基于TPM聯(lián)盟的可信云平臺管理模型

田俊峰，常方舒

?

基于TPM聯(lián)盟的可信云平臺管理模型

田俊峰，常方舒

（河北大學(xué)網(wǎng)絡(luò)技術(shù)研究所，河北保定 071002）

以可信計(jì)算技術(shù)為基礎(chǔ)，針對可信云平臺構(gòu)建過程中可信節(jié)點(diǎn)動態(tài)管理存在的性能瓶頸問題，提出了基于TPM聯(lián)盟的可信云平臺體系結(jié)構(gòu)及管理模型。針對TPM自身能力的局限性，提出了宏TPM和根TPM的概念。針對可信云中節(jié)點(diǎn)管理時(shí)間開銷大的問題，引入時(shí)間樹的概念組織TPM聯(lián)盟，利用TPM和認(rèn)證加密技術(shù)解決數(shù)據(jù)在TPM聯(lián)盟內(nèi)節(jié)點(diǎn)間的可信傳輸問題，提出了一種基于時(shí)間樹的TPM聯(lián)盟管理策略，包括節(jié)點(diǎn)配置協(xié)議、注冊協(xié)議、注銷協(xié)議、實(shí)時(shí)監(jiān)控協(xié)議、網(wǎng)絡(luò)管理修復(fù)協(xié)議和節(jié)點(diǎn)更新協(xié)議，闡述了時(shí)間樹的生成算法，分析了建立可信節(jié)點(diǎn)管理網(wǎng)絡(luò)的時(shí)間開銷和節(jié)點(diǎn)狀態(tài)監(jiān)控的有效性。最后，通過仿真實(shí)驗(yàn)說明了模型具有較好的性能和有效性。

TPM聯(lián)盟；云計(jì)算；可信云平臺；時(shí)間樹

1 引言

云計(jì)算通過將超大規(guī)模的計(jì)算和存儲資源整合起來，以按需服務(wù)的方式對外提供資源。越來越多的企業(yè)開始采用云計(jì)算，據(jù)Gartner預(yù)計(jì)，2016年全球數(shù)字內(nèi)容的將存儲在云上，F(xiàn)orrester預(yù)計(jì)2020年全球云計(jì)算市場規(guī)模將達(dá)到2 140億美元。然而，云計(jì)算的發(fā)展仍然面臨著很多挑戰(zhàn)，其中云安全已成為其發(fā)展的最大障礙。Gartner的調(diào)查結(jié)果顯示，多于70%的受訪企業(yè)首席技術(shù)官表示近期不采用云計(jì)算，首要原因在于對數(shù)據(jù)安全性與隱私保護(hù)的憂慮[1]。傳統(tǒng)的數(shù)據(jù)加密只能保護(hù)數(shù)據(jù)存儲時(shí)安全，而當(dāng)數(shù)據(jù)在云中以明文形式操作的時(shí)候，仍然面臨著云服務(wù)提供商內(nèi)部員工惡意或者失誤造成的泄露，這就需要一種機(jī)制來保證云平臺中計(jì)算的機(jī)密性和完整性。

基于可信計(jì)算技術(shù)的可信云平臺能夠在用戶應(yīng)用加載之前驗(yàn)證當(dāng)前平臺的狀態(tài)是否可信，從而保證數(shù)據(jù)的機(jī)密性和完整性?，F(xiàn)在越來越多的基于用戶驗(yàn)證或基于第三方驗(yàn)證的可信云服務(wù)方案被提出來，但隨之而來的問題是，云服務(wù)提供商如何保證自己的云平臺是可信的。如果云服務(wù)提供商做不到這一點(diǎn)，那么用戶在使用上述方案時(shí)，云服務(wù)很可能通不過驗(yàn)證，導(dǎo)致雙方無法進(jìn)行服務(wù)交易，這對雙方都是不利的。因此本文從云平臺建設(shè)的視角來設(shè)計(jì)一個(gè)狀態(tài)可實(shí)時(shí)監(jiān)控的可信云平臺。

2 相關(guān)工作

Garfinkel等[2]提出Terra框架通過可信虛擬機(jī)監(jiān)視器構(gòu)造閉盒虛擬機(jī)環(huán)境給應(yīng)用程序提供隱私和完整性保護(hù)。Shakeel等[3]提出的自服務(wù)云計(jì)算模型通過引入新的權(quán)限模型來解決用戶對自己虛擬機(jī)的安全隱私保護(hù)和靈活控制問題。Jonathan等[4]提出的TrustVisor框架實(shí)現(xiàn)了具有特殊功能的虛擬機(jī)監(jiān)視器，當(dāng)安全敏感的代碼運(yùn)行時(shí)能夠與商業(yè)操作系統(tǒng)和應(yīng)用隔離。Hidekazu等[5]提出的VMCrypt系統(tǒng)通過雙視圖內(nèi)存，即正常視圖和加密視圖，用戶虛擬機(jī)使用正常視圖，管理域使用加密視圖來防止用戶虛擬機(jī)中的內(nèi)存信息泄露給管理域。Sven等[6]提出的加密即服務(wù)框架通過將用戶虛擬機(jī)中的加密操作和證書分離到用戶控制的加密域中來實(shí)施用戶自己的安全解決方案。Chen等[7]提出的cTPM通過TPM和云平臺共享一個(gè)根密鑰來解決TPM資源受限的問題。上述方案都是在單個(gè)主機(jī)上構(gòu)建可信運(yùn)行環(huán)境，然而云環(huán)境下存在大量的主機(jī)，這就需要可信主機(jī)之間進(jìn)行協(xié)作。

