技術(shù)領(lǐng)域

本發(fā)明及計(jì)算機(jī)桌面云技術(shù)領(lǐng)域，具體為一種構(gòu)建桌面云虛擬可信安全墻的方法。

背景技術(shù)

1983年美國(guó)國(guó)防部制定了世界上第一個(gè)《可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則》TCSEC。在TCSEC中第一次提出可信計(jì)算機(jī)和可信計(jì)算基TCB的概念，并把TCB作為系統(tǒng)安全的基礎(chǔ)。1999年，IBM、HP、Intel、微軟等著名IT企業(yè)發(fā)起成立了可信計(jì)算平臺(tái)聯(lián)盟TCPA。國(guó)內(nèi)也有可信服務(wù)器、可信安全網(wǎng)關(guān)等相關(guān)的應(yīng)用產(chǎn)品。并在國(guó)網(wǎng)電科院進(jìn)行了實(shí)驗(yàn)性質(zhì)的應(yīng)用，目前可信計(jì)算已經(jīng)成為世界信息安全領(lǐng)域的一個(gè)新潮流，并提出了“安全即服務(wù)”的理念。

目前，桌面云是可以通過客戶端或者其他任何與網(wǎng)絡(luò)相連的設(shè)備來訪問跨平臺(tái)的應(yīng)用程序。桌面云改變了過去分散、獨(dú)立的桌面系統(tǒng)環(huán)境，通過集中部署，IT人員在數(shù)據(jù)中心就可以完成所有的管理維護(hù)工作。桌面云的用戶桌面環(huán)境都是托管在企業(yè)的數(shù)據(jù)中心，本地終端只是一個(gè)顯示設(shè)備而已。隨著用戶規(guī)模增長(zhǎng)，海量虛擬桌面環(huán)境的安全管理成為嚴(yán)峻的挑戰(zhàn)。傳統(tǒng)安全軟件部署方式自動(dòng)化程度低，用戶桌面安全粒度粗放，管理人員難以跟進(jìn)不同的組織、不同用戶的個(gè)性需求進(jìn)行精細(xì)化IT安全管理。

發(fā)明內(nèi)容

本發(fā)明所解決的技術(shù)問題在于提供一種為每個(gè)虛擬桌面構(gòu)建一個(gè)虛擬可信安全墻，使得安全墻具備隨桌面動(dòng)態(tài)遷移的能力，實(shí)現(xiàn)“安全即服務(wù)”的目標(biāo)，適合于企業(yè)運(yùn)營(yíng)監(jiān)控等對(duì)安全性和實(shí)時(shí)性要求較高的應(yīng)用，以解決上述背景技術(shù)中的缺點(diǎn)。

本發(fā)明所解決的技術(shù)問題采用以下技術(shù)方案來實(shí)現(xiàn)：

一種構(gòu)建桌面云虛擬可信安全墻的方法，本發(fā)明中以TCM為可信根，將安全墻信任鏈和基礎(chǔ)信任鏈一起形成二維信任鏈，并實(shí)現(xiàn)虛擬可信安全墻隨虛擬桌面的同步遷移，構(gòu)建二維信任鏈，通過二維信任鏈把信任關(guān)系從信任根擴(kuò)展到整個(gè)桌面云系統(tǒng)。

在本發(fā)明中，所述基礎(chǔ)信任鏈包括：TCM可信根、BIOS、MBR、OS Loader、OS Kernel、Service/Application、虛擬安全墻管理中心。

在本發(fā)明中，所述安全墻信任鏈包括：以虛擬安全墻管理中心為根，負(fù)方向指向桌面接入服務(wù)，正方向首先指向虛擬安全墻、再指向桌面接入服務(wù)和虛擬桌面應(yīng)用，通過二維信任鏈把信任關(guān)系從信任根擴(kuò)展到整個(gè)桌面云系統(tǒng)。

本發(fā)明中，虛擬可信安全墻隨虛擬桌面的同步遷移，當(dāng)桌面云的負(fù)載發(fā)生變化，隨著虛擬桌面的遷移，虛擬可信安全墻要同步進(jìn)行遷移。

虛擬可信安全墻體系結(jié)構(gòu)，包括可信基礎(chǔ)平臺(tái)，虛擬可信安全墻管理中心和虛擬可信安全墻三部分：

1)、可信基礎(chǔ)平臺(tái)：

以TCM為可信根，構(gòu)建二維信任鏈，基礎(chǔ)信任鏈包括：TCM可信根、BIOS、MBR、OS Loader、OS Kernel、Service/Application、虛擬安全墻管理中心；安全墻信任鏈包括：虛擬安全墻管理中心、虛擬安全墻、桌面接入服務(wù)和虛擬桌面應(yīng)用；

2)、虛擬可信安全墻管理中心

在桌面云中心和云終端之間部署虛擬可信安全墻管理中心來管理虛擬桌面安全，虛擬安全墻管理中心由虛擬安全墻創(chuàng)建、遷移及注銷服務(wù)、安全墻信任鏈管理服務(wù)、狀態(tài)監(jiān)控及日志服務(wù)、用戶安全設(shè)置服務(wù)、文件存儲(chǔ)及傳輸加解密服務(wù)，用于實(shí)現(xiàn)安全墻生成及遷移、用戶訪問、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、用戶使用行為監(jiān)控等功能；

3)、虛擬可信安全墻

虛擬可信安全墻自動(dòng)化分發(fā)到每個(gè)虛擬桌面環(huán)境中，以安全墻管理中心的實(shí)時(shí)加解密引擎為核心，通過主動(dòng)加密技術(shù)和涉密訪問控制技術(shù)將企業(yè)涉密數(shù)據(jù)與外界隔離，并建立與桌面接入服務(wù)和虛擬桌面的信任關(guān)系。還要收集桌面環(huán)境的日志信息、執(zhí)行安全墻管理中心發(fā)送的安全動(dòng)作指令。

在本發(fā)明中：安全墻信任鏈的建立：安全墻信任鏈把信任關(guān)系從信任根擴(kuò)展到整個(gè)桌面云系統(tǒng)，可信密碼模塊為桌面云構(gòu)建由虛擬安全墻管理中心、虛擬安全墻、桌面接入服務(wù)和虛擬桌面應(yīng)用形成的安全墻信任鏈。首先在安全墻管理中心，通過安全墻信任鏈管理服務(wù)建立從虛擬安全墻管理中心到虛擬安全墻的信任關(guān)系；接下來，分別建立從虛擬安全墻到桌面接入服務(wù)的信任關(guān)系，和從虛擬安全墻到虛擬桌面的信任關(guān)系。最后，安全墻信任鏈和基礎(chǔ)信任鏈一起形成二維信任鏈，這樣通過一級(jí)度量一級(jí)，一級(jí)驗(yàn)證一級(jí)，當(dāng)受到攻擊和完整性被破壞時(shí)，可實(shí)現(xiàn)自我保護(hù)、自我管理和自我恢復(fù)。再以二維信任鏈作為安全支撐，通過對(duì)安全墻進(jìn)行安全配置和管理，定制安全基線，形成一個(gè)牢固的安全防御體系。