CN111158906A - 一种主动免疫可信云系统 - Google Patents
一种主动免疫可信云系统 Download PDFInfo
- Publication number
- CN111158906A CN111158906A CN201911316467.6A CN201911316467A CN111158906A CN 111158906 A CN111158906 A CN 111158906A CN 201911316467 A CN201911316467 A CN 201911316467A CN 111158906 A CN111158906 A CN 111158906A
- Authority
- CN
- China
- Prior art keywords
- trusted
- virtual machine
- management
- tpcm
- physical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
- G06F9/5077—Logical partitioning of resources; Management or configuration of virtualized resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/127—Trusted platform modules [TPM]
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种主动免疫可信云系统,包括:云平台系统和租户业务系统,云平台系统包括可信平台控制模块TPCM、物理机可信基础软件以及可信计算虚拟化支撑平台,通过TPCM和物理机可信基础软件保障底层云平台服务的安全运行,通过可信计算虚拟化支撑平台为每个虚拟机提供虚拟可信平台控制模块VTPCM;租户业务系统包括虚拟机可信基础软件,虚拟机可信基础软件用于在VTPCM支撑下对虚拟机可信计算环境进行主动防护。本发明通过TPCM和物理机可信基础软件保障物理计算环境可信,物理计算环境可信保障云平台服务和虚机运行环境可信,本发明为每个虚机建立虚拟VTPCM,为虚机可信提供支撑,虚拟机内部可信基础软件以VTPCM为支持,保障虚拟机计算环境可信。
Description
技术领域
本发明涉及可信计算技术领域,具体涉及一种主动免疫可信云系统。
背景技术
云计算平台结构复杂,提供IaaS服务的云计算平台向租户提供虚拟机、存储、网络等计算服务,在虚拟机上租户将部署不同的服务进程,并提供给互联网用户等使用。云平台虚拟机面临的网络安全威胁主要分为两个方面。一是来自互联网的攻击,包括以用户的身份实施攻击,提权获得租户管理权限的攻击、通过恶意程序攻陷虚拟机得到超级用户权限等;二是来自云服务平台的攻击,包括云服务商对客户虚拟机的非授权使用、云服务退出时数据残留等。攻击者可以通过窃取用户身份、暴力破解登录密码或木马病毒的方式攻陷客户虚拟机;一旦获得虚拟机的控制权,攻击者就可以将该虚拟机作为跳板对IaaS平台进行更进一步的攻击,包括:旁路攻击同一台物理机上其它虚拟机,通过虚拟机逃逸攻击来攻击Hypervisor或宿主机,利用Hypervisor的高特权级来攻击同物理机上的其它虚拟机等。攻击者也可以通过身份攻击获得管理平台的访问权限,通过管理平台来攻击客户虚拟机。另外,攻击者还可以通过信道攻击来探测分析虚拟机及其所在的物理机对外通信行为,截获敏感数据;可以利用漏洞造成宿主机的崩溃,导致该宿主机上的所有虚拟机停止服务;甚至可以攻击云平台物理硬件,进行切断电源等物理攻击。
传统的信息安全解决方案在云环境中也面对着诸多困境,这是由云计算自身的技术特点、服务模式严重冲击传统安全方案在人员和技术上的信任基石导致。当前的云安全解决方案的困境主要有如下四点:1)虚拟化技术的大规模使用进一步扩大了相关高危漏洞被利用的危害,传统打补丁防漏洞模式无法建立起主动防御防线,造成可信的云计算应用运行环境缺失;2)云服务的外包化使得云用户的资源管理被交给缺乏相互信任关系的云服务商进行,而可信第三方监控体系严重缺失造成现有方案安全短板无法消除;3)云计算多租户架构使得用户资源可能被不可信的其它租户共享,传统方案提出的隔离机制缺乏信任根,无法深入保障用户不受恶意租户攻击;4)开放式的云环境接口为攻击者打开了入侵之门,传统的防火墙、入侵检测方案无法预料接入服务是否可信。
发明内容
针对现有技术中存在的缺陷,本发明的目的在于提供一种主动免疫可信云系统,有效应对云环境中的安全风险。
为实现上述目的,本发明采用的技术方案如下:
一种主动免疫可信云系统,所述主动免疫可信云系统包括:云平台系统和租户业务系统,
所述云平台系统,包括可信平台控制模块TPCM、物理机可信基础软件以及可信计算虚拟化支撑平台,通过所述TPCM和所述物理机可信基础软件保障底层云平台服务的安全运行,通过所述可信计算虚拟化支撑平台为每个虚拟机提供虚拟可信平台控制模块VTPCM;
所述租户业务系统,包括虚拟机可信基础软件,所述虚拟机可信基础软件用于在所述VTPCM支撑下对虚拟机可信计算环境进行主动防护。
进一步,如上所述的主动免疫可信云系统,所述云平台系统还包括:
可信管理服务,用于对所述云平台系统进行统一可信管理和运维。
进一步,如上所述的主动免疫可信云系统,所述云平台系统包括:控制节点、网络节点、至少一个计算节点和至少一个存储节点,
所述计算节点包括:所述TPCM、所述可信计算虚拟化支撑平台、计算服务、网络服务和网络接口;
所述存储节点包括:所述TPCM、所述物理机可信基础软件、存储服务、网络服务和网络接口;
所述控制节点和所述网络节点均包括:所述TPCM和/或所述物理机可信基础软件、可信管理服务、基础服务和网络接口,所述基础服务包括以下至少之一:认证服务、镜像服务、计算服务、控制面板和网络服务。
进一步,如上所述的主动免疫可信云系统,所述租户业务系统包括:至少一个可信安全管理中心、至少一个虚拟机和虚拟可信边界,每个所述虚拟机包括所述虚拟机可信基础软件;
所述虚拟可信边界用于对进出所述租户业务系统的数据进行可信验证和访问控制,并实现所述租户业务系统与其他租户业务系统之间的可信连接机制,对关键的业务数据传输进行保密性和完整性的保护;
所述可信安全管理中心用于对所述租户业务系统进行统一的可信管理、系统管理、安全管理和审计管理。
进一步,如上所述的主动免疫可信云系统,所述TPCM包括以下至少之一的部件:数据IP类、模拟IP类、密码算法类和外设接口类;
所述数据IP类的部件包括以下至少之一:CPU、DMA、ROM、RAM、PMU、PCIE、DDR;
所述模拟IP类的部件包括以下至少之一:PLL、TSOR、VDT、OTP;
所述密码算法类的部件包括以下至少之一:SHA256、TRNG、SM2/3/4、AES128/256、RSA/ECC、COUNTER;
所述外设接口类的部件包括以下至少之一:GPIO、LPC、EMMC/NF、UART、I2C、SPI。
进一步,如上所述的主动免疫可信云系统,所述TPCM包括以下至少之一的模块:主动度量模块、任务调度模块、业务处理模块和资源管理模块;
所述主动度量模块用于根据策略对启动度量和动态度量的区域位置与粒度做出调整;
所述任务调度模块用于处理所述物理机可信基础软件与所述TPCM之间的上下文环境,根据执行资源平衡并调度任务顺序;
所述业务处理模块用于对所述物理机可信基础软件及应用向所述TPCM发出的命令请求做出响应,并对虚拟机向对应VTPCM发出的涉及敏感秘钥操作的命令请求做出响应;
所述资源管理模块用于对密码运算资源、物理存储资源和外部接口进行统一管理。
进一步,如上所述的主动免疫可信云系统,所述物理机可信基础软件包括:可信主动监控机制、可信支撑机制、可信协作机制、可信基准库和可信策略管理;
