本發(fā)明專利是在云服務(wù)器領(lǐng)域采用可信計(jì)算技術(shù)，保障云服務(wù)器的終端安全，具體地說(shuō)，本發(fā)明涉及一種基于可信計(jì)算的云安全服務(wù)器。

背景技術(shù)：

自從 2006 年云計(jì)算的概念首次被推出以來(lái)，云計(jì)算的技術(shù)和商業(yè)前景已使資金、人才和創(chuàng)新更加聚集。美國(guó)硅谷參與云計(jì)算設(shè)計(jì)的企業(yè)已經(jīng)約有150家，新的商業(yè)模式層出不窮，各大IT行業(yè)巨頭都爭(zhēng)先參與到云計(jì)算技術(shù)開發(fā)的行列，目前，公開宣布進(jìn)入或支持云計(jì)算技術(shù)開發(fā)的業(yè)界巨頭包括谷歌、微軟、亞馬遜、Netsuite、Adobe、NetApp等，他們都加大了在云計(jì)算技術(shù)研究方面的技術(shù)人才隊(duì)伍及費(fèi)用方面的投資，很大程度上推動(dòng)了云計(jì)算的迅速發(fā)展。

Google 使用云計(jì)算最為廣泛，由于谷歌先進(jìn)的搜索引擎技術(shù)使其在云計(jì)算領(lǐng)域內(nèi)處于領(lǐng)先地位。然而，谷歌也發(fā)生過(guò)重大的安全事故，2009 年，Google App Engine 出現(xiàn)數(shù)據(jù)倉(cāng)庫(kù)操作延遲變大、錯(cuò)誤率提高等問(wèn)題，整個(gè)過(guò)程持續(xù)了六小時(shí)；2011年3月，谷歌郵箱發(fā)生大量的用戶數(shù)據(jù)被泄露；2010 年在美國(guó)西部，僅短短幾個(gè)星期時(shí)間微軟曾發(fā)生了三次以上托管服務(wù)中斷事件，這也是微軟首次面臨如此嚴(yán)重的云計(jì)算故障；2011 年，亞馬遜云計(jì)算數(shù)據(jù)中心出現(xiàn)大面積宕機(jī)事故，導(dǎo)致依賴該中心服務(wù)器提供服務(wù)的網(wǎng)站都受到很大的影響?？紤]到以上的云計(jì)算重大事故，亞馬遜、微軟等其他云供應(yīng)商依次提出且部署了特定的云平臺(tái)安全實(shí)施策略，如身份認(rèn)證、系統(tǒng)冗余、隱私保護(hù)、日志審記等方法，提高了云平臺(tái)的安全可靠性和魯棒性； 2014年11月，微軟證實(shí)已收購(gòu)了云安全商Aorato，稱其能夠更好地為客戶在本地與云端提供強(qiáng)大的身份認(rèn)證和訪問(wèn)解決方案，并可杜絕“斯諾登事件”再發(fā)生。

但是亞馬遜、微軟等云供應(yīng)商只是在軟件上實(shí)施安全策略，沒(méi)有從根本上解決云計(jì)算的信息安全問(wèn)題?？尚庞?jì)算體系中有三個(gè)重要特性，即：建立可信的信任鏈、標(biāo)示平臺(tái)的身份以及保持密鑰。這些特性有利于解決當(dāng)前云計(jì)算所面臨的安全問(wèn)題，能夠大幅度地提升云計(jì)算的安全等級(jí)。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明所要解決的技術(shù)問(wèn)題是：針對(duì)現(xiàn)有的服務(wù)器安全漏洞，提供一種基于可信計(jì)算的云安全服務(wù)器，在各種云計(jì)算的服務(wù)模式中，通過(guò)可信計(jì)算的可信密碼模塊（Trusted Cryptography Module，TCM），來(lái)度量軟硬件環(huán)境的安全，保證服務(wù)器系統(tǒng)不被木馬和病毒攻擊，不受黑客的惡意更改；也可以作為保護(hù)存儲(chǔ)和數(shù)據(jù)安全加密的密鑰，進(jìn)行加密保護(hù)；還可以作為身份認(rèn)證和屬性認(rèn)證的信息，在終端設(shè)備訪問(wèn)云安全服務(wù)器的時(shí)候，作為身份認(rèn)證的屬性信息。

基于可信計(jì)算的云安全服務(wù)器包括TCM和云安全服務(wù)器兩大部分。所述TCM為整個(gè)可信計(jì)算平臺(tái)的信任根，在終端平臺(tái)上嵌入TCM，TCM 為各類計(jì)算平臺(tái)提供信任根，為各種可信機(jī)制和安全功能提供硬件保障，并為度量和驗(yàn)證平臺(tái)的可信屬性即完整性提供基礎(chǔ)。

所述云安全服務(wù)器（Elastic Compute Security Service，簡(jiǎn)稱ECSS）是一種簡(jiǎn)單高效、處理能力可彈性伸縮的計(jì)算服務(wù)設(shè)備；在云安全服務(wù)器中，用戶的數(shù)據(jù)被放在云計(jì)算服務(wù)的數(shù)據(jù)中心存儲(chǔ)和運(yùn)行，多個(gè)用戶共享數(shù)據(jù)中心的各種資源。

