云环境下面向用户的远程证明方案-王旭.pdf

《云环境下面向用户的远程证明方案-王旭.pdf》由会员分享，可在线阅读，更多相关《云环境下面向用户的远程证明方案-王旭.pdf（51页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、密 级： 学校代码：10075分 类 号： 学 号：20101318工学硕士学位论文云环境下面向用户的远程证明方案学位申请人： 王 旭指导教师： 刘振鹏 教授学位类别： 工学硕士学科专业： 通信与信息系统授予单位： 河北大学答辩日期： 二一五年五月Classified Index: CODE: 10075U.D.C: NO: 20101318ADissertationfortheDegreeofM.EngineeringClientOrientedRemoteAttestationSchemeinCloudEnvironmentCandidate:WangXuSupervisor:Prof.L

2、iuZhenpengAcademicDegreeAppliedfor:MasterofEngineeringSpecialty:Comm.&Info.SystemUniversity:HebeiUniversityDataofOralExamination:May,2015第 1 章 引 言 1 第 1 章 引 言 1.1 课题 研究的目的和意义 随着 个人计算机、互联网的广泛普及以及 信息技术的 快速 发展 ， 我们已悄然步入大数据时代，如何处理服务器的过载和剩余以及长年积累 的 海量数据 ， 成为了摆在我们面前的现实问题。 因此，云计算技术应运而生。 云计算将分布式计算和网络存储等技术融合

3、在一起 ，为 解决 大数据时代 所面临的难题提供了行之有效的途径 ， 已然成为第三次 IT革新浪潮中工业界学术界关注的焦点。现阶段广为接受的是美国国家标准与技术研究院（ NIST）的定义：云计算 是 一种按使用量付费的模式，这种模式提供可用的、便捷的、按需的 网络访问，进入可配置的计算资源共享池（资源包括网络，服务器，存储，应用软件，服务），这些资源能够被快速提供，只需投入很少的管理工作，或与服务供应商进行很少的交互。 如今， 云计算正以其按需自助、泛在网络访问、物理位置透明、快速伸缩性以及按使用付费的优势，掀起了新一轮的信息化浪潮，在社会诸多领域得到了广泛的应用。 云计算降低了企业用户的存储

4、和维护成本，解决了个人用户自身存储和计算资源有限所带来的约束 1。尽管云计算拥有强大的功能，并且给用户带来了良好的体验和较低的使用成本，但信任和安全问题却成为其发展的瓶颈。 目 前，对于云端数据的完整性与机密性保护成为了云安全领域的热点问题。由于资料或程序需要被上传到云端，用户就丧失了对数据与应用的控制权。同时，云服务提供商为了自身的安全，很少透露云端内部的信息，这样对于自己的数据与应用，用户并不知道它们是如何被处理的。丧失控制权尤其是知情权后，用户就会产生是否采用云计算解决方案的忧虑。因此，云计算服务提供商与用户之间的信任问题成为阻碍云计算发展的最大障碍之一。为解决此问题，由可信计算组织 T

5、CG(Trusted Computing Group)所提出的可信计算技术正以可依赖的方式融 入云计算环境，并成为云安全领域的一大研究热点 2。可信计算基于可信平台模块（ TPM/TCM），对平台硬件及软件进行可信度量完成信任链的扩展，保证系统可信启动，并通过远程证明使验证者判断平台的可信状态。 1.2 国内外研究现状 计算平台远程证明 (Remote Attestation)是 解决用户信任问题的重要技术，也是 可信河北大学工学硕士学位论文 2 计算的一个重要研究内容。远程平台可信证明包括 平台完整性度量、身份认证和状态验证 等过程。 TCG 组织目前所提出可信远程证明的主要有两种方案，一种

