【摘要】：為建立用戶對(duì)云服務(wù)的信任,構(gòu)建了一種提供可信基礎(chǔ)設(shè)施即服務(wù)(IaaS)的云計(jì)算平臺(tái)。針對(duì)虛擬化層Hypervisor的特點(diǎn),為IaaS云計(jì)算平臺(tái)構(gòu)建信任鏈。采用順序的加載時(shí)度量方式建立由可信根至GuestOS kernel的信任鏈。對(duì)于管理虛擬機(jī)上動(dòng)態(tài)加載的應(yīng)用軟件,采用基于可信可執(zhí)行程序列表的無(wú)序度量方式實(shí)現(xiàn)對(duì)應(yīng)用程序的完整性度量,從而建立完整的信任鏈。設(shè)計(jì)協(xié)議允許用戶將其虛擬機(jī)鏡像與云計(jì)算平臺(tái)的完整性綁定,保證用戶虛擬機(jī)開(kāi)啟在可信的IaaS平臺(tái)。基于Xen系統(tǒng)和Linux內(nèi)核實(shí)現(xiàn)了度量機(jī)制。實(shí)驗(yàn)結(jié)果表明,該方案具有較小性能開(kāi)銷(xiāo)。
【圖文】：

（Ｓｉ＋１）＝０。以ＶＭＭ和Ｄｏｍ０ｋｅｒｎｅｌ的度量過(guò)程為例，Ｉｉ表示ＧＲＵＢＳｔａｇｅ２的完整性，Ｖｉ（Ｓｉ＋１）包含Ｓｔａｇｅ２對(duì)Ｘｅｎ和Ｄｏｍ０ｋｅｒ－ｎｅｌ的哈希計(jì)算和驗(yàn)證，如果驗(yàn)證通過(guò)，則Ｉｉ＋１＝１，加載Ｘｅｎ系統(tǒng)，然后進(jìn)入Ｄｏｍ０的ｋｅｒｎｅｌ。為了實(shí)現(xiàn)上述功能，在ＧＲＵＢ中添加了完整性驗(yàn)證模塊，提供完整性計(jì)算和驗(yàn)證功能。綜上所述，ＰＭ從加電引導(dǎo)到Ｄｏｍ０上可執(zhí)行程序的信任傳遞過(guò)程如圖１所示。ＰＭ的度量列表ＭＬ安全存儲(chǔ)在ＴＰＭ中，云用戶可以向ＰＭ平臺(tái)發(fā)送ｎｏｎｃｅ，就能獲得該平臺(tái)ＰＣＲ的簽名集。用戶自己或委托可信第三方通過(guò)檢查隨機(jī)數(shù)匹配和驗(yàn)證ＭＬ的簽名識(shí)別可信ＩａａＳ平臺(tái)。圖１云計(jì)算平臺(tái)信任鏈傳遞過(guò)程１．２基于可信可執(zhí)行程序列表的可信度量由于Ｄｏｍ０可能為ＤｏｍＵ特定的業(yè)務(wù)需求定制特定的服務(wù)和應(yīng)用，這些服務(wù)和應(yīng)用的裝載運(yùn)行沒(méi)有嚴(yán)格的時(shí)間順序限制，具有動(dòng)態(tài)性的特點(diǎn)，因此，從ＧｕｅｓｔＯＳｋｅｒｎｅｌ到應(yīng)用運(yùn)行之間是一個(gè)無(wú)序的多樣化的過(guò)程。顯然，ＯＳｋｅｒｎｅｌ對(duì)Ｄｏｍ０上層應(yīng)用程序的度量不能采取ＴＣＧ順序的度量方式，本文提出一種基于可信可執(zhí)行程序列表（ｔｒｕｓ－ｔｅｄｅｘｅｃｕｔａｂｌｅｐｒｏｇｒａｍｌｉｓｔ，ＴＥＰＬ）的運(yùn)行時(shí)度量方式，其本思想是：以策略庫(kù)的方式（策略庫(kù)可更新）建立可信可執(zhí)行程序列表，在可執(zhí)行程序運(yùn)行前，進(jìn)行度量驗(yàn)證，·３７３２·

