一种可信云平台度量系统及方法与流程

本发明涉及信息安全领域，具体涉及一种可信云平台度量系统及方法。

背景技术：

云计算是一种基于网络将分散的各种信息资源(包括计算与存储、应用运行平台、软件等)集中起来形成共享的资源池，并以动态、弹性的方式向用户提供服务的计算模式。近年来，云计算技术的广泛普及为电力产业升级创造了巨大的空间和机遇。各电力信息系统现有计算和存储能力都不尽不同，因而利用各国家电网和省级电网现有系统建立电力系统行业云,既能最大限度地整合电力系统现有的数据资源和处理器资源,又能为各电力系统公司提供可扩展的计算存储能力，并且对电力系统内部的储存和计算资源访问仍可以由电力系统公司控制和保障。

而目前针对电力系统的攻击以敌对势力为电力系统量身定制的恶意代码为主，扩散以及破坏非常隐蔽，可能突破以隔离为主的安全防护体系，现有防护措施难以有效防御。而以杀病毒、入侵检测为代表的“查杀”手段皆采用基于已知“特征”的检查技术，无法适应数量规模数万级、且的快速增长的病毒木马，以特征码为基础的防护手段的滞后性不能抵御新出现的未知恶意代码，使用定制恶意代码实施攻击者的目标很明确，只实施一次攻击，发现攻击行为后再提取特征码已毫无意义。因此，构建安全可信的电力云平台是整个电力系统安全防御体系的核心内容。

为了保证云平台的可信性，需要同时保证物理环境和虚拟环境的可信性，需要实现虚拟机与宿主机通信，并保证虚拟机本身的可信性。但是在现有的云平台系统中无法有效解决云平台的身份标识并保护云平台的软硬件完整性，并不能加强云平台本体的安全。

技术实现要素：

本发明要解决的技术问题在于克服在现有技术的云平台系统中无法有效解决云平台的身份标识并保护云平台的软硬件完整的问题，云平台对恶意攻击缺乏主动免疫机制，从而使得云平台本体的安全难以保障的问题。

根据第一方面，本发明实施例提供了一种可信云平台度量系统，包括：虚拟可信根后端驱动模块、生命周期管理模块、虚拟可信根管理模块、物理可信根驱动模块、物理可信根模块及至少一虚拟可信根前端驱动模块，其中，各所述虚拟可信根前端驱动模块一一对应的配置于各虚拟机中，用于接收虚拟机应用软件中可信应用的应用请求并将所述应用请求发送至所述虚拟可信根后端驱动模块；所述虚拟可信根后端驱动模块、生命周期管理模块、虚拟可信根管理模块及物理可信根驱动模块配置于宿主机中；所述虚拟可信根后端驱动模块用于接收各所述应用请求，根据所述应用请求与所述虚拟机的对应关系为所述应用请求添加所述虚拟机的标号，生成标识应用请求，并将所述标识应用请求发送至所述物理可信根驱动模块；所述生命周期管理模块根据各所述虚拟机的启动行为及所述宿主机的系统环境生成度量指令，并通过所述虚拟可信根管理模块向所述物理可信根驱动模块发送所述度量指令；所述物理可信根驱动模块用于执行所述度量指令，对所述标识应用请求进行可信度量测试生成度量结果，并将所述度量结果发送至所述物理可信根模块；所述物理可信根模块配置于宿主机硬件中，所述物理可信根模块根据所述度量结果，确定所述宿主机是否执行所述应用请求。

结合第一方面，在第一方面第一实施方式中，所述生命周期管理模块根据各所述虚拟机的启动行为及所述宿主机的系统环境生成度量指令，并通过所述虚拟可信根管理模块向所述物理可信根驱动模块发送度量指令的过程，具体包括：所述生命周期管理模块监测各所述虚拟机有无启动行为；当所述生命周期管理模块监测到所述虚拟机有启动行为时，所述生命周期管理模块判断所述宿主机的系统环境是否可信；当所述宿主机的系统环境可信时，所述生命周期管理模块生成所述度量指令，并通过所述虚拟可信根管理模块向所述物理可信根驱动模块发送所述度量指令。

