论文部分内容阅读
近年来,越来越多的计算机用户都倾向于将自己工作的文档、喜欢的文章、乃至个人的照片存放在网络硬盘中。他们认为只要有网络,就可以随时上传和下载需要的内容。容量巨大的网络硬盘和随处可见的网络接口可以替代随身磁盘,使用起来非常便捷。这种趋势也迎合了各大网络服务厂商,他们纷纷推出各种个性化网络存储和计算服务,随之构建了众多的网络数据中心和计算中心。云计算在这种趋势下应运而生。云计算是一种全新的互联网应用模式,它将分布在不同地域的各个数据中心整合起来,形成容量更大、计算速度更快的云计算平台。用户在享受云计算带来的便捷的同时,也担心它带来的问题。用户把重要的信息都存放在云平台中,通过网络上传和下载都有可能被窃听或者篡改。同时还担心云计算服务提供商和攻击者串通,窃取存放在云平台中的数据。越来越多的安全问题阻碍了云计算的向前发展。国内外许多从事云计算研究的专家和学者正在针对云平台的安全问题进行不懈的探索,最好的办法就是在云平台上运用可信计算技术,使云平台成为可信云平台。可信计算是在计算机BIOS中植入一个可信根,通过可信链机制,将可信范围由可信根扩大至整个平台的一种硬件安全技术。这使得云平台的安全性从根本上得到了保障。可信云平台安全性的一个重要的方面是平台的远程证明。目前的证明方法,主要使用安全属性和平台编号信息作为云平台的身份,并由认证服务器来完成远程证明的工作。如果这些身份信息被监听者截获,不仅暴露了平台的隐私,还暴露了平台的位置,存在被监听者进行针对性攻击的危险。这显然无法被用户接受。同时随着用户数量的增多认证服务器的工作负荷也越来越重,成为远程证明的瓶颈。综上所述,本文提出在可信云平台下,使用可信环签名的远程证明方法。这种证明方法使用可信技术,将自身平台和其他多个平台的身份信息组合形成环状身份信息,再把环身份提交给用户。监听者窃听得到的也只是环身份,无法分析出平台在环中的位置,也无法从分析出平台的隐私。这种证明方法很好的隐藏了平台身份。证明的大多数工作由平台自身完成,认证服务器只需要存储和提供环中平台的身份信息,不再进行频繁的证明操作。由此分析得出,可信环签名远程证明方法可以在保证平台匿名性的同时,解决认证服务器操作负担过重的问题。本文使用Eucalyptus云平台开源软件搭建试验环境,通过可编程的IPsec协议族实现可信环签名。通过实验证明,在可信云平台上使用可信环签名进行远程证明,是保证匿名性和减轻认证服务器负担的远程证明方案。