云环境下可重构虚拟可信根的设计框架

doi:10.3969/j.issn.1671-1122.2018.01.001

信息网络安全 ›› 2018, Vol. 18 ›› Issue (1): 1-8.doi: 10.3969/j.issn.1671-1122.2018.01.001

• • 下一篇

云环境下可重构虚拟可信根的设计框架

张建标^1,^2,³, 赵子枭^1,^2,³(), 胡俊^1,^2,³, 王晓^1,^2,³

1.北京工业大学信息学部, 北京 100124
2.可信计算北京市重点实验室, 北京 100124
3.信息安全等级保护关键技术国家工程实验室,北京 100124

收稿日期:2017-11-01 出版日期:2018-01-20 发布日期:2020-05-11
作者简介:
作者简介：张建标（1969—）,男,江苏,教授,博士,主要研究方向为可信计算、网络信息安全、安全性测试;赵子枭（1992—）,男,黑龙江,硕士研究生,主要研究方向为云安全与可信计算;胡俊（1972—）,男,湖南,讲师,博士,主要研究方向为可信计算;王晓（1983—）,女,河北,讲师,博士,主要研究方向为可信计算、云安全。
基金资助:
国家自然科学基金[61671030];国家高技术研究发展计划（863计划）[2015AA016002]

The Design Framework of Reconfi gurable Virtual Root of Trust in Cloud Environment

Jianbiao ZHANG^1,^2,³, Zixiao ZHAO^1,^2,³(), Jun HU^1,^2,³, Xiao WANG^1,^2,³

1. Faculty of Information Technology, Beijing University of Technology, Beijing 100124, China
2. Beijing Key Laboratory of Trusted Computing, Beijing 100124, China
3. National Engineering Laboratory for Critical Technologies of Information Security Classified Protection, Beijing 100124,China

Received:2017-11-01 Online:2018-01-20 Published:2020-05-11

摘要/Abstract

摘要：

可信计算技术与云计算技术的结合,使得可信云逐渐成为解决云安全问题的一大重要手段。但是目前可信云的可信原点——虚拟可信根仍存在一些问题：仅支持TPM而不支持TPCM,无法做到主动防御;内部结构不便修改与扩展;所使用的密码算法符合国外标准,国内无法达到自主可控。因此,文章提出了一种全新的虚拟可信根设计方案,该方案以模块化的结构对可信根进行重构,各个模块之间通过内部统一的消息格式来协调合作,为云环境提供安全可靠的计算保障。基于此方案的可重构虚拟可信根具有以下特点：具备高可扩展性,其结构易改造从而达到多元异构,能够模拟不同的TPM或TPCM架构;同时具备自主可控性,其核心密码算法遵循国家标准。

关键词: 可信计算, 虚拟可信根, vTPCM, 可重构, 自主可控

Abstract:

With the emergence of trusted computing technology trusted cloud has gradually become a major solution to the problem of cloud security. However, the trusted source of the trusted cloud -- virtual root of trust still has some problems: support TPM only, does not support TPCM, can not do active defense; internal structure is inconvenient to modify or extend; the use of cryptographic algorithm meet foreign standards only which is not autonomous and controllable. Therefore, we present a new design scheme of virtual root of trust, which reconstructs the root of trust in a modular structure. The modules cooperate with each other through the internal unified message format to provide security and reliable environment for the cloud. Based on this scheme, the reconfigurable virtual root or trust has the following characteristics: high scalability, its structure is easy to transform so as to achieve multiple heterogeneous, can simulate different TPM or TPCM architecture; autonomous and controllable, its cryptographic algorithm follows the national standard.

Key words: trusted computing, virtual root of trust, vTPCM, reconfigurable, autonomous and controllable

中图分类号:

TP309.1

张建标, 赵子枭, 胡俊, 王晓. 云环境下可重构虚拟可信根的设计框架[J]. 信息网络安全, 2018, 18(1): 1-8.

Jianbiao ZHANG, Zixiao ZHAO, Jun HU, Xiao WANG. The Design Framework of Reconfi gurable Virtual Root of Trust in Cloud Environment[J]. Netinfo Security, 2018, 18(1): 1-8.

