一种面向虚拟化的可信双体系结构

1.本发明涉及信息安全技术领域，具体涉及一种面向虚拟化的可信双体系结构。


背景技术：

2.随着云计算技术发展的日益成熟，云计算以其虚拟化、高可靠性、按需服务等优秀特点赢得了越来越多用户的青睐。而虚拟化技术作为云计算环境中的核心技术，给用户带来便利的同时也隐藏着巨大的安全问题，即一旦虚拟机甚至虚拟机管理器被恶意侵入或者控制，就有可能使得大量使用虚拟机服务的云租户的数据被泄露或者遭到破坏。而可信计算作为一种重要的安全技术为云环境下的虚拟化安全提供了一些新的解决方法。在底层物理机上利用我国自主可控主动免疫的可信计算机制，通过信任链的扩展，利用虚拟化技术为云平台上的每个虚拟机实例提供一个唯一对应的虚拟可信根vtpcm，建立起从底层硬件到云平台虚拟机的完整的可信链，从而为云平台的虚拟机安全提供可信保障。
3.在目前的虚拟化技术中对cpu的虚拟即vcpu模型只是以cpu通用指令为基础进行了虚拟，而没有对总线上的安全机制进行相应的虚拟，这样便于虚拟化技术在不同cpu上的实现，但是却不能利用多核cpu总线和控制器的特性在虚拟机中构建可信机制。


