亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

可信安全云計(jì)算構(gòu)成方法

文檔序號(hào):7796065閱讀:248來(lái)源:國(guó)知局
可信安全云計(jì)算構(gòu)成方法
【專(zhuān)利摘要】本發(fā)明結(jié)合可信計(jì)算和虛擬化技術(shù),提出可信虛擬技術(shù)思路,堅(jiān)持從源頭入手,從平臺(tái)啟動(dòng)時(shí)的安全可信、程序可控可管、數(shù)據(jù)處理和存儲(chǔ)時(shí)的安全機(jī)密性三個(gè)方面著手,研制“可信安全云計(jì)算系統(tǒng)”。該系統(tǒng)有利于解決云計(jì)算平臺(tái)用戶(hù)的系統(tǒng)可信,程序可信和數(shù)據(jù)安全,具有很強(qiáng)的實(shí)用價(jià)值,保護(hù)數(shù)據(jù)的隱私性。
【專(zhuān)利說(shuō)明】可信安全云計(jì)算構(gòu)成方法
【技術(shù)領(lǐng)域】:
[0001]本系統(tǒng)通過(guò)對(duì)云計(jì)算中各類(lèi)機(jī)密數(shù)據(jù)信息的產(chǎn)生、存儲(chǔ)、傳輸、使用和銷(xiāo)毀整個(gè)生命周期進(jìn)行控制、跟蹤和保護(hù),采用可信計(jì)算技術(shù),虛擬機(jī)技術(shù)、可信計(jì)算技術(shù)、可信存儲(chǔ)技術(shù),來(lái)確保設(shè)備的原始性,程序的完整性和原始性。
【背景技術(shù)】:
[0002]云計(jì)算系統(tǒng)正常運(yùn)行和敏感數(shù)據(jù)的安全和管理保護(hù)事關(guān)國(guó)家安全和社會(huì)穩(wěn)定,目前的可信計(jì)算和云安全防御模型根據(jù)不同的安全需求,在保密性、完整性、可控性等安全方面的側(cè)重點(diǎn)各異,邊界安全的傳統(tǒng)措施,都無(wú)法適應(yīng)面向云計(jì)算的無(wú)邊界,無(wú)主機(jī)的要求。本項(xiàng)目結(jié)合可信計(jì)算和虛擬化技術(shù),提出可信虛擬技術(shù)思路,堅(jiān)持從源頭入手,從平臺(tái)啟動(dòng)時(shí)的安全可信、程序可控可管、數(shù)據(jù)處理和存儲(chǔ)時(shí)的安全機(jī)密性三個(gè)方面著手,研制“可信云計(jì)算系統(tǒng)”,該系統(tǒng)有利于解決云計(jì)算平臺(tái)用戶(hù)的系統(tǒng)可信,程序可信和數(shù)據(jù)安全,具有很強(qiáng)的實(shí)用價(jià)值。本項(xiàng)目成果對(duì)于云計(jì)算產(chǎn)業(yè)的發(fā)展做出了有利的支撐,有助于云計(jì)算的實(shí)際部署和推廣應(yīng)用,符合國(guó)家對(duì)云計(jì)算產(chǎn)業(yè)建設(shè)發(fā)展的規(guī)劃和需求。該方案對(duì)IAAS,PAAS和SAAS層都適用。

【發(fā)明內(nèi)容】
:
[0003]本系統(tǒng)通過(guò)對(duì)云計(jì)算中各類(lèi)機(jī)密數(shù)據(jù)信息的產(chǎn)生、存儲(chǔ)、傳輸、使用和銷(xiāo)毀整個(gè)生命周期進(jìn)行控制、跟蹤和保護(hù),利用度量技術(shù)和可信鏈,實(shí)現(xiàn)對(duì)設(shè)備原始性,程序的原始性和完整性提供保證。
【專(zhuān)利附圖】

【附圖說(shuō)明】:
[0004]圖1:可信云計(jì)算的可信部分框圖
[0005]圖2:透明加密方案圖
[0006]圖3:系統(tǒng)構(gòu)成圖
【具體實(shí)施方式】:
[0007]一、系統(tǒng)組成部分。
