CN104935589A - 构建可信计算池的方法及系统、认证服务器 - Google Patents
构建可信计算池的方法及系统、认证服务器 Download PDFInfo
- Publication number
- CN104935589A CN104935589A CN201510324619.2A CN201510324619A CN104935589A CN 104935589 A CN104935589 A CN 104935589A CN 201510324619 A CN201510324619 A CN 201510324619A CN 104935589 A CN104935589 A CN 104935589A
- Authority
- CN
- China
- Prior art keywords
- main frame
- certified
- certificate
- side program
- agent side
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供构建可信计算池的方法及系统,认证服务器及主机。在认证服务器中的实现方法包括:产生代理端程序,所述代理端程序中包括CA证书;触发待认证主机进行所述代理端程序的安装;接收待认证主机的基准值;通过待认证主机的代理端程序,获取所述待认证主机的BIOS度量值、VMM度量值、OS度量值,以及获取所述待认证主机根据CA证书产生的认证信息;根据所述CA证书以及待认证主机根据CA证书产生的认证信息,验证所述待认证主机的合法性,合法性通过后,根据预先得到的待认证主机的基准值对待认证主机的BIOS度量值、VMM度量值及OS度量值进行可信认证。能够实现构建可信计算池。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及构建可信计算池的方法及系统、认证服务器。
背景技术
随着云计算技术的发展,虚拟化安全问题越来越受到重视,由于传统的安全检测方式都是对系统进行安全防御或发生攻击时进行处理,没有对系统本身的计算环境进行有效的度量,而现在热门的可信计算技术在传统物理主机中得到了快速发展,因此,在云环境中构建可信计算池成为急需解决的技术问题。
发明内容
本发明提供构建可信计算池的方法及系统、认证服务器及主机,能够在云环境中构建可信计算池。
构建可信计算池的方法,应用于认证服务器中,包括:
产生代理端程序,所述代理端程序中包括CA证书;
将所述代理端程序发送给待认证主机,触发待认证主机进行所述代理端程序的安装;
向待认证主机的代理端程序发送基准值收集命令;
接收待认证主机的基准值;
接收对所述待认证主机的可信认证请求;
通过待认证主机的代理端程序,获取所述待认证主机的基本输入输出(Basic Input Output System,BIOS)度量值、虚拟机监视器(Virtual MachineMonitor,VMM)度量值、操作系统(OS)度量值,以及获取所述待认证主机根据CA证书产生的认证信息;
根据所述CA证书以及待认证主机根据CA证书产生的认证信息,验证所述待认证主机的合法性,合法性通过后,根据预先得到的待认证主机的基准值对待认证主机的BIOS度量值、VMM度量值及OS度量值进行可信认证,将可信认证结果返回给认证管理平台,触发所述认证管理平台根据所述认证结果执行将所述待认证主机加入或不加入可信计算池。
所述可信认证请求包括:主机添加请求、认证请求及主机移动请求中的任意一个。
进一步包括:
通过所述代理端程序获取所述待认证主机根据所述CA证书产生的EK公钥;
根据获取的EK公钥产生EC,并发送给所述代理端程序;
通过所述代理端程序获取所述待认证主机根据EC生成的AIK密钥;
根据获取的AIK密钥产生所述证言身份证书AIC;
所述待认证主机根据CA证书产生的认证信息包括:所述待认证主机产生的AIC;
所述根据所述CA证书验证所述待认证主机的合法性包括:判断自身产生的AIC与获取的所述待认证主机的AIC是否相同,如果相同,则合法性通过。
构建可信计算池的方法,应用于主机中,包括:
接收并安装代理端程序,该代理端程序中包括CA证书;
根据接收到的基准值收集命令,通过代理端程序将自身的基准值发送给认证服务器;
根据所述CA证书产生认证信息;
通过代理端程序将自身的BIOS度量值、VMM度量值、OS度量值,以及认证信息发送给认证服务器。
所述认证信息包括:AIC;
所述根据所述CA证书产生认证信息包括:根据所述CA证书产生EK公钥,并发送给认证服务器;接收认证服务器根据EK公钥产生并发来的EC;根据接收到的EC生成AIK密钥,并发送给认证服务器,以及根据AIK密钥生成所述AIC。
一种认证服务器,包括:
代理端程序产生单元,用于产生代理端程序,所述代理端程序中包括CA证书;