吳吉義等[8]指出解決云安全問題的重要方案之一是將云計(jì)算與可信計(jì)算結(jié)合。Joshua等[9]提出的云驗(yàn)證服務(wù)框架通過部署統(tǒng)一的云驗(yàn)證服務(wù)來解決云用戶驗(yàn)證云平臺完整性的問題。該方案的不足是平臺的完整性度量信息不能夠?qū)崟r(shí)更新。Lucas等[10]提出動態(tài)完整性度量和驗(yàn)證框架DynIMA以解決這個(gè)問題。Berger Stefan等[11]提出可信虛擬數(shù)據(jù)中心TVDc，該技術(shù)主要用于保證云環(huán)境中用戶虛擬機(jī)的隔離。隨后Berger等[12]對原始的TVDc進(jìn)行功能增強(qiáng)，利用云資源的安全標(biāo)簽來控制用戶對云存儲的訪問。Andy等[13]提出的Jobber是一個(gè)高度自治的多租戶網(wǎng)絡(luò)安全框架，用于適應(yīng)云數(shù)據(jù)中心的動態(tài)特性和優(yōu)化租戶之間的通信。Wu等[14]提出訪問控制即服務(wù)框架AcaaS，該框架的核心思想是將用戶的訪問控制策略的管理外包給服務(wù)提供商。劉川意等[15]提出的TCEE通過給用戶虛擬機(jī)綁定vTPM，利用TCG軟件棧TSS和OpenPTS將用戶虛擬機(jī)環(huán)境信息提交給可信第三方進(jìn)行完整性驗(yàn)證，來保證用戶應(yīng)用程序運(yùn)行環(huán)境的完整性。Li等[16]提出的多租戶可信計(jì)算環(huán)境模型MTCEM將云計(jì)算服務(wù)的安全職責(zé)進(jìn)行分離，云提供商負(fù)責(zé)基礎(chǔ)設(shè)施的可信，用戶負(fù)責(zé)虛擬機(jī)實(shí)例和應(yīng)用程序的可信。Zhang等[17]提出的CloudVisor框架利用嵌套虛擬化技術(shù)來增強(qiáng)云中多租戶環(huán)境下用戶虛擬機(jī)的安全保護(hù)。上述方案雖然對云環(huán)境下的可信問題進(jìn)行了研究，但沒有考慮云節(jié)點(diǎn)管理這個(gè)問題。

Santos等[18]提出可信云計(jì)算平臺TCCP，該平臺通過可信協(xié)調(diào)者管理云中的所有可信節(jié)點(diǎn)，當(dāng)節(jié)點(diǎn)規(guī)模很大時(shí)，管理這些節(jié)點(diǎn)的時(shí)間開銷是不能忍受的。隨后Santos等[19]改進(jìn)的Excalibur通過采用基于屬性的密文策略加密算法CPABE和引入多個(gè)中心化的監(jiān)視器來改進(jìn)管理可信節(jié)點(diǎn)所造成的性能瓶頸。針對可信云平臺構(gòu)建過程中可信節(jié)點(diǎn)管理存在的性能瓶頸造成的擴(kuò)展性差的問題，Santos等改進(jìn)的Excalibur是目前所提出的方法當(dāng)中較好的。

王麗娜等[20]提出的基于可信平臺模塊的密鑰使用次數(shù)管理方法能夠安全有效地存儲和保護(hù)密鑰，從而保護(hù)云存儲中數(shù)據(jù)的機(jī)密性并控制密鑰的使用次數(shù)。田俊峰等[21]提出一種可信的云存儲控制模型TCMCS，該模型用于解決云存儲服務(wù)的安全問題。張煥國等[22]對云環(huán)境下的可信網(wǎng)絡(luò)連接進(jìn)行研究，提出了統(tǒng)一的網(wǎng)絡(luò)訪問控制架構(gòu)。王娟等[23]提出的POSTER利用可信網(wǎng)絡(luò)連接為云計(jì)算提供端到端的可信保護(hù)。周振吉等[24]針對云環(huán)境下虛擬機(jī)可信度量方法存在的并發(fā)性問題，提出一種樹形可信度量模型TSTM以提高度量模型的可擴(kuò)展性。上述工作針對云平臺中秘鑰管理、云存儲、網(wǎng)絡(luò)訪問控制和虛擬機(jī)完整性度量等問題進(jìn)行了研究。

可信云平臺的建設(shè)離不開對大規(guī)?？尚旁乒?jié)點(diǎn)的自動化管理和實(shí)時(shí)監(jiān)控。雖然Santos等針對節(jié)點(diǎn)管理這個(gè)問題提出了解決方案，但沒有徹底解決可信節(jié)點(diǎn)管理所造成的性能瓶頸，影響可信云平臺的擴(kuò)展性。本文首先提出了基于TPM聯(lián)盟的可信云平臺體系結(jié)構(gòu)，然后給出了基于時(shí)間樹的狀態(tài)可實(shí)時(shí)監(jiān)控的可信云平臺管理方案。

3 基于TPM聯(lián)盟的可信云平臺體系結(jié)構(gòu)

TPM（trusted platform module）聯(lián)盟是2個(gè)或2個(gè)以上的獨(dú)立的可信平臺模塊通過某種結(jié)構(gòu)或協(xié)議組織起來的分布式可信基。TPM聯(lián)盟整體上作為可信云平臺（TCP, trusted cloud platform）的信任根，其中TPM作為可信云平臺中可信服務(wù)器（server）的信任根?；赥PM聯(lián)盟的可信云平臺體系結(jié)構(gòu)如圖1所示。

云資源以虛擬機(jī)（VM, virtual machine）的形式提供給云用戶，OpenStack是云用戶訪問云資源的接口?？尚旁破脚_由2類可信服務(wù)器構(gòu)成，一類是管理節(jié)點(diǎn)，一類是服務(wù)節(jié)點(diǎn)。云管理員通過管理節(jié)點(diǎn)了解每個(gè)服務(wù)節(jié)點(diǎn)的可信狀態(tài)。MTPM（macro TPM）是基于TPM的可信證據(jù)收集和驗(yàn)證模塊，主要負(fù)責(zé)其所在服務(wù)節(jié)點(diǎn)的可信證據(jù)收集和驗(yàn)證其他服務(wù)節(jié)點(diǎn)的可信性，同時(shí)解決TPM計(jì)算資源不足的問題。RTPM（root TPM）是TPM聯(lián)盟的可信根，主要負(fù)責(zé)維護(hù)和管理整個(gè)TPM聯(lián)盟，TPM聯(lián)盟通過RTPM管理所有的MTPM。

MTPM邏輯結(jié)構(gòu)如圖2所示，系統(tǒng)中各組件功能如下。

1) 可信證據(jù)收集組件：主要包含2部分功能，一是系統(tǒng)啟動時(shí)的靜態(tài)完整性度量（包括BIOS、bootloader、OS、可執(zhí)行文件、配置文件）；二是系統(tǒng)運(yùn)行時(shí)的動態(tài)完整性度量（包括虛擬機(jī)、進(jìn)程的可執(zhí)行文件、環(huán)境變量），結(jié)果存入證據(jù)數(shù)據(jù)庫。

2) 節(jié)點(diǎn)狀態(tài)收集組件：接收下級MTPM中節(jié)點(diǎn)狀態(tài)收集組件傳遞的節(jié)點(diǎn)狀態(tài)集合，并將驗(yàn)證組件產(chǎn)生的節(jié)點(diǎn)狀態(tài)插入到節(jié)點(diǎn)狀態(tài)集合中，將修改后的節(jié)點(diǎn)狀態(tài)集合傳遞給上級MTPM中的節(jié)點(diǎn)狀態(tài)收集組件。

