CN106506543A - 一种云服务器中可信代理模块的实现方法 - Google Patents
一种云服务器中可信代理模块的实现方法 Download PDFInfo
- Publication number
- CN106506543A CN106506543A CN201611186458.6A CN201611186458A CN106506543A CN 106506543 A CN106506543 A CN 106506543A CN 201611186458 A CN201611186458 A CN 201611186458A CN 106506543 A CN106506543 A CN 106506543A
- Authority
- CN
- China
- Prior art keywords
- virtual
- trusted
- credible
- root
- trusted root
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1045—Proxies, e.g. for session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/127—Trusted platform modules [TPM]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开一种云服务器可信代理模块的实现方法包括:步骤一、可信代理模块的初始化;步骤二、为虚拟域建立可信虚拟芯片;步骤三、执行虚拟域的虚拟可信命令。采用本发明的技术方案,在可信根服务器‑云计算服务器模型的基础上,在云服务器设计实现可信代理模块,云服务器通过此模块与可信根服务器通信进而完成云服务器虚拟域的可信功能。
Description
技术领域
本发明属于计算机信息安全可信计算领域,尤其涉及一种云服务器可信代理模块的实现方法。
背景技术
云计算的安全问题是决定着云计算成败得失,只有解决了云安全问题,消除用户的后顾之忧,云计算才能得到广泛遍及。目前,各大云服务提供商纷纷寻求解决对策,而归结起来主要两个方面:从非技术方面,通过制定相关的法律政策或制度,统一安全标准、安全级别,从而确保用户信息的安全;从技术方面,第一种思路是使用加密算法直接加密数据,保护用户的数据。用户可以在本地加密数据,然后将密文存储到云计算平台,此时云计算平台就只是支持密文导入和导出的储存工具,丧失对数据的管理、共享使用、计算和挖掘的优势。第二种思路是在云计算平台中引入可信计算技术,即构建一个可信云平台,从“根”上确保数据的存储环境是安全可信的,为此提出了vTPM体系架构。
为了实现可信芯片的虚拟化,IBM提出了在同一个硬件实现虚拟多个虚拟机的VTPM方案,在这个方案中,每个虚拟机实例的可信功能由虚拟出的VTPM保证。当虚拟机需要迁移时,其对应的VTPM实例也需要进行迁移,这使得虚拟机迁移过程变得非常复杂。
以可信根服务器为基础的可信云计算架构也是利用可信计算技术保护云计算环境安全的一种解决方案。在该架构中主要包括可信根服务器和云计算服务器两部分。云计算服务器相当于云计算环境,可以为用户提供云计算服务。可信根服务器的主要功能是保障云计算服务器端的虚拟机的安全可信。其中实现利用可行根服务器保障云计算服务器端虚拟机的安全可信重要的环节是如何在云计算服务器端实现一个可信代理模块来模拟并处理云计算服务器端的可信命令。
发明内容
本发明要解决的技术问题是,提供一种云服务器可信代理模块的实现方法,在可信根服务器-云计算服务器模型的基础上,在云服务器设计实现可信代理模块,云服务器通过此模块与可信根服务器通信进而完成云服务器虚拟域的可信功能。
为实现上述目的,本发明采用如下的技术方案,
一种云服务器中可信代理模块的实现方法包括:
步骤一、可信代理模块的初始化:
(1.1)、云服务器首先会向可信根服务器发送请求,要求建立与可信根服务器的连接;
(1.2)、建立连接后在云服务器要进行可信代理模块的初始化工作;
(1.3)、首先加载后端驱动,并启动可信根管理工具,可信根管理工具进行一系列初始化操作,然后启动可信根控制器和可信根后端监听器,可信根后端监听器通过可信根后端驱动监听来自客户虚拟域的可信根指令。可信根控制器监听来自虚拟域管理工具的指令;
步骤二、为虚拟域建立可信虚拟芯片:
(2.1)、当某个虚拟机需要实例化时,虚拟机管理器为该虚拟机生成一个唯一的标示;
(2.2)、虚拟机管理器向可信根管理工具发出请求,触发可信根控制器建立虚拟可信芯片的过程;
(2.3)、可信根控制器首先会去查询映射表,发现还没有为该虚拟机分配虚拟可信芯片;
(2.4)、可信根控制器将云服务器的唯一标识和该虚拟机的唯一标识打包成一个数据包交给专门负责发送数据的线程池发送给可信根服务器;
(2.5)、可信根服务器生成并初始化虚拟可信芯片包括为可信根分配一个唯一的标示ID;
