云计算模式下可信平台设计

第23卷 第4期 2010年 8月 山 东 科 学 SHAND0NG SCIENCE Vo1．23 No．4 Aug．2010 文章编号：1002-4026(2010)04-0099-04 云计算模式下可信平台 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 王海峰，程广河，郝惠娟，王尚斌 (山东省计算中心，山东 济南 250014) 摘要：本文在介绍云计算的基本概念的基础上，分析了云计算给信息安全带来的机遇与挑战。提出了采用嵌 入式技术来实现云计算模式下的信任根的方案，并介绍了方案的详细设计思路。 关键词：云计算 ；可信计算 ；信任根；可信平台模块；云安全；嵌入式技术 中图分类号：TI~91 文献标识码：B l 云计算与云安全简介 云计算作为一种新兴的共享基础架构的 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 ，可以将巨大的 IT资源池化后，连接在一起以提供各种 IT 服务。很多因素推动了对这类环境的需求，其中包括连接设备、实时数据流、SOA的采用以及搜索、开放协 作、社会网络和移动商务等这样的 Web2．0应用 的急剧增长。云计算 (Cloud Computing)是分布式处理 (Distributed Computing)、并行处理(Parallel Computing)和网格计算(Grid Computing)的发展，或者说是这些 计算机科学概念的商业实现 J¨。同时，也包含了虚拟化(Virtualization)、效用计算(Utility Computing)、IaaS (基础设施即服务)、PaaS(平台即服务)、SaaS(软件即服务)等概念。 云计算描述了一种可以通过因特网进行访问的可扩展的应用程序。将来的应用软件将会同时在客户端 和“云中”运行。和现在的weh2．0技术不同，在云中的运行部分需要具备快速的向上和向下伸缩的能力，另 外客户端部分需要在和云断开的情况下仍然可用 J。实际上，云让更多新的服务、新的价值成为可能，并且 能够解决现有技术不能解决的问题。越来越多的公司和科学研究者认为，云计算意味着全球范围内、高度扩 展性和灵活性的服务，这些服务能够以按需使用的商业模式通过互联网进行消费。 但是一旦实现商用，云的安全就成为不可忽略的因素。通过云计算提供给最终用户的应用服务可能会 有多种不同的形式，并且这种服务可发生在任何场合。现有的网络传输安全控制 措施 《全国民用建筑工程设计技术措施》规划•建筑•景观全国民用建筑工程设计技术措施》规划•建筑•景观软件质量保证措施下载工地伤害及预防措施下载关于贯彻落实的具体措施 做的却是极为有限的。 例如，对于在类似星巴克这样的咖啡厅使用无线以太网的用户，其数据是暴露在开放的空间，这种数据传输 方式，很显然是不能满足很多商业用户的安全要求的。另外由于云计算中，客户端和服务器端的路由过于复 杂，因此，黑客们完全有机会通过网络侦听(Sniffer)或者其他更高级的技术进行攻击或数据窃取。 所以，为了提高数据的安全，尤其是针对利用公共网络上网的用户，提供云计算服务的公司必须采取有 力的安全措施 ，确保数据安全可靠地被传输、被访问。 2 可信平台设计 为了实现云计算的安全特性，高级的计算云通常包含一些其他的计算资源，例如存储区域网络(SANs)、 网络中问件(例如防火墙、包过滤)以及其他安全设备等。这些都停留在网络层或者存储层，如果能在硬件 收稿日期：2010-03-01 作者简介：王海峰，硕士，研究实习员，E—mail：wanghf@keylab．net 100 山 东 科 学 芯片层就能保证云计算的安全，使云计算的大规模商用成为可能。 目前，将云计算与可信计算结合，是探索云计算安全问题一个研究方向 j。可信计算是信息安全领域 中的一个重要概念，主要思想是在硬件平台上引入安全芯片(可信平台模块)来提高终端系统的安全性。其 基本思想是，建立一个物理安全的信任根部件，并基于该信任根建立一条认证和信任链，如果能在云中植入 一 个信任根，让计算机从 BIOS到操作系统内核层，再到云应用层都构建信任关系；以此为基础，扩大到云中 的网络，建立相应的信任关系链。通过信任链的扩充，就建立起可信云。这样，可以从根本上解决云计算的 安全问题。也就是说在每个云的终端平台上都植入一个信任根，当终端受到攻击时，可实现自我保护。随着 ‘功能的完善，实现终端的自我管理和自我恢复。 3 可信平台TPM的实现 可信计算框架主要是通过增强现有的终端体系结构的安全性来保证整个系统的安全。在可信计算技术 体系中，最核心的是可信芯片平台TPM。TPM是一个含有各种密码部件和存储部件的小型片上系统，能够提 供一系列密码处理功能，如 RSA加速器、算法引擎、随机数发生器以及存放密钥等功能。