王麗娜，高漢軍，余榮威，任正偉，董永峰

（1.軟件工程國(guó)家重點(diǎn)實(shí)驗(yàn)室，湖北 武漢 430072；2.武漢大學(xué) 計(jì)算機(jī)學(xué)院，湖北 武漢 430072）

1 引言

虛擬機(jī)監(jiān)視器（VMM, virtual machine monitor）對(duì)上層操作系統(tǒng)的完全控制權(quán)以及虛擬機(jī)間運(yùn)行環(huán)境的隔離性，為增強(qiáng)系統(tǒng)的可靠性提供了新思路[1]。然而如何確保虛擬機(jī)監(jiān)視器的完整性以及如何充分利用虛擬化技術(shù)的優(yōu)勢(shì)，確保虛擬機(jī)運(yùn)行環(huán)境和服務(wù)軟件的完整性、安全性成為亟待解決的問(wèn)題。

可信計(jì)算[2]作為保證信息安全的一項(xiàng)重要技術(shù)，能夠有效保證虛擬機(jī)監(jiān)視器及其上層客戶操作系統(tǒng)的完整性。因此，在虛擬平臺(tái)下實(shí)現(xiàn)可信技術(shù)，是虛擬化技術(shù)與可信計(jì)算技術(shù)發(fā)展的必然結(jié)果，而可信平臺(tái)模塊（TPM, trusted platform module）的虛擬化正是可信計(jì)算技術(shù)和虛擬化技術(shù)結(jié)合的關(guān)鍵技術(shù)之一。

目前可信平臺(tái)模塊的虛擬化方式主要有3種：TPM的硬件環(huán)境擴(kuò)展[3]、TPM的半虛擬化[4]和軟件式的TPM虛擬化。TPM的硬件環(huán)境擴(kuò)展方式通過(guò)擴(kuò)展 TPM 上下文為每個(gè)客戶虛擬機(jī)提供專用的TPM 環(huán)境，客戶虛擬機(jī)可以自行保存和讀取上下文，虛擬機(jī)監(jiān)視器能夠透明地為每個(gè)客戶虛擬機(jī)提供隔離的TPM會(huì)話；然而該方式需要TPM硬件支持，目前并不存在硬件虛擬化的 TPM。TPM 半虛擬化方式通過(guò)加入一個(gè)軟件中間件——TPM 訪問(wèn)中介層，實(shí)現(xiàn) TPM 安全、公平地被各個(gè)虛擬機(jī)所共享；TPM訪問(wèn)中間層負(fù)責(zé)對(duì)TPM的調(diào)度控制及TPM對(duì)虛擬機(jī)的認(rèn)證；然而該方式需要更改少數(shù)的設(shè)備接口。因此這2種TPM的虛擬化方式在兼容性方面都受到一定程度的影響。相比而言，軟件式TPM 虛擬化通過(guò)軟件的形式為虛擬機(jī)提供一個(gè)接近于真實(shí)硬件 TPM 的接口。因此，目前大多數(shù)應(yīng)用主要采用軟件式TPM虛擬化方式[5～11]。

瑞士蘇黎士技術(shù)聯(lián)合研究所[12]的軟件式 TPM模擬器實(shí)現(xiàn)了TPM的絕大部分功能；但TPM模擬器僅面向單個(gè)平臺(tái)環(huán)境，并不能虛擬出多個(gè) TPM以供每個(gè)虛擬機(jī)專用。Berger[6]在此基礎(chǔ)上，提出了TPM虛擬化的方法，能夠?qū)⒁粋€(gè)物理TPM映射成多個(gè)vTPM（virtual TPM），vTPM可為每個(gè)虛擬機(jī)提供一個(gè)專用的基于軟件的信任根；同時(shí)為了使vTPM具備遠(yuǎn)程證明等能力，Berger提出了4種構(gòu)建vTPM證書(shū)鏈的設(shè)計(jì)思路，但他并沒(méi)有做出進(jìn)一步的實(shí)現(xiàn)。隨后，F(xiàn)rederic[7]提出了一種構(gòu)建可信虛擬平臺(tái)方案，并實(shí)現(xiàn)了vTPM和物理TPM的綁定以及vTPM證書(shū)鏈的構(gòu)建。在構(gòu)建證書(shū)鏈的過(guò)程中，該方案利用身份證明密鑰（AIK, attestation identity key）對(duì) vAIK（virtual AIK）、物理 PCR、隨機(jī)數(shù)nonce及時(shí)間戳進(jìn)行簽名，并與AIK證書(shū)一同構(gòu)成vAIK證書(shū)。然而TPM Main規(guī)范中規(guī)定AIK密鑰只能對(duì)TPM內(nèi)部產(chǎn)生的信息（包括PCR、TPM產(chǎn)生的其他密鑰及 TPM 狀態(tài)信息）進(jìn)行簽名，不能簽名任意的外部數(shù)據(jù)。而vAIK由vTPM產(chǎn)生不屬于TPM的內(nèi)部信息，因而直接利用AIK簽名vAIK似乎并不合適。

