论文部分内容阅读
随着时代的发展,云计算引起信息技术的获取与服务模式发生革命性变革,它提供高性能计算资源服务和大规模的廉价共享资源,通过虚拟化技术为众多用户构建虚拟资源环境,在当前各个领域得到广泛应用。但是因为在云环境中,用户的数据以及业务流程在物理逻辑上都托管存放于服务商的服务器组上,用户对自身数据的掌控力度较低,由此引发了用户和服务商之间的信任问题。传统的研究方案面临复杂的云环境架构以及云环境中的海量数据很吃力,而且无法解决内部人员对用户重要信息的窃取和破坏。为了构建一个可靠的云环境安全体系,解决云环境的信任和数据安全等问题,提出并实现一种基于可信计算架构的云环境隔离机制,结合云环境自身机制,从隔离的网络架构划分、可信功能在云环境中的执行效率和调用方法以及整个架构中安全消息传递的方法等多个角度提出研究方案,对云环境中虚拟机所使用的资源和虚拟机本身应用环境匹配不同的可信策略完成对云环境的隔离机制。提出多层可信封装机制为应用层的可信管理程序和安全管理程序提供简单事务型接口并完成可信功能的自动化调用。并分别通过实验和流程分析验证相关模型和方案的有效性。主要针对以下方面做了研究:1.针对目前在云环境中信任的缺乏问题,从中国工程院咨询项目《云可信架构研究》提出的可信云思想做出扩展,在云环境基础上引入云安全审计服务器和云服务验证环境服务器来为云环境提供可信方面的支持,并与云环境自身的安全机制结合,根据制定的可信策略从资源和应用层面分别做出隔离划分,并通过可信审计机制给出可信报告,最大程度保证了对云环境的兼容和可控,并保障了云用户和云服务商的信任关系。2.为了引入可信功能而且对云环境本身的程序代码执行效率不产生明显影响,提出了一种多层封装的可信服务接口的可信计算应用调用模式。通过对可信计算中自底向上的五层封装,构建了一个面向应用的可信服务接口的可信计算应用调用模式,规范了应用层对可信计算功能的使用方式,并实现了可信计算功能对应用层的透明支持以及自动化触发。3.为了保证消息在传递过程中的准确性和效率,本文提出一种可信架构的消息传递方法,可以通过消息策略的配置来实现对消息的筛选、分发和加密。保证消息本体不会在传输途中遭到盗取,并根据安全级别对消息的传递效率做了有效分类,从而保证了消息的可靠传输。