所述可信主动监控机制用于对对应物理机的应用环境中的行为进行监测,根据监测数据对所述应用环境的可信状态进行度量,根据所述可信状态确定安全应对措施,并调度安全机制执行应对措施的过程;
所述可信支撑机制用于向所述云平台系统提供资源调度、并发访问控制、秘钥离线管理、会话管理的功能,以及向对应物理机上的每个VTPCM提供上下文管理的功能;
所述可信协作机制用于通过可信连接进行物理机之间的可信协作,以及所述主动监控机制通过可信报告与其他安全机制进行的可信协作;
所述可信基准库用于存放度量对象的可信基准值和预定控制策略;
所述可信策略管理用于向所述物理机可信基础软件提供可信策略服务。
进一步,如上所述的主动免疫可信云系统,所述可信计算虚拟化支撑平台包括:虚拟机监控器,所述虚拟机监控器内包括VTPCM和可信迁移;
所述VTPCM作为虚拟可信根,用于实现虚拟设备接口对接、对应虚拟机启动阶段和运行阶段的主动度量、任务处理和虚拟设备控制;
所述可信迁移用于实现迁移准备、数据复制、迁移验证和恢复执行。
进一步,如上所述的主动免疫可信云系统,所述虚拟机可信基础软件包括:可信主动监控机制、可信支撑机制、可信协作机制、可信基准库和可信策略管理;
所述可信主动监控机制用于对对应虚拟机的应用环境中的行为进行监测,根据监测数据对所述应用环境的可信状态进行度量,根据度量结果确定安全应对措施,并调度安全机制执行应对措施的过程;
所述可信支撑机制用于向所述租户业务系统提供资源调度、并发访问控制、秘钥离线管理、会话管理的功能;
所述可信协作机制用于通过可信连接进行虚拟机之间的可信协作,以及所述主动监控机制通过可信报告与其他安全机制进行的可信协作;
所述可信基准库用于存放度量对象的可信基准值和预定控制策略;
所述可信策略管理用于向所述虚拟机可信基础软件提供可信策略服务。
进一步,如上所述的主动免疫可信云系统,所述租户业务系统还包括:可信通信网络,用于通过数据传输机密性保护机制和数据传输完整性保护机制对数据传输过程进行安全保护,通过可信网络连接机制对连接到网络的设备进行可信检验。
本发明的有益效果在于:本发明通过TPCM和物理机可信基础软件保障物理计算环境可信,物理计算环境可信保障云平台服务和虚机运行环境可信,本发明为每个虚机建立虚拟VTPCM,为虚机可信提供支撑,虚拟机内部可信基础软件以VTPCM为支持,保障虚拟机计算环境可信。本发明的可信云系统为云环境安全机制提供可信基础,支撑云环境中各种安全机制的协同作用,构成一个整体安全体系,有效应对云环境中的安全风险。
附图说明
图1为本发明实施例中提供的一种主动免疫可信云系统的结构示意图;
图2为本发明实施例中提供的TPCM芯片内部功能框图;
图3为本发明实施例中提供的TPCM内部总线框图;
图4为本发明实施例中提供的TPCM与VTPCM关系及功能框图;
图5为本发明实施例中提供的可信计算虚拟化支撑平台的结构示意图;
图6为本发明实施例中提供的VTPCM逻辑机构图。
具体实施方式
下面结合说明书附图与具体实施方式对本发明做进一步的详细说明。
名词解释
可信软件基(Trusted Software Base,TSB),可信软件基嵌入物理基础软件中,是为计算平台的可信性提供支持的所有软件元素的集合。
可信基准值(Trusted Standard Value),可信基准值是表示对象可信特性的数据,作为判断对象是否可信的参照。
可信基准库(Trusted Standard Database),可信基准库是可信基准值的集合。
可信策略管理中心(Trusted Policy Management Center),可信策略管理中心是对可信软件基的策略制定、下发、维护、存储等集中管理的平台。
可信平台控制模块(trusted platform control module,TPCM),一种集成在可信计算平台中,用于建立和保障信任源点的硬件核心模块,为可信计算提供完整性度量、安全存储、可信报告以及密码服务等功能。
如图1所示,一种主动免疫可信云系统,主动免疫可信云系统包括:云平台系统和租户业务系统,
云平台系统,包括可信平台控制模块TPCM、物理机可信基础软件以及可信计算虚拟化支撑平台,通过TPCM和物理机可信基础软件保障底层云平台服务的安全运行,通过可信计算虚拟化支撑平台为每个虚拟机提供虚拟可信平台控制模块VTPCM;
租户业务系统,包括虚拟机可信基础软件,虚拟机可信基础软件用于在VTPCM支撑下对虚拟机可信计算环境进行主动防护。
云平台系统还包括:
可信管理服务,用于对云平台系统进行统一可信管理和运维。
云平台系统包括:控制节点、网络节点、至少一个计算节点和至少一个存储节点,
计算节点包括:TPCM、可信计算虚拟化支撑平台、计算服务、网络服务和网络接口;
存储节点包括:TPCM、物理机可信基础软件、存储服务、网络服务和网络接口;
控制节点和网络节点均包括:TPCM和/或物理机可信基础软件、可信管理服务、基础服务和网络接口,基础服务包括以下至少之一:认证服务、镜像服务、计算服务、控制面板和网络服务。
租户业务系统包括:至少一个可信安全管理中心、至少一个虚拟机和虚拟可信边界,每个虚拟机包括虚拟机可信基础软件;
虚拟可信边界用于对进出租户业务系统的数据进行可信验证和访问控制,并实现租户业务系统与其他租户业务系统之间的可信连接机制,对关键的业务数据传输进行保密性和完整性的保护;
可信安全管理中心用于对租户业务系统进行统一的可信管理、系统管理、安全管理和审计管理。
TPCM包括以下至少之一的部件:数据IP类、模拟IP类、密码算法类和外设接口类;
数据IP类的部件包括以下至少之一:CPU、DMA、ROM、RAM、PMU、PCIE、DDR;
模拟IP类的部件包括以下至少之一:PLL、TSOR、VDT、OTP;
密码算法类的部件包括以下至少之一:SHA256、TRNG、SM2/3/4、AES128/256、RSA/ECC、COUNTER;
外设接口类的部件包括以下至少之一:GPIO、LPC、EMMC/NF、UART、I2C、SPI。
TPCM包括以下至少之一的模块:主动度量模块、任务调度模块、业务处理模块和资源管理模块;
主动度量模块用于根据策略对启动度量和动态度量的区域位置与粒度做出调整;
任务调度模块用于处理物理机可信基础软件与TPCM之间的上下文环境,根据执行资源平衡并调度任务顺序;
业务处理模块用于对物理机可信基础软件及应用向TPCM发出的命令请求做出响应,并对虚拟机向对应VTPCM发出的涉及敏感秘钥操作的命令请求做出响应;
资源管理模块用于对密码运算资源、物理存储资源和外部接口进行统一管理。
物理机可信基础软件包括:可信主动监控机制、可信支撑机制、可信协作机制、可信基准库和可信策略管理;
可信主动监控机制用于对对应物理机的应用环境中的行为进行监测,根据监测数据对应用环境的可信状态进行度量,根据可信状态确定安全应对措施,并调度安全机制执行应对措施的过程;
可信支撑机制用于向云平台系统提供资源调度、并发访问控制、秘钥离线管理、会话管理的功能,以及向对应物理机上的每个VTPCM提供上下文管理的功能;
可信协作机制用于通过可信连接进行物理机之间的可信协作,以及主动监控机制通过可信报告与其他安全机制进行的可信协作;
可信基准库用于存放度量对象的可信基准值和预定控制策略;
可信策略管理用于向物理机可信基础软件提供可信策略服务。
可信计算虚拟化支撑平台包括:虚拟机监控器,虚拟机监控器内包括VTPCM和可信迁移;
VTPCM作为虚拟可信根,用于实现虚拟设备接口对接、对应虚拟机启动阶段和运行阶段的主动度量、任务处理和虚拟设备控制;
可信迁移用于实现迁移准备、数据复制、迁移验证和恢复执行。
虚拟机可信基础软件包括:可信主动监控机制、可信支撑机制、可信协作机制、可信基准库和可信策略管理;
可信主动监控机制用于对对应虚拟机的应用环境中的行为进行监测,根据监测数据对应用环境的可信状态进行度量,根据度量结果确定安全应对措施,并调度安全机制执行应对措施的过程;
可信支撑机制用于向租户业务系统提供资源调度、并发访问控制、秘钥离线管理、会话管理的功能;
