云计算体系结构中的基于位置的可信计算节点的制作方法

本发明应用于云计算(即，非定域化的计算资源的提供)或虚拟网络基础架构(即，使用云计算的网络基础架构)领域。更具体地，本发明的焦点在计算节点上，因为计算节点具有可信的物理位置，可以在计算节点上执行多个计算任务。

背景技术：

对需要在计算节点构成的网络上的大量的和/或可变的计算资源的任务的分布进行优化的压力在增加。这是通过将执行任务的过程分配给多个虚拟机(vm)来完成的，vm可以在一个时刻创建于第一物理机或机器集群上，然后当第一物理机或机器集群不具有足够的容量、用于其它优先的任务、或者具有已经增加的使用成本时，vm可以或者可以不部分地或者全部地迁移到第二物理机或集群。因此，已经开发了私有的和共享的或公共的云资源。私有云资源是属于单个操作者的数据中心且永久地在其控制之下。但是，这些资源可以位于不同的地理位置处，包括在不同的国家。共享云资源例如是通过私有数据中心的部分的集合来形成的，私有数据中心的所有者将它们的多余的容量租赁给第三方操作者，第三方操作者将该多余的容量租给用户，即，作为服务的基础架构(iaas)。存在多种不同类型的契约，在该契约下对使用进行控制和定价。在这些情况的多数情况下，终端用户和第三方操作者不知道他/她/他们的应用在哪执行。应用分配给vm以及分配给物理机将考虑到服务的可用性和/或服务质量(qos)。还进一步考虑到在一个时刻的资源成本。

正常情况下在执行分配时不考虑物理机的位置。这与按定义位置无关(definitionlocationagnostic)的云体系结构的基本原理相矛盾。

但是，多个可能的用户因多个原因将这视为云基础架构的更广泛使用的障碍。

例如将一些重负载任务约束到定位于稠密用户区域附近的机器上是有益的。例如，因为由于高延迟导致的qos的降级，对于视频分布边缘服务器情况确实如此。

而且，一些限制可应用于某些基于本地规章的应用。对于税法、版权许可、隐私法、电子数据保留法和合法拦截，情况尤其如此。

一些用户还可能不想要他们的使命关键应用在可能位于他们不能控制的国家的服务器上执行。另外，这些用户还可能对具有多种多样的用户的服务器的较高的易损性敏感。例如，电信操作者将需要确保其关键的过程(网络管理、客户关系管理、开票、接入点管理、网络切换管理等)保留在明确的管辖区内并且在受到更好保护以防恶意攻击(黑客攻击、破坏、数据隐私等等)的计算节点上执行。

安全处理单元已经开发出且规范化以确保计算节点可以信任。这些安全处理单元能够在物理上限制的环境中执行认证、加密和解密功能。

这些功能中完成的使用取决于实现于集成了这些功能的主机上的安全策略。它们能够用于认证授权用户对主机的可信区的访问，对在可信区之外行进的全部数据加密，和/或生成由主机发送给其它主机的消息的签名。

还已经提议通过固定地理标签增补云中计算节点的签名，固定地理标签给出了节点的位置(国家标准机构内部报告7904，美国商务部，2015年7月)。

该关联没有提供节点尚未从其授权位置移到另一位置的保障且未能提供可能在来年将部署在位于云中的机器上的一些应用所需的保障的类型。

因此，本发明的目的是克服该局限性。

技术实现要素：

这是通过为计算节点提供对gnss(全球导航卫星系统)定位服务的访问以及使用嵌入在计算节点中的安全处理单元来生成包括计算节点的定位图章和id的安全认证消息来完成的。

为此目的，本发明公开了一种计算节点，包括：中央处理单元；安全处理单元，其被配置为执行认证、加密或解密功能中的一个或多个；对计算节点的位置数据的访问，所述位置数据是从包括位于计算节点处的一个或多个gnss接收机的定位单元获得的；其中安全处理单元被配置为产生由计算节点的位置数据和id图章得到的位置戳，并且所述计算节点被配置为生成包括位置戳和所述id图章的安全位置消息。

