集中统一的可信计算平台管理模型
2018-01-03 12:12
274 查看
《集中统一的可信计算平台管理模型研究及其应用》知网论文
http://kns.cnki.net/KCMS/detail/detail.aspx?dbcode=CJFQ&dbname=CJFDLAST2017&filename=XXAQ201704003&uid=WEEvREcwSlJHSldRa1FhcTdWajFuai9HOHBDdWU0d3Y2UkFiTEtTWXp1bz0=$9A4hF_YAuvQ5obgVAqNKPCYcEjKensW4ggI8Fm4gTkoUKaID8j8gFw!!&v=MTc1Njl1WnNGeXZrVzc3UFBUWEtmN0c0SDliTXE0OUZaNFI4ZVgxTHV4WVM3RGgxVDNxVHJXTTFGckNVUkxLZlo=
TCG提出的可信计算平台体系结构相对简单,无法满足日益发展的信息技术,主要的工作是在硬件上引入TPM模块,对建立完整的可信计算环境所需的TSB软件支持,管理支持等研究不够,在管理方案和管理标准方面存在着很多不完善。TCG的管理模型从TPM硬件设备开始,管理是自主/非强制形式的,而且还依赖于支持可信计算技术的基础设施PKI。所以配备了TPM但是没有启用的情况情况很多,或者只是利用TPM设备实现智能卡设备的应用,或者只用TPM硬件,用户没有安装相应的可信管理/应用软件。
TCG 的管理模型可以概括为以平台拥有者(platform owner)为核心,以自主和分散为特点管理模式。在 TCG 规范中没有定义管理者角色,只有平台拥有者概念,平台拥有者具有实施 TPM管理操作的特权。TCG 以支持可信计算的基础设施 PKI 为可信方,设计了一系列 TPM 与可信 CA交互的流程和安全协议,基于此,支持可信计算的 CA 能够为可信计算平台颁发 AIK 证书,通过 TPM 和 CA 的交互获得的 AIK 证书可用于实现可信报告等功能
适用于高安全等级信息系统的集中统一可信管理模型
![](http://i2.51cto.com/images/blog/201801/03/170b910379331f88084d846342017e7b.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
可信平台白名单的生成
可信基线确定的过程主要就是可信平台白名单生成过程,此步骤很关键。由于集中策略管理提供的优势,可由专门的采集平台生成,采集平台采集各可信计算平台需安装的软硬件相关的可执行文件 /硬件特征值的预期值,策略采集后,通过管理接口导入安全管理系统,由系统管理员首先基于系统配置信息对预期值进行审查批准,接着由安全管理员对预期值信息进行进一步的审查批准。最后形成可信计算平台可用的统一的执行控制白名单策略,并通过管理接口下发到各可信主机。
提取逻辑:
(1)确定可信基线需要有可信平台白名单
(2)采集平台采集软监控下的硬硬件的预期值,并一并将采集策略导入安全管理系统
(3)系统管理员继续工作,对这些预期值与实际的系统配置信息进行审查批准
(4)安全管理员对预期值信息进一步审查批准
(5)形成统一的执行控制白名单策略,再将这些策略通过管理接口下发到各个可信主机。
![](http://i2.51cto.com/images/blog/201801/03/4b5e19659aa729d6291794f9c2b9ef89.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
可信基线确定后,系统中所有可信主机都能在管理系统的统一管控下运行。
http://kns.cnki.net/KCMS/detail/detail.aspx?dbcode=CJFQ&dbname=CJFDLAST2017&filename=XXAQ201704003&uid=WEEvREcwSlJHSldRa1FhcTdWajFuai9HOHBDdWU0d3Y2UkFiTEtTWXp1bz0=$9A4hF_YAuvQ5obgVAqNKPCYcEjKensW4ggI8Fm4gTkoUKaID8j8gFw!!&v=MTc1Njl1WnNGeXZrVzc3UFBUWEtmN0c0SDliTXE0OUZaNFI4ZVgxTHV4WVM3RGgxVDNxVHJXTTFGckNVUkxLZlo=
