[发明专利]虚拟客户端设备的完整性认证方法及装置

权利要求书

1.一种虚拟客户端设备的完整性认证方法，其特征在于，由SD-WAN控制器执行，包括：

接收物理客户端设备发送的其创建的虚拟客户端设备的身份信息，所述身份信息由所述物理客户端设备采用其创建的身份验证密钥进行签名；

根据所述身份信息，向所述虚拟客户端设备发送完整性挑战信令；

接收所述虚拟客户端设备发送的第一完整性度量列表，所述第一完整性度量列表由所述虚拟客户端设备利用完整性度量体系结构生成并利用虚拟可信计算芯片签名；

根据所述第一完整性度量列表对所述虚拟客户端设备进行完整性认证；

若所述虚拟客户端设备的完整性认证通过，向所述虚拟客户端设备发送指示信息，所述指示信息用于指示所述虚拟客户端设备所在的物理客户端设备的可信性。

2.根据权利要求1所述的方法，其特征在于，接收物理客户端设备发送的其创建的虚拟客户端设备的身份信息之前还包括：

向所述物理客户端设备发送完整性挑战信令；

接收所述物理客户端设备发送的第二完整性度量列表，所述第二完整性度量列表由所述物理客户端设备利用完整性度量体系结构生成并利用可信计算芯片签名；

根据所述第二完整性度量列表对所述物理客户端设备进行完整性认证；

若所述物理客户端设备的完整性认证通过，向所述物理客户端设备发送完整性挑战结果，所述完整性挑战结果中携带允许所述物理客户端设备创建虚拟客户端设备的指示。

3.根据权利要求1所述的方法，其特征在于，向所述虚拟客户端设备发送指示信息之后还包括：

接收所述虚拟客户端设备发送的安全能力请求信息；

根据所述安全能力请求信息，向所述虚拟客户端设备下发安全能力。

4.根据权利要求1所述的方法，其特征在于，向所述虚拟客户端设备发送完整性挑战信令之前还包括：

与所述虚拟客户端设备通过VxLAN VPN建立连接。

5.一种虚拟客户端设备的完整性认证方法，其特征在于，由客户端设备执行，包括：

物理客户端设备创建虚拟客户端设备和所述虚拟客户端设备的身份验证密钥对；

所述物理客户端设备采用身份验证密钥对所述虚拟客户端设备的身份信息进行签名，并将签名后的身份信息发送给SD-WAN控制器；

所述虚拟客户端设备接收所述SD-WAN控制器发送的完整性挑战信令；

所述虚拟客户端设备根据接收到的完整性挑战信令，利用完整性度量体系结构生成第一完整性度量列表，并利用虚拟可信计算芯片对所述第一完整性度量列表进行签名；

所述虚拟客户端设备向所述SD-WAN控制器发送所述第一完整性度量列表；

所述虚拟客户端设备接收所述SD-WAN控制器发送的指示信息，所述指示信息用于指示所述虚拟客户端设备所在的物理客户端设备的可信性。

6.根据权利要求5所述的方法，其特征在于，物理客户端设备创建虚拟客户端设备和所述虚拟客户端设备的身份验证密钥对之前还包括：

所述物理客户端设备接收SD-WAN控制器发送的完整性挑战信令；

所述物理客户端设备根据接收到的完整性挑战信令，利用完整性度量体系结构生成第二完整性度量列表，并利用可信计算芯片对所述第二完整性度量列表进行签名；

所述物理客户端设备向所述SD-WAN控制器发送所述第二完整性度量列表；

所述物理客户端设备接收所述SD-WAN控制器发送的完整性挑战结果，所述完整性挑战结果中携带允许所述物理客户端设备创建虚拟客户端设备的指示。

7.根据权利要求5所述的方法，其特征在于，所述虚拟客户端设备接收所述SD-WAN控制器发送的指示信息之后还包括：

向所述SD-WAN控制器发送安全能力请求信息；

接收所述SD-WAN控制器下发的安全能力。

8.根据权利要求5所述的方法，其特征在于，所述虚拟客户端设备接收所述SD-WAN控制器发送的完整性挑战信令之前还包括：

通过VxLAN VPN建立所述虚拟客户端设备与所述SD-WAN控制器的连接。