有益地，一个或多个gnss接收机和所述安全处理单元共享同一可信区。

有益地，所述一个或多个gnss接收机被配置为生成可信位置数据。

有益地，所述一个或多个gnss接收机被配置为检测电子欺骗。

有益地，本发明的计算节点还包括对所述计算节点安装的惯性测量单元的输出的访问。

有益地，本发明的计算节点还包括：对蜂窝电话网络的接收机的访问提供了基于蜂窝网络的基站的位置对计算节点位置数据的访问。

有益地，本发明的计算节点还包括对网络时间基准的访问。

有益地，安全位置消息还包括时间戳、计算节点的签名、计算节点的资源的描述和计算节点的状态中的一个或多个。

有益地，本发明的计算节点被进一步配置为运行一个或多个虚拟机和管理程序。

有益地，本发明的计算节点还包括被配置为接收来自通信网络的入界数据流的输入端口以及被配置为将出界数据流发送到通信网络的输出端口。

本发明还公开了一种操作计算节点的集合的方法，计算节点中的一个或多个包括：中央处理单元；安全处理单元，其被配置为执行认证、加密或解密功能中的一个或多个；对计算节点的位置数据的访问，所述位置数据是从包括位于计算节点处的一个或多个gnss接收机的定位单元获得的；所述安全处理单元被配置为产生从计算节点的位置数据和id图章得到的位置戳；计算节点被配置为生成包括位置戳和id图章的安全位置消息；所述方法包括使得代表所述安全位置消息的信息在一个或多个计算节点处可用。

有益地，本发明的方法还包括：在计算节点集合的调度器处获得来自计算节点中的一个或多个的一个或多个安全位置消息；将一个或多个安全位置消息中的id图章和位置戳与在可信计算节点的注册表中的所述计算节点的id数据和位置数据比较；确定计算节点的信任分数。

有益地，本发明的方法还包括：在可信计算节点的注册表中记录一个或多个计算节点的所确定的信任分数。

有益地，本发明的方法还包括在任务调度器处获得一个或多个计算节点的所确定的信任分数。

有益地，本发明的方法还包括使用一个或多个计算节点的所确定的信任分数作为任务调度器处的任务的分配的约束。

有益地，本发明的方法还包括：将安全位置消息连同时间戳一起归档在可信计算节点中。

有益地，本发明的方法还包括：在另一计算节点处获得在计算节点集合中的一个计算节点处可用的安全位置消息；将一个或多个安全位置消息中的id图章和位置戳与在可信计算节点的注册表中的所述计算节点的id数据和位置数据进行比较；在所述另一计算节点处确定所述一个计算节点的信任分数。

由于本发明，提供了可信计算节点，用于处理国家界限内的和/或使命关键的任务的虚拟机可以指向该可信计算节点。作为另外的优点，网络或计算设施的管理程序将能够永久地监控可信计算节点的位置。有益地，计算节点的信任分数可以被计算、存储和维护。这允许云计算服务的操作者给予其客户以他们的应用将在经核验的计算节点上执行的担保。这样做，能够扩大在云体系结构中执行的应用的范围，而不会使个人数据、知识产权或政府使命的保护受到危害。

附图说明

根据对各个实施例以及下面的附图的说明，能够更好的理解本发明，并且其各种特征和优点将变得显而易见：

-图1表示现有技术的网络功能虚拟化体系结构的经典体系结构；

-图2表示包括现有技术的安全处理单元的计算节点；

-图3表示根据本发明的可信计算节点的功能体系结构的示例；

-图4a、图4b和图4c表示根据本发明的可信计算节点的物理体系结构的三个实施例；

图5表示根据本发明的定位单元的布局的示例；

图6是根据本发明在计算节点处生成位置戳和安全位置消息的方法的流程图的示例；

图7是根据本发明在可信计算节点体系结构中处理安全位置消息的方法的功能图的示例。

具体实施方式

图1表示现有技术的网络功能虚拟化体系结构的经典体系结构。

图1是从文档etsigsnfv-inf001,v1.1.1(2015-01)抽取的示意图的简化表示，其呈现了如欧洲电信标准协会(etsi)的工业规范组所看到的网络功能虚拟化(nfv)基础架构的概览。nfv的用途是使用通用计算机来执行传统地通过专用硬件(路由器、交换机、防火墙、网关等)执行的电信网络的节点的主要功能，比如路由、交换、安全。

