[发明专利]一种验证计算池可信的方法及系统

权利要求书

1.一种验证计算池可信的方法，其特征在于，包括：

预先生成携带有宿主机的地理位置信息的地理位置标签Geo-Tag证书，确定所述Geo-Tag证书的初始哈希值，将所述初始哈希值保存在所述宿主机中，并将所述Geo-Tag证书保存在可信第三方中作为可信Geo-Tag证书，还包括：

S1：所述可信第三方向所述宿主机请求所述宿主机中保存的初始哈希值；

S2：所述可信第三方接收所述宿主机返回的待验证的初始哈希值；

S3：所述可信第三方计算所述可信Geo-Tag证书的可信哈希值；

S4：所述可信第三方判断所述待验证的初始哈希值与所述可信哈希值是否相等，如果是，则判定所述宿主机可信，否则，判定所述宿主机不可信。

2.根据权利要求1所述的方法，其特征在于，所述预先生成携带有宿主机的地理位置信息的Geo-Tag证书，包括：

A1：向数字证书认证中心CA发送所述宿主机的地理位置信息，以使所述CA生成携带有所述地理位置信息的CA证书；

A2：获取所述CA证书和所述宿主机的通用唯一识别码UUID，根据所述UUID和所述CA证书创建Geo-Tag标签；

A3：对所述Geo-Tag标签进行数字签名，生成所述Geo-Tag证书。

3.根据权利要求1所述的方法，其特征在于，所述确定所述Geo-Tag证书的初始哈希值，将所述初始哈希值保存在所述宿主机中，包括：

将所述Geo-Tag证书发送给所述宿主机中的安全芯片TPM芯片，通过所述TPM芯片对所述Geo-Tag证书进行哈希运算，获得所述初始哈希值，并将所述初始哈希值保存到在所述TPM芯片中。

4.根据权利要求2所述的方法，其特征在于，

在所述S1之前还包括：

预先设置所述CA的私钥、所述CA的公钥、所述宿主机的私钥、所述宿主机的公钥；

所述A1，包括：

向所述CA发送携带有第一随机数的开始会话请求；

接收所述CA返回的对所述开始会话请求的应答和所述第一随机数；

将所述宿主机的地理位置信息、所述第一随机数、第二随机数和所述宿主机的公钥，利用所述CA的公钥进行加密，得到第一加密信息，将所述第一加密信息发送给所述CA，以使所述CA接收所述第一加密信息，所述CA利用所述CA的私钥进行解密，所述CA生成携带有所述地理位置信息的CA证书，所述CA通过所述宿主机的公钥对所述CA证书和所述第二随机数进行加密，得到第二加密信息，所述CA返回所述第二加密信息；

所述A2中，所述获取所述CA证书，包括：

接收所述CA返回的所述第二加密信息，利用所述宿主机的私钥对所述第二加密信息进行解密，获得所述CA证书；

在所述获取所述CA证书之后，还包括：

利用所述CA的公钥对结束会话请求、所述第二随机数和第三随机数进行加密，得到第三加密信息，将所述第三加密信息发送给所述CA，以使所述CA利用所述CA的私钥对所述第三加密信息进行解密，所述CA根据所述结束会话请求返回结束会话的应答和所述第三随机数。

5.根据权利要求3所述的方法，其特征在于，

所述确定所述Geo-Tag证书的初始哈希值，包括：

利用SHA-1计算所述Geo-Tag证书的初始哈希值；

和/或，

所述将所述初始哈希值保存到在所述TPM芯片中，包括：

将所述初始哈希值扩展到所述TPM芯片的PCR22中。

6.一种验证计算池可信的系统，其特征在于，包括：

地理位置标签Geo-Tag证书单元，用于生成携带有宿主机的地理位置信息的地理位置标签Geo-Tag证书，确定所述Geo-Tag证书的初始哈希值，将所述初始哈希值保存在所述宿主机中，并将所述Geo-Tag证书保存在可信第三方中作为可信Geo-Tag证书；

所述可信第三方，用于向所述宿主机请求所述宿主机中保存的初始哈希值，接收所述宿主机返回的待验证的初始哈希值，计算所述可信Geo-Tag证书的可信哈希值，判断所述待验证的初始哈希值与所述可信哈希值是否相等，当判断结果为是时，则判定所述宿主机可信，当判断结果为否时，判定所述宿主机不可信。