可信协作机制用于通过可信连接进行虚拟机之间的可信协作,以及主动监控机制通过可信报告与其他安全机制进行的可信协作;
可信基准库用于存放度量对象的可信基准值和预定控制策略;
可信策略管理用于向虚拟机可信基础软件提供可信策略服务。
租户业务系统还包括:可信通信网络,用于通过数据传输机密性保护机制和数据传输完整性保护机制对数据传输过程进行安全保护,通过可信网络连接机制对连接到网络的设备进行可信检验。
(一)总体结构
本发明中云平台系统为租户业务的运行提供弹性的资源服务,租户按需向云平台申请计算资源、存储资源和网络资源,不同租户业务系统之间以及租户与云平台系统之间实现资源的逻辑隔离,例如云平台系统的管理网络与租户业务的数据网络是逻辑上隔离的网络。
如图1所示,可信云架构分为云平台系统可信架构和租户业务系统可信架构两部分。
云平台系统可信架构用于保障底层云平台服务的安全运行,确保云平台物理资源、物理计算环境、云平台调度、执行、运维等业务可信,主要由四个部件组成,包括TPCM、可信计算虚拟化支撑平台、可信管理服务、物理机可信基础软件。
TPCM作为服务器物理的可信根,支撑服务器的启动时静态信任链构建、运行时的动态度量策略执行、物理机之间的可信连接、关键数据的保密存储以及国密密码算法服务支持,并具备云环境下多虚拟机或多租户同时访问的并发处理能力,实现TPCM的虚拟化;
可信计算虚拟化支撑平台主要安装于计算节点,是以物理TPCM可信根为依托,基于云平台的虚拟化技术,建立对应每一个虚拟机的VTPCM,具备对VTPCM从建立、运行、暂停、挂起、迁移到销毁的全生命周期管理能力,并针对每一个虚拟机VTPCM建立一一对应的上下文,具备进行动态管理和调度的能力,满足云环境计算资源动态调度、动态迁移情况下的可信保障要求。
可信基础软件主要安装于存储节点、网络节点等非虚拟化平台,在TPCM支撑下实现了身份识别、状态度量、保密存储功能;
可信管理服务是对云平台系统进行统一可信管理和运维的中枢,计算节点、存储节点、控制节点、网络节点的可信策略、权限管理、证书管理以及态势感知等由可信管理服务实现,同时可信管理服务提供开放的API服务支持,实现可信管理与整体云平台管理运维流程的融合,在安全可信的前提下,最大化保证云平台系统的运行效率。
租户业务系统可信架构用于在可信计算虚拟化支撑平台提供的VTPCM支持下,构建“一个中心、三重防护”的租户业务系统安全防护体系,主要由三个部件组成,包括可信安全管理中心、虚拟机可信基础软件、虚拟可信边界。
虚拟机可信基础软件在VTPCM支持下对虚拟机计算环境进行主动监控,实施身份识别、状态度量和保密存储等核心功能,并与其他安全机制进行可信协同,构建可信计算支撑下的动态安全防护体系;
可信安全管理中心对租户业务系统进行统一的可信管理、系统管理、安全管理和审计管理;
虚拟可信边界对进出租户业务系统的数据流进行可信验证和访问控制,并实现租户业务系统之间可信连接机制,保证连接两端身份的真实性和状态的可信性,同时对关键的业务数据传输进行保密性和完整性的保护。
云平台系统可信架构
在等级保护的要求中,云平台系统一般作为单独的定级系统存在,其安全保护的等级不应低于其承载的租户业务系统的安全等级,云平台系统的安全是整体云信息系统安全的基础,如果没有安全可信的云平台系统,那么构筑于其上的租户业务系统的安全就成了无源之水,失去了根基,非常脆弱,甚至成为被黑客随意操控攻击他人的僵尸网络。
构建云平台系统的主动免疫可信架构,夯实云平台系统安全的根基,是构建整体云安全防护体系的根本举措。云环境的底层由各种职能物理节点构成各种物理网络,并采用虚拟化技术构建各种虚拟节点和虚拟网络。虚拟节点和虚拟网络建立在物理节点和物理网络的基础上。虚拟网络之间各自独立,并可以与外部网络连接通信,虚拟网络节点也可访问物理网络提供的各种服务。对于云环境而言,物理节点的可信是各种服务可信的保障,也是计算环境可信的基础。
云平台系统可信架构技术原理如下:
1)通过物理TPCM和物理机可信基础软件保障物理计算环境可信。
云环境物理节点的信任链和可信环境建立方式与普通物理网络并无差别。每个物理节点包括计算节点(为虚拟机提供计算能力的节点)和非计算节点,都配置TPCM物理芯片。TPCM芯片一般镶嵌在系统主板上,并具有物理保护功能。通过主板电路设计,物理芯片在系统启动时,主动度量系统启动代码的初始部分(一般是BIOS固件),再由度量过的启动代码逐级度量下一级启动代码,直到操作系统和可信基础软件机启动。至此完成并通过信任链建立。之后可信基础软件以TPCM芯片的为支撑,保障物理节点和物理网络环境的可信。
2)物理计算环境可信保障云平台服务和虚机运行环境可信。
可信基础软件和物理TPCM芯片协同工作,保障了物理计算环境可信,并可以根据策略对云环境各种服务进行度量,保障他们在启动之前和运行过程中始终处于可信状态,并可以让外部系统和管理平台监控运行环境的可信状态。
云环境虚拟化系统部件是虚机运行的基础。云环境虚拟化系统部件也是物理机的软件,它们由物理机可信环境提供可信保障。
3)为每个虚机建立虚拟VTPCM,为虚机可信提供支撑。
通过虚拟化技术,模拟一个虚拟的TPCM(VTPCM)作为虚机的可信根。VTPCM以物理TPCM提供的硬件保障为基础,VTPCM本身作为物理机的软件被物理机可信软件基度量监控。与物理TPCM类似,VTPCM主动度量虚拟机启动过程的部件,逐步建立虚拟机可信的信任链,直到可信软件基启动,这样信任链传递到虚拟机内部;VTPCM所有涉及虚机计算的密码部分,VT都转发给物理TPCM执行和保存,虚拟TPCM具有与物理TPCM同等功能和安全性。
虚拟机相对物理机有不同的生命周期管理,需要一个特有的控制模块,以便处理虚拟机的启动、暂停、休眠、关闭、恢复执行、迁移等活动。
4)虚拟机内部可信基础软件以VTPCM为支持,保障虚拟机计算环境可信。
与物理计算环境类似,虚拟机计算环境可信由虚拟机内部可信基础软件利用VTPCM的支撑进行保护。虚拟机内部可信软件基与物理机可信软件机完全相同,只是部分虚拟化支持的功能不会生效。虚拟机内部可信基础软件并不直到自己在虚拟机中执行,VTPCM对可信基础软件而言是真实的TPCM。
虚拟机内部可信基础软件通过各种度量监控虚拟机运行时刻的安全可信,必要时将任务委托给VTPCM处理。
5)物理TPCM增加上下文管理,区分物理节点和多个虚拟节点的命令处理
为区分处理多个虚拟节点和物理节点的可行命令处理,物理TPCM增加上下文管理,为物理节点和和多个虚拟节建立不同上下文,保存命令队列和已加载的密钥,来自物理节点和多个节点的命令有不同的标识(物理机的命令标识为空值),以区分采用哪个上下文,TPCM为来之不同节点的命令进行合理调度,保障适当的公平、减少命令响应时间。
虚拟节点的上下文可创建、删除、暂停使用。也可保存到外部以便减少TPCM内部资源的使用,在必要时可加载已保存的上下文,配合虚机暂停、休眠/恢复、停止/启动、迁移等。
6)可信基础软件增加虚机上下文管理接口,修改命令格式。
可信基础软件的可信支持机制中增加虚机上下文管理接口,当虚机启动、暂停、休眠、关闭、恢复执行、迁移时,VTPCM会调用相应的上下文管理接口。
修改命令格式,来自物理节点和多个节点的命令有不同的标识,以便隔离物理机及不同虚拟机的命令。
7)VMM中虚机迁移过程中增加可行相关迁移。
在原有迁移过程中增加可信相关迁移,主要包括两部分:
迁移可信数据以便迁移后可信相关部件恢复原有工作。
迁移过程中利用可信机制保障可信数据和用户数据的安全。
迁移可信数据主要包括TPCM内部虚机上下文(主要是已加载密钥)的迁移、VTPCM运行时状态迁移、VTPCM离线数据迁移、密钥树迁移。VTPCM离线数据包括持久状态配置、密钥(通过物理TPCM保护存储)、基准、策略。虚机内部也包括可信数据,这部分数据随虚机快照迁移,不用单独处理。迁移可信数据主要是在原有迁移过程中增加可信相关数据的迁移。包括获取保存可信数据、传输可信数据、恢复执行可信数据。密钥树迁移需要保障原因密钥在目标环境种可以重新加载运行,需要双方物理TPCM协同完成迁移。