第３４卷第１１期劉婷婷，趙勇：提供可信ＩａａＳ服務(wù)的云計(jì)算平臺(tái)構(gòu)建僅有通過(guò)驗(yàn)證、符合策略預(yù)期的可執(zhí)行程序才能夠運(yùn)行，任何惡意代碼不能在Ｄｏｍ０上啟動(dòng)。本文基于Ｌｉｎｕｘ系統(tǒng)內(nèi)核實(shí)現(xiàn)了這一度量過(guò)程。為了實(shí)現(xiàn)ＯＳｋｅｒｎｅｌ對(duì)Ｄｏｍ０上層應(yīng)用軟件進(jìn)行度量，本文對(duì)Ｌｉｎｕｘ系統(tǒng)內(nèi)核進(jìn)行了可信改造，增加了可執(zhí)行程序的可信驗(yàn)證模塊（ｔｒｕｓｔｗｏｒｔｈｉｎｅｓｓｖｅｒｉｆｉｃａｔｉｏｎｍｏｄｕｌｅ，ＴＶＭ），用于驗(yàn)證節(jié)點(diǎn)上可執(zhí)行代碼的真實(shí)性和完整性。在內(nèi)核中利用Ｈｏｏｋ機(jī)制截獲可執(zhí)行代碼的啟動(dòng)請(qǐng)求，對(duì)可執(zhí)行代碼進(jìn)行真實(shí)性和完整性驗(yàn)證。在Ｌｉｎｕｘ內(nèi)核中，ｄｏ＿ｅｘｅｃｖｅ（）的功能是加載新程序并跳轉(zhuǎn)執(zhí)行，ｄｏ＿ｅｘｅｃｖｅ（）要調(diào)用ｏｐｅｎ＿ｅｘｅｃ（），把要裝入的可執(zhí)行文件的路徑名轉(zhuǎn)換成該執(zhí)行文件所在的索引節(jié)點(diǎn)ｉｎｏｄｅ，這樣，內(nèi)核函數(shù)直接使用索引節(jié)點(diǎn)到磁盤(pán)存取可執(zhí)行文件。通過(guò)截獲這一調(diào)用請(qǐng)求，對(duì)可執(zhí)行代碼的內(nèi)容、路徑進(jìn)行驗(yàn)證。驗(yàn)證通過(guò)后，繼續(xù)調(diào)用ｏｐｅｎ＿ｅｘｅｃ（），，找到可執(zhí)行文件的節(jié)點(diǎn)ｉｎｏｄｅ。然后調(diào)用ｒｅａｄ＿ｅｘｅｃ（）和ｓｅａｒｃｈ＿ｂｉｎａｒｙ＿ｈａｎｄｌｅｒ（），裝入可執(zhí)行程序并運(yùn)行。ＴＶＭ的工作流程如圖２所示。圖２ＴＶＭ動(dòng)態(tài)驗(yàn)證機(jī)制的工作流程２用戶ＶＭＩ與計(jì)算平臺(tái)完整性綁定第１部分所建立的信任鏈傳遞機(jī)制保證了云計(jì)算集群中單個(gè)主機(jī)的可信，一種提供可信ＩａａＳ服務(wù)的方法是在每個(gè)物理主機(jī)上都部署這樣的平臺(tái)，但由于云租戶對(duì)服務(wù)的安全需求存在差異，綜合考慮利益和安全成本，本

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 柴勇;現(xiàn)階段Internet電子商務(wù)安全性的探討[J];電腦知識(shí)與技術(shù);2004年08期

2 崔捷,鄭連清,顧志銀;安全協(xié)議SSL與SET的分析與比較[J];現(xiàn)代電子技術(shù);2004年09期

3 蘇成 ,宋沛;電子商務(wù)安全協(xié)議分析與展望[J];信息網(wǎng)絡(luò)安全;2004年03期

4 衛(wèi)劍釩,段云所,唐禮勇,陳鐘;雙主體安全協(xié)議的DoS動(dòng)態(tài)防御[J];計(jì)算機(jī)研究與發(fā)展;2005年10期

