CN117556407A

CN117556407A - 一种虚拟可信根标识认证系统

Info

Publication number: CN117556407A
Application number: CN202210926380.6A
Authority: CN
Inventors: 韩勇桥; 李文华; 马帅; 姚尧
Original assignee: Beijing Xuanji Anchen Computing Technology Co ltd
Current assignee: Beijing Xuanji Anchen Computing Technology Co ltd
Priority date: 2022-08-03
Filing date: 2022-08-03
Publication date: 2024-02-13

Abstract

本发明提供了一种虚拟可信根标识认证系统1，包括云可信计算节点和全局标识服务系统；所述云可信计算节点为对应的虚拟机VM提供身份凭证证书vAIK；所述全局标识服务系统为所述云可信计算节点pTCM和vTCM提供全局唯一ID标识和身份标识解析服务。在上述技术方案中，采用全局标识系统(如handle系统)，通过对pTCM和vTCM进行标识绑定，在vm身份认证中通过handle系统来传递平台身份信息而不需要pTCM的参与。从而改善溯源的问题。

Description

一种虚拟可信根标识认证系统

技术领域

本发明涉及到信息安全技术领域，尤其涉及到一种虚拟可信根标识认证系统。

背景技术

目前主流的标识技术有Handle、OID(object identifier,对象标识符)、 Ecode(entity code for Io T,物联网统一标识体系)、Epc、UCode等,分别由不同的组织机构提出,其出发点都是面向物品对象、数字对象等进行唯一标记及提供信息查询的功能,进而发展成一种底层的信息架构。Handle系统是一种分布式信息系统，该系统提供可用于互联网等网络的有效、可扩展以及安全的全球命名服务。Handle系统使分布式计算机系统能够存储数字资源的名称(或handle)，还能将这些handle解析为定位、访问和以其它方式利用资源所需的信息。Handle系统支持安全的handle解析，也可以根据客户的要求提供安全服务，如数据保密性、数据完整性和不可抵赖性。

云计算以其软件开发部署模式的创新，为大数据、物联网、人工智能等新兴领域的发展提供了基础支撑，催生出强大的产业链和产业生态。在云计算的架构下，云计算开放网络和业务共享场景更加复杂多变，安全性方面的挑战更加严峻，存在用户身份、业务共享、数据交换与存储等安全风险，云安全保障是云计算的一个显著特性。

可信计算以一个硬件安全模块(TCM)作为可信根,为宿主计算机提供平台身份认证、完整性保护和安全存储功能。把TCM集成到服务器上，将可信计算技术应用到基于服务器的虚拟计算系统中,可以在云计算应用场景中提供基于硬件的可信安全保护功能。随着云计算技术的发展，其面临的安全问题也越来越严重，可信云计算技术是利用可信计算技术来保障云计算环境安全的重要技术。

当前的可信云计算架构主要是以VMM等虚拟机平台为基础,通过对平台本身的物理TCM(pTCM)进行虚拟化为vTCM来保护虚拟机的安全。

将pTCM虚拟化为vTCM，需要解决好信任扩展和vTCM的身份绑定问题。现有虚拟可信根身份证书AIK与物理根AIK通过转换间接证明或者没有依赖关系，溯源困难。

发明内容

本发明的目的在于提供一种虚拟可信根标识认证系统，以解决上述背景技术中提出的问题。

本发明是通过以下技术方案实现：

本发明提供了一种虚拟可信根标识认证系统，该虚拟可信根标识认证系统包括：

云可信计算节点和全局标识服务系统；

所述云可信计算节点为对应的虚拟机VM提供身份凭证证书vAIK；

所述全局标识服务系统为所述云可信计算节点pTCM和vTCM提供全局唯一ID标识和身份标识解析服务。

在上述技术方案中，采用全局标识系统(如handle系统)，通过对pTCM 和vTCM进行标识绑定，在vm身份认证中通过handle系统来传递平台身份信息而不需要pTCM的参与。从而改善溯源的问题。

