專利名稱:面向敏感數(shù)據(jù)防泄漏的可信虛擬機(jī)遠(yuǎn)程驗(yàn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)信息安全技術(shù)中的信息保密領(lǐng)域,更具體地����,涉及面向 敏感數(shù)據(jù)防泄漏的可信虛擬機(jī)遠(yuǎn)程驗(yàn)證方法。
背景技術(shù):
協(xié)作環(huán)境下工作流過程中敏感數(shù)據(jù)泄漏的原因是多方面的����,其中計(jì)算環(huán)境 不可信及相應(yīng)安全策略的破壞也是導(dǎo)致敏感數(shù)據(jù)泄漏的重要因素,據(jù)此可信計(jì) 算環(huán)境是構(gòu)建全面高效防泄漏系統(tǒng)的重要基礎(chǔ)�。
另一方面,虛擬機(jī)技術(shù)越來越成熟�,其應(yīng)用越來越廣泛。虛擬機(jī)(Virtual Machine, VM)是一種可以像真實(shí)機(jī)器一樣運(yùn)行程序的軟件�����。通過使用虛擬機(jī), 可以在同一個(gè)物理平臺(tái)上同時(shí)運(yùn)行多個(gè)操作系統(tǒng)�,各個(gè)操作系統(tǒng)相互隔離,操 作系統(tǒng)的行為和運(yùn)行在物理平臺(tái)上時(shí)一致����,它自身無法覺察到虛擬機(jī)監(jiān)控層的 存在。目前軟件虛擬化解決方案通常采用虛擬機(jī)監(jiān)視器(Virtual Machine Moniter�, V醒)實(shí)現(xiàn),操作系統(tǒng)通過V醒來與硬件進(jìn)行通信����,由VMM來決定其 對(duì)系統(tǒng)上所有虛擬機(jī)的訪問。這種情況下���,V醒在軟件系統(tǒng)中的位置是傳統(tǒng)意義 上操作系統(tǒng)所處的位置����,而操作系統(tǒng)的位置是傳統(tǒng)意義上應(yīng)用程序所處的位置��。 這一額外的通信層被稱為虛擬機(jī)監(jiān)控層��,即V固層�����。V醒層直接運(yùn)行于硬件層 (CPU,內(nèi)存,磁盤等)之上�,各個(gè)客戶操作系統(tǒng)運(yùn)行于VMM層之上,V應(yīng)層通 過虛擬化技術(shù)為客戶操作系統(tǒng)提供硬件環(huán)境一致的運(yùn)行條件����,構(gòu)建多個(gè)具備自 身操作系統(tǒng)和應(yīng)用的客戶虛擬機(jī)。對(duì)于基于V羅的虛擬機(jī)系統(tǒng)來說����,有且只有一個(gè)特權(quán)域(Domain 0)�,特權(quán)域負(fù)責(zé)根據(jù)客戶設(shè)備機(jī)模型創(chuàng)建、管理和銷毀其 他用戶域(Domain U)��。
虛擬機(jī)技術(shù)通過提供良好的系統(tǒng)隔離特性����,給協(xié)作環(huán)境下敏感數(shù)據(jù)泄漏防 范提供了新的解決途徑。因此��,驗(yàn)證虛擬機(jī)環(huán)境的可信性是計(jì)算機(jī)信息防泄漏 所面臨的一個(gè)主要難題�。
發(fā)明內(nèi)容
本發(fā)明目的在于針對(duì)現(xiàn)有技術(shù)的不足, 一種對(duì)將要與服務(wù)提供方進(jìn)行網(wǎng)絡(luò) 連接的服務(wù)請(qǐng)求方進(jìn)行可信性評(píng)估���,確保服務(wù)請(qǐng)求方在獲取服務(wù)提供方數(shù)據(jù)后 不會(huì)發(fā)生信息泄漏的可信虛擬機(jī)遠(yuǎn)程驗(yàn)證方法���。
本發(fā)明提供的面向敏感數(shù)據(jù)防泄漏的可信虛擬機(jī)遠(yuǎn)程驗(yàn)證方法��,用于當(dāng)運(yùn) 行有虛擬機(jī)的服務(wù)請(qǐng)求方向服務(wù)提供方請(qǐng)求數(shù)據(jù)時(shí)���,服務(wù)提供方判斷允許或拒 絕服務(wù)請(qǐng)求方訪問數(shù)據(jù),其特征在于依次包括有以下流程�����,
服務(wù)提供方和服務(wù)請(qǐng)求方之間建立通信的流程���; 服務(wù)提供方對(duì)服務(wù)請(qǐng)求方進(jìn)行身份認(rèn)證的流程�;
服務(wù)請(qǐng)求方的身份認(rèn)證通過后����,服務(wù)提供方向服務(wù)請(qǐng)求方分發(fā)安全的操作系統(tǒng)、 服務(wù)請(qǐng)求方啟動(dòng)新虛擬機(jī)運(yùn)行該操作系統(tǒng)的流程�;
