56、云计算安全中的可信计算技术与解决方案

云计算安全中的可信计算技术与解决方案

1. 完整性测量架构

在云计算安全领域，完整性测量是保障系统可靠性的重要环节。由于扩展过程的特性，无法从 PCR 的当前内容反向推导出存储值列表，因此建议记录每个完整性测量值。TCG 的规范与操作系统无关，未明确如何处理这些测量值，一种解决方案是将其存储在 PCR 中，但可能需要更复杂的管理。

1.1 IMA 架构介绍

IMA（Integrity Measurement Architecture）是一种先进的静态测量机制，它无需对 Linux 操作系统进行修改，自 2.6.0 版本起就已集成到内核中，是最受认可的符合 TCG 标准的解决方案之一。IMA 将 TCG 的信任测量概念扩展到从 BIOS 到应用层的动态可执行内容，为将符合 TC 的系统引入实际场景迈出了重要一步。通过现有的通用硬件和操作系统，IMA 能够提供强大的信任保证，验证者可以了解被验证平台加载了哪些可执行文件和模块，且无需新的 CPU 模式或操作系统，仅需如 TPM 这样的独立可信实体。

1.2 IMA 工作流程

• 测量启动 ：激活 IMA 后，它会根据给定策略的标准开始测量所有访问的文件。策略可以通过内核命令行参数 ima_tcb 自动设置，也可以在用户空间将所有语句写入 securityfs 文件系统中的特殊文件 policy 。
• 摘要计算 ：在被测量组件控制平台之前计算每个摘要，确保测量结果不会被组件本身篡改。