用于云基础设施系统中计算节点授权的边缘证明的制作方法

所公开的技术涉及云计算认证。更具体而言，所公开的技术涉及例如在向新加入云计算环境的主机节点授予网络访问权限之前，利用该环境的边缘组件对该新主机节点进行认证。

背景技术：

1、在数据中心环境中，可以添加新组件(例如，服务器)作为新主机设备。可以将新组件添加到云计算环境中以增加云环境中的计算资源或为在云环境中的组件上执行的应用/服务提供附加功能。新组件可以物理连接到数据中心环境中的其他设备，从而连接实现云计算环境的多个设备。例如，主机托管中心(colocation center)可以提供容纳实现云计算环境的组件的数据中心环境。

2、但是，在许多情况下，数据中心环境(例如，主机托管中心)可以容纳其他实体的计算设备/数据中心。在这种情况下，另一个实体可以访问容纳实现云计算环境的组件的数据中心环境附近的区域。例如，另一个实体可以在未经授权的情况下恶意地将设备连接到数据中心环境。在不需要任何核实处理的情况下，连接的设备就可以访问云计算环境中私有维护的数据和/或服务。

技术实现思路

1、本实施例涉及主机节点访问云基础设施环境的边缘证明。第一示例性实施例提供了一种用于主机节点访问云基础设施环境的证明的方法。该方法可以包括从控制台获得用于对主机节点进行授权的认证数据集合。该认证数据集合可以包括第一背书密钥和识别主机节点的特性的认证策略。认证策略可以包括第一平台配置寄存器(pcr)值。

2、该方法还可以包括从主机节点获得对用以连接到云基础设施环境的网络地址的请求。该方法还可以包括从主机节点接收第二背书密钥。该方法还可以包括将第二背书密钥与在认证数据集合中接收到的第一背书密钥进行比较，以验证第二背书密钥。

3、该方法还可以包括从主机节点接收主机节点认证数据集合。该主机节点认证数据集合可以包括第二pcr值，该第二pcr值包括主机节点的启动过程期间的散列寄存器值。该方法还可以包括将接收到的主机节点认证数据与在认证数据集合中接收到的认证策略进行比较，以通过确定第一pcr值是否与第二pcr值匹配来验证接收到的主机节点认证数据。该方法还可以包括响应于验证第二背书密钥和接收到的主机节点认证数据，向主机节点提供网络地址。主机节点可以被配置为使用网络地址连接到云基础设施环境。

4、第二示例性实施例涉及一种云基础设施节点。该云基础设施节点可以包括处理器和非暂态计算机可读介质。非暂态计算机可读介质可以包括指令，该指令在由处理器执行时，使得处理器从控制台获得用于对主机节点进行授权的认证数据集合。该认证数据集合包括第一背书密钥和识别主机节点的特性的认证策略。该指令还可以使得处理器从主机节点获得对用以连接到云基础设施环境的网络地址的请求。

5、该指令还可以使得处理器向主机节点发送对第二背书密钥的请求。该指令还可以使得处理器从主机节点接收第二背书密钥。该指令还可以使得处理器将第二背书密钥与在认证数据集合中接收到的第一背书密钥进行比较，以验证第二背书密钥。该指令还可以使得处理器向主机节点发送对主机节点认证数据的请求。该指令还可以使得处理器从主机节点接收主机节点认证数据。

6、该指令还可以使得处理器将接收到的主机节点认证数据与在认证数据集合中接收到的认证策略进行比较，以验证接收到的主机节点认证数据。该指令还可以使得处理器响应于验证第二背书密钥和接收到的主机节点认证数据，向主机节点提供网络地址。主机节点可以被配置为使用网络地址连接到云基础设施环境。

7、第三示例性实施例涉及一种非暂态计算机可读介质。该非暂态计算机可读介质可以包括存储在其上的指令序列，该指令序列在由处理器执行时，使得处理器执行处理。该处理可以包括从控制台获得用于对主机节点进行授权的认证数据集合。该认证数据集合包括第一背书密钥和识别主机节点的特性的认证策略。该处理还可以包括从主机节点获得对用以连接到云基础设施环境的网络地址的请求。

8、该处理还可以包括从主机节点接收对预启动执行环境客户端的请求。该处理还可以包括向主机节点提供预启动执行环境客户端，其中主机节点被配置为使用预启动执行环境客户端来执行启动过程。

