一种虚拟可信根标识认证系统的制作方法

本发明涉及到信息安全，尤其涉及到一种虚拟可信根标识认证系统。

背景技术：

1、目前主流的标识技术有handle、oid(object identifier,对象标识符)、 ecode(entity code for io t,物联网统一标识体系)、epc、ucode等,分别由不同的组织机构提出,其出发点都是面向物品对象、数字对象等进行唯一标记及提供信息查询的功能,进而发展成一种底层的信息架构。handle系统是一种分布式信息系统，该系统提供可用于互联网等网络的有效、可扩展以及安全的全球命名服务。handle系统使分布式计算机系统能够存储数字资源的名称(或handle)，还能将这些handle解析为定位、访问和以其它方式利用资源所需的信息。handle系统支持安全的handle解析，也可以根据客户的要求提供安全服务，如数据保密性、数据完整性和不可抵赖性。

2、云计算以其软件开发部署模式的创新，为大数据、物联网、人工智能等新兴领域的发展提供了基础支撑，催生出强大的产业链和产业生态。在云计算的架构下，云计算开放网络和业务共享场景更加复杂多变，安全性方面的挑战更加严峻，存在用户身份、业务共享、数据交换与存储等安全风险，云安全保障是云计算的一个显著特性。

3、可信计算以一个硬件安全模块(tcm)作为可信根,为宿主计算机提供平台身份认证、完整性保护和安全存储功能。把tcm集成到服务器上，将可信计算技术应用到基于服务器的虚拟计算系统中,可以在云计算应用场景中提供基于硬件的可信安全保护功能。随着云计算技术的发展，其面临的安全问题也越来越严重，可信云计算技术是利用可信计算技术来保障云计算环境安全的重要技术。

4、当前的可信云计算架构主要是以vmm等虚拟机平台为基础,通过对平台本身的物理tcm(ptcm)进行虚拟化为vtcm来保护虚拟机的安全。

5、将ptcm虚拟化为vtcm，需要解决好信任扩展和vtcm的身份绑定问题。现有虚拟可信根身份证书aik与物理根aik通过转换间接证明或者没有依赖关系，溯源困难。

技术实现思路

1、本发明的目的在于提供一种虚拟可信根标识认证系统，以解决上述背景技术中提出的问题。

2、本发明是通过以下技术方案实现：

3、本发明提供了一种虚拟可信根标识认证系统，该虚拟可信根标识认证系统包括：

4、云可信计算节点和全局标识服务系统；

5、所述云可信计算节点为对应的虚拟机vm提供身份凭证证书vaik；

6、所述全局标识服务系统为所述云可信计算节点ptcm和vtcm提供全局唯一id标识和身份标识解析服务。

7、在上述技术方案中，采用全局标识系统(如handle系统)，通过对ptcm 和vtcm进行标识绑定，在vm身份认证中通过handle系统来传递平台身份信息而不需要ptcm的参与。从而改善溯源的问题。

8、在一个具体的可实施方案中，所述云可信计算节点包括：ptcm，vtcm 管理器，vtcm实例，vm；其中，

9、所述ptcm为所述云可信计算节点提供物理身份凭证paik和标识id，所述标识id为云可信计算节点全球唯一身份标识；

10、所述vtcm管理器生成基于ptcm的虚拟化信息并进行维护管理以及生成所述vtcm实例；

11、所述vtcm实例为所述vm提供可信服务支撑；

12、所述vm用于调用所述vtcm实例为云应用提供身份可信证明与身份认证服务。

13、在一个具体的可实施方案中，所述全局标识服务系统以数字编码方式为云环境中的所有云计算可信节点提供id标识注册、解析、安全存储服务。

14、在一个具体的可实施方案中，所述全局标识服务系统为云计算可信节点提供的id标识由所述云可信计算节点的vtcm管理器生成并存储到所述 ptcm和所述vtcm实例。

15、在一个具体的可实施方案中，所述id标识的表达式为：标识节点/ptcm 标识/vtcm标识。

16、在一个具体的可实施方案中，所述ptcm为所述云可信计算节点的可信根，所述ptcm基于信任扩展将身份可信传递到vtcm，并传递到vm；

17、所述ptcm生成paik密钥和管理paik证书。

18、在一个具体的可实施方案中，所述vtcm管理器是ptcm的唯一拥有者，具有最高的权限；

19、其中，每个vtcm实例根据需要通过所述vtcm管理器调用所述 ptcm的安全功能。

20、在一个具体的可实施方案中，所述vtcm实例主要包括id标识、pcr、策略管理、杂凑操作、aik、时间戳和数据加解密相关函数。

21、在一个具体的可实施方案中，所述vm通过调用vtcm实例中提供的 id和vaik证书信息，通过解析id标识和提取vaik身份信息来向云应用提供身份可信凭证和身份认证服务。

技术特征：

1.一种虚拟可信根标识认证系统1，其特征在于，包括：云可信计算节点和全局标识服务系统；

2.根据权利要求1中所述的虚拟可信根标识认证系统，其特征在于，所述云可信计算节点包括：ptcm，vtcm管理器，vtcm实例，vm；其中，

3.根据权利要求1中所述的虚拟可信根标识认证系统，其特征在于，所述全局标识服务系统以数字编码方式为云环境中的所有云计算可信节点提供id标识注册、解析、安全存储服务。

4.根据权利要求3中所述的虚拟可信根标识认证系统，其特征在于，所述全局标识服务系统为云计算可信节点提供的id标识由所述云可信计算节点的vtcm管理器生成并存储到所述ptcm和所述vtcm实例。

5.根据权利要求4所述的虚拟可信根标识认证系统，其特征在于，所述id标识的表达式为：标识节点/ptcm标识/vtcm标识。

6.根据权利要求5中所述的虚拟可信根标识认证系统，其特征在于，所述ptcm为所述云可信计算节点的可信根，所述ptcm基于信任扩展将身份可信传递到vtcm，并传递到vm；

7.根据权利要求5中所述的虚拟可信根标识认证系统，其特征在于，所述vtcm管理器是ptcm的唯一拥有者，具有最高的权限；

8.根据权利要求2中所述的虚拟可信根标识认证系统，其特征在于，所述vtcm实例主要包括id标识、pcr、策略管理、杂凑操作、aik、时间戳和数据加解密相关函数。

9.根据权利要求2中所述的一种虚拟可信根标识认证系统1，其特征在于，所述vm通过调用vtcm实例中提供的id和vaik证书信息，通过解析id标识和提取vaik身份信息来向云应用提供身份可信凭证和身份认证服务。

技术总结
本发明提供了一种虚拟可信根标识认证系统1，包括云可信计算节点和全局标识服务系统；所述云可信计算节点为对应的虚拟机VM提供身份凭证证书vAIK；所述全局标识服务系统为所述云可信计算节点pTCM和vTCM提供全局唯一ID标识和身份标识解析服务。在上述技术方案中，采用全局标识系统(如handle系统)，通过对pTCM和vTCM进行标识绑定，在vm身份认证中通过handle系统来传递平台身份信息而不需要pTCM的参与。从而改善溯源的问题。

技术研发人员：韩勇桥,李文华,马帅,姚尧
受保护的技术使用者：北京旋极安辰计算科技有限公司
技术研发日：
技术公布日：2024/2/19