第一交互处理单元,用于将代理端程序产生单元所产生的代理端程序发送给待认证主机;向待认证主机的代理端程序发送基准值收集命令;接收待认证主机的基准值;通过待认证主机的代理端程序,获取所述待认证主机的BIOS度量值、VMM度量值、OS度量值,以及获取所述待认证主机根据CA证书产生的认证信息;
第二交互处理单元,用于接收对所述待认证主机的可信认证请求;
合法性认证单元,用于在所述第二交互处理单元接收到所述可信认证请求后,根据代理端程序产生单元所产生的所述CA证书以及第一交互处理单元接收到的认证信息,验证所述待认证主机的合法性,
可信认证单元,用于在所述合法性认证单元合法性通过后,根据预先得到的待认证主机的基准值对待认证主机的BIOS度量值、VMM度量值及OS度量值进行可信认证,将可信认证结果返回给认证管理平台,触发所述认证管理平台根据所述认证结果执行将所述待认证主机加入或不加入可信计算池。
所述合法性认证单元中包括:
AIC获取子单元,所述AIC获取子单元通过所述第一交互单元获取所述待认证主机根据所述CA证书产生的EK公钥;根据获取的EK公钥产生EC,并通过第一交互处理单元发送给待认证主机的所述代理端程序;通过第一交互处理单元获取所述待认证主机根据EC生成的AIK密钥;根据获取的AIK密钥产生所述证言身份证书AIC;
AIC认证子单元,判断AIC获取子单元产生的AIC与第一交互处理单元获取的所述待认证主机的AIC是否相同,如果相同,则合法性通过。
一种主机,包括:
代理端程序执行单元,用于接收并安装代理端程序,该代理端程序中包括CA证书;
基准值处理单元,用于根据接收到的基准值收集命令,通过代理端程序执行单元将基准值发送给认证服务器;
CA证书处理单元,用于根据代理端程序执行单元接收到的所述CA证书产生认证信息;
可信认证处理单元,用于通过代理端程序执行单元将BIOS度量值、VMM度量值、OS度量值,以及CA证书处理单元所产生的认证信息发送给认证服务器。
所述CA证书处理单元中包括:AIC生成子单元,用于根据所述代理端程序安装单元获取的CA证书产生EK公钥,并发送给认证服务器;接收认证服务器根据EK公钥产生并发来的EC;根据接收到的EC生成AIK密钥,并发送给认证服务器,以及根据AIK密钥生成作为所述认证信息的AIC。
一种构建可信计算池的系统,包括:
认证管理平台,包括至少一个主机的可信计算池,包括至少一个上述任意一种待认证主机的待检测主机区,上述任意一种认证服务器。
本发明实施例提供了构建可信计算池的方法及系统,以及认证服务器和主机,能够对待认证的主机首先进行基于CA证书的合法性认证,在合法性认证通过后才基于BIOS度量值、VMM度量值、OS度量值进行可信认证,双重认证通过后,才会将待认证主机加入可信计算池,从而提高了可信计算池中主机的可信度。
附图说明
图1是本发明一个实施例中在认证服务器中实现构建可信计算池的方法流程图。
图2是本发明一个实施例中在主机中实现构建可信计算池的方法流程图。
图3是本发明一个实施例中认证服务器的结构示意图。
图4是本发明一个实施例中主机的结构示意图。
图5是本发明一个实施例中实现构建可信计算池的系统的结构示意图。
图6是本发明一个实施例中系统的各设备配合实现构建可信计算池的方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明一个实施例提供了一种构建可信计算池的方法,应用于认证服务器中,参见图1,包括:
步骤101:认证服务器产生代理端程序,所述代理端程序中包括CA证书;
步骤102:认证服务器将所述代理端程序发送给待认证主机,触发待认证主机进行所述代理端程序的安装;
步骤103:认证服务器向待认证主机的代理端程序发送基准值收集命令;
步骤104:认证服务器接收待认证主机的基准值;
步骤105:认证服务器接收对所述待认证主机的可信认证请求;
步骤106:认证服务器通过待认证主机的代理端程序,获取所述待认证主机的基本输入输出(Basic Input Output System,BIOS)度量值、虚拟机监视器(Virtual Machine Monitor,VMM)度量值、操作系统(OS)度量值,以及获取所述待认证主机根据CA证书产生的认证信息;
步骤107:认证服务器根据所述CA证书以及待认证主机根据CA证书产生的认证信息,验证所述待认证主机的合法性。
步骤108:合法性通过后,认证服务器根据预先得到的待认证主机的基准值对待认证主机的BIOS度量值、VMM度量值及OS度量值进行可信认证,将可信认证结果返回给认证管理平台,触发所述认证管理平台根据所述认证结果执行将所述待认证主机加入或不加入可信计算池。
可见,上述图1所示方法中,认证服务器能够对待认证的主机首先进行基于CA证书的合法性认证,在合法性认证通过后才基于BIOS度量值、VMM度量值、OS度量值进行可信认证,双重认证通过后,才会将待认证主机加入可信计算池,从而提高了可信计算池中主机的可信度。