技术实现要素：

4.针对现有技术中存在的缺陷，本发明的目的在于提供一种面向虚拟化的可信双体系结构。所以本文利用现有虚拟化技术中已成熟使用的pcie技术及虚拟pcie机制来由物理可信计算节点扩展到虚拟可信计算节点。本文中的虚拟化可信计算节点采用kvm/qemu虚拟化技术来实现。
5.为实现上述目的，本发明采用的技术方案如下：
6.一种面向虚拟化的可信双体系结构，其特征在于，包括：计算节点和可信节点。
7.所述计算节点是由计算、存储等物理资源和配套软件构成的具备实现计算任务功能的设备，正是由一个个的计算节点组建了现代化的信息网络，计算节点也是构建云环境的最小整机单位。
8.所述可信节点在计算节点的基础上通过在总线上并行植入硬件主动度量控制模块(tpcm)，实现了tpcm对整个平台的主动控制；同时在操作系统核心层并接一个可信的控制软件(tsb)接管系统调用并与主动控制模块通信协作，共同构成可信双体系结构。
9.进一步，如上所述的可信节点，其特征在于，根据可信功能层次分为tpcm、可信密码模块(tcm)和tsb三个部件。
10.所述tpcm是可信计算节点的关键，是实现主动控制并具有独立的计算、存储等资源。
11.所述tcm是实现可信功能专用的密码资源部件，依据国家标准在国密sm2、sm3和sm4算法的基础上实现可信计算的密钥管理系统。
12.所述tsb截获计算部件系统行为和探测资源信息，动态解析可信策略，与tpcm通信
并协同tpcm对非可信情况进行处理，实现上层管理、辅助控制等相关功能。
13.进一步，如上所述的tpcm，其特征在于，所述tpcm是可信计算节点的核心也是可信根的核心，在可信计算节点中由主动控制硬件及配套资源组成并行于cpu接入总线，所起的作用类似传统计算节点中的cpu，是可信功能计算和执行硬件。
14.所述tpcm是可信机制的信任源点，具备隔离保障的资源环境，能够并行获取计算节点中的度量对象信息(例如内存中的数据、i/o等)能够对总线上的关键寄存器进行读写，读取内存数据、控制i/o设备，并且读取和控制过程不受计算cpu控制。tpcm为tsb的可信验证提供了可信安全运行环境、度量数据获取、主动控制、数据存储等的物理支撑。
15.进一步，如上所述的tcm，其特征在于，所述tcm是可信计算的密码资源硬件模块，为可信计算平台提供密码运算功能，具有受保护的存储空间。tcm在可信计算节点之中主要起到密码运算的作用，对于可信计算用于安全的密码算法在国家标准中有所要求，是基于sm2、sm3、sm4国密算法和用于可信的密钥管理系统的专用模块。
16.所述tcm包括密码算法、密钥管理、证书管理、密码协议、密码服务等内容，为可信计算节点的主动度量、可信存储、可信证明和可信连接提供密码服务。通常tcm形态为以独立硬件模块的形式存在或集成在tpcm硬件内部两种方式，在有tpcm之后也可以通过主机接口扩展多tcm模块来支撑对密码资源、密码计算能力的需求。可信计算节点以密码技术为基础，实现平台完整性、身份可信性和数据安全性等安全功能。
17.进一步，如上所述的tsb，所述tsb截获计算部件系统行为和探测计算资源信息，动态解析可信策略依据策略在tpcm的支撑下完成可信验证。当前信息系统多数采用软件定义功能，也就是程序描述、进程执行的方式完成计算任务，可信软件基需要根据不同的计算任务(也就是程序)制定可信验证的策略，并且在操作系统层面获取进程行为，获取操作系统的资源分布，动态解析可信验证策略让tpcm针对不同的程序采用不同的可信验证过程。
18.本发明的有益效果在于：本发明所提供的一种虚拟可信根迁移流程主要有动态迁移和静态迁移两种过程，动态可信根迁移适用于租户业务连续性要求高的业务场景，静态可信根迁移适用于租户对业务连续性要求不高的场景。
附图说明
19.图1为本发明实施例中提供的虚拟化场景中可信计算节点架构图。
具体实施方式
20.下面结合说明书附图与具体实施方式对本发明做进一步的详细说明。
21.术语解释
22.tpm：trusted platform module，可信平台模块。
23.tcm:trusted cryptography module，可信密码模块，可信计算平台的硬件模块，为可信计算平台提供密码运算功能，具有受保护的存储空间。
24.tpcm:trusted platform control module，可信平台控制模块，一种集成在可信计算平台中，用于建立和保障信任源点的硬件核心模块，为可信计算提供完整性度量、安全存储、可信报告以及密码服务等功能。
25.vtpcm:virtual trusted platform control module，虚拟tpcm，可信计算密码支
撑平台内部的软件模块，为对平台外部提供访问可信密码模块的软件接口。
26.tsb:trusted software base,可信软件基,可信软件基在可信计算体系中处于承上启下的核心地位，对上保护宿主基础软件和应用的安全，对下管理tpcm并承接tpcm信任链的传递，是tpcm操作系统的延伸。可信软件基通过构建双系统体系结构，并行于宿主基础软件，在tpcm的支撑下通过在宿主操作系统内部进行主动拦截和度量保护，实现主动免疫防御的安全能力。
27.tcm(trusted cryptography module)可信密码模块，是可信计算平台的硬件模块，为可信计算平台提供密码运算功能，具有受保护的存储空间。
28.下面对一种虚拟可信根动态迁移流程进行描述。
29.如图1所示，虚拟可信计算节点在宿主物理可信计算节点的基础上将双体系架构进一步延伸到虚拟机之中，主要通过在虚拟机监视器(vmm)中实现虚拟可信根和在虚拟机操作系统中实现可信验证代理来构建虚拟机双体系结构。在发明通过qemu模拟出pcie设备作为虚拟可信根并在虚拟机操作系统内核中实现可信验证代理完成虚拟机双体系构建。
30.虚拟机中的可信验证代理跟宿主机中的可信验证代理一致，主要在操作系统中截获系统调用行为、探测内存布局、获取被度量对象的相关信息、根据可信验证结果进行相应的控制。虚拟可信根将虚拟机中要度量对象的总线信息传递给宿主的可信虚拟化支撑平台，可信虚拟化支撑平台进行总线信息转换再传给物理tpcm，利用物理tpcm并行接入总线的能力获取该信息对应的度量对象数据，从而进行可信验证。可信虚拟化支撑平台同时还需要维护每一个虚拟可信根的状态信息支持虚拟机迁移等。从虚拟机角度看虚拟可信根是虚拟机中一个设备跟虚拟机中的可信验证代理进行通信；从整体上看虚拟可信根是物理可信根获取虚拟机中度量对象数据的翻译，通过这样的设计一方面保障了虚拟机中双体系结构跟宿主物理机的双体系结构一致，另一方面不用修改现有虚拟化技术就能够实现虚拟机中可信根与物理可信根的通信，便于在虚拟化场景和云计算场景中推广实现可信计算节点。
31.显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其同等技术的范围之内，则本发明也意图包含这些改动和变型在内。