[0008]1、基于虛擬機(jī)的隔離機(jī)研制:VMM層直接運(yùn)行于硬件層之上,各個(gè)客戶(hù)操作系統(tǒng)運(yùn)行于VMM層之上,VMM層通過(guò)虛擬化技術(shù)為客戶(hù)操作系統(tǒng)提供硬件環(huán)境一致的運(yùn)行條件,構(gòu)建多個(gè)具備自身操作系統(tǒng)和應(yīng)用的客戶(hù)虛擬機(jī)。
[0009]2、基于TPCM或TPM的遠(yuǎn)程平臺(tái)認(rèn)證和身份管理:用身份證明密鑰AIK代替TPCM唯一的背書(shū)密鑰EK來(lái)簽名平臺(tái)配置寄存器PCR,向服務(wù)提供者提供平臺(tái)的身份證明。一個(gè)TPCM或TPM可以擁有多個(gè)AIK。為T(mén)PM頒發(fā)虛擬平臺(tái)身份密鑰AIK證書(shū)過(guò)程:
[0010]①物理TPCM首先產(chǎn)生一個(gè)AIK,AIK是2048位的RSA密鑰對(duì)。
[0011]②物理平臺(tái)向一個(gè)證書(shū)服務(wù)器請(qǐng)求AIK證書(shū),請(qǐng)求中包含AIK公鑰、密碼模塊密鑰EK的證書(shū)和其它平臺(tái)相關(guān)的彳目息。
[0012]③證書(shū)服務(wù)器驗(yàn)證EK證書(shū)及相關(guān)信息,驗(yàn)證通過(guò)則為AIK簽發(fā)AIK證書(shū)。
[0013]3、基于可信技術(shù)的無(wú)痕透明加密技術(shù):透明加解密模塊實(shí)現(xiàn)加解密功能完成文件的透明加解密,通過(guò)修改其文件系統(tǒng)的結(jié)構(gòu)分為兩個(gè)部分:內(nèi)核部分和用戶(hù)空間部分?;诳尚牌脚_(tái)模塊TPM實(shí)現(xiàn)透明加/解密文件的基本步驟如下:
[0014]①物理TPCM首先產(chǎn)生一個(gè)AIK,AIK是2048位的RSA密鑰對(duì)。
[0015]②物理平臺(tái)向一個(gè)證書(shū)服務(wù)器請(qǐng)求AIK證書(shū),請(qǐng)求中包含AIK公鑰、密碼模塊密鑰EK(TPM endorsem ent key)的證書(shū)和其它平臺(tái)相關(guān)的信息。
[0016]③證書(shū)服務(wù)器驗(yàn)證EK證書(shū)及相關(guān)信息,驗(yàn)證通過(guò)則為AIK簽發(fā)AIK證書(shū)。
[0017]④虛擬TPCM管理器利用物理TPM產(chǎn)生一個(gè)加密密鑰(bind ing Key),該加密密鑰是一個(gè)2048位RSA密鑰對(duì)。
[0018]⑤虛擬TPCM管理器用平臺(tái)身份密鑰AIK簽署(Certify)簽名密鑰該加密密鑰,證明該加密密鑰與AIK同屬一個(gè)物理平臺(tái)。
[0019]⑥用戶(hù)可使用該加密密鑰對(duì)機(jī)密文件進(jìn)行加密。
[0020]4、基于虛擬機(jī)監(jiān)視器的泄漏行為監(jiān)控技術(shù):基于內(nèi)存的域間通信信道建立操作是通過(guò)用戶(hù)管理接口調(diào)用虛擬機(jī)監(jiān)視器中對(duì)應(yīng)超級(jí)調(diào)用來(lái)實(shí)現(xiàn)的。在虛擬機(jī)監(jiān)視器中加入敏感事件的主動(dòng)觸發(fā)模塊,一旦超級(jí)調(diào)用被觸發(fā),該模塊立即通知在管理域中的監(jiān)控程序,從而可以快速有效的實(shí)現(xiàn)對(duì)內(nèi)存復(fù)用信道的實(shí)時(shí)監(jiān)控。5、系統(tǒng)集成:本項(xiàng)目結(jié)合虛擬化技術(shù),虛擬機(jī)的隔離性能保證在VMM上運(yùn)行的虛擬機(jī)之間不會(huì)相互干擾,并且在不同虛擬機(jī)之間的切換非常容易,不用重新啟動(dòng)計(jì)算機(jī),操作方便。構(gòu)造這種可信虛擬環(huán)境,可以更好的保護(hù)機(jī)密的電子文檔。并且可信虛擬環(huán)境可以和傳統(tǒng)的非可信環(huán)境中的電子文檔加密與操作監(jiān)控系統(tǒng)集成。
