可信云到底是什么？

　　從2013年至今，可信云已經成為云計算領域信任體系的權威認證。典型的云計算環(huán)境由硬件資源、虛擬層、計算節(jié)點、虛擬資源調度和應用服務資源五部分組成。計算環(huán)境是云的基礎，所有CSP（cloud service provider）提供的服務都是在計算環(huán)境基礎上建立的，所以一個可信的計算環(huán)境是可信云體系中最重要的部分。可信云體系結構中可信計算環(huán)境由信任鏈傳遞、虛擬資源可信調度兩方面來實現。

　　在云計算環(huán)境中，整個系統變得非常龐大，并且所有的基礎設施都由CSP提供，為了云服務的正常運行，CSP必須保證整個系統對外是可信的，關注點在整個系統對外的表現上，而不是單一的機器，即使系統中某些機器并不處于可信的狀態(tài)，只要系統內部處理得當，就不會造成問題。這是與現有的生產系統有很大的區(qū)別的，現有的系統要保證內部的每一臺機器都是可信的，而在云中，是要將信任鏈的傳遞擴展到整個云系統中，所以直接將己有的可信鏈傳遞過程移植到云計算中是不適合的，必須基于云的特點進行改進。�崳�

　　云系統的信息系統安全結構化保護是一個多層面的安全問題，基于縱深防御思想的可信云體系結構中有四個重要的安全核心部分：

　　以“可信云計算環(huán)境模型”為例，整個云計算環(huán)境由計算節(jié)點、集中安全管理中心（CloudManager，以下稱CM）以及可信授權管理中心（Trusted Authority，以下簡稱TA）組成。

　　計算節(jié)點是提供服務資源的大量計算平臺，集中安全管理中心用來管理云中的所有資源和安全策略，調度合適的資源提供給用戶使用；可信授權管理中心作為可信認證方，提供第三方的可信認證服務。當云計算環(huán)境建立時，物理機啟動，進行可信鏈的傳遞，將可信鏈傳遞到虛擬機中，虛擬機啟動后，申請加入云環(huán)境，首先向CM發(fā)送申請，CM對該虛擬機進行可信證明，當證明通過時，這臺虛擬機可以加入到云中，成為云的一個計算節(jié)點。云開始對外提供服務后，先向安全管理中心進行可信認證，認證通過后，可以開始服務。當用戶需要使用資源時，都是首先和CM聯系，由CM分配合適的資源給用戶使用。物理機中安裝TPCM、TCM模塊和其他驗證模塊組成TCB，將TPCM和TCM虛擬成多個vTPCM、vTCM，每一個vTPCM、vTCM對應一個VM，所有的vTPCM、vTCM由CM進行管理，并由CM對每一個VM的狀態(tài)進行驗證。使用TPCM、TCM和虛擬技術來完成整個可信鏈的傳遞，保證整個計算環(huán)境的可信。

　　主機安全是可信云計算環(huán)境的基礎，浪潮可信云服務器是國內首款面向公有云服務的高安全等級的可信云服務器，幫助公有云用戶構建從硬件到軟件、從底層到頂層的平臺信任鏈，依托浪潮可信服務器硬件平臺，搭載浪潮可信增強中間件，實現關鍵部件的固件程序、虛擬化軟件到操作系統內核、應用軟件的可信度量和防護。

　　自主設計與實現，搭載國產密碼算法，幫助客戶實現安全可控目標

　　采用浪潮新一代雙路服務器平臺，搭載國產密碼算法的可信計算模塊，以及可信服務器增強中間件，幫助用戶實現安全可控目標。

　　基于可信計算模塊構建軟硬件信任鏈，提升服務器抵御APT攻擊的能力

　　以可信計算模塊為可信根，幫助客戶構建從服務器BIOS、Option ROM、MBR、OS Loader、OS Kernel、應用程序等完整的軟硬件信任鏈，及時發(fā)現固件及系統底層的高級惡意代碼的入侵，防止服務器被惡意監(jiān)控。

　　良好的軟硬件兼容性，支持國產可信操作系統和Windows操作系統。

　　全面支持國產可信操作系統與Windows Server 2012/2016，可根據業(yè)務需要靈活選擇。并可通過浪潮可信服務器增強中間件，定制實現Centos、RedHat等系統的可信功能使用。

　　提供基于可信云服務器的軟硬件一體化解決方案，構建高安全業(yè)務運行環(huán)境

　　浪潮軟硬件一體化可信計算方案以可信服務器為根基，可信增強中間件和可信操作系統為平臺，可信應用環(huán)境為目標，提供軟硬件可信計算產品及一體化解決方案，構建安全、可信、可控的業(yè)務運行環(huán)境。