
值得说明的是,上述方法主要针对代理端设备中的新增负载,例如待创建的虚拟机。在开始创建虚拟机时,即可触发上述流程。
进一步可选地,所述密码模块部署在所述代理端设备的IaaS虚拟机中。
进一步可选地,所述密码模块包括可插拔的硬件密码模块,或者集成在所述代理模块中的软件密码模块;所述软件密码模块用于替代可插拔的硬件密码模块实现认证功能。
进一步可选地,为硬件密码模块预先配置统一的预制证。
进一步可选地,所述密码模块支持硬件虚拟化,以通过硬件虚拟化使得多个虚拟机共用同一所述密码模块。
图5示出的方法与图1示出的方法类似,相似之处相互参见,此处暂不展开。
图6为本发明一实施例提供的一种云计算系统的结构示意图,该系统包括代理端设备601以及服务端设备602,所述服务端设备602包括认证服务器。该代理端设备601中部署有密码模块603。如图6所示,该系统的工作原理如下:
所述代理端设备601,所述代理端设备601用于对于代理端设备601中已创建的虚拟机,在所述虚拟机中部署代理模块;采集所述代理端设备601的设备信息,所述设备信息包括系统参数以及密码模块603的属性信息;若采集到所述设备信息,则基于所述设备信息初始化密码模块603以得到签名密钥对,并为所述虚拟机申请双证书,其中双证书包括签名证书以及加密证书;将申请到的双证书以及签名密钥对存储到密码模块603中;
所述认证服务器,用于对虚拟机进行认证;通过所述代理端设备601上报的证书状态对虚拟机进行动态监测。
可选地,所述代理端设备601,还用于通过所述代理模块向监控服务器上报所述虚拟机所处状态。
可选地,所述代理端设备601基于所述设备信息初始化密码模块以得到签名密钥对时,具体用于:
基于所述系统参数以及所述密码模块的属性信息生成公钥基础设施PKI体系中的摘要;生成所述虚拟机的签名密钥对。
进一步可选地,若所述服务端设备包括证书管理服务器,所述代理模块为可信代理模块,则所述代理端设备601向服务端设备申请双证书,将申请到的双证书以及签名密钥对存储到密码模块中时,具体用于:
通过可信代理模块创建证书签名请求并发送给证书管理服务器,所述证书签名请求包括PKI体系中的摘要和挑战码;接收证书管理服务器反馈的双证书,以将双证书以及对应的签名密钥对存储到所述密码模块中。
进一步可选地,所述代理端设备601,还用于向所述服务端设备发送携带有本地设备标识的挑战码获取请求;接收所述服务端设备下发的挑战码,其中,挑战码用于生成证书签名请求。
进一步可选地,所述服务端设备包括认证服务器。所述代理端设备601,还用于接收到双证书中的加密证书之后,向服务端设备申请挑战码;响应认证服务器反馈的挑战码,向认证服务器发送签名值,其中,签名值经过加密证书的加密,签名值包括基础设施即服务IaaS虚拟机的资产标识;通过认证服务器采用加密证书对应私钥对签名值进行解密以及验证,并向通过验证的代理端设备反馈对应的密钥保护方法。
可选地,所述密码模块603部署在所述代理端设备601的IaaS虚拟机中。
可选地,所述密码模块603包括可插拔的硬件密码模块603,或者集成在所述代理模块中的软件密码模块603;
所述软件密码模块603用于替代可插拔的硬件密码模块603实现认证功能。
其中,可选地,为硬件密码模块603预先配置统一的预制证。
可选地,所述密码模块603支持硬件虚拟化,以通过硬件虚拟化使得多个虚拟机共用同一所述密码模块603。
另一实施例中,可选地,图6示出的云计算系统还可实现如下工作流程:
代理端设备601,该代理端设备601中部署有密码模块603,用于对于代理端设备中待创建的虚拟机,采用密码模块603中的加密证书对IaaS虚拟机的资产标识进行加密,得到加密密文;向认证服务器上报加密密文;
所述服务端设备602包括认证服务器,该认证服务器用于采用加密证书对应私钥对签名值进行解密以及验证,并激活通过验证的代理端设备601;接收认证服务器下发的激活确认消息,以实现对虚拟机的激活操作。
图6所示云计算系统可以执行前述各实施例中提供的方法,本实施例未详细描述的部分,可参考前述实施例的相关说明,在此不再赘述。
在一个可能的设计中,上述图1所示的认证方法可由一电子设备实现。如图7所示,该电子设备可以包括:处理器71、存储器72。其中,所述存储器72上存储有可执行代码,当所述可执行代码被所述处理器71执行时,至少使所述处理器71可以实现如前述实施例中提供的基于云计算的认证方法。其中,该电子设备的结构中还可以包括通信接口73,用于与其他设备或通信网络通信。
另外,本发明实施例提供了一种非暂时性机器可读存储介质,所述非暂时性机器可读存储介质上存储有可执行代码,当所述可执行代码被无线路由器的处理器执行时,使所述处理器执行前述各实施例中提供的基于云计算的认证方法。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的各个模块可以是或者也可以不是物理上分开的。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施例的描述,本领域的技术人员可以清楚地了解到各实施例可借助加必需的通用硬件平台的方式来实现,当然也可以通过硬件和软件结合的方式来实现。基于这样的理解,上述技术方案本质上或者说做出贡献的部分可以以计算机产品的形式体现出来,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (18)