结合第一方面，在第一方面第二实施方式中，所述物理可信根驱动模块执行所述度量指令，对所述标识应用请求进行可信度量测试生成度量结果，并将所述度量结果发送至所述物理可信根模块的过程，具体包括：

所述物理可信根驱动模块根据所述度量指令为各虚拟机实例设置导入接口，并通过所述导入接口将各所述虚拟机实例导入所述物理可信根驱动模块中；所述物理可信根驱动模块根据各所述虚拟机实例对所述宿主机操作系统进行完整性度量生成度量结果；所述物理可信根驱动模块将所述度量结果发送至所述物理可信根模块。

结合第一方面，在第一方面第三实施方式中，所述物理可信根模块根据所述度量结果，确定所述宿主机是否执行所述应用请求的过程，具体包括：所述物理可信根模块判断所述度量结果中所述应用请求是否为可信请求；当所述应用请求为可信请求时，所述宿主机开启数据传输通道，并执行所述应用请求。

结合第一方面，在第一方面第四实施方式中，当所述应用请求为不可信请求时，所述宿主机禁止响应所述应用请求，并向用户发送入侵警告。

根据第二方面，本发明实施例提供了一种可信云平台度量方法，包括：获取虚拟机应用软件中可信应用的应用请求；根据所述应用请求与所述虚拟机的对应关系为所述应用请求添加所述虚拟机的标号生成标识应用请求；根据各所述虚拟机的启动行为及宿主机的系统环境生成度量指令；根据所述度量指令对所述标识应用请求进行可信度量测试生成度量结果；根据所述度量结果，确定所述宿主机是否执行所述应用请求。

结合第二方面，在第二方面第一实施方式中，所述根据各所述虚拟机的启动行为及宿主机的系统环境生成度量指令，包括：监测各所述虚拟机有无启动行为；当监测到所述虚拟机有启动行为时，判断所述宿主机的系统环境是否可信；当所述宿主机的系统环境可信时，生成所述度量指令。

结合第二方面，在第二方面第二实施方式中，所述根据所述度量指令对所述标识应用请求进行可信度量测试生成度量结果，包括：根据所述度量指令为各虚拟机实例设置导入接口，并通过所述导入接口导入各所述虚拟机实例；根据各所述虚拟机实例对所述宿主机操作系统进行完整性度量生成度量结果。

结合第二方面，在第二方面第三实施方式中，所述根据所述度量结果，确定是否执行所述应用请求，包括：判断所述度量结果中所述应用请求是否为可信请求；当所述应用请求为可信请求时，所述宿主机开启数据传输通道，并执行所述应用请求。

结合第二方面，在第二方面第四实施方式中，所述可信云平台度量方法还包括：当所述应用请求为不可信请求时，所述宿主机禁止响应所述应用请求，并向用户发送入侵警告。

本发明技术方案，具有如下优点：

本发明实施例通过虚拟可信根前端驱动模块获取应用请求并将该应用请求发送至虚拟可信根后端驱动模块添加与虚拟机对应的标号，生成标识应用请求并发送至物理可信根驱动模块，生命周期管理模块根据各虚拟机的启动行为及宿主机的系统环境生成度量指令，并将度量指令通过虚拟可信根管理模块发送至物理可信根驱动模块执行，物理可信根驱动模块对标识应用请求进行可信度量测试生成度量结果，并将该结果发送至物理可信根模块使其根据度量结果确定宿主机是否执行应用请求。本发明实施例通过引入可信计算，实现了云平台的身份标识并保护了云平台的软硬件，实现对云平台本体安全的增强，实现了云平台对恶意攻击的主动免疫机制，为构建安全可信的电力云平台奠定了坚实的基础。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例中可信云平台度量系统的结构示意图；