服務(wù)提供方對(duì)服務(wù)請(qǐng)求方進(jìn)行平臺(tái)可信狀態(tài)評(píng)估的流程,用于判斷其是否達(dá)到 信息防泄漏的要求�����;
服務(wù)提供方根據(jù)判斷結(jié)果允許或拒絕服務(wù)請(qǐng)求方訪問數(shù)據(jù)的流程。
而且���,所述服務(wù)提供方對(duì)服務(wù)請(qǐng)求方進(jìn)行身份認(rèn)證的流程��,具體實(shí)現(xiàn)方式 為服務(wù)提供方依照預(yù)先設(shè)定的身份認(rèn)證方式對(duì)服務(wù)請(qǐng)求方提供的身份認(rèn)證信息 進(jìn)行認(rèn)證���,判斷服務(wù)請(qǐng)求方是否具有可向服務(wù)提供方請(qǐng)求數(shù)據(jù)的身份。而且���,身份認(rèn)證通過設(shè)置證書服務(wù)器實(shí)現(xiàn)�,所述證書服務(wù)器為服務(wù)請(qǐng)求方
提供身份證書�����;服務(wù)提供方通過驗(yàn)證身份證書�,判斷服務(wù)請(qǐng)求方是否具有可向 服務(wù)提供方請(qǐng)求數(shù)據(jù)的身份�����。
而且�,所述服務(wù)提供方向服務(wù)請(qǐng)求方分發(fā)安全的操作系統(tǒng)、服務(wù)請(qǐng)求方啟 動(dòng)新虛擬機(jī)運(yùn)行該操作系統(tǒng)的流程�����,具體實(shí)現(xiàn)包括以下步驟, 步驟4. 1��,服務(wù)提供方向服務(wù)請(qǐng)求方分發(fā)一個(gè)安全的操作系統(tǒng)���; 步驟4. 2��,服務(wù)請(qǐng)求方接收服務(wù)提供方所分發(fā)的操作系統(tǒng)���;
步驟4.3,服務(wù)請(qǐng)求方啟動(dòng)一個(gè)新虛擬機(jī)����,該虛擬機(jī)運(yùn)行服務(wù)提供方所分發(fā)的操 作系統(tǒng)。
而且��,服務(wù)請(qǐng)求方設(shè)有可信平臺(tái)模塊���,對(duì)服務(wù)請(qǐng)求方進(jìn)行平臺(tái)可信狀態(tài)評(píng) 估的流程具體實(shí)現(xiàn)包括以下步驟�, 步驟5.1���,服務(wù)提供方將度量請(qǐng)求發(fā)送給服務(wù)請(qǐng)求方�����;
步驟5.2���,服務(wù)請(qǐng)求方收到服務(wù)提供方發(fā)送的度量請(qǐng)求后�����,通過可信平臺(tái)模塊度
量服務(wù)請(qǐng)求方自身的平臺(tái)當(dāng)前狀態(tài)���,獲取平臺(tái)當(dāng)前度量日志;
步驟5. 3��,服務(wù)請(qǐng)求方將平臺(tái)當(dāng)前度量日志報(bào)告給服務(wù)提供方���;
步驟5.4��,服務(wù)提供方根據(jù)服務(wù)請(qǐng)求方的平臺(tái)當(dāng)前度量日志���,判斷服務(wù)請(qǐng)求方是
否達(dá)到信息防泄漏的要求��。
而且���,服務(wù)提供方中預(yù)置服務(wù)請(qǐng)求方的平臺(tái)可信狀態(tài)值�;在步驟5.4中, 服務(wù)提供方根據(jù)對(duì)比服務(wù)請(qǐng)求方的平臺(tái)當(dāng)前度量日志和預(yù)置的平臺(tái)可信狀態(tài) 值�,判斷服務(wù)請(qǐng)求方是否達(dá)到信息防泄漏的要求。
或者����,設(shè)置與服務(wù)提供方建立通信連接的完整性參考服務(wù)器,所述完整性 參考服務(wù)器中預(yù)存服務(wù)請(qǐng)求方的平臺(tái)可信狀態(tài)值并向服務(wù)提供方提供�;在步驟5.4中,服務(wù)提供方根據(jù)服務(wù)請(qǐng)求方的平臺(tái)當(dāng)前度量日志�����,結(jié)合完整性參考服務(wù) 器提供的平臺(tái)可信狀態(tài)值��,判斷服務(wù)請(qǐng)求方是否達(dá)到信息防泄漏的要求�����。
而且�,所述服務(wù)提供方根據(jù)判斷結(jié)果允許或拒絕服務(wù)請(qǐng)求方訪問數(shù)據(jù)的流 程,具體實(shí)現(xiàn)包括以下步驟��,
步驟S.l����,服務(wù)提供方將判斷結(jié)果返回給服務(wù)請(qǐng)求方��;
步驟8.2��,服務(wù)提供方執(zhí)行判斷結(jié)果�,若判斷結(jié)果為服務(wù)請(qǐng)求方達(dá)到信息防泄漏 的要求�����,則允許服務(wù)請(qǐng)求方通過運(yùn)行服務(wù)提供方所分發(fā)操作系統(tǒng)的虛擬機(jī)接入 服務(wù)提供方�����;否則不允許���。
