[发明专利]一种面向多云网络架构的信任关系建立方法

说明书

本发明公开了一种面向多云网络架构的信任关系建立方法，所有服务器均配置硬件可信平台模块或虚拟可信平台模块，在可信启动阶段基于SM3算法建立信任链；CRAS对DRAS发起验证，然后由DRAS对物理服务器进行验证，物理服务器按照环形验证方式对云服务器进行验证；最终由CRAS对分布式云的所有服务器关键证据信息一次性验证，综合整个验证过程得出该分布式云的可信状态，若可信则信任关系建立成功。本发明提供了分层次的信任建立方法，能够减轻由某台服务器单独完成验证带来的工作负担，有效使用可信计算技术以检出对系统中关键组件的篡改行为，使得多云网络架构中不同云之间能够从系统上电开始到运行时的状态建立完整的信任关系。

技术领域

本发明涉及云计算和可信计算领域，具体为一种面向多云网络架构的信任关系建立方法。

背景技术

随着5G标准的规范化和2019年开始在全球范围内的商业应用，6G也迅速成为了研究热点。为了满足大规模组网下的海量连接，实现资源、路由、功能、业务的分布式管理，覆盖全球的卫星、天空、陆地、海等应用场景，6G网络的分布式管理部署是必然趋势，多云网络架构将在其中发挥较大的应用价值。

多云网络架构能够更好地管理同构或异构网络，随着信息技术的发展，未来还将和大数据、AI等技术结合，并实现云和网络的融合。尽管云计算技术日趋成熟，但其面临的安全问题仍然不容小觑，尤其是虚拟化技术存在的安全威胁包括权限提升、非法访问等势必会带来较大安全风险。传统的防火墙、病毒查杀、入侵检测等技术已经难以应对复杂网络环境下的攻击行为，服务提供商必须有能力验证其基础设施是否真实可信。只有从源头上保证基础架构的安全可信，才能避免或降低遭到攻击带来的损失。

同时在多云网络架构中，多家云服务提供商参与是发展趋势，这将涉及多个云之间的信任关系如何建立。现有的研究中大多利用声誉、服务质量、反馈评级等指标建立信任评估模型，其存在的弊端是完全依赖历史行为，一旦发生了攻击行为一时难以作出响应。而可信计算技术具备度量、存储、报告的特性，提供如可信启动、远程证明、完整性检查和加解密等安全功能。能够通过可信启动和远程证明等技术保证系统上电启动到运行时行为的完整性，一旦发生对关键组件的篡改行为将被发现，及时避免对系统带来较大的损失。

发明内容

针对多云网络架构存在虚拟化安全风险、多个云环境的信任关系难以建立的问题，本发明的目的在于提供一种面向多云网络架构的信任关系建立方法，以解决多个云之间的弱信任问题。

一种面向多云网络架构的信任关系建立方法，包括以下步骤：

步骤1：云中所有服务器都通过可信启动的方式完成对系统关键组件的度量，并将结果扩展到可信平台模块或虚拟可信平台模块的SM3 PCR寄存器中；

步骤2：集中式云的远程证明服务器通过通信模块向分布式云的远程证明服务器发起远程证明请求，分布式云内部由分布式云的远程证明服务器对所有物理服务器发起证明请求；

步骤3：分布式云中的物理服务器按照环形验证方式对另一台物理服务器上所有的云服务器进行完整性验证；

步骤4：集中式云的远程证明服务器通过跨云间的通信方式获取分布式云的所有服务器关键证据的聚合结果，一次性完成对所有服务器的完整性验证；同时根据整个验证过程得到的结果，确定能否建立与分布式云之间的信任关系。

进一步的，所述步骤1具体为：

步骤1.1：物理服务器配置支持SM3算法的硬件可信平台模块，云服务器配置支持SM3算法的虚拟可信平台模块，在系统上电时基于SM3算法实现可信启动，将关键组件BIOS和Grub的度量结果扩展至寄存器的SM3 PCR bank中，实现服务器自身信任链的建立；

步骤1.2：对于物理服务器，需要度量虚拟机监视器、虚拟可信平台模块模拟软件和BIOS模拟软件，并将度量结果存入TPM的SM3 PCR 11号寄存器中。