图2为本发明实施例中可信云平台度量系统的另一结构示意图；

图3为本发明实施例中可信云平台度量方法的流程图；

图4为本发明实施例中可信云平台度量方法的另一流程图；

图5为本发明实施例中可信云平台度量方法的另一流程图；

图6为本发明实施例中可信云平台度量方法的另一流程图。

具体实施方式

下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

此外，下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。

实施例1

本发明实施例提供一种可信云平台度量系统，如图1所示，该可信云平台度量系统包括：虚拟可信根后端驱动模块1、生命周期管理模块2、虚拟可信根管理模块3、物理可信根驱动模块4、物理可信根模块5及至少一虚拟可信根前端驱动模块6，需要说明的是，在本发明实施例中，是以虚拟可信根前端驱动模块6为一个为例进行的说明，在实际应用中该虚拟可信根前端驱动模块6的个数可能是多个，本发明并不以此为限。

具体地，在一实施例中，上述的可信云平台度量系统的具体架构如图2所示，上述的各虚拟可信根前端驱动模块6一一对应的配置于各虚拟机中，用于接收虚拟机应用软件中可信应用的应用请求并将应用请求发送至虚拟可信根后端驱动模块1；虚拟可信根后端驱动模块1、生命周期管理模块2、虚拟可信根管理模块3及物理可信根驱动模块4配置于宿主机中；虚拟可信根后端驱动模块1用于接收各应用请求，根据应用请求与虚拟机的对应关系为应用请求添加虚拟机的标号，生成标识应用请求，并将标识应用请求发送至物理可信根驱动模块4；生命周期管理模块2根据各虚拟机的启动行为及宿主机的系统环境生成度量指令，并通过虚拟可信根管理模块3向物理可信根驱动模块4发送度量指令；物理可信根驱动模块4用于执行度量指令，对标识应用请求进行可信度量测试生成度量结果，并将度量结果发送至物理可信根模块5；物理可信根模块5配置于宿主机硬件中，物理可信根模块5根据度量结果，确定宿主机是否执行应用请求。

通过上述各个组成部分之间的协同工作，本发明实施例的可信云平台度量系统通过引入可信计算，实现了云平台的身份标识并保护了云平台的软硬件，实现对云平台本体安全的增强，实现了云平台对恶意攻击的主动免疫机制，为构建安全可信的电力云平台奠定了坚实的基础。

以下结合具体示例对本发明实施例的可信云平台度量系统的各个组成部分及其功能做进一步说明。

具体地，在一实施例中，上述的虚拟可信根前端驱动模块6所接收的应用请求包括：应用运行请求和调用数据请求等。例如：当应用软件启动运行时，需要向虚拟机发送应用运行请求；当应用软件需要调用一些密码或者算法时，需要向虚拟机发送调用数据请求。

具体地，在一实施例中，上述的虚拟可信根后端驱动模块1接收各应用请求，根据应用请求与虚拟机的对应关系为应用请求添加虚拟机的标号，生成标识应用请求，并将标识应用请求发送至物理可信根驱动模块4。上述的虚拟可信根后端驱动模块1可与多个虚拟机相对应，在实际应用中，可能存在多个虚拟机中的可信根前端驱动都接收到不同的应用请求，例如，其中一个虚拟机的应用软件程序发出应用运行请求，以此同时，另一个虚拟机中的应用软件程序发出调用数据请求，因此，上述的虚拟可信根后端驱动模块1需要对不同的应用请求进行标号，使得各个虚拟机与应用请求一一对应起来，便于根据应用请求进行后续的操作。

在一较佳实施例中，上述的生命周期管理模块2根据各虚拟机的启动行为及宿主机的系统环境生成度量指令，并通过虚拟可信根管理模块3向物理可信根驱动模块4发送度量指令的过程，具体包括：生命周期管理模块2监测各虚拟机有无启动行为；当生命周期管理模块2监测到虚拟机有启动行为时，生命周期管理模块2判断宿主机的系统环境是否可信；当宿主机的系统环境可信时，生命周期管理模块2生成度量指令，并通过虚拟可信根管理模块3向物理可信根驱动模块4发送度量指令。

