[发明专利]可信根服务器-云计算服务器模型中双方进行通信的方法

说明书

本发明公开一种用于可信根服务器‑云计算服务器模型中双方进行通信的方法，包括：步骤一、通信机制初始化：初始化注册后，可信根服务器、云计算服务器之间的正常安全通信。采用本发明的技术方案，可以保证通信的可信性和通信效率。

技术领域

本发明涉及计算机可信计算领域，尤其涉及一种用于可信根服务器-云计算服务器模型中双方进行通信的方法。

背景技术

可信计算平台是在计算和通信系统中广泛使用基于硬件安全模块支持下的平台，以提高系统整体的安全性。但是现在基础设施云的可信任性研究还处于起步阶段,在可信性模型、验证机制、如何设计可信第三方平台等诸多方面还存在较多的挑战。

可信计算通过物理可信根即安全芯片保证计算环境从可信根，到硬件平台，到操作系统最后到应用的可信性保障，因此基于安全芯片构成的可信根服务器体系架构就成为了需要进行研究和发展的重点。

云计算平台为在云环境中具有可以使用可信计算平台功能模块的计算平台，通过可信计算平台中的云环境管理器进行统一管理，加入云环境后作为计算平台参与可信计算服务的平台，需要包含保证计算平台自身可信性的安全模块、可进行安全芯片虚拟化的虚拟模块、进行平台通信的通信中转站模块等相关模块。

目前，在可信根服务器-云计算服务器模型中双方进行通信中，无法保证通信的可信性和通信效率。

发明内容

本发明的目的提出了一种用于可信根服务器-云计算服务器模型中双方进行通信的方法，来保证通信的可信性和通信效率。

为实现上述目的，本发明采用如下的技术方案：

一种用于可信根服务器-云计算服务器模型中双方进行通信的方法，模型间通信中可信根服务器、云计算服务器均通过各自服务器中的中转站进行通信，中转站间属于外部通信，需要进行身份认证与加密的等安全措施，而中转站及各自服务器之间属于内部通信，仅需进行简单的身份认证，无需加密；

包括以下步骤：

步骤一、通信机制初始化：

(1)、申请加入云环境的计算服务器通过远程认证后，向云环境管理器发送加入云环境的请求；

(2)、云环境管理器收到加入请求后，向计算服务器发送完整性验证报告请求，检验计算服务器是否具有模型中云计算服务器所需模块，即可信根保障模块；

(3)、计算服务器接受完整性验证报告请求后，校验自身所含模块是否符合管理器要求，如果符合要求，则向云环境管理器发送确认请求；

(4)、云环境管理器检验完整性报告，符合云计算服务器需求，则通过管理器将请求计算服务器加入云环境，完成初始化注册；

步骤二、初始化注册后，可信根服务器、云计算服务器之间的正常安全通信：

(1)、源端向目的端发送基于身份信息及密文口令的组合消息；

(2)、在可信根服务器与云计算服务器正常安全通信的过程中，目的端收到组合消息，通过比较系统存储的口令摘要h(PA)与收到的口令摘要h(PA)，比较后相等，则允许源端访问目的端，通过身份认证；

(3)、源端向认证服务器AS发送请求，请求进行票证发放，源端向认证服务器AS发送用户标识符IDC和票证发放服务器TGS的标识符IDTGS，请求票证授权票证，并包含时间戳TS1；

(4)、认证服务器AS，收到源端发送的票证服务请求后，验证时间戳是否过期，如未过期，通过源端用户标识符IDC，找到相应的用户口令，将该口令作为秘密密钥，将票证加密后，响应源端请求，返还加密后的票证，该票证具有生命周期Lifetime1以及时间戳TS2；