1.一种基于云计算的认证方法,其特征在于,所述方法适用于云计算系统,所述系统包括代理端设备以及服务端设备,代理端设备中部署有密码模块;所述方法包括:
对于代理端设备中已创建的虚拟机,在所述虚拟机中部署代理模块;
采集所述代理端设备的设备信息,所述设备信息包括系统参数以及密码模块的属性信息;
若采集到所述设备信息,则基于所述设备信息初始化密码模块以得到签名密钥对,并向服务端设备申请双证书,其中双证书包括签名证书以及加密证书;
将申请到的双证书以及签名密钥对存储到密码模块中,以实现对所述虚拟机的动态监测;
其中,对所述虚拟机的动态监测包括通过代理模块向监控服务器上报虚拟机所处状态,所述状态包括虚拟机的证书状态以及虚拟机运行情况,虚拟机的证书状态复用证书吊销列表中的证书状态,在证书吊销列表中体现双证书的证书状态,双证书的证书状态包括双证书的序列号以及异常状态的原因;
当工作负载启动时在引导层支持密码模块的自检和工作负载的状态管理功能,以在虚拟机运行的任意阶段进行动态监测或者重新认证,其中,虚拟机的证书状态例如包括冻结–保持、作废–主机下线、未使用–租用未使用。
2.如权利要求1所述的方法,其特征在于,还包括:
通过所述代理模块向监控服务器上报所述虚拟机所处状态。
3.如权利要求1所述的方法,其特征在于,所述基于所述设备信息初始化密码模块以得到签名密钥对,包括:
基于所述系统参数以及所述密码模块的属性信息生成公钥基础设施PKI体系中的摘要;
生成所述虚拟机的签名密钥对。
4.如权利要求1所述的方法,其特征在于,若所述服务端设备包括证书管理服务器,所述代理模块为可信代理模块,则所述向服务端设备申请双证书,将申请到的双证书以及签名密钥对存储到密码模块中,包括:
通过可信代理模块创建证书签名请求并发送给证书管理服务器,所述证书签名请求包括PKI体系中的摘要和挑战码;
接收证书管理服务器反馈的双证书,以将双证书以及对应的签名密钥对存储到所述密码模块中。
5.如权利要求4所述的方法,其特征在于,还包括:
向所述服务端设备发送携带有本地设备标识的挑战码获取请求;
接收所述服务端设备下发的挑战码,其中,挑战码用于生成证书签名请求。
6.如权利要求1所述的方法,其特征在于,所述服务端设备包括认证服务器;所述方法还包括:
接收到双证书中的加密证书之后,向服务端设备申请挑战码;
响应认证服务器反馈的挑战码,向认证服务器发送签名值,其中,签名值经过加密证书的加密,签名值包括基础设施即服务IaaS虚拟机的资产标识;
通过认证服务器采用加密证书对应私钥对签名值进行解密以及验证,并向通过验证的代理端设备反馈对应的密钥保护方法。
7.如权利要求1至6任一所述的方法,其特征在于,所述密码模块部署在所述代理端设备的IaaS虚拟机中。
8.如权利要求1至6任一所述的方法,其特征在于,所述密码模块包括可插拔的硬件密码模块,或者集成在所述代理模块中的软件密码模块;
所述软件密码模块用于替代可插拔的硬件密码模块实现认证功能。
9.如权利要求8所述的方法,其特征在于,为密码模块预先配置统一的预制证。
10.如权利要求1至6任一所述的方法,其特征在于,所述密码模块支持硬件虚拟化,以通过硬件虚拟化使得多个虚拟机共用同一所述密码模块。
11.一种基于云计算的认证方法,其特征在于,所述方法适用于云计算系统,所述系统包括代理端设备以及服务端设备,所述服务端设备包括认证服务器,代理端设备中部署有密码模块;所述方法包括:
对于代理端设备中待创建的虚拟机,采用密码模块中的加密证书对IaaS虚拟机的资产标识进行加密,得到加密密文;
向认证服务器上报加密密文,以使认证服务器采用加密证书对应私钥对签名值进行解密以及验证,并激活通过验证的代理端设备;
接收认证服务器下发的激活确认消息,以实现对所述虚拟机的激活操作;
对所述虚拟机实现动态监测,其中,对所述虚拟机的动态监测包括通过代理模块向监控服务器上报虚拟机所处状态,所述状态包括虚拟机的证书状态以及虚拟机运行情况,虚拟机的证书状态复用证书吊销列表中的证书状态,为代理端设备配置的双证书的证书状态体现在证书吊销列表中,双证书的证书状态包括双证书的序列号以及异常状态的原因;