迁移过程数据安全是利用可信机制,对可信数据和用户数据进行加密和完整性保护,以便保证可信数据和用户数据不泄露,不被篡改。
租户业务系统可信架构
租户业务系统可信架构是以“一个中心、三重防护”的设计理念为指导,在云平台系统可信架构提供的VTPCM支撑下,以虚拟机可信基础软件为核心构建可信计算环境,同时为租户业务系统建立虚拟可信边界和可信安全管理中心,形成以可信计算为支撑的纵深防御体系。
可信计算环境是通过可信度量技术保证操作系统运行环境的安全可信,通过可信存储技术保证操作系统关键数据和敏感信息的安全可信,通过可信证明技术对外提供操作系统的安全可信报告,从而从整体上保证了计算环境安全可信。
可信边界通过区域访问控制和包过滤措施进行安全检查和控制,确保进出区域边界的数据得到控制,阻止非授权访问;同时提供可信审计,发现并处置违规行为。
可信通信网络是可信计算节点之间进行信息传输及实施可信安全策略的相关部件。可信通信网络由数据传输机密性保护和数据传输完整性保护机制提供安全保护,确保网络通讯在传输过程中不会被窃听和篡改,以保障数据在传输过程中的安全。可信通信网络采用的可信网络连接机制,通过对连接到网络的设备进行可信检验,确保接入网络的设备真实可信,防止设备的非法接入。可信通信网络能够提供安全审计,对确认的违规行为进行报警和处置。
可信安全管理中心是对可信计算环境、可信边界、可信通信网络和可信应用支撑等实施统一管理的安全部件。可信安全管理中心是协助用户实现安全策略管理、安全组织管理、安全运作管理和安全技术框架的中心枢纽,具有管理层面和技术层面两种职能,可以有效的将企业的策略管理、安全组织管理、安全运作管理和安全技术框架结合在一起。
(二)主要部件设计
(1)物理TPCM芯片
1)硬件组成
如图2所示,TPCM芯片内部功能框图,根据功能分为四大类:数据IP类、模拟IP类、密码算法类和外设接口类。
数字IP类,包括CPU、DMA、ROM、RAM、PMU、PCIE、DDR。
模拟IP类,包括PLL、TSOR、VDT、OTP。
密码算法类,包括SHA256、TRNG、SM2/3/4、AES128/256、RSA/ECC、COUNTER。
外设接口类,包括GPIO、LPC、EMMC/NF、UART、I2C、SPI。
如图3所示,TPCM内部总线框图,TPCM内部总线采用AMBA(AdvancedMicrocontroller Bus Architecture)高级处理器总线架构。其中,AHB(Advanced High-performance Bus)高级高性能总线主要是针对高效率、高频宽及快速系统模块所设计的总线,它可以连接如微处理器、芯片上或芯片外的内存模块和DMA等高效率模块。APB(Advanced Peripheral Bus)高级外围总线主要用在低速且低功率的外围,可针对外围设备作功率消耗及复杂接口的最佳化。APB在AHB和低带宽的外围设备之间提供了通信的桥梁,所以APB是AHB或ASB的二级拓展总线。AXI(Advanced eXtensible Interface)高级可拓展接口特点是高速度、高带宽,管道化互联,单向通道,只需要首地址,读写并行,支持乱序,支持非对齐操作,有效支持初始延迟较高的外设。
2)软件组成
为满足TPCM与VTPCM任务的并行处理和对资源分时复用的需要,物理TPCM内部需要运行嵌入式linux操作系统。主要功能模块包括主动度量模块、任务调度模块、TPCM及VTPCM业务处理模块和资源管理模块等。
任务调度模块主要作用是处理TSB与TPCM之间上下文环境、根据执行资源平衡与调度任务顺序;主动度量功能模块会根据策略,对启动度量和动态度量的区域位置与粒度做出调整与适应;业务执行模块会对物理机可信基础软件及应用向TPCM发出的命令请求做出响应,并响应虚拟机对VTPCM发出的涉及敏感秘钥操作的命令请求;最底层的资源管理单元会依托嵌入式操作系统对密码运算资源、物理存储资源和外部接口等资源进行统一管理,平衡各任务对资源的使用需求。
如图4所示,物理TPCM安装于物理机主板之上,需要向物理机系统提供完整的TPCM功能。另外,还需要向虚拟机系统下的VTPCM提供部分TPCM功能的支撑,主要是与秘密秘钥相关的命令操作。考虑密码秘钥在内存中的秘密性问题,物理TPCM会为虚拟TPCM提供密码运算空间,一个VTPCM对应TPCM内部一块动态的VTPCM实例。在启动VM之前,QEMU会通过物理机可信基础软件(物理机可信基础软件)向物理TPCM发出创建对应VTPCM实例的请求。并且向处理单元中加载此VTPCM对应的设备状态信息和EK/SMK等数据。考虑到物理TPCM的资源相对有限和TPCM需要支持多个VTPCM访问请求的情况,物理TPCM提供的VTPCM实例只处理涉及到秘密秘钥的命令处理请求,如数据签名、PCR签名、解密和秘钥生成等。同时,考虑到VTPCM的迁移问题,需要提供VTPCM实例数据迁移功能,在VTPCM迁移时可以将VTPCM实例数据打包并提交给TSB。
上述TPCM对外提供的功能,需要上下文机制和策略机制的支持。上下文机制主要用于解决VTPCM与VTPCM对应关联问题。通过策略可以调整主动度量的度量范围和粒度,以及配置VTPCM实例数据迁移打包时所使用的方式和参数。
为满足云环境多虚拟机情况下,系统对于TPCM的需要,应从硬件和软件两方面对TPCM的设计进行综合考虑。从TPCM软件设计上应考虑对多任务并发的处理和有限的资源如何使用调度问题,最行之有效的办法就是采用嵌入式操作系统进行管理调度。从TPCM硬件设计上应考虑到高并发计算情况下,系统对于物理资源的需要,因此需要采用高性能大容量的元器件并对整体电路进行合理设计。
通过物理机可信基础软件和物理机应用程序对TPCM的访问是并发的,所以物理TPCM需要能够处理并发请求。设计采用任务池的方式处理并发任务,可以根据具体生产环境限制同时最多有多少个任务并行执行。任务池中主要包含任务队列和线程池,任务队列存储任务对象,每个任务的执行对应一个线程,线程池的设计可以减小线程在创建和回收过程中对任务执行效率的影响。对于每个任务,任务池能知道当前任务状态(尚未开始、进行中、已完成),当一个任务完成的时候,它将该任务清除,并且在任务队列中取出一个尚未完成的任务,并放入线程池中的一个线程中执行。
(2)可信计算虚拟化支撑平台
如图5所示,可信计算虚拟化支撑平台至下而上由物理机TPCM驱动、物理机可信基础软件、VMM的VTPCM和可信迁移、虚拟机TPCM驱动、虚拟机可信基础软件等部分构成。
1)VTPCM
如图6所示,VTPCM主要以虚拟化技术为支撑,模拟物理TPCM功能,实现对虚拟机的度量、虚拟信任根建立以及可信密码计算。为保证密码安全,密码计算转发给物理TPCM,密钥有物理TPCM保护,从密码角度看,虚拟VTPCM与物理TPCM达到相同水平。VTPCM主要包括以下模块:
虚拟设备接口对接模块:与Hypervisor接口配合,模拟TPCM设备与主机之间的IO交互,传输控制和数据。主要是处理IO端口/内存、DMA、中断等设备底层逻辑。
任务调度模块:VTPCM模拟TPCM,需要支持多个任务并发处理,这就要求VTPCM对任务进行调度。任务包括主动度量任务和主机发送的命令。调度要求缩短响应时间,避免一个长时间任务阻塞其他任务。
主动度量模块:主动度量包括启动阶段的主动度量和运行阶段的主动度量。启动度量指在计算加启动阶段对启动过程各部分进行度量,逐级建立信任链,直到可信软件基启动。这跟物理TPCM的启动度量完全相同。详细信息参见信任链建立章节。运行度量指运行间段,更加度量策略。对主机环境进行度量。这种度量不同于由可信基础软件通过命令发送的度量指令,而是完全由VTPCM根据策略自主发起的,但策略由可信基础软件事先下发到VTPCM。运行度量与物理TPCM的运行度量也完全相同,只是物理TPCM针对物理机度量,通过物理IO通道;而VTPCM针对虚拟机度量。