在本发明一个实施例中,所述可信认证请求包括:主机添加请求、认证请求及主机移动请求中的任意一个。也就是说,认证服务器接收到主机添加请求、认证请求及主机移动请求时,都会启动进行对待认证主机的后续认证,从而确保请求的合法性从而减少对待认证主机的可信状态的更改。
在本发明一个实施例中,认证服务器进一步通过所述代理端程序获取所述待认证主机根据所述CA证书产生的EK公钥;根据获取的EK公钥产生EC,并发送给所述代理端程序;通过所述代理端程序获取所述待认证主机根据EC生成的AIK密钥;根据获取的AIK密钥产生所述证言身份证书(AIC);
这样,所述待认证主机根据CA证书产生的认证信息可以包括:所述待认证主机产生的AIC;
这样,认证服务器根据所述CA证书验证所述待认证主机的合法性包括:判断自身产生的AIC与获取的所述待认证主机的AIC是否相同,如果相同,则合法性通过。
本发明一个实施例提出了一种构建可信计算池的方法,应用于主机中,包括:
步骤201:待认证的主机接收并安装代理端程序,该代理端程序中包括CA证书;
步骤202:待认证的主机根据接收到的基准值收集命令,通过代理端程序将自身的基准值发送给认证服务器;
步骤203:待认证的主机根据所述CA证书产生认证信息;
步骤204:待认证的主机通过代理端程序将自身的BIOS度量值、VMM度量值、OS度量值,以及认证信息发送给认证服务器。
在本发明一个实施例中,步骤203中产生的认证信息包括:AIC;
并且,步骤203的过程可以包括:待认证的主机根据所述CA证书产生EK公钥,并发送给认证服务器;接收认证服务器根据EK公钥产生并发来的EC;根据接收到的EC生成AIK密钥,并发送给认证服务器,以及根据AIK密钥生成所述AIC。
本发明一个实施例提出了一种认证服务器,参见图3,包括:
代理端程序产生单元301,用于产生代理端程序,所述代理端程序中包括CA证书;
第一交互处理单元302,用于将代理端程序产生单元301所产生的代理端程序发送给待认证主机;向待认证主机的代理端程序发送基准值收集命令;接收待认证主机的基准值;通过待认证主机的代理端程序,获取所述待认证主机的BIOS度量值、VMM度量值、OS度量值,以及获取所述待认证主机根据CA证书产生的认证信息;
第二交互处理单元303,用于接收对所述待认证主机的可信认证请求;
合法性认证单元304,用于在所述第二交互处理单元303接收到所述可信认证请求后,根据代理端程序产生单元301所产生的所述CA证书以及第一交互处理单元302接收到的认证信息,验证所述待认证主机的合法性,
可信认证单元305,用于在所述合法性认证单元304合法性通过后,根据第一交互处理单元302得到的待认证主机的基准值对待认证主机的BIOS度量值、VMM度量值及OS度量值进行可信认证,将可信认证结果通过所述第二交互处理单元303返回给认证管理平台,触发所述认证管理平台根据所述认证结果执行将所述待认证主机加入或不加入可信计算池。
在本发明一个实施例中,所述合法性认证单元304中包括:
AIC获取子单元,所述AIC获取子单元通过所述第一交互处理单元302获取所述待认证主机根据所述CA证书产生的EK公钥;根据获取的EK公钥产生EC,并通过第一交互处理单元302发送给待认证主机的所述代理端程序;通过第一交互处理单元302获取所述待认证主机根据EC生成的AIK密钥;根据获取的AIK密钥产生所述AIC;
AIC认证子单元,判断AIC获取子单元产生的AIC与第一交互处理单元302获取的所述待认证主机的AIC是否相同,如果相同,则合法性通过。
本发明实施例还提出了一种主机,参见图4,包括:
代理端程序执行单元401,用于接收并安装代理端程序,该代理端程序中包括CA证书;
基准值处理单元402,用于根据接收到的基准值收集命令,通过代理端程序执行单元401将收集的基准值发送给认证服务器;
CA证书处理单元403,用于根据代理端程序执行单元401接收到的所述CA证书产生认证信息;
可信认证处理单元404,用于通过代理端程序执行单元401将BIOS度量值、VMM度量值、OS度量值,以及CA证书处理单元403所产生的认证信息发送给认证服务器。
所述CA证书处理单元403中包括:AIC生成子单元,用于根据所述代理端程序安装单元401获取的CA证书产生EK公钥,并发送给认证服务器;接收认证服务器根据EK公钥产生并发来的EC;根据接收到的EC生成AIK密钥,并发送给认证服务器,以及根据AIK密钥生成作为所述认证信息的AIC。
本发明一个实施例还提出了一种构建可信计算池的系统,参见图5,包括:
认证管理平台501,包括至少一个主机的可信计算池502,包括至少一个上述任意一种待认证主机的待检测主机区503,上述任意一种认证服务器504。
为了更加清楚地说明本发明实施例构建可信计算池的方法,下面结合系统中各个设备的配合过程进行详细说明,参见图5和图6,包括:
步骤601:认证服务器产生CA证书及代理端程序,在所述代理端程序中携带CA证书。
步骤602:认证服务器将所述代理端程序发送给待检测主机区中当前的待认证主机。
步骤603:待认证的主机接收并安装代理端程序,该代理端程序中包括CA证书。
步骤604:认证服务器接收到认证管理平台发来的主机添加信息请求,进行合法性检测,判定为合法请求后,向待认证主机的代理端程序发送基准值收集命令。
这里,认证服务器也可以是接收到认证管理平台发来的认证请求或者主机移动请求时,执行进行合法性检测,判定为合法请求后,向待认证主机的代理端程序发送基准值收集命令的处理。
步骤605:待认证的主机根据接收到的基准值收集命令,通过代理端程序将自身的基准值发送给认证服务器。
步骤606:认证服务器接收待认证主机的基准值。
步骤607:待认证的主机根据CA证书产生EK公钥,并发送给认证服务器。
步骤608:认证服务器根据EK公钥产生EC,并发送给待认证的主机的所述代理端程序。
步骤609:待认证的主机根据EC生成AIK密钥,并根据AIK生成AIC,将AIK发送给认证服务器。
步骤610:认证服务器通过待认证主机的代理端程序,获取所述待认证主机的BIOS度量值、VMM度量值、OS度量值,以及AIC。
步骤611:认证服务器根据自身生成的AIC以及待认证主机发来的AIC,验证所述待认证主机是否合法,如果是,执行步骤612,否则,结束当前流程。
步骤612:认证服务器根据基准值对待认证主机的BIOS度量值、VMM度量值及OS度量值进行可信认证,将可信认证结果返回给认证管理平台。
步骤613:认证管理平台根据所述认证结果,如何可信,将待检测主机区中当前待认证主机加入可信计算池中,否则不加入。
本发明各个实施例至少具有如下有益效果:
1、能够对待认证的主机首先进行基于CA证书的合法性认证,在合法性认证通过后才基于BIOS度量值、VMM度量值、OS度量值进行可信认证,双重认证通过后,才会将待认证主机加入可信计算池,从而提高了可信计算池中主机的可信度。
2、在本发明一个实施例中,对待认证主机的BIOS度量值、VMM度量值、OS度量值均进行与基准值的比较,以便进行可信认证,因此,能够进一步实现对文件的度量,比如对于配置文件、系统关键文件等的度量,进而提高可信计算池中主机的可信度。
3、在利用CA证书进行合法性认证时,本发明一个实施例中,由主机根据所述CA证书产生EK公钥;认证服务器根据获取的EK公钥产生EC;主机根据EC生成AIK密钥;认证服务器和主机分别根据AIK密钥产生AIC;然后判断两者的AIC与获取的所述待认证主机的AIC是否相同,如果相同,则合法性通过。此种基于CA证书的合法性认证过程,大大提高了合法性认证的安全性,进一步保证了可信计算池中主机的可信度。
4、认证服务器接收到主机添加请求、认证请求及主机移动请求中的任意一个时,都会启动后续的合法性认证及可信认证,以保证各种请求的合法性,从而避免待认证主机的虚假可信状态。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个〃〃〃〃〃〃”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.构建可信计算池的方法,其特征在于,包括:
产生代理端程序,所述代理端程序中包括CA证书;
将所述代理端程序发送给待认证主机,触发待认证主机进行所述代理端程序的安装;
向待认证主机的代理端程序发送基准值收集命令;
接收待认证主机的基准值;
接收对所述待认证主机的可信认证请求;
通过待认证主机的代理端程序,获取所述待认证主机的BIOS度量值、VMM度量值、OS度量值,以及获取所述待认证主机根据CA证书产生的认证信息;
根据所述CA证书以及待认证主机根据CA证书产生的认证信息,验证所述待认证主机的合法性,合法性通过后,根据预先得到的待认证主机的基准值对待认证主机的BIOS度量值、VMM度量值及OS度量值进行可信认证,将可信认证结果返回给认证管理平台,触发所述认证管理平台根据所述认证结果执行将所述待认证主机加入或不加入可信计算池。
2.根据权利要求1所述的方法,其特征在于,所述可信认证请求包括:主机添加请求、认证请求及主机移动请求中的任意一个。
3.根据权利要求1所述的方法,其特征在于,进一步包括:
通过所述代理端程序获取所述待认证主机根据所述CA证书产生的EK公钥;
根据获取的EK公钥产生EC,并发送给所述代理端程序;
通过所述代理端程序获取所述待认证主机根据EC生成的AIK密钥;
根据获取的AIK密钥产生所述证言身份证书AIC;
所述待认证主机根据CA证书产生的认证信息包括:所述待认证主机产生的AIC;
所述根据所述CA证书验证所述待认证主机的合法性包括:判断自身产生的AIC与获取的所述待认证主机的AIC是否相同,如果相同,则合法性通过。
