CERTICLOUD, une plate-forme Cloud IaaS sécurisée

Tech. Sci. Informatiques Pub Date : 2012-12-30 DOI:10.3166/tsi.31.1121-1152

Benoît Bertholon, Sébastien Varrette, Pascal Bouvry

{"title":"CERTICLOUD, une plate-forme Cloud IaaS sécurisée","authors":"Benoît Bertholon, Sébastien Varrette, Pascal Bouvry","doi":"10.3166/tsi.31.1121-1152","DOIUrl":null,"url":null,"abstract":"Resume La securite des Clouds est un aspect essentiel qui n’est pas forcement aborde selon le point de vue de l’utilisateur. En particulier, sur une plate-forme de type Infrastructure-as-a-Service (IaaS), il est actuellement impossible pour un utilisateur de certifier de maniere fiable et securisee que l’environnement qu’il a deploye (typiquement sous forme d’une machine virtuelle) est toujours dans un etat qu’il juge integre et operationnel. Cet article s’attelle a cette tâche en proposant CertiCloud, une plate-forme Cloud de type IaaS qui exploite les concepts developpes dans le cadre du Trusted Computing Group (TCG) mais aussi les elements materiels que sont les Trusted Platform Module (TPM) pour offrir a l’utilisateur un environnement securise et securisant. Ces deux aspects sont garantis par les deux protocoles TCRR (TPM-based Certification of a Remote Resource) et VerifyMyVM qui sont a la base de CertiCloud. Quand le premier permet de certifier l’integrite d’une machine distante et d’echanger une clef de chiffrement symetrique, le second permet a l’utilisateur de s’assurer dynamiquement et a la demande de l’integrite de sa machine virtuelle executee sur les ressources de CertiCloud. Ces deux protocoles etant les briques de base de notre plate-forme, une attention toute particuliere a ete apportee a leurs elaborations. A cet effet, ils ont ete valides avec succes par AVISPA [1] et Scyther [9], deux outils de reference dans le domaine de la verification automatique des protocoles de securite (cette analyse est presentee dans cet article). Ensuite, la plate-forme CertiCloud est detaillee : outre les protocoles TCRR et VerifyMyVM, elle propose le stockage securise des environnements utilisateurs et leurs executions a travers un framework de virtualisation reprenant l’hyperviseur Xen. Quand les ressources physiques sont certifiees par TCRR, l’utilisateur peut utiliser a la demande le protocole VerifyMyVM pour s’assurer de l’integrite de son environnement deploye. Un prototype de CertiCloud a ete realise et nous presentons les premiers resultats experimentaux qui demontrent de la faisabilite et du faible surcout de notre approche sur des scenarios classiquement rencontres sur les infrastructures Cloud de type IaaS.","PeriodicalId":109795,"journal":{"name":"Tech. Sci. Informatiques","volume":"238 1","pages":"0"},"PeriodicalIF":0.0000,"publicationDate":"2012-12-30","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"0","resultStr":null,"platform":"Semanticscholar","paperid":null,"PeriodicalName":"Tech. Sci. Informatiques","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.3166/tsi.31.1121-1152","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"","JCRName":"","Score":null,"Total":0}

引用次数: 0

Abstract

Resume La securite des Clouds est un aspect essentiel qui n’est pas forcement aborde selon le point de vue de l’utilisateur. En particulier, sur une plate-forme de type Infrastructure-as-a-Service (IaaS), il est actuellement impossible pour un utilisateur de certifier de maniere fiable et securisee que l’environnement qu’il a deploye (typiquement sous forme d’une machine virtuelle) est toujours dans un etat qu’il juge integre et operationnel. Cet article s’attelle a cette tâche en proposant CertiCloud, une plate-forme Cloud de type IaaS qui exploite les concepts developpes dans le cadre du Trusted Computing Group (TCG) mais aussi les elements materiels que sont les Trusted Platform Module (TPM) pour offrir a l’utilisateur un environnement securise et securisant. Ces deux aspects sont garantis par les deux protocoles TCRR (TPM-based Certification of a Remote Resource) et VerifyMyVM qui sont a la base de CertiCloud. Quand le premier permet de certifier l’integrite d’une machine distante et d’echanger une clef de chiffrement symetrique, le second permet a l’utilisateur de s’assurer dynamiquement et a la demande de l’integrite de sa machine virtuelle executee sur les ressources de CertiCloud. Ces deux protocoles etant les briques de base de notre plate-forme, une attention toute particuliere a ete apportee a leurs elaborations. A cet effet, ils ont ete valides avec succes par AVISPA [1] et Scyther [9], deux outils de reference dans le domaine de la verification automatique des protocoles de securite (cette analyse est presentee dans cet article). Ensuite, la plate-forme CertiCloud est detaillee : outre les protocoles TCRR et VerifyMyVM, elle propose le stockage securise des environnements utilisateurs et leurs executions a travers un framework de virtualisation reprenant l’hyperviseur Xen. Quand les ressources physiques sont certifiees par TCRR, l’utilisateur peut utiliser a la demande le protocole VerifyMyVM pour s’assurer de l’integrite de son environnement deploye. Un prototype de CertiCloud a ete realise et nous presentons les premiers resultats experimentaux qui demontrent de la faisabilite et du faible surcout de notre approche sur des scenarios classiquement rencontres sur les infrastructures Cloud de type IaaS.

查看原文本刊更多论文

CERTICLOUD，一个安全的IaaS云平台

云的安全性是一个关键方面，不一定要从用户的角度来解决。特别是，在基础设施即服务(IaaS)平台上，用户目前不可能以可靠和安全的方式证明他们部署的环境(通常以虚拟机的形式)仍然处于他们认为是集成的和可操作的状态。本文通过提出CertiCloud来解决这个问题，CertiCloud是一个基于IaaS的云平台，它利用了在可信计算组(TCG)框架内开发的概念，以及可信平台模块(TPM)等硬件元素，为用户提供一个安全可靠的环境。这两个方面由两个协议TCRR(基于tpm的远程资源认证)和VerifyMyVM保证，这两个协议是CertiCloud的基础。前者允许验证远程机器的完整性并交换对称加密密钥，后者允许用户根据需要动态验证运行在CertiCloud资源上的虚拟机的完整性。这两个协议是我们平台的基石，我们对它们的阐述给予了特别的关注。为此，安全协议自动验证领域的两个参考工具AVISPA[1]和Scyther[9]成功地验证了它们(本文介绍了这一分析)。其次，CertiCloud平台是详细的:除了TCRR和VerifyMyVM协议外，它还通过使用Xen管理程序的虚拟化框架提供用户环境及其执行的安全存储。当物理资源通过TCRR认证时，用户可以根据需要使用VerifyMyVM协议来确保其部署环境的完整性。CertiCloud的原型已经实现，我们展示了第一个实验结果，证明了我们的方法在IaaS类型云基础设施的经典场景中的可行性和低成本。

本文章由计算机程序翻译，如有差异，请以英文原文为准。

求助全文

约1分钟内获得全文求助全文

来源期刊

Tech. Sci. Informatiques

自引率

0.00%

发文量