一種虛擬可信計算平臺框架的設(shè)計與實現(xiàn)

1、北京交通大學碩士學位論文一種虛擬可信計算平臺框架的設(shè)計與實現(xiàn)姓名：何帆申請學位級別：碩士專業(yè)：計算機科學與技術(shù)指導教師：韓臻20090601摘要摘要：最近虛擬化技術(shù)經(jīng)歷了一個快速發(fā)展的時期，他們?yōu)橛脩艄?jié)省了大量的硬件資源的開銷。這項技術(shù)為提供數(shù)據(jù)中心、網(wǎng)站服務(wù)器等需要大量硬件服務(wù)器的企業(yè)提高了硬件資源的利用率，并大幅度節(jié)省了成本。然而虛擬機的安全環(huán)境令人堪憂，可信計算在虛擬機上的應(yīng)用還處于起步階段。本設(shè)計的目標是利用現(xiàn)有的可信計算技術(shù)手段管理多個，為每一個建立虛擬可信設(shè)備，在啟動的同時注冊虛擬可信設(shè)備，實現(xiàn)與之間的可信設(shè)備通信，記錄他們的運行狀態(tài)，將虛擬環(huán)境加入到安全計算機體系的可信鏈中。本設(shè)

2、計首先實現(xiàn)了將的內(nèi)核模塊架構(gòu)改為守護進程架構(gòu)，實現(xiàn)了從系統(tǒng)內(nèi)核的脫離。其次，本設(shè)計將實現(xiàn)為可以在環(huán)境下使用的、為多服務(wù)的、虛擬設(shè)備管理器可以管理的虛擬。最后，本設(shè)計實現(xiàn)了在虛擬機中添加對虛擬設(shè)備的支持，編寫啟動腳本與虛擬初始化腳本，在啟動虛擬機的同時建立虛擬通信管道并進行操作系統(tǒng)完整性校驗，構(gòu)建了完整的可信鏈，實現(xiàn)了一種虛擬可信計算平臺框架。關(guān)鍵詞：可信計算，虛擬機，虛擬，設(shè)備管理器，可信鏈分類號：，咖，：；，：獨創(chuàng)性聲明本人聲明所呈交的學位論文是本人在導師指導下進行的研究工作和取得的研究成果，除了文中特別加以標注和致謝之處外，論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果，也不包含為獲得北京交

3、通大學或其他教育機構(gòu)的學位或證書而使用過的材料。與我一同工作的同志對本研究所做的任何貢獻均已在論文中作了明確的說明并表示了謝意。簽名俑噸黼期：沙夕年州日學位論文版權(quán)使用授權(quán)書本學位論文作者完全了解北京交通大學有關(guān)保留、使用學位論文的規(guī)定。特授權(quán)北京交通大學可以將學位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進行檢索，并采用影印、縮印或掃描等復制手段保存、匯編以供查閱和借閱。同意學校向國家有關(guān)部門或機構(gòu)送交論文的復印件和磁盤。（保密的學位論文在解密后適用本授權(quán)說明）躲俑兒名：捌諺簽字日期瀘多年月苫簽字日期一多月廂致謝本論文的工作是在我的導師韓臻教授的悉心指導下完成的，韓臻教授嚴謹?shù)闹螌W態(tài)度和科學的工作方

4、法給了我極大的幫助和影響。在此衷心感謝兩年來韓臻老師對我的關(guān)心和指導。劉吉強副教授對于我的科研工作和論文都提出了許多的寶貴意見，在此表示衷心的感謝。實驗室的老師們和博士們治學嚴謹、學識淵博、為人正直、耐心細致，他們是我一生學習的榜樣。在此，我對他們表達最深的敬意和最誠摯的謝意。常曉琳副教授悉心指導我們完成了實驗室的科研工作，在學習上和生活上都給予了我很大的關(guān)心和幫助，在此向常曉琳老師表示衷心的謝意。我要特別感謝我的同學邢彬、劉博、王亮、武濤等，與他們幾年來的學習交流、友好相處豐富了我的學習和生活。特別是邢彬同學，他對我的畢設(shè)工作給予了很大的幫助，促成本設(shè)計的圓滿完成。在實驗室工作及撰寫論文期間

5、，我的各位師兄師姐也給予了我莫大的幫助，在此向他們表達我的感激之情。另外也感謝我的父母，他們的理解和支持使我能夠在學校專心完成我的學業(yè)。最后，對于這幾年所有支持我鼓勵我的朋友們，我要向你們致以最真摯的謝意！研究的背景與意義緒論可信計算（）是一項由可信計算組織（，）推動和開發(fā)的技術(shù)。可信計算組織（）的主要目標是通過遠程驗證和保護用戶敏感信息（例如密碼和密鑰）來提高系統(tǒng)的可信級別。的核心部分是可信平臺模塊（），它是一塊嵌入在計算機主板上的微型密碼芯片，它給程序提供基于硬件的安全保護。提供一個基于硬件的可信根，它提供內(nèi)部的密鑰存儲空間和存放摘要值的寄存器等。還提供密碼功能來實現(xiàn)加密解密，簽名驗證以及

6、生成基于硬件的隨機數(shù)等功能。目前，隨著虛擬機技術(shù)的不斷成熟和各大服務(wù)器軟硬件廠商對虛擬化技術(shù)的青睞，眾多操作系統(tǒng)和硬件平臺開發(fā)商都進入了虛擬化市場。虛擬機技術(shù)應(yīng)用整機虛擬化的概念，使應(yīng)用脫離實體機的兼容性約束和硬件資源約束，支持同一硬件平臺上以及服務(wù)器中的多操作系統(tǒng)環(huán)境，能夠?qū)崿F(xiàn)更高程度的軟件安全性、可移植性和適用性，并且可提供更高的靈活性、跨平臺兼容性、可靠性和資源有效性。本設(shè)計的研究目的旨在為運行在虛擬環(huán)境下的操作系統(tǒng)提供安全機制，實現(xiàn)虛擬環(huán)境下的可信計算服務(wù)，構(gòu)建完整的可信鏈，為應(yīng)用的遠程驗證提供平臺保障。本設(shè)計要解決的問題首先是實現(xiàn)由維護，可以被多個用戶創(chuàng)建以及并發(fā)訪問的虛擬。在單機系

