当前位置: 首页 > 专利查询>中南大学专利>正文

一种净室云计算数据处理方法及系统技术方案

技术编号:15398687 阅读:183 留言:0更新日期:2017-05-22 15:25
本发明专利技术公开了一种净室云计算数据处理方法及系统,以净室云计算模型为架构,以净室态安全框架构建技术、净室态安全迁移技术和净室态实时监控技术为技术手段;所述的净室云计算模型由可信虚拟机监控器(TVMM)、可信节点管理器(TNM)以及可信节点(TN)构成;若执行环境的完整性遭到破坏,则可信虚拟机监控器向用户给出报警;该净室云计算数据处理方法及系统具有安全性高的优点。

A room of cloud computing data processing method and system

The invention discloses a cleanroom system of cloud computing and data processing method for cloud computing architecture to cleanroom model, construction technology, safety technology and cleanroom state migration state real-time monitoring cleanroom technology to clean state security framework; calculating the room a trust cloud model of virtual machine monitor (TVMM), trusted node manager (TNM) and trusted nodes (TN); if the integrity of the implementation of environmental destruction, is the trusted virtual machine monitor gives the user an alarm; the room of cloud computing and system data processing method has the advantages of high safety.

【技术实现步骤摘要】
一种净室云计算数据处理方法及系统
本专利技术涉及一种净室云计算数据处理方法及系统。
技术介绍
云计算技术是近年来计算机领域最为热门的话题之一,正在成为未来计算技术发展的最为重要的趋势之一。国际著名科技咨询机构Gartner组织每年会综合各方面的信息以发布IT技术发展趋势,并且评选出未来三年最值得关注的十大关键技术。该组织在2014年最新发布的报告中,云计算技术仍然是十大战略性技术趋势之一。另外,市场研究公司IDC最新发布的研究报告声称,云计算技术正在对IT市场产生深远的影响,它不仅可以为供应商创造许多新机会,并且正在推动传统IT产业发生根本性的变化。IDC预测,2014年云计算将驱动1千亿美元的消费,比2013年增长25%;而我国2014年云计算中心等基础硬件建设会达到高峰,云计算基础架构市场总体规模至2015年将超过20亿美元。云计算技术现已成为一个国家产业和信息安全的导向性指标之一。2009年9月,美国政府宣布了一项长期的云计算政策。英国在2009年发布的“数字英国报告”中,呼吁加强政府部门的云计算部署。韩国政府决定,在2014年前,向云计算领域投入巨资,争取使韩国云计算市场规模扩大到目前的4倍。我国已经开始制定云计算国家级战略规划。2010年10月,工信部和发改委联合发布了《关于做好云计算服务创新试点示范工作的通知》,明确在北京、上海、深圳、杭州、无锡5个城市开展云计算试点。国务院《关于加快培育和发展战略性新兴产业的决定》中明确指出:要大力发展包括节能环保、新一代信息技术、生物、高端装备制造、新能源、新材料和新能源汽车等战略性新兴产业。云计算就属于其中新一代信息技术的范畴。随着云计算技术的发展,云计算中的安全问题越来越受到产业界和学术界的关注。安全专家普遍认为云计算技术还很不成熟,信息安全问题严重影响了部署云计算服务的步伐。Gartner组织曾指出:虽然云计算具有十分广阔的应用前景和巨大的商业价值,但是,对于使用这项服务的用户来说,他们应该意识到,云计算服务存在着特权用户的接入、可审查性、数据位置、数据隔离、数据恢复、调查支持、以及长期生存性七大潜在安全风险[3]。事实上,在这些安全风险中,一些风险已经发生。例如,Google公司泄露用户隐私事件,以及AmazonEC2、GoogleApps、WindowsAzure的服务中断事件。据IDC发布的云计算服务调查报告显示,服务安全性、稳定性、以及性能表现是云计算服务面临的三大市场挑战[4]。