4.构建可信计算池的方法,其特征在于,包括:
接收并安装代理端程序,该代理端程序中包括CA证书;
根据接收到的基准值收集命令,通过代理端程序将自身的基准值发送给认证服务器;
根据所述CA证书产生认证信息;
通过代理端程序将自身的BIOS度量值、VMM度量值、OS度量值,以及认证信息发送给认证服务器。
5.根据权利要求4所述的方法,其特征在于,所述认证信息包括:AIC;
所述根据所述CA证书产生认证信息包括:根据所述CA证书产生EK公钥,并发送给认证服务器;接收认证服务器根据EK公钥产生并发来的EC;根据接收到的EC生成AIK密钥,并发送给认证服务器,以及根据AIK密钥生成所述AIC。
6.一种认证服务器,其特征在于,包括:
代理端程序产生单元,用于产生代理端程序,所述代理端程序中包括CA证书;
第一交互处理单元,用于将代理端程序产生单元所产生的代理端程序发送给待认证主机;向待认证主机的代理端程序发送基准值收集命令;接收待认证主机的基准值;通过待认证主机的代理端程序,获取所述待认证主机的BIOS度量值、VMM度量值、OS度量值,以及获取所述待认证主机根据CA证书产生的认证信息;
第二交互处理单元,用于接收对所述待认证主机的可信认证请求;
合法性认证单元,用于在所述第二交互处理单元接收到所述可信认证请求后,根据代理端程序产生单元所产生的所述CA证书以及第一交互处理单元接收到的认证信息,验证所述待认证主机的合法性,
可信认证单元,用于在所述合法性认证单元合法性通过后,根据预先得到的待认证主机的基准值对待认证主机的BIOS度量值、VMM度量值及OS度量值进行可信认证,将可信认证结果返回给认证管理平台,触发所述认证管理平台根据所述认证结果执行将所述待认证主机加入或不加入可信计算池。
7.根据权利要求6所述的认证服务器,其特征在于,所述合法性认证单元中包括:
AIC获取子单元,所述AIC获取子单元通过所述第一交互单元获取所述待认证主机根据所述CA证书产生的EK公钥;根据获取的EK公钥产生EC,并通过第一交互处理单元发送给待认证主机的所述代理端程序;通过第一交互处理单元获取所述待认证主机根据EC生成的AIK密钥;根据获取的AIK密钥产生所述证言身份证书AIC;
AIC认证子单元,判断AIC获取子单元产生的AIC与第一交互处理单元获取的所述待认证主机的AIC是否相同,如果相同,则合法性通过。
8.一种主机,其特征在于,包括:
代理端程序执行单元,用于接收并安装代理端程序,该代理端程序中包括CA证书;
基准值处理单元,用于根据接收到的基准值收集命令,通过代理端程序执行单元将基准值发送给认证服务器;
CA证书处理单元,用于根据所述CA证书产生认证信息;
可信认证处理单元,用于通过代理端程序将BIOS度量值、VMM度量值、OS度量值,以及CA证书处理单元所产生的认证信息发送给认证服务器。
9.根据权利要求8所述的主机,其特征在于,所述CA证书处理单元中包括:AIC生成子单元,用于根据所述代理端程序安装单元获取的CA证书产生EK公钥,并发送给认证服务器;接收认证服务器根据EK公钥产生并发来的EC;根据接收到的EC生成AIK密钥,并发送给认证服务器,以及根据AIK密钥生成作为所述认证信息的AIC。
10.一种构建可信计算池的系统,其特征在于,包括:
认证管理平台,包括至少一个主机的可信计算池,包括至少一个如权利要求8或9所述的待认证主机的待检测主机区,如权利要求6或7所述的认证服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510324619.2A CN104935589A (zh) | 2015-06-12 | 2015-06-12 | 构建可信计算池的方法及系统、认证服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510324619.2A CN104935589A (zh) | 2015-06-12 | 2015-06-12 | 构建可信计算池的方法及系统、认证服务器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104935589A true CN104935589A (zh) | 2015-09-23 |
Family
ID=54122561
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510324619.2A Pending CN104935589A (zh) | 2015-06-12 | 2015-06-12 | 构建可信计算池的方法及系统、认证服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104935589A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105260289A (zh) * | 2015-11-02 | 2016-01-20 | 浪潮电子信息产业股份有限公司 | 一种可信服务器硬件平台可信状态提示方法 |