7、統(tǒng)下建立的可信計算環(huán)境是直接基于硬件芯片的支持，由支持規(guī)范的提供對上層操作系統(tǒng)的安全存儲以及密碼計算。作為可信根，是可信計算系統(tǒng)的核心。開源項目作為一個完全模擬物理功能的軟件，是可以勝任可信計算的，但它的架構(gòu)以及設(shè)計遠遠不能滿足我們在虛擬環(huán)境下的應(yīng)用，因此需要從架構(gòu)上對其進行修改，建立一個能提供高效訪問的虛擬功能模塊。其次，本設(shè)計還要解決構(gòu)建完整可信鏈的問題?？尚沛湹睦碚撌菑募与婇_始，確保之后的每一步操作都是建立在前一步的完整性未被破壞的基礎(chǔ)之上。以往可信鏈的終點是操作系統(tǒng)以及模塊加載，但在虛擬環(huán)境下，操作系統(tǒng)不是傳統(tǒng)意義上的終點，虛擬機可以動態(tài)的開啟與關(guān)閉，虛擬機的完整性同樣有必要加入到可信

8、鏈中，可信鏈的概念在虛擬環(huán)境下得到了延伸。因此如何確保在虛擬域啟動的時候?qū)⑻摂M域的完整性加入到可信鏈中是一個亟待解決的問題。本設(shè)計就是建立在可信計算技術(shù)基礎(chǔ)之上，使用這個成熟的虛擬化產(chǎn)品作為研究平臺，將虛擬化和技術(shù)相結(jié)合，可信計算與可信平臺模塊的理論為基礎(chǔ)，提出一種適用于虛擬環(huán)境下的高效、透明的可信框架模型，建立虛擬環(huán)境下完整的可信鏈。本文的研究內(nèi)容本文是建立在虛擬化體系架構(gòu)之上的底層可信框架的設(shè)計與實現(xiàn)。虛擬機管理器對于隔絕操作系統(tǒng)對硬件的訪問起到了十分重要的作用。硬件的可信根可以對于所有運行在虛擬機操作系統(tǒng)下的軟件提供完整性保護，并可以有效阻止軟件的攻擊。將物理功能虛擬化，并應(yīng)用于虛擬機上

9、所有的操作系統(tǒng)勢在必行。每一個擁有功能的虛擬機都認為自己擁有一個獨立的，但實際上只有一個物理芯片。這就需要建立多個虛擬實例，每一個虛擬實例都擁有與物理芯片一樣的功能。作為計算機系統(tǒng)的可信根，是一種成熟的安全技術(shù)，非常適合在等虛擬機環(huán)境中使用。因此，本文目的是在虛擬化環(huán)境中搭建對各虛擬域虛擬的支持。但是如何保護虛擬的安全屬性？困難并不在于如何提供底層的指令集，而是如何合理有效地支持更高層次的安全概念，例如如何建立可信鏈。它需要通過管理簽名密鑰與證書，將物理的可信鏈擴展給每一個虛擬。因此，依賴功能的軟件或操作系統(tǒng)需要區(qū)分物理與虛擬的差異性，以便建立正確的證書鏈與可信鏈。的基本功能是保證多個操作系統(tǒng)

10、域的運行與通信，它實現(xiàn)了全虛擬化與半虛擬化兩種虛擬方式，使用由軟件實現(xiàn)的技術(shù)，作為一個虛擬的抽象層，它管理著上層運行的操作系統(tǒng)域之間的通信。采用方式，將傳統(tǒng)驅(qū)動分成兩部分，一部分作為發(fā)起請求部署在不具有訪問特權(quán)的虛擬域（）之中，稱為前端；一部分做實際的操作部署在具有訪問特權(quán)的管理域（）之中，稱為后端。在啟動的時候運行了一個重要的守護進程，它由編寫，負責處理關(guān)于創(chuàng)建、刪除、遷移的所有重要任務(wù)，它的大部分功能是以基于服務(wù)器的形式出現(xiàn)，一般的請求也都是以的請求格式發(fā)送給。同時還負責在創(chuàng)建之前對設(shè)備進行初始化的工作。在這個環(huán)境中，要想建立虛擬可信計算平臺框架，首先要思考三個問題：、如何實現(xiàn)虛擬（簡稱）

11、？、如何使用來管理多個虛擬并處理虛擬域發(fā)出的請求？、如何在虛擬域中建立可信鏈？基于上述的考慮，本文深入研究可信計算、技術(shù)以及虛擬機技術(shù)的特點與本質(zhì)，針對以上問題提出合理的解決方案。論文的主要貢獻目前等主流的可信設(shè)備都不能有效地運行在虛擬機上，并且不能被虛擬計算域所并發(fā)共享，這為多虛擬計算域之間的安全隔離、可信基的構(gòu)建引入潛在的安全威脅。虛擬化為虛擬域操作系統(tǒng)和應(yīng)用程序提供了的安全存儲和密碼計算功能，虛擬化也是支持軟件完整性的遠程證明這樣的高層可信服務(wù)的必然需求。本設(shè)計結(jié)合前端驅(qū)動，后端驅(qū)動，虛擬，以及管理的虛擬的實現(xiàn)虛擬可信計算平臺框架的完整結(jié)構(gòu)，此目的通過以下部署可以達到：步驟，加載后端驅(qū)動

