王亞民　李穎

摘要：該文分析云計算的發(fā)展現(xiàn)狀，以及用戶的重要數(shù)據(jù)在云環(huán)境下的虛擬數(shù)據(jù)中心存儲過程中所產(chǎn)生的一系列安全問題。針對數(shù)據(jù)存儲過程中所產(chǎn)生的安全問題，我們在云計算中引入了可信平臺模塊、虛擬化技術(shù)以及二者結(jié)合的虛擬可信平臺模塊，并介紹了可信平臺模塊的基本功能，主機(jī)平臺上可信鏈的建立，以及SHA-1算法在云計算中的應(yīng)用。

關(guān)鍵詞：可信平臺模塊；平臺虛擬化技術(shù)；虛擬可信平臺模塊；SHA-1算法

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）07-1556-03

1 概述

隨著互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展，云計算作為一種新興的IT技術(shù)被引入。云計算的這種全新的服務(wù)模式徹底改變了傳統(tǒng)IT技術(shù)的計算方式。它使得IT技術(shù)成為一種動態(tài)可擴(kuò)展的計算資源被用戶廣泛使用。然而，這種全新的服務(wù)方式在為用戶提供便利的同時也帶來了新的安全問題。在云計算中，用戶通過從服務(wù)提供商那里租用虛擬機(jī)的方式將所有數(shù)據(jù)存儲在云環(huán)境下的數(shù)據(jù)中心中，并將自己的數(shù)據(jù)交由數(shù)據(jù)中心的虛擬機(jī)進(jìn)行處理，在這種情況下，用戶不能對自己的數(shù)據(jù)進(jìn)行控制，更無法確保存儲在云環(huán)境下數(shù)據(jù)中心的數(shù)據(jù)的安全性和完整性[1]。云環(huán)境下的虛擬數(shù)據(jù)中心是建立在服務(wù)提供商所提供的主機(jī)平臺上的，用戶在使用云服務(wù)時只知道將數(shù)據(jù)存儲在虛擬數(shù)據(jù)中心中，他們并不能確定建立虛擬數(shù)據(jù)中心的主機(jī)平臺是否是可靠的。云用戶將海量數(shù)據(jù)和信息存儲在云環(huán)境下的數(shù)據(jù)中心中，服務(wù)提供商如何保證用戶或組織的數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中進(jìn)行嚴(yán)格的加密，保證數(shù)據(jù)即使被攻擊者盜取也無法對其進(jìn)行還原；以及如何保證服務(wù)提供商不會將用戶或組織存儲在云中的重要數(shù)據(jù)泄露出去[2]。針對以上安全問題，該文在云計算中引入了可信平臺模塊（TPM）和平臺虛擬化技術(shù)，并通過可信平臺模塊所提供的功能以及它所產(chǎn)生的加密算法（SHA-1）來為云計算的安全問題提供保障。

2 可信平臺模塊（TPM）

2.1 可信計算技術(shù)

可信計算技術(shù)為建立一個安全的云模型提供了可靠的基礎(chǔ)。可信計算是指在PC機(jī)的硬件平臺上引入安全芯片架構(gòu)，并通過這種安全芯片提供的安全特性來提高終端系統(tǒng)的安全性[3]。這種安全的芯片被稱為可信平臺模塊（TPM，Tusted Platform Module）?？尚牌脚_模塊（TPM）是嵌入到計算機(jī)主板上的安全芯片，它是獨立、被隔離的硬件。并且只有通過特定的訪問方式、經(jīng)驗證授權(quán)后，外部實體才可以訪問可信平臺模塊（TPM）的數(shù)據(jù)和功能。每一個可信平臺模塊（TPM）都有一個授權(quán)的認(rèn)證密鑰EK（Endorsement Key），EK是可信平臺模塊（TPM）唯一的身份標(biāo)識，它可以為可信平臺模塊（TPM）提供唯一的安全認(rèn)證，以幫助用戶判斷可信平臺模塊（TPM）的可靠性。

通過在云計算中引入可信平臺模塊，我們能夠在服務(wù)提供商所提供的主機(jī)平臺上建立一條可信鏈，位于底部硬件層的可信平臺模塊（如圖1）是這條可信鏈的初始信任根。這個初始信任根使得云計算的主機(jī)平臺從底部硬件層到操作系統(tǒng)，再到云環(huán)境下的虛擬服務(wù)器域都構(gòu)建信任關(guān)系，并以此為基礎(chǔ)，擴(kuò)大到云中的網(wǎng)絡(luò)，建立相應(yīng)的信任關(guān)系鏈。通過信任鏈的建立，我們就能夠構(gòu)建可信云，并從根本上解決云計算的安全問題。