6、为 TPM1.1 标准中的 Privacy CA 方案（ Privacy Certification Authority） 3，另一种为 TPM1.2 标准中的直接匿名证明（ Direct Anonymous Attestation,DAA）方案 4。虽然 DAA 直接匿名证明解决了 Privacy CA 方案中， CA 的瓶颈问题，但两种方案同属二进制证明，容易泄露平台的系统配置，对平台安全造成威胁。 R Sailer 等人提出完整性度量体系 (Integrity MeasurementArchitecture， IMA)，并给出了相关实现方法 5； A Seshadr 将使用 最优化软 件

7、随机读取 的 远程设备的内存内容 与预期状态相比 来 确定远程平台是否可信 6； VHaldar 等人 为克服 现 有技术的局限性 采取了一种与 平台无关的 基于语言的虚拟机技术 78； Sachiko Yoshihama 等人基于 Web Service 框架提出一个面向软件、动态和细粒度的证明机制 9； Trent Jaeger 等在 IMA 基础上，提出了 PRIMA(Policy-Reduced Integrity Measurement Architecture)结构， 通过度量代码和进程间的数据流， 提高了 代码装载时度量方法的 时效 性 10。 Poritz 等人 11从体系架构

8、层次提出了基于属性 (property-based attestation， PBA)的远程证明 ，解决了平台隐私暴露的问题 。 Sadeghi 等人 12具体实现了 基于属性的远程证明方案。 Chen 等 13提出了基于属性的远程证明协议。秦宇等 14提出了安全属性粒度证明方法，以组件为粒度，可以验证每个组件具有的安全属性，验证灵活、可扩展性好。闫建红 15在 PBA 的基础上提出了一种动态属性可信证明 (Dynamic Property Trusted Attestation DPTA)的协议。验证者 将本身 模拟计算 的 PCR 值证书中的 PCR 值进行比较，来验证 示证者的当前平台的

9、安全属性，解决了 静态和 暴露隐私 的 问题。实验 证 明 DPTA不仅解决了基于属性证书的静态特点而且 保护 了 平台隐私，兼有实时性和保密性的特点。 在云环境下， Xin 等人将基于属性的远程证明机制引入云环境中，基于云中的角色设计了一种基于属性的远程证明方案 16，用户能够有效的验证节点的属性且不泄露节点信息。 Xu 等人提出了一种基于 IaaS 的实时远程验证方法 17，利用虚拟化和可信计算来实时远程验证应用软件的行为是否可 信。张严等人提出一种基于的虚拟机身份证明的方案 18，在保障原有认证性和信任关系的情况下，实现了身份证明过程中对身份权威信息的隐藏，避免了上述组织结构、位置等信息

10、的暴露，可支持云环境结构透明、位置无关第 1 章 引 言 3 的特点。此外，该方案实现了对平台属性的安全证明，且证明过程无需身份权威的参与，避免了校验者和身份权威的合谋攻击，进一步提高了方案的安全性和实用性。 1.3 本文主要工作 本文基于直接匿名证明 DAA 及动态属性证明 DPTA 在云环境下，提出了面向用户的远程证明 方案 ，本 方案 以用户为中心，一定程度上解决了用户对于是否采 用云计算解决方案的担忧。用户可根据自身需要在云中选择相应安全等级的节点，可实时动态验证节点可信状态，同时由于使用了匿名方法又不暴露节点的配置、位置等信息。并在 DPTA的基础上增加了时间参数，增强了证明的安全性

11、。最后使用 Amazon EC2 亚马逊弹性云、TPM Emulator、 IAIKjTSS、 Eclipse 3.2 等工具用 java 语言搭建了实验平台，验证了本 方案 的可行性。 1.4 论文结构 本文主要分为 5 章。 第 1 章介绍了课题的意义 、 背景 及国内外研究现状 。 第 2 章 首先简单介绍了云计算发展概况及主要特点， 分析了当前云安全现状。然后对可信计算的国内外研究情况及体系结构进行了详细说明。最后认真分析了 TCG 标准中的两种远程证明方案，为后面章节的展开做了知识上的铺垫。 第 3 章 从方案整体结构，证书颁发、节点注册、用户验证及申请服务协议和整体流程上对本文所提