12、。在中加載后端驅(qū)動，生成設(shè)備；步驟，啟動。首先初始化全局結(jié)構(gòu)體變量來存放虛擬相關(guān)信息，保存，并創(chuàng)建一個根虛擬，它是擁有最高權(quán)限的實例：步驟，啟動監(jiān)聽線程。初始化三個線程，分別為：監(jiān)聽的啟動，創(chuàng)建對應(yīng)虛擬；：執(zhí)行管理指令；：用來監(jiān)聽并響應(yīng)從傳來的指令請求；步驟，修改虛擬機啟動腳本，啟動通知。編寫腳本，增加對虛擬的設(shè)備支持，當執(zhí)行指令創(chuàng)建一個新的時通過執(zhí)行相關(guān)腳本與進行讀寫操作，讓得知有新的啟動；步驟，為創(chuàng)建虛擬。令經(jīng)過改進后的作為虛擬，受的控制。當?shù)弥行碌膯訒r就啟動這個為其創(chuàng)建虛擬實例：步驟，加載前端驅(qū)動。在中加載前端驅(qū)動，生成設(shè)備；步驟，處理來自的指令。發(fā)出指令，由中的的接收到，通過管道文

13、件將指令發(fā)送到虛擬，虛擬接收傳來的指令碼并保存編號，作為一個獨立的進程處理指令，并將處理結(jié)果添加上編號返回給，將指令結(jié)果發(fā)給，完成完整的指令請求與響應(yīng)。本設(shè)計實現(xiàn)了這個完整可信虛擬框架中的幾個重要技術(shù)，實現(xiàn)了高效、透明的可信體系，為虛擬環(huán)境下的操作系統(tǒng)可信提供了重要的技術(shù)保證。論文的組織結(jié)構(gòu)本文的主要內(nèi)容是虛擬可信計算平臺框架的設(shè)計與實現(xiàn)，共分為個章節(jié)，其組織結(jié)構(gòu)如下：第章緒論：介紹了論文研究的研究背景和目的，以及論文的研究內(nèi)容和組織結(jié)構(gòu)。第章虛擬可信計算平臺框架的研究背景：引出本設(shè)計的研究背景與亟待解決的問題，提出設(shè)計虛擬可信計算平臺框架的構(gòu)想。第章虛擬可信計算平臺框架的相關(guān)知識：介紹了論文

14、研究過程中用到的相關(guān)知識與技術(shù)，主要從虛擬化技術(shù)以及可信計算技術(shù)兩個大的方面介紹。第章虛擬可信計算平臺框架的設(shè)計與實現(xiàn)：首先探討虛擬可信計算平臺框架設(shè)計過程中需要考慮的問題與相關(guān)技術(shù)要求。進而通過詳細的敘述，將實現(xiàn)虛擬可信計算平臺框架的技術(shù)細節(jié)一一呈現(xiàn)。第章虛擬可信計算平臺框架的運行效果：通過實際的物理環(huán)境成功搭建虛擬可信計算平臺框架，并給出實驗分析。第章設(shè)計總結(jié)與未來工作展望：總結(jié)了論文當前完成的工作，分析問題與不足，提出下一步的工作計劃。虛擬可信計算平臺框架世紀是信息的時代。一方面，信息技術(shù)和產(chǎn)業(yè)高速發(fā)展，呈現(xiàn)出空前繁榮的景象，另一方面，危害信息安全的事件不斷發(fā)生，形勢越發(fā)嚴峻。信息安全事

15、關(guān)國家安全、事關(guān)社會穩(wěn)定和經(jīng)濟發(fā)展，因此必須采取措施確保我國的信息安全。本章節(jié)旨在分析當前國內(nèi)信息安全面臨的問題與挑戰(zhàn)，提出一種適合當前應(yīng)用環(huán)境的高效的實用的技術(shù)框架，完善可信計算技術(shù)。信息安全面臨的挑戰(zhàn)縱觀信息安全的歷史，最開始我們有了保密技術(shù)，保密技術(shù)之后慢慢演變?yōu)樾畔踩募夹g(shù)。這是一個歷史發(fā)展的過程，保密通訊是最開始的構(gòu)思，后來有了計算機，就變成了計算機安全，然而隨著信息技術(shù)的快速發(fā)展計算機安全還不夠，我們慢慢意識到真正需要的是信息安全，就是今天我們所謂的信息保障?；ヂ?lián)網(wǎng)的發(fā)展，個人計算機越來越多的應(yīng)用到社會政治、經(jīng)濟、教育和軍事等領(lǐng)域中，使得現(xiàn)有計算平臺的安全性變得愈發(fā)的重要。然而伴

16、隨著網(wǎng)絡(luò)的快速發(fā)展與普及，網(wǎng)絡(luò)攻擊日漸成為對信息安全構(gòu)成威脅的頭號敵人。而第二個主要敵人就是漏洞，漏洞可以存在于硬件、操作系統(tǒng)、應(yīng)用軟件等等。同時還有病毒、蠕蟲、間諜軟件、僵尸網(wǎng)絡(luò)等各種網(wǎng)絡(luò)惡意軟件，網(wǎng)絡(luò)的普及也為惡意軟件的傳播提供了“便捷的途徑。病毒不僅針對機，手機甚至照相機都會受到病毒的威脅，可見信息安全面臨的形式十分嚴峻。可信計算的發(fā)展上個世紀年代初期，首次提出可信系統(tǒng)（）的概念，由此開始了人們對可信系統(tǒng)的研究。較早期學者對可信系統(tǒng)研究（包括系統(tǒng)評估）的內(nèi)容主要集中在操作系統(tǒng)自身安全機制和支撐它的硬件環(huán)境，此時的可信計算被稱為，與容錯計算（）領(lǐng)域的研究密切相關(guān)。人們關(guān)注元件隨機故障、生產(chǎn)

17、過程缺陷、定時或數(shù)值的不一致、隨機外界干擾、環(huán)境壓力等物理故障、設(shè)計錯誤、交互錯誤、惡意的推理、暗藏的入侵等人為故障造成的不同系統(tǒng)失效狀況，設(shè)計出許多集成了故障檢測技術(shù)、冗余備份系統(tǒng)的高可用性容錯計算機。這一階段研發(fā)出的許多容錯技術(shù)已被用于目前普通計算機的設(shè)計與生產(chǎn)。年美國國防部推出了“可信計算機系統(tǒng)評價標準（，）（亦稱橙皮書），其中對可信計算基（，）進行了定義。這些研究成果主要是通過保持最小可信組件集合及對數(shù)據(jù)的訪問權(quán)限進行控制來實現(xiàn)系統(tǒng)的安全從而達到系統(tǒng)可信的目的。年太平洋沿岸容錯系統(tǒng)會議改名為“可信計算會議，標志著可信計算成為學術(shù)界新的研究熱點。年月日以美國卡內(nèi)基梅農(nóng)大學與美國國家宇航局

