[发明专利]构建可信计算池的方法及系统、认证服务器

说明书

技术领域

本发明涉及网络通信技术领域，特别涉及构建可信计算池的方法及系统、认证服务器。

背景技术

随着云计算技术的发展，虚拟化安全问题越来越受到重视，由于传统的安全检测方式都是对系统进行安全防御或发生攻击时进行处理，没有对系统本身的计算环境进行有效的度量，而现在热门的可信计算技术在传统物理主机中得到了快速发展，因此，在云环境中构建可信计算池成为急需解决的技术问题。

发明内容

本发明提供构建可信计算池的方法及系统、认证服务器及主机，能够在云环境中构建可信计算池。

构建可信计算池的方法，应用于认证服务器中，包括：

产生代理端程序，所述代理端程序中包括CA证书；

将所述代理端程序发送给待认证主机，触发待认证主机进行所述代理端程序的安装；

向待认证主机的代理端程序发送基准值收集命令；

接收待认证主机的基准值；

接收对所述待认证主机的可信认证请求；

通过待认证主机的代理端程序，获取所述待认证主机的基本输入输出(Basic Input Output System，BIOS)度量值、虚拟机监视器(Virtual Machine Monitor，VMM)度量值、操作系统(OS)度量值，以及获取所述待认证主机根据CA证书产生的认证信息；

根据所述CA证书以及待认证主机根据CA证书产生的认证信息，验证所述待认证主机的合法性，合法性通过后，根据预先得到的待认证主机的基准值对待认证主机的BIOS度量值、VMM度量值及OS度量值进行可信认证，将可信认证结果返回给认证管理平台，触发所述认证管理平台根据所述认证结果执行将所述待认证主机加入或不加入可信计算池。

所述可信认证请求包括：主机添加请求、认证请求及主机移动请求中的任意一个。

进一步包括：

通过所述代理端程序获取所述待认证主机根据所述CA证书产生的EK公钥；

根据获取的EK公钥产生EC，并发送给所述代理端程序；

通过所述代理端程序获取所述待认证主机根据EC生成的AIK密钥；

根据获取的AIK密钥产生所述证言身份证书AIC；

所述待认证主机根据CA证书产生的认证信息包括：所述待认证主机产生的AIC；

所述根据所述CA证书验证所述待认证主机的合法性包括：判断自身产生的AIC与获取的所述待认证主机的AIC是否相同，如果相同，则合法性通过。

构建可信计算池的方法，应用于主机中，包括：

接收并安装代理端程序，该代理端程序中包括CA证书；

根据接收到的基准值收集命令，通过代理端程序将自身的基准值发送给认证服务器；

根据所述CA证书产生认证信息；

通过代理端程序将自身的BIOS度量值、VMM度量值、OS度量值，以及认证信息发送给认证服务器。

所述认证信息包括：AIC；

所述根据所述CA证书产生认证信息包括：根据所述CA证书产生EK公钥，并发送给认证服务器；接收认证服务器根据EK公钥产生并发来的EC；根据接收到的EC生成AIK密钥，并发送给认证服务器，以及根据AIK密钥生成所述AIC。

一种认证服务器，包括：

代理端程序产生单元，用于产生代理端程序，所述代理端程序中包括CA证书；

第一交互处理单元，用于将代理端程序产生单元所产生的代理端程序发送给待认证主机；向待认证主机的代理端程序发送基准值收集命令；接收待认证主机的基准值；通过待认证主机的代理端程序，获取所述待认证主机的BIOS度量值、VMM度量值、OS度量值，以及获取所述待认证主机根据CA证书产生的认证信息；

第二交互处理单元，用于接收对所述待认证主机的可信认证请求；

合法性认证单元，用于在所述第二交互处理单元接收到所述可信认证请求后，根据代理端程序产生单元所产生的所述CA证书以及第一交互处理单元接收到的认证信息，验证所述待认证主机的合法性，

可信认证单元，用于在所述合法性认证单元合法性通过后，根据预先得到的待认证主机的基准值对待认证主机的BIOS度量值、VMM度量值及OS度量值进行可信认证，将可信认证结果返回给认证管理平台，触发所述认证管理平台根据所述认证结果执行将所述待认证主机加入或不加入可信计算池。

所述合法性认证单元中包括：