图/表 13

图1

图2

图3

图4

图5

图6

图7

图8

图9

图10

图11

图12

图13

参考文献 18

[1]	MELL P, GRANCE T.The NIST definition of cloud computing[J]. Communications of the Acm, 2011,53(6):50.
[2]	黄强,王高剑,米文智,等. 集中统一的可信计算平台管理模型研究及其应用[J]. 信息网络安全,2017(4):9-14.
[3]	杨波, 冯登国, 秦宇, 等. 基于TrustZone 的可信移动终端云服务安全接入方案[J]. 软件学报, 2016,27(6): 1366-1383.
[4]	张家伟,张冬梅,黄偲琪. 一种抗APT攻击的可信软件基设计与实现[J]. 信息网络安全,2017(6):49-55.
[5]	KO R K L, JAGADPRAMANA P, MOWBRAY M, et al. TrustCloud: A framework for accountability and trust in cloud computing[C]//IEEE.2011 IEEE World Congress onServices, July 4-9, 2011, Washington, DC.New York: IEEE, 2011: 584-588.
[6]	MANFERDELLI J, ROEDER T, SCHNEIDER F. The CloudproxyTao for Trusted Computing[EB/OL]., 2013-1-1.
[7]	王勇, 许荣强, 任兴田, 等. 可信计算中信任链建立的形式化验证[J]. 北京工业大学学报, 2016, 42(3): 387-392.
[8]	沈昌祥. 可信计算构筑主动防御的安全体系[J]. 信息安全与通信保密, 2016 (6): 34.
[9]	王冠,袁华浩. 基于可信根服务器的虚拟TCM密钥管理功能研究[J]. 信息网络安全,2016(4):17-22.
[10]	KANSTRÉN T, LEHTONEN S, KUKKOHOVI H. Opportunities In Using a Secure Element to Increase Confidence in Cloud Security Monitoring[C]//IEEE. InternatinalConference on Cloud Computing, June 27 - July 2,New York.New York: IEEE, 2015: 1093-1098.
[11]	OTHMAN A T, KHAN S, NAUMAN M, et al.Towards a high-level trusted computing API for Android software stack[C]//ICUIMC. International Conference on Ubiquitous Information Management and Communication, January 17-19, 2013, Kota Kinabalu.New York: ACM, 2013:1-9.
[12]	张松鸽. 云计算下可信支撑机制关键技术研究与实现[D]. 北京:北京工业大学, 2015.
[13]	ISO/IEC 11889-1:2009. Trusted Platform Module Part 1:OverviewSO/IEC 11889-1:2009. Trusted Platform Module Part 1:Overview[S].Switzerland: International Organization for Standardization,2009.
[14]	ISO/IEC 11889-1:2015. Trusted Platform Module Library Part 1:ArchitectureSO/IEC 11889-1:2015. Trusted Platform Module Library Part 1:Architecture[S].Switzerland: International Organization for Standardization, 2015.
[15]	IBM. IBM’s Softeware Trusted Platform Module(TPM)[EB/OL]. .
[16]	沈昌祥, 张大伟, 刘吉强, 等. 可信3.0 战略: 可信计算的革命性演变[J]. 中国工程科学, 2016, 18(6): 53-57.
[17]	YU W, ZHANG Y, XU H, et al.High Performance PCIe Interface for the TPCM Based on Linux Platform[C]//IEEE. International Symposium on Computational Intelligence and Design(ISCID), December 12-13, 2015, Zhejiang University,Hangzhou.NewYork: IEEE, 2015: 422-425.
[18]	GM/T 0011-2012, 可信计算密码支撑平台功能与接口规范[S].北京:国家密码管理局,2007

云环境下可重构虚拟可信根的设计框架

The Design Framework of Reconfi gurable Virtual Root of Trust in Cloud Environment

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 13

参考文献 18

相关文章 15

编辑推荐

Metrics

本文评价

[1]	陈璐, 孙亚杰, 张立强, 陈云. 物联网环境下基于DICE的设备度量方案[J]. 信息网络安全, 2020, 20(4): 21-30.
[2]	王晓, 赵军, 张建标. 基于可信软件基的虚拟机动态监控机制研究[J]. 信息网络安全, 2020, 20(2): 7-13.
[3]	吴宏胜. 基于可信计算和UEBA的智慧政务系统[J]. 信息网络安全, 2020, 20(1): 89-93.
[4]	尚文利, 尹隆, 刘贤达, 赵剑明. 工业控制系统安全可信环境构建技术及应用[J]. 信息网络安全, 2019, 19(6): 1-10.
[5]	尚文利, 张修乐, 刘贤达, 尹隆. 工控网络局域可信计算环境构建方法与验证[J]. 信息网络安全, 2019, 19(4): 1-10.
[6]	王晋, 喻潇, 刘畅, 赵波. 智能电网环境下一种基于SDKey的智能移动终端远程证明方案[J]. 信息网络安全, 2018, 18(7): 1-6.
[7]	张建标, 杨石松, 涂山山, 王晓. 面向云计算环境的vTPCM可信管理方案[J]. 信息网络安全, 2018, 0(4): 9-14.
[8]	范博, 杨润垲, 黎琳. 基于SSH的可信信道建立方法研究[J]. 信息网络安全, 2018, 0(1): 45-51.
[9]	张家伟, 张冬梅, 黄偲琪. 一种抗APT攻击的可信软件基设计与实现[J]. 信息网络安全, 2017, 17(6): 49-55.
[10]	黄强, 王高剑, 米文智, 汪伦伟. 集中统一的可信计算平台管理模型研究及其应用[J]. 信息网络安全, 2017, 17(4): 9-14.
[11]	黄强, 孔志印, 常乐, 张德华. 可信基线及其管理机制[J]. 信息网络安全, 2016, 16(9): 145-148.
[12]	黄强, 常乐, 张德华, 汪伦伟. 基于可信计算基的主机可信安全体系结构研究[J]. 信息网络安全, 2016, 16(7): 78-84.
[13]	邢彬, 刘吉强, 韩臻. 一种可信计算平台完整性度量的新模型[J]. 信息网络安全, 2016, 16(6): 8-14.
[14]	张亚奇, 何永忠, 于爱民. 一种基于第三方平台可信证明的SSH协议[J]. 信息网络安全, 2016, 16(12): 34-45.
[15]	黄强, 张德华, 汪伦伟. 可信计算硬件设备虚拟化关键保障机制研究[J]. 信息网络安全, 2015, 15(9): 70-73.