任务处理模块:处理主机发送命令,命令分为密码相关命令和其他命令。为了保证密码安全,密码相关命令发送给物理TPCM处理。其他命令在VTPCM中直接处理。密码任务转发:将密码任务通过物理机的可信支持机制转发给物理TPCM处理。VTPCM需要维持一个已转发队列,等待物理TPCM处理完成后从队列中清除,如果VTPCM迁移,会重新下发这个队列中的任务。其他任务:任务在VTPCM中直接处理。
虚拟设备控制模块:虚拟设备与物理设备的状态变化不完全相同,因虚机有可以暂停/恢复、休眠/唤醒、迁移等活动,相应的VTPCM的状态需要随虚机的状态变化而进行相应的处理。主要分为设备状态转换和存储。设备状态转换:随虚机状态变化而相应修改自身的状态。设备状态存储:由于虚拟设备没有物理硬件为载体来存储器内部数据和状体,其数据和状态需保持到物理机的文件系统之中。设备状态存储负责数据和状态的存储和加载。并加入安全保障机制,让数据和状态在存储加载时不会被破坏和泄露。包括利用物理TPCM的可信存储机制,进行加密/解密和完整性保护。
2)可信迁移
可信迁移包括以下模块。并在原由迁移流程过程中插入对这些模块的调用。
迁移准备模块:获取保存迁移的数据,并利用可信密码模块对相应的数据进行安全保护,包括机密性和完整性保护。以及迁移过程的密码协商。
数据复制模块:将数据复制到目标环境。采用可信连接机制保障数据传输来源可信、目标可信、传输过程安全可信。
迁移验证模块:目标环境利用可信机制,对迁移过来的数据进行验证。包括数据解密和完整信验证。
恢复执行模块:可信数据在目标环境恢复执行,包括状态恢复、上下文恢复、密钥树恢复等。
(3)可信基础软件
可信基础软件是主动免疫系统的核心部分,主要功能由可信主动监控机制、可信支撑机制、可信协作机制、可信基准库、可信策略管理五个部分组成。云环境下可信基础软件包括物理机可信基础软件、虚拟机可信基础软件两个部分。两者的主要区别在于物理机可信基础软件的可信支撑机制包含了对VTPCM的上下文管理功能。
1)可信主动监控机制
可信主动监控机制:主动监控机制是可信基础软件的核心,主要实现对应用环境中行为监测,根据监测数据度量应用环境可信状态,根据可信状态确定安全应对措施,并调度安全机制执行应对措施的过程。主动监控机制根据其功能可以拆分成可信控制机制、可信度量机制、可信决策机制和可信策略库。可信控制机制主动截获应用系统发出的系统调用,它既可以在截获点提取监测信息提交可信度量机制,也可以依据可信决策机制的决策,在截获点实施控制措施。可信决策机制依据度量结果和预设策略确定当前的安全应对措施,并调用不同的安全机制实施这些措施。
2)可信支撑机制
可信支撑机制:可信支撑是可信芯片的扩展。上层系统通过可信支撑机制可以使用可信芯片TPCM提供的功能。主要包括资源调度、并发访问控制、秘钥离线管理、会话管理。物理机可信基础软件的可信支撑机制还要为物理机上的每个VTPCM,提供上下文管理的功能。
3)可信协作机制
可信协作机制:包括平台之间通过可信连接进行可信协作,以及主动监控机制通过可信报告与系统其它安全机制进行可信协作。
安全机制协同:根据主动监控机制发出的可信报告,以及安全机制协同策略,综合判定需要协同的系统其它安全机制。
可信连接:截获连接请求,通过与对端的身份和状态证明、建立数据机密和完整性通道,确保通信双方可信,构建可信连接环境。可信网络连接的协商,通过TPCM提供的证书进行基于公钥机制的身份认证、通过TPCM提供的可信报告进行远程证明,保障对方身份和状态的可信。可信连接策略包含其它节点的五元组信息,以及可信认证超时时长,超时后会重新进行可信认证,如果认证不通过会断开该连接。
4)可信基准库
可信基准库:可信基准库存放节点各对象的可信基准值和预定控制策略,主动监控机制中的可信度量机制可以用可信基准值与度量对象的可信信息对比,并据此判定度量对象的可信状态。
可信基准值包括:进程环境基准值、设备标识基准值、文件基准值、操作系统环境基准值、用户标识基准值等。
5)可信策略管理
可信策略管理:可信策略管理通过可信协作机制的可信连接与经过鉴别和授权的可信策略管理中心通信,负责可信策略接收、配置、删除、查询以及更新,为可信基础软件提供可信策略服务。
(4)可信安全管理中心
1)服务平台框架
可信服务平台负责可信基础平台的管理和监控,包括配置策略,采集可信终端的各种运行数据进行统计分析,作为第三方参与可信证明等。
2)长连接与短连接的选择
根据功能需求,可信终端与服务端需要保持持续连接以便报告终端数据,完成推送等操作。持续连接有长连接和短连接两种方式,长链接维持长时间的TCP连接,短连接每次通信建立新的连接。长连接在一定程度上可以减少带宽的消耗(省去每次建立连接的开销),短连接采取请求响应模式,无连接和会话状态。短连接更适合分布式部署。考虑随着部署的增多,可用性和性能的要求,以后服务端分布式部署是必要的,因此选择短连接。
3)终端与服务平台通信方式
考虑认证、传输机密性和完整性等要求。终端与管理端的通信方式大概有3种可选方案。
第一种:TCP协议上自建通信、认证协议。该方案的优点是算法上的灵活性,由于自建认证、通信协议可以自由选择加密算法,能方面满足采用商密算法的要求。该方案有几个缺点:1、要自行处理协议,工作量比较大;2、不能充分利用JAVA应用服务器和主流框架的能力。即使利用Mina等服务框架,也有相当多的底层工作(非功能性的)自行处理。开发效率不高;3、这种方案一般跟长连接结合使用才能体现效率,不符合我们短连接的要求。
第二种:HTTPS REST服务。该方案开发效率上没有问题,能充分发挥JAVA应用服务器和主流框架的能力,也便于支持无状态开发。但是由于HTTPS与商密算法的集成有非常大的工作量,暂时不考虑这种方案。
第三种:HTTP REST服务+OAUTH+数据加密。OAUTH允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样,OAuth允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要分享他们的访问许可或他们数据的所有内容。OAUTH的认证方式授予令牌时进行认证,认证的方式是开放的,我们可以选择基于商密证书的认证机制。该方案开发效率上没有问题,能充分发挥JAVA应用服务器和主流框架的能力,也便于支持无状态开发,方便以后分布式部署。并通过OAUTH解决国密算法在HTTPS中使用的难题。
4)功能设计
1.策略编辑。管理员配置可信系统需要的各种策略,或者将策略学习形成的建议转换成正式的策略。负责记录终端策略下载,以便在服务端计算终端策略的基准值,用于验证终端策略可信。从软件源读取,从可信软件读取可信软件,解析并生产策略。
2.策略学习。采集终端上传的策略数据,进行统计分析,形成策略建议。
3.审计查询分析。支持多种查询条件对审计进行过滤。分析审计数据,得出一些有用的警报信息。
4.度量查询分析。支持多种查询条件对度量记录进行过滤。分析度量数据,得出一些有用的警报信息。
5.终端状态评估。根据终端上报的数据,综合评估终端的可信状态。提供查询查看终端的功能。
6.远程证明评估。为可信连接/远程证明提供第三方评估支持。主要是验证可信证明的有消息,并结合服务的终端状态评估结果,给出可信连接的评估决定。
7.证书与密码管理。设置根证书,查询终端证书,更新终端证书等。私有CA签发证书,或者将证书签发请求转发给外部CA。CA证书下载及终端证书下载。
8.软件库管理。查询查看软件库中的软件,推送安装软件。
9.态势感知与预测。根据可信数据感知节点和环境当前的危险。
10.心跳与消息推送。与终端心跳配合,推送终端可信状态变化、策略更新、系统升级、证书更新、可信软件安装等消息。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其同等技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种主动免疫可信云系统,其特征在于,所述主动免疫可信云系统包括:云平台系统和租户业务系统,