針對(duì)目前可信虛擬平臺(tái)存在的問(wèn)題，本文將從物理 TPM 的虛擬化方面出發(fā)，以虛擬機(jī)監(jiān)視器XEN為基礎(chǔ)平臺(tái)，通過(guò)建立物理PCR與vPCR的映射關(guān)系實(shí)現(xiàn)vTPM與底層TCB的綁定，并在此基礎(chǔ)上拓展證書(shū)鏈在虛擬機(jī)中的延伸，使得虛擬機(jī)可以有效地利用 TPM 提供的相關(guān)功能，完成平臺(tái)環(huán)境的證明及私密信息的安全存儲(chǔ)，從而構(gòu)建可信的虛擬執(zhí)行環(huán)境。同時(shí)，本文實(shí)現(xiàn)了相關(guān)的原型系統(tǒng)，驗(yàn)證了系統(tǒng)的有效性。

本文結(jié)構(gòu)如下：第2節(jié)介紹了相關(guān)知識(shí)；第3節(jié)中給出了設(shè)計(jì)方案；第4節(jié)給出了在XEN平臺(tái)下的具體實(shí)現(xiàn)；第5節(jié)展示了原型系統(tǒng)測(cè)試及分析；最后給出了本文的總結(jié)。

2 相關(guān)知識(shí)

2.1 可信計(jì)算技術(shù)

可信計(jì)算保障了相關(guān)平臺(tái)配置信息的完整性。為了得到平臺(tái)的配置信息，需要實(shí)現(xiàn)可信度量，它是可信計(jì)算的基礎(chǔ)。TCG提出了實(shí)現(xiàn)可信度量的2大關(guān)鍵技術(shù)：一是在可信平臺(tái)上引入可信根；二是利用可信根來(lái)建立信任鏈。TCG在可信PC技術(shù)規(guī)范中，具體給出了可信PC中的信任鏈，該信任鏈以TPM芯片為核心（提供密碼操作和安全存儲(chǔ)），起點(diǎn)為CRTM（core root of trust module），從系統(tǒng)啟動(dòng)開(kāi)始，沿著CRTM→BIOS→ OSLoader→ OS→App這個(gè)信任鏈，一級(jí)度量一級(jí)，一級(jí)信任一級(jí)，以確保整個(gè)平臺(tái)的系統(tǒng)資源的完整性。

遠(yuǎn)程證明是用于認(rèn)證可信計(jì)算平臺(tái)的身份、硬件配置和系統(tǒng)中運(yùn)行軟件的完整性，從而確保終端平臺(tái)實(shí)體可信和當(dāng)前運(yùn)行狀態(tài)未曾遭到破壞的技術(shù)方案。在遠(yuǎn)程證明中，驗(yàn)證方需要驗(yàn)證證明方的身份，因此需要證明方提供 TPM 唯一身份標(biāo)識(shí)，即EK（endorsement key）證書(shū)。但是直接向驗(yàn)證方提供EK很可能暴露證明方用戶的隱私信息，因此需要引入AIK來(lái)避免暴露平臺(tái)與EK綁定關(guān)系，降低用戶隱私泄露的可能性。

2.2 虛擬化技術(shù)

