【摘要】：云計(jì)算是一種新興的計(jì)算服務(wù)方式，以其便利、經(jīng)濟(jì)、高可擴(kuò)展性等優(yōu)勢(shì)，在各行業(yè)應(yīng)用中快速興起。用戶通過(guò)將計(jì)算任務(wù)和數(shù)據(jù)委托給云服務(wù)商，大大減輕了用戶計(jì)算和存儲(chǔ)的負(fù)擔(dān)。但與同時(shí)，這也意味著用戶對(duì)自己的計(jì)算任務(wù)和數(shù)據(jù)失去了控制，因此，云計(jì)算安全問(wèn)題已成為影響其發(fā)展的首要問(wèn)題。本文結(jié)合可信計(jì)算技術(shù)和虛擬機(jī)技術(shù)，從云基礎(chǔ)設(shè)施安全角度，構(gòu)建了一種安全、高效、通用的基于可信計(jì)算基（TCB）的可信云計(jì)算平臺(tái)（TCCP），對(duì)可信云計(jì)算平臺(tái)的安全體系結(jié)構(gòu)、可信云計(jì)算平臺(tái)完整性度量和保護(hù)、可信云計(jì)算平臺(tái)的遠(yuǎn)程證明以及可信云計(jì)算平臺(tái)云用戶的統(tǒng)一身份認(rèn)證4個(gè)方面內(nèi)容進(jìn)行了研究，取得了以下幾方面的創(chuàng)新性成果： 1．通過(guò)對(duì)平臺(tái)完整性度量和保護(hù)方法進(jìn)行全面的分析，明確提出了動(dòng)態(tài)完整性保護(hù)應(yīng)該建立在安全策略上的思想，為當(dāng)前無(wú)法依賴于動(dòng)態(tài)完整性度量方法保證系統(tǒng)動(dòng)態(tài)完整性的局面提供了一種重要的思路。為此，基于無(wú)干擾概念提出了一種非傳遞無(wú)干擾可信模型，并據(jù)此提出了一種動(dòng)態(tài)完整性保護(hù)模型即BIBA-BLP強(qiáng)制訪問(wèn)控制模型來(lái)實(shí)施可信云計(jì)算平臺(tái)組件間的信息流控制。在此基礎(chǔ)上，借鑒PRIMA架構(gòu)的信任鏈構(gòu)建方法，構(gòu)建了一套可信云計(jì)算平臺(tái)完整性保護(hù)框架，即靜態(tài)完整性保護(hù)框架和動(dòng)態(tài)完整性保護(hù)框架，既保證了平臺(tái)啟動(dòng)時(shí)的靜態(tài)完整性，同時(shí)又確保了平臺(tái)運(yùn)行時(shí)的動(dòng)態(tài)完整性。在構(gòu)建靜態(tài)完整性保護(hù)框架時(shí)，在現(xiàn)有硬件和軟件環(huán)境下，采用SRTM技術(shù)和DRTM技術(shù)，分別提出了一種基于TrustedGRUB和TBoot（Trusted Boot）的可信啟動(dòng)架構(gòu)，實(shí)現(xiàn)了平臺(tái)特權(quán)虛擬域Dom0靜態(tài)信任鏈和動(dòng)態(tài)信任鏈的擴(kuò)展，然后在此基礎(chǔ)上再構(gòu)建出了用戶虛擬域的可信啟動(dòng)信任鏈。而在構(gòu)建動(dòng)態(tài)完整性保護(hù)框架時(shí)，根據(jù)系統(tǒng)可信判斷條件著重從動(dòng)態(tài)完整性保護(hù)框架中可信通道的3個(gè)方面的安全要求進(jìn)行了實(shí)現(xiàn)，包括可信通道中組件的完整性保護(hù)、虛擬域之間的訪問(wèn)控制以及虛擬域敏感數(shù)據(jù)的安全存儲(chǔ)與訪問(wèn)。在實(shí)現(xiàn)可信通道組件完整性保護(hù)時(shí)，通過(guò)PTEs（Page Table Entities）的監(jiān)控，保證了信道中不安全組件的動(dòng)態(tài)完整性；在實(shí)現(xiàn)虛擬域之間的訪問(wèn)控制時(shí)，采用BIBA-BLP多級(jí)安全策略進(jìn)行信息流控制，保證了所有虛擬域的有效隔離；而在實(shí)現(xiàn)虛擬域敏感數(shù)據(jù)的安全存儲(chǔ)與訪問(wèn)時(shí)，采用本文提出的OOAP授權(quán)協(xié)議，確保了對(duì)受保護(hù)對(duì)象的訪問(wèn)都是經(jīng)過(guò)授權(quán)的，并防止了現(xiàn)有授權(quán)協(xié)議的已知安全漏洞。上述3方面的實(shí)現(xiàn)滿足了非傳遞無(wú)干擾可信的要求，達(dá)到了平臺(tái)運(yùn)行時(shí)可信的目標(biāo)。 2．基于可信計(jì)算技術(shù)和屬性簽名機(jī)制提出了一種簡(jiǎn)單、安全、高效的可信云計(jì)算平臺(tái)遠(yuǎn)程匿名證明協(xié)議——RAA-CCP協(xié)議。該協(xié)議不需雙線性對(duì)，也不需屬性證書(shū)和AIK證書(shū)，大大簡(jiǎn)化了證書(shū)的管理工作，并同時(shí)實(shí)現(xiàn)了計(jì)算節(jié)點(diǎn)的身份證明和完整性狀態(tài)證明。分析和實(shí)驗(yàn)表明，該協(xié)議具有不可偽造性、平臺(tái)身份匿名性、配置隱私保護(hù)性和抗共謀性，，即使在高安全強(qiáng)度下也具有很高運(yùn)行效率，很好地滿足了云環(huán)境下遠(yuǎn)程證明的安全需求和性能需求。然后，在此基礎(chǔ)上提出了用戶虛擬域遠(yuǎn)程證明協(xié)議和vTPM移植協(xié)議。對(duì)于用戶虛擬域的遠(yuǎn)程證明既證明了其所在的物理節(jié)點(diǎn)的可信性，同時(shí)又證明了其本身的可信性；而對(duì)于vTPM移植協(xié)議要求驗(yàn)證目的平臺(tái)至少具有與源平臺(tái)相同的安全屬性，然后在保密下進(jìn)行移植，保證了vTPM實(shí)例移植過(guò)程的安全和移植的目的平臺(tái)的安全。 3．基于PGP信任模型和RAA-CCP協(xié)議提出了一種簡(jiǎn)單、安全、可擴(kuò)展的云用戶身份統(tǒng)一認(rèn)證方案。該方案通過(guò)安全中間件的形式為各云服務(wù)提供了強(qiáng)安全身份認(rèn)證，并能簡(jiǎn)單地實(shí)現(xiàn)單點(diǎn)登錄（SSO）。方案中，根據(jù)PGP信任模型將公鑰管理與用戶管理結(jié)為一體，具有很強(qiáng)的靈活性，能滿足用戶數(shù)不斷增長(zhǎng)的需求，同時(shí)還能避免傳統(tǒng)基于PKI方法中煩瑣的證書(shū)管理工作；而基于RAA-CCP協(xié)議實(shí)現(xiàn)了無(wú)中心聯(lián)盟認(rèn)證，使得跨域認(rèn)證不再需要權(quán)威機(jī)構(gòu)的交叉認(rèn)證，避免了PKI中在證書(shū)路徑構(gòu)造和證書(shū)鏈有效性檢驗(yàn)時(shí)造成的大量計(jì)算，大大提高了聯(lián)盟認(rèn)證的效率。分析表明，該方案具有簡(jiǎn)單、安全、通用3大特性。并且，通過(guò)公鑰環(huán)數(shù)據(jù)同步還能進(jìn)一步提高方案運(yùn)行效率，并實(shí)現(xiàn)認(rèn)證服務(wù)器的自動(dòng)負(fù)載均衡，很好地滿足了云環(huán)境中身份認(rèn)證的需求。 總之，結(jié)合可信計(jì)算和虛擬機(jī)技術(shù)構(gòu)建可信云計(jì)算平臺(tái)，從真正意義上建立了一個(gè)可信的云環(huán)境，為用戶能真正享受到云計(jì)算帶來(lái)的價(jià)值提供了保障。本文的研究成果不僅為云計(jì)算安全的研究提供了支撐，還為基于可信計(jì)算的安全技術(shù)的研究方向提供了一定的借鑒。
[Abstract]:......
【學(xué)位授予單位】：華南理工大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位授予年份】：2014
【分類號(hào)】：TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前10條