本發(fā)明采用虛擬化技術(shù)��,使虛擬機(jī)運(yùn)行系統(tǒng)所分發(fā)的安全操作系統(tǒng)����,服務(wù) 提供方通過遠(yuǎn)程證明獲取服務(wù)請(qǐng)求方平臺(tái)的可信狀態(tài)����,當(dāng)服務(wù)請(qǐng)求方狀態(tài)符合 預(yù)期的可信狀態(tài)時(shí),服務(wù)提供方才允許服務(wù)請(qǐng)求方的連接請(qǐng)求����,這樣能有效地 防止了信息的竊取。服務(wù)請(qǐng)求方在獲取服務(wù)提供方的信息后��,虛擬機(jī)的隔離性 將確保了服務(wù)請(qǐng)求方不會(huì)發(fā)生信息泄漏���。本發(fā)明還利用了 TPM技術(shù)�,可以從服 務(wù)請(qǐng)求方底層硬件開始��,經(jīng)由虛擬機(jī)監(jiān)控器���、虛擬機(jī)操作系統(tǒng)到虛擬機(jī)上運(yùn)行 的應(yīng)用程序����,逐級(jí)向上驗(yàn)證���, 一級(jí)信任一級(jí)�����,構(gòu)成一條動(dòng)態(tài)信任鏈�����,從而將信 任關(guān)系擴(kuò)展到虛擬機(jī)內(nèi)�,形成一條面向敏感用戶數(shù)據(jù)防泄漏環(huán)境的完整信任鏈。 信息的保護(hù)����、身份認(rèn)證、平臺(tái)狀態(tài)報(bào)告都可使用TPM和證書進(jìn)行保護(hù)����,防止篡 改,可以有效地防止身份偽造�、平臺(tái)狀態(tài)偽造,進(jìn)一步提高了數(shù)據(jù)的安全性�。
圖1為虛擬機(jī)的動(dòng)態(tài)信任鏈;
圖2為本發(fā)明實(shí)施例的可信虛擬機(jī)遠(yuǎn)程驗(yàn)證流程�。
具體實(shí)施方式
本發(fā)明提供了面向敏感數(shù)據(jù)防泄漏的可信虛擬機(jī)遠(yuǎn)程驗(yàn)證方法,用于當(dāng)運(yùn) 行有虛擬機(jī)的服務(wù)請(qǐng)求方向服務(wù)提供方請(qǐng)求數(shù)據(jù)時(shí)���,服務(wù)提供方判斷是否允許 或拒絕服務(wù)請(qǐng)求方訪問數(shù)據(jù)�。為了達(dá)到防敏感數(shù)據(jù)防泄漏的目的�����,當(dāng)服務(wù)請(qǐng)求 方請(qǐng)求獲取服務(wù)提供方上保存的敏感數(shù)據(jù)時(shí),通過可信虛擬機(jī)遠(yuǎn)程驗(yàn)證觀察服 務(wù)請(qǐng)求方是否安全可靠���,防止敏感數(shù)據(jù)從服務(wù)請(qǐng)求方泄漏。該方法依次包括有 以下5個(gè)流程
(一) 服務(wù)提供方和服務(wù)請(qǐng)求方之間建立通信的流程��。 該流程屬于基本流程��,服務(wù)提供方和服務(wù)請(qǐng)求方之間首先建立基本物理通
信�����,建立后只交互必要的信息�����,服務(wù)提供方暫不向服務(wù)請(qǐng)求方提供敏感數(shù)據(jù)�����。
(二) 服務(wù)提供方對(duì)服務(wù)請(qǐng)求方進(jìn)行身份認(rèn)證的流程�����。 身份認(rèn)證的具體實(shí)現(xiàn)方式可以預(yù)先設(shè)定,服務(wù)請(qǐng)求方依照身份認(rèn)證方式要
求向服務(wù)提供方提供身份認(rèn)證信息��,服務(wù)提供方根據(jù)身份認(rèn)證信息進(jìn)行認(rèn)證��, 判斷服務(wù)請(qǐng)求方是否具有可向服務(wù)提供方請(qǐng)求數(shù)據(jù)的身份����。具體實(shí)施時(shí)可以采 用驗(yàn)證服務(wù)請(qǐng)求方的用戶名、ID等簡(jiǎn)單方式����,也可通過設(shè)置證書服務(wù)器進(jìn)行證 書驗(yàn)證實(shí)現(xiàn)。事先由作為可信第三方的證書服務(wù)器為服務(wù)請(qǐng)求方提供身份證書��, 身份認(rèn)證信息就是身份證書���;服務(wù)提供方通過驗(yàn)證身份證書�����,判斷服務(wù)請(qǐng)求方 是否具有可向服務(wù)提供方請(qǐng)求數(shù)據(jù)的身份��。證書驗(yàn)證是通信安全領(lǐng)域現(xiàn)有技術(shù)�����, 本發(fā)明不予贅述���。
(三) 服務(wù)請(qǐng)求方的身份認(rèn)證通過后����,服務(wù)提供方向服務(wù)請(qǐng)求方分發(fā)安全的操 作系統(tǒng)����、服務(wù)請(qǐng)求方啟動(dòng)新虛擬機(jī)運(yùn)行該操作系統(tǒng)的流程����。