隨著VMware公司在虛擬化領(lǐng)域的成功以及虛擬化理論和技術(shù)的不斷深入，學(xué)術(shù)界和業(yè)界對(duì)虛擬化的應(yīng)用和研究表現(xiàn)出了極大興趣，先后出現(xiàn)了Denali、Virtual Box等一大批虛擬機(jī)產(chǎn)品。虛擬化技術(shù)也隨之廣泛應(yīng)用于服務(wù)器整合、資源的動(dòng)態(tài)負(fù)載均衡[13,14]等場(chǎng)合，有效地提高了資源的利用率，節(jié)省了運(yùn)營(yíng)成本。而且，國(guó)際主流處理器廠商積極開(kāi)展虛擬化相關(guān)研究，如Intel推出VT虛擬化技術(shù)[15]，AMD硬件輔助虛擬技術(shù)Pacifica[16]。

Cambridge大學(xué)研究開(kāi)發(fā)了XEN虛擬機(jī)開(kāi)源項(xiàng)目[17]，它支持半虛擬化和硬件虛擬化技術(shù)。當(dāng)XEN啟動(dòng)時(shí)，首先加載Domain0的內(nèi)核。Domain0是特權(quán)管理域，運(yùn)行在比其他客戶域更高的特權(quán)級(jí)下，可以訪問(wèn)硬件，負(fù)責(zé)其他虛擬域?qū)τ布O(shè)備的多路訪問(wèn)?？蛻粲?DomainU不允許直接訪問(wèn)硬件，而是通過(guò)設(shè)備驅(qū)動(dòng)中的前端驅(qū)動(dòng)通知Dom0中的后端驅(qū)動(dòng)，由Domain0進(jìn)行安全檢查后，交由原生設(shè)備驅(qū)動(dòng)處理。

3 可信虛擬執(zhí)行環(huán)境的設(shè)計(jì)

本文可信虛擬執(zhí)行環(huán)境的架構(gòu)如圖1所示。

圖1 可信虛擬執(zhí)行環(huán)境架構(gòu)

其中，vTPM實(shí)例與客戶虛擬機(jī)一一對(duì)應(yīng)，為用戶提供綁定、密封、密鑰存儲(chǔ)等一系列與物理TPM相同的功能。

vTPM永久存儲(chǔ)區(qū)（PS, persistent storage）用來(lái)保護(hù)每個(gè)vTPM實(shí)例的狀態(tài)結(jié)構(gòu)vTPM-SS（vTPM state structure），其中保存了vTPM的永久狀態(tài)信息。

vTPM管理器負(fù)責(zé)vTPM實(shí)例的創(chuàng)建與管理，為客戶虛擬機(jī)與vTPM實(shí)例間以及vTPM實(shí)例與物理TPM間提供了通信信道。當(dāng)創(chuàng)建一個(gè)虛擬機(jī)時(shí)，虛擬TPM管理器便會(huì)產(chǎn)生一個(gè)vTPM實(shí)例并將其與新建的虛擬機(jī)關(guān)聯(lián)。它通過(guò)監(jiān)聽(tīng)虛擬 TPM 后端驅(qū)動(dòng)，將來(lái)自虛擬機(jī)的 TPM 命令轉(zhuǎn)發(fā)至與它相關(guān)聯(lián)的vTPM實(shí)例中。

3.1 vTPM與底層TCB的綁定

在虛擬環(huán)境下，vTPM 實(shí)例的可信計(jì)算基 TCB包括建立vTPM實(shí)例的軟件組件（vTPM實(shí)例與vTPM管理器），相應(yīng)的運(yùn)行環(huán)境（Hypervisor與特權(quán)管理域）以及底層固件。這些組件的完整性度量由物理 TPM完成，度量值保存在物理TPM的PCR中。

vTPM實(shí)例主要確保客戶虛擬機(jī)的完整性，度量的組件包括客戶虛擬機(jī)操作系統(tǒng)及上層應(yīng)用程序，度量值保存在vTPM實(shí)例的PCR中。為了在虛擬環(huán)境下使用可信度量功能，必須建立 vTPM 與底層TCB的綁定關(guān)系，以確?？尚盘摂M平臺(tái)模塊運(yùn)行環(huán)境的完整性以及客戶虛擬機(jī)的平臺(tái)環(huán)境完整性。