当工作负载启动时在引导层支持密码模块的自检和工作负载的状态管理功能,以在虚拟机运行的任意阶段进行动态监测或者重新认证,其中,虚拟机的证书状态例如包括冻结–保持、作废–主机下线、未使用–租用未使用。
12.如权利要求11所述的方法,其特征在于,所述密码模块部署在所述代理端设备的IaaS虚拟机中。
13.如权利要求12所述的方法,其特征在于,所述密码模块包括可插拔的硬件密码模块,或者集成在代理模块中的软件密码模块;
所述软件密码模块用于替代可插拔的硬件密码模块实现认证功能。
14.如权利要求11所述的方法,其特征在于,为密码模块预先配置统一的预制证。
15.如权利要求11所述的方法,其特征在于,所述密码模块支持硬件虚拟化,以通过硬件虚拟化使得多个虚拟机共用同一所述密码模块。
16.一种云计算系统,其特征在于,所述系统包括代理端设备以及服务端设备,所述服务端设备包括认证服务器,其中
所述代理端设备,所述代理端设备中部署有密码模块,用于对于代理端设备中已创建的虚拟机,在所述虚拟机中部署代理模块;采集所述代理端设备的设备信息,所述设备信息包括系统参数以及密码模块的属性信息;若采集到所述设备信息,则基于所述设备信息初始化密码模块以得到签名密钥对,并为所述虚拟机申请双证书,其中双证书包括签名证书以及加密证书;将申请到的双证书以及签名密钥对存储到密码模块中;
所述认证服务器,用于对虚拟机进行认证;通过所述代理端设备上报的证书状态对虚拟机进行动态监测;
其中,对所述虚拟机的动态监测包括通过代理模块向监控服务器上报虚拟机所处状态,所述状态包括虚拟机的证书状态以及虚拟机运行情况,虚拟机的证书状态复用证书吊销列表中的证书状态,为代理端设备配置的双证书的证书状态体现在证书吊销列表中,双证书的证书状态包括双证书的序列号以及异常状态的原因;
当工作负载启动时在引导层支持密码模块的自检和工作负载的状态管理功能,以在虚拟机运行的任意阶段进行动态监测或者重新认证,其中,虚拟机的证书状态例如包括冻结–保持、作废–主机下线、未使用–租用未使用。
17.一种云计算系统,其特征在于,所述系统包括代理端设备以及服务端设备,所述服务端设备包括认证服务器,其中
所述代理端设备,所述代理端设备中部署有密码模块,用于对于代理端设备中待创建的虚拟机,采用密码模块中的加密证书对IaaS虚拟机的资产标识进行加密,得到加密密文;向认证服务器上报加密密文;
所述认证服务器,用于采用加密证书对应私钥对签名值进行解密以及验证,并激活通过验证的代理端设备;接收认证服务器下发的激活确认消息,以实现对所述虚拟机的激活操作;
对所述虚拟机实现动态监测,其中,对所述虚拟机的动态监测包括通过代理模块向监控服务器上报虚拟机所处状态,所述状态包括虚拟机的证书状态以及虚拟机运行情况,虚拟机的证书状态复用证书吊销列表中的证书状态,为代理端设备配置的双证书的证书状态体现在证书吊销列表中,双证书的证书状态包括双证书的序列号以及异常状态的原因;
当工作负载启动时在引导层支持密码模块的自检和工作负载的状态管理功能,以在虚拟机运行的任意阶段进行动态监测或者重新认证,其中,虚拟机的证书状态例如包括冻结–保持、作废–主机下线、未使用–租用未使用。
18.一种电子设备,其特征在于,包括:存储器、处理器;其中,所述存储器上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器执行如权利要求1至15中任一项所述的基于云计算的认证方法。
CN202111334558.XA 2021-11-11 2021-11-11 基于云计算的认证方法及系统 Active CN113791872B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111334558.XA CN113791872B (zh) 2021-11-11 2021-11-11 基于云计算的认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111334558.XA CN113791872B (zh) 2021-11-11 2021-11-11 基于云计算的认证方法及系统