所述基于可信計(jì)算的云安全服務(wù)器是將可信計(jì)算技術(shù)引入到基礎(chǔ)設(shè)施即服務(wù)（IaaS）類型的云計(jì)算體系，把TCM與云計(jì)算節(jié)點(diǎn)相結(jié)合，構(gòu)建一個(gè)基于 TCM 的云安全服務(wù)器，形成一個(gè)可信的執(zhí)行環(huán)境。

基于可信計(jì)算的云安全服務(wù)器需要解決的安全性問(wèn)題為身份認(rèn)證和完整性度量。

所述身份認(rèn)證是實(shí)現(xiàn)云安全服務(wù)器安全體系的重要機(jī)制，是整個(gè)安全體系的基礎(chǔ)，為云安全服務(wù)器用戶身份的真實(shí)性提供安全保證。相對(duì)于傳統(tǒng)安全機(jī)制，采用 TCM 進(jìn)行認(rèn)證具有更強(qiáng)安全性、私密性。TCM 將關(guān)鍵密鑰密封在不可侵入的硬件中，且具有唯一性，位于 TCM 密鑰管理根部的是存儲(chǔ)根密鑰，對(duì)于一個(gè)可信平臺(tái)模塊擁有者只有一個(gè)。云安全服務(wù)器可以利用硬件架構(gòu)中的可信平臺(tái)模塊創(chuàng)建公私密鑰對(duì)實(shí)例（PK，SK）。這樣的密鑰是根存儲(chǔ)密鑰的衍生密鑰，且特定于平臺(tái)硬件及服務(wù)器自身。從系統(tǒng)加電啟動(dòng)到執(zhí)行環(huán)境建立的全過(guò)程中，TCM 度量平臺(tái)硬件和軟件組件，對(duì)應(yīng)的散列值等完整性度量信息保存在 TCM 的一組 PCR 寄存器中。同時(shí)創(chuàng)建事件并記錄在度量存儲(chǔ)日志（Stored Measurement Log, SML）中，PCR 值和 SML 值一起用于向遠(yuǎn)程驗(yàn)證方證明平臺(tái)的狀態(tài)。

所述完整性度量是完整性保護(hù)研究當(dāng)中一種重要的保護(hù)方法，它通過(guò)在某時(shí)刻對(duì)目標(biāo)進(jìn)行度量得到一個(gè)度量值，然后將其與標(biāo)準(zhǔn)值進(jìn)行比較，從而判斷目標(biāo)是否完整。它是保證云安全服務(wù)器提供可信云服務(wù)的重要基礎(chǔ)，通過(guò)對(duì)云安全服務(wù)器資源實(shí)體的完整性進(jìn)行度量，可使整個(gè)云安全服務(wù)器運(yùn)行在一個(gè)未被篡改或者說(shuō)可知、可控的狀態(tài)下，從而為用戶建立一個(gè)基礎(chǔ)的可信云計(jì)算環(huán)境。

完整性度量通常分為靜態(tài)度量和動(dòng)態(tài)度量。

所述靜態(tài)度量是指在程序被加載時(shí)、運(yùn)行前對(duì)其代碼完整性進(jìn)行度量。TCG 的啟動(dòng)時(shí)度量技術(shù)就是一種典型的靜態(tài)度量技術(shù)，在系統(tǒng)啟動(dòng)時(shí)，從信任根開始到硬件，到操作系統(tǒng)（OS），再到應(yīng)用，獲得控制權(quán)者對(duì)下一層將要運(yùn)行的代碼進(jìn)行度量，一級(jí)認(rèn)證一級(jí)，一級(jí)信任一級(jí)，從而形成一條信任鏈。

所述動(dòng)態(tài)度量是指在程序運(yùn)行時(shí)對(duì)其行為完整性進(jìn)行度量。所謂行為完整性是指程序在實(shí)際運(yùn)行過(guò)程中所產(chǎn)生的行為與程序的預(yù)期行為一致，或者說(shuō)其行為沒(méi)有被非法啟動(dòng)或終結(jié)，也沒(méi)有被非法改變。

附圖說(shuō)明

下面結(jié)合附圖和具體的實(shí)施例對(duì)本發(fā)明做進(jìn)一步詳細(xì)的說(shuō)明。

圖1是基于可信計(jì)算的云安全服務(wù)器的總體架構(gòu)。

圖2是基于可信計(jì)算的云安全服務(wù)器中加密存儲(chǔ)與數(shù)據(jù)訪問(wèn)控制模型流程圖。

圖3是基于可信計(jì)算的云安全服務(wù)器的可信傳輸流程圖。

具體實(shí)施方式

為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，以下結(jié)合附圖及實(shí)施例，對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