按照TCG的TPM Client規(guī)范，BIOS及物理硬件的度量值是存放在0～7號(hào)PCR中，該部分操作是由 BIOS進(jìn)行處理的。而對(duì)于 Hypervisor、特權(quán)管理域內(nèi)核以及vTPM管理器等組件，本文采用了可信的啟動(dòng)加載器 GrubIMA進(jìn)行度量，度量值存放在PCR的8號(hào)寄存器中。

基于此，本文將物理PCR的低位映射到vTPM的vPCR中（如圖2所示），即將0～8號(hào)這9組反映虛擬平臺(tái)TCB完整性度量值的PCR映射到每一個(gè)虛擬TPM的vPCR，將vPCR的9～23號(hào)寄存器保留給客戶虛擬操作系統(tǒng)使用。

圖2 物理PCR與vPCR的映射

3.2 可信證書(shū)鏈的擴(kuò)展

在虛擬環(huán)境下，當(dāng)客戶虛擬機(jī)中進(jìn)行遠(yuǎn)程證明時(shí)，必須建立從物理TPM到vTPM的證書(shū)鏈。因?yàn)橥晃锢砥脚_(tái)下運(yùn)行了多個(gè)虛擬機(jī)（應(yīng)用），而各個(gè)虛擬機(jī)內(nèi)又將運(yùn)行不同的應(yīng)用。為了確保虛擬機(jī)之間應(yīng)用的隔離性，以及各虛擬機(jī)平臺(tái)的差異性，應(yīng)利用vAIK代表虛擬機(jī)內(nèi)部的不同應(yīng)用進(jìn)行身份證明。同時(shí)為了確保虛擬平臺(tái)與物理平臺(tái)的綁定關(guān)系，需要利用物理TPM的AIK證書(shū)構(gòu)造虛擬平臺(tái)的vAIK證書(shū)。

文獻(xiàn)[6]中提出了一種通過(guò)EK-vEK-vAIK形式的證書(shū)鏈來(lái)為vTPM頒發(fā)vAIK證書(shū)。該方案通過(guò)vTPM管理器向CA證明vTPM的可信性，由CA向vTPM簽發(fā)vEK證書(shū)，之后使用與物理平臺(tái)相同的方法，由vEK來(lái)生成vAIK證書(shū)。這種方案生成vTPM 實(shí)例的效率很低，而且請(qǐng)求較多時(shí)，對(duì) CA本身也是很大的負(fù)擔(dān)。

文獻(xiàn)[7]提出了通過(guò)AIK-vAIK這種形式的證書(shū)鏈方案，該方案不使用vEK，而直接簽發(fā)vAIK證書(shū)。vAIK由vTPM實(shí)例自己生成，并由vTPM管理器簽發(fā)vAIK證書(shū)而不依賴于可信第三方。與前一種方案比較，該方案繞過(guò)了 vEK證書(shū)，直接為vTPM頒發(fā)vAIK證書(shū)，而且證書(shū)的簽發(fā)不需要依賴隱私CA，直接由本地vTPM管理器進(jìn)行。因此可以方便vTPM動(dòng)態(tài)、頻繁地生成vTPM實(shí)例。在構(gòu)建證書(shū)鏈的過(guò)程中，該方案利用AIK對(duì)vAIK、物理PCR、隨機(jī)數(shù)nonce及時(shí)間戳進(jìn)行簽名，并與AIK證書(shū)一同構(gòu)成vAIK證書(shū)。然而TPM Main規(guī)范中規(guī)定AIK密鑰只能對(duì)TPM內(nèi)部產(chǎn)生的信息（包括PCR、TPM產(chǎn)生的其他密鑰及TPM狀態(tài)信息）進(jìn)行簽名，不能簽名任意的外部數(shù)據(jù)。而vAIK由vTPM產(chǎn)生，不屬于TPM的內(nèi)部信息，因而直接利用AIK簽名vAIK似乎并不合適。

