技術領域

本發明涉及網絡通信技術領域，特別涉及構建可信計算池的方法及系統、認證服務器。

背景技術

隨著云計算技術的發展，虛擬化安全問題越來越受到重視，由于傳統的安全檢測方式都是對系統進行安全防御或發生攻擊時進行處理，沒有對系統本身的計算環境進行有效的度量，而現在熱門的可信計算技術在傳統物理主機中得到了快速發展，因此，在云環境中構建可信計算池成為急需解決的技術問題。

發明內容

本發明提供構建可信計算池的方法及系統、認證服務器及主機，能夠在云環境中構建可信計算池。

構建可信計算池的方法，應用于認證服務器中，包括：

產生代理端程序，所述代理端程序中包括CA證書；

將所述代理端程序發送給待認證主機，觸發待認證主機進行所述代理端程序的安裝；

向待認證主機的代理端程序發送基準值收集命令；

接收待認證主機的基準值；

接收對所述待認證主機的可信認證請求；

通過待認證主機的代理端程序，獲取所述待認證主機的基本輸入輸出(Basic?Input?Output?System，BIOS)度量值、虛擬機監視器(Virtual?Machine?Monitor，VMM)度量值、操作系統(OS)度量值，以及獲取所述待認證主機根據CA證書產生的認證信息；

根據所述CA證書以及待認證主機根據CA證書產生的認證信息，驗證所述待認證主機的合法性，合法性通過后，根據預先得到的待認證主機的基準值對待認證主機的BIOS度量值、VMM度量值及OS度量值進行可信認證，將可信認證結果返回給認證管理平臺，觸發所述認證管理平臺根據所述認證結果執行將所述待認證主機加入或不加入可信計算池。

所述可信認證請求包括：主機添加請求、認證請求及主機移動請求中的任意一個。

進一步包括：

通過所述代理端程序獲取所述待認證主機根據所述CA證書產生的EK公鑰；

根據獲取的EK公鑰產生EC，并發送給所述代理端程序；

通過所述代理端程序獲取所述待認證主機根據EC生成的AIK密鑰；

根據獲取的AIK密鑰產生所述證言身份證書AIC；

所述待認證主機根據CA證書產生的認證信息包括：所述待認證主機產生的AIC；

所述根據所述CA證書驗證所述待認證主機的合法性包括：判斷自身產生的AIC與獲取的所述待認證主機的AIC是否相同，如果相同，則合法性通過。

構建可信計算池的方法，應用于主機中，包括：

接收并安裝代理端程序，該代理端程序中包括CA證書；

根據接收到的基準值收集命令，通過代理端程序將自身的基準值發送給認證服務器；

根據所述CA證書產生認證信息；

通過代理端程序將自身的BIOS度量值、VMM度量值、OS度量值，以及認證信息發送給認證服務器。

所述認證信息包括：AIC；

所述根據所述CA證書產生認證信息包括：根據所述CA證書產生EK公鑰，并發送給認證服務器；接收認證服務器根據EK公鑰產生并發來的EC；根據接收到的EC生成AIK密鑰，并發送給認證服務器，以及根據AIK密鑰生成所述AIC。

一種認證服務器，包括：

代理端程序產生單元，用于產生代理端程序，所述代理端程序中包括CA證書；

第一交互處理單元，用于將代理端程序產生單元所產生的代理端程序發送給待認證主機；向待認證主機的代理端程序發送基準值收集命令；接收待認證主機的基準值；通過待認證主機的代理端程序，獲取所述待認證主機的BIOS度量值、VMM度量值、OS度量值，以及獲取所述待認證主機根據CA證書產生的認證信息；

第二交互處理單元，用于接收對所述待認證主機的可信認證請求；

合法性認證單元，用于在所述第二交互處理單元接收到所述可信認證請求后，根據代理端程序產生單元所產生的所述CA證書以及第一交互處理單元接收到的認證信息，驗證所述待認證主機的合法性，

可信認證單元，用于在所述合法性認證單元合法性通過后，根據預先得到的待認證主機的基準值對待認證主機的BIOS度量值、VMM度量值及OS度量值進行可信認證，將可信認證結果返回給認證管理平臺，觸發所述認證管理平臺根據所述認證結果執行將所述待認證主機加入或不加入可信計算池。

所述合法性認證單元中包括：