2.2 可信平臺模塊的基本功能

可信平臺模塊（TPM）是可信計算平臺的核心模塊，它具有安全存儲和加密解密功能。在云計算中，可信平臺模塊存儲了主機(jī)平臺的配置信息和加密密鑰，并內(nèi)置加密引擎和用于產(chǎn)生密鑰的隨機(jī)數(shù)發(fā)生器。云服務(wù)中的可信平臺模塊能夠提供以下功能：

1）加密存儲功能：位于底部硬件層的可信平臺模塊（TPM）能夠?qū)⒃骗h(huán)境下的敏感數(shù)據(jù)和信息（如密鑰等）經(jīng)加密后存儲在芯片內(nèi)部；并將云環(huán)境中用于建立虛擬數(shù)據(jù)中心的主機(jī)平臺的配置信息經(jīng)加密后存儲在平臺配置寄存器（PCRs，Platform Configuration Registers）中，以對配置信息進(jìn)行度量[4]，判斷主機(jī)平臺的可靠性。

2）認(rèn)證功能：可信平臺模塊（TPM）能夠產(chǎn)生一種安全的哈希算法（SHA-1），TPM能夠通過SHA-1來檢測主機(jī)平臺的可靠性，并將測量結(jié)果存儲在平臺配置寄存器（PCRs）中，以對平臺進(jìn)行驗證；此外，獨特的身份認(rèn)證密鑰EK也為可信平臺模塊（TPM）提供了認(rèn)證功能，通過驗證EK的真實性，用戶可以判斷主機(jī)平臺上可信平臺模塊的可靠性，從而確定云環(huán)境的可靠性。

3）訪問限制功能：為了保證主機(jī)平臺的安全，可信平臺模塊（TPM）必須是主機(jī)平臺上獨立、被隔離的硬件，所以訪問者必須經(jīng)過可信平臺模塊（TPM）驗證并授權(quán)后才能訪問TPM所管理的資源（如，密鑰、加密存儲的敏感數(shù)據(jù)），以阻止不被授權(quán)的用戶或組織對主機(jī)平臺進(jìn)行惡意的破壞。TPM的訪問限制功能能夠在主機(jī)平臺的底部硬件層就創(chuàng)建信任根，并將這個信任根逐層向上延伸，建立一條通往虛擬服務(wù)器域的可信鏈（如圖1）。

2.3 平臺虛擬化技術(shù)

由于可信平臺模塊（TPM）僅適用于非虛擬化的環(huán)境，并且大多數(shù)TPM與可信平臺之間是一對一的關(guān)系，即它一次只能被一個物理平臺所擁有。所以我們使用平臺虛擬化技術(shù)來解決這一問題。平臺虛擬化技術(shù)也就是可信平臺模塊（TPM）虛擬化技術(shù)，通過使用平臺虛擬化技術(shù)，可信平臺模塊（TPM）的全部功能能夠被模擬；虛擬化了的可信平臺模塊（TPM）被稱為虛擬可信平臺模塊（VTPM，Virtual Tusted Platform Module），VTPM位于云環(huán)境中主機(jī)平臺上的虛擬服務(wù)器域中（如圖1），并且每一個虛擬服務(wù)器域都對應(yīng)一個VTPM，即每一個虛擬機(jī)都獨立擁有一個VTPM，這使得使用云服務(wù)的用戶能夠很好地將自己的數(shù)據(jù)與云環(huán)境中其他用戶的數(shù)據(jù)隔離開來，也保證了VTPM 將主機(jī)平臺上由底部硬件層 TPM 構(gòu)建的信任鏈擴(kuò)展至每個虛擬服務(wù)器域，從而在一個可信主機(jī)平臺上構(gòu)建多個虛擬可信平臺。經(jīng)過虛擬化后，VTPM能夠擁有TPM的全部功能（如，加密解密功能、安全存儲功能等），并對虛擬服務(wù)器域?qū)嵤┍Ｗo(hù)。VTPM也有一個唯一的身份認(rèn)證密鑰EK，這個EK執(zhí)行與TPM的EK同樣的功能。平臺配置寄存器（PCRs，Platform Configuration Registers）被放置在VTPM中，以用于存儲平臺的配置信息。

通過平臺虛擬化技術(shù)，VTPM能夠為平臺上的每一個虛擬環(huán)境提供可信平臺模塊（TPM）的全部功能，這有效解決了TPM與物理平臺之間一對一的關(guān)系，并實現(xiàn)了虛擬環(huán)境中資源的共享。