為了更好地滿足TPM的規(guī)范，本文引入了簽名密鑰SK作為中介實(shí)現(xiàn)AIK對(duì)vAIK的間接簽名認(rèn)證。SK由TPM內(nèi)部產(chǎn)生，屬于TPM的內(nèi)部信息，此時(shí)利用AIK通過(guò)TPM_CertifyKey命令對(duì)SK進(jìn)行簽名，并由SK通過(guò)TPM_Quote命令對(duì)vAIK、物理PCR、隨機(jī)數(shù)nonce進(jìn)行簽名，最后與AIK證書(shū)一同構(gòu)成vAIK證書(shū)，其中，vAIK證書(shū)包括：{SK}AIK、{nonce、PCR[0～15]、vAIK}SK以及AIK證書(shū)。由此可知SK與AIK是一一對(duì)應(yīng)的，實(shí)質(zhì)上仍體現(xiàn)了AIK向外證實(shí)身份的本質(zhì)，而SK的引入則是為了更好地滿足TPM規(guī)范中AIK僅能簽名TPM內(nèi)部產(chǎn)生的信息的要求，具體流程如圖3所示。

1) vTPM產(chǎn)生一個(gè)vAIK。

2) 虛擬平臺(tái)向vTPM管理器請(qǐng)求vAIK證書(shū)，請(qǐng)求中包含vAIK公鑰與一個(gè)的隨機(jī)數(shù)Nonce（用于抗重放攻擊）。

3) vTPM管理器使用AIK對(duì)物理PCR及vTPM發(fā)來(lái)Nonce進(jìn)行簽名（即Quote），用于證明物理平臺(tái)即虛擬TPM底層平臺(tái)的完整性。

4) vTPM管理器令物理TPM產(chǎn)生一個(gè)簽名密鑰SK，SK是一個(gè)2 048bit RSA密鑰對(duì)。

5) vTPM管理器用AIK認(rèn)證簽名密鑰SK，證明該簽名密鑰與AIK同屬一個(gè)物理平臺(tái)。

6) vTPM管理器用SK對(duì)vAIK的公鑰和物理平臺(tái)的Quote信息進(jìn)行簽名，并附上AIK證書(shū)，即構(gòu)成vAIK證書(shū)。

圖3 vAIK證書(shū)生成流程

4 在XEN平臺(tái)中的實(shí)現(xiàn)

為了驗(yàn)證方案設(shè)計(jì)的可行性，本文在虛擬機(jī)監(jiān)視器 XEN3.3.0上實(shí)現(xiàn)了原型系統(tǒng)，其中特權(quán)管理域Domain0為ubuntu8.04.3 LTS，客戶虛擬機(jī)操作系統(tǒng)為ubuntu9.04，TSS軟件棧為 TrouSerS。

4.1 vTPM與底層TCB的綁定

在vTPM與TCB的綁定過(guò)程中，本文將保存在物理 TPM中的 PCR值映射至 vTPM實(shí)例的vPCR中，以確保vTPM與底層TCB的綁定關(guān)系，使得在虛擬計(jì)算環(huán)境中可以有效地使用密封存儲(chǔ)等功能。

物理PCR至vPCR映射過(guò)程通過(guò)map_pcr()函數(shù)發(fā)送VTPM_ORD_TPMCOMMAND命令至vTPM管理器來(lái)實(shí)現(xiàn)。函數(shù)流程如圖4所示。

圖4 函數(shù)流程

其中，寫(xiě)管道VTPM_TX_FIFO為“/var/vtpm/fi fos/vtpm_cmd_from_all.fifo”，讀管道VTPM_RX_F IFO 為“/var/vtpm/fifos/vtpm_rsp_to_%d.fifo”，tag為vTPM命令標(biāo)志VTPM_TAG_REQ，tpm_tag為讀PCR指令00c1，index為需要讀取的PCR索引號(hào)。

4.2 可信證書(shū)鏈的實(shí)現(xiàn)