(2.6)、然后返回生成的虚拟可信芯片的唯一ID给可信代理模块的可信根控制器,可信根控制器将新的映射关系存放在映射表中,并会定期的和可信根服务器端的映射表进行同步。;
步骤三、执行虚拟域的虚拟可信命令:
(3.1)、虚拟域前端驱动将虚拟可信命令发送给可信代理模块的可信根后端驱动;
(3.2)、可信根后端驱动从命令中取得虚拟域的唯一标示,并通过查询映射表得到该虚拟域对应的虚拟可信芯片的唯一标示ID;
(3.3)、可信根后端驱动将该虚拟可信芯片的唯一标示ID加在该虚拟可信命令的请求头中,可信根后端驱动将虚拟可信命令交给专门负责发送数据的线程池发送到可信根管理模块;
(3.4)、后端监听器解析虚拟可信命令的请求头,并根据解析出的虚拟可信芯片的唯一标示ID将命令发送给对应的虚拟可信芯片并等待接收虚拟可信命令执行的状态;
(3.5)、当接收到的状态显示成功时,转到步骤(3.6).当状态显示失败时,转到步骤(3.7);
(3.6)、通知虚拟域管理工具,等待接收下一个可信根命令;
(3.7)、通知虚拟域管理工具终止相应的虚拟域,删除可信代理模块映射表中的映射关系并和可信根服务器端映射表同步。
本发明相对现有技术有如下优点:
1.利用可信根服务器实现云服务器虚拟域的可信功能,减轻了云服务器的负担,同时实现了可信根服务器的复用。
2.在云服务器实现可信代理模块完成云服务器虚拟域的可信功能,使云服务器感觉是在云服务器完成的虚拟域的可信功能。
附图说明
图1为本发明云服务器可信代理模块的实现方法流程图。
具体实施方式
如图1所示,本发明实施例提供一种在云服务器建立可信代理模块的实现方法,该方法需要在云服务器实现的软件包括:虚拟可信根管理工具、可信根后端驱动、可信根后端监听器、可信根控制器,
具体包括以下步骤:
步骤1,可信代理模块初始化,云服务器向可信根服务器发起请求要求建立云服务器和可信根服务器的连接,收到可信根服务器的回复后,云服务器开始进行可信代理模块的初始化,其中包括加载可信根后端驱动,初始化虚拟可信根管理工具,同时启动可信根后端监听器和可信根控制器;
步骤2,启动虚拟域,虚拟域管理工具启动虚拟域,同时通知可信代理模块为该虚拟域创建一个虚拟可信芯片;
步骤3,创建虚拟可信芯片,可信代理模块将创建虚拟可信芯片的请求发送到可信根服务器,可信根服务器负责为该虚拟域创建虚拟可信芯片;
完成虚拟域虚拟可信命令的过程如下:
1、虚拟域的应用发出可信命令;
2、虚拟域前端驱动处理命令并将命令发送给可信代理模块的可信根后端驱动;
3、可信根后端驱动将命令转发给可信根管理工具;
4、可信根后端监听器监听到命令,并解析命令,根据解析到的虚拟域的信息,查询映射表得到虚拟可信芯片的信息,并将虚拟可信芯片的信息加到命令的请求头中;
5、后端监听器将包装好的命令发送给可信根服务器并等待接收命令的处理结果。
Claims (1)
1.一种云服务器中可信代理模块的实现方法,其特征在于,包括:
步骤一、可信代理模块的初始化:
(1.1)、云服务器首先会向可信根服务器发送请求,要求建立与可信根服务器的连接;
(1.2)、建立连接后在云服务器要进行可信代理模块的初始化工作;
(1.3)、首先加载后端驱动,并启动可信根管理工具,可信根管理工具进行一系列初始化操作,然后启动可信根控制器和可信根后端监听器,可信根后端监听器通过可信根后端驱动监听来自客户虚拟域的可信根指令。可信根控制器监听来自虚拟域管理工具的指令;
步骤二、为虚拟域建立可信虚拟芯片:
(2.1)、当某个虚拟机需要实例化时,虚拟机管理器为该虚拟机生成一个唯一的标示;
(2.2)、虚拟机管理器向可信根管理工具发出请求,触发可信根控制器建立虚拟可信芯片的过程;
(2.3)、可信根控制器首先会去查询映射表,发现还没有为该虚拟机分配虚拟可信芯片;
(2.4)、可信根控制器将云服务器的唯一标识和该虚拟机的唯一标识打包成一个数据包交给专门负责发送数据的线程池发送给可信根服务器;
(2.5)、可信根服务器生成并初始化虚拟可信芯片包括为可信根分配一个唯一的标示ID;
(2.6)、然后返回生成的虚拟可信芯片的唯一ID给可信代理模块的可信根控制器,可信根控制器将新的映射关系存放在映射表中;并会定期的和可信根服务器端的映射表进行同步。
步骤三、执行虚拟域的虚拟可信命令:
(3.1)、虚拟域前端驱动将虚拟可信命令发送给可信代理模块的可信根后端驱动;
(3.2)、可信根后端驱动从命令中取得虚拟域的唯一标示,并通过查询映射表得到该虚拟域对应的虚拟可信芯片的唯一标示ID;
(3.3)、可信根后端驱动将该虚拟可信芯片的唯一标示ID加在该虚拟可信命令的请求头中,可信根后端驱动将虚拟可信命令交给专门负责发送数据的线程池发送到可信根管理模块;
(3.4)、后端监听器解析虚拟可信命令的请求头,并根据解析出的虚拟可信芯片的唯一标示ID将命令发送给对应的虚拟可信芯片并等待接收虚拟可信命令执行的状态;
(3.5)、当接收到的状态显示成功时,转到步骤(3.6).当状态显示失败时,转到步骤(3.7);