5 衷國(guó)濤;顧永跟;;基于Spi演算的SSL3.0安全協(xié)議仿真分析[J];計(jì)算機(jī)仿真;2006年02期

6 毛晨曉;羅文堅(jiān);曹先彬;王煦法;;基于SVO邏輯的公鑰協(xié)議進(jìn)化生成[J];系統(tǒng)工程與電子技術(shù);2006年03期

7 慕建君;;一種形式化分析安全協(xié)議的新模型[J];西安電子科技大學(xué)學(xué)報(bào);2006年03期

8 陳燦;李俊;;Kerberos協(xié)議的形式化分析[J];微電子學(xué)與計(jì)算機(jī);2006年06期

9 劉進(jìn);陳丹;肖德寶;;基于著色petri網(wǎng)的安全協(xié)議驗(yàn)證方法[J];華中師范大學(xué)學(xué)報(bào)(自然科學(xué)版);2006年03期

10 王煥寶;張佑生;李援;;安全協(xié)議的串空間圖表示[J];計(jì)算機(jī)研究與發(fā)展;2006年12期

相關(guān)會(huì)議論文 前10條

1 侯紅霞;;信息安全專業(yè)“安全協(xié)議”課程的教改探討[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

2 謝鴻波;周明天;;安全協(xié)議的形式化技術(shù):述評(píng)[A];’2004計(jì)算機(jī)應(yīng)用技術(shù)交流會(huì)議論文集[C];2004年

3 解云峰;李之棠;石曙東;;基于串空間模型的安全協(xié)議形式化分析方法研究[A];全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)’2004論文集[C];2004年

4 顧永跟;傅育熙;朱涵;呂銀華;;基于進(jìn)程演算的安全協(xié)議形式化分析[A];2005年全國(guó)理論計(jì)算機(jī)科學(xué)學(xué)術(shù)年會(huì)論文集[C];2005年

5 康松;王勛華;;門(mén)衛(wèi)安全協(xié)議 一種簡(jiǎn)單的適用于公共數(shù)據(jù)網(wǎng)的安全協(xié)議[A];第十一屆全國(guó)計(jì)算機(jī)安全技術(shù)交流會(huì)論文集[C];1996年

6 劉家芬;周明天;;對(duì)安全協(xié)議重放攻擊的分類研究(英文)[A];計(jì)算機(jī)技術(shù)與應(yīng)用進(jìn)展——全國(guó)第17屆計(jì)算機(jī)科學(xué)與技術(shù)應(yīng)用（CACIS）學(xué)術(shù)會(huì)議論文集（下冊(cè)）[C];2006年

7 徐夢(mèng)茗;李斌;肖聰;;怎樣用好AVISPA工具[A];第十一屆保密通信與信息安全現(xiàn)狀研討會(huì)論文集[C];2009年

8 周東清;李燕;蘇慶福;;一種基于層次型拓?fù)浣Y(jié)構(gòu)的無(wú)線傳感器網(wǎng)絡(luò)安全協(xié)議的設(shè)計(jì)[A];第二十一次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2006年

9 張瑞軍;陳一周;鄧輝;;基于Internet電子商務(wù)的安全性探討[A];圖像 仿真 信息技術(shù)——第二屆聯(lián)合學(xué)術(shù)會(huì)議論文集[C];2002年

10 李秋山;胡游君;;低成本RFID系統(tǒng)安全協(xié)議設(shè)計(jì)及其形式化分析[A];2006北京地區(qū)高校研究生學(xué)術(shù)交流會(huì)——通信與信息技術(shù)會(huì)議論文集（上）[C];2006年