[0021]二、系統(tǒng)的關(guān)鍵技術(shù)。
[0022]1、基于可信計(jì)算虛擬執(zhí)行環(huán)境構(gòu)建方法。其特點(diǎn)主要體現(xiàn)在:
[0023]I)終端虛擬環(huán)境的信任鏈構(gòu)建及可信度量方法:通過(guò)對(duì)物理TPCM的模擬和擴(kuò)展,建立了多個(gè)虛擬TPCM實(shí)例,每個(gè)vTPCM與客戶(hù)虛擬機(jī)一一對(duì)應(yīng),為用戶(hù)提供綁定、密封、密鑰存儲(chǔ)等一系列與物理TPCM相同的功能。
[0024]2)可信虛擬平臺(tái)的遠(yuǎn)程可信驗(yàn)證方法:針對(duì)虛擬機(jī)的動(dòng)態(tài)遷移特性和系統(tǒng)虛擬化環(huán)境中可能出現(xiàn)的嵌套運(yùn)行情況,設(shè)計(jì)了虛擬平臺(tái)迭代證明模型,提出了基于隱私CA和直接匿名驗(yàn)證的遠(yuǎn)程證明方案,既能驗(yàn)證當(dāng)前虛擬機(jī)的狀態(tài),又能檢驗(yàn)下層基礎(chǔ)平臺(tái)的可信性。
[0025]2、數(shù)據(jù)泄露行為的主動(dòng)監(jiān)控技術(shù)與安全防范機(jī)制。其特點(diǎn)主要體現(xiàn)在:
[0026]I)基于優(yōu)化分解模型的管理域優(yōu)化裁剪方法:分析DomO的特權(quán)集合屬性,將關(guān)鍵的特權(quán)操作集合移植進(jìn)只讀管理域DomB中,保留靜態(tài)的不會(huì)對(duì)系統(tǒng)安全造成危害的特權(quán)功能。
[0027]2)基于交叉視圖的客戶(hù)虛擬域進(jìn)程信息監(jiān)控方法:通過(guò)語(yǔ)義斷層消除技術(shù)將被監(jiān)控虛擬機(jī)的原始內(nèi)存信息重構(gòu)為上層語(yǔ)義信息,重構(gòu)出被監(jiān)控虛擬機(jī)的進(jìn)程鏈表,并與利用虛擬機(jī)內(nèi)部的接口獲取內(nèi)部的進(jìn)程鏈表對(duì)比,以確定是否有隱藏進(jìn)程。當(dāng)識(shí)別出有隱藏進(jìn)程時(shí),將隱藏進(jìn)程頁(yè)表項(xiàng)屬性的不可執(zhí)行位置位,使得目標(biāo)進(jìn)程獲取CPU使用權(quán)并開(kāi)始執(zhí)行時(shí),會(huì)觸發(fā)取指令錯(cuò)誤的缺頁(yè)異常,從而導(dǎo)致隱藏進(jìn)程運(yùn)行終止。
[0028]3)基于策略控制的多等級(jí)虛擬機(jī)網(wǎng)絡(luò)及域間通信監(jiān)控方法:客戶(hù)域中的網(wǎng)絡(luò)設(shè)備通過(guò)前端驅(qū)動(dòng)與后端驅(qū)動(dòng)通信,傳遞網(wǎng)絡(luò)數(shù)據(jù)包。
[0029]3、平臺(tái)相關(guān)的透明解密方案和密鑰管理方案。其特點(diǎn)體現(xiàn)在:
[0030]I)適于虛擬機(jī)環(huán)境的透明加解密方法:為了實(shí)現(xiàn)虛擬機(jī)中敏感文件與平臺(tái)相關(guān),且對(duì)用戶(hù)感知透明,設(shè)計(jì)了適于虛擬機(jī)環(huán)境的透明加解密方法,利用eCryptfs加密文件,與可信虛擬平臺(tái)密鑰管理方案相配合,將文件加密密鑰與當(dāng)前虛擬機(jī)環(huán)境相綁定,使得只有在當(dāng)前平臺(tái)環(huán)境配置下才能解密文件,確保敏感文件機(jī)密性、平臺(tái)綁定性的同時(shí),對(duì)用戶(hù)呈現(xiàn)透明的文件加解密過(guò)程。
