RepCloud之云中TCB认证

2024-04-22 03:32
文章标签 认证 云中 tcb repcloud

本文主要是介绍RepCloud之云中TCB认证,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

将数据和计算外包给云提供商时,云提供商有必要向用户生成证据,以验证他们所宣传的服务和安全机制是否得到了实际执行,其中第一步就是证明云中TCB的可靠性。由于一方不能简单地声称自己的可信,因此需要引入可信第三方(TTP)来生成该证据。

TCG建议将平台附加到TPM上,TPM可以真正记录并报告平台的配置,TPM的防篡改特性及其植入的加密协议使其能够充当专用于此平台的TTP。用户可以使用它生成的信任证据对平台执行远程认证,以确定其真正的配置。在我们明确定义用户的TCB之后,以分散的方式管理云中应用程序的信任状态,以实现细粒度的动态云中TCB的标识和认证,利用RepCloud管理IaaS云中的TCG信任,通过监测节点间的直接通信和执行分散认证,可以动态确定TCB,并不断更新其信任状态,实现对云中应用程序的细粒度认证,用户可以使用这些认证来确定可能影响虚拟机真正功能的确切节点的安全属性。

RepCloud的云中TCB认证能够帮助用户确定以下三点:1.承载虚拟机的节点的核心TCB是可信的(如预期的);2.这些节点所依赖的节点是可信的;3.可以推断出这种可信赖性的可信程度。

对云中应用程序的TCB执行远程认证需要考虑三个步骤:

证明入口

在RepCloud中,通过分散的本地认证和信任的聚合、传播,节点在信任网络中受到约束,可以有效地识别“腐败”和“欺骗”,在这种情况下,可以选择一个或多个承载用户虚拟机的节点作为这个信任网络的入口。用户或受信任的第三方(TTP)可以首先证实这个入口,从而可以推断出整个网络的可信度,同时验证了RepCloud机制的完整性。

检查TCB

对入口的LTV(Local Trust Vector)和GTM(Global Trust Metric)进行检查,以确保其TCB中的每个节点在一定的时间内都是可信的,由于所有表示属性的认证票据都可以在GTM中找到,因此基于属性的认证可以进一步用于保护云基础设施的隐私。

评估COT

入口节点的COT(Confidence of Trust)作为评价其TCB中节点COT的参考值,可以根据用户的需求、提供者的SLA或TTP的标准确定更有意义的引用COT的值,还可以为特定节点(例如集群控制器)定义预信任,以更好地反映云的体系结构。由于入口的信度刚刚得到验证,因此具有较高COT值的节点也可以被认为是可信的。另一方面,由于TCB中对节点的信任依赖程度不同,可以对每个节点的COT施加权。对于低COT值的节点,可以通过入口触发额外的本地认证,这个新触发的本地认证可以在目标节点验证成功后增加COT值,或者报告错误节点,当错误节点被修复后(例如重新初始化),它们将被赋予新的身份(例如新的AIK),并被视为新的节点,在这种情况下,以前状态的COT值将自动递减。还可以使用本地认证来评估COT值,以提高信任传播效率,同时为某些节点保留一定程度的认证频率。

RepCloud实现了细粒度的云TCB认证,可以识别和动态管理虚拟机的有效云TCB,并使认证具有更高的信任级别,在信任聚集和传播的支持下,总体认证开销减少了,同时实现了低水平的状态更改发现延迟。

在RepCloud中,首次提出的基于图算法的可信证实协议,为Leviatom与HCGraph奠定了理论基础,任何想要加入Trias的节点都必须要经过我们对其TCB的认证,对节点准入TCB的严格高标准,构建了安全可信的Trias生态环境。

这篇关于RepCloud之云中TCB认证的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/924722

