《面向云计算模式运行环境可信性动态验证机制-论文》.pdfVIP

刘川意 等：面向云计算模式运行环境可信性动态验证机制 663 effectivenessandtheperformanceoverheadincurred．Experimentalresultsshow thatTCEE iseffectiveanditsperformanceoverheadis m inor． Keywords： cloudcomputing；trustworthinessverification；trustedcomputing；trustedplatform module 云服务的推广和有效使用，很大程度上取决于云计算的可信性[，．云计算可信问题的根源在于用户失去了 对托管在云端的数据和运行环境的直接控制能力．这些资源可能会受到两方面的威胁：一方面会遭受到来 自于 云提供商内部的窃取和破坏3【；另一方面由于云计算资源的共享使用，用户的资源也可能受到来 自其他云用户 的威胁 ． 具体来说，云计算模式提供给用户 (tenant)(~提供商的用户既可以是服务提供商，也可以是最终用户．为方 便 以下简称为用户)的运行环境是以虚拟机为基础和核心的I．如何在云计算模式下给用户提供可信的运行环 境?总结起来，其面临如下的技术挑战： O 云提供商单方面证 明自己可信很难让用户信服．从体系结构栈来看，用户运行环境中的程序或任务是 运行在云提供商的平台之上的，而用户仅仅是远程连接云提供商管理的虚拟机，能够获得的云平台信 息是有限的，更无法了解云平台内部实现 的细节； ·云提供商为了吸引潜在用户，是倾向于证明 自己是可信的．然而证 明自身可信性的同时，势必会暴露敏 感信息，这些信息可能会被利用来发起对云平台的攻击．因此，如何收集云提供商的可信性证据，使其具 有不可抵赖性且不会给云提供商增加更多潜在攻击，是一个两难问题； ·不同云提供商可能使用不同的物理机器、操作系统、虚拟机管理器等6l『，而且其各 自的云平 台架构和 部署也不尽相同．不能因为要验证其可信性，就要求不同的云提供商具有相同的配置，云提供商应有 自 主选择软、硬件的权利： ·传统的可信计算(trustedcomputing)技术可 以保证服务器在启动过程的可信性．而用户的运行环境是 以虚拟机为载体的，如何将可信任链(trustedchain)扩展到虚拟机体系结构栈，是云计算环境面临的新 问题．更进一步的，云节点的状态(如服务器硬件变化、安装新软件、软件升级等)是动态变化的[6]，因此 用户运行环境的可信性需要需要在运行时保证． 针对 以上挑战，本文提 出面 向云计算模式的用户运行环境可信性动态验证机制 TCEE(trustedcloud executionenvironment)，通过引入可信第三方TTP(trustedthirdparty)，针对用户虚拟机运行环境的可信性进行远 程验证和审计，只有通过 TTP验证的虚拟机才能为用户提供可信的运行环境，从而避免由用户安装、维护可信 性验证的相关设施和信息，并保证其完整性遭到破坏时能够及时被检测出来．同时，云平台的配置、运行信息只 发送给TTP,亦可避免云平台敏感信息的泄露． 本文的主要贡献在于： · 通过引入可信第三方 TTP针对云计算模式下用户运行环境的可信性进行验证和评价，不需要用户维 护相关信息或由用户 自行安装搭建相应的设施对其云计算运行环境的可信性进行验证和评价： · 提出一种周期性验证方案，并对文件系统和 内存进行完整性验证，来保证运行环境的文件系统和运行 程序在运行时的可信性．而现有大多数相关工作只能保证程序和系统在启动或迁移时的可信性： · 基于 TCEE机制构建原型系统，并通过实验的方法对其性能和引入的额外代价进行定量评价，可为实 际应用及部署做参考． 1 相关工作 目前，构建可信运行环境的方法可以分成以下两类： (1)第 1类是将 VMM 作为可信任基 TCB(trustedcodebase)，即设计一个可信的虚拟机管理器 TVMM (trustedvirtualmachinemonitor)[l，然后在此基础上构建用户可信机制． Garfinkel等人设计和实现的Terra系统[使通用平台支持多种系统而为应用程序提供多样的运行环境，但