OpenStack中的可信計算池的實現位於Nova項目,通過在Fmerscheduler(過濾調度器)中加入一個新的過濾器TmstedFilter,並與外部的一個認證服務進行交互來挑選出所有可信的主機,從而找到滿足客戶可信需求的目標主機環境來創建用戶實例。
1.OpenStack中的可信硬件平台
根據圖11-7的可信結構圖,可信計算的基礎是可信硬件平台,目前的OpenStack的可信計算是基於Intel在Openstack Essex版本時提出了可信計算池的特性,基於Intel TXT(可信執行技術)。
Intel TXT技術首先出現在Intel博銳系列商用台式機平台上,現在己經擴展到服務器平台,它可以幫助防禦通常相對較難應付的軟件攻擊,比如:
·嘗試插入不可信的虛擬機監控器(rootkit)。
·專門用於獲取內存中秘密信息的重置攻擊。
·BIOS及固件更新攻擊等。
基於TXT的可信啟動可以幫助加強對平台的控制,具體如下:
·在啟動過程啟用隔離和檢測篡改。
·補充運行時保護。
·降低支持和補救成本。
·通過基於硬件的信任增加合規保證。
·為安全和策略應用提供信任狀態來控制工作負載。
基於TXT的平台同時集成了如下組件提供可信啟動,這些組件包括:
·支持TXT技術和虛擬化技術的處理器。
·支持設備虛擬化技術的芯片組。
·可信平台模塊。
·支持TXT和TPM的BIOS,其中必須包含Intel公司專門為TXT編寫並簽名的己驗證代碼模塊(ACMs)。
·支持TXT的操作系統和VMM。
2.OpenStack中的可信認證
OpenStack在F版本後添加了OpenAttestation,來實現可信計算認證。其可信認證過程提供了將可信啟動後的系統完整性度量值與白名單進行比較的能力。可信認證可以識別系統的可信狀態,為滿足可視和可審查的需求提供幫助。
可信認證定義了3個主要實體:管理工具、認證服務和物理主機。
認證的流程如下
1)管理工具向認證服務發起認證請求。
2)認證服務生成一個隨機數,發送給指定物理主機,並請求完整性報告。
3)物理主機的工作如下。
·通過本地TPM模塊生成/裝載認證專用密鑰(AIK)。
·取得由CA頒發的認證專用證書(AIc)。
·調用TPM模塊的Quote命令,生成以AIK為簽名密鑰的指定PCR集合的簽名信息。
·生成度量日誌。
·將由簽名信息、度量日誌和AIc組成的完成性報告發回認證服務。
4)認證服務具體如下。
·驗證AIc的合法性。
·驗證Quote簽名信息。
·通過白名單驗證PCR集合的可信狀態。
·選擇性驗證度量日誌的內容。
·將認證結果發回管理工具:指定物理主機可信/不可信。
OpenAttestation(OAT)開源項目使用TCG定義的遠程認證協議,實現了標準的基於TPM的可信認證流程,為雲計算及企業數據中心管理工具提供管理主機完整性驗證的SDK。
通過基於Intel TXT的可信硬件平台,OpenStack通過OpenAttestation實現了可信計算認證,這樣就可以在雲計算中實現可信計算池,滿足那些對安全等級高的雲租戶要求其應用或虛擬機必須運行在驗證為可信的計算節點之上來保證運行環境的可信。