本發(fā)明提供了進(jìn)一步具體實(shí)現(xiàn)方案的流程以供實(shí)施參考 步驟4. 1,服務(wù)提供方向服務(wù)請(qǐng)求方分發(fā)一個(gè)安全的操作系統(tǒng)�����;步驟4.2��,服務(wù)請(qǐng)求方接收服務(wù)提供方所分發(fā)的操作系統(tǒng)��;
步驟4.3��,服務(wù)請(qǐng)求方啟動(dòng)一個(gè)新虛擬機(jī)���,該虛擬機(jī)運(yùn)行服務(wù)提供方所分發(fā)的操 作系統(tǒng)���。
(四)服務(wù)提供方對(duì)服務(wù)請(qǐng)求方進(jìn)行平臺(tái)可信狀態(tài)評(píng)估的流程����,用于判斷其是 否達(dá)到信息防泄漏的要求���。
本發(fā)明提供了進(jìn)一步具體實(shí)現(xiàn)方案以供實(shí)施參考���,該方案利用了 TPM技術(shù), 服務(wù)請(qǐng)求方設(shè)有可信平臺(tái)模塊�,對(duì)服務(wù)請(qǐng)求方進(jìn)行平臺(tái)可信狀態(tài)評(píng)估的流程具 體實(shí)現(xiàn)包括以下步驟,
步驟5.1�,服務(wù)提供方將度量請(qǐng)求發(fā)送給服務(wù)請(qǐng)求方;
步驟5.2��,服務(wù)請(qǐng)求方收到服務(wù)提供方發(fā)送的度量請(qǐng)求后��,通過可信平臺(tái)模塊度
量服務(wù)請(qǐng)求方自身的平臺(tái)當(dāng)前狀態(tài)�,獲取平臺(tái)當(dāng)前度量曰志;
步驟5. 3�,服務(wù)請(qǐng)求方將平臺(tái)當(dāng)前度量日志報(bào)告給服務(wù)提供方;
步驟5.4���,服務(wù)提供方根據(jù)服務(wù)請(qǐng)求方的平臺(tái)當(dāng)前度量日志��,判斷服務(wù)請(qǐng)求方是
否達(dá)到信息防泄漏的要求�����。
具體實(shí)施時(shí)����,可以在服務(wù)提供方中預(yù)置服務(wù)請(qǐng)求方的平臺(tái)可信狀態(tài)值,服 務(wù)提供方根據(jù)對(duì)比服務(wù)請(qǐng)求方的平臺(tái)當(dāng)前度量日志和預(yù)置的平臺(tái)可信狀態(tài)值����, 實(shí)現(xiàn)判斷服務(wù)請(qǐng)求方是否達(dá)到信息防泄漏的要求���;或者�,設(shè)置與服務(wù)提供方建 立通信連接的完整性參考服務(wù)器����,所述完整性參考服務(wù)器中預(yù)存服務(wù)請(qǐng)求方的 平臺(tái)可信狀態(tài)值并向服務(wù)提供方提供;服務(wù)提供方根據(jù)服務(wù)請(qǐng)求方的平臺(tái)當(dāng)前 度量日志���,結(jié)合完整性參考服務(wù)器提供的平臺(tái)可信狀態(tài)值�,判斷服務(wù)請(qǐng)求方是 否達(dá)到信息防泄漏的要求。
可信平臺(tái)模塊的具體設(shè)置可信計(jì)算組織(Trusted Computing Group, TCG)提供的相關(guān)標(biāo)準(zhǔn)�。服務(wù)請(qǐng)求方所設(shè)置的可信平臺(tái)模塊度量服務(wù)請(qǐng)求方自身的平 臺(tái)當(dāng)前狀態(tài)時(shí)所用的度量函數(shù),應(yīng)與實(shí)現(xiàn)取得平臺(tái)可信狀態(tài)值所用的度量函數(shù) 相應(yīng)���,具體實(shí)施時(shí)可以采用同樣的哈希函數(shù)實(shí)現(xiàn)���。那么可以設(shè)定安全策略,當(dāng) 服務(wù)提供方比較平臺(tái)當(dāng)前度量日志所提供度量值和平臺(tái)可信狀態(tài)值時(shí)只需看數(shù) 值是否相等�,如果相等則說明平臺(tái)未被破壞,服務(wù)請(qǐng)求方的平臺(tái)仍然可信��,如 果不等則說明服務(wù)請(qǐng)求方的平臺(tái)不再可信����,達(dá)不到信息防泄漏的要求。 (五)服務(wù)提供方根據(jù)判斷結(jié)果允許或拒絕服務(wù)請(qǐng)求方訪問數(shù)據(jù)的流程�。 本發(fā)明提供了進(jìn)一步具體實(shí)現(xiàn)方案以供實(shí)施參考 步驟S.l,服務(wù)提供方將判斷結(jié)果返回給服務(wù)請(qǐng)求方�;