3) 驗(yàn)證組件：利用基準(zhǔn)數(shù)據(jù)庫中的基準(zhǔn)值驗(yàn)證下級MTPM中可信證據(jù)收集組件傳遞的證據(jù)，并將結(jié)果傳遞到節(jié)點(diǎn)狀態(tài)收集組件。

4) 證據(jù)數(shù)據(jù)庫：是服務(wù)節(jié)點(diǎn)中的內(nèi)存數(shù)據(jù)庫文件，MTPM初始化時(shí)由可信證據(jù)收集組件創(chuàng)建并管理，證據(jù)數(shù)據(jù)庫的完整性由TPM保證，主要用來存放被度量對象的完整性度量值。

5) 基準(zhǔn)數(shù)據(jù)庫：是服務(wù)節(jié)點(diǎn)中的磁盤數(shù)據(jù)庫文件，MTPM初始化時(shí)由驗(yàn)證組件創(chuàng)建并管理，基準(zhǔn)數(shù)據(jù)庫的完整性由TPM保證。

RTPM邏輯結(jié)構(gòu)如圖3所示，系統(tǒng)中各組件功能如下。

1) 節(jié)點(diǎn)狀態(tài)收集組件：接收下級MTPM中節(jié)點(diǎn)狀態(tài)收集組件傳遞的節(jié)點(diǎn)狀態(tài)集合，并將驗(yàn)證組件產(chǎn)生的節(jié)點(diǎn)狀態(tài)插入到節(jié)點(diǎn)狀態(tài)集合中，將修改后的節(jié)點(diǎn)狀態(tài)集合存入節(jié)點(diǎn)狀態(tài)數(shù)據(jù)庫。

2) 驗(yàn)證組件：利用基準(zhǔn)數(shù)據(jù)庫中的基準(zhǔn)值驗(yàn)證下級MTPM中可信證據(jù)收集組件傳遞的證據(jù)，并將結(jié)果傳遞到節(jié)點(diǎn)狀態(tài)收集組件。

3) 警報(bào)器：將不可信節(jié)點(diǎn)的狀態(tài)信息報(bào)告給云管理員。

4) 節(jié)點(diǎn)管理組件：TPM聯(lián)盟初始化時(shí)，云管理員利用該組件創(chuàng)建并管理云節(jié)點(diǎn)數(shù)據(jù)庫、可信軟件倉庫、節(jié)點(diǎn)配置數(shù)據(jù)庫。

5) 基準(zhǔn)數(shù)據(jù)庫：是管理節(jié)點(diǎn)中的磁盤數(shù)據(jù)庫文件，MTPM初始化時(shí)由驗(yàn)證組件創(chuàng)建并管理，基準(zhǔn)數(shù)據(jù)庫的完整性由TPM保證，基準(zhǔn)數(shù)據(jù)庫中的內(nèi)容從RTPM中的節(jié)點(diǎn)配置數(shù)據(jù)庫獲得，用于驗(yàn)證被驗(yàn)證服務(wù)節(jié)點(diǎn)的完整性。

6) 節(jié)點(diǎn)狀態(tài)數(shù)據(jù)庫：是管理節(jié)點(diǎn)中的內(nèi)存數(shù)據(jù)庫文件，TPM聯(lián)盟初始化時(shí)，由云管理員創(chuàng)建，用于實(shí)時(shí)記錄TPM聯(lián)盟中服務(wù)節(jié)點(diǎn)的狀態(tài)，數(shù)據(jù)庫大小只有在服務(wù)節(jié)點(diǎn)規(guī)模發(fā)生變化時(shí)才發(fā)生變化。

7) 云節(jié)點(diǎn)數(shù)據(jù)庫：是管理節(jié)點(diǎn)中的磁盤數(shù)據(jù)庫文件，存儲云中所有節(jié)點(diǎn)（包括服務(wù)節(jié)點(diǎn)、管理節(jié)點(diǎn)、未提供服務(wù)的節(jié)點(diǎn)）的元數(shù)據(jù)，元數(shù)據(jù)包括節(jié)點(diǎn)的UUID（節(jié)點(diǎn)唯一標(biāo)識）、公鑰證書、IP和節(jié)點(diǎn)配置類型。

8) 可信軟件倉庫：是管理節(jié)點(diǎn)中的磁盤數(shù)據(jù)庫文件，存儲軟件的文件路徑和簽名信息，為TPM聯(lián)盟中安裝的軟件提供可信源，TPM聯(lián)盟中運(yùn)行的每一個(gè)可執(zhí)行文件都是可驗(yàn)證的。

9) 節(jié)點(diǎn)配置數(shù)據(jù)庫：是管理節(jié)點(diǎn)中的磁盤數(shù)據(jù)庫文件，云管理員確定TPM聯(lián)盟中的節(jié)點(diǎn)配置類型，每一種配置類型的詳細(xì)信息包括服務(wù)器硬件信息、操作系統(tǒng)信息、運(yùn)行的應(yīng)用信息（例如軟件版本、配置參數(shù)等），每一種配置類型都會對應(yīng)一個(gè)指紋。

在可信云平臺中，管理節(jié)點(diǎn)的RTPM負(fù)責(zé)維護(hù)所有云節(jié)點(diǎn)的狀態(tài)信息。為保證可靠性，管理節(jié)點(diǎn)一般由2臺服務(wù)器構(gòu)成，組成熱雙工方式。MTPM周期性對所在節(jié)點(diǎn)進(jìn)行完整性度量，度量信息通過時(shí)間樹最終匯集到RTPM中。

4 基于時(shí)間樹的云平臺可信節(jié)點(diǎn)管理策略

Santos等提出的TCCP通過引入可信協(xié)調(diào)者（TC）來管理云平臺內(nèi)部的可信計(jì)算節(jié)點(diǎn)。TC負(fù)責(zé)處理云平臺內(nèi)部可信節(jié)點(diǎn)的加入、退出和維護(hù)。由于TPM的低效，TC執(zhí)行一次可信節(jié)點(diǎn)加入操作大約花費(fèi)1 s甚至更長的時(shí)間，當(dāng)大量的節(jié)點(diǎn)同時(shí)加入時(shí)，時(shí)間上的開銷是不能忍受的。同時(shí)TC負(fù)責(zé)管理所有的節(jié)點(diǎn)，當(dāng)節(jié)點(diǎn)規(guī)模很大時(shí)，TC容易成為瓶頸。Excalibur雖然在監(jiān)視節(jié)點(diǎn)與被管理節(jié)點(diǎn)之間采用基于屬性的密文策略加密框架（CPABE, ciphertext policy attribute-based encryption），減少了大量節(jié)點(diǎn)同時(shí)加入可信云平臺的時(shí)間成本，但是當(dāng)涉及到節(jié)點(diǎn)的批量注銷和維護(hù)等管理操作時(shí)，監(jiān)視節(jié)點(diǎn)仍然會成為系統(tǒng)瓶頸。針對上述問題，本文提出了基于時(shí)間樹的云平臺可信節(jié)點(diǎn)管理策略。

定義1 時(shí)間樹是一個(gè)二元組<,>，其中，是(0)個(gè)節(jié)點(diǎn)的有限集合，={|0?1}，是節(jié)點(diǎn)間邊的集合，=。

()被定義為

(2)

當(dāng)且僅當(dāng)和滿足=()時(shí)，<>，此時(shí)稱是的后繼節(jié)點(diǎn)，是的前驅(qū)節(jié)點(diǎn)，的所有后繼節(jié)點(diǎn)為兄弟節(jié)點(diǎn)。

若時(shí)間樹非空，稱<0, 0>為根節(jié)點(diǎn)。若≥，稱<,>為葉節(jié)點(diǎn)，否則<,>稱為分支節(jié)點(diǎn)。

依時(shí)間樹定義中集合和集合必須滿足的條件，形成的時(shí)間樹有2種表示形式。第1種表示形式如圖4(a)所示，時(shí)間樹中的節(jié)點(diǎn)依時(shí)間屬性值分層。第2種表示形式如圖4(b)所示，時(shí)間樹中的節(jié)點(diǎn)依兄弟關(guān)系進(jìn)行分層。

4.1 可信云平臺節(jié)點(diǎn)管理

TPM聯(lián)盟中的節(jié)點(diǎn)依時(shí)間樹模型形成的可信節(jié)點(diǎn)管理網(wǎng)絡(luò)如圖5所示。

RTPM表示管理節(jié)點(diǎn)，MTPM表示服務(wù)節(jié)點(diǎn)。RTPM的編號為0，MTPM的編號按照時(shí)間樹的定義由云管理員在TPM聯(lián)盟初始化創(chuàng)建節(jié)點(diǎn)狀態(tài)數(shù)據(jù)庫時(shí)指定。節(jié)點(diǎn)的時(shí)間屬性值表示節(jié)點(diǎn)在第幾個(gè)認(rèn)證周期加入到可信節(jié)點(diǎn)管理網(wǎng)絡(luò)中。認(rèn)證周期表示2個(gè)節(jié)點(diǎn)之間進(jìn)行遠(yuǎn)程證明所花費(fèi)的時(shí)間。

在描述具體協(xié)議之前，本文做如下約定。

UUID：表示節(jié)點(diǎn)的UUID，用于TPM聯(lián)盟和云節(jié)點(diǎn)數(shù)據(jù)庫中永久標(biāo)識一個(gè)節(jié)點(diǎn)。

ID：表示節(jié)點(diǎn)的編號，用于可信節(jié)點(diǎn)管理網(wǎng)絡(luò)和節(jié)點(diǎn)狀態(tài)數(shù)據(jù)庫中標(biāo)識一個(gè)節(jié)點(diǎn)。

MTPM：表示節(jié)點(diǎn)編號為ID的服務(wù)節(jié)點(diǎn)。

IP：表示節(jié)點(diǎn)的IP地址。

PK、SK：分別表示節(jié)點(diǎn)的公鑰和私鑰。

KEY：表示節(jié)點(diǎn)和共享的對稱密鑰。

ML：表示節(jié)點(diǎn)的完整性度量值，由可信證據(jù)收集組件產(chǎn)生。

CON：表示節(jié)點(diǎn)的配置類型，對應(yīng)于節(jié)點(diǎn)配置數(shù)據(jù)庫中的某種配置類型。

CHECKVALUE：表示節(jié)點(diǎn)的基準(zhǔn)值，是節(jié)點(diǎn)配置數(shù)據(jù)庫中與CON類型相對應(yīng)的指紋。

{}：表示用密鑰對消息進(jìn)行加密。

4.2 節(jié)點(diǎn)配置協(xié)議

該協(xié)議使MTPM從RTPM獲取自己的編號、前驅(qū)節(jié)點(diǎn)的IP和公鑰證書用于建立可信節(jié)點(diǎn)管理網(wǎng)絡(luò)。該協(xié)議在TPM聯(lián)盟啟動后（包括重新啟動）執(zhí)行。

圖6描述了MTPM和RTPM之間的信息交換過程，具體流程如下。

1)MTPM向RTPM發(fā)送編號請求信息UUID。

2) RTPM通過UUID查詢節(jié)點(diǎn)狀態(tài)數(shù)據(jù)庫得到ID，同時(shí)發(fā)送響應(yīng)信息ID。

3)MTPM將ID代入式(2)中，計(jì)算出前驅(qū)節(jié)點(diǎn)編號ID，同時(shí)發(fā)送前驅(qū)節(jié)點(diǎn)信息請求ID。

4) RTPM通過ID查詢節(jié)點(diǎn)狀態(tài)數(shù)據(jù)庫得到UUID，再通過UUID查詢云節(jié)點(diǎn)數(shù)據(jù)庫得到IP和PK，同時(shí)向MTPM發(fā)送響應(yīng)信息：IP和PK；RTPM通過UUID查詢云節(jié)點(diǎn)數(shù)據(jù)庫得到PK、CON和CHECKVALUE，同時(shí)向發(fā)送信息ID、PK、CON和CHECKVALUE。

MTPM將ID、IP和PK存儲到TPM的非易失性存儲器中。將ID和PK存儲到TPM的非易失性存儲器中，將CON和CHECKVALUE存儲到基準(zhǔn)數(shù)據(jù)庫。

4.3 節(jié)點(diǎn)注冊協(xié)議

該協(xié)議使RTPM驗(yàn)證所有MTPM啟動后的完整性。MTPM通過驗(yàn)證，才能成為TPM聯(lián)盟中的一員來提供服務(wù)。該協(xié)議與基于中心的節(jié)點(diǎn)管理策略不同的是，該協(xié)議的執(zhí)行不一定發(fā)生在MTPM和RTPM之間，而是發(fā)生在MTPM和前驅(qū)節(jié)點(diǎn)之間，這樣保證了大量的節(jié)點(diǎn)能夠同時(shí)注冊。該協(xié)議同時(shí)實(shí)現(xiàn)了節(jié)點(diǎn)間的可信傳輸?？尚殴?jié)點(diǎn)管理網(wǎng)絡(luò)的建立是通過各MTPM執(zhí)行節(jié)點(diǎn)注冊協(xié)議完成的，其中節(jié)點(diǎn)注冊協(xié)議利用了TPM的隨機(jī)數(shù)生成、密鑰生成、簽名和驗(yàn)證簽名等基本功能。

MTPM每次重啟之后都要主動執(zhí)行節(jié)點(diǎn)注冊協(xié)議，MTPM的狀態(tài)通過可信節(jié)點(diǎn)管理網(wǎng)絡(luò)傳輸給RTPM。RTPM利用可信節(jié)點(diǎn)管理網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控所有MTPM的狀態(tài)。

圖7描述了MTPM與之間的信息交換過程，具體流程如下。

1)MTPM向發(fā)送注冊請求信息ID、CON和隨機(jī)數(shù)1。

3)MTPM驗(yàn)證1，若通過驗(yàn)證發(fā)送響應(yīng)信息：簽名2：{1,2,ML}SK。否則，發(fā)送掛起信號SUSPEND，等待下一個(gè)認(rèn)證周期重新注冊。

4.4 節(jié)點(diǎn)注銷協(xié)議

當(dāng)MTPM通過節(jié)點(diǎn)注冊協(xié)議添加到TPM聯(lián)盟中時(shí)，會形成如圖5所示的時(shí)間樹型拓?fù)涞目尚殴?jié)點(diǎn)管理網(wǎng)絡(luò)。網(wǎng)絡(luò)中每一個(gè)MTPM的狀態(tài)都是通過前驅(qū)節(jié)點(diǎn)一級一級主動匯報(bào)給RTPM。當(dāng)云管理員縮減節(jié)點(diǎn)規(guī)模時(shí)，可以注銷一部分MTPM，若注銷的MTPM節(jié)點(diǎn)是分支節(jié)點(diǎn)，必然會造成后繼節(jié)點(diǎn)的狀態(tài)無法傳遞到RTPM。為了使TPM聯(lián)盟能夠自由控制MTPM數(shù)量，同時(shí)又不破壞可信節(jié)點(diǎn)管理網(wǎng)絡(luò)，需要對節(jié)點(diǎn)的注銷采取以下策略，如圖8所示。其中圖8(a)注銷分支節(jié)點(diǎn)，圖8(b)注銷葉子節(jié)點(diǎn)。虛線表示省略中間節(jié)點(diǎn)，代表RTPM，其他字母代表MTPM。具體流程如下。

4.4.1 注銷節(jié)點(diǎn)

1)向發(fā)送注銷命令和PK，同時(shí)將從節(jié)點(diǎn)狀態(tài)數(shù)據(jù)庫中刪除。

2)收到注銷命令后，將PK和PK轉(zhuǎn)發(fā)給，將PK和IP發(fā)送給和，將ID發(fā)送給，將PK發(fā)送給和。此后在可信節(jié)點(diǎn)管理網(wǎng)絡(luò)中的職責(zé)由來承擔(dān)，關(guān)閉計(jì)算機(jī)。

3)收到PK和PK后，將PK存儲到TPM的非易失性存儲器中。更新前驅(qū)節(jié)點(diǎn)的公鑰為PK，更新前驅(qū)節(jié)點(diǎn)的IP為IP，將自己的編號改為ID。和收到PK后，更新前驅(qū)節(jié)點(diǎn)的公鑰為PK，更新前驅(qū)節(jié)點(diǎn)的IP為IP。收到PK和IP后，將的公鑰信息修改為PK，通過IP與建立可信通道。收到PK、IP和ID后，將PK、IP和ID轉(zhuǎn)發(fā)給Z。在節(jié)點(diǎn)狀態(tài)數(shù)據(jù)庫中修改的編號為ID，修改的編號為ID。

4)收到PK、IP和ID后，向前驅(qū)節(jié)點(diǎn)發(fā)送終止命令，修改前驅(qū)節(jié)點(diǎn)的IP為IP，修改前驅(qū)節(jié)點(diǎn)的公鑰為PK，修改自己的編號為ID，重新執(zhí)行節(jié)點(diǎn)注冊協(xié)議。

4.4.2 注銷節(jié)點(diǎn)

1)向發(fā)送注銷命令和PK，將的編號改為ID，將ID發(fā)送給，將從節(jié)點(diǎn)狀態(tài)數(shù)據(jù)庫中刪除。

2)將存儲的PK修改為PK，向發(fā)送IP和PK。收到注銷命令后關(guān)閉計(jì)算機(jī)。收到ID后，將自己的編號改為ID。

3)收到送IP和PK后，將IP和PK轉(zhuǎn)發(fā)給。

4)收到IP和PK后向前驅(qū)節(jié)點(diǎn)發(fā)送終止命令，修改前驅(qū)節(jié)點(diǎn)的IP為IP，修改前驅(qū)節(jié)點(diǎn)的公鑰為PK，重新執(zhí)行節(jié)點(diǎn)注冊協(xié)議。

當(dāng)注銷大量MTPM時(shí)，RTPM應(yīng)先注銷葉子節(jié)點(diǎn)，其次注銷編號大的分支節(jié)點(diǎn)，這樣能保證各MTPM的注銷同時(shí)進(jìn)行。

4.5 節(jié)點(diǎn)狀態(tài)實(shí)時(shí)監(jiān)控協(xié)議

MTPM的狀態(tài)分為3種：可信，即系統(tǒng)完整性未遭破壞；不可信，即系統(tǒng)中某些進(jìn)程的完整性遭到破壞但節(jié)點(diǎn)的MTPM完整性未遭破壞（記為類型1）或者是節(jié)點(diǎn)的MTPM完整性遭到破壞但該節(jié)點(diǎn)的前驅(qū)和所有兄弟節(jié)點(diǎn)中至少有一個(gè)節(jié)點(diǎn)的MTPM完整性未遭破壞（記為類型2）；狀態(tài)未知，即MTPM的狀態(tài)沒有通過可信節(jié)點(diǎn)管理網(wǎng)絡(luò)傳遞到RTPM。節(jié)點(diǎn)的狀態(tài)轉(zhuǎn)換如圖9所示，其中虛線橢圓表示該狀態(tài)是暫態(tài)。

分布式狀態(tài)監(jiān)控協(xié)議如下。

TPM聯(lián)盟中每個(gè)節(jié)點(diǎn)初始化2個(gè)空集合NoTrustedList和LeftList，其中NoTrustedList中的元素為節(jié)點(diǎn)的編號及其類型，LeftList中的元素為葉子節(jié)點(diǎn)編號。同時(shí)每個(gè)節(jié)點(diǎn)維護(hù)一個(gè)后繼節(jié)點(diǎn)列表SubsequentList，列表中元素按照節(jié)點(diǎn)編號降序排列。

TPM聯(lián)盟中每個(gè)節(jié)點(diǎn)進(jìn)行如下操作。

1) 從SubsequentList取一個(gè)后繼節(jié)點(diǎn)。

2) 判斷與后繼節(jié)點(diǎn)的可信通道是否斷開，若是，則將后繼節(jié)點(diǎn)編號及類型2插入NoTrustedList；否則驗(yàn)證可信證據(jù)，若驗(yàn)證不通過，則將后繼節(jié)點(diǎn)編號和類型1插入NoTrustedList。

3) 判斷后繼節(jié)點(diǎn)是否為葉子，若是，將其編號插入到LeftList。

4) 將后繼節(jié)點(diǎn)的NoTrustedList插入到本節(jié)點(diǎn)的NoTrustedList，將后繼節(jié)點(diǎn)的LeftList插入到本節(jié)點(diǎn)的LeftList。

5) 判斷后繼節(jié)點(diǎn)是否為SubsequentList中的最后一個(gè)元素，若否，則跳轉(zhuǎn)到1)執(zhí)行。

6) 將本節(jié)點(diǎn)的可信證據(jù)、NoTrustedList和LeftList傳遞給前驅(qū)節(jié)點(diǎn)。

RTPM節(jié)點(diǎn)中的NoTrustedList和LeftList將會是關(guān)于整個(gè)TPM聯(lián)盟中節(jié)點(diǎn)的狀態(tài)信息。RTPM通過LeftList計(jì)算出狀態(tài)未知的葉子節(jié)點(diǎn)編號列表NoStatusList。

1) 從NoStatusList中取一個(gè)葉子節(jié)點(diǎn)編號，并將其插入到NoTrustedList，置類型為2。

2) 以此編號計(jì)算前驅(qū)節(jié)點(diǎn)編號，若前驅(qū)節(jié)點(diǎn)編號未出現(xiàn)在NoTrustedList中，則將前驅(qū)節(jié)點(diǎn)編號插入到NoTrustedList，類型置為2，跳轉(zhuǎn)到2)執(zhí)行。

3) 判斷NoStatusList是否遍歷完，若否，跳轉(zhuǎn)到1)執(zhí)行。

4.6 可信節(jié)點(diǎn)管理網(wǎng)絡(luò)修復(fù)協(xié)議

為了維護(hù)可信節(jié)點(diǎn)管理網(wǎng)絡(luò)的完整性，采取以下修復(fù)策略。

1) 若是葉子節(jié)點(diǎn)出現(xiàn)故障，RTPM通過警報(bào)器隔離該節(jié)點(diǎn)并向云管理員報(bào)警。云管理員修復(fù)該節(jié)點(diǎn)后，該節(jié)點(diǎn)依據(jù)節(jié)點(diǎn)注冊協(xié)議重新加入TPM聯(lián)盟。

2) 若是單個(gè)分支節(jié)點(diǎn)出現(xiàn)故障，修復(fù)策略如圖10所示。

其中，、、、、代表MTPM，故障造成可信節(jié)點(diǎn)管理網(wǎng)絡(luò)局部連接中斷，從的后繼節(jié)點(diǎn)、、中選取一個(gè)節(jié)點(diǎn)代替。選取規(guī)則是選編號最大的節(jié)點(diǎn)。

假設(shè)圖10中編號最大，故選代替，該局部網(wǎng)絡(luò)的通信即可恢復(fù)。同時(shí)RTPM通過警報(bào)器隔離并向云管理員報(bào)警，修復(fù)后依據(jù)節(jié)點(diǎn)注冊協(xié)議重新加入TPM聯(lián)盟，這時(shí)可信節(jié)點(diǎn)管理網(wǎng)絡(luò)得到修復(fù)。

3) 若節(jié)點(diǎn)與前驅(qū)節(jié)點(diǎn)同時(shí)出現(xiàn)故障，修復(fù)策略如圖11所示。

其中，、、、、代表MTPM，代表RTPM。、故障造成可信節(jié)點(diǎn)管理網(wǎng)絡(luò)局部連接中斷，此時(shí)的后繼節(jié)點(diǎn)依照圖10的方式重建網(wǎng)絡(luò)，本圖中不再給出示例；從的后繼節(jié)點(diǎn)、中選取一個(gè)節(jié)點(diǎn)代替，選取規(guī)則依然是選編號最大的節(jié)點(diǎn)。圖中假設(shè)編號比編號大，故選代替。因?yàn)榈那膀?qū)故障，所以不再與建立連接，而是直接與建立臨時(shí)連接，從TPM聯(lián)盟中選一個(gè)編號最大的節(jié)點(diǎn)作為的前驅(qū)節(jié)點(diǎn)，與建立連接后，該局部網(wǎng)絡(luò)的通信即可恢復(fù)。同時(shí)RTPM通過警報(bào)器隔離、并向云管理員報(bào)警，、修復(fù)后依據(jù)節(jié)點(diǎn)注冊協(xié)議重新加入TPM聯(lián)盟，這時(shí)可信節(jié)點(diǎn)管理網(wǎng)絡(luò)得到修復(fù)。

5 仿真實(shí)驗(yàn)及結(jié)果分析

下面針對本文提出的可信云平臺管理模型從以下兩方面進(jìn)行實(shí)驗(yàn)驗(yàn)證及分析：1) TPM聯(lián)盟建立可信節(jié)點(diǎn)管理網(wǎng)絡(luò)的時(shí)間開銷分析；2) TPM聯(lián)盟節(jié)點(diǎn)狀態(tài)監(jiān)控的有效性分析。

5.1 性能分析

使用2臺瑞達(dá)可信安全服務(wù)器，每一臺配置Intel Xeon E5620，4G DDRIII，STCM，運(yùn)行Linux 3.11.0，連接到1 Gbit/s網(wǎng)絡(luò)。使用這樣的環(huán)境測試節(jié)點(diǎn)注冊協(xié)議10次，取平均值，執(zhí)行一次節(jié)點(diǎn)注冊協(xié)議的時(shí)間為1.93 s。這個(gè)測量結(jié)果與文獻(xiàn)[19]的測量結(jié)果基本吻合，文獻(xiàn)[19]中節(jié)點(diǎn)證明協(xié)議花費(fèi)0.82 s，這是因?yàn)槲墨I(xiàn)[19]是單向認(rèn)證，TPM quote操作只需執(zhí)行一次，執(zhí)行一次TPM quote操作大約需要0.8 s，而本文的節(jié)點(diǎn)注冊協(xié)議是雙向認(rèn)證，需要執(zhí)行2次TPM quote操作。使用Octave模擬100萬個(gè)節(jié)點(diǎn)建立TPM聯(lián)盟，其結(jié)果如圖12所示。

