基于云计算环境下的可信平台设计

摘要

云计算环境的灵活性、开放性以及公众可用性等特性，给应用安全带来了很多挑战。随着新兴可信计算技术的出现，可信计算在信息安全中使用的越来越多，使用可信计算技术来保障系统和硬件安全的技术也越来越成熟。本文就是通过在嵌入式终端设备中引入可信计算技术，结合动态度量和远程证明等保护方式，来构建一个安全可靠的终端可信平台和系统。信任链可信传递作为可信计算的一种机制，能够保护可信终端的每一个链条的绝对可信性，从而构建成一个可信链条，以此筑成安全可信终端使用环境。使用可信计算技术，就是希望从“根”上来建立安全可信的终端计算系统，防止信息的泄露，杜绝潜在的攻击。本文通过分析当前云计算、可信计算等技术，结合目前计算终端平台的软硬件与可信性需求的基础上，提出了一个系统的解决方案，以提高在云计算下终端平台的可信性。
　　本文对云计算终端平台的可信性、安全性等方面进行研究，希望能提供一套实际、有效以及可靠的解决方案，使现有终端平台与云服务器系统能利用该研究的成果，保证终端平台与云服务器之间能够安全的访问。本文提出的可信计算技术在云计算终端的使用，不仅对于云计算具有重要意义，而且将促进终端设备在信息安全方面安全保护的应用前景。本文的主要创新工作包括：
　　1.将可信平台模块TPM嵌入到可信计算平台中，以构建一个安全可信的计算终端平台，即通过静态信任链的构建，保证硬件本身和系统的安全可信；通过动态信任链的构建，保证应用程序的安装和系统运行过程的安全可信。这样，整个嵌入式系统平台都是处于一个安全可信的状态，就从内而外构建了一条安全可信的可信链，再加上有效的可信传递，从而使整个嵌入式终端平台成为一个安全可信计算终端平台。在动态度量中基于虚拟机监控动态度量方法设计和基于可信计算的实时度量模型设计的建立，更能有效地保障应用程序的可信传递和系统可信运行。
　　2.在嵌入式系统中，可信设备的可信启动是整个系统可信的关键，因此，在构建可信的嵌入式设备中，信任根的构建是非常重要的。因为信任根是信任链的起点，是构建可信设备的基础。在可信度量技术的保障下，信任链的传递，从底层到操作系统，再到最上层的应用程序，都需要经过严格的度量,才能得到信任，我们通常说的度量指一个测量或者是认证过程，通过对模块的摘要与同期值进行比较，判断模块的完整性。只有通过度量认可之后，才能使信任链能够可靠的传递。
　　3.为了保证可信终端平台能够安全访问云服务器，引入了远程证明技术。远程证明就是为了实现网络环境的可信，确保终端的可信性向网络中传递，确保终端与终端之间、终端与服务器之间可以进行可信通信，从而建立安全的网络环境。在远程证明中，将终端的完整性状态信息传递给需要的验证方，当验证方得到终端信息之后，通过验证和判断，建立一条资源共享的通道。通过远程证明技术的使用，就是为了建立一个可信的网络终端设备，可以对服务器进行可信性的访问。本文提出了基于身份和属性证书的远程证明方案设计，通过身份和属性与平台配置之间的映射关系，在可信第三方的帮助下，颁发身份和属性证书，来证明证明方的可信安全属性，验证方再通过第三方的颁发身份和属性证书来验证证明方的安全可信，保证访问服务器的终端设备是安全可信的。
　　4.利用公司提供的技术平台，结合嵌入式可信启动的设计、静态信任链和动态信任链的构建、可信终端设备访问服务器的基于身份与属性的远程证明设计，实现了基于云计算环境下可信平台——云电视。基于可信终端云电视平台的可信认证机制原型系统的实现，使得云电视终端在启动、运行、访问云服务平台中心，能够安全、有效地运行和通信。
　　综上所述，本文对可信技术中可信计算中的可信启动，静态信任链和动态信任链的可信链传递、可信计算的度量机制的设计、可信终端访问服务器的远程证明设计等可信认证关键技术进行了研究，利用提供的技术平台，建立了基于云计算环境下的终端可信认证的原型系统———云电视，为了嵌入式终端系统在信息安全方面提供了一些新的思路和新的途径。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 引 言

1.1 前言

1.2 研究背景

1.3 可信计算发展

1.4 云计算环境中信息安全技术

1.5 论文的主要贡献

1.6 论文的组织结构

第二章 可信计算模型及信任链传递研究

2.1 可信根与可信度量

2.2 可信平台体系结构

2.3 静态信任链构建

2.4 动态信任链构建

2.5 本章小结

第三章 嵌入式设备的可信启动度量研究

3.1 嵌入式的可信度量根

3.2 嵌入式的度量值的存储

3.3 嵌入式的完整性度量与报告

3.4 嵌入式的完整性度量流程和报告流程

3.5 嵌入式设备可信启动的TPM通信

3.6 本章小结

第四章 可信设备的远程证明研究

4.1 可信计算的传统的密钥技术

4.2 可信计算平台密钥的分类

4.3基于身份和属性证书的远程证明方案设计

4.4 本章小结

第五章 云计算环境下可信终端原型系统

5.1 云计算的发展情况

5.2 基于云计算环境下可信平台----云电视设计

5.3 可信云服务平台的搭建

5.4 本章小结

第六章 结论

6.1 本文的主要贡献

6.2 下一步工作及展望

致谢

参考文献

攻博期间取得的研究成果