步驟8.2,服務(wù)提供方執(zhí)行判斷結(jié)果�����,若判斷結(jié)果為服務(wù)請(qǐng)求方達(dá)到信息防泄漏 的要求,則允許服務(wù)請(qǐng)求方通過運(yùn)行服務(wù)提供方所分發(fā)操作系統(tǒng)的虛擬機(jī)接入 服務(wù)提供方����;否則就不允許服務(wù)請(qǐng)求方通過運(yùn)行服務(wù)提供方所分發(fā)操作系統(tǒng)的 虛擬機(jī)接入服務(wù)提供方。
本發(fā)明實(shí)施例設(shè)置了可信服務(wù)器作為服務(wù)提供方���、具有TPM并能運(yùn)行虛擬 機(jī)的客戶端作為服務(wù)請(qǐng)求方����,以及證書服務(wù)器和完整性參考服務(wù)器��。
其中����,可信服務(wù)器存儲(chǔ)了大量敏感數(shù)據(jù),能為已通過可信驗(yàn)證的客戶端提 供敏感數(shù)據(jù)����?�?尚欧?wù)器可以實(shí)現(xiàn)控制客戶端的接入�,在客戶端申請(qǐng)接入時(shí), 對(duì)客戶端的身份進(jìn)行認(rèn)證�����,向客戶端分發(fā)定制的操作系統(tǒng),對(duì)客戶端的平臺(tái)狀 態(tài)進(jìn)行評(píng)估�,從完整性參考服務(wù)器獲取客戶端的完整性參考值,制定客戶端能 否訪問敏感數(shù)據(jù)的決策�。
具有TPM并能運(yùn)行虛擬機(jī)的客戶端,可以提供身份認(rèn)證信息和平臺(tái)狀態(tài)信 息��,經(jīng)可信服務(wù)器驗(yàn)證通過后可訪問可信服務(wù)器存儲(chǔ)的敏感數(shù)據(jù)�����?�?蛻舳送ㄟ^使用V畫��,在客戶端平臺(tái)上同時(shí)運(yùn)行多個(gè)域(包括一個(gè)特權(quán)域domain 0和多個(gè) 用戶域domain U)����。客戶端通過可信服務(wù)器的身份認(rèn)證后����,使用可信服務(wù)器所分 發(fā)的操作系統(tǒng)啟動(dòng)一個(gè)新的虛擬機(jī),該虛擬機(jī)用于訪問可信服務(wù)器的敏感信息�����。 在新虛擬機(jī)啟動(dòng)過程中,服務(wù)請(qǐng)求方就為其構(gòu)建了動(dòng)態(tài)信任鏈�����。具體實(shí)施可參 考現(xiàn)有虛擬機(jī)的動(dòng)態(tài)信任鏈建立技術(shù)����,參見附圖l。具體實(shí)施時(shí)��,客戶端可以采 用PC或嵌入式平臺(tái)實(shí)現(xiàn)�����,最底層為TPM���、 BI0S和CPU���。虛擬機(jī)系統(tǒng)中的特權(quán)域 設(shè)置有虛擬化可信平臺(tái)模塊管理器(vTPM Manager),用于管理虛擬系統(tǒng)中的 虛擬化可信平臺(tái)模塊(vTPM),而每個(gè)vTPM分別用于為一個(gè)在VMM上運(yùn)行的虛 擬機(jī)提供TPM服務(wù)����;特權(quán)域操作系統(tǒng)TPM驅(qū)動(dòng)程序(OS TPM Driver),通過vTPM Manager使用TPM的服務(wù)。vTPM Manager支持用戶域操作系統(tǒng)TPM驅(qū)動(dòng)程序 (GUEST OS TPM Driver),從而通過用戶域的可信軟件棧TSS實(shí)現(xiàn)相關(guān)功能調(diào) 用��,包括使用TPM功能����、調(diào)用完整性收集器、發(fā)送平臺(tái)當(dāng)前度量日志�,以及相 關(guān)的通訊功能等。
在信任鏈的建立過程中�����,任何代碼在執(zhí)行之前都要先經(jīng)過完整性度量����,并 保存度量日志。虛擬機(jī)以可信平臺(tái)模塊(TPM)為可信根�,建立動(dòng)態(tài)信任鏈的流 程如下
1) 計(jì)算機(jī)啟動(dòng)時(shí),BIOS的啟動(dòng)塊(Boot Block)首先執(zhí)行靜態(tài)信任根(SRTM)���, 對(duì)BIOS進(jìn)行完整性度量�����,并將控制權(quán)交給BIOS��。
2) BIOS對(duì)啟動(dòng)加載程序(Boot Loader)進(jìn)行完整性度量���,并將控制權(quán)交給 啟動(dòng)加載程序��。
3) 啟動(dòng)加載程序?qū)MM進(jìn)行完整性度量并將控制權(quán)交給VMM��。
4) 當(dāng)在VMM上需要啟動(dòng)VM時(shí)�,虛擬機(jī)監(jiān)控器對(duì)VM的操作系統(tǒng)引導(dǎo)程序(OSLoader)進(jìn)行完整性度量并將控制權(quán)交給VM的OS Loader�����。