信息安全关乎国家的政治、经济和文化等各个方面。我国在《2006-2020年国家信息化发展战略》中明确指出信息安全技术的重要地位,并且将大幅提高国家信息安全保障水平作为2020年我国信息化发展的战略目标。云计算技术作为推动科技进步和社会发展的一种新兴的计算模型,已成为国际竞争的焦点和制高点,成为衡量一个国家综合国力和科学研究能力的重要指标之一。实现安全云计算不仅可以促进我国政治、经济、科技和国家安全建设,而且,随着云计算技术的发展,该技术对于增强我国综合国力和科技创新能力有着十分重要的意义。因此,有必要设计一种安全性更高的用于云计算的数据处理方法及系统。
技术实现思路
本专利技术所要解决的技术问题是提供一种净室云计算数据处理方法及系统,该净室云计算数据处理方法及系统具有安全性高的优点。专利技术的技术解决方案如下:一种净室云计算数据处理方法,以净室云计算模型为架构;所述的净室云计算模型由可信虚拟机监控器(TrustedVirtualMachineMonitor,TVMM)、可信节点管理器(TrustedNodeManager,TNM)以及可信节点(TrustedNode,TN)构成;其中,可信虚拟机监控器TVMM是一个位于硬件平台与用户虚拟机之间的软件【TVMM的实现参考净室态安全框架构建技术】,且位于安全边界以内,负责监控虚拟机的运行;【虚拟机是指模拟的具有完整硬件系统功能的计算机系统,是CSP作为服务提供给用户的,对用户来说,就好像使用实际的计算机一样。】可信节点TN为位于安全边界以内、运行了可信平台模块(TrustedPlatformModule,TPM)的节点;可信节点管理器TNM位于安全边界以外,不受CSP的控制,为用户运行的软件,或者用户委托可信第三方运行的软件;TN向TNM注册,TNM维护一张注册表,用以管理位于安全边界以内的所有节点,并且通过增加/删除表中的记录管理动态变化的可信节点集合,从而保证只有可信节点能够参与到虚拟机部署和迁移过程中,并保证整个部署和迁移过程的安全性;基于用户与CSP签订的使用协议,用户通过可信虚拟机监控器对服务执行环境进行隐秘的测量[测量方法见净室态安全框架构建技术];若执行环境的完整性遭到破坏,则可信虚拟机监控器向用户给出报警;所述的使用协议确定了CSP提供服务的权限。违反所述的使用协议的情况包括窥视、篡改和破坏服务执行环境,也即用户虚拟机。在可信节点的主板嵌入了可信平台模块(TPM)芯片,以提供可信计算的信任根;TPM中有一系列平台配置寄存器(PlatformConfigurationRegister,PCR);PCR是TPM的测量信任根程序,通过隐秘监测(即窃听)外部设备与CPU输入/输出控制中心之间的输入/输入总线,获取从外部设备到平台的软件执行环境的测量结果,并且将其记录在非永久性存储器中;用户通过远程认证方式,即“挑战-回复”机制获取多个PCR中的测量结果,并且将接收到的测量列表与期望值比较,从而判断VMM是否部署在嵌入了可信平台模块的云服务器上,并判断VMM的启动过程是否安全;远程认证过程中,获取VMM的真实上下文环境,包括VMM的数据和代码,以及CPU的完整性状态;认证结果被安全地传送到远程认证方,且不被篡改和造假;在可信节点装备了能够远程触发系统管理中断(SystemManagementInterrupt,SMI)的频带外信道(例如,IBMBladerCenter),利用系统管理模式(SystemManagementModel,SMM)、智能平台管理接口(IntelligentPlatformManagementInterface,IPMI)、以及底板管理控制器(BaseboardManagementController,BMC),用户通过远程认证的方式对VMM的运行过程的动态完整性进行隐密的检测,且保证验证过程不被中断或者篡改,获得真实、可信、完整的测量结果。TVMM的运行时完整性的检测由动态管理器(DynamicManagement,DM)执行;DM由两个组件构成:位于系统管理随机存取存储器中的系统管理中断处理器(SystemManagementRandomAccessMemory,SMRAM)、以及位于TVMM完整性测量代理;用户利用基于IPMI和BMC频带外信道,以远程调用DM的方式实现对VMM运行过程的动态完整性进行检测。在远程认证过程中:①实现隐秘的测量:首先由BMC产生的SMI可能被恶意的VMM作废或者重新路由;如果SMI被撤销,则远程实体将无法在有限时间内收到测量结果,从而推断SMI被VMM恶意撤销;其次,VMM具有触发SMI的能力,能够通过伪测量调用来隐瞒原始SMI调用;为了区分通过频带外信本文档来自技高网
...
一种净室云计算数据处理方法及系统

