基于虛擬機(jī)的云計(jì)算可信安全技術(shù)分析與探究

基于虛擬機(jī)的云計(jì)算可信安全技術(shù)分析與探究 

陳木朝  廣州市廣播電視大學(xué)  廣州  510091

【文章摘要】

   隨著互聯(lián)網(wǎng)技術(shù)和計(jì)算機(jī)技術(shù)的蓬勃發(fā)展，云計(jì)算技術(shù)也隨之發(fā)展起來(lái)，云計(jì)算是一種計(jì)算資源可伸縮的、動(dòng)態(tài)的而且被虛擬化了的新型計(jì)算模式，云計(jì)算資源為用戶提供了更周到的服務(wù)，但在云計(jì)算服務(wù)開(kāi)放式環(huán)境中存在的安全隱患也會(huì)隨之增多。為提高云計(jì)算系統(tǒng)的安全性能，可信計(jì)算技術(shù)也就應(yīng)運(yùn)而生，將可信計(jì)算技術(shù)、虛擬化技術(shù)引入到云計(jì)算環(huán)境中，可以使該計(jì)算環(huán)境的安全性能得到大幅度提升，具有重要意義。

【關(guān)鍵詞】

云計(jì)算；可信計(jì)算技術(shù)；虛擬機(jī)；虛擬化技術(shù)

0 引言 

隨著互聯(lián)網(wǎng)技術(shù)和計(jì)算機(jī)技術(shù)的蓬勃發(fā)展，云計(jì)算技術(shù)也隨之發(fā)展起來(lái)，云計(jì)算是一種新型計(jì)算模式，它的計(jì)算資源是可伸縮的、動(dòng)態(tài)的而且是被虛擬化了的，當(dāng)前虛擬化技術(shù)在云計(jì)算服務(wù)產(chǎn)品中的應(yīng)用非常廣泛。云計(jì)算服務(wù)提供商可以通過(guò)利用虛擬化技術(shù)的靈活性和伸縮性使不同用戶的需求得到滿足，對(duì)云計(jì)算資源進(jìn)行一定程度的調(diào)整使其為用戶提供更為貼切的服務(wù)資源。雖然云計(jì)算資源為用戶提供了更周到的服務(wù)，但因云計(jì)算服務(wù)提供商會(huì)將資源提供給很多用戶，也就是說(shuō)云計(jì)算服務(wù)本身屬于開(kāi)放式的環(huán)境，在該環(huán)境下會(huì)存在很多安全隱患。很多意圖不軌者會(huì)偽裝成普通用戶，通過(guò)攻擊云計(jì)算系統(tǒng)的漏洞而謀取私利，對(duì)惡意攻擊者來(lái)說(shuō)云計(jì)算環(huán)境是蘊(yùn)藏著豐富資源的寶庫(kù)。有些意圖不軌者會(huì)以租用云計(jì)算服務(wù)資源的方式窺探其他用戶信息，被窺探用戶會(huì)因此造成嚴(yán)重?fù)p失。為提高云計(jì)算系統(tǒng)的安全性能，可信計(jì)算技術(shù)也就應(yīng)運(yùn)而生，該技術(shù)是由可信計(jì)算工作組TCG設(shè)計(jì)研發(fā)的，可信計(jì)算技術(shù)是一種能確保云計(jì)算系統(tǒng)安全的解決方案。可信計(jì)算技術(shù)是由以下幾種安全機(jī)制構(gòu)成的：背書(shū)密鑰、封裝存儲(chǔ)、內(nèi)存保護(hù)、可信啟動(dòng)、遠(yuǎn)程證明等。可信平臺(tái)模塊則是可信計(jì)算技術(shù)的核心。將可信計(jì)算技術(shù)、虛擬化技術(shù)引入到云計(jì)算環(huán)境中，可以使該計(jì)算環(huán)境的安全性能得到大幅度提升，具有重要意義。