5) OS Loader對(duì)VM的操作系統(tǒng)(OS)進(jìn)行完整性度量��,并將控制權(quán)交給 0S���。
6) 當(dāng)VM上需啟動(dòng)應(yīng)用程序(Application)時(shí)�����,OS對(duì)應(yīng)用程序進(jìn)行完整性 度量��。至此����,構(gòu)成了從TPM到該VM的動(dòng)態(tài)信任鏈。
7) 當(dāng)在V醒上要再次啟動(dòng)新的VM時(shí)��,進(jìn)行步驟4)—步驟6)�,為新啟動(dòng)的 VM構(gòu)成其動(dòng)態(tài)信任鏈����。
在可信服務(wù)器向客戶端發(fā)送度量請(qǐng)求時(shí),可以按照度量請(qǐng)求內(nèi)容����,根據(jù)上 述步驟7)中形成的動(dòng)態(tài)信任鏈及度量規(guī)則對(duì)客戶端相應(yīng)的VM進(jìn)行度量,然后
形成平臺(tái)當(dāng)前度量日志���。度量請(qǐng)求中除了要求度量服務(wù)請(qǐng)求方總體的平臺(tái)當(dāng)前 狀態(tài)外�����,還可以要求度量VM上的應(yīng)用程序����,進(jìn)一步提高安全性����。相應(yīng)的����,需預(yù) 存應(yīng)用程序的可信狀態(tài)值��,以便比較應(yīng)用程序的度量結(jié)果����。或者��,當(dāng)按照本發(fā) 明提供的可信虛擬機(jī)遠(yuǎn)程驗(yàn)證方案�,運(yùn)行到步驟4.3中服務(wù)請(qǐng)求方啟動(dòng)一個(gè)新 虛擬機(jī)時(shí),可以自動(dòng)運(yùn)行步驟7)�,自動(dòng)為新虛擬機(jī)構(gòu)成動(dòng)態(tài)信任鏈并進(jìn)行平臺(tái) 可信狀態(tài)評(píng)估,在可信服務(wù)器向客戶端發(fā)送度量請(qǐng)求時(shí)將自動(dòng)度量形成的平臺(tái) 當(dāng)前度量日志報(bào)告回復(fù)即可���。
證書服務(wù)器除對(duì)客戶端發(fā)放身份證書外��,也可為完整性參考服務(wù)器發(fā)放身 份證書���,將完整性參考服務(wù)器納入身份安全驗(yàn)證范圍,進(jìn)一步保障可信服務(wù)器 的安全性�。
完整性參考服務(wù)器存儲(chǔ)了客戶端的完整性驗(yàn)證信息,即預(yù)先取得的平臺(tái)可 信狀態(tài)值����,用于向可信服務(wù)器提供請(qǐng)求接入的客戶端的相關(guān)完整性信息��,以供 可信服務(wù)器在接入客戶端時(shí)做出正確判斷��。參照?qǐng)D2所示,實(shí)施例采用服務(wù)提供方/服務(wù)請(qǐng)求方架構(gòu)�����,完整工作流程如
下
1) 建立通信�。服務(wù)請(qǐng)求方向服務(wù)提供方發(fā)出需要服務(wù)提供方上數(shù)據(jù)的請(qǐng)求;
2) 身份認(rèn)證����。服務(wù)提供方要求終端(即服務(wù)請(qǐng)求方)提供身份,服務(wù)請(qǐng)求方將 身份認(rèn)證信息發(fā)送給服務(wù)提供方���,服務(wù)提供方依照預(yù)先設(shè)定的身份認(rèn)證方法 對(duì)服務(wù)請(qǐng)求方提供的身份認(rèn)證信息進(jìn)行認(rèn)證���,判斷其是否允許服務(wù)請(qǐng)求方與 其連接。
3) 服務(wù)提供方向服務(wù)請(qǐng)求方分發(fā)操作系統(tǒng)��,服務(wù)請(qǐng)求方啟動(dòng)一個(gè)新VM�����,該VM 運(yùn)行服務(wù)提供方分發(fā)的操作系統(tǒng)。在該VM啟動(dòng)過程中�����,服務(wù)請(qǐng)求方就為其 構(gòu)建了動(dòng)態(tài)信任鏈�。
4) 服務(wù)提供方將度量請(qǐng)求發(fā)送給服務(wù)請(qǐng)求方。
5) 服務(wù)請(qǐng)求方收到服務(wù)提供方發(fā)送的度量請(qǐng)求后��,根據(jù)服務(wù)提供方要求度量的 內(nèi)容��,度量服務(wù)請(qǐng)求方的平臺(tái)當(dāng)前狀態(tài)��;
6) 服務(wù)請(qǐng)求方將度量結(jié)果(即平臺(tái)當(dāng)前度量日志)發(fā)送給服務(wù)提供方�����;