所述云平台系统,包括可信平台控制模块TPCM、物理机可信基础软件以及可信计算虚拟化支撑平台,通过所述TPCM和所述物理机可信基础软件保障底层云平台服务的安全运行,通过所述可信计算虚拟化支撑平台为每个虚拟机提供虚拟可信平台控制模块VTPCM;
所述租户业务系统,包括虚拟机可信基础软件,所述虚拟机可信基础软件用于在所述VTPCM支撑下对虚拟机可信计算环境进行主动防护。
2.根据权利要求1所述的主动免疫可信云系统,其特征在于,所述云平台系统还包括:
可信管理服务,用于对所述云平台系统进行统一可信管理和运维。
3.根据权利要求2所述的主动免疫可信云系统,其特征在于,所述云平台系统包括:控制节点、网络节点、至少一个计算节点和至少一个存储节点,
所述计算节点包括:所述TPCM、所述可信计算虚拟化支撑平台、计算服务、网络服务和网络接口;
所述存储节点包括:所述TPCM、所述物理机可信基础软件、存储服务、网络服务和网络接口;
所述控制节点和所述网络节点均包括:所述TPCM和/或所述物理机可信基础软件、可信管理服务、基础服务和网络接口,所述基础服务包括以下至少之一:认证服务、镜像服务、计算服务、控制面板和网络服务。
4.根据权利要求1所述的主动免疫可信云系统,其特征在于,所述租户业务系统包括:至少一个可信安全管理中心、至少一个虚拟机和虚拟可信边界,每个所述虚拟机包括所述虚拟机可信基础软件;
所述虚拟可信边界用于对进出所述租户业务系统的数据进行可信验证和访问控制,并实现所述租户业务系统与其他租户业务系统之间的可信连接机制,对关键的业务数据传输进行保密性和完整性的保护;
所述可信安全管理中心用于对所述租户业务系统进行统一的可信管理、系统管理、安全管理和审计管理。
5.根据权利要求1所述的主动免疫可信云系统,其特征在于,所述TPCM包括以下至少之一的部件:数据IP类、模拟IP类、密码算法类和外设接口类;
所述数据IP类的部件包括以下至少之一:CPU、DMA、ROM、RAM、PMU、PCIE、DDR;
所述模拟IP类的部件包括以下至少之一:PLL、TSOR、VDT、OTP;
所述密码算法类的部件包括以下至少之一:SHA256、TRNG、SM2/3/4、AES128/256、RSA/ECC、COUNTER;
所述外设接口类的部件包括以下至少之一:GPIO、LPC、EMMC/NF、UART、I2C、SPI。
6.根据权利要求1所述的主动免疫可信云系统,其特征在于,所述TPCM包括以下至少之一的模块:主动度量模块、任务调度模块、业务处理模块和资源管理模块;
所述主动度量模块用于根据策略对启动度量和动态度量的区域位置与粒度做出调整;
所述任务调度模块用于处理所述物理机可信基础软件与所述TPCM之间的上下文环境,根据执行资源平衡并调度任务顺序;
所述业务处理模块用于对所述物理机可信基础软件及应用向所述TPCM发出的命令请求做出响应,并对虚拟机向对应VTPCM发出的涉及敏感秘钥操作的命令请求做出响应;
所述资源管理模块用于对密码运算资源、物理存储资源和外部接口进行统一管理。
7.根据权利要求1所述的主动免疫可信云系统,其特征在于,所述物理机可信基础软件包括:可信主动监控机制、可信支撑机制、可信协作机制、可信基准库和可信策略管理;
所述可信主动监控机制用于对对应物理机的应用环境中的行为进行监测,根据监测数据对所述应用环境的可信状态进行度量,根据所述可信状态确定安全应对措施,并调度安全机制执行应对措施的过程;
所述可信支撑机制用于向所述云平台系统提供资源调度、并发访问控制、秘钥离线管理、会话管理的功能,以及向对应物理机上的每个VTPCM提供上下文管理的功能;
所述可信协作机制用于通过可信连接进行物理机之间的可信协作,以及所述主动监控机制通过可信报告与其他安全机制进行的可信协作;
所述可信基准库用于存放度量对象的可信基准值和预定控制策略;
所述可信策略管理用于向所述物理机可信基础软件提供可信策略服务。
8.根据权利要求1所述的主动免疫可信云系统,其特征在于,所述可信计算虚拟化支撑平台包括:虚拟机监控器,所述虚拟机监控器内包括VTPCM和可信迁移;
所述VTPCM作为虚拟可信根,用于实现虚拟设备接口对接、对应虚拟机启动阶段和运行阶段的主动度量、任务处理和虚拟设备控制;
所述可信迁移用于实现迁移准备、数据复制、迁移验证和恢复执行。
9.根据权利要求1所述的主动免疫可信云系统,其特征在于,所述虚拟机可信基础软件包括:可信主动监控机制、可信支撑机制、可信协作机制、可信基准库和可信策略管理;
所述可信主动监控机制用于对对应虚拟机的应用环境中的行为进行监测,根据监测数据对所述应用环境的可信状态进行度量,根据度量结果确定安全应对措施,并调度安全机制执行应对措施的过程;
所述可信支撑机制用于向所述租户业务系统提供资源调度、并发访问控制、秘钥离线管理、会话管理的功能;
所述可信协作机制用于通过可信连接进行虚拟机之间的可信协作,以及所述主动监控机制通过可信报告与其他安全机制进行的可信协作;
所述可信基准库用于存放度量对象的可信基准值和预定控制策略;
所述可信策略管理用于向所述虚拟机可信基础软件提供可信策略服务。
10.根据权利要求1-9任一项所述的主动免疫可信云系统,其特征在于,所述租户业务系统还包括:可信通信网络,用于通过数据传输机密性保护机制和数据传输完整性保护机制对数据传输过程进行安全保护,通过可信网络连接机制对连接到网络的设备进行可信检验。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911316467.6A CN111158906B (zh) | 2019-12-19 | 2019-12-19 | 一种主动免疫可信云系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911316467.6A CN111158906B (zh) | 2019-12-19 | 2019-12-19 | 一种主动免疫可信云系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111158906A true CN111158906A (zh) | 2020-05-15 |
| CN111158906B CN111158906B (zh) | 2023-04-28 |
Family
ID=70557387
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911316467.6A Active CN111158906B (zh) | 2019-12-19 | 2019-12-19 | 一种主动免疫可信云系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111158906B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111478820A (zh) * | 2020-06-24 | 2020-07-31 | 南京赛宁信息技术有限公司 | 网络靶场大规模网络环境的网络设备配置系统与方法 |
| CN111859378A (zh) * | 2020-07-31 | 2020-10-30 | 中国工商银行股份有限公司 | 保护数据模型的处理方法和装置 |
| CN112149132A (zh) * | 2020-09-08 | 2020-12-29 | 北京工业大学 | 一种主动免疫的大数据可信计算平台 |
| CN112257071A (zh) * | 2020-10-23 | 2021-01-22 | 江西畅然科技发展有限公司 | 一种基于物联网感知层状态与行为的可信度量控制方法 |