具体地，上述的生命周期管理模块2通过虚拟机监视器(即hypervisor)来监测各虚拟机是否有启动行为，当监测到有虚拟机启动行为后，判断该生命周期管理模块2所在的宿主机的系统环境是否可信，其中包括宿主机的相关硬件配置及相关数据的可信性，在实际应用中，可以使用虚拟可信根驱动模块的相关接口来判断宿主机的系统环境，如果上述的硬件配置及相关数据可信，则生成度量指令，该度量指令包括创建虚拟机实例的指令等，该度量指令通过虚拟可信根管理模块3发送至物理可信根驱动模块4。

在一较佳实施例中，上述的物理可信根驱动模块4执行度量指令，对标识应用请求进行可信度量测试生成度量结果，并将度量结果发送至物理可信根模块5的过程，具体包括：物理可信根驱动模块4根据度量指令为各虚拟机实例设置导入接口，并通过导入接口将各虚拟机实例导入物理可信根驱动模块4中；物理可信根驱动模块4根据各虚拟机实例对宿主机操作系统进行完整性度量生成度量结果；物理可信根驱动模块4将度量结果发送至物理可信根模块5。

具体地，上述的物理可信根驱动模块4根据上述的度量指令，在外部磁盘创建出各虚拟机实例，并且在物理可信根驱动模块4为各虚拟机实例设置导入接口，然后通过导入接口将创建的虚拟机实例导入物理可信根驱动模块4的硬件内。

具体地，上述的物理可信根驱动模块4根据各虚拟机实例对宿主机操作系统进行完整性度量生成度量结果，在实际应用中是对宿主机操作系统对应的pcr值完整性度量值进行校验，需要说明的是，可以采用任何一种实现对宿主机操作系统的pcr值进行校验的方法，本发明并不以此为限。

在一较佳实施例中，上述的物理可信根模块5根据度量结果，确定宿主机是否执行应用请求的过程，具体包括：物理可信根模块5判断度量结果中应用请求是否为可信请求；当应用请求为可信请求时，宿主机开启数据传输通道，并执行应用请求。当应用请求为不可信请求时，宿主机禁止响应应用请求，并向用户发送入侵警告。

具体地，上述的度量结果是对上述应用请求可信性的评估结果，物理可信根模块5通过该评估结果可以判定上述应用请求是否可信，当判定该应用请求可信时，例如：当该应用请求为应用软件启动运行的请求，则上述宿主机开启数据传输通道，允许该应用软件启动；当该应用请求为调用数据请求时，则允许应用软件通过上述宿主机的数据传输通道调用应用请求所涉及的各类数据如算法等。当判定该应用请求不可信时，则说明发起该应用请求的应用软件可能携带有病毒或恶意代码等可能对云平台进行攻击各类攻击手段，此时，宿主机禁止响应该应用请求，并向用户发送入侵警告，提醒用户注意防护该应用软件，从而为云平台建立了安全防御机制，为构建安全可信的电力云平台奠定了坚实的基础。

通过上述各个组成部分之间的协同工作，本发明实施例的可信云平台度量系统通过引入可信计算，实现了云平台的身份标识并保护了云平台的软硬件，实现对云平台本体安全的增强，实现了云平台对恶意攻击的主动免疫机制，为构建安全可信的电力云平台奠定了坚实的基础。

实施例2

本发明实施例提供一种可信云平台度量方法，如图3所示，该可信云平台度量方法包括：

步骤s1：获取虚拟机应用软件中可信应用的应用请求。该应用请求包括：应用运行请求和调用数据请求等。

步骤s2：根据应用请求与虚拟机的对应关系为应用请求添加虚拟机的标号生成标识应用请求。上述的应用请求可以为多个，分别与多个虚拟机相对应。

步骤s3：根据各虚拟机的启动行为及宿主机的系统环境生成度量指令。

步骤s4：根据度量指令对标识应用请求进行可信度量测试生成度量结果。

步骤s5：根据度量结果，确定宿主机是否执行应用请求。

通过上述步骤s1至步骤s5，本发明实施例的可信云平台度量方法通过引入可信计算，实现了云平台的身份标识并保护了云平台的软硬件，实现对云平台本体安全的增强，实现了云平台对恶意攻击的主动免疫机制，为构建安全可信的电力云平台奠定了坚实的基础。