7) 服務(wù)提供方按照安全控制策略驗(yàn)證度量結(jié)果���,即根據(jù)服務(wù)請(qǐng)求方的平臺(tái)當(dāng)前 度量日志報(bào)告���,結(jié)合預(yù)置的平臺(tái)可信狀態(tài)值進(jìn)行評(píng)估�,判斷服務(wù)請(qǐng)求方的平 臺(tái)狀態(tài)是否可信�,是否達(dá)到信息防泄漏的要求;
8) 若服務(wù)請(qǐng)求方的平臺(tái)狀態(tài)可信����,則服務(wù)提供方允許傳輸數(shù)據(jù)的連接;服務(wù)提 供方和服務(wù)請(qǐng)求方進(jìn)行密鑰協(xié)商����,產(chǎn)生一個(gè)會(huì)話密鑰;
9) 服務(wù)提供方使用會(huì)話密鑰對(duì)服務(wù)請(qǐng)求方所需數(shù)據(jù)進(jìn)行加密��,并將加密后的數(shù) 據(jù)發(fā)送給服務(wù)請(qǐng)求方�;
服務(wù)請(qǐng)求方對(duì)服務(wù)提供方傳送的數(shù)據(jù)進(jìn)行解密���,獲得其所需信息���。
權(quán)利要求
1. 面向敏感數(shù)據(jù)防泄漏的可信虛擬機(jī)遠(yuǎn)程驗(yàn)證方法,用于當(dāng)運(yùn)行有虛擬機(jī)的服務(wù)請(qǐng)求方向服務(wù)提供方請(qǐng)求數(shù)據(jù)時(shí)�,服務(wù)提供方判斷允許或拒絕服務(wù)請(qǐng)求方訪問數(shù)據(jù),其特征在于依次包括有以下流程����,服務(wù)提供方和服務(wù)請(qǐng)求方之間建立通信的流程;服務(wù)提供方對(duì)服務(wù)請(qǐng)求方進(jìn)行身份認(rèn)證的流程;服務(wù)請(qǐng)求方的身份認(rèn)證通過后�����,服務(wù)提供方向服務(wù)請(qǐng)求方分發(fā)安全的操作系統(tǒng)�、服務(wù)請(qǐng)求方啟動(dòng)新虛擬機(jī)運(yùn)行該操作系統(tǒng)的流程;服務(wù)提供方對(duì)服務(wù)請(qǐng)求方進(jìn)行平臺(tái)可信狀態(tài)評(píng)估的流程���,用于判斷其是否達(dá)到信息防泄漏的要求����;服務(wù)提供方根據(jù)判斷結(jié)果允許或拒絕服務(wù)請(qǐng)求方訪問數(shù)據(jù)的流程����。
2. 根據(jù)權(quán)利要求1所述的可信虛擬機(jī)遠(yuǎn)程驗(yàn)證方法,其特征在于所述服務(wù)提 供方對(duì)服務(wù)請(qǐng)求方進(jìn)行身份認(rèn)證的流程����,具體實(shí)現(xiàn)方式為服務(wù)提供方依照預(yù)先 設(shè)定的身份認(rèn)證方式對(duì)服務(wù)請(qǐng)求方提供的身份認(rèn)證信息進(jìn)行認(rèn)證�����,判斷服務(wù)請(qǐng) 求方是否具有可向服務(wù)提供方請(qǐng)求數(shù)據(jù)的身份�。
3. 根據(jù)權(quán)利要求2所述的可信虛擬機(jī)遠(yuǎn)程驗(yàn)證方法,其特征在于身份認(rèn)證通 過設(shè)置證書服務(wù)器實(shí)現(xiàn),所述證書服務(wù)器為服務(wù)請(qǐng)求方提供身份證書�����;服務(wù)提 供方通過驗(yàn)證身份證書��,判斷服務(wù)請(qǐng)求方是否具有可向服務(wù)提供方請(qǐng)求數(shù)據(jù)的 身份��。
4. 根據(jù)權(quán)利要求1所述的可信虛擬機(jī)遠(yuǎn)程驗(yàn)證方法�,其特征在于所述服務(wù)提 供方向服務(wù)請(qǐng)求方分發(fā)安全的操作系統(tǒng)、服務(wù)請(qǐng)求方啟動(dòng)新虛擬機(jī)運(yùn)行該操作 2系統(tǒng)的流程����,具體實(shí)現(xiàn)包括以下步驟,步驟4. 1�,服務(wù)提供方向服務(wù)請(qǐng)求方分發(fā)一個(gè)安全的操作系統(tǒng)�����; 步驟4.2���,服務(wù)請(qǐng)求方接收服務(wù)提供方所分發(fā)的操作系統(tǒng)����;步驟4.3,服務(wù)請(qǐng)求方啟動(dòng)一個(gè)新虛擬機(jī)��,該虛擬機(jī)運(yùn)行服務(wù)提供方所分發(fā)的操作系統(tǒng)���。