| CN112784258A (zh) * | 2020-12-29 | 2021-05-11 | 国网宁夏电力有限公司信息通信公司 | 一种可信计算系统及安全防护系统 |
| CN113076542A (zh) * | 2021-03-16 | 2021-07-06 | 广东电网有限责任公司汕尾供电局 | 一种可信计算在人工智能的测试管理系统 |
| CN113254929A (zh) * | 2021-05-21 | 2021-08-13 | 昆山翦统智能科技有限公司 | 一种企业远程智能服务的免疫计算与决策方法及系统 |
| CN113726726A (zh) * | 2021-05-30 | 2021-11-30 | 国网河北省电力有限公司信息通信分公司 | 一种基于边缘计算的电力物联网可信度量方法 |
| CN114047948A (zh) * | 2021-11-08 | 2022-02-15 | 可信计算科技(无锡)有限公司 | 可重构的可信密码模块模拟器、实现方法及模拟重构方法 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090204964A1 (en) * | 2007-10-12 | 2009-08-13 | Foley Peter F | Distributed trusted virtualization platform |
| CN101515316A (zh) * | 2008-02-19 | 2009-08-26 | 北京工业大学 | 一种可信计算终端及可信计算方法 |
| US20120266231A1 (en) * | 2011-04-18 | 2012-10-18 | Bank Of America Corporation | Secure Network Cloud Architecture |
| US20140317716A1 (en) * | 2013-04-18 | 2014-10-23 | International Business Machines Corporation | Extending infrastructure security to services in a cloud computing environment |
| CN105095768A (zh) * | 2015-08-20 | 2015-11-25 | 浪潮电子信息产业股份有限公司 | 一种基于虚拟化的可信服务器信任链的构建方法 |
| CN108322306A (zh) * | 2018-03-17 | 2018-07-24 | 北京工业大学 | 一种基于可信第三方的面向隐私保护的云平台可信日志审计方法 |
| CN108418786A (zh) * | 2017-12-28 | 2018-08-17 | 广州华夏职业学院 | 一种云计算数据安全支撑平台 |
| CN109165079A (zh) * | 2018-08-07 | 2019-01-08 | 郑州云海信息技术有限公司 | 基于虚拟化的云数据中心可信平台、信任链构建方法、迁移方法 |
| CN109710386A (zh) * | 2019-01-03 | 2019-05-03 | 北京工业大学 | 一种虚拟机的虚拟可信根实例的整体动态迁移方法 |
| CN109783192A (zh) * | 2018-12-18 | 2019-05-21 | 北京可信华泰信息技术有限公司 | 一种虚拟机安全迁移系统 |
| CN109992972A (zh) * | 2019-04-10 | 2019-07-09 | 北京可信华泰信息技术有限公司 | 一种云环境内信任链的建立方法及系统 |
| CN110012074A (zh) * | 2019-03-12 | 2019-07-12 | 北京可信华泰信息技术有限公司 | 一种云环境可信上下文管理方法 |
-
2019
- 2019-12-19 CN CN201911316467.6A patent/CN111158906B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090204964A1 (en) * | 2007-10-12 | 2009-08-13 | Foley Peter F | Distributed trusted virtualization platform |
| CN101515316A (zh) * | 2008-02-19 | 2009-08-26 | 北京工业大学 | 一种可信计算终端及可信计算方法 |
| US20120266231A1 (en) * | 2011-04-18 | 2012-10-18 | Bank Of America Corporation | Secure Network Cloud Architecture |
| US20140317716A1 (en) * | 2013-04-18 | 2014-10-23 | International Business Machines Corporation | Extending infrastructure security to services in a cloud computing environment |
| CN105095768A (zh) * | 2015-08-20 | 2015-11-25 | 浪潮电子信息产业股份有限公司 | 一种基于虚拟化的可信服务器信任链的构建方法 |
| CN108418786A (zh) * | 2017-12-28 | 2018-08-17 | 广州华夏职业学院 | 一种云计算数据安全支撑平台 |
| CN108322306A (zh) * | 2018-03-17 | 2018-07-24 | 北京工业大学 | 一种基于可信第三方的面向隐私保护的云平台可信日志审计方法 |
| CN109165079A (zh) * | 2018-08-07 | 2019-01-08 | 郑州云海信息技术有限公司 | 基于虚拟化的云数据中心可信平台、信任链构建方法、迁移方法 |
| CN109783192A (zh) * | 2018-12-18 | 2019-05-21 | 北京可信华泰信息技术有限公司 | 一种虚拟机安全迁移系统 |
| CN109710386A (zh) * | 2019-01-03 | 2019-05-03 | 北京工业大学 | 一种虚拟机的虚拟可信根实例的整体动态迁移方法 |
| CN110012074A (zh) * | 2019-03-12 | 2019-07-12 | 北京可信华泰信息技术有限公司 | 一种云环境可信上下文管理方法 |
| CN109992972A (zh) * | 2019-04-10 | 2019-07-09 | 北京可信华泰信息技术有限公司 | 一种云环境内信任链的建立方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| JIANGCHUN REN 等: "Tenants Attested Trusted Cloud Service", 《2016 IEEE 9TH INTERNATIONAL CONFERENCE ON CLOUD COMPUTING (CLOUD)》 * |
| 张建标 等: "面向云计算环境的vTPCM可信管理方案", 《信息网络安全》 * |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111478820B (zh) * | 2020-06-24 | 2020-10-09 | 南京赛宁信息技术有限公司 | 网络靶场大规模网络环境的网络设备配置系统与方法 |
| CN111478820A (zh) * | 2020-06-24 | 2020-07-31 | 南京赛宁信息技术有限公司 | 网络靶场大规模网络环境的网络设备配置系统与方法 |
