中国疾病预防控制中心 102206
摘要:面对不断增加的云计算安全需求,信息安全技术面临着十分严峻的挑战,而云平台自身的可信性是保证云计算安全的重要条件,并且推动云计算技术朝更深的领域全面普及发展也是提高用户对云平台信任度的关键内容。本文针对可信云平台虚拟化技术进行分析,提出可信云平台的具体构建策略。
关键词:可信云平台;云计算技术;虚拟化技术;可信虚拟机
现如今,云计算在发展过程中面临着很多关键问题,其中安全问题已经成为了限制云计算深入发展的重要因素之一。通常情况下,云计算自身结构特点是导致安全问题的主要原因。在云计算环境中,部分用户失去了信息数据的掌控能力,从而出现了一系列安全挑战问题。因此,强化云计算平台自身的安全性是保证云计算安全运行的基础条件,提高用户对云计算平台可信度也是推动云计算技术朝更深层次领域发展的关键。
一、可信虚拟化分析
虚拟化是云计算技术应用过程中的核心特征,利用虚拟化技术可以确保CPU、硬盘等计算资源得到了充分利用。而将可信计算技术引用在云计算当中也需要进行虚拟化处理,这样才能够满足云计算的基本需求。同时,可信计算组织虚拟化工作组也提出了虚拟化可信平台的相关概念,为云计算技术运作环境提供了可信功能,利用模拟硬件TPM的接口和相关功能,使每一台虚拟设备都拥有独立的vTPM,从而能够实现保护敏感信息、提供远程证明等目标,多个TPM虚拟机硬件资源可以实现共享和复用[1]。
从整体发展进程来看,我国可信计算机领域发展起步并不算晚,水平能力较强,目前已经形成了完整的独立可控可信计算体系,在国产密码算法的基础上提出了可信密码模块标准。然而,为了能够有效解决TPM中存在的安全问题,满足不同场景的应用需求,TGG可以将可信平台规范进行升级,结合升级之后的新特性,可以提供虚拟机可信身份,映射出虚拟背书秘钥的关系,从而提出以平台配置为基础的封装存储方法。
二、可信云平台构建分析
通过可信云计算技术,可信云平台可以为用户提供更好的可信云服务,这也是呈现可信云计算技术最直接的方法[2]。目前,可信云平台构建方案主要包括:
(一)TEE可信云平台
在TEE技术具体应用过程中,主要是利用硬件隔离技术来保证代码机密性和完整性,从而能够在不可信环境中保证特定应用保持可信目标。一方面Intel SGX技术应用Skylake处理器,增强了软件的安全性。此方法能够将合法代码和数据封装在一个enclave容器当中,确保其能够得到充分保护,不受外界软件的恶意攻击,非特权软件无法访问enclave,即使是操作系统也无法影响enclave当中的数据与代码,enclave的安全边界包括CPU与其自身,而且还可以为这些代码和数据提供远程证明功能。另一方面,TrustZone也是一种针对消费电子设备所设计的一种硬件架构,其技术应用目的就是为了构件一个安全框架,避免消费电子产品受到恶意攻击。并且技术在概念上可以分成安全世界和非安全世界,所有保密操作都可以在安全世界中完成,其余操作则是在非安全世界中执行。这两种世界可以通过monitor mode模式进行灵活转换。
(二)虚拟化可信云平台
实现可信虚拟化目标主要是为云计算环境提供可信支持。而以vTPM为基础构建的可信云平台是此类研究的重点方向之一。在产业领域,Intel提出了以TPM和vTPM为基础的虚拟化环境数据可信方案,主体就是可信执行技术[3]。该技术主要是利用硬件密钥和子系统双路来控制电脑当中的内部资源,并决定具体哪些程序和用户能够访问以及拒绝资源访问。另外Intel还提出了trust pool相关概念,为Intel处理器云计算节点提供了可信服务。
(三)第三方可信云平台
使用可信第三方可信云平台实现的安全管理是简化管理过程的最佳措施,目前该平台已经在大量安全协议中得到了广泛应用。而使用第三方可信云平台的核心思想就是构建一个能够独立存在于云提供商的可信协调中心。
三、可信虚拟机
实施可信计算主要就是为了解决计算终端可信问题,提出了像密钥管理、数据绑定、身份认定和远程证明等一系列能够保证终端可信的相关概念。在云计算平台当中,虚拟机是保证云服务可信的重要条件,所以保证其行为可预期十分重要。对此,可以将可信计算应用在计算终端相关技术中,并将其转移到虚拟机上,从而确保虚拟机的可信能够成为可信云计算的重点研究方向。
此外,以虚拟机安全监控技术展开的研究相对较早,其核心思想就是利用虚拟机管理器来保护特定的安全工具[4]。从技术现实角度来看,虚拟化安全监控研究工作主要分成内部监控和外部监控两种方式。其中,内部监控就是在虚拟机中通过添加内核模块来拦截内部事件,并且内核模块的安全主要就是由虚拟机管理器来进行保护的。外部监控利用虚拟机管理器对其中相对应的事件进行拦截,从而完成虚拟机外部检测。与内部监控相比,外部监控在安全性和生存性方面具有很强的优势。
结束语:
综上所述,可信云计算技术将可信云计算理论和相关技术都应用在了可信云平台构建上,保证了云平台的可信性,增加了用户对云计算的信任程度。在可信云计算领域,我国已经取得了十分理想的成绩,未来也需要深入发展云操作系统和网络服务器等核心技术,以此来推动我国云计算技术深入发展。
参考文献:
[1]王彩学,季瑞齐,冯丽.采用可信计算技术为政务云平台构建一体化防护模型[J].电脑知识与技术,2021,17(05):260-261.
[2]吴国英,周卫东,王剑冰,管毅.“互联网+可信身份认证平台”技术架构与标准[J].警察技术,2020(03):15-17.
[3]李卫明.可信加密服务平台技术的研究[J].网络安全技术与应用,2019(11):32-34.
[4]何欣枫,田俊峰,刘凡鸣.可信云平台技术综述[J].通信学报,2019,40(02):154-163.
姓名:杨永明,单位:中国疾病预防控制中心,处室:信息中心,邮编:102206,邮寄地址:北京市昌平区昌百路155号综合楼414室
《中华医学信息导报》2022年6月版 13701053531 3篇分期