18、的研究中心牽頭，、微軟等著名企業(yè)參加，成立了可信計算聯(lián)盟（）?？尚庞嬎懵?lián)盟的成立，標志著可信計算從學術(shù)界進入產(chǎn)業(yè)界。年改組為可信計算組織，標志著可信計算技術(shù)和應(yīng)用領(lǐng)域的進一步擴大。和的出現(xiàn)形成了可信計算的新高潮。年月，在武漢大學召開了第一屆全國可信計算與信息安全學術(shù)會議，標志著我國已形成可信計算研究的高潮。年月，為了研究可信計算的中國標準，國家成立了國家安全標準委員會可信計算工作小組，現(xiàn)在已經(jīng)開始規(guī)劃可信計算平臺的有關(guān)標準，并遵循立足保護自己的知識產(chǎn)權(quán)、建立可信計算的通用平臺、將“可信根”放在中國的三條基本原則。于年月制定了可信平臺模塊主規(guī)范，又于年月作了新的修訂，推出版的規(guī)范。由于規(guī)范的定義

19、是與系統(tǒng)獨立的，并不涉及到具體的實現(xiàn)。因此，如何利用信任根來構(gòu)建可信計算環(huán)境就是重點需要研究的課題。目前，一些國外廠商，如、都發(fā)布了具有功能的機，如在年底，發(fā)布了一款帶有嵌入式安全子系統(tǒng)的筆記本電腦，依靠子系統(tǒng)中保存的密鑰進行數(shù)據(jù)保護，只有通過身份認證的用戶才可以解密文件。定義可信計算可以認為，安全事件就是惡意代碼成功的利用了系統(tǒng)漏洞。有漏洞的軟件是安全事件的溫床，惡意代碼是安全事件的種子。在各種信息安全技術(shù)措施中，硬件結(jié)構(gòu)的安全和操作系統(tǒng)的安全是基礎(chǔ)，密碼等是關(guān)鍵技術(shù)。而且只有從整體上采取措施，特別是從底層采取措施，才能比較有效的解決信息安全問題。可信計算【的目標希望杜絕的是不可信代碼的存在

20、，從內(nèi)部防止系統(tǒng)危險的發(fā)生，在內(nèi)部建立一道安全屏障。在計算機應(yīng)用環(huán)境中，說到可信計算首先必須準確地把握個概念“信任”。信任是一個復雜的概念，當某一件東西為了達到某種目的總是按照人們所期望的方式運轉(zhuǎn)，我們就說我們信任它。在計算機應(yīng)用環(huán)境中】有如下定義：一個可信的組件、操作或者過程的行為在任意操作條件下是可預(yù)測的，并能很好地抵抗應(yīng)用程序軟件、病毒以及一定的物理干擾造成的破壞。因此，一個可信的計算機系統(tǒng)所提供的服務(wù)可以認證其為可依賴的，同時，這種依賴性是可以驗證的。計算機系統(tǒng)的可信性應(yīng)包括可用性、可靠性、安全性、健壯性、可測試以及可維護性等多個方面?？尚庞嬎阌煽尚庞嬎闫脚_聯(lián)盟（，）提出，但并沒有一個

21、明確的定義，它的目標就是提出一種能夠超越預(yù)設(shè)安全規(guī)則，執(zhí)行特殊行為的運行實體。操作系統(tǒng)中將這個實體運行的環(huán)境稱為可信計算基（，）?？尚庞嬎愕闹饕悸肥窃谟嬎銠C硬件平臺上引入安全芯片架構(gòu)，通過提供的安全特性來提高終端系統(tǒng)的安全性?？尚庞嬎憧梢詮囊韵聨讉€方面來理解：、用戶的身份認證對使用者的信任。、平臺軟硬件配置的正確性體現(xiàn)使用者對平臺運行環(huán)境的信任。、應(yīng)用程序的完整性和合法性體現(xiàn)了應(yīng)用程序運行的可信。、平臺之間的可驗證性指網(wǎng)絡(luò)環(huán)境下平臺之間的相互信任。可信計算的目標是實現(xiàn)數(shù)據(jù)的真實性、數(shù)據(jù)的機密性、數(shù)據(jù)保護以及代碼的真實性、代碼的機密性和代碼的保護。可信計算實現(xiàn)目的包括兩個層面的意思：、保護指定

22、的數(shù)據(jù)存儲區(qū)，防止敵手實施特定類型的物理訪問。、賦予所有在計算平臺上執(zhí)行的代碼以證明它在一個未被篡改環(huán)境中運行的能力。從廣義的角度，可信計算平臺為用戶提供了一個更為寬廣的安全環(huán)境，它從安全體系的角度來描述安全問題，確保用戶的安全執(zhí)行環(huán)境，突破被動防御打補丁方式?？尚庞嬎愕年P(guān)鍵技術(shù)可信計算包括個關(guān)鍵技術(shù)概念，他們是完整可信系統(tǒng)所必須的，這個系統(tǒng)將遵從規(guī)范：、簽注密鑰簽注密鑰是一個位的公共和私有密鑰對，它在芯片出廠時隨機生成并且不能改變。這個私有密鑰永遠在芯片里，而公共密鑰用來認證及加密發(fā)送到該芯片的敏感數(shù)據(jù)、安全輸入輸出安全輸入輸出是指電腦用戶和他們認為與之交互的軟件間受保護的路徑。當前，電腦系

