[发明专利]一种基于可信技术实现多型工作单元安全联动的方法

说明书

本发明提供了一种基于可信技术实现多型工作单元安全联动的方法，包括以下步骤：颁发证书；检测业务系统，并自动发现所述业务系统所在的工作单元类型；远程证明实现业务系统交互时所在平台的安全可信认证。本发明实现传统物理机集群、虚拟机集群、容器集群中不同业务系统之间交互时的远程证明，能够自动感知各业务系统运行的工作单元类型，根据其所在的工作单元类型，采用对应的远程证明协议进行平台可信证明；解决了可信计算中远程证明在不同集群中存在的孤岛问题，打通了不同集群多型工作单元中业务系统的可信安全交互通道，对解决部分业务无法上云问题以及可信数据中心建设具有重大意义。

技术领域

本发明涉及新一代信息技术领域，特别是数字信息的传输领域，具体涉及一种基于可信技术实现多型工作单元安全联动的方法。

背景技术

随着互联网的快速发展，安全问题频出，被动防御手段已经无法满足安全需求。为了全面保障计算平台的安全性，必须进行主动防御，提出了以可信芯片为基础，逐层构建，形成主动防御的安全计算平台。另一方面，随着云计算的发展，虚拟化技术、容器技术层出不穷，凭借低成本、灵活可扩展等优势，在实际应用中快速推广，云计算架构自身具备不安全性，吸引了一大批学者基于云模型开展可信计算研究。

目前，众多数据中心处于传统物理集群向虚拟机集群和容器集群过度的时期，因此，大量数据中心出现传统物理机集群、虚拟机集群、容器集群混合部署的场景，业务系统可能部署于物理机、虚拟机、容器等不同类型的工作单元，当业务系统需要进行交互时，必须进行远程证明，由于可信架构各不相同，其远程证明方式不尽相同。目前，单一集群内只存在一种工作单元，各种可信方案中远程证明模式已固定，无法直接兼容其他工作单元的远程证明。在远程证明的研究中，众多学者是针对单一工作单元的远程证明过程进行原理与技术创新，无法应用于当前多型工作单元混合部署的场景。

发明内容

鉴于此，本发明的目的是重点解决云环境中物理机、虚拟机、容器等多型工作单元共同部署时，基于可信芯片构建虚拟可信计算环境后，不同工作单元之间无法远程证明的问题。

本发明设计构建多型工作单元安全联动系统，能够帮助业务系统自动区分其所在的工作单元类型，并自动选用适合的远程证明方案，保证多型工作单元之间能够进行远程证明，为构建混合场景下的可信计算环境奠定基础。本发明基于独立的可信环境，结合多型工作单元联合工作的实际需求，对远程证明过程进行创新，针对多型数据中心，设计多型工作单元安全联动系统，包括物理机可信代理PTA、虚拟机可信代理VTA、容器可信代理DTA、单元检测模块，并通过私有证书颁发机构的配合，实现数据中心中物理机集群、虚拟机集群、容器集群联合部署时，可信计算环境中多型工作单元的远程证明，保障可信计算环境的安全运行。

本发明提供一种基于可信技术实现多型工作单元安全联动的方法，包括以下步骤：

S1、颁发证书；

多型数据中心提供的工作单元分为物理机、虚拟机和容器三种类型，其中：

仅包括所述物理机的物理机集群中，每一个物理机配置可信设备，可信设备具有自己唯一的背书密钥（endorsementkey，简称EK）、存储根密钥（storagerootkey，简称SRK），并根据EK生成身份证明密钥（attestationidentitykey，简称AIK），物理机使用AIK向私有证书颁发机构申请证书，私有证书颁发机构生成证书即AIK证书，发送给物理机；

包括所述物理机以及所述虚拟机的虚拟机集群中，每一个物理机配置可信设备，可信设备具有自己唯一的背书密钥（endorsementkey，简称EK）、存储根密钥（storagerootkey，简称SRK），并根据EK生成身份证明密钥（attestationidentitykey，简称AIK），物理机使用AIK向私有证书颁发机构申请证书，私有证书颁发机构生成AIK证书，发送给物理机；虚拟机创建时，为该虚拟机分配一个vTPM，获取vTPM对应的vAIK，发送给私有证书颁发机构，私有证书颁发机构生成vAIK证书，发送给虚拟机；