9、该处理还可以包括从主机节点接收第二背书密钥。该处理还可以包括将第二背书密钥与在认证数据集合中接收到的第一背书密钥进行比较，以验证第二背书密钥。该处理还可以包括从主机节点接收使用预启动执行环境客户端在启动过程期间导出的主机节点认证数据集合。

10、该处理还可以包括将接收到的主机节点认证数据与在认证数据集合中接收到的认证策略进行比较，以验证接收到的主机节点认证数据。该处理还可以包括响应于验证第二背书密钥和接收到的主机节点认证数据，向主机节点提供网络地址。主机节点可以被配置为使用网络地址连接到云基础设施环境。

技术特征：

1.一种用于主机节点访问云基础设施环境的证明的方法，所述方法包括：

2.如权利要求1所述的方法，其中第一背书密钥和第二背书密钥是公共证明身份密钥。

3.如权利要求1或权利要求2所述的方法，其中所述云基础设施节点是部署在数据中心处的边缘节点。

4.如前述权利要求中的任一项所述的方法，其中，将第二背书密钥与在认证数据集合中接收到的第一背书密钥进行比较以验证第二背书密钥还包括确定第二背书密钥中的至少一个值与第一背书密钥中的对应值匹配。

5.如前述权利要求中的任一项所述的方法，其中所述方法还包括：

6.如前述权利要求中的任一项所述的方法，其中所述方法还包括：

7.如前述权利要求中的任一项所述的方法，其中，响应于主机节点连接到包括实现云基础设施环境的一个或多个计算设备的数据中心环境，从主机节点获得对网络地址的请求。

8.一种云基础设施节点，包括：

9.如权利要求8所述的云基础设施节点，其中第二背书密钥是公共证明身份密钥。

10.如权利要求8或权利要求9所述的云基础设施节点，其中，将第二背书密钥与在认证数据集合中接收到的第一背书密钥进行比较以验证第二背书密钥还包括确定第二背书密钥中的至少一个值与第一背书密钥中的对应值匹配。

11.如权利要求8至10中的任一项所述的云基础设施节点，其中所述非暂态计算机可读介质包括指令，所述指令进一步使得所述处理器：

12.如权利要求8至11中的任一项所述的云基础设施节点，其中，将接收到的主机节点认证数据与在认证数据集合中接收到的认证策略进行比较以验证接收到的认证数据还包括：

13.如权利要求8至12中的任一项所述的云基础设施节点，其中所述非暂态计算机可读介质包括指令，所述指令进一步使得所述处理器：

14.如权利要求8至13中的任一项所述的云基础设施节点，其中，响应于主机节点连接到包括实现云基础设施环境的一个或多个计算设备的数据中心环境，从主机节点获得对网络地址的请求。

15.一种非暂态计算机可读介质，其上存储有指令序列，所述指令序列在由处理器执行时，使得所述处理器执行处理，所述处理包括：

16.如权利要求15所述的非暂态计算机可读介质，其中第二背书密钥是公共证明身份密钥。

17.如权利要求15或权利要求16所述的非暂态计算机可读介质，其中将第二背书密钥与在认证数据集合中接收到的第一背书密钥进行比较以验证第二背书密钥还包括确定第二背书密钥中的至少一个值与第一背书密钥中的对应值匹配。

18.如权利要求15至17中的任一项所述的非暂态计算机可读介质，其中将接收到的主机节点认证数据集合与在认证数据集合中接收到的认证策略进行比较以验证接收到的认证数据还包括：

19.如权利要求15至18中的任一项所述的非暂态计算机可读介质，其中所述处理还包括：

20.如权利要求15至19中的任一项所述的非暂态计算机可读介质，其中，响应于主机节点连接到包括实现云基础设施环境的一个或多个计算设备的数据中心环境，从主机节点获得对网络地址的请求。

技术总结本实施例涉及主机节点访问云基础设施环境的边缘证明。可以从控制台获得认证数据集合，用于对主机节点进行授权。该认证数据集合可以包括第一背书密钥和识别主机节点的特性的认证策略。主机节点可以发送对用以连接到云基础设施环境的网络地址的请求。主机节点可以生成第二背书密钥和认证数据，该第二背书密钥和认证数据可以被核实为与从控制台接收到的认证数据集合对应。响应于对第二背书密钥和接收到的主机节点认证数据的验证，可以将网络地址提供给主机节点，该主机节点可以用于使用该网络地址连接到云基础设施环境。技术研发人员：B·S·佩恩受保护的技术使用者：甲骨文国际公司技术研发日：技术公布日：2024/8/1