分别专用于计算、存储或联网任务的多个vm111、112、113由虚拟化层或管理程序120来控制。vm运行于多个计算机硬件资源131、132、133上。它们执行多个应用或功能，vnf或虚拟网络功能141、142、143。这些构建块是由操作支持系统——商业支持系统(oss-bss)150来服务的以确保网络服务的可用性以及为这些网络服务开票。网络由nfv管理和协调功能160来管理，其包括：协调器161，其管理向不同的vm和计算节点分布、分配和调度任务和功能；vnf管理器162，其管理应用层；以及虚拟化基础架构管理器163，其管理虚拟化层。

协调器原则上能够发送任何vnf以便在世界上任何地方的任何计算硬件或网络硬件上执行。

这看作云计算体系结构应用于特定服务的仅一个示例，即，电信联网体系结构。任何类型的其它计算基础架构会面临与nfv基础架构相同类型的问题。特别地，这可以是软件定义网络(sdn)的情况，其中定位网络资源和/或sdn控制器可能是有用的或有必要的。

图2表示包括现有技术的安全处理单元的计算节点。

图2是从以下互联网地址提取的：

https://commons.wikimedia.org/wiki/file:tpm.svg#/media/file:tpm.svg。归功于eusebius(guillaumepiolle)做出的《tpm》。

可信计算群组(tcg)，计算机工业特殊兴趣组，开发了对该挑战提供部分回应的可信平台模块(tpm)标准。该标准在2009年由国际标准组织(iso)和国际电工委员会(iec)规范化，参考iso/iec11889。tpm是微控制器，其专用于加密、解密和认证功能的执行。

以安全处理单元或spu为示例，tpm具有安全的输入/输出模块210、密码处理器220、持久存储器230和多功能存储器240。

密码处理器包括多个模块：随机数生成器221、rsa密钥生成器222、sha-1散列生成器223和加密-解密-签名引擎224。

持久存储器存储认可密钥231以及存储根密钥(srk)232。认可密钥独属于tpm并且在制造时烧制在硬件中。该认可密钥永远不从tpm中送出。srk是tpm的用户个人的且用于创建针对使用tpm的应用的代码。

tpm因此非常适合确保定义的信任级别能够与特定计算节点一致。关于tpm的操作和安全功能的更多细节可以见于如下文献：delaune等人、enscachan、inria、cnrs，伯明翰大学的“aformalanalysisofauthenticationinthetpm”，计算机科学系列讲稿的卷6561，第111-125页。

硬件安全模块(hsm)是另一种spu，其针对特定应用而开发，诸如在线支付。hsm是专门的重负载密码芯片，其能够每秒执行几千rsa2048位加密/解密操作。这会在多个应用中产生一些延迟。使用hsm相对于tpm的成本/效益分析将取决于应用和其保护自身所须应对的威胁。

未来可以开发其它类型的spu，其可用于认证计算节点。还可以构思的是，可以开发asic或fpga以在同一硬件中集成cpu和spu，例如，执行关键的vnf。

图3表示根据本发明的可信计算节点的功能体系结构的示例。

可信计算节点(tcn)300包括非不同于现有技术的计算节点的多个模块，即，任务/功能310的集合310、vm317、管理程序320、客体操作系统315和总线330。这是指“裸金属体系结构”。作为变型例，另一经典体系结构(“托管体系结构”)包括托管操作系统325。