在一个具体的可实施方案中，所述云可信计算节点包括：pTCM，vTCM 管理器，vTCM实例，VM；其中，

所述pTCM为所述云可信计算节点提供物理身份凭证pAIK和标识ID，所述标识ID为云可信计算节点全球唯一身份标识；

所述vTCM管理器生成基于pTCM的虚拟化信息并进行维护管理以及生成所述vTCM实例；

所述vTCM实例为所述VM提供可信服务支撑；

所述VM用于调用所述vTCM实例为云应用提供身份可信证明与身份认证服务。

在一个具体的可实施方案中，所述全局标识服务系统以数字编码方式为云环境中的所有云计算可信节点提供ID标识注册、解析、安全存储服务。

在一个具体的可实施方案中，所述全局标识服务系统为云计算可信节点提供的ID标识由所述云可信计算节点的vTCM管理器生成并存储到所述 pTCM和所述vTCM实例。

在一个具体的可实施方案中，所述ID标识的表达式为：标识节点/pTCM 标识/vTCM标识。

在一个具体的可实施方案中，所述pTCM为所述云可信计算节点的可信根，所述pTCM基于信任扩展将身份可信传递到vTCM，并传递到VM；

所述pTCM生成pAIK密钥和管理pAIK证书。

在一个具体的可实施方案中，所述vTCM管理器是pTCM的唯一拥有者，具有最高的权限；

其中，每个vTCM实例根据需要通过所述vTCM管理器调用所述 pTCM的安全功能。

在一个具体的可实施方案中，所述vTCM实例主要包括ID标识、PCR、策略管理、杂凑操作、AIK、时间戳和数据加解密相关函数。

在一个具体的可实施方案中，所述VM通过调用vTCM实例中提供的 ID和vAIK证书信息，通过解析ID标识和提取vAIK身份信息来向云应用提供身份可信凭证和身份认证服务。

附图说明

图1是本发明实施例提供的虚拟可信根标识认证系统的架构图；

图2是本发明实施例提供的ID标识关键信息列表；

图3是本申请实施例提供的电子设备的结构框图。。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，图1是本发明实施例提供的虚拟可信根标识认证系统的架构图。

本本申请实施例提供了一种虚拟可信根标识认证系统，在云计算环境中，基于一种虚拟可信根标识认证方法，通过标识技术，有效进行物理可信根AIK与虚拟可信根AIK绑定，并通过标识属性提供场景应用中虚拟可信根可信凭证信息。

本申请实施例提供的虚拟可信根标识认证系统主要包括云可信计算节点和全局标识服务系统。其中，云可信计算节点为对应的虚拟机VM提供身份凭证证书vAIK；而全局标识服务系统为云可信计算节点pTCM和 vTCM提供全局唯一ID标识和身份标识解析服务。

云可信计算节点包括：pTCM，vTCM管理器，vTCM实例，VM等不同的节点。在具体使用时，pTCM为云可信计算节点提供物理身份凭证pAIK 和标识ID，标识ID为云可信计算节点全球唯一身份标识；示例性的，ID 标识的表达式为：标识节点/pTCM标识/vTCM标识。pTCM为云可信计算节点的可信根，pTCM基于信任扩展将身份可信传递到vTCM，并传递到 VM；pTCM生成pAIK密钥和管理pAIK证书。

vTCM管理器生成基于pTCM的虚拟化信息并进行维护管理以及生成 vTCM实例；vTCM管理器是pTCM的唯一拥有者，具有最高的权限；其中，每个vTCM实例根据需要通过vTCM管理器调用pTCM的安全功能。

vTCM实例为VM提供可信服务支撑；vTCM实例主要包括ID标识、 PCR、策略管理、杂凑操作、AIK、时间戳和数据加解密相关函数。

VM用于调用vTCM实例为云应用提供身份可信证明与身份认证服务。 VM通过调用vTCM实例中提供的ID和vAIK证书信息，通过解析ID标识和提取vAIK身份信息来向云应用提供身份可信凭证和身份认证服务。

全局标识服务系统以数字编码方式为云环境中的所有云计算可信节点提供ID标识注册、解析、安全存储服务。具体的，全局标识服务系统为云计算可信节点提供的ID标识由云可信计算节点的vTCM管理器生成并存储到pTCM和vTCM实例。

为方便理解上述示例的虚拟可信根标识认证系统，下面结合具体的附图详细说明。

参考图1，本申请实施例提供了一种虚拟可信根标识认证系统，涉及虚拟可信根的新型安全认证与管理。本发明设计实现的一种虚拟可信根标识认证系统，在云计算环境中，基于一种虚拟可信根标识认证方法，通过标识技术，有效进行物理可信根AIK与虚拟可信根AIK绑定，并通过标识属性提供场景应用中虚拟可信根可信凭证信息。

虚拟可信根标识认证系统包括云可信计算节点和全局标识服务系统。云可信计算节点为其虚拟机VM提供身份凭证证书vAIK。全局标识服务系统为云可信计算节点pTCM和vTCM提供全局唯一ID标识和身份标识解析服务。，该标识由云可信计算节点的vTCM管理器生成并存储到pTCM和 vTCM实例，ID表达式为：标识节点/pTCM标识/vTCM标识，通过这种段式描述，可表达vTCM依赖pTCM产生的关联关系。标识实现的一个实例参考图2.

pTCM为云可信计算节点的可信根，其实现方式可以但不限于是硬件模块，pTCM基于信任扩展将身份可信传递到vTCM进而传递到VM，pTCM 生成pAIK密钥和管理pAIK证书。生成证书的流程如下：

