【摘要】：云計算是當前學術界和產(chǎn)業(yè)界非常熱門的技術,按需分配資源、良好的動態(tài)伸縮性、高效的資源利用率以及綠色計算等云計算的特點吸引了無數(shù)人的眼球。在云計算中,租戶的數(shù)據(jù)存放于云服務提供商處,由云服務提供商負責數(shù)據(jù)的安全計算和安全存儲。由于租戶失去了對于自己數(shù)據(jù)的控制權,因此如何防止云服務提供商的惡意管理員窺視租戶的數(shù)據(jù)、如何防止非授權租戶的非法訪問、如何使得租戶信任云服務提供商等云安全問題逐漸成為了云計算發(fā)展的阻礙。 由于對于云服務提供商的不信任,越來越多的企業(yè)開始自己構建私有云環(huán)境。私有云是指企業(yè)自己搭建云計算的基礎架構,面向內(nèi)部用戶或外部客戶提供云計算服務。企業(yè)擁有基礎架構的自主權,并且可以基于自己的需求改進服務,進行自主創(chuàng)新。盡管私有云相對于公有云避免了許多的安全風險和信任風險,但是私有云還面臨著許多的安全問題,尤其是如何構建和維護一個安全可信的私有云。 近年來,可信計算的技術越來越受到人們的關注,可信計算體現(xiàn)了整體的安全思想,由內(nèi)而外,變被動防御為主動防御。目前,設計可信計算與云計算相結合的安全模型是一個熱門的研究分支,其中比較主流的模型有Terra、TCCP以及vTPM。這些模型雖然解決了一部分的云安全問題,但是還存在一些不足并且這些模型不能很好的適用于私有云的環(huán)境。 本文提出了一種適用于私有云環(huán)境的統(tǒng)一度量與存儲的可信計算模型,該模型是一個針對基礎設施即服務(IaaS)的模型。模型通過裝有TPM芯片的主機群構建一個私有云的可信平臺模塊(PC-TPM),并由PC-TPM負責統(tǒng)一度量其他主機并統(tǒng)一存儲度量值和相關密鑰。本模型的特點是將可信度量與可信存儲的職責集中于特定的可信主機群,使得提供虛擬化服務的主機的職責明確與單一并且減少了相應的復雜度。本文設計了PC-TPM中的各個模塊、設計了PC-TPM的內(nèi)部通信機制以及PC-TPM與提供虛擬化服務的主機的通信機制等,從而使得本模型是一個較為完整的可信私有云模型。 本文通過提出一種適用于私有云環(huán)境的統(tǒng)一度量與存儲的可信計算模型,為可信計算與云計算相結合提供了一種新的思路,為后來者的研究起到了拋磚引玉的作用。
【圖文】：

可信計算平臺圖2-4可信計算平臺遠程證明1.驗證者向遠程可信計算平臺發(fā)出證明請求，請求包含了一個隨機數(shù)nonce。2. TPM使用身份密鑰pri—AIK對平臺完整性度量結果和nonce進行數(shù)字簽名。3.驗證者收到反饋后，根據(jù)nonce值確認來自目的TPM,然后根據(jù)平臺完整性度量結果判斷平臺配置是否可信。被驗證方與驗證方之間的通信是通過網(wǎng)絡實現(xiàn)的，驗證方通過一系列的度量校驗操作，從而證明被驗證方是否可信。具體步驟是驗證方首先創(chuàng)建一個隨機數(shù)，并把該隨機數(shù)發(fā)送給被驗證方，開啟一個驗證的請求。被驗證方受到驗證請求之后，把接收到的隨機數(shù)提交給本地的TPM。TPM把該隨機數(shù)與當前平臺配置寄存器PCR值作簽名，并返回一個完整的事件日志。被驗證方把簽名的PCR值與事件日志當作驗證請求的響應發(fā)送給驗證方。驗證方接收到以后

根據(jù)以上可信私有云模型的總體設計思路，該模型的總體架構如圖3-1所示。可信私有云 @圖3-1可信私有云模型的總體架構3.1.2.2模型的特點通過3.1.2.1節(jié)中的模型總體設計思路和模型總體架構圖，，我們可以看出，本模型有著自己的一些特點和優(yōu)勢，具體如下。(1)本模型通過將幾臺性能強勁的主機作為可信私有云的可信平臺模塊PC-TPM,既擴大了存儲空間，又加強了處理速度，從而可以對無序加載到內(nèi)存中的代碼進行細粒度的度量。(2)本模型將可信度量的操作集中在PC-TPM，所有實體都由PC-TPM進行度量，將度量功能與服務功能分離，從而避免了主機承擔過多的角色，也避免了其它主機大量的修改代碼來進行可信度量。(3)本模型并沒有為虛擬機綁定vTPM，從而避免了vTPM帶來的一些安全隱患。25
【學位授予單位】：復旦大學
【學位級別】：碩士
【學位授予年份】：2013
【分類號】：TP333