1 沈晴霓;杜虹;卿斯?jié)h;;虛擬可信平臺(tái)層次化安全體系結(jié)構(gòu)設(shè)計(jì)[J];北京工業(yè)大學(xué)學(xué)報(bào);2010年05期

2 房晶;吳昊;白松林;;云計(jì)算的虛擬化安全問(wèn)題[J];電信科學(xué);2012年04期

3 石文昌,梁洪亮,孫玉芳;主體當(dāng)前敏感標(biāo)記動(dòng)態(tài)確定方案研究[J];電子學(xué)報(bào);2001年08期

4 劉孜文;馮登國(guó);;基于可信計(jì)算的動(dòng)態(tài)完整性度量架構(gòu)[J];電子與信息學(xué)報(bào);2010年04期

5 姚瑤;王興偉;;基于一致性哈希的Web跨域認(rèn)證優(yōu)化方案[J];東北師大學(xué)報(bào)(自然科學(xué)版);2013年02期

6 羅東俊;;一種面向Web Services的安全中間件[J];哈爾濱工業(yè)大學(xué)學(xué)報(bào);2009年09期

7 張相鋒,孫玉芳;Biba模型中嚴(yán)格完整性政策的動(dòng)態(tài)實(shí)施[J];計(jì)算機(jī)研究與發(fā)展;2005年05期

8 李曉勇;韓臻;沈昌祥;;Windows環(huán)境下信任鏈傳遞及其性能分析[J];計(jì)算機(jī)研究與發(fā)展;2007年11期

9 趙佳;沈昌祥;劉吉強(qiáng);韓臻;;基于無(wú)干擾理論的可信鏈模型[J];計(jì)算機(jī)研究與發(fā)展;2008年06期

10 劉皖;譚明;陳興蜀;;TPM的兩個(gè)主要密碼授權(quán)協(xié)議的安全性分析與改進(jìn)[J];計(jì)算機(jī)科學(xué);2008年03期

本文編號(hào)：2358379