本文在vTPM管理器中加入監(jiān)聽(tīng)線程MakeCert Listener，用來(lái)監(jiān)聽(tīng)和處理來(lái)自vTPM實(shí)例的證書(shū)請(qǐng)求。當(dāng)有證書(shū)請(qǐng)求發(fā)生時(shí)，它將發(fā)送相關(guān) TPM 命令，請(qǐng)求TPM完成Quote及其他相關(guān)操作。訪問(wèn)TPM 硬件最直接的方法是發(fā)送 TPM 命令，但是TPM[18]1.2 Command規(guī)范的命令功能單一，接口繁多且參數(shù)結(jié)構(gòu)復(fù)雜，不方便用戶對(duì) TPM 資源的使用和管理，因此需要對(duì)其進(jìn)行封裝，即需要實(shí)現(xiàn)可信軟件棧TSS。由于XEN沒(méi)有提供可信證書(shū)鏈擴(kuò)展的功能，因此沒(méi)有諸如引證（quote）、認(rèn)證（certify）等操作的接口，因此本文對(duì)vTPM管理器的TSS進(jìn)行了擴(kuò)展實(shí)現(xiàn)。主要實(shí)現(xiàn)的接口如表1所示。

表1 擴(kuò)展vTPM管理器的TSS接口

其中：

VTPM_CreateKey函數(shù)用于生成簽名密鑰SK；

VTPM_LoadAIK函數(shù)用于加載物理AIK；

VTPM_GetQuote函數(shù)用于AIK對(duì)PCR簽名以產(chǎn)生Quote信息；

VTPM_CerityKey函數(shù)用于利用AIK認(rèn)證SK；

VTPM_SignvAIK函數(shù)用于使用SK對(duì)vAIK證書(shū)進(jìn)行簽名。

5 系統(tǒng)測(cè)試

為了驗(yàn)證vTPM與TCB綁定的正確性及證書(shū)鏈擴(kuò)展的可用性，本文分別從虛擬平臺(tái)的遠(yuǎn)程證明和密封存儲(chǔ)2個(gè)方面測(cè)試系統(tǒng)的可用性。其中測(cè)試物理平臺(tái)配置如下。CPU：Intel E8400；內(nèi)存：DDRⅡ800 4GB；硬盤：320GB SATA 7200rpm；TPM：Infineon v1.2TPM。

5.1 vTPM與底層TCB的綁定測(cè)試

本節(jié)測(cè)試了 vPCR的映射功能，由 4.1節(jié)中map_pcr函數(shù)完成。當(dāng)虛擬機(jī)啟動(dòng)完畢后，可以讀取虛擬機(jī)環(huán)境中pcrs文件以獲取vTPM的vPCR值，如圖5所示。

圖中顯示了 2個(gè)客戶虛擬域（www-domU和kejin-domU）的PCR值。PCR[0]～PCR[8]是從物理TPM映射到vTPM的，其中PCR[0]～PCR[7]為物理平臺(tái)的度量值，PCR[8]為擴(kuò)展的 Hypervisor、特權(quán)管理域內(nèi)核以及vTPM管理器的度量值。由于這2個(gè)domU工作在同一物理平臺(tái)上，它們的PCR[0]～PCR[8]是相同的，而 PCR[9]是客戶虛擬域中 IMA的度量結(jié)果，存儲(chǔ)的是客戶虛擬域的度量值，因此該值互不相等。

圖5 vPCR的映射

5.2 密封存儲(chǔ)

本節(jié)利用eCryptfs加密文件系統(tǒng)測(cè)試方案的密封存儲(chǔ)的能力。為了達(dá)到測(cè)試的目的修改了eCryptfs用戶空間的密鑰管理部分以實(shí)現(xiàn)與 vTPM的交互，并利用TPM對(duì)eCryptfs的文件加密密鑰實(shí)現(xiàn)密封存儲(chǔ)。

由于文件加密密鑰與當(dāng)前虛擬平臺(tái)的 PCR相關(guān)聯(lián)，因此即使某一虛擬域擁有另一虛擬域的文件加密密鑰密封后的數(shù)據(jù)塊，它也無(wú)法對(duì)其進(jìn)行解封，即無(wú)法解密其加密文件，效果如圖6所示。

首先在虛擬域kejin-domU的加密文件系統(tǒng)中編輯了文件 passwd，并將文件的加密密鑰密封存儲(chǔ)在虛擬域kejin-domU中。在該虛擬域中可以有效地解封密鑰，從而可以解密文件，如圖6(a)所示。

圖6 虛擬平臺(tái)下的密封存儲(chǔ)