【技术保护点】
一种净室云计算数据处理方法,其特征在于,以净室云计算模型为架构;所述的净室云计算模型由可信虚拟机监控器TVMM、可信节点管理器TNM以及可信节点TN构成;其中,可信虚拟机监控器TVMM是一个位于硬件平台与用户虚拟机之间的软件,且位于安全边界以内,负责监控虚拟机的运行;可信节点TN为位于安全边界以内、运行了可信平台模块TPM的节点;可信节点管理器TNM位于安全边界以外,不受云服务提供商CSP的控制,为用户运行的软件,或者用户委托可信第三方运行的软件;可信节点TN向可信节点管理器TNM注册,可信节点管理器TNM维护一张注册表,用以管理位于安全边界以内的所有节点,并且通过增加/删除表中的记录管理动态变化的可信节点集合,从而保证只有可信节点能够参与到虚拟机部署和迁移过程中,并保证整个部署和迁移过程的安全性;基于用户与云服务提供商CSP签订的使用协议,用户通过可信虚拟机监控器对服务执行环境进行隐秘的测量;若执行环境的完整性遭到破坏,则可信虚拟机监控器向用户给出报警;所述的使用协议确定了云服务提供商CSP提供服务的权限;违反所述的使用协议的情况包括窥视、篡改和破坏服务执行环境,也即用户虚拟机;在可信节点的主板嵌入了可信平台模块芯片,以提供可信计算的信任根;可信平台模块TPM中有一系列平台配置寄存器,PCR;PCR是可信平台模块TPM的测量信任根程序,通过隐秘监测外部设备与CPU输入/输出控制中心之间的输入/输入总线,获取从外部设备到平台的软件执行环境的测量结果,并且将其记录在非永久性存储器中;用户通过远程认证方式,即“挑战‑回复”机制获取多个PCR中的测量结果,并且将接收到的测量列表与期望值比较,从而判断虚拟机监视器VMM是否部署在嵌入了可信平台模块的云服务器上,并判断虚拟机监视器VMM的启动过程是否安全;远程认证过程中,获取虚拟机监视器VMM的真实上下文环境,包括虚拟机监视器VMM的数据和代码,以及CPU的完整性状态;认证结果被安全地传送到远程认证方,且不被篡改和造假;在可信节点装备了能够远程触发系统管理中断的频带外信道,利用系统管理模式、智能平台管理接口、以及底板管理控制器,用户通过远程认证的方式对虚拟机监视器VMM的运行过程的动态完整性进行隐密的检测,且保证验证过程不被中断或者篡改,获得真实、可信、完整的测量结果;可信虚拟机监视器TVMM的运行时完整性的检测由动态管理器执行;动态管理器DM由两个组件构成:位于系统管理随机存取存储器中的系统管理中断处理器、以及位于可信虚拟机监视器TVMM完整性测量代理;用户利用基于智能平台管理接口IPMI和底板管理控制器BMC频带外信道,以远程调用动态管理器DM的方式实现对虚拟机监视器VMM运行过程的动态完整性进行检测;在远程认证过程中:①实现隐秘的测量:首先由底板管理控制器BMC产生的系统管理中断SMI可能被恶意的虚拟机监视器VMM作废或者重新路由;如果系统管理中断SMI被撤销,则远程实体将无法在有限时间内收到测量结果,从而推断系统管理中断SMI被虚拟机监视器VMM恶意撤销;其次,虚拟机监视器VMM具有触发系统管理中断SMI的能力,能够通过伪测量调用来隐瞒原始系统管理中断SMI调用;为了区分通过频带外信道对系统管理中断SMI的调用与虚拟机监视器VMM的伪调用,采用一系列不能被软件篡改的状态寄存器来存储系统管理中断SMI调用的类型,并采用通用输入端口路由表来记录每个通用输入端口产生的中断类型,保证只有与底板管理控制器BMC相连的通用输入端口才能触发系统管理中断SMI;②保证动态管理器DM组件的完整性:首先,需要实现系统管理中断SMI处理器的可信启动,从BIOS中的核心可信测量根完整自我检查以及可执行代码的检查开始,直到启动过程中所有组件都被测量完毕;其次,需要保证系统管理中断SMI处理器在调用测量代理之前,先计算测量代理相关代码的哈希值,以验证测量代理的完整性;③保证验证过程不被中断或者篡改:为了保证验证过程一旦开始就不能被中断或者篡改,保证测量执行过程中一旦发生了中断或异常,测量控制流将直接转到系统管理中断SMI处理器;④保证测量环境信息的完整性:获取虚拟机监视器VMM完整、真实的上下文环境,包括虚拟机监视器VMM的数据和代码,当被系统管理中断SMI中断时,采用回退技术,通过注入一个导致虚拟机无条件退出的指令,强迫CPU内核从用户虚拟机转移到虚拟机监视器VMM;回退过程如下:保持所有寄存器中的值,以及下一条指令和地址;注入一个特权指令取代下一条指令;一旦一个事件被计数,设置性能寄存器为溢出;修改高级可编程中断控制器以至于性能寄存器溢出导致一个系统管理中断SMI中断;模型采用远程认证方式保证结果的真实性:在系统启动过程中,为平台产生一个公钥/私钥对,在锁住SMRAM之前,将私钥存放在SMRAM中,并且...