圖1是基于可信計(jì)算的云安全服務(wù)器的總體架構(gòu)。

基于可信計(jì)算的云安全服務(wù)器的總體架構(gòu)包括客戶端100、基于可信計(jì)算的服務(wù)器200和云平臺(tái)300，基于可信計(jì)算的服務(wù)器200通過(guò)可信網(wǎng)絡(luò)310與云平臺(tái)300連接，并通過(guò)互聯(lián)網(wǎng)110與客戶端100連接。其中基于可信計(jì)算的服務(wù)器200分為硬件層210、操作系統(tǒng)220和應(yīng)用層230；云平臺(tái)300包括虛擬化、效用計(jì)算、基礎(chǔ)設(shè)施即服務(wù)（IaaS）、平臺(tái)即服務(wù)（PaaS）、軟件即服務(wù)（SaaS）。基于可信計(jì)算的服務(wù)器200的信任鏈構(gòu)建從信任根（即TCM）構(gòu)建開始、到可信賴BIOS、到操作系統(tǒng)LOADER程序、操作系統(tǒng)的信任鏈條。通過(guò)一級(jí)一級(jí)的認(rèn)證和信任傳遞，將這種信任從底層擴(kuò)展到整個(gè)服務(wù)器系統(tǒng)，最終保證系統(tǒng)的可信。在一級(jí)一級(jí)的認(rèn)證和信任過(guò)程中，通過(guò)可信度量，控制信任鏈傳遞和控制權(quán)轉(zhuǎn)移?？刂茩?quán)每向前轉(zhuǎn)移一步，信任鏈也就向前擴(kuò)展一步，直到擴(kuò)展到操作系統(tǒng)。這樣就建立一條從 CRTM 開始到操作系統(tǒng)的信任鏈。

圖2是基于可信計(jì)算的云安全服務(wù)器中加密存儲(chǔ)與數(shù)據(jù)訪問(wèn)控制模型流程圖。

為了對(duì)客戶端上傳的數(shù)據(jù)提供保護(hù)，需要將客戶端上傳的數(shù)據(jù)存儲(chǔ)在加密的區(qū)域中，并且確保只有具有訪問(wèn)權(quán)限的用戶才可以訪問(wèn)這些數(shù)據(jù)。

當(dāng)客戶端將文件上傳至服務(wù)器10時(shí)，客戶端會(huì)在文件中加入客戶端標(biāo)示20。服務(wù)器將上傳的數(shù)據(jù)存儲(chǔ)在加密區(qū)域30中。當(dāng)有服務(wù)器訪問(wèn)加密存儲(chǔ)區(qū)40時(shí)，對(duì)服務(wù)器操作者進(jìn)行身份判定，如果為服務(wù)器管理員60，則要求其輸入密碼70，進(jìn)入加密存儲(chǔ)區(qū)；如果非服務(wù)器管理員，則拒絕訪問(wèn)61。由客戶端訪問(wèn)服務(wù)器的加密存儲(chǔ)區(qū)，系統(tǒng)對(duì)訪問(wèn)者的身份進(jìn)行判定50，如果為數(shù)據(jù)的上傳者或者是上傳者的上級(jí)部門，則允許客戶端下載該數(shù)據(jù)至客戶端51；如果非數(shù)據(jù)的上傳者或者上傳者的上級(jí)部門，則拒絕下載請(qǐng)求52。

圖3是基于可信計(jì)算的云安全服務(wù)器的可信傳輸流程圖。

在服務(wù)器與終端進(jìn)行通信時(shí)，需要保證通信內(nèi)容的安全性，確保傳送的數(shù)據(jù)不被竊取與篡改。為了實(shí)現(xiàn)這一功能，需要對(duì)通信內(nèi)容進(jìn)行加密。TCG定義的標(biāo)準(zhǔn)中，提出了一種叫做封印綁定的傳輸模式。該模式除了對(duì)報(bào)文進(jìn)行加密外，還在通信信息中定義了一套由發(fā)送者定義的PCR值。這個(gè)PCR值作為加密報(bào)文的前置條件，只有在接收者符合發(fā)送者定義的PCR的情況下，才允許接收者解密發(fā)送者的報(bào)文。

在利用TCM芯片構(gòu)建可信終端的情況下，我們選擇客戶端的運(yùn)行狀態(tài)作為類似PCR值的屬性，服務(wù)器規(guī)定了客戶端必須在一定的運(yùn)行狀態(tài)下才可以解密服務(wù)器發(fā)送的數(shù)據(jù)，進(jìn)一步加強(qiáng)了數(shù)據(jù)的安全性。

基于可信計(jì)算的云安全服務(wù)器將數(shù)據(jù)傳送至客戶端1，客戶端自動(dòng)生成運(yùn)行狀態(tài)報(bào)告2，將客戶端運(yùn)行狀態(tài)與基于可信計(jì)算的云安全服務(wù)器預(yù)設(shè)的狀態(tài)進(jìn)行比較3，假如客戶端運(yùn)行狀態(tài)不符合預(yù)設(shè)狀態(tài)，將禁止訪問(wèn)服務(wù)器4；假如客戶端運(yùn)行狀態(tài)符合預(yù)設(shè)狀態(tài)，客戶端可以獲取加密文件5，對(duì)加密文件進(jìn)行解密，獲取所需數(shù)據(jù)6。

以上所述僅為本發(fā)明的較佳實(shí)施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。