本发明专利技术涉及多核处理器的计算环境中实现TMP的方法及其系统,包括:步骤1,计算环境中的节点在启动时,允许处理器的一个核工作,所述核运行高权限操作系统,所述处理器的其他核处于休眠状态;步骤2,所述工作的核进入正常工作状态后,写入TPM函数,形成用以实现TPM的功能的TPM模拟器;步骤3,所述处于休眠状态的核开始工作运行普通操作系统,由所述高权限操作系统为所述普通操作系统的启动提供TPM安全服务。本发明专利技术能够在系统中不存在TPM安全芯片的情况下,为系统的启动及后续应用的加载提供可信服务的能力。
【技术实现步骤摘要】
本专利技术涉及计算机安全领域,尤其涉及多核处理器的计算环境中实现TMP的方法 及其系统。
技术介绍
在当今的信息时代,保护信息的私密性、完整性、真实性和可靠性,提供一个可信 赖的计算环境已经成为信息化的必然要求。为此,必须做到终端的可信,从源头解决人与程 序、人与机器还有人与人之间的信息安全传递,进而形成一个可信的网络,建立一个安全的 可信链。为了解决计算机和网络结构上的安全性,从根本上提高其可信性,必须从芯片、硬 件结构和操作系统等方面综合采取措施。在现有技术中,应用TPM(Trusted Platform Module,可信赖平台模块)芯片来保 证系统的安全性,但是,就目前可信计算以及TPM芯片还处于起始阶段,同时由于在相关标 准上的理解不同,造成当前已有的产品在实际实现上存在一定的差异。其中,TPM安全芯片,是指符合TPM标准的安全芯片,实质是一个可独立进行密钥 生成、加解密的装置,内部拥有独立的处理器和存储单元,可存储密钥和敏感数据,为各种 计算平台提供完整性度量、数据安全保护和身份认证服务,通过完整性度量、身份验证、数 据加密等功能,它能有效地保护PC、防止非法用户访问。此外,伴随当前虚拟化技术、云计算等技术的提出和发展,更多的企业开始使用虚 拟化技术,并将其应用在企业内部的数据中心中,以解决数据的安全问题。当前Amazon、 Google相继提出了各自的云计算模型,但其主要关注于数据存储或应用服务的提供,而对 系统的可靠性、可信性没有提出相应解决方案,尤其是对于系统内部机器之间的可信控制 等行为。同时,由于虚拟化技术的发展日趋成熟,提出虚拟计算环境中的可信问题,尤其是 虚拟环境下,数据中心的安全性和可信性问题将变得日益突出。现有技术中,对于TPM芯片,其中基于Linux系统模拟的TPM Emulator (TPM仿真 器),用C语言实现了 TPM的功能,供安装后的系统使用,但是其仅在于辅助模拟TPM,并没 有基于可信根实现系统的可信,故不能很好的解决实际面临的问题。在当前虚拟化技术Xen中的可信计算模型中,每一个DomO均有一个VTPM (虚拟 TPM)管理器负责管理本节点上虚拟机的TPM实例。如图1所示,VTPM管理器将创建(spawn) 一个线程监听来自Xen中操作信息,当节点创建一个虚拟机时,VTPM管理器将先为该虚拟 机创建一个后端的VTPM实例,该VTPM管理器将模拟真实环境下TPM芯片或TPM仿真器的 行为,为对应的虚拟机提供对本机器内部应用的验证服务。虚拟机的自验证过程中需要与 VTPM管理器进行通信,最终由底层硬件TPM芯片或TPM仿真器加以服务。可信计算技术,依赖于硬件TPM芯片来构造一个可信的计算机系统,并且还涉及 BIOS对该技术的支持以及相关硬件上的改进等。但是目前正在使用中的大部分系统,在设 计之初并没有考虑到与可信计算的结合,第一是因为BIOS并不支持该技术,第二是因为没 有针对TPM芯片的接口。但是这些系统的可信需求并没有因此二减少,相反,更应该利用已有的条件来使这些系统达到我们期望的可信状态。
技术实现思路
为解决上述问题,本专利技术提供了多核处理器的计算环境中实现TMP的方法及其系 统,本专利技术能够在系统中不存在TPM安全芯片的情况下,为系统的启动及后续应用的加载 提供可信服务的能力。本专利技术公开了一种多核处理器的计算环境中实现TMP的方法,包括步骤1,计算环境中的节点在启动时,允许处理器的一个核工作,所述核运行高权 限操作系统,所述处理器的其他核处于休眠状态;步骤2,所述工作的核进入正常工作状态后,写入TPM函数,形成用以实现TPM的功 能的TPM模拟器;步骤3,所述处于休眠状态的核开始工作运行普通操作系统,由所述高权限操作系 统为所述普通操作系统的启动提供TPM安全服务。所述计算环境为虚拟化计算环境,所述方法还包括步骤21,采用Xen对节点进行虚拟化。所述步骤21后还包括步骤31,计算环境中的一个虚拟机形成一个VTPM管理器;步骤32,所述VTPM管理器创建一个线程监听Xen中操作;步骤33,当节点创建一个虚拟机时,所述VTPM管理器为所述虚拟机创建一个VTPM 实例;步骤34,所述VTPM实例通过同所述TPM模拟器通信为虚拟机提供TPM服务。所述方法还包括步骤41,将所述节点同前端代理连接;步骤42,VTPM管理器生成平台配置信息,发送给所述前端代理;步骤43,所述前端代理接收所述平台配置信息,并存储到平台配置信息表中;步骤44,当客户端请求访问时,从所述平台配置信息表中查找同所述客户端访问 相关的虚拟机的平台配置信息,发送给所述客户端。所述方法还包括步骤51,虚拟机的网卡通过虚拟接口连接到虚拟网桥;步骤52,节点的隔离器检测所述节点上是否有新的虚拟机创建,如果有,执行步骤 53 ;步骤53,隔离器获取虚拟机的MAC地址和虚拟机的类型,根据所述虚拟机类型制 定对应隔离规则,将所述隔离规则添加到链路过滤表中;步骤M,在节点接收到数据包时,根据所述链路过滤表中隔离规则,将所述数据包 转发给虚拟机。所述步骤M后还包括步骤61,所述节点将新创建的虚拟机的MAC地址和类型广播给其他节点的隔离 器;步骤62,所述其他节点的隔离器接收到广播的MAC地址和类型,根据节点的本地 存储的虚拟机的信息,制定隔离规则,将隔离规则添加到本地的链路过滤表中;步骤63,在节点接收到数据包时,根据所述链路过滤表中隔离规则,将所述数据包 转发给虚拟机。所述方法还包括步骤71,虚拟机启动后,查看虚拟机本地的网络配置信息获得IP地址和子网掩 码,计算出虚拟机所述的子网地址,将子网地址的信息发给虚拟机的虚拟隔离器;步骤72,所述虚拟隔离器根据收到的子网地址信息制定相应的过滤规则,将所述 过滤规则存储到网络过滤表中;步骤73,在虚拟机接收到IP包时,根据所述网络过滤表中隔离规则,处理所述IP包。所述步骤73还包括步骤81,虚拟机向本地网络广播请求消息,请求获取所在所述节点的虚拟机的网 络地址信息;步骤82,将获取的网络信息添加到网络过滤表中。本专利技术还公开了一种多核处理器的计算环境中实现TMP的系统,包括节点,所述节点,用于在启动时,允许处理器的一个核工作,所述核运行高权限操作系 统,所述处理器的其他核处于休眠状态;所述工作的核进入正常工作状态后,写入TPM函数,形成用以实现TPM的功能的 TPM模拟器;所述处于休眠状态的核开始工作运行普通操作系统,由所述高权限操作系统为所 述普通操作系统的启动提供TPM安全服务。所述计算环境为虚拟化计算环境,所述节点还用于采用Xen对所述节点进行虚拟化。所述系统还包括VTPM管理器,计算环境中的一个虚拟机形成一个VTPM管理器;所述VTPM管理器,用于创建一个线程监听Xen中操作;当节点创建一个虚拟机时, 为所述虚拟机创建一个VTPM实例;所述VTPM实例通过同所述TPM模拟器通信为虚拟机提 供TPM服务。所述系统还包括同节点连接的前端代理;所述VTPM管理器还用于生成平台配置信息,发送给所述前端代理;所述前端代理,用于接收所述平台配置信息,并存储到平台配置信息表中;当客户 端请求访问时,从所述平台配置信息表中查找同所述客户端访问相关的虚拟机的平台配置 信本文档来自技高网...
【技术保护点】
1.一种多核处理器的计算环境中实现TMP的方法,其特征在于,包括:步骤1,计算环境中的节点在启动时,允许处理器的一个核工作,所述核运行高权限操作系统,所述处理器的其他核处于休眠状态;步骤2,所述工作的核进入正常工作状态后,写入TPM函数,形成用以实现TPM的功能的TPM模拟器;步骤3,所述处于休眠状态的核开始工作运行普通操作系统,由所述高权限操作系统为所述普通操作系统的启动提供TPM安全服务。
【技术特征摘要】
【专利技术属性】
技术研发人员:徐东,杜磊,张凯,孙毓忠,
申请(专利权)人:中国科学院计算技术研究所,
类型:发明
国别省市:11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。