(3.6)、通知虚拟域管理工具,等待接收下一个可信根命令;
(3.7)、通知虚拟域管理工具终止相应的虚拟域。删除可信代理模块映射表中的映射关系并和可信根服务器端映射表同步。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611186458.6A CN106506543B (zh) | 2016-12-20 | 2016-12-20 | 一种云服务器中可信代理模块的实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611186458.6A CN106506543B (zh) | 2016-12-20 | 2016-12-20 | 一种云服务器中可信代理模块的实现方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106506543A true CN106506543A (zh) | 2017-03-15 |
CN106506543B CN106506543B (zh) | 2019-04-26 |
Family
ID=58333446
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611186458.6A Active CN106506543B (zh) | 2016-12-20 | 2016-12-20 | 一种云服务器中可信代理模块的实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106506543B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109684044A (zh) * | 2019-01-03 | 2019-04-26 | 北京工业大学 | 静态迁移过程中虚拟机与vTPCM的绑定方法 |
CN111901285A (zh) * | 2019-05-06 | 2020-11-06 | 阿里巴巴集团控股有限公司 | 一种可信验证方法、系统、设备及存储介质 |
CN114499867A (zh) * | 2020-10-23 | 2022-05-13 | 中国移动通信有限公司研究院 | 可信根管理方法、装置、设备及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090182893A1 (en) * | 2008-01-11 | 2009-07-16 | Anand Vaijayanthimala K | Cache coherence in a virtual machine managed system |
CN101834860A (zh) * | 2010-04-22 | 2010-09-15 | 北京交通大学 | 一种远程动态验证客户端软件完整性的方法 |
CN102223377A (zh) * | 2011-06-25 | 2011-10-19 | 华南理工大学 | 一种Xen虚拟机可信域间网络连接的控制方法 |
CN102244684A (zh) * | 2011-07-29 | 2011-11-16 | 电子科技大学 | 基于usbkey的efi可信云链引导方法 |
WO2013015669A1 (en) * | 2011-07-25 | 2013-01-31 | Mimos Berhad | Global services redundancy using ip address mobility |
CN103580881A (zh) * | 2013-11-07 | 2014-02-12 | 华为技术有限公司 | 虚拟会议创建方法及装置 |
CN105450430A (zh) * | 2014-07-17 | 2016-03-30 | 华为技术有限公司 | 一种信息传输方法及装置 |
-
2016
- 2016-12-20 CN CN201611186458.6A patent/CN106506543B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090182893A1 (en) * | 2008-01-11 | 2009-07-16 | Anand Vaijayanthimala K | Cache coherence in a virtual machine managed system |
CN101834860A (zh) * | 2010-04-22 | 2010-09-15 | 北京交通大学 | 一种远程动态验证客户端软件完整性的方法 |
CN102223377A (zh) * | 2011-06-25 | 2011-10-19 | 华南理工大学 | 一种Xen虚拟机可信域间网络连接的控制方法 |
