申请单位

大唐高鸿数据网络技术股份有限公司

申报云奖类型

以下可多选
容器类
□容器虚拟化
□容器管理
□其他
计算类
□内核
□内存
□资源管理
□虚拟化
□其他
存储类
□块设备
□数据库
□缓存
□对象存储
□其他
网络类
□基础网络
□VPC
□外网接入
□CDN
□其他
安全类
□网络安全
□业务安全
■其他

申报技术

技术一
可信计算池(TCP Trusted Computing Pool)

技术名称

安全类其他子类可信计算技术

创新点
（15分）

我们的创新点：可信计算资源池
可信计算资源池技术包括：
1） 可信引导技术
平台计算环境的可信链由可信安全模块为基础，发起逐级度量。首先在计算机系统中建立一个信任根，再建立一条信任链，从信任根开始，经过硬件平台和操作系统，再到应用，逐级测量，逐级认证，一级信任一级，这种信任机制可以通过传递的方式保持下去并不被破坏。达到可信环境下的各种操作也是可信任的，不存在不被信任的实体，达到不破坏平台本身完整性目的，从而很好的保证平台及应用的安全。可信引导确保了系统按照经过严格验证的路径进行引导。它对主引导记录、操作系统装载器、操作系统内核、系统配置信息、虚拟管理器等进行验证，确保引导过程中各部件的完整性。
2） 远程认证技术
远程认证指可信平台将可信链的各个部分进行度量并报告至远程认证平台，以证明其平台状态的可信性。每个可信计算模块存在唯一的可信根。在对外认证时，一个可信计算模块实体要向远程认证者提供其可信链各个部分的度量值。最终实现经过安全认证的可信计算平台具有相同的安全级别。在可信的计算平台上使用远程认证技术实现对通信双方平台运行环境的可信性验证，从而来保证双方通信的可信性，并据此搭建可信的网络应用环境。
3）可信资源池构建技术
通过远程验证，验证每个可信计算平台的可信状态；结合基于芯片级别的资产标签和地理标签、服务保障等级等关键性指标构建不同的可信资源池及层次；结合群组加密技术，物理主机可以加入或者退出可信池，池成员之间可以进行信任验证。同时高安全等级用户能够获得对底层基础架构足够的可见度，如硬件配置、软件配置、固件配置等，能够得到在特定软硬件平台上运行其工作负载的服务保证。
4）可信的云资源调度技术
灵活的可信云资源调度层，根据业务系统及法规遵从的要求，可以在不同信任度的各个资源池中合理规划和分配业务应用，特定的计算工作量放在指定的服务器上运行，使得自动化的IT资源分区管理得到极大增强。同时资源调度技术保障云主机的整个生命周期在可信资源池中运行。同时资源池中资源的可信状态、服务保障等级是实时监控的，保证可信资源池的安全性，进而保障业务系统的安全性。
5)变更管理技术
利用可信平台模块技术提供的硬件级支持，关键硬件模块，如主板、BIOS、磁盘，以及关键软件模块，如操作系统内核、云平台模块等的非计划变更可以得到完备的本地追踪记录，做到实时记录、跟踪。

技术介绍
（15分）

可信计算资源池技术主要是解决：
在开放式网络计算环境中，形成服务器之间的可信关系。
可信计算资源池技术实现方式：
1. 通过可信平台模块的可信引导、度量、远程证明技术构建云完整性；
2. 通过远程认证技术构建云环境下的可信认证；
3. 通过芯片级标签、服务保障水平及群组加密技术构建可信池；
4. 通过可信云调度技术保障云主机全生命周期运行在适合的工作负载中；
5. 通过变更管理技术实时跟踪负载变化；

技术特点
(10分)

技术特点：
1. 通过可信计算技术，基于硬件级别的可信平台模块及可信技术，保证云环境中的工作负载的完整性；
2. 通过远程认证技术构建端到端的可信云环境；
3. 通过基于可信技术及基于芯片的标签技术，群组加密技术，构建可信池，确保工作负载透明以及云主机全生命周期正确调度；
4. 通过变更管理技术，实时保证云环境的可信性。
技术优势：
1. 区别与以往的NAC与NAP技术，可信计算资源池技术可以更好的适应在非可信环境下的对等认证机制，不需要额外的设备参与认证。
2. 区别以往传统的CA与PKI架构下证书的管理和使用。密码、身份信息、认证信息往往存在管理、维护困难，证书容易被窃取、身份信息被伪造等安全风险。而可信计算资源池技术的优势在于：在非可信环境下，可信计算单元可以从硬件层级的可信计算模块来发起提供数字证书与服务器身份标示来进行身份认证与通讯加密。无论是身份认证可靠性，通讯加密强度，证书的安全性等方面，可信计算的身份认证与认证加密都有卓越的优势；
3. 区别于传统的通过边界防火墙、安全路由以及VLAN等方式进行不同安全域的隔离。采用可信计算技术的计算环境，可以通过可信计算资源池技术，将相同安全等级的服务器自动划分到同一个动态的安全域中。每次环境变化都进行主动度量。这样避免了传统方式下以人工方式进行安全域度量造成的安全缺陷。将服务器的信息安全防护体系由被动模式变为主动模式。

技术应用
（10分）

在公有云、私有云、混合云的环境里，安全是最需要保证的环节。通过可信计算资源池技术可以实现：无论服务器所处环境是否可信，均可以以可信服务器本身为节点，借助可信计算模块的功能（生成证书、加解密模块、身份认证等）。实现服务器具备相同安全标准。可信服务器自动组建并加入到可信安全池中，来实现统一的安全防护等级。此过程并不借助其他外部设备来实现，例如：防火墙、UTM、网闸、带安全特性的交换机和路由器等设备。
举例：在多租户公有云环境中，如果底层服务器采用了可信计算服务器解决方案。可将拥有统一可信标准的服务器构建完整的安全认证池。防止某一服务器发生安全风险时对其他服务器造成的安全威胁。

其它

其它需要说明的地方

申报总结

一段话自我推荐总结，最多300字

大唐高鸿新一代可信云计算基础架构解决方案通过可信服务器和可信云管理平台，实现分权管理、资产标签、云完整性、可信资源池、合规审计、vTPM等功能，提供端到端的可信云基础架构，使云计算运营者可以实现资源可见、能力可控、质量可知的云服务，保障客户数据的安全性、隐私性、可感知性和可控性，降低云端用户对云安全的疑虑，提升使用云服务的信心。