23、統(tǒng)上惡意軟件有許多方式來攔截用戶和軟件進程間傳送的數(shù)據(jù)。例如鍵盤監(jiān)聽和截屏。、儲存器屏蔽儲存器屏蔽拓展了一般的儲存保護技術(shù)，提供了完全獨立的儲存區(qū)域。例如，包含密鑰的位置。即使操作系統(tǒng)自身也沒有被屏蔽儲存的完全訪問權(quán)限，所以入侵者即便控制了操作系統(tǒng)信息也是安全的。、密封儲存密封存儲通過把私有信息和使用的軟硬件平臺配置信息捆綁在一起來保護私有信息。意味著該數(shù)據(jù)只能在相同的軟硬件組合環(huán)境下讀取。例如，某個用戶在他們的電腦上保存一首歌曲，而他們的電腦沒有播放這首歌的許可證，他們就不能播放這首歌。、遠程認證遠程認證準許用戶電腦上的改變被授權(quán)方感知。例如，軟件公司可以避免用戶干擾他們的軟件以規(guī)避技術(shù)保護

24、措施。它通過讓硬件生成當前軟件的證明書。隨后電腦將這個證明書傳送給遠程被授權(quán)方來顯示該軟件公司的軟件尚未被干擾?？尚庞嬎闫脚_可信計算旨在提高終端系統(tǒng)的安全和可信性，是要在一個計算機空間中建立一個信任傳遞的模式。在可信中有三個重要支柱，一是可信的信任源，二是信任體系，三是誠信的保障體系。因此，要在個人、單位和社會之間建立一個可信的平臺以及獨立的審計系統(tǒng)，解決人與程序之間、人與機器之間的信息安全傳遞?，F(xiàn)有計算平臺是開放平臺（），它具有廣泛的靈活性，但其硬件和第三方不能建立起信任，這是現(xiàn)有計算平臺安全性缺陷的根本所在。一些部門和機構(gòu)為保證安全性開發(fā)了封閉平臺（），這種平臺使用專有的設(shè)備，運行專有的程

25、序，用戶只能通過專有的接口通訊，通過密鑰驗證遠程對方，通常只針對特定的應(yīng)用。封閉平臺的好處是安全性較高，但其缺點也是顯而易見，不能被廣泛的使用?？尚庞嬎阍谶@兩者基礎(chǔ)上提出了可信計算平臺（）。可信計算平臺是能夠提供可信計算服務(wù)的計算機軟硬件實體，它能夠提供可信系統(tǒng)的可靠性、可用性和行為的安全性?？尚庞嬎闫脚_兼有開放平臺和封閉平臺的特點：許多不同的應(yīng)用程序可以在同一個平臺上運行，具有良好定義和構(gòu)建的軟件，平臺符合規(guī)范具有可證實性。它的基本目標就是建立一個網(wǎng)絡(luò)中的可信域，并基于該信任域的管理系統(tǒng)將單個的可信計算平臺擴張到網(wǎng)絡(luò)中，形成網(wǎng)絡(luò)的可信任域?？尚庞嬎闫脚_的基本思想是：首先構(gòu)建一個信任根，再建立

26、一條信任鏈，從信任根開始到硬件平臺，到操作系統(tǒng)，再到應(yīng)用，一級認證一級，一級信任一級，從而把這種信任擴展到整個計算機系統(tǒng)【】?？尚庞嬎闫脚_最大程度地和現(xiàn)有平臺保持兼容，不改變現(xiàn)有平臺的體系結(jié)構(gòu)，只附加一個成本很低的芯片一可信平臺模塊（）一，解決現(xiàn)有平臺固有的安全缺陷。這個具有安全存儲和加密功能的（可信平臺模塊）是由定義，已經(jīng)發(fā)布了基于硬件系統(tǒng)平臺的可信計算平臺規(guī)范。該標準通過在計算機系統(tǒng)中嵌入一個可抵制篡改的獨立計算引擎，使非法用戶無法對內(nèi)部數(shù)據(jù)進行修改，從而確保身份認證和數(shù)據(jù)加密的安全性。虛擬可信計算平臺框架的設(shè)計思路當前信息化發(fā)展速度迅猛，高性能計算機與多核技術(shù)的普及帶動了整個信息化行業(yè)的

27、發(fā)展，計算機已經(jīng)能夠為我們提供更多更全面的服務(wù)，但是網(wǎng)絡(luò)安全仍然是困擾著大部分用戶的主要問題?？紤]到當前信息化對可信計算的迫切需求，以及日益嚴重的安全威脅，我們考慮到使用當前廣泛流行的虛擬化技術(shù)幫助用戶進行應(yīng)用的隔離，同時對虛擬機應(yīng)用可信理論進行完整性驗證，以確保用戶運行在一個安全可靠的虛擬機環(huán)境下。本設(shè)計將立足于可信計算的理論基礎(chǔ)，探討在虛擬化環(huán)境下的可信計算技術(shù)的實現(xiàn)。通過將虛擬可信設(shè)備技術(shù)、虛擬化技術(shù)相結(jié)合的手段，實現(xiàn)并完善可信鉗】在虛擬化領(lǐng)域的延伸，最終實現(xiàn)虛擬可信計算平臺框架。韭直奎丑古堂鱔圭芏位垃毫莊越丑信讓簋壬盤拒鏊艘掃差卸遲虛擬可信計算平臺框架的相關(guān)知識本章簡要闡述虛擬可信計算

28、平臺框架涉及的技術(shù)背景與相關(guān)知識，為之后的章節(jié)建立技術(shù)基礎(chǔ)。虛擬化技術(shù)虛擬化技術(shù)簡介虛擬化是一個廣義的術(shù)語，在計算機方面通常是指計算元件在虛擬的基礎(chǔ)上而不是真實的基礎(chǔ)上運行。虛擬化技術(shù)可以擴大硬件的容量簡化軟件的重新配置過程。的虛擬化技術(shù)可以單模擬多并行，允許一個平臺同時運行多個操作系統(tǒng)，并且應(yīng)用程序都可；在相互獨立的空同內(nèi)運行而互不影響，從而顯著提高計算機的工作效率。虛擬化技術(shù)與多任務(wù)以及超線程技術(shù)是完全不同的。多任務(wù)是指在一個操作系統(tǒng)中多個程序同時并行運行而在虛擬化技術(shù)中，則可以同時運行多個操作系統(tǒng)，而且每一個操作系統(tǒng)中都有多個程序運行，每一個操作系統(tǒng)都運行在一個虛擬的或者是虛擬主機上；而

