一種基于國產(chǎn)密碼技術(shù)的虛擬機(jī)安全認(rèn)證的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明公開一種虛擬機(jī)安全認(rèn)證的方法��,屬于計(jì)算機(jī)技術(shù)安全領(lǐng)域���,具體地說是一種基于國產(chǎn)密碼技術(shù)的虛擬機(jī)安全認(rèn)證的方法。
【背景技術(shù)】
[0002]云計(jì)算和虛擬技術(shù)的廣泛使用�����,可以有效節(jié)省物理硬件設(shè)備的投入,充分利用物理硬件設(shè)備的硬件資源�����,從而達(dá)到節(jié)能��、減排和提升效率的目的��。在云計(jì)算環(huán)境下�����,通過生成和管理一個個虛擬機(jī)來達(dá)到為用戶提供應(yīng)用服務(wù)����。云計(jì)算通過部署大量的虛擬機(jī)提供服務(wù),其虛擬機(jī)與虛擬機(jī)之間的信息交換均采用明文進(jìn)行交換���,但是同時卻不能確認(rèn)每一個虛擬機(jī)都是真實(shí)可信的�,而且目前缺乏必要的安全認(rèn)證管理措施��,在終端用戶使用服務(wù)或虛擬機(jī)中的資源時��,亦不能建立有效的訪問控制機(jī)制�,直接導(dǎo)致云計(jì)算的服務(wù)存在身份無法確認(rèn)、數(shù)據(jù)明文傳輸時有安全隱患等一系列的安全問題�。為保證云計(jì)算內(nèi)外部之間的可信交互,提升云計(jì)算安全管理能力�����,防止云計(jì)算資源的非法竊取��,本發(fā)明提供了一種基于國產(chǎn)密碼技術(shù)的虛擬機(jī)安全認(rèn)證的方法���,基于國產(chǎn)密碼技術(shù)�,結(jié)合電子認(rèn)證�、可信計(jì)算技術(shù),建立適合云計(jì)算應(yīng)用需求的安全認(rèn)證資源池���,來滿足身份認(rèn)證�����、訪問控制和數(shù)據(jù)加密傳輸?shù)陌踩珣?yīng)用���,解決云計(jì)算環(huán)境中各虛擬機(jī)的身份認(rèn)證、訪問控制和數(shù)據(jù)加密傳輸問題�,防止身份假冒��,以及非法的資源訪問和傳輸數(shù)據(jù)的泄密�����,對于身份真實(shí)性進(jìn)行鑒別��,是解決云計(jì)算安全的最有效的方案�,而且方便易用���。
【發(fā)明內(nèi)容】
[0003]本發(fā)明針對目前終端用戶使用服務(wù)或虛擬機(jī)中的資源時�,不能建立有效的訪問控制機(jī)制���,云計(jì)算的服務(wù)存在身份無法確認(rèn)�����、數(shù)據(jù)明文傳輸時有安全隱患等一系列的安全問題���,提供一種基于國產(chǎn)密碼技術(shù)的虛擬機(jī)安全認(rèn)證的方法,基于國產(chǎn)密碼技術(shù)�����,結(jié)合電子認(rèn)證����、可信計(jì)算技術(shù),建立適合云計(jì)算應(yīng)用需求的安全認(rèn)證資源池���,來滿足身份認(rèn)證�、訪問控制和數(shù)據(jù)加密傳輸?shù)陌踩珣?yīng)用����,解決云計(jì)算環(huán)境中各虛擬機(jī)的身份認(rèn)證、訪問控制和數(shù)據(jù)加密傳輸問題���。
[0004]本發(fā)明提出的具體方案是:
一種基于國產(chǎn)密碼技術(shù)的虛擬機(jī)安全認(rèn)證的方法�,通過建立基于云計(jì)算的安全認(rèn)證資源池���,對虛擬機(jī)進(jìn)行安全認(rèn)證�����;安全認(rèn)證資源池由物理設(shè)備層和中間件層組成�,物理設(shè)備層通過設(shè)備實(shí)現(xiàn)基本功能���,中間件層實(shí)現(xiàn)數(shù)字證書的認(rèn)證�����、密鑰加解密的功能����,物理設(shè)備層與虛擬機(jī)通過中間件層進(jìn)行通信;
國家電子認(rèn)證體系簽發(fā)可信根證書給安全認(rèn)證資源池�����,安全認(rèn)證資源池再分配數(shù)字證書給虛擬機(jī)�,用于與其他虛擬機(jī)或終端用戶進(jìn)行身份認(rèn)證、加密通信�����,在與其他虛擬機(jī)或終端用戶進(jìn)行信息交換時��,采用數(shù)字證書識別雙方的身份���,未能驗(yàn)證通過的不能訪問��;在進(jìn)行信息交換的時候�,由安全認(rèn)證資源池為虛擬機(jī)提供身份認(rèn)證、訪問控制和數(shù)據(jù)加密傳輸服務(wù)�。
