[发明专利]分布式熵系统和方法

说明书

公开了一种方法。所述方法包括由包括多个计算机节点的网络中的计算机节点从所述多个计算机节点接收多个数据值。每个计算机节点可以基于所述多个计算机节点中的所述计算机节点执行函数所耗费的时间来创建数据值。然后，所述计算机节点可以将所述数据值或其导出值作为随机值提供给随机值的熵池。然后，所述计算机节点可以从所述熵池选择随机值并发起在操作中对所述随机值的使用。

背景技术

在许多情况下，操作环境的安全性和密码强度取决于与密码算法和安全协议中使用的随机性相关联的熵。为了满足密码保证和能力，需要高熵。

在软件中提供高熵和高质量的伪随机数发生器(PRNG)是困难的。虚拟化环境中的隔离性质加剧了提供高熵和安全PRNG的问题。例如，虚拟机(VM)可以使硬件资源虚拟化，从而混淆许多熵源并创建高度可预测(即，非随机)的环境。

由于伪随机数发生器(PRNG)用于促进RSA密钥生成，因此攻击者可能会获得从公钥搜集的足够数量的可能素数。攻击者可以基于大量公钥发现PRNG种子(或以某种其它方式破坏PRNG的内部状态)。这会破坏过去和将来消息的保密性。当工作负载在可能会表现出缺乏良好的质量随机性的高度虚拟化环境中运行时，问题可能会被放大，这是因为虚拟机没有良好的熵源。因而，虚拟机可能比硬件更不利。例如，VM上通常不存在可以根据按键输入或鼠标移动搜集的熵。

硬件模拟进一步消除了随机性，并以更加可预测的行为(在所有VM中)，例如OS内核池模拟数据、可能没有适当分辨率的定时器等，来代替所述随机性。

本发明的实施例个别地和共同地解决此问题和其它问题。

发明内容

本发明的实施例大体上涉及用于改进可用于虚拟化应用程序工作负载以及计算机节点的熵的质量的方法和系统。

一个实施例涉及一种方法，包括：由包括多个计算机节点的网络中的计算机节点从所述多个计算机节点接收多个数据值，每个计算机节点基于所述多个计算机节点中的所述计算机节点执行函数所耗费的时间来创建数据值；由所述计算机节点将所述数据值或其导出值(derivative)作为随机值提供给随机值的熵池；由所述计算机节点从所述熵池选择随机值；以及由所述计算机节点发起在操作中对所述随机值的使用。

另一实施例涉及一种计算机节点，包括：处理器；存储器装置；以及耦合到所述处理器的计算机可读介质，所述计算机可读介质包括可由所述处理器执行以实施方法的代码，所述方法包括：由包括多个计算机节点的网络中的计算机节点从所述多个计算机节点接收多个数据值，每个计算机节点基于所述多个计算机节点中的所述计算机节点执行函数所耗费的时间来创建数据值；将所述数据值或其导出值作为随机值提供给随机值的熵池；从所述熵池选择随机值；以及发起在操作中对所述随机值的使用。

在描述本发明的具体实施例之前，可以详细地描述一些术语。

术语

术语“节点”可以包括连接点。在一些实施例中，节点可以是物理电子装置，它能够创建、接收或传送数据。在其它实施例中，节点可以是计算装置上的软件模块，所述软件模块是通信网络中的连接点。节点可以是计算机节点。在一些实施例中，计算机节点可以是计算机网络中的物理电子装置。在其它实施例中，计算机节点可以是由计算机节点集群运行的虚拟机。