【技术特征摘要】
1.一种净室云计算数据处理方法,其特征在于,以净室云计算模型为架构;所述的净室云计算模型由可信虚拟机监控器TVMM、可信节点管理器TNM以及可信节点TN构成;其中,可信虚拟机监控器TVMM是一个位于硬件平台与用户虚拟机之间的软件,且位于安全边界以内,负责监控虚拟机的运行;可信节点TN为位于安全边界以内、运行了可信平台模块TPM的节点;可信节点管理器TNM位于安全边界以外,不受云服务提供商CSP的控制,为用户运行的软件,或者用户委托可信第三方运行的软件;可信节点TN向可信节点管理器TNM注册,可信节点管理器TNM维护一张注册表,用以管理位于安全边界以内的所有节点,并且通过增加/删除表中的记录管理动态变化的可信节点集合,从而保证只有可信节点能够参与到虚拟机部署和迁移过程中,并保证整个部署和迁移过程的安全性;基于用户与云服务提供商CSP签订的使用协议,用户通过可信虚拟机监控器对服务执行环境进行隐秘的测量;若执行环境的完整性遭到破坏,则可信虚拟机监控器向用户给出报警;所述的使用协议确定了云服务提供商CSP提供服务的权限;违反所述的使用协议的情况包括窥视、篡改和破坏服务执行环境,也即用户虚拟机;在可信节点的主板嵌入了可信平台模块芯片,以提供可信计算的信任根;可信平台模块TPM中有一系列平台配置寄存器,PCR;PCR是可信平台模块TPM的测量信任根程序,通过隐秘监测外部设备与CPU输入/输出控制中心之间的输入/输入总线,获取从外部设备到平台的软件执行环境的测量结果,并且将其记录在非永久性存储器中;用户通过远程认证方式,即“挑战-回复”机制获取多个PCR中的测量结果,并且将接收到的测量列表与期望值比较,从而判断虚拟机监视器VMM是否部署在嵌入了可信平台模块的云服务器上,并判断虚拟机监视器VMM的启动过程是否安全;远程认证过程中,获取虚拟机监视器VMM的真实上下文环境,包括虚拟机监视器VMM的数据和代码,以及CPU的完整性状态;认证结果被安全地传送到远程认证方,且不被篡改和造假;在可信节点装备了能够远程触发系统管理中断的频带外信道,利用系统管理模式、智能平台管理接口、以及底板管理控制器,用户通过远程认证的方式对虚拟机监视器VMM的运行过程的动态完整性进行隐密的检测,且保证验证过程不被中断或者篡改,获得真实、可信、完整的测量结果;可信虚拟机监视器TVMM的运行时完整性的检测由动态管理器执行;动态管理器DM由两个组件构成:位于系统管理随机存取存储器中的系统管理中断处理器、以及位于可信虚拟机监视器TVMM完整性测量代理;用户利用基于智能平台管理接口IPMI和底板管理控制器BMC频带外信道,以远程调用动态管理器DM的方式实现对虚拟机监视器VMM运行过程的动态完整性进行检测;在远程认证过程中:①实现隐秘的测量:首先由底板管理控制器BMC产生的系统管理中断SMI可能被恶意的虚拟机监视器VMM作废或者重新路由;如果系统管理中断SMI被撤销,则远程实体将无法在有限时间内收到测量结果,从而推断系统管理中断SMI被虚拟机监视器VMM恶意撤销;其次,虚拟机监视器VMM具有触发系统管理中断SMI的能力,能够通过伪测量调用来隐瞒原始系统管理中断SMI调用;为了区分通过频带外信道对系统管理中断SMI的调用与虚拟机监视器VMM的伪调用,采用一系列不能被软件篡改的状态寄存器来存储系统管理中断SMI调用的类型,并采用通用输入端口路由表来记录每个通用输入端口产生的中断类型,保证只有与底板管理控