相关文章

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

【Shiro】Shiro 的学习教程(二)之认证、授权源码分析

目录 1、背景2、相关类图3、解析3.1、加载、解析阶段3.2、认证阶段3.3、授权阶段 1、背景 继上节代码,通过 debug 进行 shiro 源码分析。 2、相关类图 debug 之前,先了解下一些类的结构图: ①:SecurityManager:安全管理器 DefaultSecurityManager: RememberMeManager:实现【记住我】功能

OpenStack离线Train版安装系列—3控制节点-Keystone认证服务组件

本系列文章包含从OpenStack离线源制作到完成OpenStack安装的全部过程。 在本系列教程中使用的OpenStack的安装版本为第20个版本Train(简称T版本),2020年5月13日,OpenStack社区发布了第21个版本Ussuri(简称U版本)。 OpenStack部署系列文章 OpenStack Victoria版 安装部署系列教程 OpenStack Ussuri版

OpenStack Victoria版——3.控制节点-Keystone认证服务组件

3.控制节点-Keystone认证服务组件 更多步骤:OpenStack Victoria版安装部署系列教程 OpenStack部署系列文章 OpenStack Victoria版 安装部署系列教程 OpenStack Ussuri版 离线安装部署系列教程(全) OpenStack Train版 离线安装部署系列教程(全) 欢迎留言沟通,共同进步。 文章目录 创建key

win10系统下openssl证书生成和单向认证

文章目录 前言一、安装openssl二、创建证书目录和必要文件1、创建sslcertTest文件夹2、创建openssl.cnf文件3、创建必要文件 三、创建密钥和证书1、创建根证书私钥ca.key2、创建根证书请求文件ca.csr3、创建自签根证书ca.crt4、创建服务端私钥server.key5、创建服务端证书请求文件server.csr6、创建自签服务端证书server.crt 四、

亚信安慧AntDB数据库与华为DPA数据保护一体机完成兼容性互认证,共筑数据安全与效率新高地

近日,湖南亚信安慧科技有限公司(简称“亚信安慧”)与华为技术有限公司(简称“华为”)完成了亚信安慧AntDB数据库与华为DPA数据保护一体机兼容性互认证。 图1:华为DPA数据保护一体机兼容性互认证 亚信安慧AntDB数据库作为领先的数据库解决方案提供商,专注于数据库产品的研发与创新,以其卓越的性能和稳定性,服务于超数亿用户,连续十年无故障运行。亚信安慧AntDB数据库的云原生分布式架

强化网络安全:通过802.1X协议保障远程接入设备安全认证

随着远程办公和移动设备的普及,企业网络面临着前所未有的安全挑战。为了确保网络的安全性,同时提供无缝的用户体验,我们的 ASP 身份认证平台引入了先进的 802.1X 认证协议,确保只有经过认证的设备才能接入您的网络。本文档将详细介绍我们的平台如何通过 802.1X 协议实现高效、安全的远程接入认证。 产品亮点 1. 无缝集成 我们的 ASP 身份认证平台支持无缝集成到现有的网络基础设施中

当网工,华为认证哪种适合我?四个维度来解惑

随着网络技术的不断进步,对网工的专业技能要求也越来越高。 在这种背景下,获得权威认证成为了提升个人技能、证明专业能力的重要途径。 华为,作为全球领先的ICT解决方案提供商,其认证项目在业界享有极高的声誉。 华为认证不仅涵盖了网络技术的各个方面,还根据不同的技能水平和职业发展阶段,提供了不同级别的认证,包括HCIA、HCIP、HCIE。 这些认证不仅有助于网络工程师提升自己的技术水平,也是企业在招聘

用户认证中的有状态和无状态

背景         我们在系统设计的时候,用户的认证是最基本也是最重要的功能了。我们常见的方案,就是将用户的认证信息保存到 session 里面。由于近年来微服务的快速兴起,一种 JWT 的认证方式出现在了大众的眼中。在单体服务的时代,很多系统设计的都是有状态的服务。随着微服务的出现,大多数系统设计的时候,都开始考虑无状态服务了。那它们的唯一区别,就是服务端是否会保存客户端的信息。简而言之