29、超線程技術(shù)只是單模擬取來平衡程序運行性能，這兩個模擬出來的是不能分離的，只能協(xié)同工作。虛擬化主要特性包括：分區(qū)，隔離，封裝，硬件獨立。如圖所示匿怪塑墮燮鍪墾圖虛擬化特性圍韭毫奎通走生硒芏健業(yè)窯虛趣互信讓簋堊臺挺氅鮑揠羞知遢架構(gòu)的特權(quán)級別根據(jù)原來的設(shè)計，上的操作系統(tǒng)需要直接運行在裸機上，因此默認擁有和控制所有的硬件。如圖所示，架構(gòu)提供了四種特權(quán)級別、，和，通過這四種級別來控制和管理對硬件的訪問。通常用戶級的應(yīng)用一般運行在級別操作系統(tǒng)需要直接訪問內(nèi)存和硬件需要在執(zhí)行它的特權(quán)指令。為了虛擬架構(gòu)，需要在操作系統(tǒng)下面運行虛擬化層，由虛擬化層來刨建和管理虛擬機，進行共享資源分配。而有些敏感指令不能很好的進

30、行虛擬化，它們在以外級別執(zhí)行時，會出現(xiàn)不同的結(jié)果。如何在運行時捕獲和翻譯這些敏感指令成為虛擬化的大挑戰(zhàn)，使得架構(gòu)虛擬化最切是不可能的。圖架構(gòu)操作系統(tǒng)的特權(quán)級別虛擬化的類型大致可咀分為主機型和刪一型。當虛擬化最初應(yīng)用于時的主流類型是主機型。主機型是將虛擬化軟件作為一個應(yīng)用安裝在主機操作系統(tǒng)中。虛擬硬件包括主機操作系統(tǒng)中的虛擬化軟件、操作系統(tǒng)和應(yīng)用。因為是被作為一個應(yīng)用，所咀操作系統(tǒng)的效率比較低。另外，如果主機操作系統(tǒng)發(fā)生故障，就會波及到作為該操作系統(tǒng)一個應(yīng)用的虛擬化軟件。而且在硬件模擬過程中也會發(fā)生諸多問題。型是指通過低層級軟件讓多個操作系統(tǒng)得以共享相同的硬件設(shè)各。型虛擬化是直接運行在硬件上。如

31、果向帆編入設(shè)備驅(qū)動程序的話，那么設(shè)備驅(qū)動程序?qū)绊懱摂M化環(huán)境的穩(wěn)定性。同時如果嵌入兩個或者更多驅(qū)動程序的話，那么盯就會快速擴張。操作系統(tǒng)使用每個虛擬環(huán)境管理域（）的驅(qū)動程序進行獨立管理，并且適用于和。因此，程序是虛擬化的基礎(chǔ)，程序越小，開銷越小，虛擬環(huán)境速度越高。而且因為中使用和等操作系統(tǒng)，即使不開發(fā)專門的驅(qū)動程序，操作系統(tǒng)也可以利用驅(qū)動程序。所以域虛擬化對應(yīng)的硬件種類要比利用專有驅(qū)動程序的虛擬化軟件更多。全虛擬化全虛擬化技術(shù)最大的好處就是可以無需修改操作系統(tǒng)，直接移植到虛擬環(huán)境中，支持多個。但是全虛擬化的缺點就是虛擬機的的系統(tǒng)性能會受到影響，而且往往比原有的系統(tǒng)性能下降不少，尤其是在等常見

32、體系結(jié)構(gòu)上。因為全虛擬化往往只能對特定硬件的特點進行虛擬，在虛存管理和設(shè)備管理方面，往往需要花費大量的代碼進行處理，這對軟件運行的效率必定會產(chǎn)生極大的影響，同時也增加了虛擬軟件層的復雜度。這樣的技術(shù)對網(wǎng)卡、磁盤等關(guān)鍵設(shè)備采用了全虛擬化的方法，看到的是一組統(tǒng)一的虛擬設(shè)備。而對這些虛擬設(shè)備的每一個操作都會進入中，由對指令進行解析并映射到實際物理設(shè)備，然后直接控制硬件完成。這種方法能夠獲得較好的性能，對是完全透明的。但是，由于需要直接控制各種設(shè)備，其設(shè)計會變得非常復雜，而且無法對設(shè)備快速更新。全虛擬化如圖：需要實現(xiàn)琦勺部分桌鈾黼一露原有設(shè)備驅(qū)動程序，晶唧贏嘮：霧”“。二二？茹垤設(shè)備驅(qū)動程序一二，積札

33、鈾。辦、一自瓣？氣？礦？；一蒯物理設(shè)備半虛擬化全虛擬化一圖全虛擬化系統(tǒng)結(jié)構(gòu)圖嘻隨著虛擬化軟件的升級更新，虛擬化架構(gòu)已經(jīng)從全虛擬化轉(zhuǎn)向半虛擬化（）。由于半虛擬化不是模擬現(xiàn)實的硬件，因此，虛擬硬件相關(guān)的軟件就變得很簡單，可以作為一個整體高速地運行?！鞍胩摂M化”能夠提高和之間的通訊性能。如圖所示，半虛擬化技術(shù)通過對操作系統(tǒng)的內(nèi)核做一定的修改，使得原本一些需要通過特權(quán)執(zhí)行的保護任務(wù)，可以在修改后的內(nèi)核中直接執(zhí)行，這樣就有效的提高了虛擬機的效率。半虛擬化將一些硬件暴露給，可取得較好的性能。這種方法對提供了一個不同傳統(tǒng)設(shè)備的虛擬設(shè)備見面，因此它需要在中為每個虛擬設(shè)備安裝一個特殊的驅(qū)動程序。該驅(qū)動程序負責將