1 基于虛擬機(jī)云計(jì)算可信安全技術(shù)的研究意義 

云計(jì)算技術(shù)具有多變的軟件接口和強(qiáng)大的硬件資源，云計(jì)算環(huán)境底層平臺(tái)的維護(hù)工作由云計(jì)算管理者專(zhuān)門(mén)負(fù)責(zé)，為用戶提供了優(yōu)質(zhì)服務(wù)，對(duì)用戶來(lái)說(shuō)云計(jì)算技術(shù)有很大的吸引力。用戶在享受云計(jì)算周到服務(wù)的同時(shí)也面臨著更多更多的安全顧慮。如何在多用戶共享云計(jì)算系統(tǒng)資源基于虛擬機(jī)的云計(jì)算可信安全技術(shù)分析與探究 陳木朝  廣州市廣播電視大學(xué)  廣州  510091的情況下提高系統(tǒng)的安全性能、規(guī)避意圖不軌者對(duì)系統(tǒng)的惡意攻擊、降低惡意攻擊者竊取或篡改其他用戶數(shù)據(jù)的惡劣行為，已成為當(dāng)前一項(xiàng)亟待解決的問(wèn)題。虛擬機(jī)遷移技術(shù)對(duì)云計(jì)算環(huán)境的安全性能至關(guān)重要，它是云計(jì)算資源管理層面的重要機(jī)制。通過(guò)采用虛擬機(jī)遷移技術(shù)可以使負(fù)載更為平衡、資源分配更為合理、效能管理更為有效，并可以使閑置的資源、設(shè)備得到有效利用，程序的執(zhí)行效能也會(huì)因此得到全面提升，使系統(tǒng)資源的分配更為高效。通過(guò)虛擬化技術(shù)的運(yùn)用可為運(yùn)算任務(wù)提供相應(yīng)的虛擬資源，類(lèi)似的運(yùn)算任務(wù)還可以通過(guò)遷移技術(shù)的運(yùn)用分散到不同的主機(jī)上，使物理資源得到了有效擴(kuò)充，減少了之間的競(jìng)爭(zhēng)。當(dāng)主機(jī)遭到惡意者攻擊或窺探時(shí)，通過(guò)對(duì)虛擬機(jī)的遷移，減小受損范圍，有效規(guī)避其后續(xù)的攻擊行為。 

2 對(duì)基于虛擬機(jī)的云計(jì)算可信安全技術(shù)的分析論述 

2.1 云計(jì)算分析

軟件、計(jì)算、數(shù)據(jù)訪問(wèn)、存儲(chǔ)等服務(wù)都是由云計(jì)算提供的，在提供服務(wù)時(shí)云計(jì)算系統(tǒng)無(wú)需知道用戶的傳遞服務(wù)的系統(tǒng)組成及所處物理位置，也正因如此云計(jì)算的應(yīng)用非常廣泛。云系統(tǒng)通過(guò)正確的中間件就可以執(zhí)行普通電腦所能運(yùn)行的所有程序。

2.2 可信計(jì)算分析

可信計(jì)算平臺(tái)是由一整套的軟件、硬件技術(shù)搭建而成的，該平臺(tái)被用于完整性和保密性驗(yàn)證及身份驗(yàn)證。可信計(jì)算模塊包括安全密鑰存儲(chǔ)、硬件加密、認(rèn)證等多種功能，將硬件安全組件內(nèi)置到了計(jì)算機(jī)內(nèi)部及計(jì)算機(jī)類(lèi)電子產(chǎn)品中，提高了計(jì)算機(jī)的安全性能。可信計(jì)算平臺(tái)提供了認(rèn)證、驗(yàn)證、加密、保密、完整等安全服務(wù)。

2.3 對(duì)可信組件分析

可信計(jì)算是由受信任的平臺(tái)支持服務(wù)、可信平臺(tái)模塊兩部分構(gòu)成的，用戶和可信計(jì)算平臺(tái)之間需要一個(gè)中間件，該中間件即為受信任的平臺(tái)支持服務(wù)平臺(tái)，可信平臺(tái)模塊其實(shí)質(zhì)是一個(gè)安全設(shè)備，該安全設(shè)置可以存儲(chǔ)加密密鑰。

2.5 可信計(jì)算的需要分析

隨著科技的發(fā)展，計(jì)算機(jī)系統(tǒng)所面臨的威脅與日俱增，預(yù)防工作不但要從軟件方面著手，還要加強(qiáng)可信平臺(tái)的硬件防范，受信任平臺(tái)所能處理的威脅主要包括以下幾大類(lèi)：未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問(wèn)；通過(guò)身份裝扮和盜用形式獲取未受保護(hù)的敏感信息和密碼；違反數(shù)據(jù)保護(hù)和身份驗(yàn)證法規(guī)遵守問(wèn)題；服務(wù)器或客戶端PC上未受保護(hù)的文檔、文件、電子郵件未經(jīng)授權(quán)的訪問(wèn)等。