TCG提出的可信计算平台体系结构相对简单,无法满足日益发展的信息技术,主要的工作是在硬件上引入TPM模块,对建立完整的可信计算环境所需的TSB软件支持,管理支持等研究不够,在管理方案和管理标准方面存在着很多不完善。TCG的管理模型从TPM硬件设备开始,管理是自主/非强制形式的,而且还依赖于支持可信计算技术的基础设施PKI。所以配备了TPM但是没有启用的情况情况很多,或者只是利用TPM设备实现智能卡设备的应用,或者只用TPM硬件,用户没有安装相应的可信管理/应用软件。
TCG 的管理模型可以概括为以平台拥有者(platform owner)为核心,以自主和分散为特点管理模式。在 TCG 规范中没有定义管理者角色,只有平台拥有者概念,平台拥有者具有实施 TPM管理操作的特权。TCG 以支持可信计算的基础设施 PKI 为可信方,设计了一系列 TPM 与可信 CA交互的流程和安全协议,基于此,支持可信计算的 CA 能够为可信计算平台颁发 AIK 证书,通过 TPM 和 CA 的交互获得的 AIK 证书可用于实现可信报告等功能
适用于高安全等级信息系统的集中统一可信管理模型
![](http://i2.51cto.com/images/blog/201801/03/170b910379331f88084d846342017e7b.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
可信平台白名单的生成
可信基线确定的过程主要就是可信平台白名单生成过程,此步骤很关键。由于集中策略管理提供的优势,可由专门的采集平台生成,采集平台采集各可信计算平台需安装的软硬件相关的可执行文件 /硬件特征值的预期值,策略采集后,通过管理接口导入安全管理系统,由系统管理员首先基于系统配置信息对预期值进行审查批准,接着由安全管理员对预期值信息进行进一步的审查批准。最后形成可信计算平台可用的统一的执行控制白名单策略,并通过管理接口下发到各可信主机。
提取逻辑:
(1)确定可信基线需要有可信平台白名单
(2)采集平台采集软监控下的硬硬件的预期值,并一并将采集策略导入安全管理系统
(3)系统管理员继续工作,对这些预期值与实际的系统配置信息进行审查批准
(4)安全管理员对预期值信息进一步审查批准
(5)形成统一的执行控制白名单策略,再将这些策略通过管理接口下发到各个可信主机。
![](http://i2.51cto.com/images/blog/201801/03/4b5e19659aa729d6291794f9c2b9ef89.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
可信基线确定后,系统中所有可信主机都能在管理系统的统一管控下运行。
相关文章推荐
- 分布式配置管理平台VS统一集中配置管理
- C#.NET 大型企业信息化系统集成快速开发平台 4.2 版本 - 几十套业务系统集中统一授权管理实现经验分享
- 华为FusionSphere概述——计算资源、存储资源、网络资源的虚拟化,同时对这些虚拟资源进行集中调度和管理
- 云计算平台管理的三大利器Nagios、Ganglia和Splunk
- 统一资源管理与调度平台(系统)介绍
- 【PDF下载】大数据峰会之PAI分布式机器学习平台计算模型演进之路
- 统一资源管理与调度平台(系统)介绍
- 统一资源管理与调度平台(系统)介绍
- 7月21日云栖精选夜读:阿里高级专家应答:各种数据在一个统一计算平台上的融合_才能产生更大的价值
- 第3章 软件安装、配置、运行方法--统一项目管理平台(UMPlatForm.NET)
- Kubernetes Fluentd+Elasticsearch+Kibana统一日志管理平台搭建的填坑指南
- 产品研发过程常见问题1:缺乏统一的管理平台
- 云计算平台管理的三大利器Nagios、Ganglia和Splunk
- NC外部统一流程管理平台方案
- 统一项目管理平台(UMPlatForm.NET)产品用途
- PLUTO平台是由美林数据技术股份有限公司下属西安交大美林数据挖掘研究中心自主研发的一款基于云计算技术架构的数据挖掘产品,产品设计严格遵循国际数据挖掘标准CRISP-DM(跨行业数据挖掘过程标准),具备完备的数据准备、模型构建、模型评估、模型管理、海量数据处理和高纬数据可视化分析能力。
- 云方案,依托H3C彩虹云存储架构,结合UIA统一认证系统,实现了用户数据的集中存储和管理
- 无信任链可信计算模型与可信虚拟化云计算数据中心解决方案