取執(zhí)行節(jié)點(diǎn)注冊協(xié)議所需時(shí)間的一半作為單位時(shí)間，因?yàn)榈谝粋€(gè)加入TPM聯(lián)盟的MTPM節(jié)點(diǎn)不需要認(rèn)證RTPM，也就是只需執(zhí)行一次TPM quote操作，同時(shí)注冊協(xié)議中的第二次TPM quote操作，每個(gè)節(jié)點(diǎn)可以同時(shí)執(zhí)行，即執(zhí)行節(jié)點(diǎn)注冊協(xié)議的一半時(shí)間隱藏在第一個(gè)節(jié)點(diǎn)加入TPM聯(lián)盟的時(shí)間內(nèi)。Time tree one 表示節(jié)點(diǎn)一次TPM quote操作認(rèn)證一個(gè)后繼節(jié)點(diǎn)的方式建立TPM聯(lián)盟，Time tree two 表示節(jié)點(diǎn)采用Merkel tree[25]技術(shù)，一次TPM quote操作認(rèn)證所有的后繼節(jié)點(diǎn)，Monitor表示采用文獻(xiàn)[19]中的節(jié)點(diǎn)注冊方法。從圖中可以看出，Time tree one方式下，100萬個(gè)節(jié)點(diǎn)加入TPM聯(lián)盟大約花費(fèi)20 s，若采用Time tree two方式，則可以在更短的時(shí)間內(nèi)提夠更多的可信節(jié)點(diǎn)來提供云服務(wù)，例如大約12 s時(shí)已有86萬個(gè)節(jié)點(diǎn)加入TPM聯(lián)盟，而Monitor方式下，20 s只能注冊1.3萬個(gè)節(jié)點(diǎn)。值得注意的一點(diǎn)是，當(dāng)TPM聯(lián)盟規(guī)模確定時(shí)，相應(yīng)的時(shí)間樹也就確定了，因此Time tree one和Time tree two這2種方式建立TPM聯(lián)盟的最終時(shí)間是一致的。本文采用的時(shí)間樹算法能夠使節(jié)點(diǎn)注冊的數(shù)量與時(shí)間成指數(shù)關(guān)系。文獻(xiàn)[19]中，每秒大約注冊633個(gè)節(jié)點(diǎn)，且節(jié)點(diǎn)注冊的數(shù)量與時(shí)間成線性關(guān)系，顯然當(dāng)云規(guī)模巨大時(shí)，文獻(xiàn)[19]中的方法是不能勝任的。

5.2 有效性分析

使用Octave模擬具有100萬個(gè)節(jié)點(diǎn)的TPM聯(lián)盟的節(jié)點(diǎn)狀態(tài)，驗(yàn)證節(jié)點(diǎn)狀態(tài)監(jiān)控協(xié)議和可信節(jié)點(diǎn)管理網(wǎng)絡(luò)修復(fù)協(xié)議能夠使RTPM掌握所有節(jié)點(diǎn)的狀態(tài)，同時(shí)給出每個(gè)節(jié)點(diǎn)通過以下哪種方式將狀態(tài)傳遞給RTPM。方式如表1所示。

表1 節(jié)點(diǎn)狀態(tài)傳遞的不同方式

其中，方式1為正常節(jié)點(diǎn)的狀態(tài)傳遞方式，方式2~方式5為故障節(jié)點(diǎn)的狀態(tài)傳遞方式。實(shí)驗(yàn)設(shè)定節(jié)點(diǎn)故障率從0.5%到5%變化，為了模擬真實(shí)場景，其中節(jié)點(diǎn)的故障按照故障率隨機(jī)產(chǎn)生，結(jié)果如圖13所示。

圖13結(jié)果數(shù)據(jù)分析顯示故障節(jié)點(diǎn)數(shù)量（即方式2~方式5下的節(jié)點(diǎn)數(shù)量之和）占總節(jié)點(diǎn)數(shù)量的比重與之前設(shè)定的節(jié)點(diǎn)故障率一致。該結(jié)論很好地驗(yàn)證了此模型的有效性。其中方式2和方式3下的節(jié)點(diǎn)數(shù)量基本一致，且比方式4和方式5下的節(jié)點(diǎn)數(shù)量多，是因?yàn)榍?種方式下的節(jié)點(diǎn)數(shù)量受單節(jié)點(diǎn)故障的影響（單節(jié)點(diǎn)故障是指該節(jié)點(diǎn)故障，而與該節(jié)點(diǎn)直接相連接的所有節(jié)點(diǎn)正常），而后2種方式下的節(jié)點(diǎn)數(shù)量受多節(jié)點(diǎn)同時(shí)故障（節(jié)點(diǎn)同時(shí)故障是指該節(jié)點(diǎn)與其直接相連接的部分或者所有節(jié)點(diǎn)同時(shí)故障）的影響。

6 結(jié)束語

構(gòu)建可信云平臺是云計(jì)算被廣泛應(yīng)用的重要前提，國內(nèi)外研究者對如何構(gòu)建可信云平臺進(jìn)行了深入的研究，取得了重要研究成果。本文針對在可信云平臺中由于TPM的低效性引起的可信節(jié)點(diǎn)管理的性能瓶頸問題，提出了基于TPM聯(lián)盟的可信云平臺的管理模型。該方案與已有方案相比，很好地解決了可信節(jié)點(diǎn)管理的性能瓶頸問題。

[1] 馮登國, 張敏, 張妍. 云計(jì)算安全研究[J]. 軟件學(xué)報(bào), 2011, 22(1): 71-83.

FENG D G, ZHANG M, ZHANG Y. Study on cloud computing security[J]. Journal of Software ,2011, 22(1): 71-83.

[2] GARFINKEL T, PFAFF B, CHOW J. Terra: a virtual machine-based platform for trusted computing[J]. ACM SIGOPS Operating Systems Review, 2003, 37(5): 193-206.

[3] BUTT S, LAGAR-CAVILLA H A, SRIVASTAVA A. Self-service cloud computing[C]//The 2012 ACM Conference on Computer and Communications Security. ACM, c2012:253-264.

[4] MCCUNE J M, LI Y, QU N. TrustVisor: efficient TCB reduction and attestation[C]//Security and Privacy (SP), 2010 IEEE Symposium. c2010:143-158.

[5] TADOKORO H, KOURAI K, CHIBA S. Preventing information leakage from virtual machines’ memory in IaaS clouds[J]. Information and Media Technologies, 2012, 7(4): 1421-1431.

[6] BLEIKERTZ S, BUGIEL S, IDELER H. Client-controlled cryptography-as-a-service in the cloud[C]//Applied Cryptography and Network Security. Springer Berlin Heidelberg, c2013:19-36.

[7] CHEN C, RAJ H, SAROIU S. cTPM: a cloud TPM for cross-device trusted applications[C]//The 11th USENIX Conference on Networked Systems Design and Implementation USENIX Association. c2014: 187-201.

[8] 吳吉義, 沈千里, 章劍林. 云計(jì)算: 從云安全到可信云[J]. 計(jì)算機(jī)研究與發(fā)展, 2011, 48(l): 229-233.