12、出的云环境下面向用户的远程证明方案进行了详细的说明，本方案中用户可根据自身需求选择所需安全等级的节点运行服务，并可动态验证节点的可信状态，一定程度上化解了用户对于采用云计算方案的担忧。 第 4 章使用 Amazon EC2 亚马逊弹性云搭建了实验平台， 在 时间性能及安全性 能上对 本方案进行了全面的分析 ， 验证了本 方案 的可 行性 。 第 5 章 对 本文做出了总结，并提出了 本文 的不足之处和今后工作 的发展方向 。 河北大学工学硕士学位论文 4 第 2 章 相关背景知识 2.1 云计算 简介 云计算 源于网格计算，是一种新兴的 网络应用模式。 它建立在虚拟资源层上，具有超大规模、虚拟

13、化、 可自我维护和管理 的特点 。 虚拟资源和服务的方式与规模可以根据使用者 的 不同需求动态改变。对于云计算 可 分为狭义和广义的两 种理解方式 。狭义云计算是指 IT基础设施的交付和使用模式；广义云计算是指服务的交付和使用模式。 云计算服务种类多种多样， 可以是 与 IT和软件、互联网 相关的，也可以是任意其他的服务。最早的 云计算 雏形为 20世纪 60年代 MIT的 Mathematics and Computation(MAC)项目和时分机的发明 19。 随着硬件成本的下降、性能的提高和虚拟化技术的成熟， 以硬件计算资源复用技术和动态资源组织与分配机制为基础 的云计算 ， 成为 当下

14、 一种新的发展 潮流20-22。 云计算可以认为包括以下 三 个层次的服务 和四种部署模式 23，如图 2.1所示 ：基础设施即服务（ IaaS），平台即服务（ PaaS）和软件即服务（ SaaS） ；社区云、公有云、私有云、混合云 。 云 计 算三 个 服 务 层 次软 件 即 服 务（ S a a S ）平 台 即 服 务（ P a a S ）基 础 设 施 即 服 务（ I a a S ）四 种 部 署 模 式社 区 云混 合 云私 有 云公 有 云图 2.1 云计算服务层次及部署模式图 第 2 章 相关背景知识 5 IaaS(Infrastructure-as-a-Service)：基

15、础设施即服务。 提供完备的计算机基础设施， 消费者通过 Internet获 取其 服务。例如：硬件服务器租用。 PaaS(Platform-as-a-Service)：平台即服务。 提供 软件研发的平台， 用户 以 SaaS的模式 获取其服务 。因此， PaaS也是 SaaS模式的一种应用。例如：软件的个性化定制开发。 SaaS(Software-as-a- Service)：软 件即服务。提供 应用 软件，用户 只须向提供商租用基于 Web的软件而 无需购买。例如：阳光云服务器。 私有云： 云计算平台是一个私有的独立云空间，其所有者既可以对其基础架构进行操作，也可以权授权给第三方机构对其进行

16、管理与维护。 社区云： 云计算平台被多个组织所拥有，其所有者可以共享和管理彼此的资源，也可以权授权给第三方机构对其进行管理与维护。 公有云： 为公共或者一个大的工业群体所共同拥有。 混合云： 往往是由两个或两个以上的云计算平台组合而成，通过一定的标准或者特有的技术将其结合在一起，但是仍然保持着惟一的实体。其特点是多个云 平台上的数据和应用程序可以相互移植或者交互共享。 2.2 云安全问题 随着云计算的不断普及与发展，越来越多衍生问题随之出现，云安全问题首当其冲，而且呈现逐步上升趋势，目前已成为制约云计算发展的首要因素。据 2009年 Gartner的调查结果显示， 70%以上受访企业的 CTO

