云計算環(huán)境下可信虛擬數(shù)據(jù)中心構建及其關鍵技術研究.pdf

1、云計算作為一種新興的商業(yè)模式，因其虛擬化的實現(xiàn)基礎從而具備了快速部署、彈性伸縮、降低IT成本等優(yōu)勢。然而虛擬化技術在提升IT服務規(guī)?；托в没耐瑫r，也存在很多信息安全防護方面的問題，如用戶會由于失去物理設備和基礎網(wǎng)絡的控制權而擔心云服務達不到應有的安全級別，或擔心云服務管理員和云上的其他用戶的惡意行為而造成數(shù)據(jù)泄露。可信計算技術能夠提供從物理層建立的可信任機制，在物理設備上得到了廣泛應用，因此利用可信計算技術構建安全穩(wěn)固的云平臺是一個

2、可行的解決方案。然而目前國內(nèi)外對可信計算技術的研究尚處于單虛擬機監(jiān)視器階段，未能應用到更大的云環(huán)境，特別是對于由多個虛擬資源組成的虛擬云數(shù)據(jù)中心，仍存在不少有待研究和解決的問題。
　　為解決云環(huán)境下大量虛擬資源間的隔離、信任和安全問題，本文結合可信計算技術提出了可信虛擬私有數(shù)據(jù)中心TVPDc（Trusted Virtual Private Datacenter）的概念，構建了TVPDc模型，并重點對其中的幾個關鍵技術進行了研究。<

3、br>　　首先，本文在分析用戶安全需求的基礎上，構建了TVPDc架構，從整體框架、關鍵組件、管理平面入手，闡述了虛擬數(shù)據(jù)中心的隔離和安全機制。該方案保證用戶從云產(chǎn)品架構設計及物理層級信任云服務，而不是僅從供應商的操作規(guī)程和管理角度保證安全。
　　其次，重點討論了可信云主機架構以及可信虛擬化技術vTPM。vTPM是實現(xiàn)本文可信虛擬私有數(shù)據(jù)中心的關鍵，它提供了從底層硬件建立的信任根，并利用完整性度量技術將信任鏈傳遞到用戶的應用環(huán)境。傳

4、統(tǒng)的TCG（Trusted Computing Group）的TPM（Trusted Platform Module）規(guī)范主要通過代碼的二進制校驗進行完整性度量和遠程證明，無法應對云計算高度動態(tài)化的特點，為此筆者提出了改進的基于屬性的度量和遠程證明方案，解決不同虛擬機及物理機之間基于安全屬性的完整性校驗和認證問題。
　　然后，本文構建了一個基于vTPM的虛擬主機遷移協(xié)議?？缥锢砥脚_的虛擬機遷移是云計算的一大優(yōu)勢，但傳統(tǒng)的虛擬機遷移

5、機制一般僅關注遷移過程的有效性和性能開銷，而不太關注數(shù)據(jù)保密性和底層物理平臺的安全性。本文所構建的遷移協(xié)議能夠利用vTPM架構的優(yōu)勢，重點解決源和目的平臺相互安全認證、傳輸虛擬機鏡像文件完整和保密性等問題。
　　最后，云服務的信任和安全機制不僅限于云內(nèi)的主機和虛擬資源之間，同時也包括用戶和云服務應用之間的相互認證。本文構建了一個基于智能卡的用戶口令認證算法，從而在保證認證過程安全可靠的基礎上，實現(xiàn)認證主體匿名性及防重放攻擊等安全要