模块340显著地将tcn区别于现有技术的计算节点。它在同一逻辑模块中组合了下文将论述的不同的物理结构，cpu、spu和定位单元(lu)。lu被配置为从一个或多个全球导航卫星系统(gnss)获取信号。lu的描述、其物理配置及其处理是结合图5给出的。在该步骤中，足以说明lu的处理能够生成至少地球参照系中tcn的笛卡尔坐标系x,y,z或者极坐标ρ,θ,这些坐标构成了tcn的“位置图章”或位置戳。

spu包含了唯一标识符，其将用作tcn的id。

根据本发明，将创建安全位置消息或slm350，其包括id和位置戳，可以通过spu对id和位置戳进行加密和/或签名。其它数据可以添加到slm中，如下文结合图6所论述的。slm的创建将通过位于tcn上的应用来执行。该消息的格式将必须进行定义以及可能规范化。消息可以张贴在tcn的特定区上或者利用固定线路通信链路或无线链路发送给其它节点，包括管理程序节点。

图4a，4b和4c表示根据本发明的可信计算节点的物理体系结构的三个实施例。

在图4a的实施例中，lu布置在与spu相同的芯片组中，或者至少在同一可信区410a中。可信区被定义为由具有相同特征的防电磁攻击封装或同一芯片封装所保护的相同的芯片组，两个芯片由安全i/o连接。可能的是构思将cpu、spu和lu合并到同一芯片组fgpa或asic中。

天线420连接到可信区。

在图4b的实施例中，lu411b不在与spu410b相同的可信区中。对于一些应用，这可能是可接受的。对于其它应用，尤其是关键的应用，如果spu和lu的集成不能实现，则在lu与spu之间建立安全链路430b是有必要的。该安全链路可以使用spu生成的认证证书或者使用嵌入lu中的一对私有密钥和公共密钥的简单的加密。

在图4c的变型例中，lu411b也与spu分离，但是通过到总线的连接430c链接到系统的其余部分。

图5表示根据本发明的定位单元的布局的示例。

当前，两个星座完全可运行，美国的全球定位系统(gps)以及俄罗斯的glonass。中国的星座北斗部分可运行，新欧洲星座galileo的一些卫星已经送到轨道上。最常见的是，gnss包括几十个中等地球轨道卫星。每个卫星在l带上发射一个或多个载波，以及可能的副载波。每个载波或副载波由代码来调制。

gnss接收机500包括一个或多个天线420、rf模块510和数据处理模块520。使用多于一个的天线对于缓解会干扰在都市环境中的接收的多路径效应(即，视线和反射信号的组合)是有用的。还会有用的是检测电子欺骗(即，伪gnss源，其发送伪造信号以模仿接收机中的假位置)。rf模块包括代码相关器，该代码相关器用于将所获取和跟踪的信号与每个卫星的已知代码的本地复制品相关，以确定发射卫星和沿着接收机的天线和卫星之间的轴线的伪范围。当至少四个卫星的信号能够被获取和跟踪时，数据处理模块能够根据该伪范围计算接收机的笛卡尔坐标及其速度。这在正常情况下在卡尔马滤波器中完成。作为副产物，能够记录卫星的时间基准。该数据称为gnsspvt。

在没有具体处理的情况下，在4颗卫星在视野内且没有多路径的情况下，pvt的精度是几十米，这对于多个应用是足够的，包括c-ran(云无线电接入网)体系结构。通过利用载波相位对尤其是由于电离层使电磁波偏移导致的电离层误差的充分校正，精度能够改善到几米。外部辅助的集成能够改善精度到几十厘米或者甚至几厘米。

该精度对于移动tcn尤其有用，例如，如果它们嵌入无驾驶员的汽车或无人驾驶飞机中。

一些接收机能够获取并跟踪多个星座的卫星，其正常地需要能够处理具有不同长度的代码的相关器。这可以改善可用性、完整性和对电子欺骗的弹性。

全部gnss提供预留服务，其使用分配的载有加密码的载波。对于由政府权威机构规定的多个应用，比如合法拦截，有益的是使用加密的服务。

当tcn容纳在建筑物中，可能在其地下室中，为了确保gnss信号到达lu接收机，存在多个选项：可能将天线420定位在空中(在建筑物之上，或者在窗户上)并且安装线缆550以将信号引向接收机。天线放大器560将在大多数时候是有必要的。如果多于一个tcn容纳在同一数据中心中，则优选的是安装中继器，其将信号分布在数据中心内，形成信号分布系统。该分布系统可由如下构成：光纤分布系统，其中接收到的rf信号载于光纤上；有线rf分布系统；或者利用无线中继器对gnss信号的重新发送。物理保护可以添加到该分布系统上。