【相似文獻】

相關期刊論文 前10條

1 董曉寧;;可信計算應用技術[J];計算機安全;2008年08期

2 卿斯?jié)h;;可信計算的研究進展概述[J];信息網(wǎng)絡安全;2008年11期

3 趙立生;;打造中國自主可信計算環(huán)境[J];信息安全與通信保密;2010年09期

4 姜拓;;可信計算研究綜述[J];科技信息;2011年05期

5 程斌;;2013年可信計算高峰論壇在京順利召開[J];信息網(wǎng)絡安全;2013年05期

6 陳鐘 ,劉鵬,劉欣;可信計算概論[J];信息安全與通信保密;2003年11期

7 侯方勇,周進,王志英,劉真,劉蕓;可信計算研究[J];計算機應用研究;2004年12期

8 林利,蔡明杰;可信計算的研究及存在的問題[J];電腦與信息技術;2005年03期

9 ;我國自主研發(fā)的安全芯片問世[J];發(fā)明與創(chuàng)新(綜合版);2005年07期

10 王新成;可信計算與系統(tǒng)安全芯片[J];計算機安全;2005年10期

相關會議論文 前10條

1 李秋香;李超;馬曉明;;可信計算標準化策略研究[A];全國計算機安全學術交流會論文集（第二十四卷）[C];2009年

2 麻新光;王新成;;可信計算與系統(tǒng)安全芯片[A];第二十次全國計算機安全學術交流會論文集[C];2005年

3 尤揚;寧曉莉;朱雄虎;;淺析可信計算在商用平臺下的應用[A];全國計算機安全學術交流會論文集·第二十五卷[C];2010年

4 范育林;;可信計算定義初探[A];全國計算機安全學術交流會論文集·第二十五卷[C];2010年

5 周振柳;許榕生;;可信計算體系與技術研究[A];第十三屆全國核電子學與核探測技術學術年會論文集（下冊）[C];2006年

6 蔡永泉;晏翔;;可信計算的研究與發(fā)展[A];計算機技術與應用進展——全國第17屆計算機科學與技術應用（CACIS）學術會議論文集（下冊）[C];2006年

7 宋成;湯永利;李靜;;可信計算關鍵技術研究與信息安全教研探索[A];2012年全國網(wǎng)絡與數(shù)字內(nèi)容安全學術年會論文集[C];2012年

8 孫勇;毋燕燕;楊義先;;嵌入式系統(tǒng)的可信計算[A];全國網(wǎng)絡與信息安全技術研討會'2005論文集（下冊）[C];2005年

9 陳景君;;基于可信計算的云計算基礎設施安全集成方案[A];天津市電視技術研究會2012年年會論文集[C];2012年

10 張魯國;李崢;;基于可信計算的智能卡安全保護框架設計[A];第十一屆保密通信與信息安全現(xiàn)狀研討會論文集[C];2009年

相關重要報紙文章 前10條

1 記者 鄭申;可信計算的安全新價值[N];金融時報;2008年

2 記者 胡志敏;中國可信計算產(chǎn)業(yè)規(guī)模日漸增強[N];政府采購信息報;2008年

3 記者 朱先妮;國民技術牽手微軟共推可信計算[N];上海證券報;2011年

4 證券時報記者 水菁;國民技術:與微軟合作推動可信計算產(chǎn)業(yè)發(fā)展[N];證券時報;2011年

5 本報記者 謝衛(wèi)國;國民技術攜手英特爾推“可信計算”[N];中國證券報;2012年

6 證券時報記者 水菁;國民技術攜手英特爾推進可信計算標準化產(chǎn)業(yè)化[N];證券時報;2012年

7 本報記者 王莉;接軌市場 可信計算產(chǎn)業(yè)鏈成型[N];政府采購信息報;2014年

8 文／毛江華　胡英;可信計算:安全終結者？[N];計算機世界;2004年

9 文/曹陽;可信計算呼喚標準[N];計算機世界;2005年

10 廣偉;可信計算：應用進行時[N];中國經(jīng)營報;2005年

相關博士學位論文 前10條

1 閆建紅;可信計算的動態(tài)遠程證明研究[D];太原理工大學;2012年

2 劉昌平;可信計算環(huán)境安全技術研究[D];電子科技大學;2011年

3 段斌;基于PKI的可信計算體系研究及其應用[D];湘潭大學;2004年

4 趙佳;可信認證關鍵技術研究[D];北京交通大學;2008年

5 李勇;基于可信計算的應用環(huán)境安全研究[D];解放軍信息工程大學;2011年

6 邱罡;可信系統(tǒng)保護模型研究與設計[D];西安電子科技大學;2010年

7 梁元;基于云計算環(huán)境下的可信平臺設計[D];電子科技大學;2013年

8 羅東俊;基于可信計算的云計算安全若干關鍵問題研究[D];華南理工大學;2014年

9 陳婷;可信遠程證明協(xié)議的研究[D];華東理工大學;2013年

10 余鵬飛;可信移動計算環(huán)境體系結構及關鍵技術研究[D];華中科技大學;2010年

相關碩士學位論文 前10條

1 朱強;一種可信計算軟件棧的設計與實現(xiàn)[D];北京郵電大學;2009年

2 金運帥;基于可信計算的安全發(fā)布技術研究[D];浙江工商大學;2010年

3 蔡婷婷;基于可信計算的文件遷移系統(tǒng)的設計與實現(xiàn)[D];西安電子科技大學;2010年

4 趙義龍;基于可信應用的可信計算實現(xiàn)方案[D];吉林大學;2013年

5 羅洪達;基于可信計算的安全數(shù)據(jù)終端的研究與設計[D];太原科技大學;2014年

6 許麗星;基于可信計算的手機訪問控制研究[D];西南交通大學;2006年

7 蘇滌生;可信計算開發(fā)環(huán)境的設計與實現(xiàn)[D];電子科技大學;2007年

8 王麗華;基于可信計算的身份認證研究與實現(xiàn)[D];南京理工大學;2012年

9 劉英;專用可信計算網(wǎng)絡的研究與設計[D];電子科技大學;2011年

10 秦偉;基于生物特征智能終端的可信計算研究[D];浙江理工大學;2011年

本文編號：2539850