[发明专利]一种虚拟可信根标识认证系统

说明书

本发明提供了一种虚拟可信根标识认证系统，包括云可信计算节点，云可信计算节点用于管理维护pTCM提供的物理身份凭证pAIK和ID标识；云可信管理中心vcenter，云可信管理中心vcenter用于为VM虚拟机提供密钥管理和密码服务，并协助vTCM管理器管理身份凭证证书vAIK；全局标识服务系统，全局标识服务系统用于为pTCM和vTCM管理器提供全局唯一ID标识和身份标识的解析服务。本发明通过在全虚拟化VMM模式下实现vTCM，并采用全局标识系统，通过对pTCM和vTCM进行标识绑定，在vm身份认证中通过handle系统来传递平台身份信息而不需要pTCM的参与。

技术领域

本发明涉及到信息安全技术领域，尤其涉及到一种虚拟可信根标识认证系统。

背景技术

目前主流的标识技术有Handle、OID(object identifier,对象标识符)、Ecode(entity code for Io T，物联网统一标识体系)、Epc、UCode等，分别由不同的组织机构提出，其出发点都是面向物品对象、数字对象等进行唯一标记及提供信息查询的功能，进而发展成一种底层的信息架构。Handle系统是一种分布式信息系统，该系统提供可用于互联网等网络的有效、可扩展以及安全的全球命名服务。Handle系统使分布式计算机系统能够存储数字资源的名称(或handle)，还能将这些handle解析为定位、访问和以其它方式利用资源所需的信息。Handle系统支持安全的handle解析，也可以根据客户的要求提供安全服务，如数据保密性、数据完整性和不可抵赖性。

云计算以其软件开发部署模式的创新，为大数据、物联网、人工智能等新兴领域的发展提供了基础支撑，催生出强大的产业链和产业生态。在云计算的架构下，云计算开放网络和业务共享场景更加复杂多变，安全性方面的挑战更加严峻，存在用户身份、业务共享、数据交换与存储等安全风险，云安全保障是云计算的一个显著特性。

可信计算以一个硬件安全模块(TCM)作为可信根，为宿主计算机提供平台身份认证、完整性保护和安全存储功能，把TCM集成到服务器上，将可信计算技术应用到基于服务器的虚拟计算系统中，可以在云计算应用场景中提供基于硬件的可信安全保护功能。随着云计算技术的发展，其面临的安全问题也越来越严重，可信云计算技术是利用可信计算技术来保障云计算环境安全的重要技术。

虚拟可信根由特定的颁发者发布，作为一种安全组件可以为虚拟机提供密码学算法功能、安全存储等功能。虚拟可信根中存放了虚拟机用户的密钥等敏感信息，一旦虚拟可信根被恶意攻击者替换，虚拟机用户使用被替换的虚拟可信根加解密隐私数据时，可能会导致隐私数据被破坏。

当前的可信云计算架构主要是以VMM等虚拟机平台为基础，通过对平台本身的物理TCM(pTCM)进行虚拟化为vTCM来保护虚拟机的安全。将pTCM虚拟化为vTCM，需要解决好信任扩展和vTCM的身份绑定问题。但目前全虚拟化VMM模式VMM的可信证明可以由pTPM保证，但是vm不个性化，可信证明不做考虑，有vm的客户机OS自身可信来保障，VMM不参与vm自身可信性安全管理。

当前的可信云计算架构主要是以VMM等虚拟机平台为基础，通过对平台本身的物理TCM(pTCM)进行虚拟化为vTCM来保护虚拟机的安全。将pTCM虚拟化为vTCM，需要解决好信任扩展和vTCM的身份绑定问题。但目前全虚拟化VMM模式存在如下问题：

一、当前只能实现pTPM的虚拟化，尚未实现vTCM；

二、vm信任需要pTPM间接来证明，vTPM只能提供身份凭证和密码服务，vm自身可信证明需要完善。

发明内容

本发明的目的在于提供一种虚拟可信根标识认证系统，以解决上述背景技术中提出的问题。

本发明是通过以下技术方案实现：

本发明提供了一种虚拟可信根标识认证系统，该虚拟可信根标识认证系统包括：