34、的請求傳遞給特權(quán)域。特權(quán)域是一個特殊的具有直接訪問物理設(shè)備特權(quán)的，它解析收到的請求并映射到實際物理設(shè)備，最后交給它的設(shè)備驅(qū)動程序來控制硬件層。和特權(quán)域之間的通信和數(shù)據(jù)傳遞需要在的控制下進行。采用了半虛擬化的不需要直接控制設(shè)備，因此大大簡化了的設(shè)計。同時，由于半虛擬化的設(shè)備驅(qū)動將操作在一個較高的抽象層次上直接向傳遞，因此能夠獲得很好的性能。而且半虛擬化還給提供了重新調(diào)度合并操作的機會，甚至在某些情況下還能夠加速設(shè)備的訪問。但是半虛擬化的代價是需要在上安裝驅(qū)動程序，甚至修改代碼。踟需要實現(xiàn)的都分一修改討的矗半虛擬比設(shè)備驅(qū)動程序一善一。髟緲“？秒。揍口”，一黟妙珊弼鰳粥嬲辯？￥醛緲緲“、棚，、，原有

35、設(shè)備驅(qū)動程序翰鼢。：詹靜；施璐。二，；，二。物理設(shè)備一半虛擬化圖半虛擬化系統(tǒng)結(jié)構(gòu)圖開源的虛擬機技術(shù)【】是劍橋大學計算機實驗室的一個開源項目。非常小巧，最初的核心代碼只有萬行。簡潔的代碼和開源性質(zhì)使得具有良好的安全性和穩(wěn)定性，在不同的計算平臺上都可以運行。在開發(fā)初期只支持半虛擬化技術(shù)。它是基于位體系結(jié)構(gòu)而設(shè)計開發(fā)的，支持多至約個虛擬機。虛擬機管理器為上層虛擬機給出與底層硬件設(shè)備略微不同的抽象層。具體來說，提供了機制，所有運行在虛擬機管理器上的虛擬機必須使用這些來完成相關(guān)的特權(quán)操作（例如：頁表的建立），虛擬機管理器向上層虛擬機提供異步的通知機制和基于共享內(nèi)存?zhèn)鬏斖ǖ?。要求操作系統(tǒng)必須按照這些規(guī)則修

36、改代碼并移植到的體系結(jié)構(gòu)上。雖然需要操作系統(tǒng)級別的修改，但對操作系統(tǒng)的上層調(diào)用（系統(tǒng)調(diào)用，級別）并沒有修改，可以保持對應(yīng)用程序的透明。同時預(yù)先定義的客戶機和虛擬機監(jiān)控器之間的共享內(nèi)存數(shù)據(jù)交換機制都使得新的客戶機體系架構(gòu)具有更高的總體性能。的開發(fā)者基于以下三條原則進行開發(fā)：所有的虛擬機相互隔離；可以支持不同操作系統(tǒng)和多種應(yīng)用；由虛擬化技術(shù)引入的性能開銷很小。本身主要基于開源的核心代碼移植而來，同時運行其上的（也稱為）也從移植而來，意為支持架構(gòu)的。同樣支持架構(gòu)的和也已經(jīng)能夠在上運行。所有原來的應(yīng)用程序均不需任何修改就可以在上運行，如的應(yīng)用程序可以在上運行；的應(yīng)用程序可以在上運行。今天，己經(jīng)成為一個

37、事實上的開源虛擬化解決方案標準。虛擬機技術(shù)的開源特性、接近于原生系統(tǒng)的性能、永不停機的動態(tài)移植功能，以及同時對半虛擬化客戶機操作系統(tǒng)和未經(jīng)修改的操作系統(tǒng)的支持。利用進行服務(wù)器加固（），搭建有虛擬機組成的網(wǎng)絡(luò)試驗和教學系統(tǒng)，利用虛擬機的保存恢復（）實現(xiàn)服務(wù)器災(zāi)難恢復（）等必將進一步提升企事業(yè)單位的計算機使用和管理水平，節(jié)約寶貴的設(shè)備購置經(jīng)費和極大地提高系統(tǒng)的整體環(huán)境安全。虛擬機架構(gòu)運行在平臺上的借助了的個優(yōu)先級（到）。原先，只有操作系統(tǒng)運行在最高優(yōu)先級（），普通的應(yīng)用程序都運行在，和都沒有使用。在體系結(jié)構(gòu)中，虛擬機管理器處在最高優(yōu)先級，它占據(jù)了，而用戶域和特權(quán)域的操作系統(tǒng)運行在，運行在這些客戶操

38、作系統(tǒng)上的應(yīng)用程序運行在砌。其中虛擬機管理器處在最底層。在管理程序的上層是的域（使用“域，即“來指代通常說的虛擬機）?？蛻舨僮飨到y(tǒng)運行在用戶域中（，即）。在系統(tǒng)啟動時，虛擬機管理程序自動創(chuàng)建一個稱為或者的特殊域，只有這個特殊的有訪問底層硬件設(shè)備的權(quán)限，同時和虛擬機管理程序交互，完成對用戶域的管理操作（比如，創(chuàng)建，刪除等。的基本功能是保證多個操作系統(tǒng)域的運行與通信，它實現(xiàn)了全虛擬化與半虛擬化兩種虛擬方式，使用由軟件實現(xiàn)的技術(shù)，作為一個虛擬的抽象層，它管理著上層運行的操作系統(tǒng)域之間的通信。物理設(shè)備驅(qū)動程序只能運行在特權(quán)級管理域，也就是上。依靠或其它修補過的內(nèi)核對它所有的設(shè)備提供虛擬化支持。這樣的好

39、處就是的開發(fā)者不必再去開發(fā)設(shè)備驅(qū)動程序。在體系架構(gòu)中，域之間的信息交互是通過共享頁面和消息通道來實現(xiàn)的。本質(zhì)上這是一種異步消息通知體系?？刂菩畔⒑蛿?shù)據(jù)傳輸是分開處理的，當一個域要獲取另一個域的數(shù)據(jù)時，一方首先通過消息通道向另一方發(fā)出請求，該請求在目標域中產(chǎn)生一個虛擬中斷。目標域建立授權(quán)表（）允許請求方通過共享頁面的形式來獲取這些數(shù)據(jù)。可信設(shè)備在中的抽象模型中的大多數(shù)設(shè)備驅(qū)動程序認為自己對相關(guān)設(shè)備具有完全的控制權(quán)力，所以，它們不具備同時接受和分發(fā)多路請求的能力。為了保證管理方便和設(shè)備安全訪問，在中，開發(fā)者重寫了相關(guān)的設(shè)備驅(qū)動代碼，使它們了解鋤體系的特殊性。在舶之后，引入了新的分離設(shè)備驅(qū)動模式網(wǎng)（

40、）。我們的虛擬可信設(shè)備正是以分離設(shè)備驅(qū)動模式為原型進行的改造。該模式在每個用戶域中建立前端（）設(shè)備，在特權(quán)域（）中建立后端（）設(shè)備。所有的用戶域操作系統(tǒng)像使用普通設(shè)備一樣向前端設(shè)備發(fā)送請求，而前端設(shè)備通過請求描述符（）和設(shè)備通道（）將這些請求以及用戶域的身份信息發(fā)送到處于特權(quán)域中的后端設(shè)備。后端驅(qū)動會檢查該請求的有效性，進行虛擬設(shè)備地址到物理設(shè)備地址的變換。在轉(zhuǎn)換過程中，后端驅(qū)動還要確保沒有訪問違例，從而確保虛擬系統(tǒng)所提供的接口，間接地控制安裝在特權(quán)域上的真實設(shè)備驅(qū)動完成對應(yīng)的請求。類似的，當請求完成時，后端驅(qū)動就會受到來自特權(quán)域中的操作系統(tǒng)的通知。此時，它將根據(jù)這個完成的請求，找到對應(yīng)的前端

41、發(fā)送來的請求，并通過虛擬終端機制響應(yīng)前端驅(qū)動。和前面提到的異步通知機制和共享頁面機制類似，這種體系也是將控制信息傳遞和數(shù)據(jù)傳遞分開處理的。正是基于這種開放式的虛擬設(shè)備抽象體系，使得在中部署可信設(shè)備成為了可能。服務(wù)虛擬域本身并不能直接訪問本虛擬域以外的物理資源，包括本身，但是虛擬域可以通過向監(jiān)管程序申請各種服務(wù)。就如同傳統(tǒng)操作系統(tǒng)下的系統(tǒng)調(diào)用，監(jiān)管程序通過它向各提供各種服務(wù)，如更新（）、操作（）請求、虛擬處理器狀態(tài)（）等。在位架構(gòu)下，通過陷阱（）指令實現(xiàn)，因為傳統(tǒng)操作系統(tǒng)本身并不使用（使用作為系統(tǒng)調(diào)用指令，并未使用）。的具體功能識別號由表明，而其他參數(shù)則在、和中。為了減少和之間的特權(quán)級別（）切換

42、次數(shù)，提供對的批處理，即將幾個功能請求放在一個列表中由專門的請求完成。只有特權(quán)級別為的代碼（半虛擬化域的）才能向發(fā)送請求，以防止應(yīng)用程序（特權(quán)級）的錯誤調(diào)用導致對系統(tǒng)可能的破壞。因此，只有運行在特權(quán)級的虛擬域操作系統(tǒng)內(nèi)核才能申請。但是，一些專用的特別程序，如或也需要有的服務(wù)來完成特殊的操作，如生成一個新的等，這在中是通過一個稱為的內(nèi)核驅(qū)動程序?qū)崿F(xiàn)。應(yīng)用程序通過向該驅(qū)動程序提出服務(wù)請求，運行在內(nèi)核（特權(quán)級）的驅(qū)動程序再將服務(wù)請求以形式轉(zhuǎn)向，（）并由后者完成?？尚庞嬎慵夹g(shù)標準規(guī)范可信計算平臺聯(lián)盟（）定義了具有安全存儲和加密功能的可信平臺模塊（，即】，致力于數(shù)據(jù)安全的可信計算，包括研制密碼芯片、特殊

43、的、主板或操作系統(tǒng)安全內(nèi)核。年月改組為“可信計算組織（），在原強調(diào)安全硬件平臺構(gòu)建的宗旨之外，更進一步增加了對軟件安全性的關(guān)注，旨在從跨平臺和操作環(huán)境的硬件組件和軟件接口兩方面，促進不依賴特定廠商開發(fā)可信計算環(huán)境。已發(fā)表與將發(fā)表在多種計算機平臺上如何建立可信計算體制的執(zhí)行規(guī)范及定義，包括：體系結(jié)構(gòu)、功能、界面等。對于特定的計算平臺，如：，蜂窩電話及其他計算設(shè)備，將發(fā)表更詳細的執(zhí)行規(guī)范?；跇藴实挠嬎闫脚_，將符合更高可信標準的功能和可靠性標準。將發(fā)表評估標準和準確的平臺結(jié)構(gòu)作為使用了技術(shù)的設(shè)備的評估尺度?？尚庞嬎阆到y(tǒng)在投入使用后同樣需要持續(xù)的操作完整性維護以達到可信度的持續(xù)改良。將推薦系統(tǒng)投入使用后的（改良）程序和方法。規(guī)范確保了完整性、私密性和真實性，防止了泄密和攻擊對信息資產(chǎn)帶來的風險?？尚庞嬎闫脚_的基本特征一個可信平臺要達到可信，最基本的原則就是必須報告真實的系統(tǒng)狀態(tài)，同時決不暴露密鑰和盡量不表露自己的身份。這就需要三個必要的基礎(chǔ)特征：保護能力（）、證明（）、完整性度量存儲和報告（，）。保護能力：保護能力是通過建立平臺屏蔽保護區(qū)域（）（比如內(nèi)存，寄存器等），實現(xiàn)敏感數(shù)據(jù)的訪問授權(quán)，從而控制外部實體對這些敏感數(shù)據(jù)的訪問。實現(xiàn)了保護能力和屏蔽區(qū)域。證明：證明是確