3 可信計(jì)算技術(shù)的詳細(xì)論述 

3.1 可信平臺(tái)模型

可信計(jì)算模塊的安全策略是在密鑰層級(jí)實(shí)現(xiàn)的，安全策略的實(shí)施可以使系統(tǒng)防范遠(yuǎn)程攻擊者的軟件攻擊，該模塊是一個(gè)硬件芯片，其實(shí)質(zhì)是獨(dú)立于平臺(tái)的處理器。可信平臺(tái)會(huì)與其他平臺(tái)保持必要的通信，平臺(tái)的安全屬性是由計(jì)算庫(kù)的一套函數(shù)提供完成的。

3.2 用戶行為跟蹤

云計(jì)算系統(tǒng)可以根據(jù)用戶信息跟蹤用戶，當(dāng)用戶登錄云計(jì)算系統(tǒng)時(shí)他的身份信息首先進(jìn)行記錄和驗(yàn)證。如果參與者有一些惡意行為，他們將被跟蹤和懲罰。

3.3 基于可信計(jì)算平臺(tái)的云計(jì)算

云計(jì)算在電子商務(wù)中擔(dān)任重要角色，可信計(jì)算技術(shù)可以建立一個(gè)安全的云計(jì)算，我們可以通過(guò)整合可信計(jì)算平臺(tái)把可信計(jì)算機(jī)制擴(kuò)展到云計(jì)算服務(wù)系統(tǒng)。

3.4 可信硬件設(shè)備

通用硬件是由可信平臺(tái)模塊和硬件組件集合而成的，用戶數(shù)據(jù)保護(hù)工作是通過(guò)可信平臺(tái)模塊使用硬件保護(hù)私鑰加密簽名實(shí)現(xiàn)的，但受存儲(chǔ)器空間有限的限制，不使用密鑰時(shí)必須將其換下來(lái)。

3.5 平臺(tái)支持服務(wù)

可信計(jì)算的主要組件是受信平臺(tái)支持服務(wù)，受信平臺(tái)支持服務(wù)提供了基本資源，為可信計(jì)算模塊提供了支持，受信平臺(tái)支持服務(wù)主要包括核心服務(wù)和服務(wù)提供商兩層。這些應(yīng)用需要調(diào)用可信計(jì)算平臺(tái)的函數(shù)。可信計(jì)算平臺(tái)提供了一些基本安全模塊。這些基本模塊發(fā)出可信計(jì)算服務(wù)調(diào)用。然后，可信平臺(tái)支持服務(wù)將根據(jù)可信計(jì)算模塊指示調(diào)用。可信計(jì)算模塊是硬件，TCG設(shè)備驅(qū)動(dòng)程序庫(kù)是必要的。把可信計(jì)算服務(wù)調(diào)用轉(zhuǎn)換可信計(jì)算模塊命令。然后它會(huì)返回結(jié)果。每一層得到的低層并把結(jié)果返回上層。

4 總結(jié) 

云計(jì)算服務(wù)開(kāi)放式環(huán)境中存在的安全隱患還很多，將可信計(jì)算技術(shù)、虛擬化技術(shù)引入到云計(jì)算環(huán)境中，使計(jì)算環(huán)境的安全性能得到大幅度提升，提高系統(tǒng)的安全性能、規(guī)避意圖不軌者對(duì)系統(tǒng)的惡意攻擊、降低惡意攻擊者竊取或篡改其他用戶數(shù)據(jù)的惡劣行為，基于虛擬機(jī)的云計(jì)算可信安全技術(shù)進(jìn)一步提高了云計(jì)算環(huán)境的安全性能，具有重要意義。

【參考文獻(xiàn)】

[1]任偉,葉敏,劉宇靚.云安全的信任管理研究[A]. 中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專(zhuān)業(yè)委員會(huì).全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集·第二十五卷[C].中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專(zhuān)業(yè)委員會(huì) :,2010:11.

[2]費(fèi)稼軒,張濤,馬媛媛,陳亞?wèn)|,石聰聰. 基于可信Agent的電力移動(dòng)終端可信狀態(tài)監(jiān)測(cè)方法研究[A]. 中國(guó)電機(jī)工程學(xué)會(huì).2013年中國(guó)電機(jī)工程學(xué)會(huì)年會(huì)論文集[C].中國(guó)電機(jī)工程學(xué)會(huì) :,2013:12.

[3]張志勇,常亞楠,王劍,向菲. 云計(jì)算環(huán)境下的可信接入安全協(xié)議研究進(jìn)展[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 ,2013,08:112-116.

[4]呂慎娟,張永勝,婁迎紅,張艷東,田明.基于云理論的可信技術(shù)研究[J].計(jì)算機(jī)應(yīng)用研究 ,2013,08:2523-2526.