17、对数据安全性与隐私性存在忧虑，并认为目前不宜使用云计算 24。 而最近不断爆出各种安全事故更加剧了人们的担忧，尤其是 Amazon，Google等云计算发起者也都发生了许多安全事故。比如， 2009年 3月， Google发生了大批量的用户文件外泄， 2009年 2月和 7月，亚马逊的“简单存储服务 (simple storage service，简称 S3)”两次中断，导致其 S3网站被迫瘫痪等等。美国电子隐私信息中心曾接到关于 Google云平台的投诉，美国联邦贸易委员会因此调查 Google在用户隐私信息保护方面的相关事宜，并提出直到调查结果出来前禁止 Google的云计算服务 25。美

18、国电子隐私信息中心认为 Google云计算服务对用户的信息保护力度不够 ,这些云计算服务包括 Gmail、Google Docs、 Google Desktop、 Picasa网络相册以 及 Google Calendar。 不仅如此，此前的盛大云数据丢失事件以及近期阿里云的宕机事件，更让用户对云计算以及自己托管在云端的数据充满担忧。因此云计算安全服务的发展与云计算平台能否取得用户的信任与支持密切相关。究其根源， 用户对于云计算的信任问题 主要来自于以下两个方面的原因。 河北大学工学硕士学位论文 6 一是从架构上来分析。云端数据服务处于高度托管的状态，直接导致用户对其应用控制权的严重缺失。 从

19、 IaaS模式到 SaaS模式，其间提供商的控制权逐渐增加，因此无论到哪一层，云计算提供商都掌握了绝大部分的控制权。而对于 IaaS模式之上的 SaaS模式与 PaaS模式来说，因安全防护是由云计算的提供商全权负责， 为避免云平台遭受攻击，提供商出于云计算平台的安全考虑，很少甚至几乎不对外公开计算平台的相关信息；为确保云计算提供商对于上层的安全防护服务，用户可以通过协商获取一定的知情权，但实际上平台安全性能对于用户来说仍然是个未知数。对于底层 laaS来说，部署在云端的虚拟机 ( Virtual Machine， VM)内部安全应该主要由用户负主要责任，但仍是由云计算提供商负责创建与维护 VM

20、的虚拟机监控系统，所以对用户来说，其仍然没有实质的控制权 。 二从信息透明度来进行分析。为了保证云平台本身的安全和用户数据安全，云计算提供商必然会采取一定的安全措施来保证其安全性，但是由于云平台安全状态本身的不透明，用户并不知晓云提供商所采取的安全措施，对提供商管理的云平台的安全状态更是知之甚少，根本无法判断云提供商的安全措施是否有效，也无从了解提供商的行为，所以由于信息的不对称，用户对托管在其中数据的担忧和云计算本身的安全隐患，使用户难以放心使用云平台，就只能回归到传统的方式，完全淹没了云计算的经济效益。 因此，云平台自身的局限性给云计算带来的信任危机必然成为日 后发展的瓶颈问题。因此如何强

21、化用户对于云计算平台的信任度，已成为未来云计算发展必须面对的机遇和挑战。 2.3 可信计算 2.3.1 可信计算国内外发展现状 为应对云计算所带来的安全问题，可 信 计算应运而生。 基于全核技术的安全操作系统研究，美国国防部于 1983年颁布了可信计算系统评价准则（ TCSEC） 26。 该准则中提出可信计算基（ TCB）的概念。 TCB是负责实施系统中统一安全策略的保护机制的总和，在计算机系统中由硬件、软件和固件组成。 TCB的优点是不能被绕过，自身不被干涉和篡改，并且正确性可以验证。但由于传 统 PC结构简化， TCB缺乏必要的安全硬件支持，故而在传统 PC上难以实现高安全等级计算。 IBM曾经推出一款可编程的安全协处理器 IBM 47582728， 其特点是能够解决 PC上