本发明属于计算机信息安全可信计算领域,尤其涉及一种云服务器可信代理模块的实现方法。
背景技术:
云计算的安全问题是决定着云计算成败得失,只有解决了云安全问题,消除用户的后顾之忧,云计算才能得到广泛遍及。目前,各大云服务提供商纷纷寻求解决对策,而归结起来主要两个方面:从非技术方面,通过制定相关的法律政策或制度,统一安全标准、安全级别,从而确保用户信息的安全;从技术方面,第一种思路是使用加密算法直接加密数据,保护用户的数据。用户可以在本地加密数据,然后将密文存储到云计算平台,此时云计算平台就只是支持密文导入和导出的储存工具,丧失对数据的管理、共享使用、计算和挖掘的优势。第二种思路是在云计算平台中引入可信计算技术,即构建一个可信云平台,从“根”上确保数据的存储环境是安全可信的,为此提出了vTPM体系架构。
为了实现可信芯片的虚拟化,IBM提出了在同一个硬件实现虚拟多个虚拟机的VTPM方案,在这个方案中,每个虚拟机实例的可信功能由虚拟出的VTPM保证。当虚拟机需要迁移时,其对应的VTPM实例也需要进行迁移,这使得虚拟机迁移过程变得非常复杂。
以可信根服务器为基础的可信云计算架构也是利用可信计算技术保护云计算环境安全的一种解决方案。在该架构中主要包括可信根服务器和云计算服务器两部分。云计算服务器相当于云计算环境,可以为用户提供云计算服务。可信根服务器的主要功能是保障云计算服务器端的虚拟机的安全可信。其中实现利用可行根服务器保障云计算服务器端虚拟机的安全可信重要的环节是如何在云计算服务器端实现一个可信代理模块来模拟并处理云计算服务器端的可信命令。
技术实现要素:
本发明要解决的技术问题是,提供一种云服务器可信代理模块的实现方法,在可信根服务器-云计算服务器模型的基础上,在云服务器设计实现可信代理模块,云服务器通过此模块与可信根服务器通信进而完成云服务器虚拟域的可信功能。
为实现上述目的,本发明采用如下的技术方案,
一种云服务器中可信代理模块的实现方法包括:
步骤一、可信代理模块的初始化:
(1.1)、云服务器首先会向可信根服务器发送请求,要求建立与可信根服务器的连接;
(1.2)、建立连接后在云服务器要进行可信代理模块的初始化工作;
(1.3)、首先加载后端驱动,并启动可信根管理工具,可信根管理工具进行一系列初始化操作,然后启动可信根控制器和可信根后端监听器,可信根后端监听器通过可信根后端驱动监听来自客户虚拟域的可信根指令。可信根控制器监听来自虚拟域管理工具的指令;
步骤二、为虚拟域建立可信虚拟芯片:
(2.1)、当某个虚拟机需要实例化时,虚拟机管理器为该虚拟机生成一个唯一的标示;
(2.2)、虚拟机管理器向可信根管理工具发出请求,触发可信根控制器建立虚拟可信芯片的过程;
(2.3)、可信根控制器首先会去查询映射表,发现还没有为该虚拟机分配虚拟可信芯片;
(2.4)、可信根控制器将云服务器的唯一标识和该虚拟机的唯一标识打包成一个数据包交给专门负责发送数据的线程池发送给可信根服务器;
(2.5)、可信根服务器生成并初始化虚拟可信芯片包括为可信根分配一个唯一的标示ID;
(2.6)、然后返回生成的虚拟可信芯片的唯一ID给可信代理模块的可信根控制器,可信根控制器将新的映射关系存放在映射表中,并会定期的和可信根服务器端的映射表进行同步。;
步骤三、执行虚拟域的虚拟可信命令:
(3.1)、虚拟域前端驱动将虚拟可信命令发送给可信代理模块的可信根后端驱动;
(3.2)、可信根后端驱动从命令中取得虚拟域的唯一标示,并通过查询映射表得到该虚拟域对应的虚拟可信芯片的唯一标示ID;
(3.3)、可信根后端驱动将该虚拟可信芯片的唯一标示ID加在该虚拟可信命令的请求头中,可信根后端驱动将虚拟可信命令交给专门负责发送数据的线程池发送到可信根管理模块;
(3.4)、后端监听器解析虚拟可信命令的请求头,并根据解析出的虚拟可信芯片的唯一标示ID将命令发送给对应的虚拟可信芯片并等待接收虚拟可信命令执行的状态;
(3.5)、当接收到的状态显示成功时,转到步骤(3.6).当状态显示失败时,转到步骤(3.7);
(3.6)、通知虚拟域管理工具,等待接收下一个可信根命令;
(3.7)、通知虚拟域管理工具终止相应的虚拟域,删除可信代理模块映射表中的映射关系并和可信根服务器端映射表同步。
本发明相对现有技术有如下优点:
1.利用可信根服务器实现云服务器虚拟域的可信功能,减轻了云服务器的负担,同时实现了可信根服务器的复用。
2.在云服务器实现可信代理模块完成云服务器虚拟域的可信功能,使云服务器感觉是在云服务器完成的虚拟域的可信功能。
附图说明
图1为本发明云服务器可信代理模块的实现方法流程图。
具体实施方式
如图1所示,本发明实施例提供一种在云服务器建立可信代理模块的实现方法,该方法需要在云服务器实现的软件包括:虚拟可信根管理工具、可信根后端驱动、可信根后端监听器、可信根控制器,
具体包括以下步骤:
步骤1,可信代理模块初始化,云服务器向可信根服务器发起请求要求建立云服务器和可信根服务器的连接,收到可信根服务器的回复后,云服务器开始进行可信代理模块的初始化,其中包括加载可信根后端驱动,初始化虚拟可信根管理工具,同时启动可信根后端监听器和可信根控制器;
步骤2,启动虚拟域,虚拟域管理工具启动虚拟域,同时通知可信代理模块为该虚拟域创建一个虚拟可信芯片;
步骤3,创建虚拟可信芯片,可信代理模块将创建虚拟可信芯片的请求发送到可信根服务器,可信根服务器负责为该虚拟域创建虚拟可信芯片;
完成虚拟域虚拟可信命令的过程如下:
1、虚拟域的应用发出可信命令;
2、虚拟域前端驱动处理命令并将命令发送给可信代理模块的可信根后端驱动;
3、可信根后端驱动将命令转发给可信根管理工具;
4、可信根后端监听器监听到命令,并解析命令,根据解析到的虚拟域的信息,查询映射表得到虚拟可信芯片的信息,并将虚拟可信芯片的信息加到命令的请求头中;
5、后端监听器将包装好的命令发送给可信根服务器并等待接收命令的处理结果。