相關(guān)重要報(bào)紙文章 前10條

1 ;802.1AE保護(hù)局域網(wǎng)安全[N];網(wǎng)絡(luò)世界;2005年

2 郭瑩;CTBS實(shí)現(xiàn)安全高速遠(yuǎn)程接入[N];中國(guó)計(jì)算機(jī)報(bào);2007年

3 朱建軍;客戶端VPN安全十法則[N];計(jì)算機(jī)世界;2006年

4 ;天融信打造堅(jiān)實(shí)的VPN方案[N];網(wǎng)絡(luò)世界;2003年

5 于衛(wèi);創(chuàng)造WAP上的ISP[N];計(jì)算機(jī)世界;2000年

6 ;安全與隱私兼得[N];網(wǎng)絡(luò)世界;2002年

7 本報(bào)記者 諶力;事務(wù)處理系統(tǒng)走向SOA[N];網(wǎng)絡(luò)世界;2005年

8 張彤;以其人之道還治其人之身[N];網(wǎng)絡(luò)世界;2007年

9 ;防火墻及其他[N];中國(guó)高新技術(shù)產(chǎn)業(yè)導(dǎo)報(bào);2000年

10 毛捍東;哪種加密方式適合您？[N];計(jì)算機(jī)世界;2001年

相關(guān)博士學(xué)位論文 前10條

1 鄧淼磊;幾類安全協(xié)議的研究與設(shè)計(jì)[D];西安電子科技大學(xué);2010年

2 謝鴻波;安全協(xié)議形式化分析方法的關(guān)鍵技術(shù)研究[D];電子科技大學(xué);2011年

3 趙輝;安全協(xié)議形式化分析技術(shù)的研究[D];大連理工大學(xué);2010年

4 馮超;計(jì)算可靠的安全協(xié)議驗(yàn)證方法研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2011年

5 賈洪勇;安全協(xié)議的可組合性分析與證明[D];北京郵電大學(xué);2009年

6 魯來(lái)鳳;安全協(xié)議形式化分析理論與應(yīng)用研究[D];西安電子科技大學(xué);2012年

7 石曙東;網(wǎng)絡(luò)協(xié)議安全性分析中的邏輯化方法研究[D];華中科技大學(xué);2009年

8 范紅;安全協(xié)議形式化分析理論與方法[D];中國(guó)人民解放軍信息工程大學(xué);2003年

9 閆麗麗;基于串空間理論的安全協(xié)議研究[D];西南交通大學(xué);2012年

10 董學(xué)文;基于串空間模型安全協(xié)議形式化方法的分析與擴(kuò)展[D];西安電子科技大學(xué);2011年

相關(guān)碩士學(xué)位論文 前10條

1 張旋;基于無(wú)線網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)研究[D];武漢理工大學(xué);2006年

2 施娟;電子商務(wù)安全協(xié)議探討[D];西南財(cái)經(jīng)大學(xué);2001年

3 林萍娟;基于有限域上遍歷矩陣的安全協(xié)議實(shí)現(xiàn)研究[D];吉林大學(xué);2006年

4 陳強(qiáng);安全協(xié)議的形式化分析研究[D];清華大學(xué);2005年

5 郭克華;基于第三方計(jì)算的移動(dòng)商務(wù)安全協(xié)議[D];福州大學(xué);2005年

6 趙琳;安全協(xié)議形式化分析方法的比較和研究[D];鄭州大學(xué);2007年

7 劉鋒;安全協(xié)議模型檢驗(yàn)技術(shù)研究與實(shí)現(xiàn)[D];中國(guó)人民解放軍國(guó)防科學(xué)技術(shù)大學(xué);2002年

8 鄧珍榮;基于串空間模型的協(xié)議驗(yàn)證技術(shù)研究[D];廣西大學(xué);2005年

9 樊靜淳;基于移動(dòng)代理系統(tǒng)的安全旅行協(xié)議研究[D];山東大學(xué);2005年

10 杭波;新一代Internet網(wǎng)絡(luò)層安全協(xié)議的研究與實(shí)現(xiàn)[D];哈爾濱工程大學(xué);2003年

本文編號(hào)：2580612