这些功能可以在 TPM硬件内部执行，TPM外部的硬件和软件代理只是为它提供 I／O接口，而不能干预 TPM内部的密码函数 的执行。 在互联网构成的云计算平台中，各种终端包含了Pc、手机以及其它移动智能终端等，其中手机以及其 它移动智能终端等多为嵌人式系统。本文将嵌入式系统作为终端，尝试在该硬件平台上引入可信架构。嵌 入式可信终端在嵌入式终端中引入了TPM，由TPM芯片完成嵌入式终端信息安全的核心算法，而由软件调 用 TPM的计算结果来实现相应的安全功能，控制嵌入式终端从启动到运行的全过程。 嵌入式可信终端包括可信的硬件层、OS层和应用层，这3个层次相互配 鬲 ] 合，从而使得可信终端具备可靠的安全支持，其中该架构的核心是 TPM。总 L——————————_IJ 体架构见图1。 该结构包括安全可靠的硬件平台与设备驱动程序库，在统一安全保密管 理下的嵌入式操作系统、软件支持程序库和嵌入式应用程序。该体系结构主 要部件功能包括： (1)基于TPM的安全嵌入式系统体系结构的物理层以拥有自主知识产 权的 TPM安全协处理器为核心，具有支持各类加密 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 和处理复杂密码算 法的能力。硬件平台采用加固型物理封装，并具备自毁功能以防止极端情况 下的信息泄露。 图1 嵌入式可信 终端的总体架构 (2)嵌人式安全操作系统应选择源代码公开、内核功能健全以及方便安全功能开发的嵌入式操作系统。 (3)安全管理工具将操作系统和应用程序的安全管理有机地结合起来，一方面保证应用程序在操作系 统平台上安全可靠的运行．另一方面防止应用程序可能带来的安全隐患对嵌入式系统自身造成破坏。 为了自主研发TMP芯片，本文在原有基于 ARM11处理器 PAX270研发的手持式高速公路应急收费机 的基础上，采用现场可编程门阵列FPGA(EP2C70F672C6)组成智能终端的TPM硬件系统，从最底层保证芯 片的安全性。可以在该系统中添加基于 TPM芯片的安全协处理器来保护口令、PIN码、加密密钥以及其他 重要数据。 4 TPM模块硬件设计 TPM实际上是一个含有密码运算部件和存储部件的小型片上系统，以TPM为基础，可信机制主要通过 可信的度量、度量的存储、度量的 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 三个方面来体现。 TPM提供了一系列密码处理功能，通过 LPC(LowPin Count，TPM芯片与外部交换数据的窗口)总线与 第4期 王海峰，等：云计算模式下可信平台设计 101 PC芯片组结合在一起，安全防护模块采用硬件访问控制技术和存储加密技术来保护片上敏感信息。这些功 能可在 TPM硬件内部执行，TPM外部的硬件和软件代理不能干预 TPM 内部的密码函数的执行，而只是提供 UO接口。 本文在 Ahera公司的Qu~us II软件平台下，首先设计实现了一台Nios II软核处理器。该处理器是32 位 RISC嵌入式处理器，采用32位指令集，其最大特点就是其可配制性能。 NiosII架构定义的用户可见的电路包括寄存器文件、算术逻辑单元、与用户 自定义指令逻辑的接口、异 常控制器、中断控制器、指令总线、数据总线、指令及数据缓存、紧密耦合存储器接口电路及 JTAG调试模块 等。 系统中与FPGA外部硬件相连的各组件的配置包括FLAsH存储器、EPCS16、IIC、UART、LCM等的接口 控制器，这些使用 SOPC Builder组件库中的标准组件。红色 LED、绿色 LED、按钮、波段开关等控制器使用 SOPC Builder组件库中的PIO来定制。平台的输入时钟为 50 MHz，经过锁相环将产生 100 MHz处理器系统 的时钟 CLK。由于 SDRAM对时钟时序的特殊要求，必须对时钟移相 3 ns才能使用。 可信功能实现根据可信计算平台的基本思路，信任将从嵌入式设备安全模块这个信任根开始，然后到硬 件外设，到 LINUX操作系统，再到应用，最后将这种信任扩展到整个计算机系统。计算机安全模块实现了可 信计算层层认证的思想，从软件、硬件、管理三方面保证了整个计算机系统的可信性。 TPM模块在以下方面实现了可信计算功能： (1)当主机 root程序启动，完成主机的相关初始化、自检正常后，将调用安全控制模块扩展 ROM程序， 这样就从开机的root级进行硬件的合法性认证。 (2)在 root进行用户身份(密码或者生物特征)登录认证。 (3)操作系统的完整性认证。 (4)根据硬件中的权限开放其硬件设备，在运行的过程中监测硬件设备的运行状况。 (5)在用户级，应用程序在安装的时候就可以将代表程序完整性的校验值存储在安全模块中，当应用程 序在运行前就会验证应用程序的完整性。 (6)操作系统启动后，后台监控程序开始监控主机上的系统状况，并定时向计算机安全控制模块报告系 统状况，计算机安全控制模块如果发现有非法操作或后台监控程序被关闭，计算机安全控制模块将报警，并 将异常情况作详细的记录写到硬盘中，并根据异常的情况采取拒绝访问硬件设备、关机等相应的措施，或者 锁定系统等待用户进行处理。 5 TPM芯片的扩展设计 在嵌入式系统中，TPM的扩展可采用内扩展或外扩展两种方式之一来进行。内扩展方式就是通过内置 安全功能的微处理器或多核处理器等来模拟 TPM 的基本功能；外扩展是指采用国内外已有的 TPM芯片通 过 SMBUS总线或 LPc总线挂接到嵌入式硬件环境中。本文采用外扩展方式来实现，将 FPGA芯片扩展到已 有的ARM11平台上。IIC总线是一种由Philips公司开发的两线式串行总线标准，用于连接微控制器和外围 设备。其主要优点是：电路结构简单，程序编写方便，减少了电路板的空间及设计的难度，有利于降低成本和 体积，易于实现用户系统软硬件的模块化、标准化。目前 IIC总线技术已为许多著名公司所采用，并已经成 为世界性的工业标准 本文的ARM平台也是使用的IIC总线。 5．1 TPM访问接 口分析 TPM的访问接口主要负责TPM与所属系统之间进行通信 ，系统通过发送符合 TPM命令格式的数据与 TPM进行交互，数据经过物理层的TPM接口寄存器发送给TPM，并从接口寄存器接收TPM返回的数据。 5．2 TPM的接口寄存器 TPM的接口寄存器主要包括配置寄存器、ACCESS寄存器、状态寄存器、DATA FIFO寄存器和 TPM INT 102 山 东 科 学 2010矩 寄存器。 5．3 Locality访问机制 TPM1．2规范中定义了两种对 TPM接口寄存器的访问方式，即I／O方式和存储器映射方式。 5．4 TPM接口状态转换 当TPM初始化完成，使用的Locality被激活后，TPM即进入 Idle状态，每向TPM发送一个命令，TPM将 遍历接口内部所有的状态。一旦TPM在某个过程中出现错误而导致操作超时，驱动程序需要在 ACCESS寄 存器的 CommandReady位写 1来中止 TPM的当前操作。操作中止后，TPM将回到 idle状态。 5．5 嵌入式 TPM设备驱动程序设计 嵌入式TPM设备驱动程序属于软件模块，是介于嵌入式操作系统和TPM硬件之间的设备控制代码，其 设计的主要目标是屏蔽 TPM硬件设备的复杂性，为用户提供一些统一的编程接口，方便应用程序控制 TPM 设备来完成特定的功能。TPM设备驱动程序的主要任务是接收来 自与 TPM设备无关的上层软件的抽象请 求并执行它，还需要负责在电源改变时保存或者恢复 TPM 的状态。嵌入式 TPM驱动和 Pc一样都采用 I／0 控制操作的方式，通过调用 DevicelOControl函数访问驱动程序。 6 小结 通过可信计算技术就能迅速的解决当前云计算中已经碰到的一些安全问题，其主要思路是在各种终端 (包含 PC、手机以及其它移动智能终端等)硬件平台上引入可信架构，通过其提供的安全特性来提高终端系 统的安全性。相信未来建立安全的云计算环境是不存在任何根本问题的。 参考文献： [1]张健．云计算概念和影响力解析[J]．电信网技术，2009(1)：15—18． [2]SIMS K．IBM Introduces Ready—to—use Cloud Computing Collaboration Services Get Clients Started with Cloud Computing[Z]． 2OHD7． ． [3]ARMBRUST M，FOX A，GRIFFTH G．伯克利云计算白皮书(节选)[J]．高性能计算发展与应用，2009(1)：10—15． [4]谢四江，冯雁．浅析云计算与信息安全[J]．北京电子科技学院学报，2008，16(4)：1—3． [5]朱文军．可信平台模块中16位微处理器FPGA实现与验证[J]．计算机工程与应用，2008，44(26)：80—82． [6]肖曦 ，黄吴 ，陈磊．基于 T P M的安全嵌入式系统研究[J]．信息安全与通信保密，2007(7)：79—81． [7]林小茶，李光．基于嵌入式技术的信任根研究[J]．计算机工程与应用，2007，43(16)：165—168． [8]陈小峰．可信平台模块的形式化分析和测试[J]．计算机学报，2009，32(4)：646—653． [9]刘海雷，王震宇，马鸣锦，刘鑫杰．嵌人式可信终端 TPM接口的研究与实现[J]．计算机工程与设计 ，2008，29(13)：16—19． [10]孙勇，陈伟，杨义先．嵌入式系统的可信计算[J]．信息安全与通信保密，2006(9)：25—28．