面向云计算模式的运行环境可信性动态验证机制

【摘 要】云计算作为一种新兴的信息服务技术，目前已经凭借着自身诸多优势在社会多个领域中得到了广泛应用。在云计算模式下，用户需要将与自己相关的信息通过虚拟机存储起来，然而在纷乱复杂的网络环境下，这些信息难免会遭受到恶意的篡改和窃取，在这种情况下，建立相应的可信性动态验证机制是不容忽视的。本文首先对云计算以及相关技术进行简要介绍，并在此基础上探讨如何建立相应的可信性动态验证机制。

【关键词】云计算模式；可信性；动态验证机制

云计算是基于互联网的一种信息服务技术，网络用户可以通过该技术获取到网络上共享的资源。由于在该过程中，用户需要将自己的数据在虚拟机上存储，这就涉及到了对用户数据的保护问题。目前，对于该问题的解决方案主要有两种，一种是利用加密的方法直接对用户的数据和应用程序进行保护，另外一种是通过验证和设计基础设施云的可信性来确保用户数据及应用程度的可信性。本文主要对第二种方案进行研究，根据用户数据和应用程序的安全标准建立相应的可信性动态验证机制，从而为今后基础设施云的可信性。

1.云计算简介

1.1云计算的概念及交付模式

所谓云计算，主要指的是通过互联网以服务的方式提供动态可伸缩的虚拟化的资源的计算模式，其不仅能够使网络中的资源得以更好的分享，而且还可以从根本上降低资源的获取成本。就我国目前云计算的交付模式来看，主要包括三种。第一种是基础设施云，在这种交付模式中，用户只需要按照自己租赁的资源数量和使用时间来付费即可，而不需要对相关的服务器进行维护，这类交付模式的软件主要有EC2和vSphere等。第二种是平台云，用户在使用过程中，可以通过租赁计算平台的方式来对相关的应用程序进行部署，除此之外，不用对任何问题进行考虑，这类交付模式的软件主要有Google App Engine和Azure平台等。最后一种软件云，在这种交付模式下，用户可以按照自身的需求申请使用服务，待申请通过之后，用户就可以对软件进行任意使用，甚至还可以通过组合的方式将多种软件一起使用，这类交付模式的软件主要有CRM、ERP和Zoho Office等。

1.2可信技术

所谓可信技术，主要指的是由可信计算组织开发和推广的用于保护程序或系统行为可信性的一门技术。该技术中共涉及了五个较为关键的技术概念，即背书密钥、内存隔离、密封存储、远程验证和可信第三方。每一项技术在都起到了关键性的作用，以内存隔离技术为例，该技术的主要任务就是将普通的内存保护机制进行扩展，以此来起到对敏感数据的隔离保护。根据云系统的应用不同，不同厂商的实现细节也不尽相同。而远程验证技术的主要任务则是采用一定的方法，促使用户计算机的使用状态能够被管理方检测，以此来避免用户所运行的程序不合法的现象发生。

2.建立相应的可信性动态验证机制

2.1云环境TCB简介

所谓TCB，主要指的是计算机内部保护装置的总体，其中，不仅包括了系统运行所需的软硬件，而且还包括了固件和负责执行安全策略的组合体。在计算机系统运行过程中，如果TCB中的任何一个部分出现问题，那么都是在一定程度上影响到系统的安全属性。由此可见，TCB对于系统的安全运行具有重要意义，相关工作人员必须对其给予高度重视，尽可能对其精心设计，以此来将TCB的作用在系统运行中最大限度的发挥出来。近几年来，随着云计算越来越广泛的应用，用户的相关数据也由传统的直接运行逐渐转变为在云计算平台的IaaS层、Paas层或SaaS层。目前，常见的TCB类型主要有三种，即节点的核心TCB、节点的云TCB和应用的云TCB。

2.2可信性动态验证系统架构

通常情况下，一个典型的基础设施云，其系统的总体结构主要包括两个部分，即控制服务器和节点服务器。其中，控制服务器在系统中的主要任务是负责对集群中节点服务器资源进行管理，而节点服务器上则承载着虚拟机所提供的所有虚拟服务。由此可见，如果我们想要从根本上实现虚拟机运行的可信性，只要确保所有节点服务器的可信就可以。本文所介绍的是采用可信计算技术来确保云平台的可信性，其中节点服务器的软硬件配置必须遵循TCG标准。

从图中我们能够看出，结构中所涉及到的所有节点服务器，必须配备相应的物理TPM芯片，来确保各个节点服务器的安全使用。此外，体系结构中还包括了引导程序扩展SRTM可信度功能、信任链构建模块以及远程验证服务模块等几个部分。其中，SRTM可信度功能和信任链构建模块的主要任务分别是确保启动和运行过程中静态信任链构建的顺利完成，而远程验证模块的主要任务则是完成与可信第三方的连接，传输可信证据的工作。做好以上几个方面的工作，可信性动态验证系统架构就算是基本完成了。

2.3可信性动态验证机制构建

一般来说，节点服务器的生命周期可以分为启动和运行两个阶段，每个阶段对可信性动态验证机制的构建都有不同的要求。首先是启动时的可信性动态验证机制构建，该部分的工作主要应该从节点服务器POST开始，然后依次按照POST到Bootloader的顺序将OS内核镜像成功载入内存。

其次是运行时可信性动态验证机制的构建，该部分的工作主要应该从操作系统入手，从对内核运行的系统设计开始，逐步展开可信性动态验证机制的构建，直到服务器关机为止。为了确保构建任务能够顺利完成，在对各项工作开展之前，都要进行可信度量并扩展到预设的静态PCR中，从而完成可信性动态验证机制的构建。

2.4可信性动态验证机制验证

可信性动态验证机制的验证过程主要涉及了三项内容，首先是检查被验证方身份，上文中提到，可信性动态验证系统架构中所涉及到的每个节点服务器都必须配置相应的TPM芯片，其设计之初就具备了为一个平台提供唯一性身份标示的功能，而且，该芯片在出厂的时候，就有一系列证书可以证明其身份。其次是检查配置信息列表的完整性。通常情况下，验证方在提供一个配置信息列表的时候，会同时提供一系列保证其完整的PCR值。验证方只要根据得到了信息列表与被验证方所提供的PCR值做比较，就可以一目了然的查看配置的信息列表是否完整。最后是检索特征数据库，在检索特征数据库使用的过程中，需要根据实际需求对其进行扩展和更新。验证方有责任保证检验这些软硬件的功能和行为是否可信，以便能够做出正确的判定。

3.结语

综上所述，随着云计算在我国社会各领域中的广泛应用，如何建立相应的可信性动态验证机制也成为了相关部门所面临的一项重大课题。通过本文的介绍我们可以看出，在云计算环境下，想要建立科学合理的可信性动态验证机制，不仅要做好验证系统的架构和机制构建，而且还要有相应的密钥管理模块作为支撑。只有这样，才能够从根本上实现可信性动态验证机制的建立，从而将其作用充分的发挥出来。 [科]

【参考文献】

[1]覃志东，雷航，桑楠，熊光泽，古幼鹏.安全关键软件可靠性验证测试方法研究[J].航空学报，2005（03）.

[2]程仕伟，潘郁.云计算环境下基于可信性的动态资源分配策略[J].计算机工程，2011（11）.

[3]王小亮.面向云计算环境的信任链研究[D].北京邮电大学，2013.

[4]张学龙，王道平.信任链对知识扩散的影响研究——基于二维信息空间理论[J].中国科技论坛，2010（12）.