圖1是云計算中主機(jī)平臺的架構(gòu)。主機(jī)平臺模塊有一個單一的可信平臺模塊（TPM）、虛擬機(jī)管理者、操作系統(tǒng)和虛擬服務(wù)器域，并支持多樣化的虛擬環(huán)境。每一個主機(jī)平臺都有一個可信平臺模塊（TPM），可信平臺模塊位于底部硬件層，并通過它的加密功能和訪問限制功能為硬件層提供保護(hù)；同時由此向上建立到虛擬服務(wù)器域的可信鏈。通過在底部硬件層和操作系統(tǒng)中間引入虛擬機(jī)管理器（VMM），我們能夠?qū)崿F(xiàn)虛擬化技術(shù)，并支持多個虛擬機(jī)同時運行，從而為使用云服務(wù)的每個用戶提供獨立的運行環(huán)境，用戶只需對自己的信息進(jìn)行遠(yuǎn)程維護(hù)，無需對硬件、操作系統(tǒng)和通信線路進(jìn)行維護(hù)，同時還能實現(xiàn)多租戶之間的資源共享。虛擬機(jī)管理器的安裝采用的裸金屬架構(gòu)，即VMM直接安裝在物理服務(wù)器上，然后再在物理服務(wù)器上安裝其他操作系統(tǒng)。這種裸金屬架構(gòu)使得VMM能夠以最高特權(quán)運行在主機(jī)平臺上[5]。VMM主要用于創(chuàng)建和管理虛擬機(jī)，并實現(xiàn)虛擬機(jī)從源平臺到目的平臺的安全遷移?？尚牌脚_模塊（TPM）與物理平臺之間一對一的關(guān)系使得它必須經(jīng)過虛擬化來為每一個用戶提供其全部功能，虛擬可信平臺模塊（VTPM）位于虛擬服務(wù)器域中。VTPM產(chǎn)生的SHA-1算法能夠?qū)τ脩舸鎯υ谔摂M機(jī)中的數(shù)據(jù)進(jìn)行加密，并產(chǎn)生消息摘要，以此來保護(hù)虛擬服務(wù)器域的安全性。

3 SHA-1算法在云計算中的應(yīng)用

在云計算中，可信平臺模塊位于主機(jī)平臺的底部硬件層（見圖1），并且是貫穿云環(huán)境中整個可信鏈的信任根，通過由可信平臺模塊產(chǎn)生的SHA-1算法，我們能夠保證主機(jī)平臺上從底部硬件層到操作系統(tǒng)，再到云環(huán)境下的虛擬服務(wù)器域的可信鏈的安全建立，并為用戶存儲在虛擬數(shù)據(jù)中心中的數(shù)據(jù)和信息的安全性提供保證。

SHA-1是一種安全的哈希算法，它的主要功能是對數(shù)據(jù)進(jìn)行加密，并產(chǎn)生數(shù)據(jù)的消息認(rèn)證，通過驗證長度小得多的消息摘要來代替對大量消息的驗證，能夠大大減少驗證的工作量，并節(jié)約驗證時間[6]。在虛擬數(shù)據(jù)中心中，我們主要使用SHA-1來保證整個數(shù)據(jù)中心的安全性。用戶將數(shù)據(jù)或信息存儲在云環(huán)境下的虛擬數(shù)據(jù)中心中，從而便失去了對數(shù)據(jù)或信息的控制能力，他們不能控制正在對他們的數(shù)據(jù)和信息進(jìn)行操作的應(yīng)用程序。云計算的核心安全問題是用戶無法確保存儲在云環(huán)境下數(shù)據(jù)中心中的數(shù)據(jù)或信息的安全性；用戶只能將數(shù)據(jù)或信息存儲在數(shù)據(jù)中心中，他們并不了解數(shù)據(jù)中心的架構(gòu)，更不能保證存儲在云環(huán)境下的數(shù)據(jù)是否是安全的。所以，我們在云環(huán)境中引入SHA-1加密算法，并通過這種加密算法所提供的功能來保證云服務(wù)使用者的數(shù)據(jù)或信息的安全性。在云計算中，SHA-1算法可提供以下幾個功能：

1）數(shù)據(jù)加密功能：用戶或組織將自己的敏感數(shù)據(jù)或信息存儲在云環(huán)境下的數(shù)據(jù)中心中，我們使用SHA-1算法對數(shù)據(jù)進(jìn)行加密，并計算數(shù)據(jù)或信息的消息摘要，通過驗證消息摘要的可靠性，我們能夠驗證數(shù)據(jù)的可靠性。SHA-1的一個主要特征是它不支持從消息摘要中復(fù)原原始信息。因此，即使是非法用戶獲取了信息的消息摘要，也不能獲取存儲在數(shù)據(jù)中心的數(shù)據(jù)或信息。從而，SHA-1能夠為數(shù)據(jù)中心提供保護(hù)。