Publications (2)

Publication Number Publication Date
CN113791872A CN113791872A (zh) 2021-12-14
CN113791872B true CN113791872B (zh) 2022-03-22

Family

ID=78955280

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111334558.XA Active CN113791872B (zh) 2021-11-11 2021-11-11 基于云计算的认证方法及系统

Country Status (1)

Country Link
CN (1) CN113791872B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116488828B (zh) * 2023-05-15 2024-01-23 合芯科技(苏州)有限公司 一种自动部署的异构集群统一认证方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9389898B2 (en) * 2012-10-02 2016-07-12 Ca, Inc. System and method for enforcement of security controls on virtual machines throughout life cycle state changes
CN105282122B (zh) * 2014-07-22 2019-07-12 中兴通讯股份有限公司 基于数字证书的信息安全实现方法及系统
CN104184743B (zh) * 2014-09-10 2017-06-16 西安电子科技大学 面向云计算平台的三层认证系统及认证方法
CN104935589A (zh) * 2015-06-12 2015-09-23 浪潮电子信息产业股份有限公司 构建可信计算池的方法及系统、认证服务器
CN107465689B (zh) * 2017-09-08 2020-08-04 大唐高鸿信安(浙江)信息科技有限公司 云环境下的虚拟可信平台模块的密钥管理系统及方法
CA3022109A1 (en) * 2018-10-25 2020-04-25 Nymi Inc. Digital certificate enrolment system and method, and challenge password management system and method therefor
CN112636927B (zh) * 2020-12-28 2022-08-16 郑州信大先进技术研究院 一种基于kpi双证书的云平台密码化方法

Also Published As

Publication number Publication date
CN113791872A (zh) 2021-12-14

Similar Documents

Publication Publication Date Title
CN110750803B (zh) 数据提供和融合的方法及装置
US9037844B2 (en) System and method for securely communicating with electronic meters
US9762392B2 (en) System and method for trusted provisioning and authentication for networked devices in cloud-based IoT/M2M platforms
KR101831134B1 (ko) 암호화를 적용한 제어기 보안 방법 및 그 장치
US11101984B2 (en) Onboarding software on secure devices to generate device identities for authentication with remote servers
KR101838511B1 (ko) 암호화를 적용한 제어기 보안 방법 및 그 장치
US11334345B2 (en) Differential firmware update generation
CN105915338B (zh) 生成密钥的方法和系统
CN111708991A (zh) 服务的授权方法、装置、计算机设备和存储介质
CN111064569B (zh) 可信计算集群的集群密钥获取方法及装置
CN106790261B (zh) 分布式文件系统及用于其中节点间认证通信的方法
CN109921902B (zh) 一种密钥管理方法、安全芯片、业务服务器及信息系统
CN110770729B (zh) 用于证明虚拟机完整性的方法和设备
CN106790045B (zh) 一种基于云环境分布式虚拟机代理装置及数据完整性保障方法
CN115001695B (zh) 平台的基板管理控制器身份的安全置备
CN111181723B (zh) 物联网设备间离线安全认证的方法和装置
CN110740038B (zh) 区块链及其通信方法、网关、通信系统和存储介质
Shang et al. NDN-ACE: Access control for constrained environments over named data networking
CN111079158B (zh) 数据存储和读取的方法及装置
CN115348077A (zh) 一种虚拟机加密方法、装置、设备、存储介质
CN113791872B (zh) 基于云计算的认证方法及系统
US11570008B2 (en) Pseudonym credential configuration method and apparatus
EP3982609A1 (en) Remote attestation method and apparatus
CN110837643A (zh) 一种可信执行环境的激活方法和装置
CN112261103A (zh) 一种节点接入方法及相关设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant