[发明专利]安全云计算的系统和方法

说明书

技术领域

本发明一般地涉及云计算，更为具体而言，涉及用于安全云计算的改进系统和方法。

背景技术

云计算供应商将计算基础设施作为完全外包业务来交付，使公司能够通过仅为公司所使用的内容向供应商付费而减小在硬件、软件和支持服务上的资本支出。

云计算服务可以在软件栈的各种层处被提供。在底层，基础设施即服务（laaS）系统允许用户访问由供应商主控的整个虚拟机（VM），并且用户负责提供在VM内运行的整个软件栈。在高层，软件即服务（SaaS）系统提供可直接由用户执行的在线应用。

尽管其有优点，但云计算引起安全担心，因为用户仅有有限手段来确保其数据和计算的保密性和完整性。云计算服务的用户对恶意供应商或同样供应商的恶意用户特别脆弱。

为了增加同给定计算机平台的通信相关的安全性以及信赖度，硬件安全模块（Hardware Security Module：HSM）已用于实现可信平台的构建。HSM是典型地附加于计算机主板上的协处理器。其能够将密钥和其他敏感数据创建并且存储在其受屏蔽的存储器中，并且为平台软件提供路径来使用这些服务以实现安全目的。今天使用的流行的HSM是可信处理模块（Trusted Processing Module：TPM），如由可信计算组（TCG）所规定的那样。

虽然已提出了按TPM标准建立的多个不同的分布式计算架构，但云计算空间中的安全担忧依然持续存在。

发明内容

概述而言，安全云计算的方法包括：在可信计算云内的计算机处：执行与客户端相关的虚拟机（VM）；获取VM的映像，该映像包括状态信息；布置该映像的存储；确定该映像的新颖散列（freshness hash）；并且将该映像的新颖散列发送给客户端。该方法可以进一步包括：在该计算机处，停止VM的执行；并且在该计算机处或在可信计算云内的不同计算机处：检索所存储的映像；确定所检索的映像的新颖散列；将所检索的映像的新颖散列发送给客户端；以及从客户端接收指示检验所检索的映像的新颖散列的完整性。

本发明的其他方面和特征在审视结合附图对本发明的具体实施例的以下描述时对于本领域技术人员而言变得清楚。

附图说明

在仅通过实例示出本发明的实施例的附图中：

图1是根据一个实施例的用于提供安全云计算的系统的示意图；

图2是图1的系统的可信平台的简化框图；

图3是图1的系统的用户计算机的简化框图；

图4是图2的可信平台的硬件安全模块的简化框图；

图5是图1的系统的共用存储装置的简化框图；

图6是根据一个实施例的在可信云注册用户计算机的示意图；

图7是根据一个实施例的在可信平台上注册虚拟机的程序图；

图8是根据一个实施例的用于提供注册过的虚拟机以在可信平台上执行的程序图；

图9是根据一个实施例的用于验证在可信平台上执行的虚拟机的新颖的程序图；

图10是根据一个实施例的用于停止在可信平台上执行的虚拟机的执行的程序图；

图11是根据另一实施例的用于提供安全云计算的系统的示意图。

具体实施方式

图1示出了本公开内容的一个实施例的示例性的安全云计算系统100的示意图。系统100包括多个用户计算机100a-100c，所述用户计算机经由网络105耦合到可信云计算供应商（“TCC provider”）的基础设施128上。网络105可以是局域网（LAN）、广域网（WAN）、英特网或不同网络的组合。基础设施128包括管理平台（AP）122、共用存储装置126和可信计算云（TCC）120。TCC 120包括多个可信平台计算机124a-124c。

在图2中示出了可信平台124a-124c的一个实施例。如所示，可信平台124包括平台硬件206、虚拟机监控器（VMM）208和多个虚拟机（VM）210a-210c。

平台计算机124（图2）可以实施为计算装置，其具有针对攻击的标准保护。平台计算机124的装置实施为TCC供应商呈现受限的接口，受限的接口允许配置平台计算机124用以集成到基础设备128中。允许TCC供应商破坏VMM 208或VM 210的完整性或保密性的能力可以被禁用并且排除在装置接口之外。

平台硬件206包括处理器201、存储器202、存储装置203、网络接口205和硬件安全模块（HSM）204。