[发明专利]一种基于可信技术实现多型工作单元安全联动的方法

权利要求书

1.一种基于可信技术实现多型工作单元安全联动的方法，其特征在于，包括以下步骤：

S1、颁发证书；

多型数据中心提供的工作单元分为物理机、虚拟机和容器三种类型，其中：

仅包括所述物理机的物理机集群中，每一个物理机配置可信设备，可信设备具有自己唯一的背书密钥EK、存储根密钥SRK，并根据EK生成身份证明密钥AIK，物理机使用AIK向私有证书颁发机构申请证书，私有证书颁发机构生成证书即AIK证书，发送给物理机；

包括所述物理机以及所述虚拟机的虚拟机集群中，每一个物理机配置可信设备，可信设备具有自己唯一的背书密钥EK、存储根密钥SRK，并根据EK生成身份证明密钥AIK，物理机使用AIK向私有证书颁发机构申请证书，私有证书颁发机构生成AIK证书，发送给物理机；虚拟机创建时，为该虚拟机分配一个vTPM，获取vTPM对应的vAIK，发送给私有证书颁发机构，私有证书颁发机构生成vAIK证书，发送给虚拟机；

包括所述物理机的容器集群中，每一个物理机配置可信设备，可信设备具有自己唯一的背书密钥EK、存储根密钥SRK，并根据EK生成身份证明密钥AIK，物理机使用AIK向私有证书颁发机构申请证书，私有证书颁发机构生成AIK证书，发送给物理机；

S2、检测业务系统，并自动发现所述业务系统所在的工作单元类型；

单元检测模块与物理机的操作系统、云操作系统以及容器管理系统联合工作，当部署新的业务系统时，触发所述单元检测模块，依次通过systemd-detect-virt、lscpu|grep-Piq'Hypervisorvendor'、cat/proc/1/cgroup|grep-qidocker、cat/proc/1/cgroup|grep-q'machine-rkt'，直至确定业务系统所在工作单元的类型，包括物理机、虚拟机、容器三类，正确存储“业务系统名称、工作单元类型”记录到共享区域；

所述单元检测模块分别部署于物理机、虚拟机内部，自动收集工作单元中所运行的业务系统信息，并自动检测业务系统的类型是物理机和/或虚拟机和/或容器，将每一个业务系统所在工作单元的类型信息进行存储；

S3、远程证明实现业务系统交互时所在平台的安全可信认证；

在多型数据中心中，部署在物理机上的业务系统PS、部署在虚拟机中的业务系统VS以及部署在容器中的业务系统DS之间的交互，包括PS到VS、PS到DS、VS到DS、VS到PS、DS到PS、DS到VS的交互过程。

2.根据权利要求1所述的方法，其特征在于，所述S1步骤的所述私有证书颁发机构用于构建本地可信计算环境的密码体系，为工作单元颁发AIK证书，物理机、虚拟机、容器三种类型的工作单元分别拥有自身的身份证明密钥AIK。

3.根据权利要求1所述的方法，其特征在于，所述物理机直接部署有物理机可信代理PTA，采集物理机的度量日志与PCR值，使用AIK证书签名后生成物理机的远程报告，以所述物理机的远程报告向挑战者证明物理机平台状态的可信性。

4.根据权利要求1所述的方法，其特征在于，所述虚拟机内部部署有虚拟机可信代理VTA，采集虚拟机的度量日志与PCR值，使用vAIK证书签名后生成虚拟机的远程报告，以所述虚拟机的远程报告向挑战者证明虚拟机平台状态的可信性。

5.根据权利要求1所述的方法，其特征在于，所述容器集群的物理机部署有容器可信代理DTA，与容器引擎配合，采集容器所在物理机的度量日志与PCR值，使用AIK证书签名后生成容器的远程报告，以所述容器的远程报告向挑战者证明容器平台状态的可信性。