(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211039791.X (22)申请日 2022.08.29 (71)申请人 深圳市证通电子股份有限公司 地址 518107 广东省深圳市光明区玉塘街 道田寮社区同观大道3号证通电子产 业园二期-101 申请人 深圳市证通云计算有限公司 　 长沙证通云计算有限公司 (72)发明人 尹旦　马兴旺　唐卓　 (74)专利代理 机构 湖南仁翰律师事务所 4325 0 专利代理师 邹灿 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) (54)发明名称 一种基于SM9的Openstack平台的虚拟机快 速认证方法 (57)摘要 本发明公开了一种基于SM9的Openstack平 台的虚拟机快速认证方法， 其包括在Openstack 云平台中增加组件SM9密钥生成中心； 创建虚拟 机， 获取虚拟机标识信息； 将用户私钥注入到虚 拟机中； 并将用户私钥加载到密钥管理模块中； 客户端发起登陆请求； 建立加密隧道； 客户端发 送用户名和密码给服务端； 调用密钥管理模块的 接口， 对虚拟机标识信息进行签名后发送给客户 端； 客户端使用虚拟机标识信息进行验签， 验签 通过则虚拟机认证成功， 建立网络协议连接。 本 发明通过把SM9标识密码算法直接集成在 Openstack云平台体系中， 并在虚拟机创建的过 程中实现了密钥注入， 有效降低云平台的使用成 本， 极大的提高云平台虚拟机的认证效率。 权利要求书2页 说明书5页 附图1页 CN 115396095 A 2022.11.25 CN 115396095 A 1.一种基于SM9的Openstack平台的虚拟机快速认证方法， 其特 征在于， 包括如下步骤： 在Openstack云平台 中增加组件SM9密钥生成中心； 创建虚拟机， 获取虚拟机标识信息； 获取虚拟机对应的用户私钥， 并将用户私钥注入到虚拟机中； 启动密钥管理模块， 并将用户私钥加载到密钥管理模块中； 客户端发起登陆请求； 建立加密隧道； 客户端发送用户名和密码给服 务端； 服务端验证用户名和密码通过后， 调用 密钥管理模块的接口， 对虚拟机标识信息进行 签名后发送给客户端； 客户端使用虚拟机标识信息进行验签， 验签通过则虚拟机认证成功， 建立网络协议连 接。 2.根据权利要求1所述的一种基于SM9的Openstack平台的虚拟机快速认证方法， 其特 征在于， 所述 步骤创建虚拟机， 获取虚拟机标识信息的方法， 具体操作为： 在Openstack云平台创建虚拟机， 通过消息队列向SM9密钥生成中心发送虚拟机密钥生 成指令和虚拟机标识信息 。 3.根据权利 要求1或2所述的一种基于SM9的Op enstack平台的虚拟机快速认证方法， 其 特征在于， 所述步骤获取虚拟机对应的用户私钥， 并将用户私钥注入到虚拟 机中的方法， 具 体操作为： 修改Openstack  nova源码中crypto.py等文件， 增 加对SM9标识加密算法的支持； SM9密钥生成中心以虚拟机标识信息为标识生成用户私钥， 获取虚拟机对应的用户私 钥； 对Cloud‑init流程代码进行修改， 使得Cloud ‑init向SM9密钥生成中心获取虚拟机对 应的用户私钥， 并将用户私钥注入到虚拟机中。 4.根据权利 要求1或2所述的一种基于SM9的Op enstack平台的虚拟机快速认证方法， 其 特征在于， 所述步骤启动启动密钥管 理模块， 并将用户私钥加载到密钥管理模块中的方法， 具体操作为： 启动Openstack云平台上创建的虚拟机， 虚拟机启动时密钥管理模块也会一并自动启 动， 虚拟机将用户私钥并加载到密钥管理模块中。 5.根据权利 要求1或2所述的一种基于SM9的Op enstack平台的虚拟机快速认证方法， 其 特征在于， 所述 步骤建立加密隧道的方法， 具体操作为： 步骤S161、 服务端与客户端进行会话， 服务端发送服务端支持的算法给客户端， 客户端 将客户端支持的算法与服务端支持的算法进行比对， 客户端与服务端确定协商需要的算 法； 步骤S162、 服务端利用DH算法与客户端通过会话方式协商出会话密钥， 以实现建立加 密隧道的操作。 6.根据权利要求5所述的一种基于SM9的Openstack平台的虚拟机快速认证方法， 其特 征在于： 所述 步骤S161之前， 还 包括 步骤S161 ‑1、 修改openssh源码中ssh ‑keyscan.c、 sshconnect2.c等文件， 增加SM2标识权　利　要　求　书 1/2 页 2 CN 115396095 A 2符。 7.根据权利 要求1或2所述的一种基于SM9的Op enstack平台的虚拟机快速认证方法， 其 特征在于， 所述步骤服务端验证用户名和密码通过后， 调用密钥管理模块的接口， 对虚拟机 标识信息进行签名后发送给客户端的方法， 具体操作为： 修改opens sh源码， 增 加基于SM9的服 务端验证方式； 服务端验证用户名和密码； 服务端调用密钥管理模块的接口， 对虚拟机标识信息进行签名； 服务端将签名后的虚拟机标识信息发送给客户端。 8.根据权利 要求1或2所述的一种基于SM9的Op enstack平台的虚拟机快速认证方法， 其 特征在于： 所述密钥生成中心设置在加密设备内。 9.根据权利 要求1或2所述的一种基于SM9的Op enstack平台的虚拟机快速认证方法， 其 特征在于： 所述虚拟机标识信息为虚拟机IP信息或虚拟机网卡mac地址信息 。 10.根据权利要求1或2所述的一种基于SM9的Openstack平台的虚拟机快速认证方法， 其特征在于： 所述密钥管理模块的接口为pytho n或Java。权　利　要　求　书 2/2 页 3 CN 115396095 A 3