云环境下可信系统架构与虚拟证书链生成研究

本文提出了基于独立可信虚拟域(Domain Trusted, Domain T)的可信虚拟机系统架构，降低了现有系统

云计算是互联网时代一种备受关注的计算服务方式[1]，它通过虚拟化系统将计算资源虚拟化后供用户按需调用。然而，不同用户的虚拟资源可能被绑定到相同的物理资源上，不同的虚拟机可能会访问相同的物理设备[2]。

此外， 用户将计算任务委托给云服务商， 也就失去了对计算环境和隐私数据的控制权。

因此，云计算必须提供有效的安全措施，增强平台可靠性，降低安全风险。

可信计算作为保证系统安全的一项重要技术， 通过可信平台模块(Trusted Platform Module, TPM)来保障计算机系统的完整性，极大地提高了操作系统的抗攻击能力[3]。目前，应用于云环境下的TPM 的虚拟化方案主要包括TPM 硬件环境扩展[4]， TPM 的半虚拟化[5]， 以及软件式的TPM 虚拟化。

其中， TPM硬件环境扩展方案通过扩展TPM 上下文为客户虚拟机提供专用的TPM 环境，但需要TPM 硬件支持；TPM 半虚拟化方案通过一个软件TPM 访问中间层来控制TPM 调度及TPM 对虚拟机的认证，但需要更改部分设备接口。相比而言，软件式TPM 虚拟化方案以软件的形式为虚拟机提供了接近于物理TPM 的接口，被大多数应用所采用[6]-[12]。

以Xen 为代表的云平台虚拟机监控系统通过软件式方案实现了虚拟TPM， 为客户虚拟机提供了可信计算能力。TCB 的大小是一个可信平台最重要的安全因素之一，然而Xen 将vTPM 及其管理器设计在特权域Domain 0 当中，一方面特权域会由于集成过多功能而导致TCB 过大，一旦遭受攻击将使得客户虚拟机系统无法正常工作；另一方面，可信计算的计算需求也会和特权域中的其他请求一起抢占vCPU 时间片，影响vTPM 运算性能。

此外，以软件式方案实现的虚拟TPM 没有受硬件保护的信任根(Core Root of Trust for Measurement, CRTM)，无法证明其自身的可信性。现有的虚拟可信证书生成方法大都通过硬件TPM 的AIK 密钥签发vAIK 证书，以TPM 担保vTPM 的可信性。然而根据TCG 规范，AIK 密钥不能对TPM 外部数据进行加密。同时AIK 密钥生命周期短，vAIK 证书随时有可能随AIK 密钥的失效而突然失效。

因此，针对云环境下虚拟机监控系统存在的问题，本文对Xen 的虚拟可信平台系统架构进行了改进，独立出一个可信计算专用虚拟域Domain T。在此基础上，为进一步解决vTPM 没有信任根无法生成vAIK 证书链的问题，引入了Domain T 的tEK 域身份证书，使虚拟证书链的生成过程符合TCG 相关规范要求。经过对上述方案的实现，本文可以构建起可信的虚拟云计算平台，并充分验证了系统的有效性。