[0005]所述虛擬機(jī)簽發(fā)數(shù)據(jù)證書的過程為:虛擬機(jī)與安全認(rèn)證資源池建立通信,將虛擬機(jī)的名稱提供給安全認(rèn)證資源池����,安全認(rèn)證資源池分配虛擬機(jī)的數(shù)字證書����,通過安裝在虛擬機(jī)操作系統(tǒng)中的驅(qū)動來實(shí)現(xiàn)自動加載導(dǎo)入。
[0006]所述虛擬機(jī)與其他虛擬機(jī)進(jìn)行身份認(rèn)證����,先進(jìn)行數(shù)字證書的交換,再各自通過安全認(rèn)證資源池內(nèi)的可信根證書驗(yàn)證交換得到的虛擬機(jī)的數(shù)字證書是否與可信根證書分配的一致�。
[0007]所述虛擬機(jī)與其他虛擬機(jī)或終端用戶加密通信,所有交互的數(shù)據(jù)信息�����,均采用數(shù)字信封技術(shù)和數(shù)字簽名技術(shù)��,實(shí)現(xiàn)信息的加密傳輸和完整性校驗(yàn)�。
[0008]所述虛擬機(jī)與其他虛擬機(jī)進(jìn)行加密通信的過程為:通信的虛擬機(jī)雙方生成私鑰和對稱密鑰,第一個虛擬機(jī)將接收明文數(shù)據(jù)生成第一個消息摘要,利用自身的私鑰加密后生成第一個數(shù)據(jù)簽名�,同時明文數(shù)據(jù)利用對稱密鑰加密后生成密文數(shù)據(jù),利用第二個虛擬機(jī)的數(shù)字證書將對稱密鑰加密生成數(shù)字信封����;數(shù)字信封利用第二個虛擬機(jī)的私鑰解密為對稱密鑰,然后第二個虛擬機(jī)將接收的密文數(shù)據(jù)利用對稱密鑰解密為明文數(shù)據(jù)��,再生成第二個消息摘要�����,第一個數(shù)字簽名利用第一個虛擬機(jī)的數(shù)字證書解密第一個消息摘要與第二個消息摘要對比���,一致則通過��。
[0009]所述安全認(rèn)證資源池的可信根證書包含所在的云計(jì)算的名稱����、域名的信息���;虛擬機(jī)的數(shù)字證書包含虛擬機(jī)的名稱信息�。
[0010]所述安全認(rèn)證資源池支持國產(chǎn)密碼算法�����,包括SM1、SM2����、SM3、SM4�����。
[0011]本發(fā)明的有益之處是:本發(fā)明基于云計(jì)算���,設(shè)置安全認(rèn)證資源池,國家電子認(rèn)證體系簽發(fā)可信根證書�����,并且安全認(rèn)證資源池為每個虛擬機(jī)簽發(fā)數(shù)字證書���,通過虛擬機(jī)操作系統(tǒng)中的驅(qū)動程序?qū)崿F(xiàn)與數(shù)字證書的綁定�����,使虛擬機(jī)與虛擬機(jī)之間�����、虛擬機(jī)與終端用戶之間����,所有交互的數(shù)據(jù)信息,均采用數(shù)字信封技術(shù)和數(shù)字簽名技術(shù)���,實(shí)現(xiàn)信息的加密傳輸和完整性校驗(yàn)����,保證傳輸?shù)男畔⒌谌娇床坏?���,同時也保證傳輸?shù)男畔⒉粊G失,來滿足身份認(rèn)證����、訪問控制和數(shù)據(jù)加密傳輸?shù)陌踩珣?yīng)用,解決云計(jì)算環(huán)境中各虛擬機(jī)的身份認(rèn)證����、訪問控制和數(shù)據(jù)加密傳輸問題,防止身份假冒���,以及非法的資源訪問和傳輸數(shù)據(jù)的泄密�,對于身份真實(shí)性進(jìn)行鑒別,是解決云計(jì)算安全的最有效的方案��,而且方便易用���。
【附圖說明】
[0012]圖1本發(fā)明安全認(rèn)證資源池的組成框架示意圖�����;
圖2本發(fā)明虛擬機(jī)數(shù)字證書簽發(fā)流程示意圖��;
圖3本發(fā)明虛擬機(jī)之間身份認(rèn)證示意圖���;
圖4本發(fā)明安全認(rèn)證資源池內(nèi)虛擬機(jī)之間數(shù)據(jù)加密傳輸和簽名驗(yàn)簽示意圖��。
【具體實(shí)施方式】
[0013]結(jié)合附圖對本發(fā)明做進(jìn)一步說明�����。
[0014]一種基于國產(chǎn)密碼技術(shù)的虛擬機(jī)安全認(rèn)證的方法��,通過建立基于云計(jì)算的安全認(rèn)證資源池���,其中安全認(rèn)證資源池支持國產(chǎn)密碼算法���,包括SM1��、SM2����、SM3���、SM4���,對虛擬機(jī)進(jìn)行安全認(rèn)證;安全認(rèn)證資源池由物理設(shè)備層和中間件層組成�����,物理設(shè)備層通過設(shè)備實(shí)現(xiàn)基本功