5. 根據(jù)權(quán)利要求1所述的可信虛擬機(jī)遠(yuǎn)程驗(yàn)證方法�,其特征在于服務(wù)請(qǐng)求方 設(shè)有可信平臺(tái)模塊����,對(duì)服務(wù)請(qǐng)求方進(jìn)行平臺(tái)可信狀態(tài)評(píng)估的流程具體實(shí)現(xiàn)包括 以下步驟,步驟5.1��,服務(wù)提供方將度量請(qǐng)求發(fā)送給服務(wù)請(qǐng)求方�;步驟5.2,服務(wù)請(qǐng)求方收到服務(wù)提供方發(fā)送的度量請(qǐng)求后��,通過可信平臺(tái)模塊度量服務(wù)請(qǐng)求方自身的平臺(tái)當(dāng)前狀態(tài)�,獲取平臺(tái)當(dāng)前度量曰志;步驟5. 3�����,服務(wù)請(qǐng)求方將平臺(tái)當(dāng)前度量日志報(bào)告給服務(wù)提供方�;步驟5.4,服務(wù)提供方根據(jù)服務(wù)請(qǐng)求方的平臺(tái)當(dāng)前度量日志���,判斷服務(wù)請(qǐng)求方是否達(dá)到信息防泄漏的要求�����。
6. 根據(jù)權(quán)利要求5所述的可信虛擬機(jī)遠(yuǎn)程驗(yàn)證方法���,其特征在于服務(wù)提供方 中預(yù)置服務(wù)請(qǐng)求方的平臺(tái)可信狀態(tài)值����;在步驟5.4中���,服務(wù)提供方根據(jù)對(duì)比服 務(wù)請(qǐng)求方的平臺(tái)當(dāng)前度量日志和預(yù)置的平臺(tái)可信狀態(tài)值��,判斷服務(wù)請(qǐng)求方是否 達(dá)到信息防泄漏的要求����。
7. 根據(jù)權(quán)利要求5所述的可信虛擬機(jī)遠(yuǎn)程驗(yàn)證方法��,其特征在于設(shè)置與服務(wù) 提供方建立通信連接的完整性參考服務(wù)器�,所述完整性參考服務(wù)器中預(yù)存服務(wù) 請(qǐng)求方的平臺(tái)可信狀態(tài)值并向服務(wù)提供方提供���;在步驟5.4中����,服務(wù)提供方根 據(jù)服務(wù)請(qǐng)求方的平臺(tái)當(dāng)前度量日志,結(jié)合完整性參考服務(wù)器提供的平臺(tái)可信狀態(tài)值����,判斷服務(wù)請(qǐng)求方是否達(dá)到信息防泄漏的要求。
8.根據(jù)權(quán)利要求1所述的可信虛擬機(jī)遠(yuǎn)程驗(yàn)證方法����,其特征在于所述服務(wù)提 供方根據(jù)判斷結(jié)果允許或拒絕服務(wù)請(qǐng)求方訪問數(shù)據(jù)的流程,具體實(shí)現(xiàn)包括以下 步驟�,步驟8. 1,服務(wù)提供方將判斷結(jié)果返回給服務(wù)請(qǐng)求方��;步驟8.2��,服務(wù)提供方執(zhí)行判斷結(jié)果�����,若判斷結(jié)果為服務(wù)請(qǐng)求方達(dá)到信息防泄漏 的要求���,則允許服務(wù)請(qǐng)求方通過運(yùn)行服務(wù)提供方所分發(fā)操作系統(tǒng)的虛擬機(jī)接入 服務(wù)提供方���;否則不允許���。
全文摘要
本發(fā)明公開了面向敏感數(shù)據(jù)防泄漏的可信虛擬機(jī)遠(yuǎn)程驗(yàn)證方法包括有以下流程服務(wù)提供方和服務(wù)請(qǐng)求方之間建立通信;服務(wù)提供方對(duì)服務(wù)請(qǐng)求方進(jìn)行身份認(rèn)證�;服務(wù)提供方向服務(wù)請(qǐng)求方分發(fā)安全的操作系統(tǒng)、服務(wù)請(qǐng)求方啟動(dòng)新虛擬機(jī)運(yùn)行該操作系統(tǒng)��;服務(wù)提供方對(duì)服務(wù)請(qǐng)求方進(jìn)行平臺(tái)可信狀態(tài)評(píng)估�����;服務(wù)提供方允許或拒絕服務(wù)請(qǐng)求方訪問數(shù)據(jù)��。服務(wù)提供方通過遠(yuǎn)程證明方式檢驗(yàn)服務(wù)請(qǐng)求方平臺(tái)的可信狀態(tài)�����,當(dāng)服務(wù)請(qǐng)求方狀態(tài)符合預(yù)期的可信狀態(tài)時(shí)����,服務(wù)提供方才允許服務(wù)請(qǐng)求方的連接請(qǐng)求。本發(fā)明還利用了可信計(jì)算技術(shù)���,為實(shí)現(xiàn)虛擬化平臺(tái)的可信網(wǎng)絡(luò)連接提供了高安全性支持����,確保數(shù)字資產(chǎn)安全��。
文檔編號(hào)G06F21/00GK101533434SQ20091006156
公開日2009年9月16日 申請(qǐng)日期2009年4月10日 優(yōu)先權(quán)日2009年4月10日
發(fā)明者余榮威, 波 匡, 凱 周, 帆 尹, 磊 尹, 晉 柯, 王麗娜 申請(qǐng)人:武漢大學(xué)