[0031]2)基于可信平臺(tái)模塊的密鑰管理方案:可信虛擬平臺(tái)密鑰管理方案分為請(qǐng)求密鑰,存儲(chǔ)密鑰,管理密鑰和密鑰服務(wù)接口。密鑰管理服務(wù)為方案的核心功能,負(fù)責(zé)管理所有注冊(cè)的密鑰信息,包括密鑰的名字,長(zhǎng)度,口令,生成時(shí)間和密鑰數(shù)據(jù)。密鑰是與當(dāng)前平臺(tái)環(huán)境綁定的,只有在當(dāng)前平臺(tái)環(huán)境下才能使用密鑰解密數(shù)據(jù),在非法平臺(tái)上即使使用密鑰也無(wú)法讀取敏感數(shù)據(jù)。
[0032]4、完成了云計(jì)算環(huán)境下敏感數(shù)據(jù)防泄漏系統(tǒng)。根據(jù)上述技術(shù)方案,研制了云計(jì)算環(huán)境下敏感數(shù)據(jù)防泄漏系統(tǒng)。系統(tǒng)提出了使用與云計(jì)算平臺(tái)的樹(shù)型信任鏈擴(kuò)展方法,克服了目前可信PC平臺(tái)所采用的線性信任鏈存在可信計(jì)算基過(guò)大和靜態(tài)度量的缺陷;系統(tǒng)提出了基于虛擬機(jī)自省技術(shù)的I / 0流監(jiān)控方法,融合了基于主機(jī)和網(wǎng)絡(luò)的系統(tǒng)監(jiān)控的技術(shù)優(yōu)勢(shì),適用于云計(jì)算環(huán)境。系統(tǒng)解決了云計(jì)算環(huán)境下多租戶(hù)數(shù)據(jù)共享的強(qiáng)隔離性,保證了敏感數(shù)據(jù)防護(hù)機(jī)制自身安全性,改變了已有防泄漏模型主要以應(yīng)用層訪問(wèn)控制為主的被動(dòng)安全模式。
[0033]5、完成云計(jì)算中的可信度量。將TPCM的主動(dòng)度量和主動(dòng)控制實(shí)施在每臺(tái)SERVER上,同時(shí)完成對(duì)VM和VMM的主動(dòng)度量。當(dāng)一個(gè)VM遷移到另一個(gè)機(jī)器上,它被該機(jī)器重新度量。
【權(quán)利要求】
1.結(jié)合可信計(jì)算和虛擬化技術(shù),提出可信云計(jì)算的結(jié)構(gòu),堅(jiān)持從源頭入手,從平臺(tái)啟動(dòng)時(shí)的安全可信、程序可控可管、數(shù)據(jù)處理和存儲(chǔ)時(shí)的安全機(jī)密性三個(gè)方面著手,研制可信云計(jì)算系統(tǒng)。該系統(tǒng)有利于解決云計(jì)算平臺(tái)用戶(hù)的系統(tǒng)可信,程序可信和數(shù)據(jù)安全,具有很強(qiáng)的實(shí)用價(jià)值。
2.該系統(tǒng)主要集成了可信計(jì)算、虛擬化等技術(shù),通過(guò)可信計(jì)算技術(shù)保證平臺(tái)啟動(dòng)時(shí)的安全可信性;可信虛擬化技術(shù)則保證了數(shù)據(jù)處理階段平臺(tái)的可控可管,為敏感數(shù)據(jù)提供了可信的隔離執(zhí)行環(huán)境;與平臺(tái)相關(guān)的透明加解密方法使得密鑰與當(dāng)前虛擬機(jī)環(huán)境相綁定,保證了只有在當(dāng)前平臺(tái)環(huán)境配置下才能解密文件,確保了敏感數(shù)據(jù)的機(jī)密性,且對(duì)用戶(hù)操作透明。
【文檔編號(hào)】H04L9/32GK103812862SQ201410032797
【公開(kāi)日】2014年5月21日 申請(qǐng)日期:2014年1月23日 優(yōu)先權(quán)日:2014年1月23日
【發(fā)明者】韓永飛 申請(qǐng)人:廈門(mén)密安信息技術(shù)有限責(zé)任公司
網(wǎng)友詢(xún)問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1