2）平臺驗證功能：虛擬化技術(shù)為云計算平臺提供了資源的靈活配置，但同時虛擬化技術(shù)也為云計算提出了一個新的安全問題，即如何保證虛擬機(jī)運行在可靠的虛擬環(huán)境下。通過使用SHA-1算法，我們可以解決這一安全問題。SHA-1的消息認(rèn)證功能可以為運行虛擬機(jī)的平臺提供可靠性認(rèn)證。SHA-1能夠讀取平臺的配置信息，并將其存儲在虛擬服務(wù)器域的VTPM中，同時為VTPM中的平臺配置信息產(chǎn)生消息摘要；通過對平臺配置信息的消息摘要進(jìn)行驗證，可以確定運行虛擬機(jī)平臺的可靠性。VTPM還提供對平臺的配置信息進(jìn)行備份的功能，通過將備份信息與平臺的配置信息進(jìn)行對比，用戶能夠確定用于創(chuàng)建虛擬機(jī)的平臺的可靠性；如果對比信息不一致，那么平臺是不可靠的，我們不能在此平臺上創(chuàng)建虛擬服務(wù)器域；如果對比信息一致，那么平臺是可靠的，可以用來創(chuàng)建虛擬服務(wù)器域。

3）虛擬機(jī)鏡像加密功能：當(dāng)運行虛擬機(jī)的平臺需要維護(hù)或維修時，虛擬機(jī)不得不從一個平臺遷移到另一個平臺上。在虛擬機(jī)遷移過程中，如何確保虛擬機(jī)鏡像的安全成為了一個主要問題。通過使用SHA-1對遷移過程中的虛擬機(jī)鏡像進(jìn)行加密，可以保證虛擬機(jī)鏡像在遷移過程中不被破壞，完整地到達(dá)目標(biāo)平臺，并且保證虛擬機(jī)的狀態(tài)和功能不會受到遷移的影響。遷移到新平臺上的虛擬機(jī)能夠繼續(xù)進(jìn)行原來未完成的工作，而不會意識到自己已經(jīng)被遷移到另一個平臺上。

4）通信加密功能：在云模型中的各個組件之間相互通信時，位于通信網(wǎng)絡(luò)中的SHA-1算法能夠?qū)νㄐ艃?nèi)容自動進(jìn)行加密解密。當(dāng)兩個組件之間開始通信時，SHA-1算法會自動對進(jìn)入通信網(wǎng)絡(luò)中的內(nèi)容進(jìn)行加密；當(dāng)通信內(nèi)容到達(dá)目的地時，SHA-1算法會自動對傳輸內(nèi)容進(jìn)行解密。SHA-1算法的這種加密解密功能不但保證了通信內(nèi)容的安全性，還保證了通信內(nèi)容的可讀性。

在云計算中，通過使用SHA-1加密算法，我們能夠確保云計算模型中的各個環(huán)節(jié)都是安全可靠的。同時，SHA-1算法的數(shù)據(jù)加密功能、平臺驗證功能、虛擬機(jī)鏡像加密功能以及通信加密功能為保證建立一個安全的實用云提供了一定的技術(shù)基礎(chǔ)，并為用戶或組織存儲在云環(huán)境下數(shù)據(jù)中心中的信息和數(shù)據(jù)的安全性和完整性提供了保證。

4 結(jié)束句

安全問題是用戶考慮是否使用云服務(wù)的一個主要問題，也是目前云計算發(fā)展所需要解決的一個關(guān)鍵問題。通過在云計算中引入可信平臺模塊和SHA-1算法，我們能夠有效地解決用戶的數(shù)據(jù)在云環(huán)境下的虛擬數(shù)據(jù)中心存儲過程中的安全問題，并為云計算的進(jìn)一步發(fā)展提供理論基礎(chǔ)。

參考文獻(xiàn)：

[1] Krautheim F J.Build Trust Into Utility Cloud Computer[M].University of Maryland， Baltimore County， Baltimore，MD，2010.

[2] 吳旭東.云計算的數(shù)據(jù)安全研究[J].信息網(wǎng)絡(luò)安全，2011（9）：38-40.

[3] 師俊芳，李小將，李新明.基于TPM的安全操作系統(tǒng)的設(shè)計研究[J].裝備指揮技術(shù)學(xué)院學(xué)報，2009，20（5）：87-91.

[4] 徐賢，龍宇，毛賢平.基于TPM的強(qiáng)身份認(rèn)證協(xié)議研究[J].計算機(jī)工程，2012，38（4）：23-27.

[5] 沈晴霓.虛擬可信平臺技術(shù)現(xiàn)狀與發(fā)展趨勢[J].信息網(wǎng)絡(luò)安全，2010（4）：34-36.

[6] 龔源泉，沈海斌，何樂東，等.SHA-1加密算法的硬件實現(xiàn)[J].計算機(jī)工程與應(yīng)用，2004（3）：95-96.