為了驗(yàn)證虛擬域的密封存儲(chǔ)功能，將加密文件及密封的密鑰數(shù)據(jù)拷貝至另一虛擬域 www-domU中。因?yàn)樘摂M平臺(tái)已經(jīng)改變，所以無(wú)法解封加密密鑰，進(jìn)而無(wú)法解密文件，如圖6(b)所示（雖然使用ls命令可以列出文件的詳細(xì)信息，但利用Linux下各種文件編輯工具都無(wú)法讀取文件內(nèi)容）。

5.3 虛擬平臺(tái)環(huán)境的遠(yuǎn)程證明測(cè)試

本節(jié)主要測(cè)試虛擬平臺(tái)的遠(yuǎn)程證明功能的有效性，主要分為vAIK證書(shū)的生成和遠(yuǎn)程證明中證明方平臺(tái)有效性驗(yàn)證2個(gè)方面。

首先，測(cè)試了vAIK證書(shū)的生成時(shí)間，并與物理 AIK證書(shū)的生成時(shí)間做了對(duì)比，其中物理 AIK證書(shū)的簽發(fā)使用隱私 CA測(cè)試網(wǎng)站(http://www.privacyc.com)。

vAIK證書(shū)的生成包括 2個(gè)部分：一是物理AIK證書(shū)的生成；二是本地TPM簽發(fā) vAIK證書(shū)。根據(jù)表2可知，雖然與本地TPM通信需要耗費(fèi)一定的時(shí)間（平均時(shí)間約為 3.22s），但相比物理AIK證書(shū)生成時(shí)間，耗時(shí)相對(duì)較少，具有較好的實(shí)用性。

表2 生成AIK證書(shū)與vAIK證書(shū)時(shí)間對(duì)比

其次，本節(jié)在虛擬計(jì)算環(huán)境下進(jìn)行了遠(yuǎn)程證明實(shí)驗(yàn)。該遠(yuǎn)程證明采用基于二進(jìn)制的直接模型，流程如圖7所示。

圖7 遠(yuǎn)程證明流程

遠(yuǎn)程驗(yàn)證方接收證明方提供的Quote及 vAIK證書(shū)，其驗(yàn)證結(jié)果如圖8所示。

驗(yàn)證方通過(guò)以下步驟確認(rèn)證明方平臺(tái)的可信性：

1) 通過(guò)驗(yàn)證SK對(duì)vAIK的簽名，可知vAIK是可信的，并且是由vTPM提供的；

2) 通過(guò)AIK對(duì)SK的簽名，可知vTPM是可信的并且是受到物理TPM保護(hù)；

3) 通過(guò)驗(yàn)證AIK證書(shū)，證明物理TPM真實(shí)可信；

4) 通過(guò)驗(yàn)證物理平臺(tái)的Quote，可知當(dāng)前虛擬平臺(tái)的運(yùn)行環(huán)境（VMM及特權(quán)域）是真實(shí)可信的；

5) 驗(yàn)證客戶虛擬域domainU的Quote簽名，以驗(yàn)證當(dāng)前虛擬執(zhí)行環(huán)境的可信性。

圖8 虛擬平臺(tái)下的遠(yuǎn)程證明

6 結(jié)束語(yǔ)

本文以虛擬機(jī)監(jiān)視器XEN平臺(tái)為基礎(chǔ)，通過(guò)建立物理PCR與vPCR的映射關(guān)系實(shí)現(xiàn)vTPM與底層可信計(jì)算基的綁定，并在此基礎(chǔ)上拓展證書(shū)鏈在虛擬機(jī)中的延伸，使得虛擬機(jī)可以有效地利用TPM 提供的相關(guān)功能，完成平臺(tái)環(huán)境的證明及私密信息的安全存儲(chǔ)，從而構(gòu)建可信的虛擬執(zhí)行環(huán)境。同時(shí)，本文實(shí)現(xiàn)了相關(guān)的原型系統(tǒng)，驗(yàn)證了系統(tǒng)的有效性。

[1]孫毓忠.虛擬化的復(fù)興[J].中國(guó)計(jì)算機(jī)學(xué)會(huì)通訊, 2008, 4(4):12-14.SUN Y Z.The virtualization renaissance[J].Communications of CCF,2008, 4(4): 12-14.