制器BMC相连的通用输入端口才能触发系统管理中断SMI;②保证动态管理器DM组件的完整性:首先,需要实现系统管理中断SMI处理器的可信启动,从BIOS中的核心可信测量根完整自我检查以及可执行代码的检查开始,直到启动过程中所有组件都被测量完毕;其次,需要保证系统管理中断SMI处理器在调用测量代理之前,先计算测量代理相关代码的哈希值,以验证测量代理的完整性;③保证验证过程不被中断或者篡改:为了保证验证过程一旦开始就不能被中断或者篡改,保证测量执行过程中一旦发生了中断或异常,测量控制流将直接转到系统管理中断SMI处理器;④保证测量环境信息的完整性:获取虚拟机监视器VMM完整、真实的上下文环境,包括虚拟机监视器VMM的数据和代码,当被系统管理中断SMI中断时,采用回退技术,通过注入一个导致虚拟机无条件退出的指令,强迫CPU内核从用户虚拟机转移到虚拟机监视器VMM;回退过程如下:保持所有寄存器中的值,以及下一条指令和地址;注入一个特权指令取代下一条指令;一旦一个事件被计数,设置性能寄存器为溢出;修改高级可编程中断控制器以至于性能寄存器溢出导致一个系统管理中断SMI中断;模型采用远程认证方式保证结果的真实性:在系统启动过程中,为平台产生一个公钥/私钥对,在锁住SMRAM之前,将私钥存放在SMRAM中,并且将公钥存放在可信平台模块TPM的静态PCR中;为了获得测量过程的结果,远程用户发送一个请求和一个随机数给验证代理;验证代理将获得基于随机数而产生两个不同的签名值:第一个是静态认证输出,由可信平台模块TPM私钥签名;第二个是测量的结果,由系统管理中断SMI处理器的私钥签名;通过比较签名则可以判断结果的真实性。2.根据权利要求1所述的净室云计算数据处理方法,其特征在于,可信节点管理器TNM维护一个可信节点集合列表,记录位于安全边界以内的节点、该节点的公共背书密钥、以及期望的测量列表,并公布自己的背书密钥公钥、期望的测量列表、以及可信密钥公钥;可信节点管理器TNM与可信节点之间通过远程认证验证测量列表的完整性来相互验证平台的可信性;在迁移过程中,源节点请求可信节点管理器TNM验证目的节点的可信性;如果源节点与目的节点都位于可信节点集合中,可信节点管理器TNM允许两个节点直接进行通信;源节点与目的节点之间协商一个会话密钥,加密虚拟机迁移过程中的相关信息;为了保证虚拟机迁移过程的完整性和安全性,源节点计算虚拟机身份的哈希值,并且将虚拟机身份以及哈希值加密后传递给目的节点;具体可信虚拟机迁移过程如下:1)源节点Ns请求可信节点管理器TNM验证目的节点Nd的可信性:源节点Ns首先选择一个向可信节点管理器TNM发起的挑战然后利用其可信密钥的私钥加密挑战和目的节点Nd的目的节点身份最后将产生的密文以及源节点身份用可信节点管理器TNM的可信密钥的公钥加密,并且将产生的结果发送给可信节点管理器TNM;2)可信节点管理器TNM验证源节点与目标节点的可信性:首先,可信节点管理器TNM利用其可信密钥的私钥解密消息,并且验证源节点Ns的身份是否位于可信节点集合中;如果源节点Ns是可信节点,则利用源节点Ns的可信密钥的公钥解密目的节点身份和挑战,并且验证目的节点Nd的身份是...

【专利技术属性】
技术研发人员:王国军刘琴刘湘勇齐芳
申请(专利权)人:中南大学
类型:发明
国别省市:湖南,43

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1