任选地，lu还可以包括惯性测量单元(imu)530。imu包括加速度计、陀螺仪和磁力计中的一个或多个并且可以优选地包括独立电源而允许在设备掉电或运输的同时有持续的功能性。这些传感器作为微机电传感器(mems)而存在，其能够集成到与比如gnss接收机的其它功能相同的安全模块中。imu信号的监控将允许跟踪tcn的可能的移动而使得本地或远程处理(参见结合图7的说明)能够确认通过gnss接收机所确定的位置是可信的。更具体地，如果位置戳在两个不同的时刻是相同的，而imu已经记录了移动，则位置戳将不能被验证。为使该功能起作用，imu需要恒定地供电(例如，电池或同一电子板)。

任选地，lu还可以包括手机式接收机540。当tcn由手机公司操作者操作时，其能够通过与其基站的三角测量所确定的位置进行比较来确认gnss确定的位置。这些位置还可以为其他操作者可用，尤其是政府权威机构。

任选地，lu还可以包括rf扫描仪以接收其它无线电或光信号，根据这些无线电或光信号能够确定位置和/或将位置相关。

图6是根据本发明的在计算节点处生成位置戳和安全位置消息的方法的流程图的示例。

首先，在步骤610中，在spu处生成tcn的安全id。

在步骤620中，在spu处生成位置戳。最低限度地，该位置戳在pvt计算的步骤622的输出处产生，其本身在gnss原数据的获取的步骤621的输出处执行。

任选地，可以在步骤623处执行多个一致性检查。例如，可以在步骤624处获取和处理imu数据以检查，如果新的gnss位置与可能存储在一个处理器的存储器中的先前记录的位置相同，则不存在imu所记录的移动。在所述imu已经记录了移动的情况下，在步骤623处，一致性检查的指标可以低于100％的值生成，并且附到位置数据上。在授权的移动已经以经许可的可信证书记录在本地存储器中的情况下，置信指标将保持为100％。

作为另一选项，可能与先前的选项组合，在步骤625处，可能的是将gnsspvt结果与通过手机基站位置的三角测量所计算出的位置或者从另一rf扫描仪得到的位置进行比较。

还可能的是在步骤626处获取时间基准。例如，时间基准可以是网络时间协议或ntp基准。该时间基准可以与在步骤622处计算出的时间进行比较。

当一致性检查成功时，该信息可以与slm毗连，或者作为二进制信息(是/否)或者作为标度上的分数，其可以是例如从0至100％。置信检查的另一标度当然可以设定为变体，而不偏离本发明的范围。

在步骤630处可以生成附加的数据。在步骤622处计算的gnss时间数据可以附到slm上。其它数据可以附到slm上。例如，可以在步骤631处获取硬件配置数据。可以在步骤632处获取硬件状态数据。可以在步骤633处获取软件配置数据，并且可以在步骤634处获取软件状态数据。tcn的硬件和/或软件配置的测量度量可能包括功耗、各种温度(cpu、存储器、机箱、存储器读/或写错误、入侵检测状况、网络接口卡(nic)、媒介访问控制(mac)地址、管理程序和/或vm状况、软件驱动器版本、存储器使用、ip地址属性、子设备mac地址中的一个或多个。其它状态变量可以获取且附到slm上，可能如果它们被视为对于定义的应用提供了成本/效益优势。

slm的内容则将根据消息传递协议来格式化。作为选项，在步骤640处，可以利用spu加密功能对slm以密码方式签名。作为附加的选项，可以对slm加密。

然后，在步骤650处，slm将送到协调器，送到调度器或者送到对等tcn。可替代地，slm可以利用公布/订阅协议来张贴。slm随后可以预定义频率刷新且协调器和其它tcn可以订阅得到一个或多个列出的tcn的更新的服务。

作为变体，slm的摘要可被张贴以识别tcn所在的国家/地区。如果tcn是公共云计算设施的部分，则该信息的张贴可由管理与协调功能(mano)使用以免特定应用迁移到该tcn。