| CN111859378B (zh) * | 2020-07-31 | 2022-11-18 | 中国工商银行股份有限公司 | 保护数据模型的处理方法和装置 |
| CN111859378A (zh) * | 2020-07-31 | 2020-10-30 | 中国工商银行股份有限公司 | 保护数据模型的处理方法和装置 |
| CN112149132A (zh) * | 2020-09-08 | 2020-12-29 | 北京工业大学 | 一种主动免疫的大数据可信计算平台 |
| CN112257071A (zh) * | 2020-10-23 | 2021-01-22 | 江西畅然科技发展有限公司 | 一种基于物联网感知层状态与行为的可信度量控制方法 |
| CN112784258A (zh) * | 2020-12-29 | 2021-05-11 | 国网宁夏电力有限公司信息通信公司 | 一种可信计算系统及安全防护系统 |
| CN113076542A (zh) * | 2021-03-16 | 2021-07-06 | 广东电网有限责任公司汕尾供电局 | 一种可信计算在人工智能的测试管理系统 |
| CN113254929A (zh) * | 2021-05-21 | 2021-08-13 | 昆山翦统智能科技有限公司 | 一种企业远程智能服务的免疫计算与决策方法及系统 |
| CN113254929B (zh) * | 2021-05-21 | 2023-11-07 | 昆山翦统智能科技有限公司 | 一种企业远程智能服务的免疫计算与决策方法及系统 |
| CN113726726A (zh) * | 2021-05-30 | 2021-11-30 | 国网河北省电力有限公司信息通信分公司 | 一种基于边缘计算的电力物联网可信度量方法 |
| CN114047948A (zh) * | 2021-11-08 | 2022-02-15 | 可信计算科技(无锡)有限公司 | 可重构的可信密码模块模拟器、实现方法及模拟重构方法 |
| CN114047948B (zh) * | 2021-11-08 | 2022-09-16 | 可信计算科技(无锡)有限公司 | 可重构的可信密码模块模拟器、实现方法及模拟重构方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111158906B (zh) | 2023-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111158906B (zh) | 一种主动免疫可信云系统 | |
| US20210084075A1 (en) | System and Method for Security Health Monitoring And Attestation Of Virtual Machines In Cloud Computing Systems | |
| RU2738021C2 (ru) | Система и способы для дешифрования сетевого трафика в виртуализированной среде | |
| Xu et al. | Dominance as a new trusted computing primitive for the internet of things | |
| Ibrahim et al. | Trusted cloud computing architectures for infrastructure as a service: Survey and systematic literature review | |
| CN102244684B (zh) | 基于usbkey的efi可信云链引导方法 | |
| Schiffman et al. | Cloud verifier: Verifiable auditing service for IaaS clouds | |
| WO2016122751A2 (en) | Using trusted execution environments for security of code and data | |
| Mirzamohammadi et al. | Ditio: Trustworthy auditing of sensor activities in mobile & IoT devices | |
| WO2014121510A1 (zh) | 实现云计算网络防攻击的方法、设备和网络 | |
| Price | The paradox of security in virtual environments | |
| CN103347027A (zh) | 一种可信网络连接方法和系统 | |
| Jamkhedkar et al. | A framework for realizing security on demand in cloud computing | |
| Li et al. | TLB Poisoning Attacks on AMD Secure Encrypted Virtualization | |
| Yu et al. | A trusted architecture for virtual machines on cloud servers with trusted platform module and certificate authority | |
| Gupta | An edge-computing based Industrial Gateway for Industry 4.0 using ARM TrustZone technology | |
| Coppola et al. | Automation for industry 4.0 by using secure lorawan edge gateways | |
| Morbitzer | Scanclave: verifying application runtime integrity in untrusted environments | |
| Jäger et al. | A resilient network node for the industrial Internet of Things | |
| Sun et al. | Cloud armor: Protecting cloud commands from compromised cloud services | |
| Zhang et al. | Mushi: Toward multiple level security cloud with strong hardware level isolation | |
| Lazri et al. | Reconsidering intrusion monitoring requirements in shared cloud platforms | |
| Jin et al. | Trusted attestation architecture on an infrastructure-as-a-service | |
| Ver | Dynamic load balancing based on live migration of virtual machines: Security threats and effects | |
| CN111147252B (zh) | 一种云环境可信连接方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |