虛擬化環境下的可信計算機制應用研究＊

（1.海軍計算技術研究所 北京 100841）（2.海司信息化部工程設計室 北京 100841）

1 引言

虛擬化是一種將底層物理設備與上層操作系統、軟件分離的去耦合技術，其本質是針對用戶需求，高效組織計算資源，隔離具體的硬件體系結構和軟件系統之間的緊密依賴關系，在動態環境中按需構建計算系統的虛擬映像。系統級虛擬化通過在計算機硬件和操作系統之間增加虛擬機管理器來解除二者之間的依賴［1］。

可信計算技術［2～7］是在計算和通信系統中廣泛使用基于硬件安全模塊支持下的可信計算平臺，通過引入可信計算芯片和修改相應的硬件、固件和軟件，以提高計算機系統整體的安全性。

虛擬機環境［8～9］作為特殊的一類計算機系統，其體系結構與傳統的計算機系統不同，虛擬機環境下的可信計算機制的應用也與傳統計算機系統有所不同，這給研究人員提出了新的挑戰。本文重點研究可信計算技術在系統級虛擬化計算環境中的應用。

2 可信計算虛擬化計算環境應用面臨的問題

可信計算技術的核心是解決系統的完整性問題，建立一條系統從開機到應用啟動的信任鏈，防止程序和重要數據被非法篡改。在運用可信計算技術為虛擬計算環境提供可信服務方面，需重點解決以下三個問題。

1）信任鏈建立

傳統計算平臺基于可信平臺模塊開始建立信任鏈，按照可信平臺模塊、可信BIOS、主引導記錄、操作系統裝載器、操作系統內核、服務應用的順序，逐層進行完整性驗證并建立信任鏈。與傳統計算平臺不同，虛擬機環境下虛擬機管理器可以按需建立和關閉虛擬機，虛擬機運行的起點在虛擬機管理器而不是BIOS，傳統的單一靜態鏈式信任傳遞關系已不能滿足虛擬計算平臺信任鏈建立的需求［10］。

2）虛擬可信平臺模塊

在傳統計算平臺上，用戶通過可信軟件棧和可信平臺模塊驅動調用可信平臺模塊提供的可信服務，其中可信軟件棧、可信平臺模塊驅動和可信平臺模塊之間是一對一關系。然而，虛擬計算平臺多個虛擬機中的操作系統實例在同一虛擬化平臺上獨立運行，考慮到硬件資源有限和效率問題，不可能為動態創建的每個操作系統實例提供單獨的物理可信平臺模塊，因此需要構建虛擬可信平臺模塊［11］解決虛擬計算環境下的可信服務問題。

3）可信服務遷移

虛擬計算平臺能夠為用戶創建一種可遷移、可重構的使用環境，方便用戶重構歷史操作的環境鏡像，無縫實現用戶操作狀態遷移。在可信服務遷移過程中，虛擬機上的操作系統和應用環境可在不影響應用程序執行的情況下遷移到新的硬件環境中，這就需要解決如何將相應的可信平臺模塊及服務安全地隨著應用環境遷移的問題。

3 可信計算虛擬化計算環境應用結構框架

系統級虛擬化的核心是虛擬機管理器。一般來說，虛擬機管理器有監控模式、主機模式和混合模式三種實現方式。

監控模式下虛擬機管理器直接運行在宿主計算機的物理平臺上，位于處理器的最高特權級，所有的虛擬機則運行在較低的特權級。主機模式下虛擬機管理器運行在操作系統上，虛擬機管理器可以充分利用宿主操作系統所提供的設備驅動和底層服務，但宿主操作系統的介入可能會導致系統性能損失?；旌夏Ｊ郊闪吮O控模式和主機模式的優點，既可以利用主機操作系統的現成設備驅動實現虛擬機的設備使用模型，又不會丟失監控模式的高效率?；旌夏Ｊ降牡湫痛硎怯鴦虼髮W開發的Xen虛擬機?？尚庞嬎闾摂M計算環境應用框架基于混合模式系統虛擬平臺架構實現如圖1所示。

圖1 可信計算虛擬化計算環境應用結構框架

構成可信計算虛擬化計算環境應用框架的實體包括物理可信平臺模塊（Trusted Platform Module，TPM）、可信BIOS、虛擬機管理器、可信系統軟件、前端虛擬TPM 驅動、后端驅動、虛擬TPM 管理器、虛擬TPM 實例和TPM 驅動。

物理TPM 是整個系統的信任根，同時為特權虛擬機（運行于處理器最高特權級即VM＃0）提供服務。

在啟動過程中可信BIOS完成對硬件、虛擬機管理器、特權虛擬機的完整性度量。

虛擬機管理器完成對各個虛擬機中虛擬機裝載器、可信系統軟件和操作系統內核文件的完整性度量。

可信系統軟件為各虛擬機提供可信運行控制等服務。

前端虛擬TPM 驅動與后端驅動通信傳遞可信服務命令。

虛擬TPM 管理器維護虛擬TPM 實例，接收后端驅動發送的命令傳遞到相應的虛擬TPM 實例中，必要時通過TPM 驅動調用物理TPM 提供的服務。

虛擬TPM 實例對應相應的虛擬機，為虛擬機提供可信服務。

TPM 驅動對應于物理TPM，與物理TPM 通信傳遞相應的可信服務命令。

4 關鍵技術

針對系統級可信計算虛擬化計算環境應用結構框架的特點，需要部署的關鍵技術包括：虛擬機可信計算服務實現、信任鏈傳遞和虛擬可信平臺模塊實例的遷移技術。本節詳細說明以上關鍵技術。

4.1 面向虛擬機的可信計算服務實現

在可信虛擬平臺架構中，一個平臺只有一個物理TPM，但有多個虛擬機，需要為每個虛擬機創建一個虛擬TPM 實例。虛擬機使用前端虛擬TPM 驅動和虛擬TPM實例交互。其中，前端TPM 驅動運行在需要訪問虛擬TPM 實例的虛擬機中，即VM＃N；后端驅動運行在具有特權的虛擬機VM＃0中。

虛擬TPM 管理器負責創建、保存、恢復和刪除虛擬TPM 實例。虛擬TPM 管理器分別接受來自后端驅動、虛擬TPM 實例和虛擬TPM 管理器控制臺的命令或數據。必要時虛擬TPM 管理器負責與物理TPM 的交互。

虛擬機可信計算服務由虛擬TPM 實例直接面向虛擬機提供服務，每個虛擬TPM 實例中存儲與虛擬機對應的密鑰、完整性度量值、完整性度量日志等資源，并提供相應的可信計算服務。

物理TPM 完成以下三個功能。1）對應管理特權域，為管理特權域提供可信計算服務；2）虛擬TPM 實例資源的保護。利用物理TPM，保護存放在計算存儲介質虛擬TPM 實例資源，保護密鑰存放于物理TPM 內；3）虛擬TPM 實例真實性證明。在遠程證明過程中，遠程挑戰者為了確保虛擬機管理器不能修改虛擬機行為和認證報告，可再次驗證虛擬TPM 實例的運行環境是可信的。挑戰者除了驗證虛擬平臺實例對PCR 的簽名外，還需驗證物理TPM 對PCR 的簽名，從而驗證虛擬機和物理平臺的整體安全性。

由于虛擬TPM 實例運行于特權管理域中，特權管理域必須提供安全性保證，保證每個虛擬TPM 實例中的資源不被非授權修改和竊取。

4.2 信任鏈傳遞

傳統可信計算平臺信任鏈的建立是基于物理TPM 或BIOS實現的，從信任根代碼開始運行，在信任當前部件的前提下，對下一個將要執行的部件進行度量，確定下個部件可信后將控制權轉交給它。啟動過程通過“先度量，后執行”的方式運行，建立起信任鏈。

由于運行在虛擬機管理器之上的虛擬機可以多次重啟和關閉，信任鏈傳遞演變成“樹型”結構。虛擬機管理器作為啟動后相對固定的度量根，度量虛擬機啟動過程的完整性，因此虛擬機管理器自身完整性顯得尤為重要。

4.3 虛擬可信平臺模塊實例的遷移

由于虛擬機頻繁遷移，可信虛擬平臺在虛擬機遷移過程中如何保證其安全性是一個關鍵問題。傳統的可信度量根是與物理平臺進行綁定的，不能移動到另一個平臺上。在虛擬平臺中，虛擬機的可信度量根（即虛擬TPM）沒有與物理平臺進行綁定，這樣虛擬TPM 就可以被復制、遷移或刪除。為了防止虛擬環境下未授權的虛擬可信度量根的復制、遷移或刪除，需要采取如下措施。

首先，遠程挑戰者需要對虛擬機進行安全認證（類似于平臺安全認證），同時希望評估虛擬機遷移的可能性和可以遷移的新主機平臺。遠程挑戰者不僅需要認證虛擬機和虛擬機管理器，而且需要認證其遷移組件和遷移控制器。

在確定遷移控制器運行在可信的配置上后，遠程挑戰者獲取虛擬機的遷移策略。遷移策略主要包括以下幾個方面：對目標物理平臺的要求，包括可信平臺模塊廠商、可信平臺模塊版本號等；對目標虛擬平臺的要求，如虛擬機管理器廠商、虛擬機管理器版本號、虛擬機管理器架構等；對系統架構的一些要求，如目標平臺安全級別不能低于當前平臺；目標平臺和當前平臺擁有者相同。

當遷移控制器決定需要移動一個虛擬機，遷移管理員通知遷移系統遷移事件發生。具體遷移步驟包括：首先掛起虛擬機；然后將虛擬機的狀態進行打包存儲；接下來創建遷移會話；之后傳輸虛擬機狀態包；最后刪除虛擬機。

由于一個虛擬可信平臺模塊包含了虛擬機的許多秘密信息，所以在遷移過程中，虛擬可信平臺模塊必須被嚴格保護，進而保證這些信息只對授權實體可見。從源平臺到目標平臺，虛擬機狀態包的遷移，必須在安全的遷移傳輸協議下進行。

5 結語

虛擬機環境作為特殊的一類計算機系統，其體系結構與傳統的計算機系統不同，虛擬機環境下的可信計算機制的應用也與傳統計算機系統有所不同。在虛擬化環境下建立可信計算環境面臨虛擬環境下信任鏈建立、虛擬可信平臺模塊管理和可信服務遷移等問題。針對系統級可信計算虛擬化計算環境應用結構框架的特點，需要重點突破虛擬機可信計算服務實現、信任鏈傳遞、虛擬可信平臺模塊實例的遷移等關鍵技術。

［1］鄭緯民.虛擬機監視器的運行層次與實現技術［J］.中國計算機學會通訊，2008，4（4）：42-48.

［2］Trusted Computing Group.TPM Main Part 1：Design Principles Specification Version 1.2［EB／OL］.2006.［2013-04-07］.https：／／www.Trusted computinggroup.org／developers／tpm.

［3］Trusted Computing Group.TPM Main Part 2：TPM Structures Specification version l-2［EB／OL］.2006.［2013-04-07］.https：／／www.Trusted computinggroup.org／developers／tpm.

［4］Trusted Computing Group.TPM Main Part 3：Commands Specification Version 1.2［EB／OL］.2006.［2013-04-07］.https：／／www.Trustedcomputinggroup.org／developers／tpm.

［5］Trusted Computing Group.TCG Architecture Overview［EB／OL］.2007.［2013-04-07］.https：／／www.Trustedcomputinggroup.org／developers／infrastructure.

［6］Trusted Computing Group.PC Client Work Group PC Client Specific TPM Interface Specification（TIS），Version 1.2［EB／OL］.2007.［2013-04-07］.https：／／www.Trustedcomputinggroup.org／developers／pc＿client.

［7］Trusted Computing Group.TCG PC Client Specific Implementation Specification For Conventional BIOS［EB／OL］.2007.［2013-04-07］.https：／／www.Trustedcomputinggroup.org／developers／pc＿client.

［8］Intel virtualization Technology http：／／www.intel.com／technology／virtulization／index.htm.

［9］AMD.AMD Virtualization ［EB／OL］.http：／／www.amd.com／virtualization，2013-04-07.

［10］Trusted Computing Group.Virtualized Trusted Platform Architecture Specification［EB／OL］.http：／／www.trustedcomputinggroup.org／resources／virtualized＿trusted＿platform＿architecture＿specification，2013-04-07.

［11］IBM.vTPM：Virtualizing the Trusted Platform Module［EB／OL］.http：／／domino.research.ibm.com／library／cyberdig.nsf／1e4115aea78b6e7c85256b360066f0d4／a0163fff5b1a61fe85 257178004eee39.2013-04-07.