图7是根据本发明在可信计算节点体系结构中处理安全位置消息的方法的功能图的示例。

多个tcn300通过网络与协调器700连接。

有益地，协调器或调度器包含tcn注册表710或对tcn注册表710具有访问权。tcn注册表维护全部tcn的列表，具有tcn的id、tcn的当前位置、tcn的活跃配置(硬件和软件)以及可能的tcn的期望关键操作参数。在期望操作参数记录在tcn注册表中且在tcn处测量的变体中，应用可以在期望值与从tcn接收到的实际测量值之间运行一致性检查以修改在注册表处运行的一致性检查。

在变体中，tcn注册表可由可信的第三方来操作，该可信的第三方独立于云计算服务的操作者。在该变体中，可信的第三方和tcn注册表的操作者可能必须执行契约，由此第三方注册表将接受tcn的spu在其面值处的签名，待tcn注册表的操作者查实符合操作、审查和可溯性程序。

当在步骤730处(从消息或者通过公布/订阅协议)获取slm时，随后该slm被解密(步骤740)。位置戳与记录在tcn注册表中的数据进行比较。如果位置戳匹配预设阈值内的记录，则可以确定最大信任分数，并且更新tcn的核验。如果为否，则确定零信任分数，并且可以否认或拒绝核验(步骤750)。可以实现例程以处理错误情况。而且，可以限定在其内更新核验的阈值。可以限定信任分数，该信任分数可以是各参数的函数：可能在tcn本身处或者在协调器/调度器级执行的不同一致性检查的结果。任选地，可以在对等设备之间执行一致性检查。例如，当两个tcn被视为在特定区域中操作时，发送tcn可以在将消息发送给候选的接收tcn之前通过订阅查询来获取候选的接收tcn的位置。可替代地，tcn可以定期地轮询其定期地发送了消息的其它tcn的可用slm并且利用tcn的置信分数在本地维护tcn的列表，从而其能够避免发送消息/数据给不可信的tcn。可替代地，可能是对于特定应用而言的不可信tcn的列表可以由tcn注册表定期地广播。在步骤760处更新记录在tcn注册表中的tcn的信任分数。

基于上一当前信任分数，可以更新任务调度器720的参数化。任务调度可以基于可用的资源、qos、成本、国家限制或安全约束。例如，一些应用可能要求tcn的信任分数高于设定的最小值。该约束将在优化算法中输入以限定任务到计算节点的分配，最终的分配将对于其它标准来说是次优的。作为选项，优化算法可以基于操作者限定的策略来动态地更新。

tcn注册表中的全部写/读操作可以被有益地加上时间戳以及为审查目的而归档。

任选地，在网络基础架构的管理设施的其它部分中可以实现协调器的功能。例如，如果网络的操作者也管理网络基础架构的物理层和/或可能所述物理层的虚拟覆盖，例如，在sdn体系结构中，耦合如上在sdn的管理功能中所定义的控制功能是可能的。

在本发明的一些实施例中，可能的是，在tcn中，尤其在其管理程序或其vm中包括：限制多个任务/功能在该tcn上、在tcn上执行且避免迁移、或者仅授权向位于预定义的地理区域的tcn和/或向具有预定义最小信任分数的tcn的迁移的应用。

在本发明的一些实施例中，能够仅将带有时间戳的slm归档在slm的存储器中，用于审查目的。

在本发明的一些其它实施例中，能够公布slm，从而可以通过tcn的网络的协调器/调度器访问以便再使用，如之前所描述的。

在本发明的一些其它实施例中，能够配置tcn而使它们被送到tcn网络的协调器/调度器以便再使用，如之前所描述的。

在本发明的一些其它实施例中，能够以这样的方式配置slm的创建：slm被附到一些或全部消息/数据中以便发送给其它tcn，或者发送到预定义tcn列表，该tcn列表是可重配置的，可能是动态的。

在本说明书中公开的示例仅是示例说明本发明的一些实施例。这些示例不以任何方式限定如随附的权利要求所限定的所述发明的范围。