可信云计算平台模型的研究及其改进
中国科学技术大学 王含章
[摘要]
云端数据安全与隐私保护被普遍认为是云计算发展的两大重要内容,然而到目前为止客户没有任何手段能够证明自己上传的数据与应用的完整性与机密性,因此产生了客户与云服务提供商之间的信任问题,这也就成了阻碍云计算发展的最大障碍之一。
将可信计算技术与云计算相结合是解决这一信任问题的方向之一,这个针对基础架构即服务(Infrastructure-as-a-Service,IaaS)模型提出的可信云计算平台(Trusted Cloud Computing Platform,TCCP)解决方案在2009年提出。该可信云计算平台模型通过一个外部的可信协调者(Trusted Coordinator,TC)来认证内置可信芯片的服务器,然后管理活跃的可信服务器列表,并参与到虚拟机(Virtual Machine)启动与动态迁移的过程中。而可信节点(内置可信芯片且安全运行的服务器)通过可信虚拟机监视器(Trusted Virtual Machine Monitor,TVMM)来保证运行的虚拟机内部数据不被黑客或有特权的管理人员监视或修改。不过由于对可信第三方的过度依赖,可信云计算平台模型只能停留在理论探讨阶段,没有实用的可行性。本文针对可信云计算平台模型的局限性进行了深入研究,提出了一种改进的基于直接匿名认证(DirectAnonymousAttestation,DAA)与隐私认证中心(Privacy Certification Authority,Privacy CA)策略的TCCP模型,较好解决了可信第三方在性能与安全性的瓶颈问题。
本文主要是通过引入DAA策略并且根据可信芯片的中立特性设计了一种让一部分内部可信节点(Trusted Nodes,TNs)成为Privacy CAs(内部小型可信第三方)的协议,其中内部的Privacy CA承担了TC的TNs管理职责与部分认证职责。在云计算平台的每一个区域(Zone)里面都设有多个Privacy CA,每个Privacy CA有自己管理的可信区域,本文采取这样一种隔离措施来提高平台的安全性,若某个Privacy CA管理的区域被攻破后能够将损失降低到最小。这些不同的管理区域是通过Privacy CAs选出来的内部可信联络者(Internal Trusted Coordinator,ITC)进行联系,ITC的选举采用安全多方计算(Secure Multi-party Computation,SMC)算法,从而保证了ITC的选举不被少数被操纵的无赖Privacy CAs所影响。Privacy CAs与选举出来的ITC能够完全替代TC的可信节点管理功能,并参与到虚拟机的创建与动态迁移的过程中。这里的难点是如何让Privacy CA与ITC替代TC大部分功能同时不减弱平台的安全性。
在原始可信云计算平台模型中,虚拟可信平台的概念直接从基于虚拟技术的可信平台架构里面引入,对于是否适合云计算平台的问题并没有进行探讨。而本文对虚拟可信平台的架构进行了研究,并根据TCCP模型的需求对可信平台架构进行了相应的改变。
本文采取的云平台架构基于开源的Eucalyptus,虚拟可信平台架构基于vTPM,可信芯片必须符合TPM 1.2标准(DAA策略在TPM1.2标准下才能够被使用)。
可信云计算平台模型有可信芯片这种专门的安全硬件来支撑,是解决云计算隐私保护与安全方面问题的最好方法之一,尤其是可信计算技术的研究与应用已经比较成熟。因此针对可信云计算平台模型的设计具有很高的参考价值,本文改进原始可信云计算平台的设计思路也可以为以后实际平台的设计提供帮助,使得人们对数据安全的担忧不再成为云计算发展的障碍之一。
关键词:云计算 虚拟可信平台架构 隐私保护 架构即服务 直接匿名认证
[目录]
摘要...................................................................................................I
ABSTRACT..............................................................................................III
第一章绪论.............................................1
1.1引言.........................................................1
1.2计算安全技术的研究现状.......................................2
1.2.1云计算的定义,模型描述与相关技术..................................2
1.2.2云计算的潜在安全风险与应对策略....................................3
1.3可信云计算技术的研究现状.....................................5
1.3.1可信计算平台的研究现状与相关技术..................................5
1.3.2可信云计算平台的研究现状..........................................8
1.4章节安排....................................................10
第二章可信云计算平台设计的相关背景知识................11
2.1虚拟可信平台与Xen架构......................................11
2.1.1 Xen架构.........................................................11
2.1.2 vTPM架构........................................................12
2.2远程证明....................................................13
2.2.1 DAA策略.........................................................14
2.4 Eucalyptus架构.............................................22
2.5本章小结....................................................22
第三章一种基于DAA与Privacy CA策略的TCCP模型........24
3.1 TCCP模型总体架构设计.......................................24
3.2虚拟可信平台架构设计........................................27
3.3可信管理关系的建立过程......................................28
3.3.1 DAA证书发布过程.................................................29
3.3.2 Privacy CA匿名证书发布过程......................................32
3.3.3 ITC选举过程.....................................................34
3.4可信管理关系稳定之后新的可信节点注册过程....................35
3.5虚拟机管理..................................................35
3.5.1高安全需求虚拟机的创建过程.......................................36
3.5.2高安全需求虚拟机的动态迁移过程...................................37
3.6 TCCP改进模型的性能与安全分析...............................39
3.6.1 TCCP改进模型的性能分析..........................................39
3.6.2 TCCP改进模型的安全分析..........................................40
3.7本章小结.....................................................41
第四章总结与展望......................................42
参考文献................................................44
致谢..................................................46
在读期间发表的论文与取得的研究成果..............................................48
参加的科研项目情况..............................................................................49
temp_11112721323608.zip