[2]Trusted computing group: trusted platform module (TPM) specifications[EB/OL].https://www.trustedcomputinggroup.org/ specs/TPM,2006.

[3]GOLDMAN K A, BERGER S.TPM main part 3 IBM commands[EB/OL].http://www.research.ibm.com/secure_systems_ departme nt/projects/vtpm/mainP3IBMCommandsrev10.pdf, 2005-4.

[4]PAUL E, JORK L.Para-virtualized TPM sharing[A].Proceedings of the 1st International Conference on Trusted Computing and Trust in Information Technologies: Trusted Computing - Challenges and Applications (TRUST 2008)[C].Villach, Austria, 2008.119-132.

[5]MELVIN J A, MICHA M, CHRIS I D.Towards Trustworthy Virtualization Environments: Xen Library OS Security Service Infrastructure[R].Trusted Systems Laboratory, HP Laboratories Bristol.2007.

[6]BERGER S, CACERES R, GOLDMAN K A,et al.vTPM: virtualizing the trusted platform module[A].Proceedings of the 15th USENIX Security Symposium (USENIX Security 2006)[C].Canada, 2006.305-320.

[7]FREDERIC S, MICHAEL B, MARTIN H,et al.An approach to a trustworthy system architecture using virtualization[A].Proceedings of the 4th International Conference on Autonomic and Trusted Computing (ATC-2007)[C].Hong Kong, China, 2007.4610: 191-202.

[8]JANSEN B, RAMASAMY H, SCHUNTER M.Flexible integrity protection and verification architecture for virtual machine monitors[EB/OL].http://www.trl.ibm.com/projects/watc/XenSecu rityServicesPaper.pdf, 2006-1.

[9]SADEGHI A R, STUBLE C, WINANDY M.Property-based TPM virtualization[A].Proceedings of 11th Information Security Conference (ISC 2008)[C].Taipei, Taiwan, 2008.1-16.

[10]STUMPF F, ECKERT C, BALFE S.Towards secure e-commerce based on virtualization and attestation techniques[A].Proceedings of the Third International Conference on Availability, Reliability and Security (ARES 2008)[C].Barcelona, Spain: IEEE Computer Society,2008.376-382.

[11]SCARLATA V, ROZAS C, WISEMAN M,et al.TPM virtualization building a general framework[J].Trusted Computing, Wiesbaden, Germany: Vieweg+Teubner, 2008: 43-56.

[12]STRASSER M, STAMER H.A software-based trusted platform module emulator[A].Proceedings of the 1st International Conference on Trusted Computing and Trust in Information Technologies: Trusted Computing - Challenges and Applications (TRUST 2008)[C].Villach,Austria, 2008.33-47.

[13]BRADFORD R, KOTSOVINOS E, FELDMANN A,et al.Live wide-area migration of virtual machines including local persistent state[A].Proceeding of the International Conference on Virtual Execu-tion Environments 2007(VEE 2007)[C].San Diego, California, USA,2007.169-179.

[14]HINES M R, GOPALAN K.Post-copy based live virtual machine migration using adaptive pre-paging and dynamic self-ballooning[A].Proceeding of the International Conference on Virtual Execution Environments 2009 (VEE 2009)[C].Washington, DC, USA, 2009.51-60.

[15]Intel Corporation.Intel virtualization specification for the Intel IA-32 architecture[EB/OL].http://www.intel.com/technology/ virtualization,2005.

[16]AMD.AMD64 virtualization codenamed “pacifica” technology: secure virtual machine architecture reference manual[EB/OL].http://www.mimuw.edu.pl/vincent/lecture6/sources/amd-pacifica-specification.pdf,2005-5.

[17]BARHAM P, DRAGOVIC B, FRASER K,et al.XEN and the art of virtualizaiton[A].Proceeding of the 19th ACM Symposium on Operating Systems Principles (SOSP 2003)[C].Bolton Landing, NY USA,2003.164-177.

[18]Trusted Computing Group.TPM main specification.main specification part 1-3 command version 1.2[EB/OL].http://www.trustedcom putinggroup.org.2007.