WO2013015669A1 (en) * | 2011-07-25 | 2013-01-31 | Mimos Berhad | Global services redundancy using ip address mobility |
CN102244684A (zh) * | 2011-07-29 | 2011-11-16 | 电子科技大学 | 基于usbkey的efi可信云链引导方法 |
CN103580881A (zh) * | 2013-11-07 | 2014-02-12 | 华为技术有限公司 | 虚拟会议创建方法及装置 |
CN105450430A (zh) * | 2014-07-17 | 2016-03-30 | 华为技术有限公司 | 一种信息传输方法及装置 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109684044A (zh) * | 2019-01-03 | 2019-04-26 | 北京工业大学 | 静态迁移过程中虚拟机与vTPCM的绑定方法 |
CN111901285A (zh) * | 2019-05-06 | 2020-11-06 | 阿里巴巴集团控股有限公司 | 一种可信验证方法、系统、设备及存储介质 |
CN111901285B (zh) * | 2019-05-06 | 2022-09-20 | 阿里巴巴集团控股有限公司 | 一种可信验证方法、系统、设备及存储介质 |
CN114499867A (zh) * | 2020-10-23 | 2022-05-13 | 中国移动通信有限公司研究院 | 可信根管理方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN106506543B (zh) | 2019-04-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110770708B (zh) | 用于硬件虚拟化的方法和装置 | |
CN104636189B (zh) | 基于Xen的虚拟机部署系统及方法 | |
CN106506543A (zh) | 一种云服务器中可信代理模块的实现方法 | |
CN101282252B (zh) | 基于网络的远程服务器的口令管理和登录方法 | |
US20090328038A1 (en) | Computer System and Device Controlling Method for Computer System | |
CN107423619B (zh) | 一种基于虚拟化技术构建智能终端web运行时的方法 | |
EP2723038A1 (en) | Method, device, and system for remote monitoring internet of things device | |
CN111625496B (zh) | 分布式文件系统在虚拟机环境下的部署方法、装置及设备 | |
CN103442060B (zh) | 基于远程桌面本地应用访问方法及装置 | |
WO2021203979A1 (zh) | 运维处理方法、装置及计算机设备 | |
CN109710386B (zh) | 一种虚拟机的虚拟可信根实例的整体动态迁移方法 | |
CN103631652B (zh) | 虚拟机迁移的实现方法及系统 | |
CN102196003A (zh) | 一种监控系统的远程控制方法及装置 | |
US20100077090A1 (en) | Fast switching between multiple user sessions | |
CN105577677A (zh) | 一种基于j2ee的远程登录方法及系统 | |
JP5490580B2 (ja) | 仮想マシン制御システム | |
CN102821091A (zh) | 虚拟机控制装置和方法 | |
CN107391999B (zh) | 封装其它凭据提供者的凭据提供者 | |
CN106909327A (zh) | 一种用于工控设备的显示控制装置 | |
CN111625497A (zh) | 一种分布式文件系统的部署方法、装置、设备及存储介质 | |
CN103501295B (zh) | 一种基于虚拟机迁移的远程访问方法和设备 | |
EP3416051A1 (en) | Redirection method, apparatus, and system | |
CN101719991B (zh) | 一种视频矩阵协议转换器 | |
CN110480633B (zh) | 一种控制设备的方法、装置及存储介质 | |
CN104102874A (zh) | 一种计算机多种操作系统统一运维方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |