虛擬機可信計算技術(shù)探究

虛擬機可信計算技術(shù)探究

ID:46006369

大?。?6.50 KB

頁數(shù):14頁

時間:2019-11-20

虛擬機可信計算技術(shù)探究_第1頁
虛擬機可信計算技術(shù)探究_第2頁
虛擬機可信計算技術(shù)探究_第3頁
虛擬機可信計算技術(shù)探究_第4頁
虛擬機可信計算技術(shù)探究_第5頁
資源描述:

《虛擬機可信計算技術(shù)探究》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫

1、虛擬機可信計算技術(shù)探究【摘要】虛擬化技術(shù)作為云計算的關(guān)鍵技術(shù),提高了企業(yè)計算資源的利用率。為了保證虛擬機運行環(huán)境的完整性和安全性,基于KVM虛擬機平臺提出了一種可信虛擬計算架構(gòu)。解決了可信虛擬平臺下虛擬身份證明密鑰的私密性問題,使得信任鏈能夠從硬件TPM延伸到客戶操作系統(tǒng),為虛擬機的安全提供了保障?!娟P(guān)鍵詞】可信虛擬平臺;身份證明密鑰;信任擴展1.引言虛擬化技術(shù)的廣泛應(yīng)用,使得企業(yè)極大地提高了計算資源的利用率。由于虛擬化技術(shù)具有的隔離性,不同虛擬機可以提供不同的服務(wù),并且不會影響到其他虛擬機的工作。

2、此外,虛擬機具有動態(tài)特征,管理員能夠動態(tài)地創(chuàng)建、啟動、遷移或撤銷虛擬機。虛擬機運行在虛擬機監(jiān)控器⑴(virtualmachinemonitor,VMM)模擬的硬件上,虛擬機監(jiān)控器負責管理底層的真實硬件資源。虛擬機直接向用戶提供計算服務(wù),然而虛擬機監(jiān)控器并沒有對虛擬機進行度量,以確保虛擬機的完整性,因此虛擬機運行環(huán)境面臨著嚴峻的安全問題。自從可信計算組織TCG(TrustedComp-uting)[2]推出可信平臺模塊TPM(TrustedPlatformModule)標準規(guī)范1.1和1.2,很快就有

3、相應(yīng)產(chǎn)品在市場中推廣和應(yīng)用,我國也相應(yīng)推出了TCM(TrustedCryptographyModule)[3]標準規(guī)范與產(chǎn)品。TPM/TCM作為平臺的信任根,目前已經(jīng)配置在許多系統(tǒng)上??尚庞嬎愕暮诵氖切湃捂湹膫鬟f機制。在任何一個信任體系中都必須有一個公認的、不需要證明的起始點,這個起始點被稱為是核心信任源CRTM(CoreRootofTrustforMeasurement),通過CRTM首先構(gòu)建一個信任根,再建立一條信任鏈,從信任根開始到硬件平臺,到操作系統(tǒng),再到應(yīng)用程序,一級認證一級,一級信任一級

4、,把這種信任擴展到整個系統(tǒng),從而確保整個系統(tǒng)的可信??尚庞嬎阕鳛樾畔踩囊豁椫匾夹g(shù),可以保證運行在真實硬件上的虛擬機監(jiān)控器的完整性。然而信任鏈傳遞到虛擬機監(jiān)控器層次就已經(jīng)中止,并沒有延伸到上層的虛擬機,虛擬機監(jiān)控器與虛擬機之間的信任鏈并不存在。為了保證上層客戶操作系統(tǒng)的完整性,需將虛擬化技術(shù)與可信計算技術(shù)結(jié)合,構(gòu)建可信虛擬化平臺,這也成為了目前業(yè)界的研究熱點[5-10]o構(gòu)建可信虛擬化平臺首要解決的問題是,在確保信任根不變的情況下,客戶操作系統(tǒng)能夠使用可信服務(wù)。為了讓平臺上的每一個虛擬機使用它所

5、獨有的TPM的安全存儲、加密和簽名功能,必須要解決虛擬機如何使用TPM的問題,即TPM的虛擬化問題[5]oTPM的虛擬化必須要確保硬件TPM的安全屬性,問題難點并不在于TPM命令是如何實現(xiàn)的,而是在于如何支撐高層的安全概念,例如信任鏈的傳遞。2?研究現(xiàn)狀基于虛擬化技術(shù)的可信計算,主要是利用虛擬化技術(shù)在一個可信物理平臺上創(chuàng)建出多個虛擬機,并將從硬件TPM開始構(gòu)建的信任鏈傳遞到每一個虛擬機,從而在一個可信物理平臺上構(gòu)建多個虛擬的可信計算平臺??尚盘摂M計算平臺不僅保證了虛擬機的可信,還保證了提供不同應(yīng)用服

6、務(wù)的多個虛擬機之間的隔離。目前虛擬化環(huán)境下TPM的虛擬化主要有3種方式:TPM的硬件擴展[6]、TPM的半虛擬化[7]和TPM的軟件虛擬化[8,9,10]:TPM硬件擴展方式通過擴展TPM上下文為每個虛擬機提供TPM環(huán)境,虛擬機監(jiān)控器可能透明地為每個虛擬機提供隔離的TPM會話,每個虛擬機可以自行讀取和保存TPM上下文。然而該方式需要TPM硬件支持,目前并不存在硬件虛擬化的TPMoTPM半虛擬化在虛擬機監(jiān)控器層次加入一個中間層,實現(xiàn)硬件TPM對虛擬機的認證以及負責對硬件TPM的調(diào)試控制。然而這種方式需

7、要更改一些設(shè)備接口,在兼容性方面會受到一定的影響。目前大多數(shù)應(yīng)用主要采用軟件來實現(xiàn)TPM的虛擬化,為虛擬機提供一個接近真實硬件TPM的接口oTPM_Emulator[8]是由瑞士蘇黎士聯(lián)合研究所開發(fā)的軟件TPM模擬器,為沒有提供TPM物理芯片的計算平臺提供TPM的功能仿真與模擬。TPM_Emulator實現(xiàn)了TPM的絕大部分功能,但它僅面向單個計算平臺。S.Berger[9]分析了TPM虛擬化的需求,提出了TPM虛擬化的方法,將一個硬件TPM映射成多個虛擬TPM,虛擬TPM為每一個虛擬機提供一個專用

8、的基于軟件的信任根。在此基礎(chǔ)上,F(xiàn)rederic[10]提出了一種構(gòu)建可信虛擬平臺的方案,并實現(xiàn)了虛擬TPM和物理TPM的綁定,以及虛擬TPM信任鏈的構(gòu)建。該方案利用身份證明密鑰AIK(attestationidentitykey)對虛擬TPM的AIK、物理平臺配置寄存器PCR及時間戳進行簽名,從而構(gòu)成虛擬AIK證書。Berger與Frederic都是基于XEN虛擬機實現(xiàn)了可信虛擬計算平臺,主要存在以下幾個問題:1、XEN是一個半虛擬化的虛擬機,在沒有CPU對虛擬化的

當前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動畫的文件,查看預(yù)覽時可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負責整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時聯(lián)系客服。
3. 下載前請仔細閱讀文檔內(nèi)容,確認文檔內(nèi)容符合您的需求后進行下載,若出現(xiàn)內(nèi)容與標題不符可向本站投訴處理。
4. 下載文檔時可能由于網(wǎng)絡(luò)波動等原因無法下載或下載錯誤,付費完成后未能成功下載的用戶請聯(lián)系客服處理。