| CN105430008A (zh) * | 2015-12-24 | 2016-03-23 | 浪潮电子信息产业股份有限公司 | 计算池应用方法及系统、云管理平台、服务器、认证平台 |
| CN105956465A (zh) * | 2016-05-04 | 2016-09-21 | 浪潮电子信息产业股份有限公司 | 一种基于vtpm构建虚拟可信平台的方法 |
| CN106354550A (zh) * | 2016-11-01 | 2017-01-25 | 广东浪潮大数据研究有限公司 | 一种保护虚拟机安全的方法、装置及系统 |
| CN107894905A (zh) * | 2017-11-29 | 2018-04-10 | 郑州云海信息技术有限公司 | 一种基于bios的操作系统文件保护方法 |
| CN110278127A (zh) * | 2019-07-02 | 2019-09-24 | 成都安恒信息技术有限公司 | 一种基于安全传输协议的Agent部署方法及系统 |
| CN110543768A (zh) * | 2019-08-23 | 2019-12-06 | 苏州浪潮智能科技有限公司 | 一种在bios中控制可信根的方法和系统 |
| CN113132330A (zh) * | 2019-12-31 | 2021-07-16 | 华为技术有限公司 | 可信状态证明的方法和相关设备 |
| CN113791872A (zh) * | 2021-11-11 | 2021-12-14 | 北京信安世纪科技股份有限公司 | 基于云计算的认证方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1499365A (zh) * | 2002-11-06 | 2004-05-26 | ��ʿͨ��ʽ���� | 安全性判断方法、系统和设备,第一认证设备,以及计算机程序产品 |
| WO2013165811A1 (en) * | 2012-04-30 | 2013-11-07 | Cisco Technology, Inc. | System and method for secure provisioning of virtualized images in a network environment |
| CN104639516A (zh) * | 2013-11-13 | 2015-05-20 | 华为技术有限公司 | 身份认证方法、设备及系统 |
-
2015
- 2015-06-12 CN CN201510324619.2A patent/CN104935589A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1499365A (zh) * | 2002-11-06 | 2004-05-26 | ��ʿͨ��ʽ���� | 安全性判断方法、系统和设备,第一认证设备,以及计算机程序产品 |
| WO2013165811A1 (en) * | 2012-04-30 | 2013-11-07 | Cisco Technology, Inc. | System and method for secure provisioning of virtualized images in a network environment |
| CN104639516A (zh) * | 2013-11-13 | 2015-05-20 | 华为技术有限公司 | 身份认证方法、设备及系统 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105260289A (zh) * | 2015-11-02 | 2016-01-20 | 浪潮电子信息产业股份有限公司 | 一种可信服务器硬件平台可信状态提示方法 |
| CN105430008A (zh) * | 2015-12-24 | 2016-03-23 | 浪潮电子信息产业股份有限公司 | 计算池应用方法及系统、云管理平台、服务器、认证平台 |
| CN105956465A (zh) * | 2016-05-04 | 2016-09-21 | 浪潮电子信息产业股份有限公司 | 一种基于vtpm构建虚拟可信平台的方法 |
| CN106354550A (zh) * | 2016-11-01 | 2017-01-25 | 广东浪潮大数据研究有限公司 | 一种保护虚拟机安全的方法、装置及系统 |
| CN107894905A (zh) * | 2017-11-29 | 2018-04-10 | 郑州云海信息技术有限公司 | 一种基于bios的操作系统文件保护方法 |
