[发明专利]一种为Qemu中虚拟可信根颁发背书证书的方法与系统

说明书

本发明提供了一种为Qemu中虚拟可信根颁发背书证书的方法与系统，包括：S1、生成默认磁盘文件，所述默认磁盘文件与虚拟可信根磁盘文件的数据结构一致；S2、创建EK，并生成CSR证书请求文件；S3、通过CA对CSR文件主体签名生成EC证书；S4、将EC证书写入磁盘文件中，并将磁盘文件转换为虚拟可信根使用的格式。本发明提出了为虚拟可信根创建带EC证书的磁盘文件的方法，为虚拟可信根创建已初始化的虚拟可信根磁盘文件，并生成EK及对应的CSR文件后交由CA生成对应的数字证书，然后将该证书写入虚拟可信根磁盘文件中，交给Qemu虚拟可信根使用，使Qemu虚拟可信根直接加载磁盘文件中的状态数据并运行。

技术领域

本发明涉及信息安全技术领域，特别是一种为Qemu中虚拟可信根颁发背书证书的方法与系统。

背景技术

当前，信息安全已成为云计算应用与发展重要一环，其中云数据中心基础设施的安全性、云数据中心虚拟机租户数据及信息的机密性、云服务提供商与云服务租户之间的信任是提升云安全的关键基础，密码学技术依然是解决云数据中心数据机密性的核心技术手段。当前，Qemu(Quick Emulator，一款开源的模拟器及虚拟机监管器)中已经实现了多种基于密码学技术的数据保护机制来保障虚拟机数据的机密性，防止Qemu虚拟机的信息被非法窃取。同时，基于Qemu密码学功能的虚拟机可信根技术已经出现，其利用Qemu中的QOM机制模拟可信根功能，基于物理可信根的信任链技术、远程证明技术等可信计算核心技术可以无差别的在虚拟机中使用。

可信报告功能是可信根中的关键功能，远程证明技术即利用了可信根的可信报告功能。可信报告功能需要可信根中的背书密钥作为可信根的身份标识。在物理可信根中，物理可信根生产厂商会为每一个物理可信根的背书密钥颁发一个数字证书固化到物理可信根的固件中作为身份的佐证(注：物理可信根中的背书密钥都是随机生成的，因此每一物理可信根的证书也不一样)，物理可信根的使用者可以读取该证书去生产商指定的CA(Certificate Authority，电子商务认证授权机构)做验证。但目前Qemu虚拟可信根并无背书证书，虽然用户依然可以生成背书密钥用以进行远程认证等可信报告功能，但由于无CA为该密钥颁发证书，这一过程可信度将大打折扣。

发明内容

本发明的目的是提供一种为Qemu中虚拟可信根颁发背书证书的方法与系统，旨在解决现有技术中基于虚拟可信根的可信报告的可信程度低的问题，实现无需自己创建虚拟可信根磁盘文件，提高可信程度。

为达到上述技术目的，本发明提供了一种为Qemu中虚拟可信根颁发背书证书的方法，所述方法包括以下步骤：

S1、生成默认磁盘文件，所述默认磁盘文件与虚拟可信根磁盘文件的数据结构一致；

S2、创建EK，并生成CSR证书请求文件；

S3、通过CA对CSR文件主体签名生成EC证书；

S4、将EC证书写入磁盘文件中，并将磁盘文件转换为虚拟可信根使用的格式。

优选地，所述步骤S2具体操作为：

通过指令创建EK；

获取EK的公钥，生成CSR主体结构；

使用EK对CSR主体结构签名；

将CSR主体结构及其签名写入文件，生成CSR文件。

优选地，所述将EC证书写入磁盘文件中具体操作为：

通过可信根NV空间定义指令开辟NV空间用以存储EC数据；

通过可信根NV写操作指令将EC写入到已开辟的空间中；

当写入失败时，通过可信根NV释放指令删除已定义的空间，写入成功则保留该空间。