(1)TCM实例产生一个vAIK密钥

(2)TCM实例向TCM管理器请求vAIK证书，请求中包含vAIK公钥和随机数

(3)TCM管理器使用物理AIK密钥对物理PCR及TCM实例发来的随机数进行签名，用于证明物理平台的完整性

(4)TCM管理器发物理TCM发送命令，让其产生一个签名密钥SK

(5)TCM管理器用物理AIK密钥对签名密钥SK进行签名，证明SK 与AIK属于同一个物理平台

(6)TCM管理器用签名密钥SK对vAIK的公钥、物理PCR、随机数和时间戳进行签名，并附上物理AIK证书，从而构成vAIK证书。

vTCM管理器vTCM管理器是pTCM的唯一拥有者，具有最高的权限，每个vTCM实例根据需要通过vTCM管理器调用pTCM的安全功能。在 vTCM管理器中，可以有多个TCM实例模块对象，其数量与虚拟机系统的个数相对应。本发明相关管理信息参考图2。

VM通过调用vTCM实例中提供的ID和vAIK证书信息，通过解析ID 和提取vAIK身份信息来向云应用提供身份可信凭证和身份认证服务。

通过上述描述不难看出，本发明通过在采用全局标识系统(如handle系统)，通过对pTCM和vTCM进行标识绑定，在vm身份认证中通过handle 系统来传递平台身份信息而不需要pTCM的参与。

本申请实施例还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时实现执行任意一种可能的设计的方法。

本申请实施例还提供了一种非暂态计算机可读存储介质，非暂态计算机可读存储介质存储计算机指令，计算机指令用于使计算机执行任意一种可能的设计的方法。

本申请实施例还提供一种计算机程序产品，包括指令，当其在计算机上运行时，使得计算机执行本申请任意一种可能的设计的方法。

需要说明的是，本说明书一个或多个实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本说明书一个或多个实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本说明书一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。

上述实施例的装置用于实现前述实施例中相应的方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

图3示了本实施例所提供的一种更为具体的电子设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输接口1030 和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。

处理器1010可以采用通用的CPU(Central Processing Unit，中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit， ASIC)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。

存储器1020可以采用ROM(Read Only Memory，只读存储器)、RAM (RandomAccessMemory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。

输入/输接口1030用于连接输入/输模块，以实现信息输入及输。输入输/模块可以作为组件配置在设备中(图中未示)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输设备可以包括显示器、扬声器、振动器、指示灯等。

通信接口1040用于连接通讯模块(图中未示)，以实现本设备与其他设备的通信交互。其中通讯模块可以通过有线方式(例如USB、网线等) 实现通信，也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。

总线1050包括一通路，在设备的各个组件(例如处理器1010、存储器 1020、输入/输接口1030和通信接口1040)之间传输信息。

需要说明的是，尽管上述设备仅示了处理器1010、存储器1020、输入 /输接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。

本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本公开的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本说明书一个或多个实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。

另外，为简化说明和讨论，并且为了不会使本说明书一个或多个实施例难以理解，在所提供的附图中可以示或可以不示与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示装置，以便避免使本说明书一个或多个实施例难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本说明书一个或多个实施例的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本公开的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本说明书一个或多个实施例。因此，这些描述应被认为是说明性的而不是限制性的。

尽管已经结合了本公开的具体实施例对本公开进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态RAM(DRAM)) 可以使用所讨论的实施例。

本说明书一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本说明书一个或多个实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本公开的保护范围之内。

Claims

1.一种虚拟可信根标识认证系统1，其特征在于，包括：云可信计算节点和全局标识服务系统；

2.根据权利要求1中所述的虚拟可信根标识认证系统，其特征在于，所述云可信计算节点包括：pTCM，vTCM管理器，vTCM实例，VM；其中，

所述vTCM实例为所述VM提供可信服务支撑；

3.根据权利要求1中所述的虚拟可信根标识认证系统，其特征在于，所述全局标识服务系统以数字编码方式为云环境中的所有云计算可信节点提供ID标识注册、解析、安全存储服务。

4.根据权利要求3中所述的虚拟可信根标识认证系统，其特征在于，所述全局标识服务系统为云计算可信节点提供的ID标识由所述云可信计算节点的vTCM管理器生成并存储到所述pTCM和所述vTCM实例。

5.根据权利要求4所述的虚拟可信根标识认证系统，其特征在于，所述ID标识的表达式为：标识节点/pTCM标识/vTCM标识。

6.根据权利要求5中所述的虚拟可信根标识认证系统，其特征在于，所述pTCM为所述云可信计算节点的可信根，所述pTCM基于信任扩展将身份可信传递到vTCM，并传递到VM；

所述pTCM生成pAIK密钥和管理pAIK证书。

7.根据权利要求5中所述的虚拟可信根标识认证系统，其特征在于，所述vTCM管理器是pTCM的唯一拥有者，具有最高的权限；

其中，每个vTCM实例根据需要通过所述vTCM管理器调用所述pTCM的安全功能。

8.根据权利要求2中所述的虚拟可信根标识认证系统，其特征在于，所述vTCM实例主要包括ID标识、PCR、策略管理、杂凑操作、AIK、时间戳和数据加解密相关函数。

9.根据权利要求2中所述的一种虚拟可信根标识认证系统1，其特征在于，所述VM通过调用vTCM实例中提供的ID和vAIK证书信息，通过解析ID标识和提取vAIK身份信息来向云应用提供身份可信凭证和身份认证服务。