WU J Y, SHEN Q L, ZHANG J L. Cloud computing: cloud security to trusted cloud[J]. Journal of Computer Research and Development, 2011, 48(l): 229-233.

[9] SCHIFFMAN J, MOYER T, VIJAYAKUMAR H. Seeding clouds with trust anchors[C]//The 2010 ACM Workshop on Cloud Computing Security Workshop. ACM, c2010: 43-46.

[10] DAVI L, SADEGHI A R, WINANDY M. Dynamic integrity measurement and attestation: towards defense against return-oriented programming attacks[C]//The 2009 ACM Workshop on Scalable Trusted Computing. ACM, c2009:49-54.

[11] BERGER S, CáCERES R, PENDARAKIS D. TVDc: managing security in the trusted virtual datacenter[J]. ACM SIGOPS Operating Systems Review, 2008, 42(1): 40-47.

[12] BERGER S, CáCERES S, GOLDMAN K. Security for the cloud infrastructure: trusted virtual data center implementation[J]. IBM Journal of Research and Development, 2009, 53(4): 6: 1-6: 12.

[13] SAYLER A, KELLER E, GRUNWALD D. Jobber: automating inter-tenant trust in the cloud[J/OL].http://www.usenix.org/node/174570, 2013.

[14] WU R, ZHANG X, AHN G J. Design and implementation of access control as a service for iaas cloud[J]. SCIENCE, 2013, 2(3): 115-130.

[15] 劉川意, 林杰, 唐博. 面向云計(jì)算模式的運(yùn)行環(huán)境可信性動態(tài)驗(yàn)證機(jī)制[J]. 軟件學(xué)報(bào), 2014, 25(3): 662-674.

LIU C Y, LIN J, TANG B. Dynamic trustworthiness verification mechanism for trusted cloud execution environment[J]. Journal of Software, 2014, 25(3): 662-674.

[16] LI X Y, ZHOU L T, SHI Y. A trusted computing environment model in cloud architecture[C]//Machine Learning and Cybernetics (ICMLC), 2010 International Conference. IEEE, c2010:2843-2848.

[17] ZHANG F, CHEN J, CHEN H. CloudVisor: retrofitting protection of virtual machines in multi-tenant cloud with nested virtualization[C]// The Twenty-Third ACM Symposium on Operating Systems Principles. ACM, c2011:203-216.

[18] SANTOS N, GUMMADI K P, RODRIGUES R. Towards trusted cloud computing[C]//The 2009 Conference on Hot Topics in Cloud Computing. c2009:3.

[19] SANTOS N, RODRIGUES R, GUMMADI K P. Policy-sealed data: a new abstraction for building trusted cloud services[C]//USENIX Security Symposium. c2012:175-188.

[20] 王麗娜, 任正偉, 董永峰. 云存儲中基于可信平臺模塊的密鑰使用次數(shù)管理方法[J]. 計(jì)算機(jī)研究與發(fā)展, 2013, 50(8): 1628-1636.

WANG L N, REN Z W, DONG Y F. A management approach to key-used times based on trusted platform module in cloud storage[J]. Journal of Computer Research and Development, 2013, 50(8): 1628- 1636.

[21] 田俊峰, 吳志杰. 一種可信的云存儲控制模型[J]. 小型微型計(jì)算機(jī)系統(tǒng), 2013, 34(4): 789-795.

TIAN J F, WU Z J. Trusted control model of cloud storage[J]. Journal of Chinese Computer Systems, 2013, 34(4): 789-795.

[22] 張煥國, 陳璐, 張立強(qiáng). 可信網(wǎng)絡(luò)連接研究[J]. 計(jì)算機(jī)學(xué)報(bào), 2010, 33(4): 706-717.

ZHANG H G, CHEN L, ZHANG L Q. Research on trusted network connection[J]. Chinese Journal of Computers, 2010, 33(4): 706-717.

[23] WANG J, ZHAO B, ZHANG H. POSTER: an E2E trusted cloud infrastructure[C]//The 2014 ACM SIGSAC Conference on Computer and Communications Security. ACM, c2014:1517-1519.

[24] 周振吉, 吳禮發(fā), 洪征. 云計(jì)算環(huán)境下的虛擬機(jī)可信度量模型[J]. 東南大學(xué)學(xué)報(bào)(自然科學(xué)版), 2014, 44(1): 45-50.

ZHOU Z J, WU L F, HONG Z. Trustworthiness measurement model of virtual machine for cloud computing[J]. Journal of Southeast University (Natural Science Edition), 2014, 44(1):45-50.

[25] SZYDLO M. Merkle tree traversal in log space and time[C]//Advances in Cryptology-EUROCRYPT 2004. Springer Berlin Heidelberg, c2004:541-554.

Trusted cloud platform management model based on TPM alliance

TIAN Jun-feng, CHANG Fang-shu

(Institute of Network Technology, Hebei University, Baoding 071002, China)

On the basis of trusted computing technology, trusted cloud platform architecture and management model based on the TPM alliance was proposed to solve the performance bottleneck of dynamic management of trusted nodes in the building process of trusted cloud platform. Macro TPM was proposed to solve the capability limitation of TPM, the concept of time-based tree was introduced to organize TPM alliance, addressing the problem of high time cost of nodes management in trusted cloud. It used TPM and authentication encryption technology to solve the trusted transmission problem of data among nodes in TPM alliance, and a management strategy of time-based tree TPM alliance was proposed, including node configuration protocol, node registration protocol, node logout protocol, node state real-time monitor protocol, trusted nodes management network repair protocol, node update protocol. That explains the production algorithm of time-based tree, analyses the effectiveness of the time cost of building trusted node management network and monitoring of node state. The simulation result indicates that the model is efficient, and the time cost in trusted node management can be reduced.

TPM alliance, cloud computing, trusted cloud platform, time-based tree

TP393

A

10.11959/j.issn.1000-436x.2016025

2015-03-18；

2015-06-23

國家自然科學(xué)基金資助項(xiàng)目（No.61170254）；河北省自然科學(xué)基金資助項(xiàng)目（No.F2014201165）；河北省高等學(xué)校科學(xué)技術(shù)研究重點(diǎn)基金資助項(xiàng)目（No.ZH2015088）

The National Natural Science Foundation of China (No.61170254), The Natural Science Foundation of Hebei Province (No.F2014201165), The University of Hebei Province Science and Technology Research Program (No.ZH2015088)

田俊峰（1965-），男，河北保定人，博士，河北大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)樾畔踩?、分布式?jì)算、網(wǎng)絡(luò)技術(shù)、可信計(jì)算、云計(jì)算。

常方舒（1989-），男，河北邯鄲人，河北大學(xué)碩士生，主要研究方向?yàn)榭尚庞?jì)算和云計(jì)算。