一种适用于私有云环境的统一度量与存储的可信计算模型的研究与设计

摘要

云计算是当前学术界和产业界非常热门的技术，按需分配资源、良好的动态伸缩性、高效的资源利用率以及绿色计算等云计算的特点吸引了无数人的眼球。在云计算中，租户的数据存放于云服务提供商处，由云服务提供商负责数据的安全计算和安全存储。由于租户失去了对于自己数据的控制权，因此如何防止云服务提供商的恶意管理员窥视租户的数据、如何防止非授权租户的非法访问、如何使得租户信任云服务提供商等云安全问题逐渐成为了云计算发展的阻碍。
　　由于对于云服务提供商的不信任，越来越多的企业开始自己构建私有云环境。私有云是指企业自己搭建云计算的基础架构，面向内部用户或外部客户提供云计算服务。企业拥有基础架构的自主权，并且可以基于自己的需求改进服务，进行自主创新。尽管私有云相对于公有云避免了许多的安全风险和信任风险，但是私有云还面临着许多的安全问题，尤其是如何构建和维护一个安全可信的私有云。
　　近年来，可信计算的技术越来越受到人们的关注，可信计算体现了整体的安全思想，由内而外，变被动防御为主动防御。目前，设计可信计算与云计算相结合的安全模型是一个热门的研究分支，其中比较主流的模型有Terra、TCCP以及vTPM。这些模型虽然解决了一部分的云安全问题，但是还存在一些不足并且这些模型不能很好的适用于私有云的环境。
　　本文提出了一种适用于私有云环境的统一度量与存储的可信计算模型，该模型是一个针对基础设施即服务(IaaS)的模型。模型通过装有TPM芯片的主机群构建一个私有云的可信平台模块(PC-TPM)，并由PC-TPM负责统一度量其他主机并统一存储度量值和相关密钥。本模型的特点是将可信度量与可信存储的职责集中于特定的可信主机群，使得提供虚拟化服务的主机的职责明确与单一并且减少了相应的复杂度。本文设计了PC-TPM中的各个模块、设计了PC-TPM的内部通信机制以及PC-TPM与提供虚拟化服务的主机的通信机制等，从而使得本模型是一个较为完整的可信私有云模型。
　　本文通过提出一种适用于私有云环境的统一度量与存储的可信计算模型，为可信计算与云计算相结合提供了一种新的思路，为后来者的研究起到了抛砖引玉的作用。

目录

摘要

第一章 绪论

1．1 课题研究背景

1．1．1 可信计算简介

1．1．2 虚拟化技术简介

1．1．3 私有云简介

1．2 国内外研究现状

1．2．1 国外研究现状

1．2．2 国内研究现状

1．3 现有研究的不足

1．4 本文的工作与意义

1．5 结构安排

第二章 可信计算相关技术的研究

2．1 可信计算平台

2．1．1 可信平台模块TPM(Trusted Platform Module)

2．1．2 TPM密钥

2．1．3 可信平台支撑软件TSS(TCG Software Stack)

2．2 可信度量机制

2．2．1 信任链的传递

2．2．2 可信度量技术

2．2．3 可信计算平台的报告与远程证明

第三章 一种适用于私有云环境的统一度量与存储的可信计算模型

3．1 总体模型介绍

3．1．1 可信云计算模型的发展现状及其不足

3．1．2 可信私有云模型的设计架构及其特点

3．2 PC-TPM的功能

3．2．1 可信度量

3．2．2 可信存储

3．2．3 度量值的校验

3．2．4 密钥分发

3．3 可信私有云的建立

3．3．1 可信私有云建立的流程

3．3．2 可信私有云中的信任传递与可信度量

3．4 可信私有云中的终端安全

3．4．1 安全的终端接入

3．4．2 终端用户的身份认证

第四章 私有云可信平台模块PC-TPM设计

4．1 可信度量与安全存储分离的架构

4．2 PC-TPM中模块的设计

4．2．1 vPCR

4．2．2 可信节点注册表

4．2．3 度量基准值模块

4．3 定制化的软硬件

4．4 可信私有云中的密钥管理

4．4．1 密钥的种类和存储

4．4．2 关键密钥的管理

4．5 可信私有云中的通信机制

4．5．1 PC-TPM的内部通信机制

4．5．2 PC-TPM的外部通信机制

4．6 可信度量的策略

第五章 可信私有云的性能实验及分析

5．1 实验的设计

5．2 实验环境的搭建

5．3 实验的结果与分析

第六章 总结与展望

6．1 本文工作小结

6．2 下一步的研究方向

参考文献

攻读硕士学位期间发表的学术论文

致谢

声明