| CN110278127A (zh) * | 2019-07-02 | 2019-09-24 | 成都安恒信息技术有限公司 | 一种基于安全传输协议的Agent部署方法及系统 |
| CN110278127B (zh) * | 2019-07-02 | 2020-12-01 | 成都安恒信息技术有限公司 | 一种基于安全传输协议的Agent部署方法及系统 |
| CN110543768A (zh) * | 2019-08-23 | 2019-12-06 | 苏州浪潮智能科技有限公司 | 一种在bios中控制可信根的方法和系统 |
| CN110543768B (zh) * | 2019-08-23 | 2021-07-27 | 苏州浪潮智能科技有限公司 | 一种在bios中控制可信根的方法和系统 |
| CN113132330A (zh) * | 2019-12-31 | 2021-07-16 | 华为技术有限公司 | 可信状态证明的方法和相关设备 |
| CN113132330B (zh) * | 2019-12-31 | 2022-06-28 | 华为技术有限公司 | 可信状态证明的方法、设备,证明服务器和可读存储介质 |
| CN113791872A (zh) * | 2021-11-11 | 2021-12-14 | 北京信安世纪科技股份有限公司 | 基于云计算的认证方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104935589A (zh) | 构建可信计算池的方法及系统、认证服务器 | |
| CN106330850B (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
| US20200092284A1 (en) | Authentication method and system | |
| US8533806B2 (en) | Method for authenticating a trusted platform based on the tri-element peer authentication(TEPA) | |
| CN105227319A (zh) | 一种验证服务器的方法及装置 | |
| CN106534160A (zh) | 基于区块链的身份认证方法及系统 | |
| CN110677376A (zh) | 认证方法、相关设备和系统及计算机可读存储介质 | |
| CN110096887B (zh) | 一种可信计算方法及服务器 | |
| CN110874494A (zh) | 密码运算处理方法、装置、系统及度量信任链构建方法 | |
| CN105306423A (zh) | 用于分布式web网站系统的统一登录方法 | |
| KR20080104594A (ko) | 오프라인 장치를 위한 온라인 인증서 검증 장치 및 방법 | |
| CN113395166A (zh) | 一种基于边缘计算的电力终端云边端协同安全接入认证方法 | |
| CN113709115B (zh) | 认证方法及装置 | |
| CN105553667A (zh) | 一种动态口令的生成方法 | |
| CN114444134A (zh) | 一种数据使用授权方法、系统及装置 | |
| CN111177693A (zh) | 一种验证终端根证书的方法、装置、设备和介质 | |
| CN104951366A (zh) | 一种移动终端应用程序登录方法和设备 | |
| CN108075895B (zh) | 一种基于区块链的节点许可方法和系统 | |
| CN104918245B (zh) | 一种身份认证方法、装置、服务器及客户端 | |
| CN111600701B (zh) | 一种基于区块链的私钥存储方法、装置及存储介质 | |
| CN110460609B (zh) | 终端应用与安全认证平台的双向认证方法及系统 | |
| CN104601532A (zh) | 一种登录账户的方法及装置 | |
| CN112583594A (zh) | 数据处理方法、采集设备和网关、可信平台及存储介质 | |
| CN115277240B (zh) | 一种物联网设备的认证方法及装置 | |
| CN107786553B (zh) | 基于工作量证明的身份认证方法、服务器及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150923 |
|
| WD01 | Invention patent application deemed withdrawn after publication |