以下结合具体示例对本发明实施例的可信云平台度量方法的各个组成部分及其功能做进一步说明。

具体地，上述的步骤s1：获取虚拟机应用软件中可信应用的应用请求。该应用请求包括：应用运行请求和调用数据请求等。例如：当应用软件启动运行时，需要向虚拟机发送应用运行请求；当应用软件需要调用一些密码或者算法时，需要向虚拟机发送调用数据请求。

具体地，上述的步骤s2：根据应用请求与虚拟机的对应关系为应用请求添加虚拟机的标号生成标识应用请求。在实际应用中，可能同时存在多个虚拟机的应用请求，例如，其中一个虚拟机的应用软件程序发出应用运行请求，以此同时，另一个虚拟机中的应用软件程序发出调用数据请求，因此，需要对不同的应用请求进行标号，使得各个虚拟机与应用请求一一对应起来，便于根据应用请求进行后续的操作。

在一较佳实施例中，如图4所示，上述的步骤s3：根据各虚拟机的启动行为及宿主机的系统环境生成度量指令，包括：

步骤s31：监测各虚拟机有无启动行为。

步骤s32：当监测到虚拟机有启动行为时，判断宿主机的系统环境是否可信。

步骤s33：当宿主机的系统环境可信时，生成度量指令。

具体地，可通过虚拟机监视器(即hypervisor)来监测各虚拟机是否有启动行为，当监测到有虚拟机启动行为后，判断上述的宿主机的系统环境是否可信，其中包括宿主机的相关硬件配置及相关数据的可信性，如果上述的硬件配置及相关数据可信，则生成度量指令，该度量指令包括创建虚拟机实例的指令等。

在一较佳实施例中，如图5所示，上述的步骤s4：根据度量指令对标识应用请求进行可信度量测试生成度量结果，包括：

步骤s41：根据度量指令为各虚拟机实例设置导入接口，并通过导入接口导入各虚拟机实例。

步骤s42：根据各虚拟机实例对宿主机操作系统进行完整性度量生成度量结果。

具体地，根据上述的度量指令，在外部磁盘创建出各虚拟机实例，并且为各虚拟机实例设置导入接口，然后通过导入接口将创建的虚拟机实例导入。

具体地，上述的根据各虚拟机实例对宿主机操作系统进行完整性度量生成度量结果，在实际应用中是对宿主机操作系统对应的pcr值(完整性度量值)进行校验，需要说明的是，可以采用任何一种实现对宿主机操作系统的pcr值进行校验的方法，本发明并不以此为限。

在一较佳实施例中，如图6所示，上述的步骤s5：根据度量结果，确定是否执行应用请求，包括：

步骤s51：判断度量结果中应用请求是否为可信请求。

步骤s52：当应用请求为可信请求时，宿主机开启数据传输通道，并执行应用请求。

步骤s53：当应用请求为不可信请求时，宿主机禁止响应应用请求，并向用户发送入侵警告。

具体地，上述的度量结果是对上述应用请求可信性的评估结果，通过该评估结果可以判定上述应用请求是否可信，当判定该应用请求可信时，例如：当该应用请求为应用软件启动运行的请求，则上述宿主机开启数据传输通道，允许该应用软件启动；当该应用请求为调用数据请求时，则允许应用软件通过上述宿主机的数据传输通道调用应用请求所涉及的各类数据如算法等。当判定该应用请求不可信时，则说明发起该应用请求的应用软件可能携带有病毒或恶意代码等可能对云平台进行攻击各类攻击手段，此时，宿主机禁止响应该应用请求，并向用户发送入侵警告，提醒用户注意防护该应用软件，从而为云平台建立了安全防御机制，为构建安全可信的电力云平台奠定了坚实的基础。

通过上述步骤s1至步骤s5，本发明实施例的可信云平台度量方法通过引入可信计算，实现了云平台的身份标识并保护了云平台的软硬件，实现对云平台本体安全的增强，实现了云平台对恶意攻击的主动免疫机制，为构建安全可信的电力云平台奠定了坚实的基础。

显然，上述实施例仅仅是为清楚地说明所作的举例，而并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。